Forum Debian Users Gang

Punisher999 · 2006-05-03 16:00:25

Witam chciałbym zrobić coś takiego żeby zeby ruch p2p skierowac na osobny fizyczny interfejs który posiada swoje publiczne ip za pomoca ipp2p.
Obecnie moje udostępnienie netu wygląda tak:
$ETH_LAN - eth1 do lanu
$ETH_NET - to eth z netem (eth0)
$ETH_P2P - tu chce sierowc p2p
$IP0X - to ip kolejnych userów
$MAK0X - to mac kolejnych userów
$IP_NET - to pierwszy publiczny ip ruterka
$IP_P2P - to drógi publiczny ip ruterka do p2p

Kod:


iptables -A FORWARD -p udp -m ipp2p --bit --apple --winmx --soul --ares -j DROP
iptables -A FORWARD -p udp -m ipp2p --ipp2p-data -j DROP
iptables -A FORWARD -p udp -m ipp2p --ipp2p -j DROP

# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# polaczenia nawiazane
iptables -A INPUT -p all -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -p all -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -p all -j ACCEPT -m state --state ESTABLISHED,RELATED

#### dla #### puni
iptables -t nat -A POSTROUTING -s 192.168.1.$IP00  -j SNAT --to-source=$IP_NET
iptables -A FORWARD -p tcp -s 192.168.1.$IP00 -m connlimit --connlimit-above $LOW_CONNLIMIT_DOWN -j DROP
iptables -A FORWARD -p tcp -d 192.168.1.$IP00 -m connlimit --connlimit-above $LOW_CONNLIMIT_UP -j DROP
iptables -A FORWARD -m mac --mac-source $MAK00 -s 192.168.1.$IP00 -j ACCEPT
iptables -t mangle -D UPIERDALACZ -s 192.168.1.$IP00 -j MARK --set-mark $IP00 >>/dev/null
iptables -t mangle -A UPIERDALACZ -s 192.168.1.$IP00 -j MARK --set-mark $IP00
iptables -A FORWARD -p tcp --dport 1$IP00 -d 192.168.1.$IP00 -j ACCEPT
iptables -A FORWARD -p udp --dport 1$IP00 -d 192.168.1.$IP00 -j ACCEPT
iptables -A PREROUTING -t nat -p tcp --dport 1$IP00 -j DNAT --to 192.168.1.$IP00:1$IP00
iptables -A PREROUTING -t nat -p udp --dport 1$IP00 -j DNAT --to 192.168.1.$IP00:1$IP00

tc class add dev $ETH_LAN parent 1:2 classid 1:$IP00 htb rate $LOW_GWARANT_DO_USER ceil $LOW_MAX_DO_USER quantum 2 burst 10k prio 4
tc filter add dev $ETH_LAN protocol ip preference 3 parent 1:0 u32 match ip dst 192.168.1.$IP00 flowid 1:$IP00
tc qdisc add dev $ETH_LAN parent 1:$IP00 handle $IP00:0 sfq perturb 10

tc class add dev $ETH_NET parent 1:2 classid 1:$IP00 htb rate $LOW_GWARANT_OD_USER ceil $LOW_MAX_OD_USER quantum 2 burst 20k prio 5
tc filter add dev $ETH_NET protocol ip preference 1 parent 1:0 handle $IP00 fw flowid 1:$IP00
tc qdisc add dev $ETH_NET parent 1:$IP00 handle 1$IP00:0 sfq perturb 10


#### dla #### kwiecien
iptables -t nat -A POSTROUTING -s 192.168.1.$IP01 -j SNAT --to-source=$IP_NET
iptables -A FORWARD -p tcp -s 192.168.1.$IP01 -m connlimit --connlimit-above $LOW_CONNLIMIT_DOWN -j DROP
iptables -A FORWARD -p tcp -d 192.168.1.$IP01 -m connlimit --connlimit-above $LOW_CONNLIMIT_UP -j DROP
iptables -A FORWARD -m mac --mac-source $MAK01 -s 192.168.1.$IP01 -j ACCEPT
iptables -t mangle -D UPIERDALACZ -s 192.168.1.$IP01 -j MARK --set-mark $IP01 >>/dev/null
iptables -t mangle -A UPIERDALACZ -s 192.168.1.$IP01 -j MARK --set-mark $IP01
iptables -A FORWARD -p tcp --dport 1$IP01 -d 192.168.1.$IP01 -j ACCEPT
iptables -A FORWARD -p udp --dport 1$IP01 -d 192.168.1.$IP01 -j ACCEPT
iptables -A PREROUTING -t nat -p tcp --dport 1$IP01 -j DNAT --to 192.168.1.$IP01:1$IP01
iptables -A PREROUTING -t nat -p udp --dport 1$IP01 -j DNAT --to 192.168.1.$IP01:1$IP01

