The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews:  Знакомство с iptables и iproute2. Часть II. "
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews:  Знакомство с iptables и iproute2. Часть II. "  
Сообщение от opennews (??) on 17-Фев-06, 13:41 
В статье (http://www.dzti.edu.lv/isp-serv/index.php?l=3) представлено комплексное решение задачи управления трафиком, используя Linux, iptables, iproute2, esfq, layer-7, geoip.


Рассмотрены вопросы разделения трафика на местный и зарубежный, ограничения скачивания больших файлов, равномерного разделения полосы между IP-адресами, блокирования трафика bittorrent, edonkey, dc++ и т.д.

URL: http://www.dzti.edu.lv/isp-serv/index.php?l=3
Новость: http://www.opennet.dev/opennews/art.shtml?num=6977

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от gring (??) on 17-Фев-06, 13:41 
Давно искал подобное на русском.
Молодец, так держать !
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от Mihail (??) on 17-Фев-06, 14:18 
А смысл делить по geoip если провайдер делит по bgp. Может быть в Латвии у всех анлим, то сдесь приходится считать каждый мегабайт и быть уверенным что пиринговый траф. не пойдет через бугор. Статья -  так себе, прочитал и сделал по своему. Тут другая задача есть список сетей (локальный траф ~1200 сетей класса /22 - /23, провайдер отдает в виде файла (обновляется каждые 10 минут)). На провайдера есть канал по которому идет и локал траф и бугор. Задача как красиво зашейпить к примеру 1мбит локал траф. и 256 бугор, чтобы не плодить туеву кучу правил в фаерволе (маркирование пакетов идущих/уходящих с/на сети из списка ~1200 и последующим заворачиванием их в нужный класс) ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от _Ale_ (??) on 17-Фев-06, 14:42 
например, сменить ОС, которая поддерживает фильтр PF - красиво зашейпить все что надо...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от Andrejs Spunitis email on 17-Фев-06, 15:06 
Быстрым решением, как мне кажется, может быть создание своей
GeoIPCountryWhois.csv в принципе её вид протой, наример:

"222.166.0.0","222.167.255.255","3735420928","3735551999","HK","Hong Kong"
"222.168.0.0","222.223.255.255","3735552000","3739222015","CN","China"
...................................

только вместо IP-адресов поставить провайдерские на зарубежку.

В написанной статье, главный уклон не был сделан на "ДЕЛАЙ КАК Я",
а были приведены QuickStart по iptables, geoip, iproute2, layer-7
которые помогут _начинающему_ админимтратору реализовывать свои задачи.  

Если Михаилу материал помог быстро овладеть выше перечисленным и сделать
на этой основе по своему, то я полагаю, что цель статьи достигнута.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от AndyS1976 email on 19-Фев-06, 13:12 

Решение проблемы крайне тривиальное,

По адресу:
http://www.dzti.edu.lv/isp-serv/index.php?l=5

выложил исходники к написанной пограмме, которая на основание файла
содержащего местные сети сгененирует файл CVS, который в дальнейшем
можно использовать для создания файлов geoipdb.idx и geoipdb.bin,
которые используются geoIP.

Тем самым geoIP позволяет уменьшить список правил в iptables.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от EDSKA email(??) on 17-Фев-06, 15:39 
Nu ja ispolzuju IMQ a opredeliaju bugor/local po REALM .... i v sootvetstvije s REALM kidaju v nuznij IMQ device ...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от Прополис on 13-Мрт-06, 23:35 
А realm'ы для префиксов как задаете?? Может, можно проще, а я патчил zebra'у...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от Прополис on 17-Мрт-06, 00:39 
>А realm'ы для префиксов как задаете?? Может, можно проще, а я патчил
>zebra'у...

