Forum Debian Users Gang

nox · 2008-04-15 20:37:57

Witam. Mam pewna zagwostkę, albowiem jest pewien szkopuł dla mnie wazny.
W sieci wiadomo mam ssaczy. (a dokładnie jednego - baciszka hehe) ciagnei mi azerusem i zamula cale lacze.
Wiadomo jak to z tym jest.
No i chcialem spytac. czy da sie:
1. W firewallu zmusic azerusa zeby działał tylko na jednym porcie, czy tam 2 konkretnie wskazanych rpzezemnie. Zeby próbwał port a znalazł tylko jeden i żeby nie łaczył sie nie wiadomo na ilu?
2. A może w HTB jakos okroic go ??
Jeżeli sie da - to jak to zrobic

I nie mam wkompilowanego ipp2p ze wzgledów problemów z kernelem. Kolejna kompilacja kernela raczje nie wchodzi w rachube.
Poniżej wklejam moje konfigi:
FIREWALL

Kod:

# wlaczenie w kernelu forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

iptables -A INPUT -s 0/0 -d 10.10.10.1 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 10.10.10.1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 10.10.10.1 -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 10.10.10.1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 192.168.0.39 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 192.168.0.39 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 192.168.0.39 -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 192.168.0.39 -p udp --dport 22 -j ACCEPT
# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# udostepniaie internetu w sieci lokalnej
# HOST nox
iptables -t nat -A POSTROUTING -s 10.10.10.5 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:e0:00:5a:1e:24 -j ACCEPT
# HOST pietja_ap

HTB

Kod:

#!/bin/sh
# htb.sh -- SKRYPT DO ZARZADZANIA PASMEM ZA POMOCA HTB



######################################################
#       USTAWIENIE DOSTEPNYCH OPCJI                  #
######################################################


if [ "$1" == "start" ]
then

    echo "URUCHOMIENIE SHAPERA HTB"
    tc qdisc del root dev eth2 2>/dev/null
    tc qdisc del root dev eth1 2>/dev/null


######################################################
#               DOWNLOAD                             #
######################################################

    tc qdisc add dev eth2 root handle 1:0 htb  #ustawienie kolejki podstawowej

######################################################
#         PRZYDZIAL PASMA NA KOLEJKI                 #
######################################################

    tc class add dev eth2 parent 1:0 classid 1:1 htb rate 1024kbit ceil 1024kbit quantum 1500
    tc class add dev eth2 parent 1:1 classid 1:2 htb rate 128kbit ceil 256kbit quantum 1500
    tc class add dev eth2 parent 1:1 classid 1:3 htb rate 768kbit ceil 896kbit quantum 1500

    tc class add dev eth2 parent 1:2 classid 1:4 htb rate 512kbit ceil 768kbit quantum 1500 #nox
    tc class add dev eth2 parent 1:2 classid 1:5 htb rate 512kbit ceil 768kbit quantum 1500 #pietja
  
    tc filter add dev eth2 protocol ip preference 1 parent 1:0 u32 match ip src 10.10.10.1 flowid 1:3
    tc filter add dev eth2 protocol ip preference 1 parent 1:0 u32 match ip dst 10.10.10.5 flowid 1:4
    tc filter add dev eth2 protocol ip preference 1 parent 1:0 u32 match ip dst 10.10.10.11 flowid 1:5
   
    tc qdisc add dev eth2 parent 1:3 handle 3:0 sfq perturb 10
    tc qdisc add dev eth2 parent 1:4 handle 4:0 sfq perturb 10
    tc qdisc add dev eth2 parent 1:5 handle 5:0 sfq perturb 10
    tc qdisc add dev eth2 parent 1:6 handle 6:0 sfq perturb 10
  

#####################################################
#                        UPLOAD                     #
#####################################################


    tc qdisc add dev eth1 root handle 1:0 htb default 4

# PRRZYDZIAL PASMA UPLOAD

    tc class add dev eth1 parent 1:0 classid 1:1 htb rate 500kbit ceil 500kbit

# PODZIAL CALEGO PASMA: www, ftp, inne

    tc class add dev eth1 parent 1:1 classid 1:2 htb rate 384kbit ceil 512kbit quantum 1500 prio 1 #www
    tc class add dev eth1 parent 1:1 classid 1:3 htb rate 384kbit ceil 384kbit quantum 1500 prio 2 #ftp
    tc class add dev eth1 parent 1:1 classid 1:4 htb rate 128kbit ceil 256kbit quantum 1500 prio 3 #reszta
    tc class add dev eth1 parent 1:1 classid 1:5 htb rate 128kbit ceil 194kbit quantum 1500 prio 1 #dns

# FILTRY: www & ftp
    tc filter add dev eth1 protocol ip parent 1:0 u32 match ip sport 80 0xffff flowid 1:2
    tc filter add dev eth1 protocol ip parent 1:0 u32 match ip sport 20 0xffff flowid 1:3
    tc filter add dev eth1 protocol ip parent 1:0 u32 match ip sport 53 0xffff flowid 1:5

# ROWNY PRZYDZIAL PASMA
    tc qdisc add dev eth1 parent 1:2 handle 2:0 sfq perturb 10
    tc qdisc add dev eth1 parent 1:3 handle 3:0 sfq perturb 10
    tc qdisc add dev eth1 parent 1:4 handle 4:0 sfq perturb 10
    tc qdisc add dev eth1 parent 1:5 handle 5:0 sfq perturb 10

exit
fi
if [ "$1" == "status" ]
then
    echo "eth2: "
    tc -s qdisc show dev eth2
    echo "eth1: "
    tc -s qdisc show dev eth1
    exit
fi
echo "$0 start|stop|status"

## KONIEC

HTB znalzalem tutaj na forum

a apropo vide z youtube.pl to no to cienko ;/ bardzo, praktycznie ciezko cokolwiek obejzec

Ostatnio edytowany przez nox (2008-04-15 20:58:55)

Piotr3ks · 2008-04-15 21:01:38

Layer7 może pomoże w tym przypadku:

http://mion.elka.pw.edu.pl/~lantonia/Downloads/IMQ_i_7Layer.pdf

nox · 2008-04-15 21:07:22

chetnie tylko ze kompilacja jadra od nwoa nei bardzo wchodzi w rachube jak wyzej wspomnialem.;/

Piotr3ks · 2008-04-15 23:49:13

Spróbowałbym zostawić tylko jeden port otwarty ( oczywiście z zakresu Azuresa ) na serwerze dla Azuresa - reszte poblokować i ograniczyć prędkość w HTB na tym porcie .

http://dug.net.pl/texty/htb.pdf

Ostatnio edytowany przez Piotr3ks (2008-04-16 00:15:18)

nox · 2008-04-16 18:22:06

wiec tak, robie tego IMQ i Layer 7 tylko mam jedne problem bo nie bardzo wiem jak ustawic IMQ Behavior (http://mion.elka.pw.edu.pl/~lantonia/Downloads/IMQ_i_7Layer.pdf) w opcjach kernela. chcualbym napewno podzielic łacze konkretnie na IP, zeby kazdy komp mial taka a nie inna przepustowosć, ale również miec mozlowość blokowanie p2p i priorytetowania uslug, nap SSL czy SSH. Moge prosic o odpowiedz, który tryb pracy wybrac(AB, BA?)

Time (s)	Query
0.00012	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00093	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.109.15' WHERE u.id=1
0.00092	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.109.15', 1731816159)
0.00052	SELECT * FROM punbb_online WHERE logged<1731815859
0.00088	DELETE FROM punbb_online WHERE ident='18.205.127.11'
0.00106	DELETE FROM punbb_online WHERE ident='54.157.84.74'
0.00052	SELECT topic_id FROM punbb_posts WHERE id=88750
0.00075	SELECT id FROM punbb_posts WHERE topic_id=11208 ORDER BY posted
0.00055	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=11208 AND t.moved_to IS NULL
0.00006	SELECT search_for, replace_with FROM punbb_censoring
0.00109	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=11208 ORDER BY p.id LIMIT 0,25
0.00108	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=11208
Total query time: 0.00852 s

Forum Debian Users Gang

Ogłoszenie

#1 2008-04-15 20:37:57

nox - Użytkownik

IPTABLES + HTB - obsługa p2p i streaming video

Kod:

Kod:

#2 2008-04-15 21:01:38

Piotr3ks - Też człowiek :-)

Re: IPTABLES + HTB - obsługa p2p i streaming video

#3 2008-04-15 21:07:22

nox - Użytkownik

Re: IPTABLES + HTB - obsługa p2p i streaming video

#4 2008-04-15 23:49:13

Piotr3ks - Też człowiek :-)

Re: IPTABLES + HTB - obsługa p2p i streaming video

#5 2008-04-16 18:22:06

nox - Użytkownik

Re: IPTABLES + HTB - obsługa p2p i streaming video

Stopka forum

Informacje debugowania