The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Знакомство с iptables и iproute2."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Знакомство с iptables и iproute2."
Сообщение от opennews (ok) on 29-Авг-05, 22:53 
Andrejs Spunitis представил статью (http://www.dzti.edu.lv/links/ISP-server-conf-beg.php), в которой привет краткий обзор и пример использования пакетов iptables и iproute2 под Fedora Core 3 Linux с ядром 2.6.12.5.


Также опубликована статья (http://www.dzti.edu.lv/links/ISP-server-setup.php) с описанием шагов по установке ПО для NAT сервера и HOWTO (http://www.dzti.edu.lv/links/min-kern-2.6.php) по конфигурации и установке минимального ядра 2.6.12 на Fedora Core 2 и FC-3.

URL: http://www.dzti.edu.lv/links/ISP-server-conf-beg.php
Новость: http://www.opennet.dev/opennews/art.shtml?num=5994

Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Знакомство с iptables и iproute2."
Сообщение от Halyva email(ok) on 29-Авг-05, 22:53 
"Важно отметить что с помощью iptables нельзя ограничивать скорость трафика, этой задачей занимается iproute2." Это с каких пор?
Cообщить модератору | Наверх | ^

2. "Знакомство с iptables и iproute2."
Сообщение от Romik (??) on 29-Авг-05, 23:11 
Мдя? Это через --limit что-ли? :)
Cообщить модератору | Наверх | ^

3. "Знакомство с iptables и iproute2."
Сообщение от Halyva email(ok) on 29-Авг-05, 23:30 
# защита от провайдерства интернета
$ipt -A INPUT -i eth1 -m ttl --ttl-lt 128 -j DROP
$ipt -A INPUT -i eth1 -m ttl --ttl-gt 128 -j DROP
Это что то тоже не то. Ну по крайней мере не защита от провайдинга инета.
Cообщить модератору | Наверх | ^

7. "Знакомство с iptables и iproute2."
Сообщение от Andrejs Spunitis email on 30-Авг-05, 09:38 
немного смешно, но так как дело в общаге, это помогает на первых порах.

Cообщить модератору | Наверх | ^

4. "Знакомство с iptables и iproute2."
Сообщение от Romik (??) on 29-Авг-05, 23:34 
Ну это грубая очень, но защита...
Любой нормальный студент с ВМК поймет, как такую защиту обойти: просто TTL на всех пакетах принудительно в 128 ставить.
Cообщить модератору | Наверх | ^

5. "Знакомство с iptables и iproute2."
Сообщение от Halyva email(ok) on 29-Авг-05, 23:41 
Да блин до любого места в инете можно дойти не пройдя менее 128 маршрутизаторов это во первых, а во вторых если один субпровайдер не сможет поставить свой шлюх то и пользователь не до всех сайтов достучаться сможет :)
Cообщить модератору | Наверх | ^

6. "Знакомство с iptables и iproute2."
Сообщение от test email(??) on 30-Авг-05, 01:13 
>$ipt -A INPUT -i eth1 -m ttl --ttl-lt 128 -j DROP
>$ipt -A INPUT -i eth1 -m ttl --ttl-gt 128 -j DROP

а если у меня Linux-клиент?
Вы хотите сказать, что мне нужно будет себе ttl 128 ставить?
Ну уж нет... увольте.
Зафлужу нахер такой шлюз. Да и ещё DDoS устрою ;-)

Cообщить модератору | Наверх | ^

8. "Знакомство с iptables и iproute2."
Сообщение от edwin email(ok) on 30-Авг-05, 11:34 
Знаете господа.
Я никогда не понимал смысла борьбы с субпровайдингом.
Трафик товарисчу считается, то есть сколько скачал за то и заплатит.
Шейпы стоят.
Ну и пусть и творит в этих рамках что хочет.
Хоть прячет за собой сетку класса А.;))
Cообщить модератору | Наверх | ^

9. "Знакомство с iptables и iproute2."
Сообщение от Andrejs on 30-Авг-05, 11:58 
Смысл еще какой есть, например студентам лимитированная плата. Они ставят себе шаринг и весело используют инет на несколько компов, при этом усиленно нагружая сетку. Одним из способом борьбы является ограничение сессий с одного IP а также разграничение скорости по IP адресам (для этого и пришлось пересобирать ядро и iproute2  с поддержкой ESFQ)
Cообщить модератору | Наверх | ^

10. "Я подключен через Стрим. Траф потребляет произвольное"
Сообщение от Бандахамовата on 30-Авг-05, 12:16 
количество машин и у Стрима нет претензий.

