IMQ+NAT

[Jarek Poplawski]

Miroslaw Dyduch wrote:
> Pojawiły sie 2 inne IMQ+NAT - jedno z nich to jest to "bez tematu"-nie 
> moje. Ktoś się podpiął pod temat IMQ+NAT.
> 
> Dnia wtorek, 20 września 2005 10:16, Jarek Poplawski napisał:
> 
>  > Miroslaw Dyduch wrote:
> 
>  > > Dnia poniedziałek, 19 września 2005 13:24, Jarek Poplawski napisał:
> 
>  > > > Miroslaw Dyduch wrote:
...
> wyjasninie
> 
> eth0- od strony internetu
> 
> ....
> 
> $IPT -t mangle -A PREROUTING -i eth0 -d ip_serwera -j MARK --set-mark 0x20
> 
> $IPT -t mangle -A PREROUTING -i eth0 -d ip_lanu -j MARK --set-mark 0x30
> 
> ....
> 
> Prosze sprzdzic czy to działa na PREROUTING, natomiast na POSTROUTING 
> podobne tylko -s działa.

Chyba się powtórzę:
Jeśli na eth0 działa NAT (SNAT lub MASQUERADE) pakietów 
wychodzących do internetu, to pakiety przychodzące (-i eth0) w 
fazie PREROUTING mają ip interfejsu eth0 i dopiero po 
"zdenatowaniu", czyli w FORWARD lub INPUT można będzie odróżnić 
ip lanu lub ip serwera (który najczęściej pozostanie zgodny z ip 
eth0). Nie ma to żadnego związku z ustawieniami IMQ.

...

> Tu znanzłem opis na ktorym dziła takie coś 
> http://alfa.tailor.com.pl/imqhtb/2.4.20/imq_htb.html
> 
> ".......... Ten punkt wymaga nieco wyjaśnienia. Jak możesz zobaczyć na 
> www.docum.org/stef.coene/qos/kptd/ pakiet w PREROUTING wchodzi najpierw 
> do IMQ a dopiero potem do NAT. Przez to nie można w PREROUTING 
> zidentyfikować czy pakiet jest przeznaczony do serwera czy do któregoś z 
> userów za NAT-em i do którego. Dzięki temu patchowi zamieniana jest 
> kolejność IMQ i NAT i wchodzący pakiet kierowany jest najpierw do NAT a 
> potem do IMQ. Umożliwia to poprawne zidentyfikowanie adresu IP 
> odbiorcy........."

Patch używany był w jądrach 2.4. W 2.6 można zmieniać w 
konfiguracji jądra.
Dzięki temu imq może dostać te same pakiety przed lub po 
"zdenatowaniu".

Jarek P.