Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
witam
Czy ktos moze jest zorientowany w jaki sposob moge ograniczyc lokalne usługi np. ftp. Jak wiadomo htb ogranicza tylko ruch wyjsciowy a wiec w przypadku wewnetrznego interfejsu download a co z uploadem??
Bede wdzieczny za rozwiazanie mojego problemu:)
Offline
upload tak samo ograniczasz jak download, różnica polega na zmianie nazw interfejsów sieciowych
Offline
cytat ZlegoZwierza:
Poprostu :)
ruch z/do netu:
(eth0 WAN,eth3 LAN)
iptables -t mangle -A FORWARD -i eth0 -o eth3 -j IMQ --todev 0 (download)
iptables -t mangle -A FORWARD -i eth3 -o eth0 -j IMQ --todev 1 (upload)
ruch lokalny:
iptables -t mangle -A INPUT -i eth3 -j IMQ --todev 3 (upload z LAN-->serwer )
iptables -t mangle -A OUTPUT -o eth3-j IMQ --todev 4 (download w LAN)
na imq 0,1 kolejki so neta , na imq 3,4 kolejki do DC, ftp itp
Offline
Poprawka regulować możesz ruch wychodzący z przychodzącym troszkę ciężej, masz nań wpływ niewielki.
[quote=bolos_11]cytat ZlegoZwierza:
Poprostu :)
ruch z/do netu:
(eth0 WAN,eth3 LAN)
iptables -t mangle -A FORWARD -i eth0 -o eth3 -j IMQ --todev 0 (download)
iptables -t mangle -A FORWARD -i eth3 -o eth0 -j IMQ --todev 1 (upload)
ruch lokalny:
iptables -t mangle -A INPUT -i eth3 -j IMQ --todev 3 (upload z LAN-->net )
iptables -t mangle -A OUTPUT -o eth3-j IMQ --todev 4 (download w LAN)
na imq 0,1 kolejki so neta , na imq 3,4 kolejki do DC, ftp itp[/quote]
nie wiem co to ma do ruchu lokalnego wyraźnie są podane reguły w łańcuchu FORWARD :/
niestety, ale ewentualny download i tak jest regulowany za pomocą uploadu. / masło maślane/ chodzi o to, że decydować możesz tylko o predkości wysyłania.
chodzi jak sądzę o regulowanie ruchu z jednej mszyny podłączonej bezpośrednio do internetu
Ostatnio edytowany przez bobycob (2007-12-23 17:10:51)
Offline
wlasnie myslalem o takim rozwiazaniu ale myslalem ze to mozna wykonac w prostszy sposob czyli pomiajac dodatkowe imq3 i imq4 ale tym sie zajme pozniej. Moim nastepnym problem jest ograniczenie squida stosujac markowania.
Dokladnie mowiac markuje uzytkownikow poprzez Forward i wszystko dziala jak nalezy dopoki nie uruchomie squida.
W jaki sposob sobie poradzic z uploadem i downloadem w squidzie.
z gory wielkie dzieki
Offline
delay pools i znakowanie pakietów przez ToS ,trzeba nałozyc wtedy patch na squida
Offline
a zamarkowanie ruchu wychodzacego ze squida i wrzucenie do marka usera??
Offline
[quote=bobycob]Poprawka regulować możesz ruch wychodzący z przychodzącym troszkę ciężej, masz nań wpływ niewielki.
[quote=bolos_11]cytat ZlegoZwierza:
Poprostu :)
ruch z/do netu:
(eth0 WAN,eth3 LAN)
iptables -t mangle -A FORWARD -i eth0 -o eth3 -j IMQ --todev 0 (download)
iptables -t mangle -A FORWARD -i eth3 -o eth0 -j IMQ --todev 1 (upload)
ruch lokalny:
iptables -t mangle -A INPUT -i eth3 -j IMQ --todev 3 (upload z LAN-->serwer )
iptables -t mangle -A OUTPUT -o eth3-j IMQ --todev 4 (download w LAN)
na imq 0,1 kolejki so neta , na imq 3,4 kolejki do DC, ftp itp[/quote]
nie wiem co to ma do ruchu lokalnego wyraźnie są podane reguły w łańcuchu FORWARD :/
niestety, ale ewentualny download i tak jest regulowany za pomocą uploadu. / masło maślane/ chodzi o to, że decydować możesz tylko o predkości wysyłania.
chodzi jak sądzę o regulowanie ruchu z jednej mszyny podłączonej bezpośrednio do internetu[/quote]
Chyba nie kminisz przykładu.. i pitolisz co Ci ślina na język przyniesie.
