Шейпинг в линуксе (vlan + nat + in/out)?

Знаю, про это написано огромное множество статей, но к сожалению пока что все они ясности не внесли. =(


Есть linux-роутер (в небольшом домовом провайдере, дистр — gentoo), раздающий инет 150+ пользователям.

Необходимо обеспечить ограничение скорости как in, так и out для пользователей согласно их тарифов.

Каждый дом имеет свой vlan, далее все эти vlan-ы приходят в роутер. На выходе один eth интерфейс в интернет. Все юзеры сидят за nat.


Схема получается такая:

{vlan1,vlan2,...,vlann}eth0 => (pc-router)[nat] => eth1


Нужно соответственно ограничить скорость как входящую, так и исходящую для каждого из пользователей согласно его ТП.


Не предлагать: Разнесение по разным тачкам, циску.

Нужно сделать это на одной тачке. По крайней мере фряха с этой задачей в другом сегменте справляется на ура (на неё и перейду, если всё таки не осилю шейпер в линуксе, но всё же сдаваться так просто не хочется).


По идее нужно сделать виртуальный ifb интерфейс, только не могу понять, как его подружить с in+out+nat+vlan.