htb.init (traffic shapping)

[chinook]

Traffic shaping jsem vyresil takto.
Pro upload

tc qdisc del dev eth0 root

###upload
tc qdisc add dev eth0 root handle 1:0 htb default 9999

#nastaveni rychlosti linky
tc class add dev eth0 parent 1:0 classid 1:1 htb rate $RATE

#rozdeleni pro jednotlive usery
#SKUPINA 1 (uctarna + reditel)
tc class add dev eth0 parent 1:1 classid 1:11 htb rate $SKUPINA ceil $CEIL prio 5
#podskupina 1
tc class add dev eth0 parent 1:11 classid 1:111 htb rate $PODSKUPINA1 ceil $CEIL

#naveseni qdiscu
tc qdisc add dev eth0 parent 1:111 handle 111:0 sfq perturb 5

iptables -t mangle -F PREROUTING

#oznaceni podle jednotlivych IP adres SKUPINA 1
iptables -t mangle -A PREROUTING -s 192.168.120.155 -j MARK --set-mark 11

#FTP Port mode
#iptables -t mangle -A PREROUTING -s 192.168.120.5 -p tcp --sport 20 -j MARK --set-mark 52




## Následne filtrujeme pomocí fwmarku (handle 1 = znacka 1, fw = fwmark)
tc filter add dev eth0 parent 1:0 protocol ip handle 11 fw flowid 1:111

Proc htb.init nefunguje jsem nezjistil.

K dispozici jsem dal jen cast skriptu, jelikoz se zbytek opakuje. Vse funguje, ale nedari se mne brzdit ftp upload a smtp. Vi nekdo co tam je spatne? Myslel jsem, ze aspon aktivni ftp to bude brzdit.

iptables -t mangle -A PREROUTING -s 192.168.120.5 -p tcp --sport 20 -j MARK --set-mark 52

Pro download to je hodne podobne. Pro zajemce muzu dat kompletni skript.

Ps. Opravte nekde nazev clanku. shapping na shaping (melo by tam byt jedno p)

[svaca]

Tohle ti nebude fungovat ...

1. potrebujes HTB s IMQ pro RIZENI upload a downlodad ...
2. je to popsane i primo v HTB skriptu:
3. VIZ dole ....

http://www.abclinuxu.cz/clanky/site/...od-do-shapingu

dalsi info tady: # TRIVIAL EXAMPLE
# ---------------
#
# Consider the following example:
# (taken from Linux Advanced Routing & Traffic Control HOWTO)
#
# You have a Linux server with total of 5Mbit available bandwidth. On this
# machine, you want to limit webserver traffic to 5Mbit, SMTP traffic to 3Mbit
# and everything else (unclassified traffic) to 1Kbit. In case there is unused
# bandwidth, you want to share it between SMTP and unclassified traffic.
#
# The "total bandwidth" implies one top-level class with maximum bandwidth
# of 5Mbit. Under the top-level class, there are three child classes.
#
# First, the class for webserver traffic is allowed to use 5Mbit of bandwidth.
#
# Second, the class for SMTP traffic is allowed to use 3Mbit of bandwidth and
# if there is unused bandwidth left, it can use it but must not exceed 5Mbit
# in total.
#
# And finally third, the class for unclassified traffic is allowed to use
# 1Kbit of bandwidth and borrow unused bandwith, but must not exceed 5Mbit.
#
# If there is demand in all classes, each of them gets share of bandwidth
# proportional to its default rate. If there unused is bandwidth left, they
# (again) get share proportional to their default rate.
#
# Configuration files for this scenario:
# ---------------------------------------------------------------------------
# eth0 eth0-2.root eth0-2:10.www eth0-2:20.smtp eth0-2:30.dfl
# ---- ----------- ------------- -------------- -------------
# DEFAULT=30 RATE=5Mbit RATE=5Mbit RATE=3Mbit RATE=1Kbit
# BURST=15k BURST=15k CEIL=5Mbit CEIL=5Mbit
# LEAF=sfq BURST=15k BURST=15k
# RULE=*:80, LEAF=sfq LEAF=sfq
# RULE=*:25
# ---------------------------------------------------------------------------
#
# Remember that you can only control traffic going out of your linux machine.
# If you have a host connected to network and want to control its traffic on
# the gateway in both directions (with respect to the host), you need to setup
# traffic control for that host on both (or all) gateway interfaces.
#
# Enjoy.
#

[chinook]

Tohle ti nebude fungovat ...

1. potrebujes HTB s IMQ pro RIZENI upload a downlodad ...
2. je to popsane i primo v HTB skriptu:
3. VIZ dole ....

#

ad1. shaping pro UPLOAD i DOWNLOAD mne funguje.
ad2. jedine co mne nefunguje je htb.init.
ad3. Jak znacit traffic, abych brzdil provoz uzivatel na FTP?
ad4. Clanek jsem cet a IMQ je potreba pokud chci vytvorit virtualni rozhrani. Napr. pokud mam bridge nebo vice rozhrani. Pochopil jsem to dobre?

