Архив форумов ЦИТФорума

[BusTeR]

У меня след. ситуация. OS: Alt Master 2.2.
Есть человек в локалке, есть iptables, который редиректит запросы клиента на 80й порт на порт squid(3128). Есть 2 интерфейса eth0 для локалки и eth1 для инета. Нужно зажать юзера, чтобы он в инет ходил с одной скоростью, а в локалку без ограничений. Использую cbq. Есть конечно вариант зажать с помощью сквиды. И ещё такой вопрос, кто раньше перехватит пакет: cbq или iptables?

[xt]

1. У тебя стоит прозрачный прокси? Если да то проблем с CBQ не будет.
2. СBQ переупорядочивает пакеты непосредственно перед передачей на физ. интерфейс ==> работает он "ниже" фаервола.

[BusTeR]

Например такая ситуация:
1. Юзер делает запрос на например 212.3.4.5.
2. Пакет идет на лок. интерфейс.
3. Редиректится фаерволом на лок. интерфейс там, где сквид стоит.
4. Идёт обмен со сквидом.
Поправьте если не прав.

[xt]

но клиент понятия не имеет что он работает со сквидом

[BusTeR]

Вот. А как же разграничить шейпер на локалку и на инет(который на самом деле идёт через сквид)?

[xt]

Ты ставишь классы на интерфейс который смотрит в локалку! Фильтр ставится ~ так:

... ip dst match 192.168.*.* ...
и всё работает! потому что сквид в прозрачном режиме!