Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2009-01-16 17:41:50
Outlaw - 
Użytkownik
SKrypt firewall'a
Chce napiać sobie nowy firewall do sieci. Zastanawiam się czy HTB czy HFSC? Macie jakieś doświadczenia? Obecnie mam dwa łącza jedeno to DSL gdzie idzie www i DNS a drugie to symetryk dla całej reszty. Na razie musi tak zostać więc chciałbym móc limitować wszystko... tzn chce przycinać userów na oby dwóch łączach tzn na DSL jest upload mniejszy więc chcałbym przyciąć ich do 128 np, a na reszte dać im np 512.
Chyba bez IMQ się nie obędzie? O tworzeniu kolejek dopiero czytam bo dotychczas korzystałem z gotowych rozwiązań, ale wszystkie raczej oparte są na założeniu że jest jedno łącze WAN, więc postanowiłem na własny użytek napisać coś swojego i pod swoje potrzeby.
Potrzebuje nakierowania jak zrobić te kolejki. Najpierw kolejka dla każdego usera gdzie obcinam mu pasmo i potem... no właśnie co potem jak zrobić to żeby pakiety dalej były sprawdzane i klasyfikowane ze względu na typ i nadawane im były priorytety? Pewnie co niektórzy mają większe doświadczenie to będę wdzięczny za pomoc.
Pozdrawiam
Offline
#2 2009-01-17 00:20:49
urug - Członek DUG
Re: SKrypt firewall'a
HTB/HFSC - do tego pierwszego jest masa tutoriali, dokumentacji etc. (http://www.docum.org/docum.org/), do tego ostatniego praktycznie w ogóle. Słychać opinie, że sprawuje się lepiej od HTB, ale sam nie testowałem.
Wydaje mi się, że IMQ Ci się może przydać. Tzn. wrzucasz tam ruch z tych obu łączy i na nim tworzysz kolejki up/down. Ewentualnie ifb, ale tutaj nie będziesz mógł się już posiłkować iptables.
Co do ostatniego, to najprościej chyba zrobić każdemu użytkownikowi jedną klasę i kilka klas wewnątrz? Miłego testowania :)
Pozdrawiam, Tomek
Offline
#3 2009-01-17 11:26:05
Piotr3ks - Też człowiek :-)
- Piotr3ks
- Też człowiek :-)
- Zarejestrowany: 2007-06-24
Re: SKrypt firewall'a
Na pewno jako krótkie wprowadzenie do HTB będzie artykuł:
http://dug.net.pl/texty/htb.pdf
Offline
#4 2009-01-17 12:13:53
Outlaw - Użytkownik
Re: SKrypt firewall'a
urug właśnie zastanawiałem się nad ifb bo jest w kernelu i nie trzeba patcha nakładać, który jest do kernela 2.6.25 a chciałbym do 2.6.28 bo np layer7 ładnie pod 2.6.28 dało się wrzucić. Czyli userom ograniczam pasmo wrzucając do osobnych kolejek, potem tworze 'podkolejki' w kolejce usera z priorytetami a na WANach jeszcze raz wtedy priorytety?
Podobno przy korzystaniu z ifb nie można wspomagać się iptables ale jak to zrozumieć bo tylko wyczytałem to ale nie wiem o co biega.
Offline
#5 2009-01-17 13:26:19
siarka2107 - Użyszkodnik DUG
- siarka2107
- Użyszkodnik DUG
- Skąd: Warszawa
- Zarejestrowany: 2006-04-05
Re: SKrypt firewall'a
polecam imq, na ifb nie możesz markować ruchu, jeśli chodzi o wybór dyscypliny kolejkowania słyszałem że hfsc przy bardziej złożonych drzewkach lubi też coś puścić, sami zresztą poczytajcie
Offline
#6 2009-01-18 14:22:40
urug - Członek DUG
Re: SKrypt firewall'a
Panie Outlaw, jeśli już zadajesz to samo pytanie tu i na usenecie, to mógłbyś chociaż o tym wspomnieć. Koledzy się tu produkują i widać zbędnie. (Nie pierwszy raz już w twoim przypadku)
Pozdrawiam, Tomek
Offline