Забравих да кажа,че разнищих нещата....Всъщност за тези, които имат същия проблем да map-нат не цяла мрежа, а само едно IP това е работещия вариант:

Код:

iptables -t nat -A PREROUTING -d 17х.12.54.хх -j NETMAP --to 192.168.0.40
iptables -t nat -A POSTROUTING -s 192.168.0.40 -j NETMAP --to 17х.12.54.ххх

където 17х.12.54.ххx е външното IP.

Имам напредък - оправих си routing таблицата, и подакарах със SNAT ip 192.168.0.40 да излиза през gw-a на 2-я IP адрес, но още ме мъчи NETMAP-а ....сега ще видя ако сменя веригата дали ще сработи...

iptables -t nat -D POSTROUTING -i eth0 -s 192.168.0.40 -j NETMAP --to 17x.12.54.xxx
iptables -t nat -D PREROUTING -i macvlan0 -s 17x.12.54.xxx -j NETMAP --to  192.168.0.40

така тръгна само, че с -A, но тест от вън за отворен порт на машината, на която съм (192.168.0.40) показва, че е затворен, да не би да трябва да цъкна proxyarp?

Ами да колега пуснал съм го разбира се .... имам чустото, че тази дисрибуция която ползвам Gentoo има някакъв проблем със 2 default gataway-а и винаги се обръща към този зададен в main таблицата eth1 в случая, мисля си за split access, но аз не искам да правя load balancing.

Здравейте,
сблъсках се със следния проблем ISP-то ми раздава 5 реални IP адреса по DHCP едния се ползва за NAT на мрежа 192.168.0.0/24 като за целта позлвам и ipset, ipmark (Flattc пакета - работи перфектно) и едно SNAT правило $IPT -t nat -A POSTROUTING -o $EXT_IF1 -j SNAT --to $EXT_IP,
-вдигам macvlan интерфейс на картата свързана към ISP-то
-взимам си адреса с dhcpcd
-добавям рутинг таблица (T1 примерно) за новия IP адрес и 2 default gw

*до тук всичко е ок, имам ping през macvlan интерфейса имам и traceroute до 2-я gw

Проблема е, че река ли да map-на моето IP да кажем (192.168.0.40) към новия IP адрес то от вътрешната мрежа нито имам ping до външни адреси нито  traceroute-а работи - абе кто цяло няма интернет . Ако променя във FLattc външния интерфейс с новия интерфейс "macvlan0" и прекарам всички локални IP-та през него с 2 default гейта - нямам интернет в локалната мрежа през новия интерфейс, изтрия ли default gw-а за 1-я интерфейс и интернета тръгва, добавям вече 2 SNAT правила ест.

Код:

ip link add link eth1 name macvlan0 address 00:33:44:2a:3b:01 type macvlan
ip link set up macvlan0
ip route add 17x.12.48.0/21 dev macvlan0 src 17x.12.54.xxx table T1
ip route add default via 17x.12.48.x dev macvlan0 table T1
ip rule add from 17x.12.54.xxx/32 table T1
ip rule add to 17x.12.54.xxx/32 table T1

Всичко работи от локалната машина:

Код:

ping -I macvlan0 dir.bg
PING dir.bg (194.145.63.12) from 17x.12.54.xxx macvlan0: 56(84) bytes of data.
64 bytes from dir.bg (194.145.63.12): icmp_req=1 ttl=61 time=8.16 ms
64 bytes from dir.bg (194.145.63.12): icmp_req=2 ttl=61 time=6.85 ms


traceroute to dir.bg (194.145.63.12), 30 hops max, 60 byte packets
 1  xxxx  1.199 ms  1.425 ms  1.412 ms
 2  xxxx 7.833 ms  7.813 ms  7.901 ms
 3  xxxx  8.381 ms  8.565 ms  8.701 ms
 4  dir.bg (194.145.63.12)  8.185 ms  8.171 ms  8.159 ms

Код:

ip r show table Т1
default via 17x.12.48.x dev macvlan0 
17x.12.48.0/21 dev macvlan0  scope link  src 17x.12.54.xxx 

Код:

ip r show table main |grep eth1
default via 7x.83.32.x dev eth1  metric 204 
7x.83.32.0/20 dev eth1  proto kernel  scope link  src 7x.83.38.xxx  metric 204

Добавям следните правила за NETMAP към IP 192.168.0.40:

Код:

iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.40 -j NETMAP --to 17x.12.54.xxx
iptables -t nat -A PREROUTING -i macvlan0 -s 17x.12.54.xxx -j NETMAP --to  192.168.0.40

И от IP 192.168.0.40 нямам никаква връзка с интернет, имам пинг към локалния gw (192.168.0.1). Предполагам, че проблема е някъде из default routing-а, но нещо не мога да го реша сам....или бъркам генерално нещо?

