abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

    včera 17:44 | Nová verze

    Linuxová distribuce OpenMandriva byla vydána ve verzi ROME 23.03. Název ROME říká, že se jedná se o průběžně aktualizovanou (rolling) edici. Stabilní edice nese název Rock, aktuálně OpenMandriva Lx 4.3 Dysprosium.

    Ladislav Hagara | Komentářů: 0
    včera 17:33 | Pozvánky

    Tento pátek od 14:00 proběhne v Brně na FI MUNI konference DevConf Mini. Na programu je celá řada zajímavých přednášek od testování releasů Fedory, přes super počítače nebo Big Data, až po závody autonomních aut. Konferenci bude možné sledovat i na online streamu.

    joejoe | Komentářů: 0
    včera 15:00 | Zajímavý článek

    Minulý týden proběhla hackerská soutěž Pwn2Own Vancouver 2023. Adobe Reader, Microsoft SharePoint, Oracle VirtualBox, Tesla, Ubuntu Desktop, Windows 11, macOS, Microsoft Teams, VMWare Workstation. Vše hacknuto. Synacktiv získal 530 000 dolarů a Teslu Model 3.

    Ladislav Hagara | Komentářů: 4
    včera 07:00 | Nová verze

    Byla vydána nová stabilní verze 3.5 svobodného 3D softwaru Blender. Přehled novinek i s náhledy v oznámení o vydání a na YouTube.

    Ladislav Hagara | Komentářů: 0
    včera 06:00 | Nová verze

    Po 5 měsících vývoje od vydání verze 6.1 byla vydána nová verze 6.2 svobodného open source redakčního systému WordPress. Kódové jméno Dolphy bylo vybráno na počest amerického jazzového altsaxofonisty, flétnisty a basklarinetisty Erica Dolphyho.

    Ladislav Hagara | Komentářů: 0
    29.3. 21:44 | IT novinky

    Josef Průša představil (YouTube) novou 3D tiskárnu Original Prusa MK4. Cena sestavené tiskárny je 27990 Kč. Cena stavebnice je 20990 Kč.

    Ladislav Hagara | Komentářů: 4
    29.3. 19:00 | Nová verze

    Turris OS, operační systém pro síťová zařízení Turris postavený na OpenWrt, byl vydán v nové verzi 6.3.0. Vývojáři upozorňují, že Netmetr byl nahrazen LibreSpeedem, viz příspěvek na blogu CZ.NIC.

    Ladislav Hagara | Komentářů: 0
    29.3. 17:33 | Bezpečnostní upozornění

    Byl vydán xorg-server 21.1.8 a xwayland 22.1.9 a 23.1.1. Řešena je zranitelnost CVE-2023-1393 využitelná k lokální eskalaci práv.

    Ladislav Hagara | Komentářů: 4
    29.3. 15:00 | Nová verze

    Byla vydána nová verze 10 integrovaného vývojového prostředí (IDE) Qt Creator. Podrobný přehled novinek v cgitu.

    Ladislav Hagara | Komentářů: 0
    28.3. 22:33 | Komunita

    Ubuntu Cinnamon bude od Ubuntu 23.04 oficiální odnoží Ubuntu (návrh, schválení).

    Ladislav Hagara | Komentářů: 4
    Používáte WSL (Windows Subsystem for Linux)?
     (73%)
     (12%)
     (3%)
     (11%)
    Celkem 376 hlasů
     Komentářů: 7, poslední 28.3. 17:34
    Rozcestník


    Dotaz: Traffic shaping - markovani s NATem

    5.8.2005 15:34 David Sedláček | skóre: 20 | Žďár nad Sázavou
    Traffic shaping - markovani s NATem
    Přečteno: 208×
    Zdravim. Muj problem je nasledujici: iptables-1.2.11(p-o-m), kernel-2.4.31. Snazim se na stroji se dvema interfacy rozchodit shaping pomoci HTB+SFQ. Na tom by nic nebylo, kdyby to ale fungovalo. Cely problem, jak jsem zjistil, je v markovani paketu.

    Na stroji totiz bezi shaper, ktery znaci pakety a shapuje. Ukazka:
    /sbin/tc qdisc del dev eth1 root
    /sbin/tc qdisc del dev eth0 root
    /sbin/iptables -t mangle -A FORWARD -d 10.0.0.0/8 -o eth0 -j ACCEPT
    /sbin/iptables -t mangle -A POSTROUTING -s 10.0.0.0/8 -o eth1 -j ACCEPT
    /sbin/tc qdisc add dev eth1 root handle 1: htb default 2
    /sbin/tc class add dev eth1 parent 1: classid 1:2 htb rate 100Mbit ceil 100Mbit burst 0k
    /sbin/tc class add dev eth1 parent 1:2 classid 1:1 htb rate 800kbit ceil 800kbit burst 0k
    /sbin/tc qdisc add dev eth0 root handle 1: htb default 2
    /sbin/tc class add dev eth0 parent 1: classid 1:2 htb rate 100Mbit ceil 100Mbit burst 0k
    /sbin/tc class add dev eth0 parent 1:2 classid 1:1 htb rate 190kbit ceil 190kbit burst 0k
    /sbin/tc class add dev eth1 parent 1:1 classid 1:160 htb rate 800kbit ceil 800kbit burst 0k
    /sbin/tc class add dev eth0 parent 1:1 classid 1:160 htb rate 200kbit ceil 200kbit burst 0k
    /sbin/tc class add dev eth1 parent 1:160 classid 1:60 htb rate 160kbit ceil 800kbit burst 0k
    /sbin/tc class add dev eth0 parent 1:160 classid 1:60 htb rate 40kbit ceil 200kbit burst 0k
    /sbin/tc class add dev eth1 parent 1:60 classid 1:30 htb rate 60kbit ceil 800kbit burst 0k
    /sbin/tc class add dev eth0 parent 1:60 classid 1:30 htb rate 15kbit ceil 200kbit burst 0k
    Timto vytvori hlavni tridy pro obe rozhrani.
    /sbin/iptables -t mangle -A POSTROUTING -d 10.30.1.90/32 -o eth1 -j MARK --set-mark 2095
    /sbin/iptables -t mangle -A POSTROUTING -d 10.30.1.90/32 -o eth1 -j ACCEPT
    /sbin/iptables -t mangle -A FORWARD -s 10.30.1.90/32 -o eth0 -j MARK --set-mark 2095
    /sbin/iptables -t mangle -A FORWARD -s 10.30.1.90/32 -o eth0 -j ACCEPT
    /sbin/tc class add dev eth1 parent 1:60 classid 1:2095 htb rate 60kbit ceil 400kbit burst 0k
    /sbin/tc qdisc add dev eth1 parent 1:2095 handle 2095 sfq perturb 10
    /sbin/tc filter add dev eth1 parent 1:0 protocol ip handle 2095 fw flowid 1:2095
    /sbin/tc class add dev eth0 parent 1:60 classid 1:2095 htb rate 15kbit ceil 100kbit burst 0k
    /sbin/tc qdisc add dev eth0 parent 1:2095 handle 2095 sfq perturb 10
    /sbin/tc filter add dev eth0 parent 1:0 protocol ip handle 2095 fw flowid 1:2095
    Toto uz je klient #1
    /sbin/iptables -t mangle -A POSTROUTING -d 10.30.255.254/32 -o eth1 -j MARK --set-mark 2094
    /sbin/iptables -t mangle -A POSTROUTING -d 10.30.255.254/32 -o eth1 -j ACCEPT
    /sbin/iptables -t mangle -A FORWARD -s 10.30.255.254/32 -o eth0 -j MARK --set-mark 2094
    /sbin/iptables -t mangle -A FORWARD -s 10.30.255.254/32 -o eth0 -j ACCEPT
    /sbin/tc class add dev eth1 parent 1:60 classid 1:2094 htb rate 60kbit ceil 100kbit burst 0k
    /sbin/tc qdisc add dev eth1 parent 1:2094 handle 2094 sfq perturb 10
    /sbin/tc filter add dev eth1 parent 1:0 protocol ip handle 2094 fw flowid 1:2094
    /sbin/tc class add dev eth0 parent 1:60 classid 1:2094 htb rate 15kbit ceil 25kbit burst 0k
    /sbin/tc qdisc add dev eth0 parent 1:2094 handle 2094 sfq perturb 10
    /sbin/tc filter add dev eth0 parent 1:0 protocol ip handle 2094 fw flowid 1:2094
    Klient #2 atd atd..
    ************************************************************
    Az do teto chvile funguje vse 0K. Pak ale chci na vyssi tridu 1:60 (pod kterou jsou klienti) navesit dalsi tridu (skript nize), do ktere by spadaly pakety vyhodnocene jako odpovidajici. To chci resit timto:
    
    IPT="/sbin/iptables"
    LANDEV="eth1"     #lokalni nic
    INETDEV="eth0"    #ISP
    MAXDOWNRATE="100kbit"
    MINDOWNRATE="50kbit"
    MAXUPRATE="50kbit"
    MINUPRATE="50kbit"
    
    $IPT -t mangle -A PREROUTING -m tcp -j CONNMARK --restore-mark
    $IPT -t mangle -A PREROUTING -m mark ! --mark 0 -j ACCEPT
    $IPT -t mangle -A PREROUTING -m ipp2p --ipp2p -j MARK --set-mark 9999
    $IPT -t mangle -A PREROUTING -m mark --mark 9999 -j CONNMARK --save-mark
    #
    #vytvorit novou tridu na lokalnim NIC
    /sbin/tc class add dev $LANDEV parent 1:60 classid 1:9999 htb rate $MINDOWNRATE ceil $MAXDOWNRATE burst 0k
    /sbin/tc qdisc add dev $LANDEV parent 1:9999 handle 9999 sfq perturb 10
    /sbin/tc filter add dev $LANDEV parent 1:0 protocol ip handle 9999 fw flowid 1:9999
    #
    #vytvorit novou tridu na inet NIC
    /sbin/tc class add dev $INETDEV parent 1:60 classid 1:9999 htb rate $MINUPRATE ceil $MAXUPRATE burst 0k
    /sbin/tc qdisc add dev $INETDEV parent 1:9999 handle 9999 sfq perturb 10
    /sbin/tc filter add dev $INETDEV parent 1:0 protocol ip handle 9999 fw flowid 1:9999
    Trida 1:9999 na obou rozhranich se vytvori, funguje bezproblemu (odzkouseno). Ale kdyz se podivam zda-li do nich neco tece, jsou prazdne.

    Timto se dostavam konecne k me otazce: pravdepodobne to markovani nejakym zpusobem koliduje s predchozimi pravidly pro klienty, ale kde? Co delam spatne?

    K tomuto jsem dospel diky "vyhozeni" shaperu a vytvoreni vlastnich hlavnich trid, na ktere jsem povesil 1:9999 (viz. vyse) - pak vse fungovalo - shapovani up/down podle znacky (9999). Docela mne to zarazi.. :-(

    Odpovědi

    5.8.2005 15:40 David Sedláček | skóre: 20 | Žďár nad Sázavou
    Rozbalit Rozbalit vše Re: Traffic shaping - markovani s NATem
    Dodatek - ten kod vyse planuji implementovat do "hlavniho shaperu" ke kazdemu klientovi => kazdy bude mit dve tridy. Timto si to chci pouze otestovat.
    6.8.2005 13:15 iwik
    Rozbalit Rozbalit vše Re: Traffic shaping - markovani s NATem
    ahoj, je dost zlozite na to aby to clovek takto skontroloval...preto len jeden taky tip: skus odstranit cast
    $IPT -t mangle -A PREROUTING -m tcp -j CONNMARK --restore-mark
    $IPT -t mangle -A PREROUTING -m mark ! --mark 0 -j ACCEPT
    $IPT -t mangle -A PREROUTING -m ipp2p --ipp2p -j MARK --set-mark 9999
    $IPT -t mangle -A PREROUTING -m mark --mark 9999 -j CONNMARK --save-mark
    
    a skusit ci to ide. lebo ja ked som markovat p2p s ipp2p tak mi to rozhadzalo cele markovanie (pravdepodobne som mal asi daco zle, ale...)
    7.8.2005 15:08 David Sedláček | skóre: 20 | Žďár nad Sázavou
    Rozbalit Rozbalit vše Re: Traffic shaping - markovani s NATem
    Cely shaper funguje bezproblemove, az na tu cast, co jste quotoval. Podle toho jsem chtel znacit p2p traffic a odpovidajici pakety hazet do 1:9999. Ale tato trida je stale prazdna, takze to vypada na chybne oznaceni paketu. Snad na to prijdu, cim to je.

    Jinak ten novy kod shaperu vypada takto:
       /* -------------------------------------------------------- mark down/up */
     
      sprintf(str,"%s -t filter -A %s -d %s -j  MARK --set-mark %d",iptables,chain_forward,ip->addr,ip->mark);
      safe_run(str);
    
      sprintf(str,"%s -t filter -A %s -d %s -j ACCEPT",iptables,chain_forward,ip->addr);
      safe_run(str);
    
    sprintf(str,"%s -t filter -A %s -s %s -j  MARK --set-mark %d",iptables,chain_forward,ip->addr,ip->mark);
      safe_run(str);
     
      sprintf(str,"%s -t filter -A %s -s %s -j ACCEPT",iptables,chain_forward,ip->addr);
      safe_run(str);
    
    
      if(ip->min)
      {
       /* -------------------------------------------------------- download class */
       printf("(down: %d k - %d k ", ip->min, ip->max);
    
       sprintf(str,"%s class add dev %s parent 1:%d classid 1:%d htb rate %dkbit ceil %dkbit burst %dk", tc, lan, ip->min, ip->mark,ip->min,ip->max, burst);
       safe_run(str);
    
       sprintf(str,"%s qdisc add dev %s parent 1:%d handle %d sfq perturb 10", tc, lan, ip->mark, ip->mark);
       safe_run(str);
       
       sprintf(str,"%s filter add dev %s parent 1:0 protocol ip u32 match ip dst %s", tc, lan, ip->addr);
       safe_run(str);
       
    
       /* -------------------------------------------------------- upload class */
       printf("up: %d k - %d k)\n", ip->min/asymetry_ratio-asymetry_fixed, ip->max/asymetry_ratio-asymetry_fixed); //upload podleha asymetry ratio!
    
       sprintf(str,"%s class add dev %s parent 1:%d classid 1:%d htb rate %dkbit ceil %dkbit burst %dk",tc, wan, ip->min, ip->mark,ip->min/asymetry_ratio-asymetry_fixed,ip->max/asymetry_ratio-asymetry_fixed, burst);
       safe_run(str);
    
       sprintf(str,"%s qdisc add dev %s parent 1:%d handle %d sfq perturb 10",tc, wan, ip->mark, ip->mark);
       safe_run(str);
          
       sprintf(str,"%s filter add dev %s parent 1:0 protocol ip handle %d fw flowid 1:%d",tc, wan, ip->mark, ip->mark);
       safe_run(str); 
    Jinymi slovy jsem ve shaperu zmenil markovani down/up (vecer odzkousim, snad to bude fungovat):
    iptables -t filter -A FORWARD  -d 10.30.x.x/32 -j MARK --set-mark %d
    iptables -t filter -A FORWARD -d 10.30.x.x/32 -j ACCEPT
    iptables -t filter -A FORWARD -s 10.30.x.x/32 -j MARK --set-mark %d
    iptables -t filter -A FORWARD -s 10.30.x.x/32 -j ACCEPT
    Jeste zbyva upravit to vyse pro P2P (ipp2p), jen nevim, jestli to dat do FORWARDu. Snad vecer napisu jak jsem dopadl.
    7.8.2005 15:13 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Traffic shaping - markovani s NATem
    Zkusil bych zjistit, jestli je problém v označení paketů nebo v traffic control. Zkuste si tam dát někam pravidlo, které bude ty označené pakety počítat.
    7.8.2005 12:15 Lazar | skóre: 6
    Rozbalit Rozbalit vše Re: Traffic shaping - markovani s NATem
    Jaky je tvoj problem chces shapovat traffic? Tak nechapem co riesis pouzi htb skript napises si subory pravidla pre koho co ako, a on ich vygeneruje tak nevie co riesis.
    7.8.2005 12:25 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Traffic shaping - markovani s NATem
    Já pro změnu nevím, co vlastně řešíte vy. Jinak řečeno, váš příspěvek jsem absolutně nepochopil…

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.