Offline
a ktos moze mi pomoc jak zamarkowac ruch wychodzacy ze squida? dodam ze download markuje w ten sposob
DOWNLOAD
iptables -t mangle POSTROUTING -o int_wew -p tcp --sport 8080 -j MARK --set-mark 1
to dlaczego nie dziala
UPLOAD
iptables -t mangle POSTROUTING -o int_zew -p tcp --sport 8080 -j MARK --set-mark 2
Ostatnio edytowany przez mati23 (2007-12-26 18:49:23)
Offline
A dlaczego oczekiwałes , że zadziała ?
Można spróbować tak:
IMQ - AB
eth0 - wan
eth1 - lan
+ iptables -t mangle -N SUMA_DL + iptables -t mangle -A FORWARD -i eth0 -j SUMA_DL + iptables -t mangle -A OUTPUT -o eth1 -p tcp --sport 3128 -m tos --tos 0x0 -j SUMA_DL (download ze squida) + iptables -t mangle -N SUMA_UL + iptables -t mangle -A FORWARD -o eth0 -j SUMA_UL + iptables -t mangle -A INPUT -i eth1 -p tcp --dport 3128 -j SUMA_UL (upload do squida) + iptables -t mangle -A SUMA_DL -j IMQ --todev 0 + iptables -t mangle -A SUMA_UL -j IMQ --todev 1 + iptables -t mangle -A OUTPUT -p tcp --sport 3128 -m tos --tos 0x8 -j IMQ --todev 2 (squid cache HIT)
Offline
dobre pytanie po prostu myslalem ze puszczajac ruch przez zewnetrzny interfejs zachowa sie podobnie jak przy downloadzie. Pokombinuje jak juz bede po testach to napisze.
Ostatnio edytowany przez mati23 (2007-12-26 19:14:22)
Offline
a na squida masz patcha nalozonego??
bo u mnie to nie dziala usunalem 2 regulki ze tos-em i tez nic nie pomoglo.
Offline
Rusz no głową trochę.
Jak nie chcesz różnicować ruchu ze squida z uwagi na HIT/MISS
to zamiast
+ iptables -t mangle -A OUTPUT -o eth1 -p tcp --sport 3128 -m tos --tos 0x0 -j SUMA_DL (download ze squida)
daj + iptables -t mangle -A OUTPUT -o eth1 -p tcp --sport 3128 -j SUMA_DL (download ze squida)
A tą skasuj:
+ iptables -t mangle -A OUTPUT -p tcp --sport 3128 -m tos --tos 0x8 -j IMQ --todev 2 (squid cache HIT)
Offline
a myslisz ze co ja zrobilem dokladnie tak jak napisales. DOWNLOAD obcina jak nalezy ale ten nieszczesny UPLOAD
juz mi pomysly sie koncza.
Offline
Twoj oczywiscie wykasowalem ta regulke
iptables -t mangle -A OUTPUT -p tcp --sport 3128 -m tos --tos 0x8 -j IMQ --todev 2
reszta pozostala niezmieniona i nic
Upload tylko to mnie interesuje download dziala bez zarzutu.
Dodam ze wykorzystalem do zamarkowania layer7 i to dziala
Ostatnio edytowany przez mati23 (2007-12-26 19:45:20)
Offline
a regulki ktore podales u Ciebie dzialaja??
Offline
sorki za glupie pytanie ale juz brak mi pomyslów pewnie cos w firewallu mam namieszane musze poszukac bledu
dzieki za pomoc i stracony czas
pozdrawiam
Offline
udalo mi sie w koncu ograniczylem upload w ten sposob jaki chcialem dla osob majacych podobny problem odsylam do strony mi pomoglo Wam moze rowniez:)
http://forum.niceshaper.jedwabny.net/viewtopic.php?t=565&highlight=mark+upload
Offline
Time (s) | Query |
---|---|
0.00012 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00128 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.135.206.212' WHERE u.id=1 |
0.00227 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.135.206.212', 1733054916) |
0.00052 | SELECT * FROM punbb_online WHERE logged<1733054616 |
0.00085 | DELETE FROM punbb_online WHERE ident='85.208.96.203' |
0.00095 | DELETE FROM punbb_online WHERE ident='85.208.96.205' |
0.00102 | SELECT topic_id FROM punbb_posts WHERE id=79295 |
0.00244 | SELECT id FROM punbb_posts WHERE topic_id=10138 ORDER BY posted |
0.00092 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=10138 AND t.moved_to IS NULL |
0.00018 | SELECT search_for, replace_with FROM punbb_censoring |
0.00137 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=10138 ORDER BY p.id LIMIT 0,25 |
0.00093 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=10138 |
Total query time: 0.01289 s |