Да не отваряме нова тема направо тук да спомена, че може да си компилирате IPMARK, IPSET с пакета xtables-addons с последния iptables и kernel.Лично аз го инсталирах с iptables 1.4.9.1 и kernel 2.6.35 на Gentoo като от пакета на xtables-addons сложих само IPMARK без да включвам IPSET, който инсталирах отделно.Хубавото на xtables-addons е, че не се налага да го преинсталирате всеки път като ъпгрейдвате кернел (в повечето случай).Ето и линк за повече информация: http://xtables-addons.sourceforge.net/

Не е ли по-елементарно с arp -f 
Създаваш си един файл в /etc ethers описваш IP адресите и MAC адресите в него и .... arp -f /etc/ethers

Дам това ще е много удобно и функционално особено частта с управление на сучове ... пуснеш ли софта ще съм един от първите изтествали го на 100%  Браво само така !

P.S.
Какво ще включва горе-доло секцията управлние на суитчове ?

Ами да малки са, но при ъплоада играеха голяма роля та добавих още едни стойности в config.pl съответно за международен - ъплоад, БГ- ъплоад , и ги замених в tc.add и tc.change. Ето как изглежда в момента:
1.config.pl

Код:

#!/usr/bin/perl

### PATH Config ###############################################################

$ipt = "/sbin/iptables";                        # Path to iptables binary
$ips = "/sbin/ipset";                           # Path to ipset binary
$self = "/admin/firewall/flatc/";               # Installation path of this package

###############################################################################


### Interfaces config #########################################################

$EXT_ETH = "eth0";      # Interface connected to your ISP
$INT_ETH = "eth1";      # Interface connected to your LAN

###############################################################################


#### Trafic control config ####################################################

$TRAFF_ALL_UL = "100Mbit";      # Total download bandwidth
$TRAFF_BG_UL  = "10Mbit";       # BG download bandwidth
$TRAFF_INT_UL = "5Mbit";        # International download bandwidth

$TRAFF_ALL_DL = "100Mbit";      # Total upload bandwidth
$TRAFF_BG_DL  = "100Mbit";      # BG upload bandwidth
$TRAFF_INT_DL = "15Mbit";       # International upload bandwidth

$int_class_param = "cburst 128Kb";      # Some additional TC params (read the HTB manual)
$bg_class_param = "cburst 512Kb";
$int_ul_class_param = "cburst 0Kb";
$bg_ul_class_param = "cburst 0Kb";

###############################################################################

return 1;

2.tc.add

Код:

#!/usr/bin/perl

require "config.pl";
require "functions.pl";

if ($#ARGV < 7)
{
    print "Not enough paramters. Stopping  ...\n";
    exit;
}

($ip, $subnet, $bgmin, $bgmax, $intmin, $intmax, $bgrate, $bgceil, $intrate, $intceil) = @ARGV;

if ($subnet < 1)
{
        print "ERROR: Subnet ID must be greater than 0. \n";
        exit;
}


$ip = $ip + 0x400*$subnet;

$id = sprintf("%X", $ip + 0x100);
$class_bg_dl = "tc class add dev $INT_ETH parent 1:10 classid 1:0".$id." htb rate ".$bgmin."Kbit ceil ".$bgmax."Kbit prio 5 ".$bg_class_param;
$qdisc_bg_dl = "tc qdisc add dev $INT_ETH parent 1:0".$id." handle ".$id." sfq perturb 10";
$id = sprintf("%X", $ip + 0x200);
$class_bg_ul = "tc class add dev $EXT_ETH parent 1:15 classid 1:0".$id." htb rate ".$bgrate."Kbit ceil ".$bgceil."Kbit prio 5 ".$bg_ul_class_param;
$qdisc_bg_ul = "tc qdisc add dev $EXT_ETH parent 1:0".$id." handle 0".$id." sfq perturb 10";
                                                      

