htb.init (traffic shapping)

[svaca]

ad1. shaping pro UPLOAD i DOWNLOAD mne funguje.
ad2. jedine co mne nefunguje je htb.init.
ad3. Jak znacit traffic, abych brzdil provoz uzivatel na FTP?
ad4. Clanek jsem cet a IMQ je potreba pokud chci vytvorit virtualni rozhrani. Napr. pokud mam bridge nebo vice rozhrani. Pochopil jsem to dobre?

Ted ja, jestli jsem to pochopil :

ad2) takze htb (ze radky OK) ale samotny htb.init nefunguje ?
ad3) pravdepodobne neni mozne, nebot to jedes asi pasivne a FTP zacne komunikovat na 21 ale pak si otevre RUZNE porty a to asi neushapeujes ....
ad4) ano, ale treba samotne CBQ neumi upload shapping, tak proto si pomahas s IMQ ...

ja se pres htb.init taky neprenesl, fungoval mi download, ale upload ne ...
Pripada mi to tezky a zacal jsem to resit pres TOS priority ..

Ale znovu poukazuji co se pise v napovede htb.initu:

# Remember that you can only control traffic going out of your linux machine.
# If you have a host connected to network and want to control its traffic on
# the gateway in both directions (with respect to the host), you need to setup
# traffic control for that host on both (or all) gateway interfaces.
#

[chinook]

Ted ja, jestli jsem to pochopil :

ad2) takze htb (ze radky OK) ale samotny htb.init nefunguje ?
ad3) pravdepodobne neni mozne, nebot to jedes asi pasivne a FTP zacne komunikovat na 21 ale pak si otevre RUZNE porty a to asi neushapeujes ....
ad4) ano, ale treba samotne CBQ neumi upload shapping, tak proto si pomahas s IMQ ...


#

ad2. radky z druheho postu funguji jak pro upload i download. Jestli jsem shaping pochopil, coz i ty zduraznujes lze shapovat jen odchozi traffic. Tudiz z eth0 shapuji odchozi traffic do internetu a z eth1 shapuji odchozi traffic do LAN. Tudiz shapuji UPLOAD i DOWNLOAD. Kazdopadne mne prijde, ze to funguje.

ad3. Neni zpusob jak rozeznat, ze jde o FTP komunikaci?
Aspon aktivni FTP poznat muzu ne? Prece FTP client zacne posilat prikazy na portu 21 a data na port 20. Takze u aktive klient vybere dynamicky port a posle servru na portu 21 aby se k nemu pripojil na ten dynamicky port, ktery se tam pripoji z portu 20.
Takhle aktivni FTP nepoznam? To mne nefunguje.

iptables -t mangle -A PREROUTING -s x.x.x.x -p tcp --sport 20 -j MARK --set-mark 52

U passive FTP jsou oba porty nahodne?

Jak je to u SMTP? Chci jeste brzdit postovni server. Kdyz odesila server postu pripojuje se opet na port 25?

[svaca]

ad2. radky z druheho postu funguji jak pro upload i download. Jestli jsem shaping pochopil, coz i ty zduraznujes lze shapovat jen odchozi traffic. Tudiz z eth0 shapuji odchozi traffic do internetu a z eth1 shapuji odchozi traffic do LAN. Tudiz shapuji UPLOAD i DOWNLOAD. Kazdopadne mne prijde, ze to funguje.

ad3. Neni zpusob jak rozeznat, ze jde o FTP komunikaci?
Aspon aktivni FTP poznat muzu ne? Prece FTP client zacne posilat prikazy na portu 21 a data na port 20. Takze u aktive klient vybere dynamicky port a posle servru na portu 21 aby se k nemu pripojil na ten dynamicky port, ktery se tam pripoji z portu 20.
Takhle aktivni FTP nepoznam? To mne nefunguje.

U passive FTP jsou oba porty nahodne?

Jak je to u SMTP? Chci jeste brzdit postovni server. Kdyz odesila server postu pripojuje se opet na port 25?

port 25 je OK. tam ti to pojede, veskera Posta MUSI pres 25 ven (a dal se taky na komunikace oteviraji dalsi porty) aktivni FTP nemuzes pozit kvuli symetrickemu natu .. Mas zaplou maskaradu ne ?

ad2) ano tak to fnguje Ale myslel jsem, ze chces shappeovat jen WAN

[chinook]

port 25 je OK. tam ti to pojede, veskera Posta MUSI pres 25 ven (a dal se taky na komunikace oteviraji dalsi porty) aktivni FTP nemuzes pozit kvuli symetrickemu natu .. Mas zaplou maskaradu ne ?

ad2) ano tak to fnguje Ale myslel jsem, ze chces shappeovat jen WAN

ad1) Takze smtp server, kdyz odesila postu ma zdrojovy port 25?
ad2) Maskarada je zapnuta. Kdyz se nekam pripojuji ze site, tak aktivni FTP funguje. FW pozna, ze se jedna o aktivni ftp. Mohl by jsi to lepe vysvetlit?

[svaca]

ad1) Takze smtp server, kdyz odesila postu ma zdrojovy port 25?
ad2) Maskarada je zapnuta. Kdyz se nekam pripojuji ze site, tak aktivni FTP funguje. FW pozna, ze se jedna o aktivni ftp. Mohl by jsi to lepe vysvetlit?

ad1) ano
ad2) to ano to funguje, ale nefungoval by tvuj FTP server, kdyby byl za natem ... ale kdyz ty se pripojujes, tak je to OK ...

nejlepsi vysvetleni je asi tady:

http://www.root.cz/clanky/stavime-firewall-3/

[monsoon]

ad2) to ano to funguje, ale nefungoval by tvuj FTP server, kdyby byl za natem ... ale kdyz ty se pripojujes, tak je to OK ...

Fungovalo by oboje, princip je vlastne uplne stejny. Pokud jsi client za natem a pripojujes se na ftp v aktvnim rezimu a nebo pokud jsi server za natem a nekdo z venku se pripojuje v pasivnim rezimu k tobe, tak u obojiho se datovy kanal sestavuje zvenku na nahodny port, ktery si server-client dohodly v ridicim kanale. Jde jen o to, aby si netfilter tento port odposlechl a prislusne zareagoval.