Микробная пыль ("провайдеры"!), которая ограничивает шаринг на безлимитных тарифах обязана издохнуть. Приду поссать на могилку.

Cообщить модератору | Наверх | ^

13. "Знакомство с iptables и iproute2."
Сообщение от Antonio email(??) on 30-Авг-05, 13:41 
> Я никогда не понимал смысла борьбы с субпровайдингом.
> Трафик товарисчу считается, то есть сколько скачал за то и заплатит.

Тут -- без проблем.
А на безлимитке?

Два честных безлимитчика приносят провайдеру (условно) по 10 уе в месяц. Итого 20.
"Субпровайдер" с сидящим на нём деятелем -- 10 уе за двоих. Итого 10.

Шейпер-не шейпер, толку ноль. И на 1 Кбайт/с будут качать и не жужжать (ибо халява). Вон, до сих пор люди извращаются с 59-секундными модемными сессиями у провайдеров, дающих первую минуту нахаляву.

Cообщить модератору | Наверх | ^

25. "Знакомство с iptables и iproute2."
Сообщение от bmc email(??) on 27-Сен-05, 09:28 
>> Я никогда не понимал смысла борьбы с субпровайдингом.
>> Трафик товарисчу считается, то есть сколько скачал за то и заплатит.
>
>Тут -- без проблем.
>А на безлимитке?
>
>Два честных безлимитчика приносят провайдеру (условно) по 10 уе в месяц. Итого
>20.
>"Субпровайдер" с сидящим на нём деятелем -- 10 уе за двоих. Итого
>10.
>
>Шейпер-не шейпер, толку ноль. И на 1 Кбайт/с будут качать и не
>жужжать (ибо халява). Вон, до сих пор люди извращаются с 59-секундными
>модемными сессиями у провайдеров, дающих первую минуту нахаляву.

Интересный способ боротся с социальным явлением техническими способами ;) А может просто убрать безлимитку и посчитать таки сколько примерно мегабайт выходит? ;)))

Cообщить модератору | Наверх | ^

11. "Знакомство с iptables и iproute2."
Сообщение от edwin email(ok) on 30-Авг-05, 12:30 
>также разграничение скорости по IP адресам
Те же шейпы.
Cообщить модератору | Наверх | ^

12. "Знакомство с iptables и iproute2."
Сообщение от edwin email(ok) on 30-Авг-05, 12:32 
> Микробная пыль ("провайдеры"!),

Как грозно.Ты вообще кто такой, чтобы гнать на провайдеров ?

> которая ограничивает шаринг на безлимитных тарифах обязана издохнуть.

Скажи спасибо им за то, что они предоставляют тебе сервис в наших условиях.

> Приду поссать на могилку.

Твою.
Тока плюнуть.

Cообщить модератору | Наверх | ^

15. "Знакомство с iptables и iproute2."
Сообщение от Аноним email on 30-Авг-05, 22:38 
re Скажи спасибо им за то, что они предоставляют тебе сервис в наших условиях.

паразитов "посредников-провайдеров" всегда давили
и давить будут пользуются мАментом
пока пользуются ...

Cообщить модератору | Наверх | ^

16. "Знакомство с iptables и iproute2."
Сообщение от аноним on 31-Авг-05, 05:26 
Нда... как всё запущено, господа линуксоиды.
Cообщить модератору | Наверх | ^

17. "Знакомство с iptables и iproute2."
Сообщение от Leo email(??) on 01-Сен-05, 20:54 
Андрей - сама статья довольно занимательна , хотя существуют более простые способы приоретизации и разделения трафика . Проблема лишь в том что у тебя либо сервак слабоват для данного набора софта , либо ты людей зарезал как мог - благо знаю несколько человек с той общаги - которую ты админишь , и скорость у них там сказка - никаких пиринговых клиентов не запущено , а странички даже по Латвии грузятся по 3 минуты , ИЕ - не грузит вообще , Опера - с горем пополам - вот именно по 3 минуты , про пинг куда либо умолчу , так что с такими зарезками как у тебя далеко не уедешь , обидно за студентов однако - им за учёбу плати , за пайку и т.д. - да и за инет ещё по 3 Лс - за такие деньги в Риге можно поставить нормальный инет - вот только в вашей общаге это не поставишь . Да и насчёт количества компов во внутренней сетке - в принцепе здесь - в ЛВ ни один из провайдеров не запрещает делать внутренние сети - так как канал на каждого клиента лимитирован по скорости Уп/Довн . Вот и интересно - вроде люди платят за инет - а на самом деле его нет ...
Cообщить модератору | Наверх | ^

18. "Знакомство с iptables и iproute2."
Сообщение от Andrejs Spunitis email on 02-Сен-05, 08:47 
Если знаешь то кинь ссылки на то как полегче с общагой проблему решить...

Просто приоритезация думаю не поможет, так как при больщой нагрузке
скорость скачивания больших файлов и измерения скорости через
lv.apollo.net BANDWIDTH meter хорошая, а вот время с которой загружаются
странички тормознутая.

Отсюда был сделан вывод что у провайдера на их серваке/роутере
обработка очередей осуществляется по алгоритму pfifo_fast а сам
размер буфера большой.

Тогда:
LATNET-router = (нагрузка DzTI/общага) + (нагрузка остальных клиентов Latnet)

при большой нагрузки со стороны общаги приводит к тому что образуются
очереди на стороне Latnet, в результате именно этого скорость по пересылке больших обьемов удовлетворительная, а вот скрость ВЕБ-серфинга именно тормознутая.

Надо отметить что ранее настройки ограничивали скорость корневой дисциплиы HTB на 300Кбайт/сек и при такой настройки наблюдалась повышенная заторможенность даже латвийских сайтов.... а вот когда
подрезал до 240Кбайт/сек то получше стало.

Одно время при настроенной немного по другому конфигурации, был разрешен
и DC++ и bittorrent на оставшуюся полосу канала.. но это привело к столь многочесленным протестам со стороны студентов что по их требованию была снижена максимальная скорость Р2Р до 30Кбайт/сек на всю общагу.

Еще часть общежития активно пользовалось  программами усиленно посылающими UDP пакеты маленького размера.... может это был вирус,
а может что то новенькое из скачки... но когда прикрыл UDP за исключением DNS то мне показалась ситуация улучшилась.


Хотя насчет последних настроек сервака (с приведенной настройкой) у
студентов жалоб нету.... да и в институте для нас самих интернет
перестал притормаживать.

top показывает
op - 07:22:09 up  9:24,  1 user,  load average: 0.00, 0.00, 0.00
Tasks:  31 total,   2 running,  29 sleeping,   0 stopped,   0 zombie
Cpu(s):  0.3% us,  0.0% sy,  0.0% ni, 98.7% id,  0.0% wa,  0.3% hi,  0.7% si
Mem:    126172k total,    36284k used,    89888k free,    10668k buffers
Swap:   265032k total,        0k used,   265032k free,    15860k cached
(Сам сервак Celeron 450)


Вообще начальная загрузка страниц тормозила и при использование SQUID.
Использование SQUID приводило к более шустреньой загрузке кэшированных страничек. Да и те кто не знал как обойти проксик не создавали нагрузки.

Может через месяц опробую более изощренную настройку сервака, подниму
приоритет пакетов начинающих или сбрасыающих соединений и так далее, а также с помощью geoip сделаю разделение на местный и зарубежный...  
Хотя как мне кажется проблема с тормознутосью загрузки сайтов даже некоторых латвиских это не решит, когда есть нагрузке из общаги.

Если будет тормозит WEB-серфинг то думаю придется
1 урезать еще меньше общую скорость общаги
2 через ESFQ уменьшить буфер очереди
3 дропать пакетов на уровне filter (из пакета iproute2)


Ранее поднимал вопрос в linux.org.ru и здесь, по поводу почему
нельзя к ядру начиная с 2.6.12 прикрутить connbytes, в этом случае
можно былобы  создать отдельный класс tc куда бы передавались
пакеты если кто либо через ftp или http скачивает объем более
20Мег (через burst думаю это некорректно), но к сожалению
решения этой проблемы не нашел!

Как обычно... мало знающих людей Linux... много только незнаек
которые посылают к манам или занимаются демагогией, вместо короткого
ответа из пары строк с конкретным примером команды.

