Markovani paketu

Zdravim !!

U nas na siti resim jednu takovou "perlicku". Na nasi IGW resime QoS pomoci HTB.IGW dela NAT pro celou sit na nekolik verejnych IP adres. Problem mam asi s "detekci" a markovanim provozu pomoci IPTABLES na urcitych portech. Napr kdyz mam v pravidlech aby veskery traffic z FTP a FTP-data markoval napr znackou 33 tak kdys se kouknu po zavedeni pravidel na vypis pomoci iptables -vnL -t mangle tak uvidim, ze prvnich par paketu pri navazani FTP spojeni z vnitrni site prejde pres toto pravidlo a dalsi uz ne (nepripocitavaji se pocitadla prenesenych dat pro toto pravidlo i kdyz se vesele dal stahuje s FTP serveru) - tim padem mi pada veskery traffic do "defaultni" tridy HTB , protoze neni omarkovany tou spravnou znackou . Ten samy problem mam napr. take u ipp2p a vesmes vsech pravidel,ktere jsou vazane na urcity protokol a nasledne na porty. Pokud je pravidlo, ktere urcuje znackovani pro urcite IP adresy (pocitace ve VIP tride s vyssi prioritou) tak tam vse chodi OK. Hodim zde kousky konfiguraku jen pro predstavu. Jinak jadro je prelozene 2.6.15 iptables taky prelozene 1.3.5.

Hodim zde par vycucu ze scriptu

$IPTABLES -t mangle -I PREROUTING -p tcp -j CONNMARK --restore-mark
$IPTABLES -t mangle -I PREROUTING -p tcp -m mark ! --mark 0 -j ACCEPT
$IPTABLES -t mangle -I PREROUTING -p tcp -m ipp2p --ipp2p -j MARK --set-mark 99
$IPTABLES -t mangle -I PREROUTING -p tcp -m mark --mark 99 -j CONNMARK --save-mark

## FTP-data
$IPTABLES -t mangle -I PREROUTING -i $WAN -p tcp --sport 20 -j MARK --set-mark 33
## FTP
$IPTABLES -t mangle -I PREROUTING -i $WAN -p tcp --sport 21 -j MARK --set-mark 33

## UDP 
$IPTABLES -t mangle -A PREROUTING -i $LAN -p udp  -j MARK --set-mark 32

A klasicke trizeni do HTB trid dle znacky

$TC filter add dev $LAN parent 1:0 protocol ip handle 9999 fw  flowid 1:33

Kde muze byt zakopany pes ?

Dotaz: Markovani paketu

Odpovědi