9.6.1. Ряд простых примеров фильтрации.
Для начала продемонстрируем самый обычный случай, который, к счастью, достаточно прост. Допустим, что у нас имеется дисциплина PRIO, с дескриптором 10:, которая содержит три класса и нам нужно весь трафик, отправляемый на 22 порт и с 80 порта, отдать в самую высокоприоритетную полосу, тогда набор фильтров мог бы выглядеть так:
># tc filter add dev eth0 protocol ip parent 10: prio 1 u32 match \
> ip dport 22 0xffff flowid 10:1
># tc filter add dev eth0 protocol ip parent 10: prio 1 u32 match \
> ip sport 80 0xffff flowid 10:1
># tc filter add dev eth0 protocol ip parent 10: prio 2 flowid 10:2
О чем говорят эти строки? Они говорят: "Присоединить к eth0, к узлу 10:, фильтр u32, с приоритетом 1, который отбирает пакеты, направляемые на порт 22, и передает их в полосу 10:1". Аналогичное высказывание делается относительно пакетов, отправленных с порта 80. И последняя строка говорит о том, что весь неклассифицированный трафик должен отправляться в полосу 10:2.
Вы обязательно должны указывать имя сетевого интерфейса, поскольку каждый из них имеет свое уникальное пространство имен дескрипторов.
Отбор пакетов по IP-адресам выполняется аналогичным образом:
># tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 \
> match ip dst 4.3.2.1/32 flowid 10:1
># tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 \
> match ip src 1.2.3.4/32 flowid 10:1
># tc filter add dev eth0 protocol ip parent 10: prio 2 \
> flowid 10:2
В этой конфигурации весь трафик, идущий на хост 4.3.2.1 и с хоста 1.2.3.4, ставится в очередь с наивысшим приоритетом.
Допускается смешивать проверку IP-адреса и номера порта:
># tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 match ip src 4.3.2.1/32 \
> match ip sport 80 0xffff flowid 10:1
9.6.2. Наиболее употребимые способы фильтрации.
В большинстве случаев, команды фильтрации начинаются так:
># tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 ..
Это так называемый селектор u32, который может выполнять отбор пакетов по любой его части.
По IP-адресу
По исходящему адресу: match ip src 1.2.3.0/24, по адресу назначения: match ip dst 4.3.2.0/24. Чтобы отобрать пакеты, отправляемые с/на единственный узел сети нужно указать сетевую маску /32 или вообще опустить ее.
По номеру порта
Исходящий порт: match ip sport 80 0xffff, порт назначения: match ip dport 80 0xffff.
По типу протокола, из семейства IP (tcp, udp, icmp, gre, ipsec)
Номера протоколов вы найдете у себя, в файле