кстати, вот та же идея, но реализовано красивее:

http://vcalinus.gemenii.ro/quaggarealms.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от MoS email(??) on 17-Фев-06, 17:09 
Автору спасибо. И за все остальные статьи тоже.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от edwin (ok) on 17-Фев-06, 21:21 
Хороший и грамотный наор статей.
Автору огромное спасибо.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от Andrejs Spunitis email on 27-Фев-06, 09:49 
> Хороший и грамотный набор статей
Спасибо за лестные слова, постараюсь держать в том же духе,
поэтому написал статью:

Увеличение скорости загрузки сервера или "Потрошим загрузочные скрипты Fedora Core 4"

http://www.dzti.edu.lv/isp-serv/index.php?l=6

В которой продолжается тема создания сервера для ISP (internet service provides), только теперь под прицелом оказались загрузочные скрипты Fedora Core 4.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от Прополис on 13-Мрт-06, 23:38 
с появлением модуля CLASSIFY предлагаю отказаться от фильтров в tc
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от Andrejs Spunitis email on 16-Мрт-06, 08:35 
Может и можно, но в первую очередь я не уверен что CLASSIFY
имеет теже потенциалньные возможности что и filter:
1) создание приоритетов для пакетов принадлежащих одному классу (prio 1), для
рассматриваемого в статье случая это очень важно, поскольку например внутри трафика
принадлежащего HTTP, есть скачка фильмов, а серфинг будет тормозить, не говоря о DNS
пакетах. Команда:
./ipr filter add dev $DEV_LAN protocol ip parent 1:0 prio 1 handle 1  fw flowid 1:10
2) указание скорости (rate 32000bps) для принятия решения (дропаться или приниматься)
3) Минимальный размер обрабатываемого объекта (mpu)
4) Размер буфера пакетов (burst)

А CLASSIFY имеет ту же функциональность ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от Прополис on 17-Мрт-06, 00:19 
        Здравствуйте!

Я, возможно, не совсем корректно выразился, конечно же 100% CLASSIFY фильтры не заменит, хотя бы потому, что CLASSIFY ограничен возможностями iptables. Но в 60% случаев без фильтров можно обойтись, и результат будет не хуже, но нагляднее и проще для понимания. Тем более, что CLASSIFY не нужно ставить отдельно, как p-2-p модули.

PS: А вообще, статьи супер, Thnx! Когда n лет назад разбирался с tc, из доки были только LARTC и the source is best documentation :((

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от Skif email(ok) on 17-Фев-06, 21:59 
не линуксоид но цикл почитал. неплохо, доходчиво. с некоторыми моментами я бы поспорил, но в виду невысокой продвинутости в линуксе отнесу на свою неграмотность :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от Slayer605 on 21-Фев-06, 14:36 
# защита от провайдерства интернета
$ipt -A INPUT -i eth1 -m ttl --ttl-lt 128 -j DROP
$ipt -A INPUT -i eth1 -m ttl --ttl-gt 128 -j DROP
есть модуль который меняет TTL :)
PS а если человек честно использует ОС не видновс? 128 ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от AndyS1976 email on 21-Фев-06, 20:14 
этот вопрос уже поднимался в форуме для первой части
статьи: http://www.opennet.dev/opennews/art.shtml?num=5994

в форуме отведенной для обсуждения второй части статьи,
это вопрос не поднимался, так как такой проверки нету, смотри:
http://www.dzti.edu.lv/isp-serv/index.php?l=3#firewall

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от nrvalex on 27-Фев-06, 19:35 
>echo "Attach qdisc: esfq to class id: 10 for WAN"
>./ipr qdisc add dev eth1 parent 1:0 handle 10  esfq perturb 5 hash dst

с 1го компа 100 сессий на 100 ip
со 2го  1 сессия
1:100  это равномерное разделение полосы ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от Andrejs Spunitis email on 02-Мрт-06, 11:00 
Полоса делится между IP адресами, вне зависимости от того
сколько сессий с IP. Приведенный Вами пример это по сути дело
то что реализует SFQ (станлдартное поставляемое с дистрибутивом)
а в статье рассматривается ESFQ. В статье приведен хороший ресурс
по теории управления трафиком
Теория iproute2 изложена в статье "повесть о Linux и управлении трафиком" по адресу:
http://www.nestor.minsk.by/sr/2003/12/31208.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от nrvalex on 02-Мрт-06, 20:06 
В статье для исходящего трафика рассматривается ESFQ с "hash dst" !
с 1го компа 100 сессий на ip1
со 2го  1 сессия   на ip0
50/50  ок

с 1го компа 100 сессий на ip1,ip2,ip3...ip100
со 2го  1 сессия   на ip0
100/1   ?

для исходящего трафика нужно  использовать "hash src".
если  NAT, то  через псевдо-интерфейс IMQ  
http://www.linuximq.net/
http://wiki.nix.hu/cgi-bin/twiki/view/IMQ/ImqFaq#Can_I_chang...

ip link set imq0 up
iptables -t mangle -A POSTROUTING -o eth1 -j IMQ --todev 0
DEV_WAN=imq0
tc qdisc add dev $DEV_WAN root handle 1:0 htb default 50
....
tc qdisc add dev $DEV_WAN parent 1:40  esfq perturb 5 hash src
...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от Andrejs Spunitis email on 03-Мрт-06, 17:32 
Да Вы правы!

надо ограничивать по сути дела входной трафик который поступает
из ЛВС на NAT-сервер по hash src. Но поскольку где в инете
промелькнула заметка что IMQ не совсем хорошо может дружить с последними
ядрами, то упростил слегка задачу.  

Вообще в найденных в инете скриптах иногда можно увидеть
что делают hash src, но при случае NAT получается src один
на кучу пользователей.

Из практикического применения предлагаемый в статье подход
срабатывает, по всей видимости из за того что в основном качают внутрь
ЛВС а не наоборот (поскольку использование NAT всетаки накладывает
ограничения на upload).


Спасибо
постараюст проверить на практике, и если все сработает,
то обновлю материал в статье

ЗЫ
а этого вопроса я давно ожидал :) молодец!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от grim email on 27-Фев-06, 23:57 
Простое человеческое спасибо!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от Alex (??) on 28-Мрт-06, 02:09 
Можно коментарий по  "firewall & защита от смены IP" ?

Скрипт с awk что делает ?
Как должна выглядить ips.cfg и ip-mac-tab ?

с уважением

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от Andrejs Spunitis email on 28-Мрт-06, 14:48 
Разрешение IP-MAC
ips.cfg, запрещаем все, за исключением
!10.10.10.8@00:50:BA:49:B9:42
!10.10.10.7@00:01:A4:49:19:34
!10.10.10.23@00:03:42:43:11:31
и так далее


ip-mac-tab
Объяснения есть в статье "Привязка IP к MAC адресу"
http://www.opennet.dev/tips/info/750.shtml

там не работает
# обнуляем всю таблицу arp
arp -ad > null

поэтому очищаем таблицу awk скриптом
for i in `awk -F ' ' '{ if ( $1 ~ /[0-9{1,3}].[0-9{1,3}].[0-9{1,3}].[0-9{1,3}]/ ) print $1 }' /proc/net/arp` ; do arp -d $i ; done

и вместо предлагаемого в статье "Привязка IP к MAC адресу"
while [ $I -le 254 ]
   do
      arp -s 192.168.0.${I} 0:0:0:0:0:0
      I=`expr $I + 1`
   done
arp -f   /etc/ethers.local

создаем в excell
arp -s  10.10.10.1 0:0:0:0:0:0
arp -s  10.10.10.2 0:0:0:0:0:0
.....
# arp -s        10.10.10.8 00:40:A1:43:B4:49
.....
arp -s  10.10.10.9 00:D0:B7:3B:27:78
arp -s  10.10.10.10     00:00:00:00:00:00
.....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от Alex (??) on 28-Мрт-06, 18:53 
Спасибо.

Я правильно понимаю - надо потом каждого пользователя
вручную прописывать и в ip-mac-tab и в ips.cfg ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от Andrejs Spunitis email on 28-Мрт-06, 19:14 
Абсолютно верно,
только в скрипте ip-mac-tab  всем свободным ip присвоен мак 00:00:00:....

А в ips.cfg надо для каждого пользователя сделать запись.

Насколько я разобрался, подобная реализация на уровне arp просто облегчит загрузку сервера, хотя можно и в iptables было лы прописать все существующие маки пользователей, но сам по себе iptables изначально создавался для протокола tcp/ip

В принципе можно обойтись только ip-sentinel, поскольку она раньше всех перехватывает незарегестрированный ip-mac.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от Andrejs Spunitis email on 12-Май-06, 22:34 
Утарнена ошибка в скрипте
Срипт маркировки пакетов
mark-isp.sh
http://www.dzti.edu.lv/isp-serv/index.php?l=3#qs_markschema

Для трафика P2P метка пакетов не соответсвовала схеме а так же
не соответсвовала правлиам фильтрам.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от fufnf email(ok) on 23-Авг-06, 21:33 
Скажите, а можно каким-то средством посмотреть сколько какому пользователю выделено полосы?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от fufnf email(ok) on 24-Авг-06, 19:25 
Простите, уже нашел прочитав предыдущую часть Вашей статьи.

Вы на форуме задавали вопрос как прикрутить connbytes к новым ядрам, ответа не получили, но все равно используете этот модуль в вашей статье. Значит Вы нашли решение? Тогда почему бы не упомянуть о нем в статье. Пришлось самому разбираться, случайно наткнулся на http://patchwork.netfilter.org/netfilter-devel/patch.pl?id=3482
который фиксит проблему.

Хочу задать вопрос по Layer-7. Вы проверяли насколько точно он классифицирует траффик, в особенности FTP. По моим наблюдениям ужасно:
http://www.opennet.dev/openforum/vsluhforumID1/68420.html

Хочу выразить огромную благодарность за статью. К сожалению, когда я начинал свое знакомство с линукс ее не было под рукой, так что приходилось самому догадываться о многом. Пожалуй, по теме настройки интернет-шлюза она лучшая в РУ-нете (еще бы тему сквида упомянуть не мешало...).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от fufnf email(ok) on 28-Авг-06, 23:05 
Насколько я понял, в статье серьёзная ошибка связанная с тем предположением, что приоритет фильтров как-то влияет на приоритет трафика. На самом деле приоритет фильтров для того, чтобы делать, например, такие вещи при фильтрации пакетов:

tc filter add dev eth1 parent 1 protocol ip prio 0 handle 1 fw flowid 1:1
tc filter add dev eth1 parent 1 protocol ip prio 0 handle 2 fw flowid 1:1
tc filter add dev eth1 parent 1 protocol ip prio 1 u32 match ip src 0.0.0.0/0 flowid 1:2

Если я не прав, поправьте.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от Аноним email on 01-Сен-06, 03:24 
Начну по порядку:

>Вы на форуме задавали вопрос как прикрутить connbytes к
> новым ядрам, ответа не получили, но все равно используете этот модуль в вашей статье.
с выходом нового ядра, и использованием указанных пакетов
> Значит Вы нашли решение?
проблема connbytes сама собой решилась, в указанных пакетах ошибка это была исправлена,
именно это меня и сподвигло на обновление материалла
(ни какого утаивания информации не было, не мой стиль)

>Насколько я понял, в статье серьёзная ошибка связанная с тем
>предположением, что приоритет фильтров как-то влияет на приоритет трафика.
>На самом деле приоритет фильтров для того, чтобы делать, например,
> такие вещи при фильтрации пакетов:
пример указанный Вами с одинаковым приоиритетом пакеты с меткой 1 и 2
направляет классу 1:1 что собственно и верно,
а пакеты у которых src 0.0.0.0/0 в класс 1:2

А легче всего самому убедиться, назначьте классу
маленькую скорость, сделайте 2 фильтра, одному prio 0, другому prio 1
и проверьте кто у кого кислород отбирает.

Давно дело было, боюсь соврать, но ошибки нету, да и эксперимент
тоже кажется это подтвердил... поскольку когда трафик DNS был низким, инет тормозил
в класс попадает трафик, на основание работы фильтров, теперь допустим что несколько
фильтров направляют свой трафик в один класс, возникает вопрос с какого фильтра трафик
в указанном классе имеет выше приоритет?
вот для этого и нужно указать prio для фильтра

> Скажите, а можно каким-то средством посмотреть
> сколько какому пользователю выделено полосы?
в приведенной конфигурации пользователь не ограничен скоростью, поэтому если
нет других качков то он получает максимальную скорость

А для удобства отслеживания текущей скорости использую
iftop -B -i eth0
iftop -B -i eth0 -f "host 10.10.10.xxx"

также написал скриптик с AWK который дает более наглядную
картину скоростей и тому подобнее (ниже приведены скрипты)

например
root@ISP ISP-serv]# ./rate.sh

   ****************************************************
   *  Statistic for incoming trafic's rate KByte/sek  *
   ****************************************************

TRAFFIC-TYPE    RATE    MIN-RATE   MAX-RATE
---------------------------------------------------------
ALL  : lv+nlv   121
LV   : http     0       307         409
NLV  : other    5       5           37
LV   : ftpmail  0       49          99
LV   : skype    0       74          256
LV   : p2p      52      49          460
LV   : other    0       24          460
NLV  : http     1       74          99
NLV  : ftpmail  0       11          24
NLV  : skype    0       18          62
NLV  : p2p      17      11          24
--------------------------------------------------------
        Local   : 52
        Foreign : 24
--------------------------------------------------------


[root@ISP ISP-serv]# cat rate.sh
#!/bin/bash
cd /ISP-serv
./ipr -s -d class show dev eth1 > rate.txt
awk -f rate.awk  rate.txt


[root@ISP ISP-serv]# cat rate.awk
function getKBps( rate )
{
        suffix_Kbit = index( rate, "Kbit");
        suffix_bit  = index( rate, "bit");
        KBps = 8;
        if ( suffix_Kbit > 0 )
        {
            KBps = KBps;
            suffix = suffix_Kbit;
        }
        else if ( suffix_bit > 0 )
        {
            KBps = KBps*1024;
            suffix = suffix_bit;
        }

        rate_val = substr( rate, 0, suffix );
        rate_val = rate_val / KBps;

    return rate_val;
}

BEGIN {
print "";
print "   ****************************************************";
print "   *  Statistic for incoming trafic's rate KByte/sek  *";
print "   ****************************************************";
print"";
   N=0; NLV=0; LV=0;
   traffic ["1:1"] =  "ALL  : lv+nlv \t";
   traffic ["1:10"] = "LV   : http \t";
   traffic ["1:20"] = "LV   : ftpmail\t";
   traffic ["1:30"] = "LV   : skype \t";
   traffic ["1:40"] = "LV   : p2p \t";
   traffic ["1:50"] = "LV   : other \t";

   traffic ["1:60" ] = "NLV  : http \t";
   traffic ["1:70" ] = "NLV  : ftpmail\t";
   traffic ["1:80" ] = "NLV  : skype \t";
   traffic ["1:90"]  = "NLV  : p2p \t";
   traffic ["1:100"] = "NLV  : other \t";
}

/class/     { class[N]   =$3; str_min_rate[N] =$13; str_max_rate[N] =$15;  }
/^ rate/    { str_rate[N]=$2; N=N+1; }


END  {
   printf( " TRAFFIC-TYPE \t RATE  \t MIN-RATE   MAX-RATE \n" );
   print "---------------------------------------------------------";

   for ( i=0; i < N; ++i )
   {
        name = traffic[ class[i] ];
        rate = str_rate[i];
        min_rate = str_min_rate[i];
        max_rate = str_max_rate[i];

        min_rate_val = getKBps( min_rate );
        max_rate_val = getKBps( max_rate );
        rate_val = getKBps( rate );

        if ( class[i] ==  "1:10" ||
             class[i] ==  "1:20" ||
             class[i] ==  "1:30" ||
             class[i] ==  "1:40" ||
             class[i] ==  "1:50"   )
        {
            LV = LV + rate_val;
        }
        else if ( class[i] != "1:1" )
        {
            NLV = NLV + rate_val;
        }

        if ( class[i] == "1:1" )
        {
            printf ( " %s %d \t \n", name, rate_val );
        }
        else
        {
            printf ( " %s %d  \t %d \t     %d \n", name, rate_val, min_rate_val, max_rate_val );
        }
   }

   print "--------------------------------------------------------";
   printf ( "\tLocal   : %d \n", LV );
   printf ( "\tForeign : %d \n", NLV );
   print "--------------------------------------------------------";
}

ЗЫ
Если Вы заинтересованы в управление трафиком, то предлагаю вам
посмотреть статью
http://www.dzti.edu.lv/isp-serv/index.php?l=7

возмолжно вместе скооперироваться, и сделать дистр типа LFS
только ориентированный на управление трафиком.

А у Вас не возникла задача управления трафиком который шифруется poptop-serv
для Ваших клиентов (избежать подмены ip-mac)?



Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от fufnf email(ok) on 01-Сен-06, 15:17 
>с выходом нового ядра, и использованием указанных пакетов
>проблема connbytes сама собой решилась, в указанных пакетах ошибка это была исправлена,
>
>именно это меня и сподвигло на обновление материалла
>(ни какого утаивания информации не было, не мой стиль)

Довольно странно, но с этой проблемой я столкнулся, хотя ядро у меня 2.6.17.9. К тому же по ссылке, которую я привел (http://patchwork.netfilter.org/netfilter-devel/patch.pl?id=3482)фиксится именно моя проблема, так что думаю, я не одинок.

>пример указанный Вами с одинаковым приоиритетом пакеты с меткой 1 и 2
>
>направляет классу 1:1 что собственно и верно,
>а пакеты у которых src 0.0.0.0/0 в класс 1:2

Prio в описании фильтрах говорит о приоритетности фильтров, т.е. устанавливает порядок следования одних фильтров за другими (какой фильтр работает за каким).

>а пакеты у которых src 0.0.0.0/0 в класс 1:2
Как вы понимаете такой фильтр означает "любой пакет", но в контексте 2 фильтров с более высоким приоритетом, чем у данного это означает "любой пакет, который не имеет метки 1 или 2.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от fufnf email(ok) on 02-Сен-06, 08:54 
Чтоб не быть пустословным добавлю ссылку на авторитетный источник, где можете прочесть об этом параметре:
http://gazette.linux.ru.net/rus/articles/lartc/c1452.html
(или оригинал тут http://lartc.org/howto/lartc.adv-filter.html)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от andyS1976 (??) on 03-Сен-06, 23:56 
Да, я действительно не правильно понял следующую фразу из приведенного  Вами документа:

prio
    Приоритет классификатора. Чем меньше число -- тем выше приоритет.


Уже давно не занимался этой темой, и сейчас признаюсь что мне самому не понятно
следующая ситуация:

к примеру у меня есть два класса А и Б
есть два фильтра с одинаковым приоритеотом,
для двух этих фильтров условия фильтрации срабатывают,
тогда непонятно по какому критерию будет принято решение
в какой класс будет направлен пакет???


ЗЫ
Век живи, век учись....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от fufnf email(ok) on 04-Сен-06, 00:51 

>к примеру у меня есть два класса А и Б
>есть два фильтра с одинаковым приоритеотом,
>для двух этих фильтров условия фильтрации срабатывают,
>тогда непонятно по какому критерию будет принято решение
>в какой класс будет направлен пакет???

И сразу же напрашивается встречный вопрос: зачем создавать 2 класса с одинаковым контентом и, если такие классы создаются, то зачем назначать их фильтрам одинаковый приоритет?
Так что вопрос Ваш теоретический скорее. Зависит от того как iproute2 формирует список фильтров с одинаковыми приоритетами (возможно по порядку создания, возможно по алфавиту или по номеру класса - вобщем вариантов много).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от andyS1976 (??) on 04-Сен-06, 01:12 
Вопрос был чисто теоритическим,

а Вам удалсь решить свою проблему по игре в контрол страйк?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от fufnf email(ok) on 04-Сен-06, 22:47 
>Вопрос был чисто теоритическим,
>
>а Вам удалсь решить свою проблему по игре в контрол страйк?

Ну проблема у меня не чисто по КС - моя задача обеспечить приоритетом некоторый трафик, который я раздаю в локальную сеть. КС - просто индикатор достижения цели (возможно, кстати, не очень удачный, так как трафик udp по некоторым мнениям плохо управляется).
Удалось, но роль приоритезации трафика в этом очень мало.
Вообще, возможно, это только моя проблема и у других все будет хорошо. Если интересно, можете почитать http://www.linux.org.ru/view-message.jsp?msgid=1547598

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. " Знакомство с iptables и iproute2. Часть II. "  
Сообщение от koffu email(??) on 20-Мрт-08, 16:54 
Что-то не могу найти как сохранить настройки после прописывания в tc, ip. Подскажите куда копать?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру