On Thu, 31 Mar 2005 09:52:52 +0200 Jarek Poplawski <[EMAIL PROTECTED]> wrote:
> On Wed, Mar 30, 2005 at 03:08:35PM +0200, Quickest wrote: > > # Klasy o numerach 2 do 4, są to podklasy głównej klasy 1:1 > > tc class add dev ppp0 parent 1:1 classid 1:2 htb rate 30kbit ceil 115kbit > > quantum 4 # serwer > > > > tc class add dev ppp0 parent 1:1 classid 1:3 htb rate 10kbit ceil 10kbit > > quantum 4 # Lancelot > > tc class add dev ppp0 parent 1:1 classid 1:4 htb rate 30kbit ceil 115kbit > > quantum 4 # Quick > > Tu quantum też jest zdecydowanie za małe i lepiej je pominąć, > ale będzie to miało wpływ tylko na "pożyczanie" przez klasy 2 i 4. > > > iptables -t mangle -A SHAPER-OUT -p tcp -s 192.168.0.2 -j MARK --set-mark > > 21 # od Lancelota > > Tu lepiej usunąć -p tcp, bo obecnie pakiety icmp i udp wędrują przez > klasę domyślną i mogą być wstrzymywane przez ruch z serwera. > > > # Z pakietami wychodzącymi z serwera jest > > # pewnien problem, ponieważ adresem źródłowym jest zewnętrzne IP SDI > > # (80.*). Tak więc pozostałe pakiety bez znaczka (mark=0) oznaczam jako > > # 20. > > iptables -t mangle -A SHAPER-OUT -m mark --mark 0 -j MARK --set-mark 20 > > ----------------------------------------- > > > > heh... nadal to samo blokuje zarówno download jak i upload do 10 kbit/s na > > 192.168.0.2??? Jak to wyjaśnić??? Czary mary!!!??? > > Jeśli nie było ograniczania ruchu na eth0, filtrowania > pakietów do/z 192.168.0.2 lub zapchania domyślnej klasy przez > ruch z serwera, to też stawiam na czary. > > Jarek P. > > _______________________________________________ > pld-users-pl mailing list > [email protected] > http://lists.pld-linux.org/mailman/listinfo/pld-users-pl > ehh, nie mam żadnego blokowania interfejsu eth0, wszystkie inne wpisy dotyczące sieci, to: ---------------------------------------- # Wyłączenie ECN if [ -e /proc/sys/ipv4/tcp_ecn ]; then echo 0 > /proc/sys/net/ipv4/tcp_ecn fi # Wyłączenie spoofowania na wszystkich interfejsach for x in ppp0 eth0 do echo 1 > /proc/sys/net/ipv4/conf/${x}/rp_filter done # Uruchomienie przekazywania pakietow IP. echo "1" > /proc/sys/net/ipv4/ip_forward # Blokowanie pakietów z sieci lokalnej /usr/sbin/iptables -t filter -P FORWARD DROP # Zezwalamy na by serwer przepuszczał pakiety które pochodzą z naszej sieci # lokalnej lub są dla niej przeznaczone. /usr/sbin/iptables -t filter -A FORWARD -s 192.168.0.0/255.255.0.0 -d 0/0 -j ACCEPT /usr/sbin/iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/255.255.0.0 -j ACCEPT # Teraz nakazujemy by wszystkie pakiety pochodzące z lanu były maskowane /usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.0.0 -d 0/0 -j MASQUERADE ------------------------------------ I nic więcej nie mam... ruch jest cały czas ograniczny na uploadzie i downloadzie do 10 kbit/s, tak jakby wszystkie pakiety były logowane: zaraz, po skasowaniu głównej kolejki: tc qdisc del root dev ppp0 wszystko wraca do normy, heh... jednak czary?! heh... może ta regułka iptables powinna wyglądać inaczej??? jakiś inny pomysł, jakby to można napisać? -- Jakub "Quickest" Kozicki IMSIS, Bydgoszcz .mailto: q u i c k e s t <at> p l d - l i n u x <dot> n e t .http: k u b a <dot> o r g <dot> p l RLU: #273864 | "Los jest ślepy, ale trafia bez pudła." _______________________________________________ pld-users-pl mailing list [email protected] http://lists.pld-linux.org/mailman/listinfo/pld-users-pl