$id = sprintf("%X", $ip + 0x300);
$class_int_dl = "tc class add dev $INT_ETH parent 1:20 classid 1:0".$id." htb rate ".$intmin."Kbit ceil ".$intmax."Kbit prio 4 ".$int_class_param;
$qdisc_int_dl = "tc qdisc add dev $INT_ETH parent 1:0".$id." handle ".$id." sfq perturb 10";
$id = sprintf("%X", $ip + 0x400);
$class_int_ul = "tc class add dev $EXT_ETH parent 1:25 classid 1:0".$id." htb rate ".$intrate."Kbit ceil ".$intceil."Kbit prio 4 ".$int_ul_class_param;
$qdisc_int_ul = "tc qdisc add dev $EXT_ETH parent 1:0".$id." handle ".$id." sfq perturb 10";


`$class_bg_ul`;
`$qdisc_bg_ul`;

`$class_int_ul`;
`$qdisc_int_ul`;

`$class_bg_dl`;
`$qdisc_bg_dl`;

`$class_int_dl`;
`$qdisc_int_dl`;

3.tc.change

Код:

#!/usr/bin/perl

require "config.pl";
require "functions.pl";

if ($#ARGV < 7)
{
    print "Usage:\n";
    print "tc.change ip subnet bgmin bgmax intmin intmax bgrate bgceil intrate intceil\n";
    print "Not enough paramters. Stopping  ...\n";
    exit;
}

($ip, $subnet, $bgmin, $bgmax, $intmin, $intmax, $bgrate, $bgceil, $intrate, $intceil) = @ARGV;

if ($subnet < 1)
{
        print "ERROR: Subnet ID must be greater than 0. \n";
        exit;
}


$ip = $ip + 0x400*$subnet;

$id = sprintf("%X", $ip + 0x100);
$class_bg_dl = "tc class change dev $INT_ETH parent 1:10 classid 1:0".$id." htb rate ".$bgmin."Kbit ceil ".$bgmax."Kbit prio 5 ".$bg_class_param;
$id = sprintf("%X", $ip + 0x200);
$class_bg_ul = "tc class change dev $EXT_ETH parent 1:15 classid 1:0".$id." htb rate ".$bgrate."Kbit ceil ".$bgceil."Kbit prio 5 ".$bg_ul_class_param;                                                 
$id = sprintf("%X", $ip + 0x300);
$class_int_dl = "tc class change dev $INT_ETH parent 1:20 classid 1:0".$id." htb rate ".$intmin."Kbit ceil ".$intmax."Kbit prio 4 ".$int_class_param;
$id = sprintf("%X", $ip + 0x400);
$class_int_ul = "tc class change dev $EXT_ETH parent 1:25 classid 1:0".$id." htb rate ".$intrate."Kbit ceil ".$intceil."Kbit prio 4 ".$int_ul_class_param;


`$class_bg_ul`;
`$qdisc_bg_ul`;

`$class_int_ul`;
`$qdisc_int_ul`;

`$class_bg_dl`;
`$qdisc_bg_dl`;

`$class_int_dl`;
`$qdisc_int_dl`;

Още един път ти благодаря за помощта така всичко работи перфектно !!

Човек цялата работа беше заради това:
".$int_class_param;
".$bg_class_param;

т.е. cburst-а, за временно ускорение на съответните класове

И в случая коефицентите са махнати както по-горе съм paste-нал скрипта при мен.
Сега остава само да видя къде по скрипта ходят  ".$int_class_param; ".$bg_class_param;, че нещо като ги махна от config.pl и tc.add, tc.change и ми изревава целия firewlall, инъче тествах го ъплоада стига максимални граници и после пада до зададените стойности, след като умре времето на cburst-а.

Благодаря ти много за помощта !!!
Ако някой се сблъска със същия проблем тази тема би му била полезна.

