QoS a jak ho aplikovat

[KUBA]

Rozhodl jsem se na své internetové bráně rozjet shapping. Chci k tomu kvůli jednoduchosti používat skriptík cbq.init.

Mám v routeru dvě rozhraní eth0 a eth1, přičemž na eth0 je internet (veřejná adresa) a na eth1 je 10.112.1.1 . Beží tam NAT.

CBQ chodí, ale zatím se mi podařilo správně shapovat jen na eth1, což sice zpomalí stahování z netu, ale taky zároveň přístup na router, což není žádoucí. Otázka je jak to udělat, abych mohl kontrolovat využití linky do inetu a zároveň zajistit všem plný přístup na router (jako krajní řešení by bylo přidat ještě jedno "vnitřní rozhraní", ale to se mi moc nelíbí. Moje konfigurace vypadá takhle:

DEVICE=eth1,10Mbit,1Mbit
RATE=128Kbit
WEIGHT=12Kbit
PRIO=5
RULE=10.112.1.0/24

takhle to funguje suprově přesně 16 kB/s, ale pokud místo eth0 dám eth1, tak inet jede 120 kB/s


A ještě jedna věc. Chtěl bych na začátku nastavit priority podle protokolů - tedy třeba SSH a nějaký herní porty budou mít nejvyšší prioritu, mail a web o něco vyšší a DC a podobný sosače tu nejnižší. A až potom dělat rozdělování pásma pro uživatele.

OK, asi bych udělal jednu hlavní třídu, která by rozhodovala o prioritě podle portu a ta by měla děti, což by byli uživatelé. Ale jak na to?

hlavní třída:

DEVICE=eth0,10Mbit,1Mbit
RATE=1024Kbit
WEIGHT=100Kbit
RULE=10.112.0.0/16

RULE=10.112.0.0/16:22
PRIO=1

RULE=10.112.0.0/16:80
PRIO=4

RULE=10.112.0.0/16:21
PRIO=7


šlo by to takhle?



Jinak adresa na cbq.init http://sourceforge.net/projects/cbqinit/

[Lopan]

Zkus se podivat na FAQ tady v sitich je tam odkaz na shaper. Jinak ja budu delat shapovani za tyden, takze pak muzu napsat jak jsem to resil.

[KUBA]

No to mi moc nepomůže, potřeboval bych spíš někoho, kdo má praktický zkušenosti s timhle nebo podobnejma skriptíkama. Chci cbq.init použít kvůli lenosti, abych nemusel zapisovat tc... ručně .

[Glottis]

hledej na linuxzone.cz je tam prikald ukazkovy, rizeni podle protokolu a pak na to analogicky navesis klienty. je tam i to neomezovani prutoku na server. mam to doma podobne a funguje to akora t ze to prenos na servr omezuje, a to na 1Mb :/ ikdyz nechapu proc. tak se tam mrkni

[Jezevec]

Jednoduchy, vytvor si tridu jen pro provoz z routeru.

Tusim RULE=10.112.1.1, = veskery pakety se zdrojovou IP routeru.
BACHA !!! Tohle MUSI byt prvni trida (soubor s nejmensim cislem) paac jinak ti tenhle provoz spadne jinam. (napriklad provoz z inetu nejspis delas podle cilovy IP = spad by ti tam i provoz z routeru)

Rozdelovani podle portu jde, ale pri vetsim poctu useru ti vznikne strasnej bordel.

[KUBA]

Tak jaký máte doporučení, když chci priorizovat určitý protokoly a zároveň spravedlivě rozdělovat pásmo. Userů je požehnaně.

[Fox!MURDER]

Tak jaký máte doporučení, když chci priorizovat určitý protokoly a zároveň spravedlivě rozdělovat pásmo. Userů je požehnaně.

neni CBQ obsolete? mel jsem za to ze uz se pouziva HTB ... i kdyz ja o tom prd vim ... ja mam svoje zlaty

Kód:

ipfw pipe 1 config bw 64kbps

na ktery nedam dopustit

[Glottis]

proste takto

jedna trida s nejvisi prioritou bude local provoz na server bez shejpy

dalsi bude hlavni inet, ten ozdelis na tridy podle portu. nejvic dostane ten co ches nejvic prioritizovat. a na kazdoutuhle tridu povesis vsechny uzivatele. takze pokud budes mit rekneme 5 trid podle portu, 10 useru tak hned tam mas 50 trid/souboru v cbq plus nejake drobne jako root trida a localtraffic

jinak cbq urcite jeste pase nejsou, zas tak moc od htb se nelisej, ale kdyz to napises rovnu pres htb budes to mit asi lepsi, aspon nam pak poradis na htb take existuje htb.init . ma to prakticky i stejnou strukturu jako cbq.init

[KUBA]

OK, tak ted koukam na htb.init a je to to samy, tak jsem zvedavej co s tim pude udelat. Chtel bych shapovat i upload, ale to uz by bylo na me asi moc .

[Lopan]

Jde u THB/CQB rozdelit rychlost jinak nez podle IP? Protoze tam budu mit DHCP, tak jejich IP se muze menit. To bych pak musel napevno nastavit kazdemu uzivateli v dhcp.conf IP podle jeho MAC a to me nepripada jako elegantni reseni.

EDIT: pokud chapu spravne princip, tak budu omezovat upload/download podle sitovky? Kdyz mam dve sitovky eth0 spojena s netem a eth1 spojena s LANem, tak download upravim na eth0 a upload na eth1?

[Glottis]

muzes to zabezpecit to dhcp tim ze budes znackovat packety podle mac pokud to iptables umi. jnak mas smulu, kazdopadne stejne pokazde budes potrebovat mac takze uz to muzes rovnou napst do dhcp.

poukud je eth0 inet a eth1 net tak down se dela na eth1 a up na eth0 ale stim ze to nejde pokud tam je maskarada, pak musis znackvat packety a jet podle znacek

[Lopan]

maskarada tam je, to znackovani paketu je co zac?

[Glottis]

da se proste packetu flag, se to dela pres ipchains nebo iptables. nejspis parametr -m jako MARK a dava se tom nejake cilo takze udelas nejaka pravidla treba pro jednotlive ip a to co prtes ne projde dostane znacku talze to pak muzes sejpovat i na eth0 strane podle tech znacek, protoze puvodni ip se po natu nezachovava

[Jezevec]

Pro vsechny: uz se to tu probiralo, omezovat jede vzdy POUZE upload na prislusnym rozhrani. Takze kdyz chci omezit down, tak vlastne omezuju up na vnitrnim rozhrani.

DHPC s dynamickym pridelovanim IP je IMO kravina, mas pak bordel, nevis ci ktera IP je a kdyz ti nekdo zacne delat nejaky kraviny na siti, bude se to blbejc hledat, paac logy jsou vetsinou s IP a ne s MAC. Ten jeden radek kazdymu napsat uz te nezabije. Tohle ma cenu tam, kde ti chodej lidi s cizejma kompama a potrebujes aby dostali IP.

Znackovani je vpohode - man iptables - mark. Dobry je dat tam treba posledni cislo IP, abys pak nemusel zkoumat komu si co dal. Ta znacka se zachova i po zmene zdrojovy IP a ty pak misto RULE pouzijes MARK.

[Lopan]

Diky, ja jsem byl vcera nejaky pretazeny ze jsem si to znackovani nespojil s mark v iptables a v manualu k htb jsem si transmit nejak zahadne precetl jako receive. Ono by to teoreticky podle toho jak to funguje ani jinak neslo.

[Lopan]

Kdy se ujme shapovani HTB? Pokud to chapu spravne tak bych mel menit mark v mangle tabulce na preroutingu a postroutingu?


EDIT: cele zeditovano, jsem si poradne precetl par veci, asi bych mel vic spat

[Tranceman]

No ja sem delal shapovaci script pro nas LBC-Freenet a shapovani netu funguje na PREROUTINGU i na FORWARDU uplne stejne..
Na ostatnich jako POSTROUTING, INPUT, OUTPUT mi to nejelo.. teda pokud pouzivam iptables -t mangle kvuli MARKovani ( -t nat sem nezkousel).

Chce to poradne otestovat a pohrat si s tim..:o)

[Lopan]

Diky, zkusim to nastavit na FORWARDu.

[Jezevec]

Diky, zkusim to nastavit na FORWARDu.

Na forwardu ne, to je fuj (ne ze by to nefakalo). Markovani v PREROUTINGu , tabulka mangle, tam to patri.

[KUBA]

No ja sem delal shapovaci script pro nas LBC-Freenet a shapovani netu funguje na PREROUTINGU i na FORWARDU uplne stejne..
Na ostatnich jako POSTROUTING, INPUT, OUTPUT mi to nejelo.. teda pokud pouzivam iptables -t mangle kvuli MARKovani ( -t nat sem nezkousel).

Chce to poradne otestovat a pohrat si s tim..)

Nechceš ho sem hodit? Koukal jsem, že už si se tady na to ptal, ale výsledek snažení už si tam nedopsal.. Když tam máš dvě rozhraní, tak to funguje i na NAT?

[Jezevec]

Jen takova pripominka, kdyz pozadate vsemocny search, ciste teoreticky by vam mel najit thready, kde jsem postoval kompletni konfiguraci NAT + HTB/CBQ (celkem fuk, ted uz nevim) + samo markovani paketu.

Pro ty linejsi

http://www.overclocking.cz/4um/viewt...=iptables+mark
http://www.overclocking.cz/4um/viewt...=iptables+mark

[Tranceman]

Diky, zkusim to nastavit na FORWARDu.

Na forwardu ne, to je fuj (ne ze by to nefakalo). Markovani v PREROUTINGu , tabulka mangle, tam to patri.

Ovsem jak sem zjistil, tak mi to na PREROUTINGU nekdy nefaka.. Jednalo se o traffic na netc2. Pritom netcs2 je pater z druheho AP a linka do netu je na primarnim routeru eth0. Musel sem tam dat POSTROUTING...nic jineho nejelo..

Ten FORWARD sem zminoval jen jako funkcni moznost.. Obecne pouzivam PREROUTING.

(Primarni router - netcs0 pater pro 3 AP, netcs1 vsesmerova antena, netcs2 dalsi pater, eth0 internet, eth1 ethernetovej switch pro mistni pripojeni)