Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2011-09-05 22:41:43
thc_flow - Gość
- thc_flow
- Gość
TC/iptables i wydzielenie pasma dla UID/GID
Mam pytanie odnośnie podzielenia pasma na użytkowników peceta, tak aby pasmo było limitowane dla poszczególnego usera całej grupy.
Chodzi mi o rozwiązanie podobne do tego z FreeBSD (ipfw add pipe $UID all from any to any uid $UID; ipfw pipe $UID config bw 2Mb). Nie zależy mi na wydzielaniu osobnego pasma dla up/down, jedynie całości.
Słyszałem i wyczytałem trochę w manualach o flagowaniu pakietów na poziomie iptables. Czy to jedyne wyjście? nie ma nic co by było czytelniejsze i prostsze w konfiguracji?
#2 2011-09-06 11:37:53
hello_world - 
Członek DUG
- hello_world
- Członek DUG
- Skąd: Rymanów Zdrój
- Zarejestrowany: 2010-06-03
- Serwis
Re: TC/iptables i wydzielenie pasma dla UID/GID
To kernel FB takie rzeczy umie robić?
Nie wydaje mi się aby w kernelu linuksowym takie rzeczy można było robić. Hosty tak ale userzy?
Offline
#3 2011-09-06 12:15:20
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: TC/iptables i wydzielenie pasma dla UID/GID
Na wysyłaniou można na 100%, markujesz pakiety wygenerowane przez programy usera lub grupę -moduł owner, a potem w TC standardowo fwmark lub bezpośrednio CLASSIFY.
Kłopot jest z odbieraniem pakietów z netu, tu trzeba trochę pokombninować, ja bym spróbował SFQ lub coś podobnego.
Nie wklejaj wyników na forum, ale poczytaj:
Kod:
iptables -m owner --help iptables -j MARK --help iptables -j CLASSIFY --help
Albo całość:
Kod:
man iptables
Pozdro
;-)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#4 2011-09-06 18:47:24
milyges - inż.
Re: TC/iptables i wydzielenie pasma dla UID/GID
Jacekalex napisał(-a):
Kłopot jest z odbieraniem pakietów z netu, tu trzeba trochę pokombninować, ja bym spróbował SFQ lub coś podobnego.
IMQ i jazda ;)
Offline
#5 2011-09-06 20:15:11
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: TC/iptables i wydzielenie pasma dla UID/GID
milyges napisał(-a):
Jacekalex napisał(-a):
Kłopot jest z odbieraniem pakietów z netu, tu trzeba trochę pokombninować, ja bym spróbował SFQ lub coś podobnego.
IMQ i jazda ;)
IMQ - to końpilacja jajka i iptables.
A to już ani standardowy kernel dystrybucyjny, ani iptables z repo.
Ostatnio edytowany przez Jacekalex (2011-09-06 20:16:35)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#6 2011-09-23 23:09:39
thc_flow - Gość
- thc_flow
- Gość
Re: TC/iptables i wydzielenie pasma dla UID/GID
Kernel z repo i tak nie jest, grsecurity choćby trzeba było dorzucić:)
#7 2011-09-24 00:50:13
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: TC/iptables i wydzielenie pasma dla UID/GID
Kolejki można zrobić też na ifb - trochę trudniejszy w użyciu od IMQ, ale za to bardziej przzewidywalny, bo w standardowych źródłach kernela obecny od wersji 2.6.20, w debianowych kernelach też jest.
Główna wada ifb - działa za wcześnie, żeby działało markowanie iptables.
Trzeba całe reguły wyrzeźbić w TC.
Sznurek:
https://www.linuxfoundation.org/collaborate/workgroups/networking/ifb
http://wampir.mroczna-zaloga.org/archives/77-ifb-zamiast-imq.html
Filtry w tc:
http://lartc.org/howto/lartc.qdisc.filters.html
Ostatnio edytowany przez Jacekalex (2011-10-18 09:28:16)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline