Linux.org.ua
Технічні питання => Адміністрування => Гілку створено: Volodymyrko від 2009-01-14 14:03:11
-
Допоможіть правильно обмежити вхідний трафік ???
ситуація така..
є сервер linux на одному інтерфейсі є клієнти ... ходять в нет вони через сквід + НАТ ... якщо трафік до них нема проблем обмежити (htb) то поки що не знайшов правильного рішення як обмежити трафік що йде від них в нет ???
так як їх вихідний трафік може виходити через різні інтерфейси назовні .. тому трохи нецікаво робити
-s ip -j MARK --set-mark + HTB на кожному зовнішньому інтерфейсі ..
а тут ще сквід... трафік на нього не маркується в такому випадку ...
експерементував з tc ... ingress але якось дивно воно поводиься .. і поки я не зрозумів чи попадає воно для транзитного трафіку що йде через шлюз ..
пробував так:
tc qdisc del dev $dev ingress 2>/dev/null
tc qdisc add dev $dev ingress
tc filter add dev $dev parent ffff: protocol ip prio 1 u32 match ip src $ip match ip dst $dst police rate $upl burst 200K drop flowid :1
це був транзинтий трафік ... так швидкість тут плавала в залежності від значення burst в дуже широких межах ..!!!
в думках ще хіба пропуск всього трафіку черезщ якийсь віртуальний інтерфейс.. з htb на нім ...
-
так як їх вихідний трафік може виходити через різні інтерфейси назовні .. тому трохи нецікаво робити
-s ip -j MARK --set-mark + HTB на кожному зовнішньому інтерфейсі ..
Не зовсім розумію навіщо тут маркувати (правила й так можна задати), але на зовнішніх інтерфейсах все одно доведеться налаштовувати.
а тут ще сквід... трафік на нього не маркується в такому випадку ...
Тут можна (НМД - треба) скористатись його вбудованими delay pools.
-
Не зовсім розумію навіщо тут маркувати (правила й так можна задати), але на зовнішніх інтерфейсах все одно доведеться налаштовувати.
як нашо.. на зовнішньому інтерфейсі вони вже будуть за-NAT-чені !!!
ут можна (НМД - треба) скористатись його вбудованими delay pools.
не так.. мова йде про трафік від клієнта !!!! а не до нього.. ..!!!
хіба пули обмежуть трафік що аплоадиться ?? думаю шо ні ...
-
як нашо.. на зовнішньому інтерфейсі вони вже будуть за-NAT-чені !!!
Звички до великої кількості "білих" адрес до добра не доводять.... ::)
не так.. мова йде про трафік від клієнта !!!! а не до нього.. ..!!!
хіба пули обмежуть трафік що аплоадиться ?? думаю шо ні ...
Хм, останні повідомлення про те, що це було неможливо датовані 2005-м роком. Зараз вже може й працює, бо точно про це не написано з жодному з "офіційних" джерел.
P.S. І не треба стільки емоцій. Пожалійте клавіатуру.
-
Звички до великої кількості "білих" адрес до добра не доводять..
шось я не догнав: що таке "білі" адреси в цьому повідомлення
повинен бути "повний "доступ" в нет з певних ІП !!! і тут тільки НАТ ....
а про емоції: їх не так там і багато .. просто вже дуже достала проблема коли хтось аплоадить і тим самим починає гальмувати весь канал ..
і боротися з тим треба тільки на "сервері" !!!
-
Тоді заганяємо все що йде від Squid`а у якийсь клас, що має низький пріоритет, а тому що має йти так - даємо більший, і усі раді. А ще можна заборонити upload з розміром більше ніж.....
-
ви напевно не до кінця розумієте ситуацію...
за гроші людям роздається інтернет .. і тут не може бути якихось таких обмежень як "заборонити upload з розміром більше ніж" і подібне.. що вони собі хочуть те і роблють !
має бути повністю повноцінний інтернет доступ у людей за винятком точно визначених індивідуальних обмежень на download i upload ...
і саме з обмеженням upload-у в мене виникають серйозні проблеми !!! про які я вище описав ...
і потрібна порада як вирішити ці проблеми ??
-
ви напевно не до кінця розумієте ситуацію...
Як я її можу розуміти, коли про неї досі нічого не було відомо?
і потрібна порада як вирішити ці проблеми ??
Єдиний вихід - призначити трафіку від сквіда нижчий пріоритет та/або виділити йому відповідну обмежену швидкість.
-
Як я її можу розуміти, коли про неї досі нічого не було відомо?
описано ще з самого початку..
більш-менш зрозуміло ..
тоді ще таке питання хтось використовував tc .... ingress ???
якісь відгуки про неї може хтось сказати ??
-
описано ще з самого початку..
Описано дуже загально - не відомо що можна робити а чого ні.
-
спробую ще раз пояснити :
через локальну мережу (ethrnet) людям роздається повноцінний інтернет , тому на сервері для кожної ІП прописаний SNAT ..
сервер linux OpenSuse-9.2, має кілька мережних інтерфейсів: один з них(eth) дивиться в ту саму локалку, інші eht<x> чи ppp<x> є зовнішніми каналами в НЕТ...
також на сервері є проксі squid.. який використовується прописавши відповідно налаштування в браузері, або за допомогою DNAT весь трафік шо іде від клієнтів на 80-ий порт завернуто на той самий проксі ....
ПИТАННЯ: як правильно і гарно обмежити трафік що іде він клієнтів в інтернет (ftp,torrent,upload http і т.д.). цей трафік складається з : транзинтного (відносно серверу) трафіку і трафіку що іде на проксі ... ???
як приклад: треба для якогось <IP> обмежити upload до 128Kbit ???
думаю детально ???
а шодо того "що можна робити, а що ні " : а які варіанти є ??? .. бо можна робити все що треба в розумних межах для досягнення мети ...
-
ПИТАННЯ: як правильно і гарно обмежити трафік що іде він клієнтів в інтернет (ftp,torrent,upload http і т.д.). цей трафік складається з : транзинтного (відносно серверу) трафіку і трафіку що іде на проксі ... ???
як приклад: треба для якогось <IP> обмежити upload до 128Kbit ???
Зі Squid таке точно не вийде. Хіба що вдасться десь відшукати латку, що реалізує потрібний функціонал. Або якщо це реалізували у 3-й версії та "забули" додати у Changelog, бо у ньому я такого не знайшов.
а шодо того "що можна робити, а що ні " : а які варіанти є ??? .. бо можна робити все що треба в розумних межах для досягнення мети ...
От в тому то й проблема - у розумних межах нічого не лишилося. Звісно, виходом було б понизити швидкість для трафіку що йде на squid від відповідного клієнта, але щось ніяк не приходить в голову як це нормально зробити, бо робити DROP частині трафіку - це з серії BOFH.