User Tools

Site Tools


tssltd:комбинированное_правило_маркировки

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Next revision
Previous revision
tssltd:комбинированное_правило_маркировки [2022/10/18 10:56] – created r.krestianinovtssltd:комбинированное_правило_маркировки [2023/10/12 18:10] (current) n.ganenkov
Line 1: Line 1:
-Для создания правила маркировки сетевого трафика на основе ip-адреса источника (172.16.16.0/24) и ip-адреса назначения (192.168.100.100) необходимо выполнить команду (см. рисунок 142): +[[tssltd:общие_настройкиернуться к оглавлению]]
-nft add rule ip filter smark ip saddr 172.16.16.0/24 ip daddr 192.168.100.100 ip dscp set <dscp number> accept +
-  +
-Рисунок 142 – Маркировка сетевого трафика по ip-адресу источника и ip-адресу назначения +
-Для создания правила маркировки сетевого трафика на основе ip-адреса источника (192.168.1.0/24) и группы сетевых портов назначения для протокола tcp (443, 590, 700, 800) необходимо выполнить команду (см. рисунок 143): +
-nft add rule ip filter smark ip saddr 192.168.1.0/24 tcp dport {443, 590, 700, 800} ip dscp set <dscp number> accept +
-  +
-Рисунок 143 – Маркировка сетевого трафика по ip-адресу источника для протокола tcp и группы портов назначения  +
- Для создания правила маркировки сетевого трафика на основе ip-адреса назначения (10.10.17.200/30) для протокола icmp необходимо выполнить команду (см. рисунок 144): +
-nft add rule ip filter smark ip protocol icmp ip daddr 10.10.17.200/30 ip dscp set <dscp number> accept +
-  +
-Рисунок 144 – Маркировка сетевого трафика по ip-адресу назначения для протокола icmp +
-Чтобы сохранить настройки с правилами маркировки сетевого трафика необходимо перенести их в инициализирующий файл «run-post.sh», который будет автоматически выполняться при каждом запуске устройства. Файл находится в папке «/media/storage/overlay/». Чтобы перейти в папку «/media/storage/overlay» необходимо выполнить команду «cd /media/storage/overlay/» (см. рисунок 145). +
-  +
-Рисунок 145 – Сохранение настроек маркировки сетевого трафика +
-Чтобы открыть файл для задания конфигурации необходимо выполнить команду «nano /media/storage/overlay/run-post.sh» и задать конфигурацию управление пропускной способностью (см. рисунок 146).  +
-  +
-Рисунок 146 – Задание конфигурации для маркировки сетевого трафика +
- Для сохранения настроек необходимо нажать комбинацию клавиш «Ctrl + X», на вопрос о сохранении изменения ответь «Yes» и нажать на клавишу «Enter». Проверить, что настройки сохранены можно с помощью команды «cat run-post.sh». +
-После сохранения настроек, для их инициализации необходимо выполнить команду «/media/storage/overlay/run-post.sh» (см. рисунок 147). +
-  +
-Рисунок 147 – Запуск файла с настройками для маркировки сетевого трафика +
-Настройки управление пропускной способностью будут автоматически применяться при каждом запуске устройства. +
-При настройке правил фильтрации через web интерфейс настройки маркировки сетевого трафика будут затираться. Для восстановления настроек необходимо выполнить инициализирующий файл с настройками маркировки сетевого трафика.+
  
