Navod pro shaper HTB

[Lopan]

Vsiml jsem si, ze tady nikde neni sepsany navod pro tento shaper a jelikoz jsem ho ted potreboval pro proeho z fora sepsat, tak ho sem hodim a necham ho na posouzeni, urcite se v nem najdou chyby, tak budu rad za kazdou pripominku. Hlavne co se tyce priorit a burstu, o tom nemam moc velke potuchy. Ja sam jsem zrovna moc podrobnejsi dokumentace k HTB nenasel.

Proto take prosim nejakeho moderatora at da tento thread jako sticky(dulezity)

Co uz vim dopredu, ze bych mel nechavat nejakou rezervu a nevyuzivat dostupnou rychlost do posledniho kbitu.

Je to psane pro nekoho, a nechce se me to prepisovat, ale srozumitelne to je snad dobre

HTB funguje na principu stromu, kdy vytvaris koren, uzly a jednotlive listy a prirazujes mezi ne rychlost. Kazdemu listu muzes priradit minimalni a maximalni rychlost. Pod minimalni nikdy neklesne, a na maximalni se dostanes pokud je rychlost volna. Volnou rychlost si pujcuje od sousedniho listu pres spolecny uzel.

Graficky to vypada takto

(cislo pred lomitkem je minimalni rychlost, za lomitkem maximalni)

Kód:

                                       -koren- (rychlost 1024kbit)
                                          |
                             _____________/\_____________ 
                            /                            \
                        -uzel 1- (400kbit, max 600)   -uzel 2- (624kbit, max 800)
       ___________________|___________          __________|______                      
      |                   |          |         |                 |   
  klient1(100/200) kl2(100/150) kl3(200/250)  kl4(500/600)   -uzel 3-(124/200)
                                                         ________/\________
                                                        |                  |
                                                    kl5(62/100)         kl6(62/100)

Vytvoris koren kteremu priradis rychlost 1024kbit/s. Ten ma dva nasledniky (uzly), kterym mezi ktere rozdelis tech 1024kbit, ale kazdy si muze "pujcit" od vedlejsiho rychlost, pokud mu zbyva, tj. zadny z klientu ji momentalne nepotrebuje. Takze mas sice konektivu 1024kbit, ale "prodavas" dale 1400kbit.
Dale na uzlu 1 rozdelis rychlost mezi 3 klienty a ti si mohou "pujcovat" rychlost mezi sebou. Na uzlu 2 mas jednoho klienta a dalsi uzel, pujcovani probiha mezi klientem 4 a uzlem 3 a na uzlu 3 si rychlost mezi sebou pujcuji klienti 5 a 6.
Pokud vsichni klienti na uzlu zrovna nestahuji neustale plnou rychlosti z DC++, emule apod, tak nemaji sanci poznat ze rozdelujes vetsi rychlost nez jakou ve skutecnosti mas. Vetsina klientu stejne jen brouzda po netu, takze svou konektivu vyuzivaji malo a jen procitaji web. Take se daji nastavovat priority a veci jako burst, ze i kdybys tam mel nejakeho stahovace, tak se pozadavky pro web (narazovy pozadavek) uprednostni a klient na webu nepozna, ze jeho rychlost vyuzivat stahovac. Tuto vec jsem ale jeste neresil, takze burst a priority nevim jak tam presne funguji.

Tady to vysvetlim na konfiguraku, k tomu potrebujes mit zprovoznene jadro s podporou iptables a htb a nainstalovane iptables a iproute2

Ted koren a kazdy uzel a list(klienta) musis oznacit unikatnim cislem. Ja osobne abych se v tom vyznal, tak prvni uroven me zacina 1, druha 2, treti 3 apod. Uzly maji cislo vetsi nez 254 a klienti maji cislo podle sve IP adresy.

Takze uzel 1 ma cislo 1301, uzel 2 1302, klient 1 ma cislo 2011, kl2 2012, kl3 2013, kl4 2014, uzel3 2303, kl5 3015, kl6 3016
#Vytvarim koren

Kód:

tc qdisc add dev eth1 root handle 1:0 htb default 14

#Priradim korenu rychlost

Kód:

tc class add dev eth1 parent 1:0 classid 1:1 htb rate 1024kbit

#Vytvarim uzel 1

Kód:

tc class add dev eth1 parent 1:1 classid 1:1301 htb rate 400kbit ceil 600kbit (uzel 1)

#Vytvarim uzel 2

Kód:

tc class add dev eth1 parent 1:1 classid 1:1302 htb rate 624kbit ceil 800kbit (uzel 2)

#Vytvarim klienty na uzlu 1

Kód:

tc class add dev eth1 parent 1:1301 classid 1:2011 htb rate 100kbit ceil 200kbit (IP .11)
tc class add dev eth1 parent 1:1301 classid 1:2012 htb rate 100kbit ceil 150kbit (IP .12)
tc class add dev eth1 parent 1:1301 classid 1:2013 htb rate 200kbit ceil 250kbit (IP .13)

#Vytvarim klienta a uzel 3 na uzlu 2

Kód:

tc class add dev eth1 parent 1:1302 classid 1:2014 htb rate 500kbit ceil 600kbit (IP .14)
tc class add dev eth1 parent 1:1302 classid 1:2303 htb rate 124kbit ceil 200kbit (uzel 3)

#Vytvarim klienty na uzlu 3

Kód:

tc class add dev eth1 parent 1:2303 classid 1:3015 htb rate 62kbit ceil 100kbit (IP .15)
tc class add dev eth1 parent 1:2303 classid 1:3016 htb rate 62kbit ceil 100kbit (IP .16)

Kdyz se na to ted podivas, tak jeste stale neni poznat co je vlastne klientem a co je uzlem. Uzel i klient vypadaji stejne.
V nasledujich prikazech to priradis.

#Specifikace klientu

Kód:

tc qdisc add dev eth1 parent 1:2011 handle 2011:0 sfq perturb 10
tc qdisc add dev eth1 parent 1:2012 handle 2012:0 sfq perturb 10
tc qdisc add dev eth1 parent 1:2013 handle 2013:0 sfq perturb 10
tc qdisc add dev eth1 parent 1:2014 handle 2014:0 sfq perturb 10
tc qdisc add dev eth1 parent 1:3015 handle 3015:0 sfq perturb 10
tc qdisc add dev eth1 parent 1:3016 handle 3016:0 sfq perturb 10

sfq je algoritmus podle ktereho se prepocitava rychlost a perturb 10 je ze se prepocita jednou za 10 sekund, aspon takto jsem to nekde nasel, ale ruku do ohne za to nedam

A ted jeste musis priradit jednotlive listy jednotlivym IP adresam
#Prirazeni IP adres listum

Kód:

tc filter add dev eth1 parent 1:0 protocol ip handle 11 fw flowid 1:2011
tc filter add dev eth1 parent 1:0 protocol ip handle 12 fw flowid 1:2012
tc filter add dev eth1 parent 1:0 protocol ip handle 13 fw flowid 1:2013
tc filter add dev eth1 parent 1:0 protocol ip handle 14 fw flowid 1:2014
tc filter add dev eth1 parent 1:0 protocol ip handle 15 fw flowid 1:3015
tc filter add dev eth1 parent 1:0 protocol ip handle 16 fw flowid 1:3016

A ted uplne posledni vec, abys to mohl priradit tak musis v iptables kazdemu paketu priradit "znacku" (mark) a podle teto znacky htb rozpozna komu ten paket patri.

Kód:

$IPTABLES -t mangle -A POSTROUTING -d 192.168.1.11 -s ! 192.168.1.0/24 -j MARK --set-mark 11
$IPTABLES -t mangle -A POSTROUTING -d 192.168.1.12 -s ! 192.168.1.0/24 -j MARK --set-mark 12
$IPTABLES -t mangle -A POSTROUTING -d 192.168.1.13 -s ! 192.168.1.0/24 -j MARK --set-mark 13
$IPTABLES -t mangle -A POSTROUTING -d 192.168.1.14 -s ! 192.168.1.0/24 -j MARK --set-mark 14
$IPTABLES -t mangle -A POSTROUTING -d 192.168.1.15 -s ! 192.168.1.0/24 -j MARK --set-mark 15
$IPTABLES -t mangle -A POSTROUTING -d 192.168.1.16 -s ! 192.168.1.0/24 -j MARK --set-mark 16

Neznackuju pakety urcene pro vnitrni sit, tam nemam potrebu omezovat rychlost.