[svaca]

ad1. shaping pro UPLOAD i DOWNLOAD mne funguje.
ad2. jedine co mne nefunguje je htb.init.
ad3. Jak znacit traffic, abych brzdil provoz uzivatel na FTP?
ad4. Clanek jsem cet a IMQ je potreba pokud chci vytvorit virtualni rozhrani. Napr. pokud mam bridge nebo vice rozhrani. Pochopil jsem to dobre?

Ted ja, jestli jsem to pochopil :

ad2) takze htb (ze radky OK) ale samotny htb.init nefunguje ?
ad3) pravdepodobne neni mozne, nebot to jedes asi pasivne a FTP zacne komunikovat na 21 ale pak si otevre RUZNE porty a to asi neushapeujes ....
ad4) ano, ale treba samotne CBQ neumi upload shapping, tak proto si pomahas s IMQ ...

ja se pres htb.init taky neprenesl, fungoval mi download, ale upload ne ...
Pripada mi to tezky a zacal jsem to resit pres TOS priority ..

Ale znovu poukazuji co se pise v napovede htb.initu:

# Remember that you can only control traffic going out of your linux machine.
# If you have a host connected to network and want to control its traffic on
# the gateway in both directions (with respect to the host), you need to setup
# traffic control for that host on both (or all) gateway interfaces.
#

[chinook]

Ted ja, jestli jsem to pochopil :

ad2) takze htb (ze radky OK) ale samotny htb.init nefunguje ?
ad3) pravdepodobne neni mozne, nebot to jedes asi pasivne a FTP zacne komunikovat na 21 ale pak si otevre RUZNE porty a to asi neushapeujes ....
ad4) ano, ale treba samotne CBQ neumi upload shapping, tak proto si pomahas s IMQ ...


#

ad2. radky z druheho postu funguji jak pro upload i download. Jestli jsem shaping pochopil, coz i ty zduraznujes lze shapovat jen odchozi traffic. Tudiz z eth0 shapuji odchozi traffic do internetu a z eth1 shapuji odchozi traffic do LAN. Tudiz shapuji UPLOAD i DOWNLOAD. Kazdopadne mne prijde, ze to funguje.

ad3. Neni zpusob jak rozeznat, ze jde o FTP komunikaci?
Aspon aktivni FTP poznat muzu ne? Prece FTP client zacne posilat prikazy na portu 21 a data na port 20. Takze u aktive klient vybere dynamicky port a posle servru na portu 21 aby se k nemu pripojil na ten dynamicky port, ktery se tam pripoji z portu 20.
Takhle aktivni FTP nepoznam? To mne nefunguje.

iptables -t mangle -A PREROUTING -s x.x.x.x -p tcp --sport 20 -j MARK --set-mark 52

U passive FTP jsou oba porty nahodne?

Jak je to u SMTP? Chci jeste brzdit postovni server. Kdyz odesila server postu pripojuje se opet na port 25?

[svaca]

ad2. radky z druheho postu funguji jak pro upload i download. Jestli jsem shaping pochopil, coz i ty zduraznujes lze shapovat jen odchozi traffic. Tudiz z eth0 shapuji odchozi traffic do internetu a z eth1 shapuji odchozi traffic do LAN. Tudiz shapuji UPLOAD i DOWNLOAD. Kazdopadne mne prijde, ze to funguje.

ad3. Neni zpusob jak rozeznat, ze jde o FTP komunikaci?
Aspon aktivni FTP poznat muzu ne? Prece FTP client zacne posilat prikazy na portu 21 a data na port 20. Takze u aktive klient vybere dynamicky port a posle servru na portu 21 aby se k nemu pripojil na ten dynamicky port, ktery se tam pripoji z portu 20.
Takhle aktivni FTP nepoznam? To mne nefunguje.

U passive FTP jsou oba porty nahodne?

Jak je to u SMTP? Chci jeste brzdit postovni server. Kdyz odesila server postu pripojuje se opet na port 25?

port 25 je OK. tam ti to pojede, veskera Posta MUSI pres 25 ven (a dal se taky na komunikace oteviraji dalsi porty) aktivni FTP nemuzes pozit kvuli symetrickemu natu .. Mas zaplou maskaradu ne ?

ad2) ano tak to fnguje Ale myslel jsem, ze chces shappeovat jen WAN

[chinook]

port 25 je OK. tam ti to pojede, veskera Posta MUSI pres 25 ven (a dal se taky na komunikace oteviraji dalsi porty) aktivni FTP nemuzes pozit kvuli symetrickemu natu .. Mas zaplou maskaradu ne ?

ad2) ano tak to fnguje Ale myslel jsem, ze chces shappeovat jen WAN

ad1) Takze smtp server, kdyz odesila postu ma zdrojovy port 25?
ad2) Maskarada je zapnuta. Kdyz se nekam pripojuji ze site, tak aktivni FTP funguje. FW pozna, ze se jedna o aktivni ftp. Mohl by jsi to lepe vysvetlit?