tc class add dev $ETH_LAN parent 1:2 classid 1:$IP01 htb rate $LOW_GWARANT_DO_USER ceil $LOW_MAX_DO_USER quantum 2 burst 10k prio 4
tc filter add dev $ETH_LAN protocol ip preference 3 parent 1:0 u32 match ip dst 192.168.1.$IP01 flowid 1:$IP01
tc qdisc add dev $ETH_LAN parent 1:$IP01 handle $IP01:0 sfq perturb 10

tc class add dev $ETH_NET parent 1:2 classid 1:$IP01 htb rate $LOW_GWARANT_OD_USER ceil $LOW_MAX_OD_USER quantum 2 burst 20k prio 5
tc filter add dev $ETH_NET protocol ip preference 1 parent 1:0 handle $IP01 fw flowid 1:$IP01
tc qdisc add dev $ETH_NET parent 1:$IP01 handle 1$IP01:0 sfq perturb 10

Kąbinowałem na różne sposoby i zawsze coś nie trybi. Nie chce uzywac ( IMQ )

zlyZwierz · 2006-05-03 18:33:47

makabrycznie zagmatwane .... jakby nie można było zwykłego nata postawić :)

Punisher999 · 2006-05-03 18:49:41

Nie rozumiem twojej wypowiedzi

zlyZwierz · 2006-05-03 18:57:03

Tak jak to sobie zaplanowałeś - nie będzie działać.
IPP2P rozposnaje pakiety jako p2p już po nawiązaniu połączenia - nie można go już puścić drugim łączem.

Ustaw jedną bramę domyślną - nią poleci p2p , usługi, które mają iść innym łaczem zamarkuj po portach i puść tym drugim.

http://forum.inet.ll.pl/viewtopic.php?t=594&start=15 (4 posty na dół - przykład dla DSL i POLPAK-a)

Punisher999 · 2006-05-03 19:26:26

Markowanie po portach nie jest satysfakcjonujące, jest cała masa gier które działają na bóg wi jakich portach i połowa programów p2p potrafi działać na porcie 80.
A da sie zamrkowac p2p za pomocą ipp2p?
Da sie ograniczyć ilość połaczeń connlimit-em tez za pomocą ipp2p?

zlyZwierz · 2006-05-03 19:55:26

Nie rozumiesz. Pomarkuj tylko to , co znasz i chcesz pomarkować , a reszte puść przez default gw.

.... z resztą , nie chcesz posłuchać to baw się z ipp2p :)

BTW ipp2p (layer-7) lepiej się spisuje w połączeniu z CONNMARK-iem

Punisher999 · 2006-05-04 19:45:57

Posłucham, posłucham dzieki serdeczne za pomoc.

Forum Debian Users Gang

Ogłoszenie

#1 2006-05-03 16:00:25

Punisher999 - Użytkownik

Kierowanie ruchu p2p na osobny interfejs - jak to zrobić?

Kod:

#2 2006-05-03 18:33:47

zlyZwierz - Moderator

Re: Kierowanie ruchu p2p na osobny interfejs - jak to zrobić?

#3 2006-05-03 18:49:41

Punisher999 - Użytkownik

Re: Kierowanie ruchu p2p na osobny interfejs - jak to zrobić?

#4 2006-05-03 18:57:03

zlyZwierz - Moderator

Re: Kierowanie ruchu p2p na osobny interfejs - jak to zrobić?

#5 2006-05-03 19:26:26

Punisher999 - Użytkownik

Re: Kierowanie ruchu p2p na osobny interfejs - jak to zrobić?

#6 2006-05-03 19:55:26

zlyZwierz - Moderator

Re: Kierowanie ruchu p2p na osobny interfejs - jak to zrobić?

#7 2006-05-04 19:45:57

Punisher999 - Użytkownik

Re: Kierowanie ruchu p2p na osobny interfejs - jak to zrobić?

Stopka forum