Forum Debian Users Gang

mati23 · 2007-12-23 02:04:04

witam
Czy ktos moze jest zorientowany w jaki sposob moge ograniczyc lokalne usługi np. ftp. Jak wiadomo htb ogranicza tylko ruch wyjsciowy a wiec w przypadku wewnetrznego interfejsu download a co z uploadem??
Bede wdzieczny za rozwiazanie mojego problemu:)

siarka2107 · 2007-12-23 10:13:22

upload tak samo ograniczasz jak download, różnica polega na zmianie nazw interfejsów sieciowych

bolos_11 · 2007-12-23 14:05:19

cytat ZlegoZwierza:

Poprostu :)
ruch z/do netu:
(eth0 WAN,eth3 LAN)
iptables -t mangle -A FORWARD -i eth0 -o eth3 -j IMQ --todev 0 (download)
iptables -t mangle -A FORWARD -i eth3 -o eth0 -j IMQ --todev 1 (upload)

ruch lokalny:

iptables -t mangle -A INPUT -i eth3 -j IMQ --todev 3 (upload z LAN-->serwer )
iptables -t mangle -A OUTPUT -o eth3-j IMQ --todev 4 (download w LAN)

na imq 0,1 kolejki so neta , na imq 3,4 kolejki do DC, ftp itp

bobycob · 2007-12-23 17:06:11

Poprawka regulować możesz ruch wychodzący z przychodzącym troszkę ciężej, masz nań wpływ niewielki.

bolos_11 napisał(-a):
cytat ZlegoZwierza:

Poprostu :)
ruch z/do netu:
(eth0 WAN,eth3 LAN)
iptables -t mangle -A FORWARD -i eth0 -o eth3 -j IMQ --todev 0 (download)
iptables -t mangle -A FORWARD -i eth3 -o eth0 -j IMQ --todev 1 (upload)

ruch lokalny:

iptables -t mangle -A INPUT -i eth3 -j IMQ --todev 3 (upload z LAN-->net )
iptables -t mangle -A OUTPUT -o eth3-j IMQ --todev 4 (download w LAN)

na imq 0,1 kolejki so neta , na imq 3,4 kolejki do DC, ftp itp

nie wiem co to ma do ruchu lokalnego wyraźnie są podane reguły w łańcuchu FORWARD :/
niestety, ale ewentualny download i tak jest regulowany za pomocą uploadu. / masło maślane/ chodzi o to, że decydować możesz tylko o predkości wysyłania.

chodzi jak sądzę o regulowanie ruchu z jednej mszyny podłączonej bezpośrednio do internetu

Ostatnio edytowany przez bobycob (2007-12-23 17:10:51)

mati23 · 2007-12-25 17:25:34

wlasnie myslalem o takim rozwiazaniu ale myslalem ze to mozna wykonac w prostszy sposob czyli pomiajac dodatkowe imq3 i imq4 ale tym sie zajme pozniej. Moim nastepnym problem jest ograniczenie squida stosujac markowania.
Dokladnie mowiac markuje uzytkownikow poprzez Forward i wszystko dziala jak nalezy dopoki nie uruchomie squida.
W jaki sposob sobie poradzic z uploadem i downloadem w squidzie.
z gory wielkie dzieki

szewczyk · 2007-12-25 17:43:22

delay pools i znakowanie pakietów przez ToS ,trzeba nałozyc wtedy patch na squida

mati23 · 2007-12-25 18:23:27

a zamarkowanie ruchu wychodzacego ze squida i wrzucenie do marka usera??

zlyZwierz · 2007-12-25 21:46:14

bobycob napisał(-a):
Poprawka regulować możesz ruch wychodzący z przychodzącym troszkę ciężej, masz nań wpływ niewielki.

bolos_11 napisał(-a):
cytat ZlegoZwierza:

Poprostu :)
ruch z/do netu:
(eth0 WAN,eth3 LAN)
iptables -t mangle -A FORWARD -i eth0 -o eth3 -j IMQ --todev 0 (download)
iptables -t mangle -A FORWARD -i eth3 -o eth0 -j IMQ --todev 1 (upload)

ruch lokalny:

iptables -t mangle -A INPUT -i eth3 -j IMQ --todev 3 (upload z LAN-->serwer )
iptables -t mangle -A OUTPUT -o eth3-j IMQ --todev 4 (download w LAN)

na imq 0,1 kolejki so neta , na imq 3,4 kolejki do DC, ftp itp
nie wiem co to ma do ruchu lokalnego wyraźnie są podane reguły w łańcuchu FORWARD :/
niestety, ale ewentualny download i tak jest regulowany za pomocą uploadu. / masło maślane/ chodzi o to, że decydować możesz tylko o predkości wysyłania.

