"Par" otazok ohladom HTB(v praxi)

Takze by som sa xcel konecne odhodlat k spraveniu jednoducheho shapingu na zaklade priorit na nasej sieti. Uz som o tom co to precital, ale v praxi som este nic neskusal. Rad by som si este predtym vyjasnil par veci a tak ;)

Mame linux server - na nom rozhrania eth0(internetove rozhranie) a br0(LAN rozhranie). Pripojenie do internetu DSL 1536 / 256 kbit/s sice agregovane, ale v nasej oblasti sa sprava ako garant :) Zdielame si ho asi 15ti.

Ked chcem shapovat aj download, aj upload - urobim to tak, ze ked dam tc class add dev eth0 - spravim bunku pre download a tc class add dev br0 pre upload?

Aky mam dat vstup pre HTB - vsade sa pise, ze je doporucovane menej - o kolko menej? Moze byt 1436 / 248 ?
Co sa udeje s castou pasma (1536 - 1436 = 100 kbit), o ktoru znizim vstup do HTB - pojde mimo shaperu alebo sa nebude vyuzivat vobec? Co sa stane ak HTB nedostane na vstupe tolko kolko ocakava?

Aky ma zmysel nastavovat burst? napr. burst 2k - docital som sa, ze je to len odchylka od nastavenej rate - aky je default, ked to nenastavim?

Ako dokazem vyclenit(omarkovat) bezny HTTP traffic od stahovania?

Pakety xcem markovat cez iptables ... --set-mark, ale na zistenie objemu trafficu jednotlivych uzivatelov pouzivam ipaccounting(ipac-ng), ktory podla isteho postu v jednom fore tiez funguje na baze markovania - cim sledovat celkovy traffic jednotlivych uzivatelov, aby sa mi nebili markovania?

Bunky by som asi vytvoril nasledovne
VoIp prio 0
Hry prio 1
SSH prio 2
HTTP browsing + DNS prio 3
ostatny traffic prio 4
Ak mate nejake pripomienky - preco sa vam zda toto rozdelenie divne - sem s nimi :)

Aky rate (aj up aj down) by ste dali jednotlivym bunkam - ratam s tym, ze VoIp pouziva iba jeden clovek v danom case a max 3ja, Hry 2 ludia v danom case a max 4, SSH max jeden - aj to iba obcas.
Meranim som zistil, ze
VoIP zerie priblizne 10kBs/10kBs
Hry - mal som moznost iba CSko 4kBs/4kBs - ak by mal niekto nahodene COD2 dajte plz vediet traffic - u nas na sieti sa dost hrava, ale ja to nemam v dohladnej dobe prilezitost zmerat...
SSH - 2kBs/2kBs

Za odpovede a trpezlivost vopred Dik :)

Citace:

---

Původně odeslal andux

Ked chcem shapovat aj download, aj upload - urobim to tak, ze ked dam tc class add dev eth0 - spravim bunku pre download a tc class add dev br0 pre upload?

---

Ne, presne opacne, shpovat muzes vzdy pouze upload.

Citace:

---

Aky mam dat vstup pre HTB - vsade sa pise, ze je doporucovane menej - o kolko menej? Moze byt 1436 / 248 ?

---

248 je IMO moc, musis dat min, je treba to otestovat, nech aspon 20 - 30 kbit (obecne kolem 10%)

Citace:

---

Co sa udeje s castou pasma (1536 - 1436 = 100 kbit), o ktoru znizim vstup do HTB - pojde mimo shaperu alebo sa nebude vyuzivat vobec?

---

Bude se vyuzivat pri narazech, nez staci shaper zareagovat a dela se to kvuli latenci. Pri konstatnim down/up se vyuzivat nebude.

Citace:

---

Co sa stane ak HTB nedostane na vstupe tolko kolko ocakava?

---

Proste to prestane fungovat.

Citace:

---

Aky ma zmysel nastavovat burst? napr. burst 2k - docital som sa, ze je to len odchylka od nastavenej rate - aky je default, ked to nenastavim?

---

Burst = kolik dat dovoli shaper stahnout nez omezi rychlost. Nastaveni zalezi na milionu ruznych veci, treba to otestovat.

Citace:

---

Ako dokazem vyclenit(omarkovat) bezny HTTP traffic od stahovania?

---

Snadno, podle zdrojovyho portu, to umi shaper primo, nemusis nic markovat.

