Шейпинг порта

0

2

Не могу найти решения, кто может направьте в нужном направлении! Есть шлюз, на нем Squid, некоторые порты пробрасываю через FORWARD, один из них 443 для тех кто на прозрачном прокси. Есть необходимость ограничить скорость, приема клиентами, этого порта, который прошел через цепочку FORWARD, но не ограничивать который приходит от Squid. Думал сделать с помощью маркировки и fw, так как Squid съест MARK, но из-за NAT не могу промаркировать по порту или адресу назначения. Как понял u32 с метками не работает. Зато возможно использовать на локальном интерфейсе связку порта назначения и IP источника. Но возможно ли задать условие типа, все кроме указанного IP? Или я не в ту сторону копаю?

Ссылка

←	использование chattr

Много ssh ключей и ошибки авторизации

→

В порядке бреда: может за TTL зацепиться?

macumazan ★★
(31.01.13 20:25:33 MSK)

Ссылка

squid delay pool - оно только кажется что сложно настраивать, там все просто.

Jetty ★★★★★
(31.01.13 20:40:38 MSK)

Ответ на: комментарий от Jetty 31.01.13 20:40:38 MSK

squid delay pool настроен... Тут вопрос как зашейпить трафик через FORWARD, так как squid в прозрачном режиме проксирует только 80 порт.

c2h5oh98
(31.01.13 21:27:17 MSK) автор топика

Ссылка

Тут немного взглянул из другой стороны. Может кто подскажет. Браузер с прописанным прокси, HTTPS шлет через тот же порт что и HTTP? А прокси уже сам разбирает что куда.

c2h5oh98
(31.01.13 21:30:19 MSK) автор топика

Ответ на: комментарий от c2h5oh98 31.01.13 21:30:19 MSK

ну тип того

Jetty ★★★★★
(31.01.13 22:04:35 MSK)

Ответ на: комментарий от Jetty 31.01.13 22:04:35 MSK

Если так, и squid пересылает клиенту HTTPS трафик не по 443 порту, а по своему, то проблема легко решается через u32 match ip dport 443 0xffff. Завтра проверю и отпешусь

c2h5oh98
(31.01.13 23:19:40 MSK) автор топика

Ссылка

У вас ведь есть mangle FORWARD, там и маркируйте пакеты. Там будет только пакеты, идущие в обход squid'а, так как squid это локальный трафик.

Как понял u32 с метками не работает.

Да, u32 с метками не работает, с ними работает fw.

mky ★★★★★
(01.02.13 00:45:02 MSK)

Ответ на: комментарий от mky 01.02.13 00:45:02 MSK

Так и планировал, но сдуру хотел промаркировать пакет на внешнем интерфейсе по порту назначения, а назначался он пользователю за NAT.

c2h5oh98
(01.02.13 10:53:09 MSK) автор топика

Ссылка

Лучший вариант решения проблемы - взглянуть на трезвую голову... Я совершенно не подумал что все общение браузера и прокси происходит по локальному трафику и по порту прокси. Значит можно спокойно шейпить 443 порт на внутреннем интерфейсе средствами TC и это никак не повлияет на HTTPS трафик через прокси.

c2h5oh98
(01.02.13 11:07:52 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	использование chattr

Admin

Много ssh ключей и ошибки авторизации

→

Похожие темы