Така ето какво се получи:

Код:

#!/usr/bin/perl

require "config.pl";
require "functions.pl";

if ($#ARGV < 7)
{
    print "Not enough paramters. Stopping  ...\n";
    exit;
}

($ip, $subnet, $bgmin, $bgmax, $intmin, $intmax, $bgrate, $bgceil, $intrate, $intceil) = @ARGV;

if ($subnet < 1)
{
        print "ERROR: Subnet ID must be greater than 0. \n";
        exit;
}


$ip = $ip + 0x400*$subnet;

$id = sprintf("%X", $ip + 0x100);
$class_bg_dl = "tc class add dev $INT_ETH parent 1:10 classid 1:0".$id." htb rate ".$bgmin."Kbit ceil ".$bgmax."Kbit prio 5 $
$qdisc_bg_dl = "tc qdisc add dev $INT_ETH parent 1:0".$id." handle ".$id." sfq perturb 10";
$id = sprintf("%X", $ip + 0x200);
$class_bg_ul = "tc class add dev $EXT_ETH parent 1:15 classid 1:0".$id." htb rate ".$bgrate."Kbit ceil ".$bgceil."Kbit prio $
$qdisc_bg_ul = "tc qdisc add dev $EXT_ETH parent 1:0".$id." handle 0".$id." sfq perturb 10";
                                                       

$id = sprintf("%X", $ip + 0x300);
$class_int_dl = "tc class add dev $INT_ETH parent 1:20 classid 1:0".$id." htb rate ".$intmin."Kbit ceil ".$intmax."Kbit prio$
$qdisc_int_dl = "tc qdisc add dev $INT_ETH parent 1:0".$id." handle ".$id." sfq perturb 10";
$id = sprintf("%X", $ip + 0x400);
$class_int_ul = "tc class add dev $EXT_ETH parent 1:25 classid 1:0".$id." htb rate ".$intrate."Kbit ceil ".$intceil."Kbit pr$
$qdisc_int_ul = "tc qdisc add dev $EXT_ETH parent 1:0".$id." handle ".$id." sfq perturb 10";
        
        
`$class_bg_ul`;
`$qdisc_bg_ul`;

`$class_int_ul`;
`$qdisc_int_ul`;

`$class_bg_dl`;
`$qdisc_bg_dl`;

`$class_int_dl`;
`$qdisc_int_dl`;
                            

Ето и изода от:

Код:

tc class show dev eth0
class htb 1:828 parent 1:25 leaf 828: prio 4 rate 80000bit ceil 160000bit burst 1609b cburst 128Kb 
class htb 1:3 root rate 100000Kbit ceil 100000Kbit burst 14087b cburst 14087b 
class htb 1:15 parent 1:3 rate 5000Kbit ceil 5000Kbit burst 2224b cburst 2224b 
class htb 1:25 parent 1:3 rate 2000Kbit ceil 2000Kbit burst 1849b cburst 1849b 
class htb 1:628 parent 1:15 leaf 628: prio 5 rate 128000bit ceil 256000bit burst 1615b cburst 512Kb 

   

Сега всичко с tc-то си е ОК, но все още няма промяна при upload канала ...пълни си го на max.                                     

Код:

iptables -xvnL -t mangle 
Chain PREROUTING (policy ACCEPT 577228 packets, 471407811 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 2046 packets, 244196 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 574999 packets, 471153080 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
  574996 471152607 MARK       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MARK set 0x1 
  299252 250037560 TRAF_OUT   all  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           
  274401 221046064 TRAF_IN    all  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           
    1342    68943 BG_IN      all  --  eth1   eth1    0.0.0.0/0            0.0.0.0/0           
    1342    68943 BG_OUT     all  --  eth1   eth1    0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 1496 packets, 294648 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 576205 packets, 471407108 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
   20510  1102288 TCPMSS     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU 
    2237   113320 TCPMSS     tcp  --  *      eth1    0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU 
       0        0 TCPMSS     tcp  --  *      eth2    0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU 

Chain BG_IN (2 references)
    pkts      bytes target     prot opt in     out     source               destination         
  182521 215534868 IPMARK     all  --  *      *       0.0.0.0/0            192.168.0.0/24      IPMARK dst ip and 0xff or 0x10500

Chain BG_OUT (2 references)
    pkts      bytes target     prot opt in     out     source               destination         
  135463 63101761 IPMARK     all  --  *      *       192.168.0.0/24       0.0.0.0/0           IPMARK src ip and 0xff or 0x10600

Chain INT_IN (1 references)
    pkts      bytes target     prot opt in     out     source               destination         
   93176  5574977 IPMARK     all  --  *      *       0.0.0.0/0            192.168.0.0/24      IPMARK dst ip and 0xff or 0x10700

Chain INT_OUT (1 references)
    pkts      bytes target     prot opt in     out     source               destination         
  163873 186933733 IPMARK     all  --  *      *       192.168.0.0/24       0.0.0.0/0           IPMARK src ip and 0xff or 0x10800

Chain TRAF_IN (1 references)
    pkts      bytes target     prot opt in     out     source               destination         
  181179 215465925 BG_IN      all  --  *      *       0.0.0.0/0            0.0.0.0/0           set BG_NETS src 
   93176  5574977 INT_IN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           MARK match 0x1 

Chain TRAF_OUT (1 references)
    pkts      bytes target     prot opt in     out     source               destination         
  135359 63094051 BG_OUT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           set BG_NETS dst 
  163874 186935183 INT_OUT    all  --  *      *       0.0.0.0/0            0.0.0.0/0           MARK match 0x1 

BG_DOWNLOAD 3 групи

   1-ва    rate:8000
              ceil:16000

   2-ра   rate:6400 
             ceil:12800

   3-та   rate:6000
            ceil:12000

BG_UPLOAD - 3 групи

   1-ва  rate:256
            ceil:512

   2-ра  rate:160
            ceil:320

   3-та  rate:128
            ceil:256

INT_DOWNLOAD - 3 групи
       
   1-ва  rate: 1600
            ceil: 3200

   2-ра  rate: 1000
            ceil: 2000

   3-та  rate: 880
           ceil: 1760

INT_UPLOAD - 3 групи

   1-ва  rate:100
            ceil:200

   2-ра  rate:80
            ceil:160

   3-та  rate:80
           ceil:160


 Това са - 1-ва , 2-ра и 3-та група с отделен шейп.
   
                     

Не просто експериментирах различни варианти, всичко в моента си е както по скрипта ти, но явно няма да го разнищим тоя проблем.
edit: iptables - t mangle -xvnL ми казва, че през Chain BG_OUT и Chain INT_OUT минават пакети, но все се чудя, защо ceil-а на tc class-a ми на eth0 съответно за BG_OUT и INT_OUT ми е по-голям от rate-a при този вариант с коефицент 1:16 примерно: ./tc.add 40 1 128 2048 256 512 1.16 1.2

tc class show dev eth0
class htb 1:828 parent 1:25 leaf 828: prio 4 rate 256000bit ceil 426000bit burst 1631b cburst 128Kb
class htb 1:3 root rate 100000Kbit ceil 100000Kbit burst 14087b cburst 14087b
class htb 1:15 parent 1:3 rate 5000Kbit ceil 5000Kbit burst 2224b cburst 2224b
class htb 1:25 parent 1:3 rate 2000Kbit ceil 2000Kbit burst 1849b cburst 1849b
class htb 1:628 parent 1:15 leaf 628: prio 5 rate 128000bit ceil 1765Kbit burst 1615b cburst 512Kb

Нали това е въпросния ceil за BG_OUT 1765Kbit по формулата би трябвало да е 2048:16=128.

Ами абсолютно същото е като при IPCLASSIFY версията единстевенното, което съм променил е,че си пограх с тези редове в fw.init
# Local traffic is considered BG
`$ipt -t mangle -A FORWARD -i $INT_ETH -o $EXT_ETH -j BG_IN`;
`$ipt -t mangle -A FORWARD -i $EXT_ETH -o $INT_ETH -j BG_OUT`;

в момента са проемнени от

`$ipt -t mangle -A FORWARD -i $INT_ETH -o $INT_ETH -j BG_IN`;
`$ipt -t mangle -A FORWARD -i $INT_ETH -o $INT_ETH -j BG_OUT`;

и другото е, че взимам сорса с бг мрежите от http://ipacct.com/ просто съм променил update_bgnets да взима мрежите от там, но не вярвам това да е проблем за ъплоад-а

ами...ето и изхода от iptables -nxvL

Chain INPUT (policy ACCEPT 1336 packets, 379182 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy DROP 406 packets, 44044 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
   11270  2333390 ACCEPT     all  --  eth1   eth1    0.0.0.0/0            0.0.0.0/0           
  980051 482959412 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           set FW_192_168_0_0 src
 1152504 1270370619 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           set FW_192_168_0_0 dst

Chain OUTPUT (policy ACCEPT 718 packets, 118846 bytes)
    pkts      bytes target     prot opt in     out     source               destination         



iptables -t mangle -nxvL
Chain PREROUTING (policy ACCEPT 2424957 packets, 1983024149 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 1854 packets, 465085 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 2423093 packets, 1982557215 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
 2423091 1982557123 MARK       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MARK set 0x1
 1111170 563846489 TRAF_OUT   all  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           
 1299002 1416034100 TRAF_IN    all  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           
 1111170 563846489 BG_IN      all  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           
 1299001 1416034060 BG_OUT     all  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 1091 packets, 180824 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 2423699 packets, 1982686689 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
   18420   895916 TCPMSS     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
    7163   346744 TCPMSS     tcp  --  *      eth1    0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
       0        0 TCPMSS     tcp  --  *      eth2    0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU

Chain BG_IN (2 references)
    pkts      bytes target     prot opt in     out     source               destination         
 1210149 1372019291 IPMARK     all  --  *      *       0.0.0.0/0            192.168.0.0/24      IPMARK dst ip and 0xff or 0x10500

Chain BG_OUT (2 references)
    pkts      bytes target     prot opt in     out     source               destination         
  981942 483010166 IPMARK     all  --  *      *       192.168.0.0/24       0.0.0.0/0           IPMARK src ip and 0xff or 0x10600

Chain INT_IN (1 references)
    pkts      bytes target     prot opt in     out     source               destination         
   88836 44011041 IPMARK     all  --  *      *       0.0.0.0/0            192.168.0.0/24      IPMARK dst ip and 0xff or 0x10700

Chain INT_OUT (1 references)
    pkts      bytes target     prot opt in     out     source               destination         
  129185 80826592 IPMARK     all  --  *      *       192.168.0.0/24       0.0.0.0/0           IPMARK src ip and 0xff or 0x10800

Chain TRAF_IN (1 references)
    pkts      bytes target     prot opt in     out     source               destination         
 1210150 1372019340 BG_IN      all  --  *      *       0.0.0.0/0            0.0.0.0/0           set BG_NETS src
   88837 44011090 INT_IN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           MARK match 0x1

Chain TRAF_OUT (1 references)
    pkts      bytes target     prot opt in     out     source               destination         
  981945 483010531 BG_OUT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           set BG_NETS dst
  129190 80827219 INT_OUT    all  --  *      *       0.0.0.0/0            0.0.0.0/0           MARK match 0x1

Какво имаш в предвид дебъга ? резултата от това "iptables -t mangle -nxvL FORWARD" ли. Не съм толкова навътре в материята , ще ме прощаваш ,ако ми кажеш стъпка по-стъпка ще ти paste резултатите ...за вригите в mangle таблицата малко по-горе paste-нах изхода oт iptables -t mangle -n -L.

Ето ги създадените вериги btw: сложих си IPMARK версията

iptables -t mangle -L -n
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
MARK       all  --  0.0.0.0/0            0.0.0.0/0           MARK set 0x1
TRAF_OUT   all  --  0.0.0.0/0            0.0.0.0/0           
TRAF_IN    all  --  0.0.0.0/0            0.0.0.0/0           
BG_IN      all  --  0.0.0.0/0            0.0.0.0/0           
BG_OUT     all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
TCPMSS     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
TCPMSS     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
TCPMSS     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU

Chain BG_IN (2 references)
target     prot opt source               destination         
IPMARK     all  --  0.0.0.0/0            192.168.0.0/24      IPMARK dst ip and 0xff or 0x10500

Chain BG_OUT (2 references)
target     prot opt source               destination         
IPMARK     all  --  192.168.0.0/24       0.0.0.0/0           IPMARK src ip and 0xff or 0x10600

Chain INT_IN (1 references)
target     prot opt source               destination         
IPMARK     all  --  0.0.0.0/0            192.168.0.0/24      IPMARK dst ip and 0xff or 0x10700

Chain INT_OUT (1 references)
target     prot opt source               destination         
IPMARK     all  --  192.168.0.0/24       0.0.0.0/0           IPMARK src ip and 0xff or 0x10800

Chain TRAF_IN (1 references)
target     prot opt source               destination         
BG_IN      all  --  0.0.0.0/0            0.0.0.0/0           set BG_NETS src
INT_IN     all  --  0.0.0.0/0            0.0.0.0/0           MARK match 0x1

Chain TRAF_OUT (1 references)
target     prot opt source               destination         
BG_OUT     all  --  0.0.0.0/0            0.0.0.0/0           set BG_NETS dst
INT_OUT    all  --  0.0.0.0/0            0.0.0.0/0           MARK match 0x1