No a pak toto same nastavis pro upload na druhe sitovce, coz je to same jen za eth1 napises eth0 a v iptables misto POSTROUTING bude PREROUTING

Kód:

$IPTABLES -t mangle -A PREROUTING -s 192.168.1.11 -d ! 192.168.1.0/24 -j MARK --set-mark 11

Podle osobnich zkusenosti pokud ma uzel vic nez 4 nasledovniky na dalsi urovni, tak shaper funguje nepredvidatelne. Jednou jsem tam mel asi 10 klientu a rychlost rozdeloval dost nahodne....

No snad jsem to sepsal srozumitelne.

[Jezevec]

a kdo nechce vymyslet kolo, pouzije trebas htb.init a search mu rekne dalsi.

Jinak OK, ale kdyz uz na zacatku pises, ze vis o tom ze je treba nechat rezervy, tak proc tam nejsou ? Mela byt cca 10% (pro vyssi rychlosti to muze byt asi min).

=> 1024 - 10% => muzu rozdelit cca 900 - 950kbit max. Jinak to bude lagovat. Podobne i v dalsich krocich.

MARKovani paketu si taky muzes odpustit, pripadne to mas spatne.

... -d 192.168.1.14 -s ! 192.168.1.0/24 -j MARK --set-mark 14

Oznaci paket urceny kompu 192.168.1.14. Takze jestli dobre chapu, shapujes pakety urceny tomu stroji => markovat je zbytecny, muzes pouzit primo filtr na cilovou IP (v ramci tc pouzijes u32). Pokud pouzivas NAT a chces shapovat i odchozi traffic, tak znackovat musis, protoze v okamziku, kdy se paket dostane na shaper, ma uz NATovanou odchozi IP => nevedel bys komu patri.
Pokud NAT nepouzivas, tak do iptables zadny pravidla psat netreba.

EDIT: u32 lze samo pouzit i na IPv6 => neni problem oshapovat oboji.

[Lopan]

No nejsou tam, protoze jsem to sepsal a pak jsme si uvedomil, ze jsem tam nenechal rezervy.

NAT pouzivam, takze markuju pakety tam i zpet.

htb.init jsem skipnul, v ramci sveho sebevzdelavani . Nastroje muzu pouzit pozdeji kdykoliv, opacne to jde docela spatne...

[Jezevec]

Mno vidis, ja na to sel opacne, pouzil jsem htb.init a paac pouzivam ipv6, tak sem si ho modnul (fakt decentne = ctrl+ins + sh+ins a prepis tc prikazu) pro ipv6. Pouzivam to hlavne proto, ze mi to prijde celkem prehledny (narozdil od 50ti tc prikazu).

[Lopan]

A nemas zkusenosti s nastavovanim priorit "pujcovani" rychlosti pro jednotlive uzly? Ja jsem to zkousel ale ke kloudnym vysledkum jsem se nedostal....

[Jezevec]

Hmm, to nejako nemam potrebu resit, pro kazdou IP mam jedno pravidlo, kde je garant/max rychlost a prio maj vsici stejnou (=> o volny pasmo se podeli v pomeru garant rychlosti)

Prio by melo fungovat tak, ze pokud je volny pasmo, tak se nejdriv priradi tride s vyssi prioritou (podle toho kolik chce/maxima) a teprv co zbude se rozdeluje dal. Jestli to funguje nevim, nezkousel sem.

[Keyoke]

Na serveru http://802.11b.cz vysla serie peti hezkych clanecku, mimo jine psali i o HTB, pokud se pamatuju. Jinak ja jsem v tom lama, ale ty clanky byly gut, podle toho bych se to i zacal ucit.

[Airwolf]

zdarek, tak jsem se vrhnul na Lopanuv navod na nastaveni HTB ale neuspesne, chyba je u konfigurace klientu a naslednemu prirazeni IP adres klientu jednotlivym uzlum, zde mi proste tc hlasi chybu.
priklad:
/bash# tc qdisc add dev wlan0 parent 1:2010 handle 2010:0 sfq perturb 10
RTNETLINK answers: Invalid argument
/bash# tc filter add dev wlan0 parent 1:0 protocol ip handle 10 fw flowid 1:2010
RTNETLINK answers:Invalid argument

kde je chyba ? zde je nakonfigurovany strom s listama...

http://62.24.84.149/htb.txt (pokud zrovna pojede router)
Slackware 9.1 s 2.6.x kernelem

[Jezevec]

A mas v tom kernelu podporu pro sfq ? Pripadne modul ? To samy samo pro ten filtr ?

