Forum Debian Users Gang

Marek_boss · 2008-11-25 14:51:24

Witam
Wiem, że trochę było o tym na forum, ale ale nie udało mi się znaleźć w miarę świerzej odpowiedzi. Jakie jajko i jakie patche byście zaproponowali dla routera obsługującego podział łącza na ok 20 userów.
Obecnie mam jajko 2-6-18-5-686 dystrybucyjne i postawione na tym HTB i squid-a, ale zaobserwowałem ostatnio wzmożoną aktywność p2p i chciałbym coś z tym zrobić. Z tego co wyczytałem conlimit trzeba sobie dokompilować do jajka. Stąd moje pytanie. Na wiosnę mam plan poszerzyć trochę łącze i zwiększyć liczbę userów (sami znajomi, którzy mają problem z dostępem do stałego łącza), ale już teraz chciałbym przygotować router.
W grę wchodzi podział pasma, wycinanie lub ograniczenie p2p - przynajmniej w dzień, w razie dokupienia drugiego łącza przerzucenie całego p2p na inne łącze, żeby router był bezpieczny.
W skrócie: Chciałbym tak skompilować jajko, żebym w razie czego, nie musiał tego robić na wiosnę bo czegoś zapomniałem :)

PS: To będzie moje pierwsze jajko :)

Ostatnio edytowany przez Marek_boss (2008-11-25 14:52:24)

siarka2107 · 2008-11-25 15:06:32

p2p wszystkiego raczej nie złapiesz, radzę pomyśleć trochę odwrotnie, a mianowicie połapać ważne usługi i wrzucić je do kolejek o wysokim priorytecie na reszta do kolejki o najniższym priorytecie, możesz to zrobić łapiąc po portach lub np za pomocą layer7, do podziału radzę użyć hfsc zamiast htb. Co dasz do jajka to wyłącznie twój wybór, taki standard to pom, imq, layer7, esfq, ewentualnie routes jak planujesz obsługę wielu łącz

Marek_boss · 2008-11-25 15:17:00

A jakie jajko być proponował? Jest to Pentium 4 1.8. A grsecurity opłaca mi się, czy szkoda zachodu?
Na linuximq znalazłem patche dla:
jajka 2.6.25
iptables 1.4.1

patch-o-matic-ng-20040621 oraz netfilter-layer7-v2.20.tar.gz nada się do tego jajka?
"routes" to jest patch, czy tylko muszę włączyć obsługę podczas konfiguracji?
Mogę sobie to jajko spatchować i skompilować na innym kompie (do paczki .deb) a później tylko wrzucić na router i zainstalować?

Ostatnio edytowany przez Marek_boss (2008-11-25 16:08:10)

siarka2107 · 2008-11-25 16:29:52

ja aktualnie działam z tymi patchami (i nie tylko :)) na linux-2.6.26.8, iptables-1.4.2, iproute2-2.6.26, grsec na router raczej nie ma sensu

---edit---
routes to łata na kernel http://www.ssi.bg/~ja/

Ostatnio edytowany przez siarka2107 (2008-11-25 16:32:08)

Marek_boss · 2008-11-25 16:45:29

Skompletowałem:
jajko 2.6.25.20
iptables-1.4.1.1
iptables-1.4.1-imq.diff
linux-2.6.25-imq5.diff
netfilter-layer7-v2.20
patch-o-matic-ng-20040621
ipp2p-0.8.2
iproute2-2.6.25

Po co nakładać iproute (czy przy iproute dalsze cyferki oznaczają wersję jajka pod które jest?) i czy ipp2p warto mieć?
Skąd wziąć esfq dla 2.6.25? bo znalazłem tylko do 2.6.24 :(

Ostatnio edytowany przez Marek_boss (2008-11-25 17:19:58)

siarka2107 · 2008-11-25 18:32:42

[quote=Marek_boss]Po co nakładać iproute (czy przy iproute dalsze cyferki oznaczają wersję jajka pod które jest?)[/quote]
jak chcesz korzystać z esfq to musisz nałożyć łate na kernela i iproute2, ostatnio tak sie jakoś złożyło że jak odpowiadają sobie cyferki kernela i iproute2 to ma pasować
[quote=Marek_boss]Skąd wziąć esfq dla 2.6.25? bo znalazłem tylko do 2.6.24 :([/quote]
łata z 2.6.24 spokojnie pójdzie na 2.6.25, tylko musisz zrobić mały tuning aby włączyć 'hash types', mianowicie

Kod:

###/net/sched/Kconfig
-       depends on NET_SCH_ESFQ && NF_CONNTRACK_ENABLED
+       depends on NET_SCH_ESFQ && NF_CONNTRACK

[quote=Marek_boss]i czy ipp2p warto mieć?[/quote]
czego nie, patcha ipp2p masz już w pom
[quote=Marek_boss]patch-o-matic-ng-20040621[/quote]
troche stary ten pom, http://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/patch-o-matic-ng-20081124.tar.bz2

Ostatnio edytowany przez siarka2107 (2008-11-25 18:33:43)

Marek_boss · 2008-11-25 19:28:16

Napiszesz mi jeszcze kolejność nakładania łat? Będę wdzięczny :)

siarka2107 · 2008-11-26 08:13:35

obojętnie jak...

---edit---
jak nakładasz łaty to najpierw testujesz nakładanie

Kod:

patch -p1 --dry-run < łata.patch

jak się czysto nałoży to:

Kod:

patch -p1 < łata.patch

Ostatnio edytowany przez siarka2107 (2008-11-26 10:30:34)

Marek_boss · 2008-11-27 10:29:37

Zrobiłem tyle:
Rozpakowałem jajko do /usr/src/ i zrobiłem symlinka na linux.
Rozpakowałem do /usr/src/ iptables 1.4.1.1 skopiowałem iptables-1.4.1-imq.diff
Potem

Kod:

:/usr/src/iptables-1.4.1.1# patch -p1<iptables-1.4.1-imq.diff
patching file extensions/.IMQ-test
patching file extensions/.IMQ-test6
patching file extensions/libip6t_IMQ.c
patching file extensions/libipt_IMQ.c

Następnie do usr/src/ skopiowałem patch-o-matic--ng a w /usr/src/iptables-1.4.1.1 dałem ./configure
Następnie

Kod:

r:/usr/src/patch-o-matic-ng-20081124# ./runme --download
Successfully downloaded external patch geoip
Successfully downloaded external patch condition
Successfully downloaded external patch IPMARK
Successfully downloaded external patch ROUTE
Successfully downloaded external patch connlimit
Successfully downloaded external patch ipp2p
Successfully downloaded external patch time
./patchlets/ipv4options exists and is not external
./patchlets/TARPIT exists and is not external
Successfully downloaded external patch ACCOUNT
Successfully downloaded external patch pknock
Hey! KERNEL_DIR is not set.
Where is your kernel source directory? [/usr/src/linux] 
Hey! IPTABLES_DIR is not set.
Where is your iptables source code directory? [/usr/src/iptables] /usr/src/iptables-1.4.1.1
Loading patchlet definitions......................... done

Excellent! Source trees are ready for compilation.

Następnie skopiowałem linux-2.6.25-imq5.diff do /usr/src/linux i dałem

Kod:

r:/usr/src/linux# patch -p1 <iptables-1.4.1-imq.diff
patching file extensions/.IMQ-test
patching file extensions/.IMQ-test6
patching file extensions/libip6t_IMQ.c
patching file extensions/libipt_IMQ.c

Zostało mi jeszcze iproute2-2.6.25, netfilter-layer7v2.20
Jak to nałożyć?

Ostatnio edytowany przez Marek_boss (2008-11-27 10:34:27)

siarka2107 · 2008-11-27 11:08:06

widze, że do poma ściagłeś dodatkowe łaty, musisz je jeszcze nałożyć na kernela i iptables

Kod:

./runme all

jeśli chodzi o layer7 to na kernela nakładasz łate

Kod:

kernel-2.6.25-layer7-2.20.patch

a do iptables/extensions kopiujesz pliki z katalogu iptables-1.4.1.1-for-kernel-2.6.20forward

Marek_boss · 2008-11-27 11:50:23

Przy nakładaniu drugiego patcha jest
patch -p2<.diff
?

Ostatnio edytowany przez Marek_boss (2008-11-27 12:12:58)

siarka2107 · 2008-11-27 12:49:01

nie

Marek_boss · 2008-11-27 13:02:12

Tak myślałem. Jajko już się kompiluje. Ciekawe co wyjdzie :)

Dupa: Jajko staje na imq:

Kod:

 CC [M]  net/ipv4/netfilter/ipt_IMQ.o
net/ipv4/netfilter/ipt_IMQ.c: In function ‘imq_target’:
net/ipv4/netfilter/ipt_IMQ.c:19: error: ‘struct sk_buff’ has no member named ‘imq_flags’
make[4]: *** [net/ipv4/netfilter/ipt_IMQ.o] Błąd 1
make[3]: *** [net/ipv4/netfilter] Błąd 2
make[2]: *** [net/ipv4] Błąd 2
make[1]: *** [net] Błąd 2
make[1]: Opuszczenie katalogu `/usr/src/linux-2.6.25.20'
make: *** [debian/stamp-build-kernel] Błąd 2

Co z tym zrobić?

Ostatnio edytowany przez Marek_boss (2008-11-27 18:25:12)

siarka2107 · 2008-11-27 19:21:15

[quote=Marek_boss]Następnie skopiowałem linux-2.6.25-imq5.diff do /usr/src/linux i dałem

Kod:

r:/usr/src/linux# patch -p1 <iptables-1.4.1-imq.diff
patching file extensions/.IMQ-test
patching file extensions/.IMQ-test6
patching file extensions/libip6t_IMQ.c
patching file extensions/libipt_IMQ.c

[/quote]
Coś mi tutaj nie pasuje łate iptables-imq nakładałeś na kernela?? Co do tego błędu to nie poradze nic, jedyne co mogę polecić to [url=http://dimax.rootnode.net/2.6.26.8/]moje[/url] paczki

Marek_boss · 2008-11-27 19:49:02

Ponakładałem jeszcze raz łatki i wszystko poszło.

Dzięki. Jesteś wielki :)

PS. iptables trzeba osobno kompilować, bo ciągle mam starą wersję 1.3.6 ?

Ostatnio edytowany przez Marek_boss (2008-11-27 19:54:19)

siarka2107 · 2008-11-27 21:27:30

[quote=Marek_boss]Ponakładałem jeszcze raz łatki i wszystko poszło.

Dzięki. Jesteś wielki :)

PS. iptables trzeba osobno kompilować, bo ciągle mam starą wersję 1.3.6 ?[/quote]
tak osobno kompilujesz

Marek_boss · 2008-11-28 17:45:02

Mam problem z nałożeniem conlimit:

Kod:

Do you want to apply this patch [N/y/t/f/a/r/b/w/q/?] y
unable to find ladd slot in src /tmp/pom-27362/net/ipv4/netfilter/Makefile (./patchlets/connlimit/linux-2.6/./net/ipv4/netfilter/Makefile.ladd)

Czy trzeba czekać na nowsze p-o-m ?

Ostatnio edytowany przez Marek_boss (2008-11-28 20:15:07)

siarka2107 · 2008-11-28 22:45:11

connlimit nie nakładsz z poma bo jest on już oficjalnie wspierany w jajku i iptables

koms · 2008-12-07 19:09:58

Witam !!!

Nie chcę zakładać nowego topica.

Pytanie do Siarka2107:

Jaka jest różnica pomiędzy paczkami 2.6.26.7, a 2.6.26.8

Dziękuję z góry za odp.

siarka2107 · 2008-12-08 14:39:24

kilka usprawnień, oczywiście mały upgrade do ostatniej wersji z tej linii, napisze tak jak to robią programiści jądra :) "Dla użytkowników samodzielnie kompilujących jądro polecam przesiadkę", aha no i oczywiście upgrade iptables do wersji 1.4.2

---edit---
został dokonany również upgrade ipset do wersji 2.4.5, włączyłem również 'conntrack hash types' w esfq

Ostatnio edytowany przez siarka2107 (2008-12-08 14:41:34)

koms · 2008-12-09 00:18:36

[quote=siarka2107]kilka usprawnień, oczywiście mały upgrade do ostatniej wersji z tej linii, napisze tak jak to robią programiści jądra :) "Dla użytkowników samodzielnie kompilujących jądro polecam przesiadkę", aha no i oczywiście upgrade iptables do wersji 1.4.2

---edit---
został dokonany również upgrade ipset do wersji 2.4.5, włączyłem również 'conntrack hash types' w esfq[/quote]
Rozumiem to tak:

Mój opis [url]http://ellebian.pl/opis.html[/url] muszę tylko zaktualizować o wpisy z nowymi numerami i będzie OK ? [b]2.6.26.7 na 2.6.26.8 ???[/b]

siarka2107 · 2008-12-09 08:01:39

jak zainstalujesz jajko to wpisy same ci sie dodadzą do gruba/lilo (później musisz usunąć linux-image-2.6.26.7), instalująć iproute2, iptables, ipset pakiety zastąpią poprzednie wersje

koms · 2008-12-09 09:57:54

[quote=siarka2107]jak zainstalujesz jajko to wpisy same ci sie dodadzą do gruba/lilo (później musisz usunąć linux-image-2.6.26.7), instalująć iproute2, iptables, ipset pakiety zastąpią poprzednie wersje[/quote]
Rozumiem to wiem tylko chodzi mi o HOTO z mojej strony, chciałbym upgrade zrobic opisowi. Czy wystarczy zrobic w moim opisie tylko zmiany numeracji z 2.6.26.7 na 2.6.26.28 i wszystko bedzie dalej tak jak w opisie [url]http://ellebian.pl/opis.html[/url]. Oczywiście analogicznie dodam opis instalacji [b]ipset[/b].

Ostatnio edytowany przez koms (2008-12-09 11:21:58)

siarka2107 · 2008-12-09 13:19:38

tak

tmq · 2008-12-19 00:34:21

Marek_boss możesz wrzucić na jakiś upload gotowe jajko? :)

Time (s)	Query
0.00009	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00115	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.138.37.152' WHERE u.id=1
0.00070	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.138.37.152', 1731715593)
0.00056	SELECT * FROM punbb_online WHERE logged<1731715293
0.00043	SELECT topic_id FROM punbb_posts WHERE id=105535
0.00006	SELECT id FROM punbb_posts WHERE topic_id=12821 ORDER BY posted
0.00058	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=12821 AND t.moved_to IS NULL
0.00005	SELECT search_for, replace_with FROM punbb_censoring
0.00223	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=12821 ORDER BY p.id LIMIT 0,25
0.00120	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=12821
Total query time: 0.00709 s

Forum Debian Users Gang

Ogłoszenie

#1 2008-11-25 14:51:24

Marek_boss - Członek DUG

Jajko pod router

#2 2008-11-25 15:06:32

siarka2107 - Użyszkodnik DUG

Re: Jajko pod router

#3 2008-11-25 15:17:00

Marek_boss - Członek DUG

Re: Jajko pod router

#4 2008-11-25 16:29:52

siarka2107 - Użyszkodnik DUG

Re: Jajko pod router

#5 2008-11-25 16:45:29

Marek_boss - Członek DUG

Re: Jajko pod router

#6 2008-11-25 18:32:42

siarka2107 - Użyszkodnik DUG

Re: Jajko pod router

Kod:

#7 2008-11-25 19:28:16

Marek_boss - Członek DUG

Re: Jajko pod router

#8 2008-11-26 08:13:35

siarka2107 - Użyszkodnik DUG

Re: Jajko pod router

Kod:

Kod:

#9 2008-11-27 10:29:37

Marek_boss - Członek DUG

Re: Jajko pod router

Kod:

Kod:

Kod:

#10 2008-11-27 11:08:06

siarka2107 - Użyszkodnik DUG

Re: Jajko pod router

Kod:

Kod:

#11 2008-11-27 11:50:23

Marek_boss - Członek DUG

Re: Jajko pod router

#12 2008-11-27 12:49:01

siarka2107 - Użyszkodnik DUG

Re: Jajko pod router

#13 2008-11-27 13:02:12

Marek_boss - Członek DUG

Re: Jajko pod router

Kod:

#14 2008-11-27 19:21:15

siarka2107 - Użyszkodnik DUG

Re: Jajko pod router

Kod:

#15 2008-11-27 19:49:02

Marek_boss - Członek DUG

Re: Jajko pod router

#16 2008-11-27 21:27:30

siarka2107 - Użyszkodnik DUG

Re: Jajko pod router

#17 2008-11-28 17:45:02

Marek_boss - Członek DUG

Re: Jajko pod router

Kod:

#18 2008-11-28 22:45:11

siarka2107 - Użyszkodnik DUG

Re: Jajko pod router

#19 2008-12-07 19:09:58

koms - Użytkownik

Re: Jajko pod router

#20 2008-12-08 14:39:24

siarka2107 - Użyszkodnik DUG

Re: Jajko pod router

#21 2008-12-09 00:18:36

koms - Użytkownik

Re: Jajko pod router

#22 2008-12-09 08:01:39

siarka2107 - Użyszkodnik DUG

Re: Jajko pod router

#23 2008-12-09 09:57:54