Маркировка сетевого трафика по ip-адресу
Маркировка сетевого трафика по ip-адресу источника
Для создания правила маркировки сетевого трафика на основе ip-адреса источника (192.168.1.0/24) необходимо выполнить команду «nft add rule ip filter smark ip saddr 192.168.1.0/24 ip dscp set <dscp number> accept»:
# nft add rule ip filter smark ip saddr 192.168.1.0/24 ip dscp set af11 accept
# nft list ruleset
table ip filter {
chain input {
type filter hook input priority 30; policy accept;
}
chain forward {
type filter hook forward priority 30; policy accept;
}
chain output {
type filter hook output priority 30; policy accept;
}
chain smark {
type filter hook forward priority filter; policy accept;
ip saddr 192.168.1.0/24 ip dscp set af11 accept
}
}
table ip nat {
chain prerouting {
type nat hook prerouting priority 30; policy accept;
}
chain postrouting {
type nat hook postrouting priority 30; policy accept;
}
}
Для создания правила маркировки сетевого трафика на основе группы ip-адресов источника (192.168.1.0/24, 192.168.3.100, 172.16.16.0/30) необходимо выполнить команду «nft add rule ip filter smark ip saddr {192.168.1.0/24, 192.168.3.100, 172.16.16.0/30} ip dscp set <dscp number> accept»:
# nft add rule ip filter smark ip saddr {192.168.1.0/24, 192.168.3.100, 172.16.16.0/30} ip dscp set cs4 accept
# nft list ruleset
table ip filter {
chain input {
type filter hook input priority 30; policy accept;
}
chain forward {
type filter hook forward priority 30; policy accept;
}
chain output {
type filter hook output priority 30; policy accept;
}
chain smark {
type filter hook forward priority filter; policy accept;
ip saddr { 172.16.16.0/30, 192.168.1.0/24, 192.168.3.100 } ip dscp set cs4 accept
}
}
table ip nat {
chain prerouting {
type nat hook prerouting priority 30; policy accept;
}
chain postrouting {
type nat hook postrouting priority 30; policy accept;
}
}
Маркировка сетевого трафика по ip-адресу назначения
Для создания правила маркировки сетевого трафика на основе ip-адреса назначения (192.168.1.0/24) необходимо выполнить команду «nft add rule ip filter smark ip daddr 192.168.1.0/24 ip dscp set <dscp number> accept»:
# nft list ruleset
table ip filter {
chain input {
type filter hook input priority 30; policy accept;
}
chain forward {
type filter hook forward priority 30; policy accept;
}
chain output {
type filter hook output priority 30; policy accept;
}
chain smark {
type filter hook forward priority filter; policy accept;
ip daddr 192.168.1.0/24 ip dscp set af41 accept
}
}
table ip nat {
chain prerouting {
type nat hook prerouting priority 30; policy accept;
}
chain postrouting {
type nat hook postrouting priority 30; policy accept;
}
}
Для создания правила маркировки сетевого трафика на основе группы ip-адресов назначения (192.168.1.0/24, 192.168.3.100, 172.16.16.0/30) необходимо выполнить команду «nft add rule ip filter smark ip daddr {192.168.1.0/24, 192.168.3.100, 172.16.16.0/30} ip dscp set <dscp number> accept»:
# nft add rule ip filter smark ip daddr {192.168.1.0/24, 192.168.3.100, 172.16.16.0/30} ip dscp set cs1 accept
# nft list ruleset
table ip filter {
chain input {
type filter hook input priority 30; policy accept;
}
chain forward {
type filter hook forward priority 30; policy accept;
}
chain output {
type filter hook output priority 30; policy accept;
}
chain smark {
type filter hook forward priority filter; policy accept;
ip daddr { 172.16.16.0/30, 192.168.1.0/24, 192.168.3.100 } ip dscp set cs1 accept
}
}
table ip nat {
chain prerouting {
type nat hook prerouting priority 30; policy accept;
}
chain postrouting {
type nat hook postrouting priority 30; policy accept;
}
}