[Tranceman]

zdarek, tak jsem se vrhnul na Lopanuv navod na nastaveni HTB ale neuspesne, chyba je u konfigurace klientu a naslednemu prirazeni IP adres klientu jednotlivym uzlum, zde mi proste tc hlasi chybu.
priklad:
/bash# tc qdisc add dev wlan0 parent 1:2010 handle 2010:0 sfq perturb 10
RTNETLINK answers: Invalid argument
/bash# tc filter add dev wlan0 parent 1:0 protocol ip handle 10 fw flowid 1:2010
RTNETLINK answers:Invalid argument

kde je chyba ? zde je nakonfigurovany strom s listama...

http://62.24.84.149/htb.txt (pokud zrovna pojede router)
Slackware 9.1 s 2.6.x kernelem

No chyba muze bejt kdekoliv zkus sem hodit ten scipt celej, z tohodle se neda poznat proc to dela.. Imho tam mas nekde blbe zadanou rootovskou classsu nebo spatne tridy..

[Tranceman]

Co se tyce priorit muzu napr doporucit tyto co pouzivam ja ve svojem scriptu
> 5:13 = top class (prio 0 + vysoka propustnost)
Priorizace pro packety mensi velikosti >
iptables -t mangle -A POSTROUTING -o $PATER -p tcp -m length --length 0:300 -j CLASSIFY --set-class 5:13

Priorita pro udp >
iptables -t mangle -A POSTROUTING -p udp -j CLASSIFY --set-class 5:13

Priorizace SSH >
iptables -t mangle -A POSTROUTING -o $PATER -p tcp --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j CLASSIFY --set-class 5:13
iptables -t mangle -A POSTROUTING -o $PATER -p tcp --sport 22 -m state --state NEW,ESTABLISHED,RELATED -j CLASSIFY --set-class 5:13


priority na nektere porty (Q3) >
iptables -t mangle -A POSTROUTING -o $PATER -p udp --dport 27960 -m state --state NEW,ESTABLISHED,RELATED -j CLASSIFY --set-class 5:13
iptables -t mangle -A POSTROUTING -o $PATER -p udp --dport 27961 -m state --state NEW,ESTABLISHED,RELATED -j CLASSIFY --set-class 5:13
iptables -t mangle -A POSTROUTING -o $PATER -p udp --dport 27962 -m state --state NEW,ESTABLISHED,RELATED -j CLASSIFY --set-class 5:13

iptables -t mangle -A POSTROUTING -o $PATER -p udp --sport 27960 -m state --state NEW,ESTABLISHED,RELATED -j CLASSIFY --set-class 5:13
iptables -t mangle -A POSTROUTING -o $PATER -p udp --sport 27961 -m state --state NEW,ESTABLISHED,RELATED -j CLASSIFY --set-class 5:13
iptables -t mangle -A POSTROUTING -o $PATER -p udp --sport 27962 -m state --state NEW,ESTABLISHED,RELATED -j CLASSIFY --set-class 5:13


atd... da se s tim hodne vyhrat..:o) Doporucuju precit infa na webu.

Jinak pokud pouzivate NAT, tak nepouzivejte shaping na rozhrani kde vam tece konektivita. tam totiz nejsou videt lokalni IP a shaping pak nefunguje. Je to nutny delat bud prez dummy, imq nebo na jednotlivych vstupnich rozhranich..

Jiank v pripade zajmu muzu dat svuj script k dispozici..

[Fox!MURDER]

tyve to je nejaky slozity
zlaty pf+ALTQ
obtw. je dobry prioritizovat maly NODELAY flagged TCP pakety a TCP ACK pakety bez dat a vykaslat se na prioritizaci portu 22 jako takovyho pak ti tam nekdo bude provozovat FTPklo a budes se divit (pripadne bude tahat pres SCP)

[hwsoft]

tyve to je nejaky slozity
zlaty pf+ALTQ
obtw. je dobry prioritizovat maly NODELAY flagged TCP pakety a TCP ACK pakety bez dat a vykaslat se na prioritizaci portu 22 jako takovyho pak ti tam nekdo bude provozovat FTPklo a budes se divit (pripadne bude tahat pres SCP)

No to by mozna slo, ale jen chvilku, admin by zakrocil, ale hlavne provozovat SCP?? No to asi ne, to snad delam jenom ja . Horsi to je TC na WifI, tam zatim nikdo nic dokonalyho nevymyslel (( (pokud neberu dame limit na 90% minima WiFIny).

[Airwolf]

A mas v tom kernelu podporu pro sfq ? Pripadne modul ? To samy samo pro ten filtr ?

takze podpora pro SFQ chybela, uz ji kompiluju. co se tyce toho filtru to je co? prohledal jsem cely /proc/config.gz a veskery slova na filter mam jako Y. tak uvidim zda to pojede...

mimochodem ja potrebuju dat HTB az na wlan0, nebot ten server slouzi nejen jako router, takze je potreba z lokalnich siti na nej pristupovat v plne rychlosti...markovani paketu preci zajisti ze se pozna odkud to prislo ne ?

edit: takze jeste ten filter je nutny,jaky je jeho nazev ?
edit2:mozna jsem to nasel...uz se kompajli...a jede bez chyb ))))

[Fox!MURDER]

tyve to je nejaky slozity
zlaty pf+ALTQ
obtw. je dobry prioritizovat maly NODELAY flagged TCP pakety a TCP ACK pakety bez dat a vykaslat se na prioritizaci portu 22 jako takovyho pak ti tam nekdo bude provozovat FTPklo a budes se divit (pripadne bude tahat pres SCP)

No to by mozna slo, ale jen chvilku, admin by zakrocil, ale hlavne provozovat SCP?? No to asi ne, to snad delam jenom ja . Horsi to je TC na WifI, tam zatim nikdo nic dokonalyho nevymyslel (( (pokud neberu dame limit na 90% minima WiFIny).

firewally, shaping a security se neda delat stylem "admin by zakrocil" a nechapu co mas proti scp ...

[Tranceman]

tyve to je nejaky slozity :)
zlaty pf+ALTQ :)
obtw. je dobry prioritizovat maly NODELAY flagged TCP pakety a TCP ACK pakety bez dat a vykaslat se na prioritizaci portu 22 jako takovyho ;) pak ti tam nekdo bude provozovat FTPklo a budes se divit :) (pripadne bude tahat pres SCP)

No za ten rok a pul co tu sit sleduju se mi jeste nestalo, ze by nekdo sosal prez port 22.. Jinak pokud by nekdo provozoval ftp, bude to okamzite videt ve statistikach prenesenych dat a pak uz neni problem zjistit prez jaky port kdo taha..
Tohle je proste udelany tak, ze bezny uzivatel taha z netu bud prez htttp nebo ftp...

[Fox!MURDER]

tyve to je nejaky slozity
zlaty pf+ALTQ
obtw. je dobry prioritizovat maly NODELAY flagged TCP pakety a TCP ACK pakety bez dat a vykaslat se na prioritizaci portu 22 jako takovyho pak ti tam nekdo bude provozovat FTPklo a budes se divit (pripadne bude tahat pres SCP)

No za ten rok a pul co tu sit sleduju se mi jeste nestalo, ze by nekdo sosal prez port 22.. Jinak pokud by nekdo provozoval ftp, bude to okamzite videt ve statistikach prenesenych dat a pak uz neni problem zjistit prez jaky port kdo taha..
Tohle je proste udelany tak, ze bezny uzivatel taha z netu bud prez htttp nebo ftp...

viz muj predchozi post ...

[Jezevec]

Jinak pokud pouzivate NAT, tak nepouzivejte shaping na rozhrani kde vam tece konektivita. tam totiz nejsou videt lokalni IP a shaping pak nefunguje. Je to nutny delat bud prez dummy, imq nebo na jednotlivych vstupnich rozhranich..

K tomu mame MARK vime ? , na rozhrani do LANu asi odchozi traffic (z pohledu rozhrani prichozi) moc neoshapujes.

[hwsoft]

K tomu mame MARK vime ? , na rozhrani do LANu asi odchozi traffic (z pohledu rozhrani prichozi) moc neoshapujes.

Nechapu co tiom chces rict jesltti chces markovat pakety, ktere uz nemaji informaci o lokanim IP, tak jsi kouzelnik.

Jinak je jasne, ze redukujes vzdy jen odchozi trafic, proto si musis pomoci virtualnim rozhranim pro prichozi.

[Tranceman]

Jinak pokud pouzivate NAT, tak nepouzivejte shaping na rozhrani kde vam tece konektivita. tam totiz nejsou videt lokalni IP a shaping pak nefunguje. Je to nutny delat bud prez dummy, imq nebo na jednotlivych vstupnich rozhranich..

K tomu mame MARK vime ? ;), na rozhrani do LANu asi odchozi traffic (z pohledu rozhrani prichozi) moc neoshapujes.

