Еще раз о входящем трафике

У меня входящий трафик режется от "источника" до трансляции (до NAT).
Причем по портам - например 80,20-21, icq и т.д.
Я это делаю в 2 этапа
1 этап пакеты маркируются - set mark 8 например
2. маркированные пакеты помещаются в pool со своими приоритетами и скоростями.

Я несколько не о том :)

не описывается что ? как на ingress трафик режется ?

неа, наоборот, как без ingress :)

Т.е. кругом ingress, да ingress, ну в крайнем случае - IMQ. Но я там выше писал о том, что считаю, что можно и без ingress эффективно резать входящий трафик.

И либо я сильно не прав (что не менее сильно смахивает на правду :), либо просто чего-то недопонимаю.

А вот чего именно и хочу выяснить :)

Я тоже так делаю.
Отдельный комп с двумя сетевухами конфигурируется как bridge, на нем устанавливается web interface http://www.docum.org/docum.org/gui/ (только его надо нехило дорабатывать напильником) и отдается клиенту (гуи именно для клиента)

Получается прозрачное устройство для контроля за трафиком (shapping and statistics). Удобство в простоте установки у клиента -- в настройках его (клиента) сети ничего менять не надо.

Хочешь входяший трафик ограничивать -- настраивай на сетевухе смотрящей в локалку, исходящий -- на сетевухе смотрящей в Инет.

пока никто не жаловался :-)

А смысл все этого прост. "Мы не можем прямо контролировать входящий трафик, так как он идет не с нашего компьютера, поэтому влияем на источник косвенно, дропая пакеты". Здесь же мы добавляем промежуточный компьютер, являющийся источником трафика для нашей локалки, но он под нашим контролем, вот и все.

> Здесь же мы добавляем промежуточный компьютер, являющийся источником трафика для нашей локалки, но он под нашим контролем

В десяточку.

2 fagot: в твоем случае в транзитном маршрутизаторе два интерфейса, и ты действительно можешь ограничиться регулировкой исходящего трафика. А если в маршрутизаторе десяток интерфейсов, и пользователь может генерировать трафик, проходящий через несколько из них одновременно?

>А если в маршрутизаторе десяток интерфейсов

Ну, как раз у меня-то куча ppp+ и-фейсов, я с них всех на IMQ пакетики заворачиваю, а потом - как с eth0 :)

>и пользователь может генерировать трафик, проходящий через несколько из них одновременно?

как именно? Просто я не совсем хорошо себе представляю, о чем речь.

> почему НИГДЕ это толком не описано и не используется?
Странно, когда читал разные доки про ограничение трафика, во многих местах натыкался на подобное решение.
А особо не описано может потому, что все думают, что это и так понятно: раз для входящего только 1 дисциплина - ingress, которая умеет только DROP, а для исходящего - много, которые умеют много чего, то естественно более целесообразно сделать так чтоб входящий трафик стал исходящим (если конечно есть такая возможность).
Соответственно можно использовать либо промежуточный router/bridge в месте, где требуется ограничение, либо устройство IMQ, которое и является вроде как виртуальным перевалочным пунктом.