Differences

This shows you the differences between two versions of the page.

--- tssltd:комбинированное_правило_маркировки [2022/10/18 10:56] – created r.krestianinov
+++ tssltd:комбинированное_правило_маркировки [2023/10/12 18:10] (current) – n.ganenkov
@@ Line 1: / Line 1: @@
-Для создания правила маркировки сетевого трафика на основе ip-адреса источника (172.16.16.0/24) и ip-адреса назначения (192.168.100.100) необходимо выполнить команду (см. рисунок 142):
+[[tssltd:общие_настройки|Вернуться к оглавлению]]
-nft add rule ip filter smark ip saddr 172.16.16.0/24 ip daddr 192.168.100.100 ip dscp set <dscp number> accept
-Рисунок 142 – Маркировка сетевого трафика по ip-адресу источника и ip-адресу назначения
-Для создания правила маркировки сетевого трафика на основе ip-адреса источника (192.168.1.0/24) и группы сетевых портов назначения для протокола tcp (443, 590, 700, 800) необходимо выполнить команду (см. рисунок 143):
-nft add rule ip filter smark ip saddr 192.168.1.0/24 tcp dport {443, 590, 700, 800} ip dscp set <dscp number> accept
-Рисунок 143 – Маркировка сетевого трафика по ip-адресу источника для протокола tcp и группы портов назначения
-	Для создания правила маркировки сетевого трафика на основе ip-адреса назначения (10.10.17.200/30) для протокола icmp необходимо выполнить команду (см. рисунок 144):
-nft add rule ip filter smark ip protocol icmp ip daddr 10.10.17.200/30 ip dscp set <dscp number> accept
-Рисунок 144 – Маркировка сетевого трафика по ip-адресу назначения для протокола icmp
-Чтобы сохранить настройки с правилами маркировки сетевого трафика необходимо перенести их в инициализирующий файл «run-post.sh», который будет автоматически выполняться при каждом запуске устройства. Файл находится в папке «/media/storage/overlay/». Чтобы перейти в папку «/media/storage/overlay» необходимо выполнить команду «cd /media/storage/overlay/» (см. рисунок 145).
-Рисунок 145 – Сохранение настроек маркировки сетевого трафика
-Чтобы открыть файл для задания конфигурации необходимо выполнить команду «nano /media/storage/overlay/run-post.sh» и задать конфигурацию управление пропускной способностью (см. рисунок 146).
-Рисунок 146 – Задание конфигурации для маркировки сетевого трафика
- Для сохранения настроек необходимо нажать комбинацию клавиш «Ctrl + X», на вопрос о сохранении изменения ответь «Yes» и нажать на клавишу «Enter». Проверить, что настройки сохранены можно с помощью команды «cat run-post.sh».
-После сохранения настроек, для их инициализации необходимо выполнить команду «/media/storage/overlay/run-post.sh» (см. рисунок 147).
-Рисунок 147 – Запуск файла с настройками для маркировки сетевого трафика
-Настройки управление пропускной способностью будут автоматически применяться при каждом запуске устройства.
-При настройке правил фильтрации через web интерфейс настройки маркировки сетевого трафика будут затираться. Для восстановления настроек необходимо выполнить инициализирующий файл с настройками маркировки сетевого трафика.