No ja misto MARKOVANi pouzivam "CLASSIFY"pravidla.. je to jednodussi a prehlednejsi. Nemusis delat dalsi "flowid" pravidlo na markovany packety..

napr. misto >>

tc filter add dev eth1 parent 1:0 protocol ip handle 11 fw flowid 1:2011
$IPTABLES -t mangle -A POSTROUTING -d 192.168.1.11 -s ! 192.168.1.0/24 -j MARK --set-mark 11

Staci pouzit
$IPTABLES -t mangle -A POSTROUTING -o $IFACE -d 192.168.1.11 -j CLASSIFY --set-class 1:2011


Jinak by me fakt zajimalo, jak efektivne oshapujes NATovej Iface..prolezl sem dost konfer a nikdo to zatim bez pouziti dummy nedokazal..:o)
Btw. zkousel sem to take i pomoci MARKovani...nefunguje to samozrejme

[Jezevec]

K tomu mame MARK vime ? , na rozhrani do LANu asi odchozi traffic (z pohledu rozhrani prichozi) moc neoshapujes.

Nechapu co tiom chces rict jesltti chces markovat pakety, ktere uz nemaji informaci o lokanim IP, tak jsi kouzelnik.

Jinak je jasne, ze redukujes vzdy jen odchozi trafic, proto si musis pomoci virtualnim rozhranim pro prichozi.

NAT se dela az PO routovani paketu => omarkujes si je trebas ve FORWARD tabulky mangle. Ten MARK ti na paketu zustane a podle nej to zaradis do spravny fronty. Curymury fuk a je to .
Pouzit IMQ ma smysl pokud chces shapovat dve rozhrani spolu, pripadne sloucit UP + Down a omezit to na nejakou celkovou rychlost atd.

[Tranceman]

K tomu mame MARK vime ? ;), na rozhrani do LANu asi odchozi traffic (z pohledu rozhrani prichozi) moc neoshapujes.

Nechapu co tiom chces rict ??? jesltti chces markovat pakety, ktere uz nemaji informaci o lokanim IP, tak jsi kouzelnik.

Jinak je jasne, ze redukujes vzdy jen odchozi trafic, proto si musis pomoci virtualnim rozhranim pro prichozi.

NAT se dela az PO routovani paketu => omarkujes si je trebas ve FORWARD tabulky mangle. Ten MARK ti na paketu zustane a podle nej to zaradis do spravny fronty. Curymury fuk a je to ;).
Pouzit IMQ ma smysl pokud chces shapovat dve rozhrani spolu, pripadne sloucit UP + Down a omezit to na nejakou celkovou rychlost atd.

No ale problem je v tom,ze na tom zarizeni s konektem a natem se vubec neukazujou vnitrni IP adresy...co tam pak chces MARKovat?
Pokud si pustim iptraf, tak tam vidim jen netovy adresy + adresu vnejsiho zarizeni.. btw. zkousel sem vsechny moznosti, ale nefunguje to..

[Jezevec]

Uf, zeby man iptables + routing howto ?

Pridas proste do mangle:

iptablest -t mangle -N OUTCOUNT
iptables -t mangle -A FORWARD -d ! 10.0.0.0/8 -j OUTCOUNT
iptables -t mangle -A OUTCOUNT -s a.b.c.d -j MARK --set-mark 0x01
.
.

kapis ? Vsechny pakety ktery nejsou urceny pro LAN (pokud mas jen dve rozhrani a jedno je inet, tak podminku -d ! klidne vynech) poslu do OUTCOUNT a tam je omarkuju podle zdrojovy adresy (paac na forwardu ji jeste mam a pakety ktery se neroutujou => sou pro/z mistni/ho stroje markovat netreba). Muzu samo markovat jak jednotlivy IP, tak cely subnety.

Malej priklad jak to nasypat do tc (hexa cislo uvedeny v mark odpovida hexa cislu za handle):

Kód:

tc class add dev eth0 parent 1:0010 classid 1:1030 htb rate 32Kbit ceil 300Kbit burst 10k prio 5
tc qdisc add dev eth0 parent 1:1030 handle 1030 sfq perturb 10
tc filter add dev eth0 parent 1:0 protocol ip prio 200 handle 0x5 fw classid 1:1030
tc filter add dev eth0 parent 1:0 protocol ip prio 200 handle 0x34 fw classid 1:1030