Если кто знает как прикрутить connbytes милости прошу!
http://www.linux.org.ru/view-message.jsp?msgid=1000786


ЗЫ
=====================================
Насчет бедных студентов из Риги, так у многих из них хватает денежек
ездить на машине :)

Если кому что не нравится в общежитие инет, пускай отключаются,
я только ЗА! Так как канала на столько пользователей явно не хватает.

Деньги со студентов я не получаю, сам пока студент. Менять скорость канала по всей видимости тоже не будут, так как интернет дается по какой то программе для учебных заведений.


Cообщить модератору | Наверх | ^

19. "Знакомство с iptables и iproute2."
Сообщение от Andrejs Spunitis email on 02-Сен-05, 09:24 
Да и насчёт количества компов во внутренней сетке - в принцепе здесь - в ЛВ ни один из провайдеров не запрещает делать внутренние сети
----------
У моей мамы инет CitiNet ... за провайдерство далее штраф
Сам сижу у RedNet ... тоже при подключение сказали что бы не был провайдером...
----------

3 мин тормозил инет.... и не только в общаге, но и у нас в институте,
теперь кажется эта проблема частично решена.....  путем закрытия UDP.

Последние кажется 10 дней мне на e-mail не приходоли жалобы от студентов,
(жалоба состоит из времени, сайта, времени сколько грузиласт страница, скоростьи интернета измеренного через net.apollo.lv).

Cообщить модератору | Наверх | ^

20. "Знакомство с iptables и iproute2."
Сообщение от Leo email(??) on 02-Сен-05, 15:54 
Провайдер провайдеру рознь , как делают пацаны в общаге - эт одно , а когда субпровайдинг в крупных размерах да и ещё с абонентом другое . Насчёт канала общего и притормаживаний - ты как админ мог-бы поднять данный вопрос с латнетом - чтоб объяснили причину заторможенности нета . А нет.аполло.лв в принцепе не показатель - тестил свою скорость на нём - так показывает вообще заниженую . Так как с того-же тимес.лв скорость 8 мбс , а на нет.аполло выдаёт 3 мбс максимум . На мануалы посылать тебя не стану , смысла нет - сам ты разбераешься не плохо , просто надо найти оптимальный конфиг тогдауж - динамически разделяемые каналы на клиентов - в зависимости от производимых действий в интернете на данный момент - так как делают многие провайдеры - у них ведь тоже не 1000 мбс сети , а имея пару тысяч клиентов  канал всё равно выдают не меньше 1-2 мбс .
Cообщить модератору | Наверх | ^

21. "Знакомство с iptables и iproute2."
Сообщение от Andrejs Spunitis email on 02-Сен-05, 18:46 
C Latnet помниться чуть более года назад у них 30% пакетов пропадало....

Конечно я звонил им, показывал свои конфиги.... пару раз можно дозвонится до их тех-персонала, после чего тот начинает активно обедать или куда то выезжает по делам....

net.apollo.lv тогда у меня показывает завышенную:)

А по поводу динамических каналов, разве та конфигурация не есть динамические каналы? Ведь общая полоса разделяется по IP плюс еще разделение по приоритетам на HTTP протокол и Р2Р ....


Cообщить модератору | Наверх | ^

22. "Знакомство с iptables и iproute2."
Сообщение от mahorosan email on 07-Сен-05, 02:01 
Жаль, что когда мне приходилось разбираться в этом, такой статьи не было под рукой.
QuickStart замечательный, основная логика, примеры, ссылки - все есть
5+!
Cообщить модератору | Наверх | ^

23. "OpenNews: Знакомство с iptables и iproute2."
Сообщение от o0oxid (ok) on 08-Сен-05, 11:55 
Вот еще небольшая неточность.
ip_forward -  This variable is special, its change -= resets all configuration parameters =- to their default state (RFC1122 for hosts, RFC1812 for routers)
У автора стоит имзенение этого параметра почему-то в конце скрипта, .т.е. все настройки /proc/sys/net/ipv4/ сбросятся в дефолт, надо бы эту команду переместить в самое начало скрипта.
Cообщить модератору | Наверх | ^

24. "OpenNews: Знакомство с iptables и iproute2."
Сообщение от Andrejs Spunitis on 09-Сен-05, 09:38 
Спасибо!

на практике мне кажется нет разницы в конце или в начале,
а в конце перенес потому что хотел разрешить форвардинг
только после того как правила будут записаны.

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру