• Какой правильный iptables позволит не зацикливаться при выходе через проброшенный порт?

    Akint
    @Akint
    iptables -t nat -I PREROUTING -p tcp -d 5.5.5.5 --dport 80 -j DNAT --to 10.10.10.110:80
    Все tcp пакеты, пришедшие 5.5.5.5:80, будут перенаправлены на 10.10.10.110:80

    iptables -t nat -I POSTROUTING -p tcp -s 10.10.10.0/24 --dport 80 -o eth0 -j SNAT --to 5.5.5.5
    Гостям, ломящимся наружу на 80й порт, менять адрес источника на 5.5.5.5

    Оно?
    Ответ написан
  • Вопрос опытным специалистам по Cisco (QoS)

    @JDima
    1. Исходящий шейпинг плюс LLQ — легко. В принципе, классификацию трафика можно делать через NBAR, ресурсов должно хватить (если там ничего кроме канала на 4,5мб/с канала нет).
    С приоритезацией входящего трафика сложнее. Если в какие-то моменты времени возникнет перегрузка канала (а она будет, ибо TCP всегда работает всплесками, даже если в среднем за 5 секунд канал нагружен лишь наполовину), то дропать пакеты будет железка провайдера, а она не делает различий между голосом и HTTP. У меня (дома) более-менее хорошо работает схема «полисить все кроме голоса до 3/4 от скорости канала». Увы, любая реализация красивых очередей в направлении «in» будет вызывать дропы голосового трафика, и даже предложенная схема не идеальна, кратковременные всплески будут. Ну и канал задействуется неоптимально.
    3. Вряд ли.
    4. С точки зрения указанной задачи — никакого.
    Ответ написан