vlh
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka спасибо, понял... разбирался с маркировкой пакетов и с помощью других вроде все стало ясно как белый свет, но не тут то было, а именно следуя тому как движется пакет в Микротике получается что то что мне рассказали не является правдой... движение пакета - клиент из локальной сети запрашивает например страничку ya.ru пакет от клиента попадает в прероутинг, там мы его метим на какой внешний интерфейс его направить (так как у нас их два), ставим passthrough=yes Код: add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 4096" disabled=no new-routing-mark=Unlim_4096 passthrough=yes src-address-list=10.Unlimit-4096 | так как нам надо этот пакет еще и дальше обработать, далее этот пакет попадает в прероутинге еще под одно правило: Код: add action=mark-packet chain=prerouting comment=www disabled=no dst-port=80 in-interface=LAN new-packet-mark=www_out_unl passthrough=no protocol=tcp | и после выходит в форвард для маркировки шейпера (но это я думаю не важно) потом в сам шейпер и на выход через внешний канал, далее клиенту сервер отправляет его запрошенную страницу (ya.ru) и она приходит на внешний канал через который ушел запрос и попадает в прироутинг, там этот пакет попадает под правило: Код: add action=mark-packet chain=prerouting comment="" disabled=no in-interface=PABLIC-1 new-packet-mark=www_in_unl passthrough=no protocol=tcp src-port=80 | далее пакет идет в форвард для маркировки шейпера и потом клиент получает свой сайт ya.ru... вот так я понимаю прохождение пакета через Микротик... решил проверить так это или нет, вот часть конфига: Код: 1. add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 1024" \ disabled=no new-routing-mark=Unlim_1024 passthrough=yes src-address-list=\ 07.Unlimit-1024 2. add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 2048" \ disabled=no new-routing-mark=Unlim_2048 passthrough=yes src-address-list=\ 08.Unlimit-2048 3. add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 3072" \ disabled=no new-routing-mark=Unlim_3072 passthrough=yes src-address-list=\ 09.Unlimit-3072 4. add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 4096" \ disabled=no new-routing-mark=Unlim_4096 passthrough=yes src-address-list=\ 10.Unlimit-4096 5. add action=mark-packet chain=prerouting comment=icmp disabled=no in-interface=LAN \ new-packet-mark=icmp_out_unl passthrough=no protocol=icmp 6. add action=mark-packet chain=prerouting comment="" disabled=no in-interface=\ PABLIC-1 new-packet-mark=icmp_in_unl passthrough=no protocol=icmp 7. add action=mark-packet chain=prerouting comment=www disabled=no dst-port=80 in-interface=\ LAN new-packet-mark=www_out_unl passthrough=no protocol=tcp 8. add action=mark-packet chain=prerouting comment="" disabled=no in-interface=\ PABLIC-1 new-packet-mark=www_in_unl passthrough=no protocol=tcp src-port=80 9. add action=mark-packet chain=prerouting comment=tcp disabled=no in-interface=LAN \ new-packet-mark=tcp_out_unl passthrough=no protocol=tcp 10.add action=mark-packet chain=prerouting comment="" disabled=no in-interface=\ PABLIC-1 new-packet-mark=tcp_in_unl passthrough=no protocol=tcp 11.add action=mark-packet chain=prerouting comment=udp disabled=no in-interface=LAN \ new-packet-mark=udp_out_unl passthrough=no protocol=udp 12.add action=mark-packet chain=prerouting comment="" disabled=no in-interface=\ PABLIC-1 new-packet-mark=udp_in_unl passthrough=no protocol=udp 13.add action=mark-packet chain=prerouting comment=other disabled=no in-interface=LAN \ new-packet-mark=other_out_unl passthrough=no 14.add action=mark-packet chain=prerouting comment="" disabled=no in-interface=\ PABLIC-1 new-packet-mark=other_in_unl passthrough=no | я правило 7 перемещаю после правила 14 и если пакет движется так как я описал то он должен все равно попасть под это правило, но он перестает попадать, была мысля что он тогда начинает попадать под правило 13 где метится весь оставшийся трафик, но там счетчик пакетов стоит на нуле, тогда я попробовал указать во всех 5,9,11,13 правилах которые метят пакеты на LAN интерфейсе src-address-list=!10.Unlimit-4096 то есть метит все кроме этой группы, в перенесенном вниз правиле поставил src-address-list=10.Unlimit-4096 то есть метить только для этой группы, но не помогло, под это правило пакеты все равно не попадают, как только я его возвращаю обратно все начинает работать, то есть пакеты попадают... Chupaka подскажи в чем прикол, всю башку уже себе сломал...я так понимаю я ошибся или не правильно опять понял как проходит пакет... | Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 12:39 17-10-2010 | Исправлено: vlh, 12:43 17-10-2010 |
|