+==== Комбинированное правило маркировки ====
+<WRAP indent>
+Для создания правила маркировки сетевого трафика на основе ip-адресов источника и назначения необходимо выполнить команду «**nft add rule ip filter smark ip saddr <ip-адрес или подсеть> ip daddr <ip-адрес или подсеть> ip dscp set <dscp number> accept**»:
+<code>
+# nft add rule ip filter smark ip saddr 172.16.16.0/24 ip daddr 192.168.100.100 ip dscp set af22 accept
+#
+# nft list ruleset
+table ip filter {
+        chain input {
+                type filter hook input priority 30; policy accept;
+        }
+        chain forward {
+                type filter hook forward priority 30; policy accept;
+        }
+        chain output {
+                type filter hook output priority 30; policy accept;
+        }
+        chain smark {
+                type filter hook forward priority filter; policy accept;
+                ip saddr 172.16.16.0/24 ip daddr 192.168.100.100 ip dscp set af22 accept
+        }
+}
+table ip nat {
+        chain prerouting {
+                type nat hook prerouting priority 30; policy accept;
+        }
+        chain postrouting {
+                type nat hook postrouting priority 30; policy accept;
+        }
+}
+</code>
+Для создания правила маркировки сетевого трафика на основе ip-адреса источника и группы сетевых портов назначения для протокола tcp необходимо выполнить команду «**nft add rule ip filter smark ip saddr <ip-адрес или подсеть> tcp dport {<номера портов>} ip dscp set <dscp number> accept**»:
+<code>
+# nft add rule ip filter smark ip saddr 192.168.1.0/24 tcp dport {443, 590, 700, 800} ip dscp set af41 accept
+#
+# nft list ruleset
+table ip filter {
+        chain input {
+                type filter hook input priority 30; policy accept;
+        }
+        chain forward {
+                type filter hook forward priority 30; policy accept;
+        }
+        chain output {
+                type filter hook output priority 30; policy accept;
+        }
+        chain smark {
+                type filter hook forward priority filter; policy accept;
+                ip saddr 192.168.1.0/24 tcp dport { 443, 590, 700, 800 } ip dscp set af41 accept
+        }
+}
+table ip nat {
+        chain prerouting {
+                type nat hook prerouting priority 30; policy accept;
+        }
+        chain postrouting {
+                type nat hook postrouting priority 30; policy accept;
+        }
+}
+</code>
+Для создания правила маркировки сетевого трафика на основе ip-адреса назначения (10.10.17.200/30) для протокола icmp необходимо выполнить команду «**nft add rule ip filter smark ip protocol icmp ip daddr 10.10.17.200/30 ip dscp set <dscp number> accept**»:
+<code>
+# nft add rule ip filter smark ip protocol icmp ip daddr 10.10.17.200/30 ip dscp set af43 accept
+#
+# nft list ruleset
+table ip filter {
+        chain input {
+                type filter hook input priority 30; policy accept;
+        }
+        chain forward {
+                type filter hook forward priority 30; policy accept;
+        }
+        chain output {
+                type filter hook output priority 30; policy accept;
+        }
+        chain smark {
+                type filter hook forward priority filter; policy accept;
+                ip protocol icmp ip daddr 10.10.17.200/30 ip dscp set af43 accept
+        }
+}
+table ip nat {
+        chain prerouting {
+                type nat hook prerouting priority 30; policy accept;
+        }
+        chain postrouting {
+                type nat hook postrouting priority 30; policy accept;
+        }
+}
+</code>
+Чтобы сохранить настройки с правилами маркировки сетевого трафика необходимо перенести их в инициализирующий файл «**run-post.sh**», который будет автоматически выполняться при каждом запуске устройства. Файл находится в папке «**/media/storage/overlay/**». Чтобы перейти в папку «**/media/storage/overlay**» необходимо выполнить команду «**cd /media/storage/overlay/**» .
+Чтобы открыть файл для задания конфигурации необходимо выполнить команду «**nano /media/storage/overlay/run-post.sh**» и задать конфигурацию управление пропускной способностью (__//изобр. 11.f.1//__).
+<WRAP center round box 100%>
+{{ :tssltd:dscp_comb_1.png | Задание конфигурации для маркировки сетевого трафика в файле «run-post.sh» }}\\
+__//Изобр. 11.f.1. Задание конфигурации для маркировки сетевого трафика в файле «**run-post.sh**»//__
+</WRAP>
+Для сохранения настроек необходимо нажать комбинацию клавиш «**Ctrl + X**», на вопрос о сохранении изменения ответь «**Yes**» и нажать на клавишу «**Enter**». Проверить, что настройки сохранены можно с помощью команды «**cat run-post.sh**».После сохранения настроек, для их инициализации необходимо выполнить команду «**/media/storage/overlay/run-post.sh**».
+Настройки управления пропускной способностью будут автоматически применяться при каждом запуске устройства.
+При настройке правил фильтрации через web-интерфейс настройки маркировки сетевого трафика будут затираться. Для восстановления настроек необходимо выполнить инициализирующий файл с настройками маркировки сетевого трафика.
+</WRAP>
+[[tssltd:общие_настройки|Вернуться к оглавлению]]