Forum Debian Users Gang

Moze jakis przykladowy skrypt? Cos na wzor, zebmym wiedzial,jak sie do tego zabrac?

Moze to wszyscy znaja ale nie moglem ostatniowejsc na forum [url]http://forum.slackware.pl[/url] wiec podaje z mojego archiwum tresc ciekawego posta.

Jak ugryźć IMQ - podstawy

1. Wstęp
Jak powszechnie wiadomo, do kształtowania i kolejkowania ruchu służy QoS (Quality Of Service) wraz z algorytmami typu CBQ czy HTB. Za pomocą w/w możemy decydować o ruchu wychodzącym z naszego routera, niestety nie jesteśmy w stanie zapanować nad tym co - i w jakiej kolejności - do nas z internetu przychodzi.
Jeżeli posiadamy prosty router z dwoma interfejsami (LAN oraz internet), który robi tylko NAT/firewall to nie ma problemu - na każdej karcie sieciowej zakładamy kolejkowanie dla ruchu wychodzącego i możemy kontrolować ruch do oraz z internetu.
Co jednak zrobić gdy na maszynie routującej ruch mamy uruchomione usługi lokalne (typu ftp, poczta lub www), lub gdy mamy parę łącz? Co zrobić gdy chcemy kształtować ruch uwzględniając rodzaj usługi, a potem dzielić go via IP hosta końcowego w sieci LAN? Odpowiedź jest jedna; zainstalujmy IMQ.


2. Jak to w ogóle działa?
IMQ to wirtualne międzymordzie (interfejs), które nie posiada adresacji IP a jego jedynym zadaniem jest umożliwienie zarządzania ruchem który przez nie przepływa (np. za pomocą programu tc).
Idea IMQ jest taka:
Tworzymy wirtualną "rurę" do której za pomocą iptables przerzucamy cały ruch. To gdzie i jak ustawimy taką "rurę" zależy od naszej inwencji. Dla przykładu, jeżeli przekierujemy ruch już w PREROUTINGu interfejsu udostępniającego nam
internet na routerze, bo będziemy mogli zapanować nad całym ruchem wpadającym do naszego routera (w tym też nad tym co przychodzi do lokalnych daemonów ftp,poczty www etc). Możemy w ten sposób ukrócić "raj" userom znającym screena i shellowe programy ftp/p2p.


3. Trochę historii
IMQ (The Intermediate Queueing Device) zostało wymyślone w 2001 r. przez Marina Deverę (tego samego gościa który maczał palce w HTB). W poźniejszym czasie projekt został przejęty przez Patricka McHardy, jednakże Patrick przestał się tym zajmować... Szczerze mówiąc, nie mam pojęcia kto jest teraz odpowiedzialny za dalszy rozwój IMQ.
Wiem natomiast że na tej stronie (www.linuximq.net) można zawsze znaleźć świeże mięsko dotyczące IMQ.


4. Instalacja
Niestety, czeka nas patchowanie źródeł linuksa i rekompilacja kernela. Aby było weselej to samo musimy zrobić z iptables. Osobiście nie ufam za bardzo jajeczkom w wersji 2.6 i nie stosuję ich na "produkcyjnych" maszynach, więc patchowałem i kompilowałem kernela w wersji 2.4.28. Opis jak to zrobić można znaleźć tutaj http://alfa.tailor.com.pl...imq_htb_pl.html , i jest to bardzo dokładny (step-by-step) instruktaż który nikomu nie powinien sprawić kłopotu. Ja jednak, na wypadek gdyby powyższy link nie działał opiszę pokrótce jak to uczynić:

a. z http://kernel.org pobieramy źródła kernela

b. z http://netfilter.org pobieramy źródła iptables

c. z http://www.linuximq.net - pobieramy patche IMQ dla kernela, iptables, oraz patche do wspólpracy IMQ z NAT.

d. siadamy wygodnie z zaparzoną kawą i zabieramy się do roboty :-)

e. w /usr/src/ rozpakowałem źródła linuksa-2.4.28 oraz iptables-1.2.11 i utworzyłem linki symboliczne poleceniami:

# root@w1:~# cd /usr/src/
# root@w1:/usr/src# pwd
/usr/src
# root@w1:/usr/src# ln -s linux-2.4.28 linux
# root@w1:/usr/src# ln -s iptables-1.2.11 iptables
# root@w1:/usr/src# ls -lh linux iptables
lrwxrwxrwx 1 root root 16 2004-12-03 10:41 iptables -> iptables-1.2.11/
lrwxrwxrwx 1 root root 12 2005-02-22 16:19 linux -> linux-2.4.28/

f. Dodałem łatkę imq do kernela:
# cd /usr/src/linux
# patch -p1 < /usr/src/linux-2.4.28-imq2.diff

g. Dodałem łatkę imq do iptables i zmieniłem troszkę atrybuty;
# cd /usr/src/ipables
# patch -p1 < /usr/src/iptables-1.2.9-imq1.diff
# chmod +x extensions/.IMQ-test*

h. Przekopiowałem i zainstalowałem łatkę IMQ do wspólpracy z nat;
# cp /usr/src/imq-nat.diff /usr/src/linux/drivers/net/
# cd /usr/src/linux/drivers/net
# patch <imq-nat.diff

i. Oprócz tego dodałem troche innych "zabawek" (typu p-o-m, czy openwall), ale to już dla funkcjonowania IMQ jest nieistotne i nie opisuję tego tutaj. Nie opisuję też jak skompilować i zainstalować kernela/iptables, bo takich rzeczy uczą już w przedszkolu (a nie na poważnym forum:-). Acha! Aby zadziałało IMQ w opcjach kernela musimy ustawić to;
Kod:
Code maturity level options --->Prompt for development and/or incomplete code/drivers
Networking options ---> Network packet filtering (replaces ipchains)
Networking options ---> IP: Netfilter Configuration ---> IP tables support (required for filtering/masq/NAT)
Networking options ---> IP: Netfilter Configuration ---> Packet mangling
Networking options ---> IP: Netfilter Configuration ---> IMQ target support
Network device support ---> IMQ (intermediate queueing device) support


! Powtarzam; opis jak to zrobić (step-by-step) można znaleźć tutaj; http://alfa.tailor.com.pl...imq_htb_pl.html !


5. Konfiguracja
Tak jak już wspomniałem, sposobów wykorzystania IMQ jest cała masa. Ja pokaże tutaj jak wykorzystałem IMQ aby ukształtować ruch na dwóch DSL'ach (2Mbit i 1Mbit). Utworzyłem sobie taki oto plik, który jest odpalany z rc.local;




Kod:
#!/bin/bash

echo "Konfiguracja IMQ..."

modprobe imq

ip link set imq0 up
ip link set imq1 up

iptables -A PREROUTING -t mangle -i eth0 -j IMQ --todev 0
iptables -A PREROUTING -t mangle -i eth2 -j IMQ --todev 1
echo "...zrobione"

Co zrobiłem?
a. Załadowałem moduł imq
b. Podniosłem 2 interfejsy imq
c. Przekierowałem ruch przychodzący do DSLi (DSL 2Mbit "wisi" u mnie na eth0 a DSL 1Mbit na eth2)

Mogę teraz zarządzać wszystkim co przychodzi z internetu do DSL1 i DSL2 zakładając kolejki HTB dla imq0 oraz imq1.

Wynik kilku poleceń z mojego routera;
Kod:
root@w1:~# ifconfig imq0
imq0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          UP RUNNING NOARP  MTU:1500  Metric:1
          RX packets:32458106 errors:0 dropped:0 overruns:0 frame:0
          TX packets:32424333 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:30
          RX bytes:3169468955 (3022.6 Mb)  TX bytes:3159762534 (3013.3 Mb)

root@w1:~# ifconfig imq1
imq1      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          UP RUNNING NOARP  MTU:1500  Metric:1
          RX packets:7674392 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7671805 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:30
          RX bytes:1481222823 (1412.6 Mb)  TX bytes:1478680820 (1410.1 Mb)

Kod:
root@w1:~# iptables -L -v -t mangle | grep IMQ
Chain PREROUTING (policy ACCEPT 64M packets, 35G bytes)
pkts bytes target     prot opt in     out     source               destination
12M   11G IMQ        all  —  eth0   any     anywhere             anywhere            IMQ: todev 0
35K 3042M IMQ        all  —  eth2   any     anywhere             anywhere            IMQ: todev1


6. Uwagi na koniec
- RTFM
- Jeśli chcemy mieć więcej interfejsów IMQ to moduł imq uruchamiamy z parametrem # modprobe imq numdevs=X
- Przydaje się watch, aby na bieżąco sprawdzać czy i jak pracują tc lub iptables. Np;
# watch -d -n1 "iptables -L -v -t mangle"
# watch -d -n1 "tc -d -s class show dev imq0"


7. Trochę linków;
http://www.linuximq.net/
http://alfa.tailor.com.pl...imq_htb_pl.html
http://pupa.da.ru/imq/



Autor: bzyk
Skład: Skyscraper
[/quote]