 +==== Комбинированное правило маркировки ====
 +
 +<WRAP indent>
 +
 +Для создания правила маркировки сетевого трафика на основе ip-адресов источника и назначения необходимо выполнить команду «**nft add rule ip filter smark ip saddr <ip-адрес или подсеть> ip daddr <ip-адрес или подсеть> ip dscp set <dscp number> accept**»:
 +<code>
 +# nft add rule ip filter smark ip saddr 172.16.16.0/24 ip daddr 192.168.100.100 ip dscp set af22 accept
 +#
 +# nft list ruleset
 +table ip filter {
 +        chain input {
 +                type filter hook input priority 30; policy accept;
 +        }
 +
 +        chain forward {
 +                type filter hook forward priority 30; policy accept;
 +        }
 +
 +        chain output {
 +                type filter hook output priority 30; policy accept;
 +        }
 +
 +        chain smark {
 +                type filter hook forward priority filter; policy accept;
 +                ip saddr 172.16.16.0/24 ip daddr 192.168.100.100 ip dscp set af22 accept
 +        }
 +}
 +table ip nat {
 +        chain prerouting {
 +                type nat hook prerouting priority 30; policy accept;
 +        }
 +
 +        chain postrouting {
 +                type nat hook postrouting priority 30; policy accept;
 +        }
 +}
 +</code>
 +
 +Для создания правила маркировки сетевого трафика на основе ip-адреса источника и группы сетевых портов назначения для протокола tcp необходимо выполнить команду «**nft add rule ip filter smark ip saddr <ip-адрес или подсеть> tcp dport {<номера портов>} ip dscp set <dscp number> accept**»:
 +<code>
 +# nft add rule ip filter smark ip saddr 192.168.1.0/24 tcp dport {443, 590, 700, 800} ip dscp set af41 accept
 +#
 +# nft list ruleset
 +table ip filter {
 +        chain input {
 +                type filter hook input priority 30; policy accept;
 +        }
 +
 +        chain forward {
 +                type filter hook forward priority 30; policy accept;
 +        }
 +
 +        chain output {
 +                type filter hook output priority 30; policy accept;
 +        }
 +
 +        chain smark {
 +                type filter hook forward priority filter; policy accept;
 +                ip saddr 192.168.1.0/24 tcp dport { 443, 590, 700, 800 } ip dscp set af41 accept
 +        }
 +}
 +table ip nat {
 +        chain prerouting {
 +                type nat hook prerouting priority 30; policy accept;
 +        }
 +
 +        chain postrouting {
 +                type nat hook postrouting priority 30; policy accept;
 +        }
 +}
 +</code>
 +
 +Для создания правила маркировки сетевого трафика на основе ip-адреса назначения (10.10.17.200/30) для протокола icmp необходимо выполнить команду «**nft add rule ip filter smark ip protocol icmp ip daddr 10.10.17.200/30 ip dscp set <dscp number> accept**»:
 +<code>
 +# nft add rule ip filter smark ip protocol icmp ip daddr 10.10.17.200/30 ip dscp set af43 accept
 +#
 +# nft list ruleset
 +table ip filter {
 +        chain input {
 +                type filter hook input priority 30; policy accept;
 +        }
 +
 +        chain forward {
 +                type filter hook forward priority 30; policy accept;
 +        }
 +
 +        chain output {
 +                type filter hook output priority 30; policy accept;
 +        }
 +
 +        chain smark {
 +                type filter hook forward priority filter; policy accept;
 +                ip protocol icmp ip daddr 10.10.17.200/30 ip dscp set af43 accept
 +        }
 +}
 +table ip nat {
 +        chain prerouting {
 +                type nat hook prerouting priority 30; policy accept;
 +        }
 +
 +        chain postrouting {
 +                type nat hook postrouting priority 30; policy accept;
 +        }
 +}
 +</code>
 +
 +Чтобы сохранить настройки с правилами маркировки сетевого трафика необходимо перенести их в инициализирующий файл «**run-post.sh**», который будет автоматически выполняться при каждом запуске устройства. Файл находится в папке «**/media/storage/overlay/**». Чтобы перейти в папку «**/media/storage/overlay**» необходимо выполнить команду «**cd /media/storage/overlay/**» .
 +
 +Чтобы открыть файл для задания конфигурации необходимо выполнить команду «**nano /media/storage/overlay/run-post.sh**» и задать конфигурацию управление пропускной способностью (__//изобр. 11.f.1//__). 
 +
 +<WRAP center round box 100%>
 +{{ :tssltd:dscp_comb_1.png | Задание конфигурации для маркировки сетевого трафика в файле «run-post.sh» }}\\
 +__//Изобр. 11.f.1. Задание конфигурации для маркировки сетевого трафика в файле «**run-post.sh**»//__
 +</WRAP>
 +
 +Для сохранения настроек необходимо нажать комбинацию клавиш «**Ctrl + X**», на вопрос о сохранении изменения ответь «**Yes**» и нажать на клавишу «**Enter**». Проверить, что настройки сохранены можно с помощью команды «**cat run-post.sh**».После сохранения настроек, для их инициализации необходимо выполнить команду «**/media/storage/overlay/run-post.sh**».
 +
 +Настройки управления пропускной способностью будут автоматически применяться при каждом запуске устройства.
 +
 +При настройке правил фильтрации через web-интерфейс настройки маркировки сетевого трафика будут затираться. Для восстановления настроек необходимо выполнить инициализирующий файл с настройками маркировки сетевого трафика.
 +
 +</WRAP>
 +
 +[[tssltd:общие_настройки|Вернуться к оглавлению]]
tssltd/комбинированное_правило_маркировки.1666079808.txt.gz · Last modified: 2022/10/18 10:56 by r.krestianinov

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki