Обмеження трафіку

[peinguin]

Добридень
Є шлюз з Debian Linux.
Він підключений до провайдера інтернет (можливо потім підключиться ще один, але поки лише один).
А до нього через один інтерфейс підключено близько 30 підмереж (через віртуальні інтерфейси).

Порадьте, як зробити так, що трафік балансувався між всима користувачами інтернет, чи обмежити швидкість одного підключення, щоб хтось з torrent не з’їв весь трафік.

я так розумію є 3 шляхи.
1. Squid
2. traffic control з iproute2
3. –m limit для iptables

3й варіант якийсь самий стрьомний.
Другий, здається не пише логів. Але я не впевнений.
Найбільш схильний до Squid + transparent proxy. Тому що можна буде подивитись логи.

В кого які думки з цього приводу?

[pawel_chk]

Саме просте і швидке рішення це Squid...  Організувати пули по групах і маєш чистий спокії..  Зручне блокування небажаного контенту,реклами...Не знаю чи це добре для тебе чи ні,але torrent клієнти повноцінно жити не зможуть через проксік,то б то качати зможуть,а от роздавати не...

ще до Squid-a ,  можно прикрутити готовий php скрипт який онлайн показує всі з"єднання і швидкість закачки(нажаль віддачу не показуе) SqStat http://habrahabr.ru/post/56886/

мутити  нарізку на iptables для кожного користувача,можливо,але не дуже зручно.. Як на мене це краще використати для обмеження трафіку по конкретних портах або службах (пошта,ftp...)

[peinguin]

Так, але багато клієнтів через проксі не сильно завантажуватимуть сервер?
Та й transparent proxy ще можна зробити для WWW. А от остальні служби будуть ходити в обід. Чи як?

[pawel_chk]

Багато то скільки? В мене коло 70 юзерів,завантаження мізер, решта служби то які для прикладу?

[peinguin]

Багато - ну це університет, як що думаю кілька сотень точно.

зараз спробував через tc.
Незнаю, чи вийшло. Піду зараз поппитаю як там.

Я керувався http://habrahabr.ru/post/119611/
То просто встановив замість

/sbin/tc class add dev eth0 parent 1:1 classid 1:900 htb rate 56Kbit ceil 128Kbit

/sbin/tc class add dev eth0 parent 1:1 classid 1:900 htb rate 5Мbit ceil 10Мbit.

Але в мене, до цього інтернет через NAT. То я нічого не змінював.
Так що незнаю, може воно через fb0 і не ходить.
А десь мануал є, як це зробити через squid. Всетаки логи - це добре.

[pawel_chk]

В стандартній доці по Squid є всі необхідні приклади..  ставиш сквід, куриш опцію delay_pools ,для прикладу почитай от це http://www.avkuzmin.ru/2006/08/squid-delay-pools.html,зрешта такий описів є море..  Але перед налаштуванням  delay_pools треба налаштувати сам проксік,а вже потім братись за обмеження трафіку..

[peinguin]

дякую.

[kisil]

Я не знаю чи сквід підійде нормально для нарізки трафіку відмінного від веб, наприклад того ж самого ФТП. В мене в інституті я налаштував так, сквід роздає абсолютно весь веб трафік і швидкість ріжеться через нього, але деякі користувачі, яким потрібен прямий доступ до інтернету, тому вони за натом. І цим Натовцям я ріжу швидкість за допомогою tc, але напряму писати правила для  tc я ще не доріс, тому використовую скрипт, який робить це за мене, тільки потрібно створити конфігураційні файли. Скрипт називається htb. Правда Натовий трафік немає чим стандартно логувати, тому для цього я використовую таку одну систему як trafstat. Ось так. Якщо цікавить то можу докладніше розповісти і викласти власні конфіги. Доречі  tc вміє тільки різати швидкість, яка виходить з інтерфейсу, тобто вихідний трафік, той трафік, що приходить на інтерфейс він не ріже.

[pawel_chk]

так і є.. сквід вміє проксіти тільки веб і фтп трафік,для всього решта нат(маскарадінг і .т.п).І з вихідним трафіком теж не все так гладенько (при наймі на 2,6 версіі)

[peinguin]

тут ще одна проблема. Там на шлюзі, ще деякі локальні ресурси. Тому я поставив eth0 100 мегабіг.
А ifb0 rate 5, ceil 10.
Як думаєте, це нормально?