|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
olavi
HV veteran
liitunud: 06.01.2003
|
05.01.2006 06:05:28
neti jagamine / kiiruse piiramine |
|
|
panin debiani kasti netti jagama, aga millegipärast ei toimi nime lahendamine.
kui pingida neti.ee'd siis sellist hosti ei leita, kui ip järgi pingida, siis toimib. mis on valesti?
/etc/network/interfaces sisu:
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet dhcp
auto eth1
iface eth1 inet static
address 192.168.1.1
#gateway 192.168.1.1
netmask 255.255.255.0
#network 192.168.1.0
#broadcast 192.168.1.255 |
eraldi firewall script:
#!/bin/sh
PATH=/usr/sbin:/sbin:/bin:/usr/bin
#
# delete all existing rules.
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
# Always accept loopback traffic
iptables -A INPUT -i lo -j ACCEPT
# Allow established connections, and those not coming from the outside
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow outgoing connections from the LAN side.
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
# Masquerade.
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Don't forward from the outside to the inside.
iptables -A FORWARD -i eth0 -o eth0 -j REJECT
# Enable routing.
echo 1 > /proc/sys/net/ipv4/ip_forward |
viimati muutis olavi 06.01.2006 14:31:11, muudetud 1 kord |
|
| Kommentaarid: 193 loe/lisa |
Kasutajad arvavad: |
   |
:: |
1 :: |
5 :: |
175 |
|
| tagasi üles |
|
 |
Death
HV Guru
liitunud: 06.09.2003
|
|
05.01.2006 12:37:12
|
|
|
nii, ja kuidas nimeserveritega lood lahendatud on? nime lahendamine sõltub nimeservereist. Jagava masinaga neti.ee d pingida saad? Kui saad siis järgmine samm on vaadata oma klient masinate konfi. Saavad nad su jagavalt masialt IP DHCPga? kui jah siis kas käb ruuteris dhcpd või dnsmasq? DHCPD puhul pead nimeserverid confis käsitsi kaasa andma. need mis ruuter sai on failis resolv.conf. dnmasq saab seadistada nii et annab ise dhcpga saadud nimeservud kaasa.
_________________
"To be or not to be?" is a question of when, not if. |
|
| Kommentaarid: 39 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
36 |
|
| tagasi üles |
|
|
olavi
HV veteran
liitunud: 06.01.2003
|
|
05.01.2006 12:41:22
|
|
|
jagavas masinas saab neti.ee'd pingida. jagav masin hetkel dhcp'd ei tee, kuna ei osanud seda paika konfida (DHCPD - ka selle abi tarvis). resolv.conf failis on hetkel sees nameserver 192.168.2.1 (ehk siis veel üks ruuteri purk hetkel) - selle ta määrab igakord automaastselt sinna.
kui klientidel käsitsi dns määrata, siis sellest kasu ei ole.
_________________
Airsoft relvad. Airsofti varustus |
|
| Kommentaarid: 193 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
5 :: |
175 |
|
| tagasi üles |
|
|
Death
HV Guru
liitunud: 06.09.2003
|
|
05.01.2006 12:52:40
|
|
|
kas kliendid ruuterit pingida saavad? aga seda dnsi - 192.168.2.1? kui teda pingivad siis peaks kliendis käsitis aadressi 192.168.2.1 nimeserveriks määramine asjad toimima lükkama.
_________________
"To be or not to be?" is a question of when, not if. |
|
| Kommentaarid: 39 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
36 |
|
| tagasi üles |
|
|
olavi
HV veteran
liitunud: 06.01.2003
|
|
05.01.2006 13:01:58
|
|
|
192.168.2.1 oli täitsa abiks, sain asja nüüd tööle 
kas keegi oskab veel aidata, kuidas dhcpd konfida. võibolla on mõnda näidiskonfi? hetkel nett tuleb eth0 peale sisse 192.168.2.1 kaudu. välja läheb eth1 pealt ja ip aadress on 192.168.1.1
|
|
| Kommentaarid: 193 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
5 :: |
175 |
|
| tagasi üles |
|
|
Death
HV Guru
liitunud: 06.09.2003
|
|
05.01.2006 13:08:07
|
|
|
dhcpd-l on IMHO kenasti kommenteeritud näidisconf kaasas, selle järgi peaksid vaevata jagu saama. see, kust net sisse tuleb ei olegi oluline. pead confis lihtsalt jagatavate aadresside pooli määrama. vaata olemasolevat confi. man dhcpd.conf võib ka vägagi abiks olla.
