Помогите разобраться с iproute

klop · n00b Joined: 24 Jun 2007 Posts: 33

Есть сеть с маршрутизатором. На маршрутизаторе стоит iptables, который никого не пускает с наружи и все разрешает из локальной сети. С интернетом канал на 128Кб/с. Есть задачи (банк-клиенты), для которых хотелось бы выделить полосу в 32 Кб/с при их обращении к удаленному серверу. Т.е., когда все читают почту и смотрят новости в интернете все хорошо, но когда кто-то начинает качать с интернета банки просто тупо виснут (некоторые). В принципе решение задачи я так понял можно организовать с помщью iproute, документацию я почитал и сегодня вечером еще почитаю, но если это возможно хочется увидить пример решения данно задачи от человека, который в это разбирается (примера будет вполне достаточно для того чтобы разобраться что и как работает в данном случае). Теперь, как я вижу эту схему. Ставится приоритет на два компьютера (те с которых работают банк-клиенты), но на определенные сервисы и на определенные адреса удаленных серверов, т.к. есть банки стационарные, которые работают по фтп с разными портами и онлайн клинты, которые работаю из браузера. Общее правило для всех машин в сети на 1 месте (после банк-клиентов) почта, icq, http трафик, а потом все остальное. Вот если бы кто-то смог привести пример создания класов, фильтров ( желательно детально) был бы ему крайне благодарен. Документации по iproute буду так же рад.

sa10 · Apprentice Joined: 20 Jan 2005 Posts: 251 Location: Canada

На gentoo-wiki есть нужная дока
русская на opennet с примерами скриптов, неплохой документ кажется на русском есть и на shorewall.net

smk · Posted: Thu Sep 06, 2007 9:17 am Post subject:

Вроде iptables имеют и квоты и приоритетные очереди. Вроде видел что то подобное на linuxportal.ru .
_________________
USE --force, Luke

klop · n00b Joined: 24 Jun 2007 Posts: 33

Хм, насчет iptables не уверен. А вот ссылки sa10 пригодились. Толком почитать еще не успел, но некоторая информация (не связанная с iproute) пригодилась. Спасибо за помощь, но вопросы чую еще будут.

smk · Posted: Thu Sep 06, 2007 12:11 pm Post subject:

Ipatables имеет очень большие возможности. В том числе и лимитировать скорость. Вот конкрентый пример. Ниже пример по созданию правил по мак-адресам. http://www.opennet.ru/docs/RUS/iptables/#TABLE.LIMITMATCH
_________________
USE --force, Luke

sa10 · Apprentice Joined: 20 Jan 2005 Posts: 251 Location: Canada

klop · n00b Joined: 24 Jun 2007 Posts: 33

По поводу лимитов хотел написать что-то похожее на пост sa10. Лимиты у меня и так работаю, но они общие на всю сеть на вход, выход и форвардинг. То что я прочитал про iproute мне очень понравилось - полность удовлетворяет мои потребности. Но, все нет времени заняться ей пплотную (хотя завтра суббота и будет время на практику).

klop · n00b Joined: 24 Jun 2007 Posts: 33

Уф, познакомился я с iproute2 - честно говоря очень доволен, но хочу посоветоваться с людьми, которые лучше меня разбираются в маршрутизации. Такс вот вводные данные скорость канала 64/64. Как я писал выше мне требовалась ускорить работу банк-клиентов, вот что я наваял после прочтения документации.

tc qdisc add dev eth0 root handle 1: htb default 30

tc class add dev eth0 parent 1: classid 1:1 htb rate 54kbit ceil 54kbit burst 512
tc class add dev etho parent 1:1 classid 1:10 htb rate 32kbit ceil 54kbit
tc class add dev etho parent 1:1 classid 1:20 htb rate 15kbit ceil 54kbit
tc class add dev etho parent 1:1 classid 1:30 htb rate 7kbit ceil 54kbit

tc qdisc add dev eth0 parent 1:10 handle 10: sfq perturb 10
tc qdisc add dev eth0 parent 1:20 handle 20: sfq perturb 10
tc qdisc add dev eth0 parent 1:30 handle 30: sfq perturb 10

tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dport 53 0xffff flowid 1:10
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dport 22 0xffff flowid 1:10
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dport 21 0xffff flowid 1:10
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dport 113 0xffff flowid 1:20
#Банки
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dst xxx.xxx.xxx.xxx match ip dport xxx 0xffff flowid 1:10

......................

tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dport 80 0xffff flowid 1:20
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dport 8080 0xffff flowid 1:20
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dport 443 0xffff flowid 1:20

(хотя можно и забить)

tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dport 25 0xffff flowid 1:30
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dport 110 0xffff flowid 1:30
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dport 995 0xffff flowid 1:30
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dport 465 0xffff flowid 1:20
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dport 5190 0xffff flowid 1:20

Попрошу критики (аргументированной) - я все первый раз делал потому ошибки тут определенно есть. Меня интересует:
1. Насколько я прав с буфером интерфейса (хотя я понял его нуно проверять на практике - правда не знаю как).
2. Насколько я прав в скорости интерфейса ( я прочитал, что полезно срезать скорость на 25 процентов (хотя в примерах все резали не более чем на 14 процентов))
3. Насколько я прав раздаче трафика между службами.
4. Это все был исходящий трафик, а теперь меня интересует входящий, его тоже можно контролировать, как я понял (ingress), но только я не понял точно также: как и в случае egress или что-то меняется - напишите пожалуйста пример. Я человек тугой читаю все понятно, а когда мне надо писать нужно хоть мелкий пример и на его основе я уже напишу все что мне надо

Заранее всем благодарен, кто найдет в себе силы и желание помочь.

klop · n00b Joined: 24 Jun 2007 Posts: 33

Да вот еще, что хотелось бы узнать, как замерить скорость канала в сторону инета и в обратную сторону.

smk · Posted: Thu Oct 11, 2007 11:24 am Post subject:

Может не стоит заниматься мазохизмом? Ведь есть уже готовые решения, насколько рабочие не знаю, но вроде гемороя намного меньше...
Вот хотя бы http://www.opennet.ru/base/net/rshaper.txt.html
_________________
USE --force, Luke

klop · n00b Joined: 24 Jun 2007 Posts: 33

А в чем тут собственно сложность, мне например интересно - одно пока не радует (сейчас напишу, то что я спросил в ирке и никто ничего не ответил, впрочем, как и везде где я спрашивал):
/* вот я бы с большим удовольствием пообщался с человеком, который знает, как работает утилита tc и может мне объяснить в чем прикол от этих очередей, если мы не можем контролировать входящий трафик, так же, как и исходящий (имеется ввиду обычный компьютер, где весь трафик это входящий, а иходящего крохи).так как ingress бесклассовая дисциплина.*/
Вот то что я выше привер поидее можно смело было бы перекинуть на входящуюю дисциплину и толку было бы реально больше.
И еще никогда не поверю, что тут нет людей, которые не могли бы просветить немного по этому вопросу.

fank · Posted: Fri Oct 19, 2007 7:19 am Post subject:

fank · Posted: Fri Oct 19, 2007 8:02 am Post subject:

слушай, а почему у тебя приоритет везде одинаковый?