chodzi jak sądzę o regulowanie ruchu z jednej mszyny podłączonej bezpośrednio do internetu

Chyba nie kminisz przykładu.. i pitolisz co Ci ślina na język przyniesie.

mati23 · 2007-12-26 18:48:22

a ktos moze mi pomoc jak zamarkowac ruch wychodzacy ze squida? dodam ze download markuje w ten sposob
DOWNLOAD

Kod:

iptables -t mangle POSTROUTING -o int_wew -p tcp --sport 8080 -j MARK --set-mark 1

to dlaczego nie dziala
UPLOAD

Kod:

iptables -t mangle POSTROUTING -o int_zew -p tcp --sport 8080 -j MARK --set-mark 2

Ostatnio edytowany przez mati23 (2007-12-26 18:49:23)

zlyZwierz · 2007-12-26 18:53:49

A dlaczego oczekiwałes , że zadziała ?

Można spróbować tak:

IMQ - AB
eth0 - wan
eth1 - lan

Kod:

+ iptables -t mangle -N SUMA_DL
+ iptables -t mangle -A FORWARD -i eth0 -j SUMA_DL
+ iptables -t mangle -A OUTPUT -o eth1 -p tcp --sport 3128 -m tos --tos 0x0 -j SUMA_DL  (download ze squida)

+ iptables -t mangle -N SUMA_UL
+ iptables -t mangle -A FORWARD -o eth0 -j SUMA_UL
+ iptables -t mangle -A INPUT -i eth1 -p tcp --dport 3128 -j SUMA_UL (upload do squida)

+ iptables -t mangle -A SUMA_DL -j IMQ --todev 0
+ iptables -t mangle -A SUMA_UL -j IMQ --todev 1

+ iptables -t mangle -A OUTPUT -p tcp --sport 3128 -m tos --tos 0x8 -j IMQ --todev 2 (squid cache HIT)

mati23 · 2007-12-26 19:03:26

dobre pytanie po prostu myslalem ze puszczajac ruch przez zewnetrzny interfejs zachowa sie podobnie jak przy downloadzie. Pokombinuje jak juz bede po testach to napisze.

Ostatnio edytowany przez mati23 (2007-12-26 19:14:22)

zlyZwierz · 2007-12-26 19:13:27

Zadaj swoje pytania jeszcze raz :)
Bo nie wiem , o co Ci chodzi.

mati23 · 2007-12-26 19:25:19

a na squida masz patcha nalozonego??
bo u mnie to nie dziala usunalem 2 regulki ze tos-em i tez nic nie pomoglo.

zlyZwierz · 2007-12-26 19:28:10

Rusz no głową trochę.
Jak nie chcesz różnicować ruchu ze squida z uwagi na HIT/MISS
to zamiast

+ iptables -t mangle -A OUTPUT -o eth1 -p tcp --sport 3128 -m tos --tos 0x0 -j SUMA_DL (download ze squida)

daj + iptables -t mangle -A OUTPUT -o eth1 -p tcp --sport 3128 -j SUMA_DL (download ze squida)

A tą skasuj:
+ iptables -t mangle -A OUTPUT -p tcp --sport 3128 -m tos --tos 0x8 -j IMQ --todev 2 (squid cache HIT)

mati23 · 2007-12-26 19:34:21

a myslisz ze co ja zrobilem dokladnie tak jak napisales. DOWNLOAD obcina jak nalezy ale ten nieszczesny UPLOAD
juz mi pomysly sie koncza.

zlyZwierz · 2007-12-26 19:38:45

Ale nie działało Twoje

iptables -t mangle POSTROUTING -o int_zew -p tcp --sport 8080 -j MARK --set-mark 2, czy mój sposób?

mati23 · 2007-12-26 19:41:29

Twoj oczywiscie wykasowalem ta regulke

Kod:

iptables -t mangle -A OUTPUT -p tcp --sport 3128 -m tos --tos 0x8 -j IMQ --todev 2

reszta pozostala niezmieniona i nic
Upload tylko to mnie interesuje download dziala bez zarzutu.
Dodam ze wykorzystalem do zamarkowania layer7 i to dziala

Ostatnio edytowany przez mati23 (2007-12-26 19:45:20)

zlyZwierz · 2007-12-26 20:07:10

Chyba nie jestem w stanie Ci pomóc ;)

mati23 · 2007-12-26 20:25:40

a regulki ktore podales u Ciebie dzialaja??

zlyZwierz · 2007-12-26 20:39:36

Jakby nie działały, to bym nie podawał.

mati23 · 2007-12-26 20:43:41

sorki za glupie pytanie ale juz brak mi pomyslów pewnie cos w firewallu mam namieszane musze poszukac bledu
dzieki za pomoc i stracony czas
pozdrawiam

zlyZwierz · 2007-12-26 20:48:31

Wklej może swój skrypt + regułki iptables.. pomożemy ;]
Musisz tylko bardziej współpracować :)

mati23 · 2007-12-27 13:32:46

udalo mi sie w koncu ograniczylem upload w ten sposob jaki chcialem dla osob majacych podobny problem odsylam do strony mi pomoglo Wam moze rowniez:)

http://forum.niceshaper.jedwabny.net/viewtopic.php? … t=mark+upload

Forum Debian Users Gang

Ogłoszenie

#1 2007-12-23 02:04:04

mati23 - Użytkownik

lokalne usługi pełna kontrola i htb

#2 2007-12-23 10:13:22

siarka2107 - Użyszkodnik DUG

Re: lokalne usługi pełna kontrola i htb

#3 2007-12-23 14:05:19

bolos_11 - Użytkownik

Re: lokalne usługi pełna kontrola i htb

#4 2007-12-23 17:06:11

bobycob - Członek z Ramienia

Re: lokalne usługi pełna kontrola i htb

bolos_11 napisał(-a):

#5 2007-12-25 17:25:34

mati23 - Użytkownik

Re: lokalne usługi pełna kontrola i htb

#6 2007-12-25 17:43:22

szewczyk - Stary wyjadacz :P

Re: lokalne usługi pełna kontrola i htb

#7 2007-12-25 18:23:27

mati23 - Użytkownik

Re: lokalne usługi pełna kontrola i htb

#8 2007-12-25 21:46:14

zlyZwierz - Moderator

Re: lokalne usługi pełna kontrola i htb

bobycob napisał(-a):

bolos_11 napisał(-a):

#9 2007-12-26 18:48:22

mati23 - Użytkownik

Re: lokalne usługi pełna kontrola i htb

Kod:

Kod:

#10 2007-12-26 18:53:49

zlyZwierz - Moderator

Re: lokalne usługi pełna kontrola i htb

Kod:

#11 2007-12-26 19:03:26

mati23 - Użytkownik

Re: lokalne usługi pełna kontrola i htb

#12 2007-12-26 19:13:27

zlyZwierz - Moderator

Re: lokalne usługi pełna kontrola i htb

#13 2007-12-26 19:25:19

mati23 - Użytkownik

Re: lokalne usługi pełna kontrola i htb

#14 2007-12-26 19:28:10

zlyZwierz - Moderator

Re: lokalne usługi pełna kontrola i htb

#15 2007-12-26 19:34:21

mati23 - Użytkownik

Re: lokalne usługi pełna kontrola i htb

#16 2007-12-26 19:38:45

zlyZwierz - Moderator

Re: lokalne usługi pełna kontrola i htb

#17 2007-12-26 19:41:29

mati23 - Użytkownik

Re: lokalne usługi pełna kontrola i htb

Kod:

#18 2007-12-26 20:07:10

zlyZwierz - Moderator

Re: lokalne usługi pełna kontrola i htb

#19 2007-12-26 20:25:40

mati23 - Użytkownik

Re: lokalne usługi pełna kontrola i htb

#20 2007-12-26 20:39:36

zlyZwierz - Moderator

Re: lokalne usługi pełna kontrola i htb

#21 2007-12-26 20:43:41

mati23 - Użytkownik

Re: lokalne usługi pełna kontrola i htb

#22 2007-12-26 20:48:31

zlyZwierz - Moderator

Re: lokalne usługi pełna kontrola i htb

#23 2007-12-27 13:32:46

mati23 - Użytkownik

Re: lokalne usługi pełna kontrola i htb

Stopka forum