Citace:

---

Pakety xcem markovat cez iptables ... --set-mark, ale na zistenie objemu trafficu jednotlivych uzivatelov pouzivam ipaccounting(ipac-ng), ktory podla isteho postu v jednom fore tiez funguje na baze markovania - cim sledovat celkovy traffic jednotlivych uzivatelov, aby sa mi nebili markovania?

---

Markovat potrebujes vyhradne odchozi traffic, pokud pouzivas NAT, prichozi markovat netreba, shaper ma filtry svoje.

Citace:

---

Bunky by som asi vytvoril nasledovne
VoIp prio 0
Hry prio 1
SSH prio 2
HTTP browsing + DNS prio 3
ostatny traffic prio 4
Ak mate nejake pripomienky - preco sa vam zda toto rozdelenie divne - sem s nimi :)

---

Neni lepsi dat pasmo podle IP/poplatku a o zbytek se nestarat ? Takhle sice zajistis to, ze kdyz bude nekdo stahovat,t ak bude moct zaroven trebas gamesit, ale to je knicemu a moc prace.

BTW: Prio vubec neurcuje kdo dostane pasmo prioritne, ale kdo dostane prioritne pasmo nad to, ktery ma prideleny

Citace:

---

Aky rate (aj up aj down) by ste dali jednotlivym bunkam - ratam s tym, ze VoIp pouziva iba jeden clovek v danom case a max 3ja, Hry 2 ludia v danom case a max 4, SSH max jeden - aj to iba obcas.
Meranim som zistil, ze
VoIP zerie priblizne 10kBs/10kBs
Hry - mal som moznost iba CSko 4kBs/4kBs - ak by mal niekto nahodene COD2 dajte plz vediet traffic - u nas na sieti sa dost hrava, ale ja to nemam v dohladnej dobe prilezitost zmerat...
SSH - 2kBs/2kBs

Za odpovede a trpezlivost vopred Dik :)

---

Jop, zkus search, najdes tu urcite par threadu o HTB.

Citace:

---

Původně odeslal Jezevec

248 je IMO moc, musis dat min, je treba to otestovat, nech aspon 20 - 30 kbit (obecne kolem 10%)

---

Oki, dam teda 230 - je nejaka finta na to ako to testit - ci to mam proste iba zatazit a sledovat ci mi nevyskocia latencie?

Citace:

---

Původně odeslal Jezevec

Citace:
Ako dokazem vyclenit(omarkovat) bezny HTTP traffic od stahovania?

Snadno, podle zdrojovyho portu, to umi shaper primo, nemusis nic markovat.

---

Myslel som to tak, ze vyclenit HTTP traffic od HTTP stahovania - tj traffic, ktory ide cez rovnaky port, ale napr. do 1M bude v inej skupine ako vacsi traffic.

BTW markovat budem tak ci tak, lebo budem pouzivat l7-filter na vyclenenie hier a p2p...

Citace:

---

Původně odeslal Jezevec

Neni lepsi dat pasmo podle IP/poplatku a o zbytek se nestarat ? Takhle sice zajistis to, ze kdyz bude nekdo stahovat,t ak bude moct zaroven trebas gamesit, ale to je knicemu a moc prace.

---

My si iba zdielame DSLko cize sme rovnocenni a spravame sa zatial slusne. Mne ide iba o to, aby niekomu nezacalo lagovat CSko, ked si nahodou niekto taha nejaky subor. Nexcem vobec shapovat podla IP - iba podla protokolu - tj. aby bol celkovy napr. CS traffic uprednostnovany pred ostatnym(je jedno z akej IP ide).

Citace:

---

Původně odeslal andux

Myslel som to tak, ze vyclenit HTTP traffic od HTTP stahovania - tj traffic, ktory ide cez rovnaky port, ale napr. do 1M bude v inej skupine ako vacsi traffic.

---

Teraz ma napadlo, ze to by sa dalo spachat asi cez ten burst...

Citace:

---

Původně odeslal andux

My si iba zdielame DSLko cize sme rovnocenni a spravame sa zatial slusne. Mne ide iba o to, aby niekomu nezacalo lagovat CSko, ked si nahodou niekto taha nejaky subor. Nexcem vobec shapovat podla IP - iba podla protokolu - tj. aby bol celkovy napr. CS traffic uprednostnovany pred ostatnym(je jedno z akej IP ide).

---

No dyk, jednoduse rozhodis traffic podle IP a kdyz bude nekdo hrat, tak nemuze zaroven logicky stahovat. Pouzivat l7 filtry je naprosto zbytecny. Latenci vyresis prave tim, ze nechas rezervu, hra se ti chova jako trvalej malej traffic a protoze se vpohode vejde do toho, co pridelis dany IP, tak to pasmo dotycnej dostane vzdy.

kazdymu nastavis 90kbit => 15x 90 = 1350, na koren nastavis trebas 1450 ,zbytek mas jako rezervu. Povolis ziskavani volny kapacity a mas celej shaping vyresenej. Resit protokoly ma smysl v pripade, ze mas radove vic kompu na relativne pomaly lince => nemuzes pridelovat 1b/s jednomu kompu => vyresis to priorizaci protokolu.

kdyz to udelas jak rikam, tak v okamziku kdy se dotycnej pripojuje, veme se pasmo z ty rezervy (pokud nekdo sosa => je vyuzity pasmo 1450). Jakmile shaper zareaguje, tak sosacovi uzme cast pasma ve prospech gamesnika. Na latencich to vubec nepoznas a sosac sosa vesele dal. Co vic, nemusis vymejslet kolo, stahni si htbinit script. Jak na to tu najdes jinde, popisoval sem to dost podrobne.

Oki - asi si ma ukecal :) Akurat to skusam - moze byt htb zavesene aj na bridgi? Lebo na eth0 - tj upload mi to shapi a down br0(to je bridge eth1 eth2) ee :\

Takze cez br0 mi to nejde - iba osobitne eth1, eth2... Momentalne som objavil dost zaujimavu vecicku http://www.mastershaper.org/tiki-index.php ! Myslim, ze to stoji za pozretie...

Citace:

---

Původně odeslal andux

Takze cez br0 mi to nejde - iba osobitne eth1, eth2... Momentalne som objavil dost zaujimavu vecicku http://www.mastershaper.org/tiki-index.php ! Myslim, ze to stoji za pozretie...

---

No nevim, davat na router php, mysql, apache jen kvuli tomu, abys moh naklikat shaping, to mi prijde ponekud ... .

http://4um.ocguru.cz/showthread.php?...hlight=HTBINIT

doufam ze nebude vadit kdyz se sem trosku "prifarim" :D

dejme tomu ze mam k dispozici X Mbit linku a budu ji chtit poskytovat Y lidem (tj. min. X/Y kbit pro kazdeho)

nekolik uzivatelu soucasne bude v jednom okamziku neco delat napr. par jich bude stahovat pomoci bittorrentu par jich bude neco parit

lze spolehlive docilit situace kdy ping hracu nebude znatelne ovlivnovat aktivita stahovacu? nebo to napr. nebude ovlivnovat nekoho kdo zrovna vola pres skype?

nechci presny postup jen odpoved jestli bude nejaky zpusob 100%-ne fungovat nebo ne :)

Ano, bude to fungovat. Akorat to musis nastavi ne jako X/Y, ale trebas 0,9 * (X/Y).

Citace:

---

Původně odeslal Jezevec

Ano, bude to fungovat. Akorat to musis nastavi ne jako X/Y, ale trebas 0,9 * (X/Y).

---

ok diky... mne slo hlavne o to ze kdyz budu mit vysoke pingy tak aby se provider nemohl vymlouvat ze je to kvuli nekomu kdo stahuje

Pokud ti ISP prodava garantovanou konektivitu, tak ti latence vzroste az v okamziku, kdy tu linku zacnes zdimat na maximum.

Citace:

---

Původně odeslal Opty

ok diky... mne slo hlavne o to ze kdyz budu mit vysoke pingy tak aby se provider nemohl vymlouvat ze je to kvuli nekomu kdo stahuje

---

Zalezi i na HW ISP, ja jsem sveho casu natvrdo na naseho ISP zatlacil, aby nas z IBM PC routeru prehodil na CISCO, od te doby mame po problemu s latenci i pri velkem vytizeni linky.

Citace:

---

Původně odeslal hwsoft

Zalezi i na HW ISP, ja jsem sveho casu natvrdo na naseho ISP zatlacil, aby nas z IBM PC routeru prehodil na CISCO, od te doby mame po problemu s latenci i pri velkem vytizeni linky.

---

to vim... ale i dobry hw muze byt spatne nastaven :)

Nakoniec budem predsa vyuzivat aj ten l7-filter. Existuje nejaka distribucia, ktorej sucastou je l7-filter(najlepsie debian-based)? Snazil som sa sam patchnut kernel, ale ked som to asi po 6tich pokusoch(kazda kompilacia cca 4hodiny :)) nerozchodil, tak by som radsej bral nejaku hotovu distro - lebo som uz na pokraji nervoveho zrutenia :D

To si ako a na com kompiloval? :o Na notebooku dnes kompilujem uz 18-tu verziu jadra (lebo debugujem) - ked sa robia len male zmeny, tak sa kompiluju len zmenene casti.
BTW. Patchovat musis verziu, pre ktoru je patch urceny a postupom, ktory je urcite v nejakej dokumentacii k tomu patchu (ak nie, tak asi "cd /usr/src/linux-blabla" a "patch -p1 <patchfile").

Kompilujem to na VIA C3 Samual 2. Patchnute je to v pohode - inak by sa mi v menuconfigu ani neobjavila polozka Layer7 support. Mne to vzdy zastane na uplne nezmyselnych veciach ako podpora USB a pod. Raz sa mi to uz podarilo skompilovat v poho(som skoro vsetko povypinal - aj to co som nevedel co je :D ) Ale iptables mi zacalo hadzat pri pouziti -m l7 .... Unknown error a nejake nezmyselne cislo....

Je dost velka pravdepodobnost, ze bude problem niekde medzi stolickou a klavesnicou, kedze nie som ziadny linux guru a kernel sa snazim skompilovat po prvy krat...

Moj postup je(linux mam Ubuntu Dapper Server Ed):
apt-get source linux-image-....
patchnem
.config skopcim stary z /boot
make menuconfig - zapnem podporu l7

fakeroot make-kpkg --append-to-version=.181004 kernel_image --initrd binary

ked mi vyhodi error - zakazdym dam
make clean
make menuconfig (skusim vyhodit to, kde mi to vyhodilo error)
...
...

Ako sa da iba nieco ciastkovo dokompilovat? Ked chcem napr. pridat tu spominanu l7 podporu, nemusim kompilovat cele jadro od zaciatku, ale da sa to iba nejako dokompilovat?

Prosim o strpenie :) kazdy raz s tym ne/stastnym linuxom nejako zacinal :P

.config si skopiruj ten, ktory pouzivas (takze si over, ze ten v /boot je aktualny). Potom daj "make oldconfig" - to sa ta spyta na vsetky volby, ktore su v jadre nove oproti tomu .configu.
Potom to patchni, "make menuconfig" a nastav (alebo to mozes patchnut aj predtym a "make oldconfig" sa ta spyta aj na tieto nove veci).
Nakoniec to skompilujes - "make", pripadne este "make modules". Instaluje sa "make install" a "make modules_install" - len neviem, ako sa ta instalacia v ubuntu sprava.
Zasada je nepouzivat "make clean" - tym zmazes vsetko, co uz bolo skompilovane, takze sa to musi robit cele znovu. Errory pri kompilacii by nemali byt nikdy bez ohladu, co tam nastavis

A opatchoval si i ty iptables ? Kompilujes to primo do jadra nebo jako modul ?

BTW: pokud nemas dalsi tuxlike system s rychlejsim CPU, tak mrkni sem

http://gentoo-wiki.com/HOWTO_Distcc_server_on_Windows

Jde o distribuovanou kompilaci, cim vic stroju, tim rychlejsi. Tuxi distro by to melo mit v nejakym balicku (distcc). Na 2GHz AMD se kernel kompajli tak 1/2 hodky pokud jde cistej. V pripade zmen uz jen minuty.

To je nejako dlho, nie? Moj Celeron @1,3GHz to mal za 10 minut hotove.

Mluvis o kernelu 2.6 se vsema modulama ?

Patchol som aj iptables... L7 support ide dat iba ako M...
Akurat idem spustit memtest a podobne testy, lebo nie je mozne, aby mi kompilacia jadra skoncila zakazdym s inym errorom s rovnakym configom.

Tu distribuovanu kompilaciu skusim (mam tu este NB 1,6GHz Centrino a Sempron 64 @ 2600MHz :))...

Tak po 1h 8m mi vyhodil memtest jednu chybicku :mad: :(

Citace:

---

Původně odeslal Rainbow

To je nejako dlho, nie? Moj Celeron @1,3GHz to mal za 10 minut hotove.

---

a64@1GHz -- cca 1 hodina (i s moduly... lehce upraveny distribucni config)

Citace:

---

Původně odeslal Jezevec

Mluvis o kernelu 2.6 se vsema modulama ?

---

Aha, tak to nie. Vsetko, co nepotrebujem, som vyhadzal.