_________________
"To be or not to be?" is a question of when, not if. |
|
| Kommentaarid: 39 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
36 |
|
| tagasi üles |
|
|
olavi
HV veteran
liitunud: 06.01.2003
|
|
05.01.2006 15:26:17
|
|
|
veidi manuali tuli kasuks. see korras.
sisevõrgu masin ei saa connectida ühegi ftp peale. mis tegema peaks?
|
|
| Kommentaarid: 193 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
5 :: |
175 |
|
| tagasi üles |
|
|
kaabakas
HV veteran
liitunud: 01.04.2002
|
|
05.01.2006 16:21:26
|
|
|
| iptables kirjutas: |
# delete all existing rules.
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
|
võta müür korraks maha ja proovi kas siis saab
EDIT: iptables on mulle veidi tume, võibolla pead veel tegemia midagi a la 'iptables -A INPUT -j ACCEPT ' et liiklus läbi jookseks
_________________
Mida Ott ei õpi, seda Egon ei tea. |
|
| Kommentaarid: 106 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
2 :: |
96 |
|
| tagasi üles |
|
|
Death
HV Guru
liitunud: 06.09.2003
|
|
05.01.2006 16:28:18
|
|
|
kaabakas, asi korras juba. ja probleem polnud ruutimises vaid DNSis..
_________________
"To be or not to be?" is a question of when, not if. |
|
| Kommentaarid: 39 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
36 |
|
| tagasi üles |
|
|
olavi
HV veteran
liitunud: 06.01.2003
|
|
05.01.2006 17:31:39
|
|
|
ei ole korras, ftp ühendusi välja ei lubata. pingida ftp.linux.ee'd saab, aga sinna ühendada ei lase.
ühendada ei lase nii ruuterist endast, kui ka sisevõrgu masinatest.
EDIT: kui tulemüür maha võtta, siis ka ei lase ftp-sse
|
|
| Kommentaarid: 193 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
5 :: |
175 |
|
| tagasi üles |
|
|
airm
HV Guru
liitunud: 26.02.2003
|
|
05.01.2006 17:48:31
|
|
|
debiani olemasolevaid seadistusi ei tea, aga vaja veel ftp-mooduleid.
mis on lsmod väljund?
või on äkki kernelisse pandud sisse, ei tea...
_________________
M:vanavara - AT-toiteplokk *(viisakas korpus kaasa) |
|
| Kommentaarid: 56 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
1 :: |
50 |
|
| tagasi üles |
|
|
olavi
HV veteran
liitunud: 06.01.2003
|
|
08.01.2006 10:44:13
|
|
|
esimeses ruuteris oli filter peale pandud 
---------
 millist kiiruse piiramise softi kasutada? mida oleks võimalikult lihtne konfida. etis leidub: shaper, shaperd, cbq, htb, wondershaper jne. vaja oleks peamiselt kindla interfeisi kiiruse piiramist. (kui ip põhine piirang võimalik, siis see oleks ka muidugi hea)
|
|
| Kommentaarid: 193 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
5 :: |
175 |
|
| tagasi üles |
|
|
nuhk
Kreisi kasutaja
liitunud: 15.12.2001
|
|
09.01.2006 02:15:31
|
|
|
| olavi kirjutas: |
| ... millist kiiruse piiramise softi kasutada? mida oleks võimalikult lihtne konfida. etis leidub: shaper, shaperd, cbq, htb, wondershaper jne. vaja oleks peamiselt kindla interfeisi kiiruse piiramist. (kui ip põhine piirang võimalik, siis see oleks ka muidugi hea) |
Selles reas leidub erineva funktsiooniga asju - näiteks wondershaper on üleüldse kas cbq või htb baasil tehtud QoS'i juhtimise script... Shaperd kasutamine oleks nii esitatud küsimuse korral mõistlik edasi lükata, aga ühe interface piiramist saab väga lihtsalt teha - siiski tasuks meeles pidada, et korrektselt piirata saab ainult konkreetsest interface'st väljuvat liiklust. Sisenevat saab kas maha lõigata või peab piiramiseks vahe-device kasutama - nt IMQ-d.. ja selle installimine-käimaajamine enam lihtsate asjade alla ei käi.
Näiteks kaks alljärgnevat järjestikku antud käsku piiravad eth0 kaudu väljuva summaarse liikluse väärtuseni 512kbit/sec:
/sbin/tc qdisc add dev eth0 root handle 1: htb default 10
/sbin/tc class add dev eth0 parent 1: classid 1:10 htb rate 512kbit
....
/sbin/tc qdisc del dev eth0 root
võtab selle piirangu uuesti maha.. - tc ja htb peavad muidugi masinas peal olema.
ip-aadressi, protokolli, pordi jne järgi on väljuva liikluse piiramine võimalik, aga seda kahe lausega ära ei seleta. Virtuaalse interface peal sarnased piirangud töötada ei taha, VLAN'i otsas käivad. Windooza baasil on ka midagi olemas, aga nende võimalusi ma ei tunne.
nuhk@hot.ee
|
|
| Kommentaarid: 8 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
|
olavi
HV veteran
liitunud: 06.01.2003
|
|
09.01.2006 03:51:36
|
|
|
tänud, allalaadimist piiran cbq abil, uploadi siis kasutaja nuhk soovituse järgi. asi paistab toimivat.
cbq scripti osa (crontabis tehakse siis sellele ka timecheck, kuna automaatselt ei uuendata muidu kellaajalist kiirusemuudatust):
DEVICE=eth1,100Mbit,1Mbit
RATE=1536Kbit
WEIGHT=1024Kbit
PRIO=5
TIME=01:00-07:00;1920Kbit/1024Kbit
RULE=,:,192.168.1.0/24 |
|
|
| Kommentaarid: 193 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
5 :: |
175 |
|
| tagasi üles |
|
|
nuhk
Kreisi kasutaja
liitunud: 15.12.2001
|
|
10.01.2006 16:36:06
|
|
|
Olavi:
Peast täpselt ei mäleta, aga midagi paistab siin terike valesti - cbq puhul peaks WEIGHT ca 10x väiksem olema kui RATE, aga kindlasti pole üks parameeter ühe ja teine teise ajavahemiku jaoks. Kui masinas htb juba töötab, siis võiksid ju vana cbq koos wonderi juppidega üldse ära unustada... ja vahelduseks "nuhkware'i " proovida:
#!/bin/sh
# "Nuhkware - kaardipõhine piiramine"
#
# Hoiatus:
# Kõik tühjad baarikapid, kärvand kassid ja allakukkunud lennuaparaadid
# mis Nuhkware kasutamisel tekivad, on kasutajate isiklik õnnetus.
#let's go:
#Siia paneme soovitud kiirused, kbit/sec:
UPSPEED=320
DOWNSPEED=1500
#Siia võrgukaardid - EXTIF on välisvõrgu kaart
EXTIF='eth0'
INTIF='eth1'
TC='/sbin/tc'
rc_done=" done"
rc_failed=" failed"
return=$rc_done
tc_reset ()
{
# Kustutame saksa ajast jäänud q-diskid
$TC qdisc del dev $EXTIF root 2> /dev/null > /dev/null
$TC qdisc del dev $INTIF root 2> /dev/null > /dev/null
}
case "$1" in
start)
tc_reset
#uploadi piirame välisel kaardil:
tc qdisc add dev $EXTIF root handle 1: htb default 10
tc class add dev $EXTIF parent 1: classid 1:10 htb rate ${UPSPEED}kbit
#downloadi piirame sisemisel kaardil:
tc qdisc add dev $INTIF root handle 1: htb default 20
tc class add dev $INTIF parent 1: classid 1:20 htb rate ${DOWNSPEED}kbit
{
echo "UP-limit"
$TC class show dev $EXTIF
echo "DOWN-limit"
$TC class show dev $INTIF
}
;;
stop)
echo -n "Stopping nuhkware shaper:"
tc_reset || return=$rc_failed
echo -e "$return"
;;
*)
echo "Usage: $0 {start|stop}"
exit 1
esac
test "$return" = "$rc_done" || exit 1
|
Faili nimetad näiteks "limit" , pistad /sbin kataloogi, chmod 700 /sbin/limit ja /sbin/limit start; /sbin/limit stop ..
Kuidas neid ööseks ja päevaks kaks erinevat eri nimedega teha ja cron'iga /sbin/daylimit stop ja /sbin/nightlimit start õhtul ja vastupidine omikul selga anda peaks juba jõukohane olema. INTIF2,3.. ja juurdekuuluv siia lisaks aretada pole samuti keeruline. Kui koodis mõni näpukas sees, eks siis tõstke kisa, vahel ikka juhtub.
Interface-põhine jäik piiramine on kõige väiksem ja lihtsam osa linuxi QoS'i võimetest, aga mu arust just õige koht asjandusega esimest tutvust teha.
nuhk@hot.ee
|
|
| Kommentaarid: 8 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
|
olavi
HV veteran
liitunud: 06.01.2003
|
|
| Kommentaarid: 193 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
5 :: |
175 |
|
| tagasi üles |
|
|
nuhk
Kreisi kasutaja
liitunud: 15.12.2001
|
|
13.01.2006 00:54:03
|
|
|
| Nii.. - kisa pole näha, kas keegi viitsis proovida ja mis tulemusega?
|
|
| Kommentaarid: 8 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
|
olavi
HV veteran
liitunud: 06.01.2003
|
|
13.01.2006 01:42:36
|
|
|
jah, toimib edukalt.
veel huvitavam oleks teada kas/kuidas saab piirata:
1) ip põhiselt
2) mac aadressi põhiselt
3) miski pordi kiirust piirata, näiteks 21
_________________
Airsoft relvad. Airsofti varustus |
|
| Kommentaarid: 193 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
5 :: |
175 |
|
| tagasi üles |
|
|
nuhk
Kreisi kasutaja
liitunud: 15.12.2001
|
|
13.01.2006 02:55:29
|
|
|
| olavi kirjutas: |
...kas/kuidas saab piirata:
1) ip põhiselt
2) mac aadressi põhiselt
3) miski pordi kiirust piirata, näiteks 21 |
ip-põhiselt saab, protokolli põhiselt saab ka. mac'iga on värk sedasi, et ruuterid mac-aadressi edasi ei anna - selle tunnuse põhjal saab piirata ainult kohalikust võrgust väljaminevat liiklust, sest "kaugemalt" tulevat mac'i piiraja filter lihtsalt ei näe.
Näitena toodud tcp21. pordi piiramiseks ei tea ma ühtegi arukat põhjust, aga ka seda saab. tcp21 on ftp control-connection'i port, mille kaudu sisselogimine, directory listing jms käib, ftp andmed ise liiguvad kas tcp20. või ülaportides - nii et ftp puhul on vajadus 21. porti muule pasale eelistada, mitte maha piirata. Kui tahad haamerdajaid pedereerida, siis selleks tarvitatakse vähe teistsorti vahendeid.
Kuidas kõiki neid piiramisi ja prioriteete praktiliselt tarvitada, sellest võiks raamatu kirjutada - Linuxi QoS'i teema on tänaseks juba nii lai, et seda valdab täielikult ehk ainult www.google.com
|
|
| Kommentaarid: 8 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
|
Death
HV Guru
liitunud: 06.09.2003
|
|
13.01.2006 09:44:23
|
|
|
olavi, ftp piiramiseks on siiani vähemalt mul olnud transparent FTP proxy. tundub lihtsaim ja mugavaim lahendus.
_________________
"To be or not to be?" is a question of when, not if. |
|
| Kommentaarid: 39 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
36 |
|
| tagasi üles |
|
|
olavi
HV veteran
liitunud: 06.01.2003
|
|
13.01.2006 12:27:14
|
|
|
21 oli lihtsalt näitena toodud (suvaline). mõtlesin just sitasikutajaid vajadusel nudida - bittorrent, kazaa jms
_________________
Airsoft relvad. Airsofti varustus |
|
| Kommentaarid: 193 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
5 :: |
175 |
|
| tagasi üles |
|
|
Death
HV Guru
liitunud: 06.09.2003
|
|
13.01.2006 13:04:39
|
|
|
Sitasikutajatega pole elu nii lihtne. Paned ühe pordi kinni võtavad järgmise.
_________________
"To be or not to be?" is a question of when, not if. |
|
| Kommentaarid: 39 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
36 |
|
| tagasi üles |
|
|
nuhk
Kreisi kasutaja
liitunud: 15.12.2001
|
|
13.01.2006 13:30:45
|
|
|
| Death kirjutas: |
| Sitasikutajatega pole elu nii lihtne. Paned ühe pordi kinni võtavad järgmise. |
Just nimelt... ja nende sikutiste pedereerimise taga on peidus ka peamine põhjus, miks NAT'i rondiks kasutatav masin esialgse loogika vastaselt paar-kolm korda võimsam tuleks käima tõmmata. Võimalusel võiks ka nuditud firewalli softidest hoiduda, sest vajadusel midagi uut lisaks panna tekib hulga ebamugavusi.
|
|
| Kommentaarid: 8 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
|
olavi
HV veteran
liitunud: 06.01.2003
|
|
| Kommentaarid: 193 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
5 :: |
175 |
|
| tagasi üles |
|
|
nuhk
Kreisi kasutaja
liitunud: 15.12.2001
|
|
13.01.2006 13:58:41
|
|
|
| olavi kirjutas: |
| siis tuleb piirduda interfeisi põhise kiiruse piiramisega, et on kõige mõistlikum? |
Arvan, et mitte. Jagada võib kahte moodi - jäigalt ja "üle". Jäigalt ostad näiteks 5 näo peale 1Mbit, igale 200k hammaste vahele... ja ei mingeid probleeme. Nii teevad suured teenusepakkujad, võttes oma kasumi sealt, et kõik nagunii korraga oma riba täis ei tõmba. Aga kodus sarnaselt jagades jääks vaba osa kanalist ISP-le, mitte naabrimehele... ja see enam heaste kaubaks ei lähe. Kodus ja kolhoosis tuleks ikka nii teha, et vaba osa ribast parasjagu aktiivsete masinate vahel ära jaguneks, mitte kaotsi ei läheks. Ka seda nippi, et kodu- ja töökasutajate erinevaid aktiivsuse kellaaegu ära kasutada.. saavad endale lubada vaid need, kes äri- ja kodukliente korraga teenindavad.
|
|
| Kommentaarid: 8 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
|
olavi
HV veteran
liitunud: 06.01.2003
|
|
16.01.2006 23:03:34
|
|
|
see nuhkware..
downloadi osa korras, aga kuidas saan piirata uploadi ainult eth2 peal ainult. masinas on ppp0, eth1 (sisevõrk 1), eth2 (sisevõrk 2).
kui seal eth2 määrata väliseks, siis justkui ei muudeta uploadi osas midagi, ppp0 peal aga kiiruse muutmine mõjub nii eth1 kui ka eth2'le
_________________
Airsoft relvad. Airsofti varustus |
|
| Kommentaarid: 193 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
5 :: |
175 |
|
| tagasi üles |
|
|
nuhk
Kreisi kasutaja
liitunud: 15.12.2001
|
|
17.01.2006 21:25:47
|
|
|
| olavi kirjutas: |
see nuhkware..
downloadi osa korras, aga kuidas saan piirata uploadi ainult eth2 peal ainult. masinas on ppp0, eth1 (sisevõrk 1), eth2 (sisevõrk 2).
kui seal eth2 määrata väliseks, siis justkui ei muudeta uploadi osas midagi, ppp0 peal aga kiiruse muutmine mõjub nii eth1 kui ka eth2'le |
Linux võimaldab lihtsamal viisil piirata ainult konkreetse interface kaudu masinast väljuvat liiklust, seega välise interface peal piiramine peabki mõjuma mõlemast sisevõrgust tulevale uploadile - toodud elementaar-nuhkware ei tee ju sugugi vahet, et kumba eth pealt pakett sisevõrgust "üles" gateway'sse on jõudnud.
Parema nuhkware aretamiseks on mõned lisatingimused - su iptables peab tunnistama "mark"-i ja masinas peab olema peal iproute2. Samuti oleks vaja vähemalt ligikaudu teada ühenduse nominaalset kiirust ja pingi aega (koormamata) kanali kaugemas otsas oleva gateway'ni.
|
|
| Kommentaarid: 8 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
|
olavi
HV veteran
liitunud: 06.01.2003
|
|
| Kommentaarid: 193 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
5 :: |
175 |
|
| tagasi üles |
|
|
nuhk
Kreisi kasutaja
liitunud: 15.12.2001
|
|
20.01.2006 14:48:40
|
|
|
Piiramise täpsust ega näpukate puudumist ei garanteeri, ppp-otsa mul ka proovimiseks pole, aga küsitu peaks see ära tegema.
Natuke arenenum "nuhkware":
#!/bin/sh
# "Nuhkware 2 - kaardipõhine jäik piiramine kahe sisevõrguga"
#
# Hoiatus:
# Kõik tühjad baarikapid, kärvand kassid ja allakukkunud lennuaparaadid
# mis Nuhkware kasutamisel tekivad, on kasutaja isiklik õnnetus.
#
#Siia paneme soovitud kiirused kbit/sec, esimene on kogu uplink
UP=700
UPfromINT1=350
UPfromINT2=350
DOWNviaINT1=1000
DOWNviaINT2=1000
#Siia võrgukaardid:
EXTIF='ppp0'
INTIF='eth1'
INTIF2='eth2'
TC='/sbin/tc'
rc_done=" done"
rc_failed=" failed"
return=$rc_done
tc_reset ()
{
$TC qdisc del dev $EXTIF root 2> /dev/null > /dev/null
$TC qdisc del dev $INTIF root 2> /dev/null > /dev/null
$TC qdisc del dev $INTIF2 root 2> /dev/null > /dev/null
iptables -t mangle -F
}
case "$1" in
start)
tc_reset
$TC qdisc add dev $EXTIF root handle 1: htb default 13 r2q 4
$TC class add dev $EXTIF parent 1: classid 1:10 htb rate ${UP}kbit
$TC class add dev $EXTIF parent 1:10 classid 1:11 htb rate ${UPfromINT1}kbit
$TC class add dev $EXTIF parent 1:10 classid 1:12 htb rate ${UPfromINT2}kbit
$TC class add dev $EXTIF parent 1:10 classid 1:13 htb rate 100kbit
iptables -t mangle -A PREROUTING -i $INTIF -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -i $INTIF2 -j MARK --set-mark 2
iptables -t mangle -I OUTPUT -o $EXTIF -j MARK --set-mark 1
$TC filter add dev $EXTIF parent 1:0 prio 0 protocol ip handle 1 fw classid 1:11
$TC filter add dev $EXTIF parent 1:0 prio 0 protocol ip handle 2 fw classid 1:12
$TC qdisc add dev $INTIF root handle 1: htb default 21 r2q 4
$TC class add dev $INTIF parent 1: classid 1:21 htb rate ${DOWNviaINT1}kbit
$TC qdisc add dev $INTIF2 root handle 1: htb default 22 r2q 4
$TC class add dev $INTIF2 parent 1: classid 1:22 htb rate ${DOWNviaINT2}kbit
{
clear
echo " "
echo "UP-limit"
$TC class show dev $EXTIF
echo " "
echo "DOWN-limit to INT1"
$TC class show dev $INTIF
echo " "
echo "DOWN-limit to INT2"
$TC class show dev $INTIF2
echo " "
}
;;
stop)
echo -n "Stopping nuhkware shaper:"
tc_reset || return=$rc_failed
echo -e "$return"
;;
*)
echo "Usage: $0 {start|stop}"
exit 1
esac
test "$return" = "$rc_done" || exit 1
|
Antud nuhkware on rehkendet ainult läbi masina käiva liikluse lihtsaks nudimiseks - ruuteri enda tekitatud uploadi piiratakse lihtsuse mõttes koos INTIF 1 pealt väljuva liiklusega, netist ruuterisse endasse sissetulevat aga üldse mitte.
Tulemused?
nuhk@hot.ee
|
|
| Kommentaarid: 8 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
|
olavi
HV veteran
liitunud: 06.01.2003
|
|
20.01.2006 23:05:14
|
|
|
| esimese hetkega tundub et toimib nii nagu vaja, asi juba huvitav
|
|
| Kommentaarid: 193 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
5 :: |
175 |
|
| tagasi üles |
|
|
nuhk
Kreisi kasutaja
liitunud: 15.12.2001
|
|
| Kommentaarid: 8 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
|
olavi
HV veteran
liitunud: 06.01.2003
|
|
| Kommentaarid: 193 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
5 :: |
175 |
|
| tagasi üles |
|
|
nuhk
Kreisi kasutaja
liitunud: 15.12.2001
|
|
03.03.2006 13:47:36
|
|
|
| olavi kirjutas: |
| ehk oskab keegi aidata, oleks vaja kindlal mac aadressil või ip'l uploadi kiirust piirata. |
Samas võrgus, millest eelnevalt juttu oli?
|
|
| Kommentaarid: 8 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
|
olavi
HV veteran
liitunud: 06.01.2003
|
|
03.03.2006 14:07:15
|
|
|
jah.
täiesti piisaks kui saaks kindla ip või mac aadressi järgi piirata uploadi kiirust.
või teine variant: jagada upload võrdselt kõigi kasutajate vahel
_________________
Airsoft relvad. Airsofti varustus |
|
| Kommentaarid: 193 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
5 :: |
175 |
|
| tagasi üles |
|
|
janek87
HV kasutaja
liitunud: 13.08.2004
|
|
05.06.2008 17:46:43
|
|
|
Ise istun ka sama probleemi otsas...
Võrk on ilusti graafiliselt jälgitav iga IP aadressi kohta eraldi... Aga kui nüüd mingi IP aadressi andmemahud peaksid kõrgustesse kasvama, siis kuidas oleks kõige lihtsam ja kiirem piirata? 
/Ubuntu Server 8.04, 2 võrgukaarti
|
|
| Kommentaarid: 3 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
3 |
|
| tagasi üles |
|
|
nuhk
Kreisi kasutaja
liitunud: 15.12.2001
|
|
10.06.2008 13:54:05
|
|
|
Üleslaadimise piirangust kliendi järgi: probleemi suhteline keerukus tuleb NAT'ist - uploadi saab piirata ainult välimisel võrgukaardil, aga selleks ajaks on nat juba sisevõrgu ip-aadressi ära "maskeerinud" ja mac ka sinnasamma kadunud. Appi võetakse pakettide markimine, mida on mac-i baasil lihtsam teha kui ip järgi - netfilteri "mark" katab sel juhul kõik protokollid ühe reaga:
iptables -t mangle -A PREROUTING -i INT_IF -m mac --mac-source 00:12:A0:B2:31:2C -j MARK --set-mark 101 (iga pakett, mis sellelt mac'ilt sisse tulnud, saab margi 101).
Järgmiseks "aetakse" margitud pakid filtri abil ext_if peale eelnevalt vamis tehtud klassi (siin näites 101), millele eraldatud kiirus ongi 00:12:A0:B2:31:2C pealt lähtuva üleslaadimise piirang:
tc filter add dev $EXTIF parent 1:0 prio 0 protocol ip handle 101 fw classid 1:101
Pange tähele, et margitakse sisevõrgust tulev pakett maci (või ip+proto) järgi enne natti, aga piiratakse välisel kaardil margi järgi juba pärast natti, mark jääb natist läbi minnes alles.
Samasse klassi võib määrata ka kahe ja rohkema, maci ja/või ip pealt tuleva liikluse - kõik, millel filtreerimise ajaks mark 101 küljes on, see sinna klassi e piirangusse langeb. IP puhul tulen tcp, udp ja icmp jaoks igaühele eraldi rida (muidu ei oska mark source'i paika panna) - see teeb skripti mahukamaks, ülejäänu ei muutu. Iptables uuemad versioonid sisaldavad targetit CLASSIFY, mis kiirustega manipuleerimist veidi lihtsamaks teeb. Täielist näidet ei ole mul praegu aega kokku panna, pusige siit ise edasi, samuti võib siin peast kirjutatud ridades olla näpuvigu.
nuhk@hot.ee
|
|
| Kommentaarid: 8 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
|
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
