Имеется isc-dhcp, настроен-работает.
Не получается заставить выдавать адреса из отдельного пула тем кто не попал под условия.
dhcpd.conf:
class «port-17» {
   match if binary-to-ascii(10, 8, "", suffix(option agent.circuit-id, 1)) = «17»;
}

shared-network clients {
   subnet 172.16.0.0 netmask 255.255.0.0 { } # эт интерфейс т.к. Option 82

   subnet 192.168.0.0 netmask 255.255.255.0 {
      pool {
#         deny members of «port-17»; # с этим работает - но если классов будет много???
         range 192.168.0.200 192.168.0.2254;
      }
      pool {
         range 192.168.0.110;
         allow members of «port-17»;
      }
   }
}

dhcp упорно выдаёт клиенту 192.168.0.216 на всех портах, пока не раскоментить 'deny members of «port-17»;' - после этого работает как надо. Вопрос в том что если бует много классов - их все в deny пихать или есть более универсальное решение?

Уже голову сломал:
Есть сервер (gentoo) с 3 сетевыми:
eth0 - uplink1 основной
eth1 - uplink2 резерв и перегруз 1 линка
eth3 - local
Поднят BGP и маршруты получаются.

Вопрос: как сделать nat на адреса с получаемой AS?
зы: вариант с двумя серверами понятен, но тут 1 сервер...

Надоели юзвери в попытках положить канал торрентами...
Захотелось придумать решение на основе шейпера под линукс.
Решение: дать ICMP, www, smtp наибольший приоритет, а оставшимся портам всё остальное.
Условно, канал 100 мегабит
Путём ковыряния документации вышло следющее:
eth0 - внешний интерфейс
eth1 - внутренний интерфейс
зы: ессно между ними нат.
# clean shaper
tc filter del dev eth1 parent 1: prio 1
tc qdisc del dev eth1 root handle 1: htb
tc filter del dev eth0 parent 1: prio 1
tc qdisc del dev eth0 root handle 1: htb
# install shaper
# download rules
tc qdisc add dev eth1 root handle 1: htb default 20
tc class add dev eth1 parent 1: classid 1:1 htb rate 100mbit
tc class add dev eth1 parent 1:1 classid 1:20 htb rate 50mbit prio 2
tc class add dev eth1 parent 1:1 classid 1:30 htb rate 100mbit prio 1
tc qdisc add dev eth1 parent 1:20 handle 20: sfq perturb 10
tc qdisc add dev eth1 parent 1:30 handle 30: sfq perturb 10
# ssh, www, smtp
tc filter add dev eth1 parent 1:0 protocol ip prio 10 u32 match ip sport 22 0xffff flowid 1:30
tc filter add dev eth1 parent 1:0 protocol ip prio 10 u32 match ip sport 25 0xffff flowid 1:30
tc filter add dev eth1 parent 1:0 protocol ip prio 10 u32 match ip sport 80 0xffff flowid 1:30
# ICMP
tc filter add dev eth1 parent 1:0 protocol ip prio 10 u32 match ip protocol 1 0xff flowid 1:30
# upload rules
tc qdisc add dev eth0 root handle 1: htb default 20
tc class add dev eth0 parent 1: classid 1:1 htb rate 100mbit
tc class add dev eth0 parent 1:1 classid 1:20 htb rate 50mbit prio 2
tc class add dev eth0 parent 1:1 classid 1:30 htb rate 100mbit prio 1
tc qdisc add dev eth0 parent 1:20 handle 20: sfq perturb 10
tc qdisc add dev eth0 parent 1:30 handle 30: sfq perturb 10
# ssh, www, smtp
tc filter add dev eth0 parent 1:0 protocol ip prio 10 u32 match ip dport 22 0xffff flowid 1:30
tc filter add dev eth0 parent 1:0 protocol ip prio 10 u32 match ip dport 25 0xffff flowid 1:30
tc filter add dev eth0 parent 1:0 protocol ip prio 10 u32 match ip dport 80 0xffff flowid 1:30
# ICMP
tc filter add dev eth0 parent 1:0 protocol ip prio 10 u32 match ip protocol 1 0xff flowid 1:30

Для того чтоб дополнительно ограничить по скорости некоторых клиентов - я маркирую их в iptables и обрабатываю в шейпере по примеру подобного:

# download
tc class add dev eth1 parent 1: classid 1:100 htb rate 1024kbit burst 12k
tc filter add dev eth1 protocol ip parent 1:0 prio 1 handle 100 fw flowid 1:100
tc qdisc add dev eth1 parent 1:100 handle 100: sfq perturb 10
# upload
tc class add dev eth0 parent 1: classid 1:100 htb rate 1024kbit burst 12k
tc filter add dev eth0 protocol ip parent 1:0 prio 1 handle 100 fw flowid 1:100
tc qdisc add dev eth0 parent 1:100 handle 100: sfq perturb 10

Так вот, ограничение по скорости коиентов - работает на ура.
Но канал по приоритетам не делится... может я где не прав?