Re: OT: iproute2
Покотиленко Костик wrote: В Срд, 06/09/2006 в 11:47 +0400, Pavel Volkovitskiy пишет: Покотиленко Костик wrote: В Срд, 06/09/2006 в 10:56 +0400, Pavel Volkovitskiy пишет: Pavel Volkovitskiy wrote: Pavel Volkovitskiy wrote: Добрый день! Необходимо каджому из N ip адресов выделить определённую фиксированую скорость Сейчас настроил: для исходящего: tc qdisc del dev eth1 root tc qdisc add dev eth1 root handle 1: htb tc class add dev eth1 parent 1: classid 1:1 htb rate 100mbit tc class add dev eth1 parent 1:1 classid 1:10 htb \ rate 128kbit ceil 128kbit burst 4k tc filter add dev eth1 parent 1: protocol ip prio 1 u32 \ match ip dst 10.0.2.2/32 classid 1:10 Хорошо, нагрузки я не замечу :) А с этим скриптом всё правильно? Я до этого момента tc не использовал, скрипт написан путём проб и ошибок, может что поправить надо? Входящий трафик лучше ограничивать как исходящий на интерфейсе смотрящем в сторону клиента тем же HTB. Тут всё немного "перевёрнуто" вот схемка: INET - eth0 - NAT - eth1 - клиент т.е. сейчас htb на eth1 ограничевает "входящую" скорость для клиента у меня динамический SNAT, значит я не могу шейпить трафик от клиентов в инет на eth0? ведь ip уже реальные, статической связи локальный ip - прямой ip нет. или я не прав? Можешь, сам так делаю. Вот тебе рецепт по твоей схеме. 1. Создаёш классы HTB для ограничения входящего и исходящего трафика. Причём, все ограничения будут "исходящими", для входящего дисциплины вешаешь на eth1, для исходящего на eth0. 2. Ставишь фильтры на марки файрвола с помощью tc filter fwmark. Например, исходящий трафик будет с маркой 0x10, входящий 0x20. 3. В файрволе маркируешь пакеты как тебе угодно с помощью: iptables -t mangle -A PREROUTING -s -i eth1 -j MARK --set-mark 0x10 iptables -t mangle -A PREROUTING -s -i eth1 -j RETURN iptables -t mangle -A PREROUTING -d -i eth0 -j MARK --set-mark 0x20 iptables -t mangle -A PREROUTING -d -i eth0 -j RETURN Поскольку пакеты маркируются в PREROURING, до SNAT'а они ещё не дошли, т.к. SNAT обрабатывается на выходе в POSTROUTING. Ещё один момент, в tc и iptables марки подаются в разном виде (десятичный|шеснадцатиричный), я точно не помню, проверь сам. Ок, спасибо, буду пробовать :) -- Pavel -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: OT: iproute2
В Срд, 06/09/2006 в 13:32 +0400, Ed пишет: > Покотиленко Костик wrote: > > >Входящий трафик лучше ограничивать как исходящий на интерфейсе смотрящем > >в сторону клиента тем же HTB. > > > > а входящий локальный трафик как ограничивать? например пришедшее по smtp > письмо может порушить qos. > > ставить же отдельный компьютер только под роутинг считаю избыточным. Зря Вы так считаете. В доках так и написано "Нет нормального способа ограничивать входящий трафик". Ограничение входящего трафика происходит путём выбрасывания (или задерживания) уже пришедших пакетов сверх лимита и не подтверждения их доставки, что на некоторое время задержит передающую сторону. Очередь для задержки не безразмерная. Я надеюсь Вы понимаете, что это гразит ре-трансмитами и *реально* может ничего и не ограничивать или ограничивать непредсказуемо. Т.е. нет нормального способа сказать передающей стороне передавать медленее. Пришедшее по smtp письмо порушить qos не может, по крайней мере я себе этого не представляю. То, что может нарушить, и таки нарушит QoS, это ADSL. Сколько не настраивай ограничения, при исходящем трафике входящий ложится почти напроч. Т.е. вместо 2Мбит на выход получается 56Кбит в лучшем случае, а как известно если в HTB указать ширину канала больше, чем на самом деле, то при хорошей нагрузке его сильно шторит. Т.е. для красивой работы нужет роутер. Хотя для совсем небольших задач, где отдельная машина под роутер действительно излишня, можно и поизвращаться. Поправьте меня если я не прав, и поделитесь опытом если получиться и так настроить. -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: OT: iproute2
Покотиленко Костик wrote: Входящий трафик лучше ограничивать как исходящий на интерфейсе смотрящем в сторону клиента тем же HTB. а входящий локальный трафик как ограничивать? например пришедшее по smtp письмо может порушить qos. ставить же отдельный компьютер только под роутинг считаю избыточным. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: OT: iproute2
В Срд, 06/09/2006 в 11:36 +0300, Покотиленко Костик пишет: > В Срд, 06/09/2006 в 11:47 +0400, Pavel Volkovitskiy пишет: > > Покотиленко Костик wrote: > > > В Срд, 06/09/2006 в 10:56 +0400, Pavel Volkovitskiy пишет: > > >> Pavel Volkovitskiy wrote: > > >>> Pavel Volkovitskiy wrote: > > Добрый день! > > > > Необходимо каджому из N ip адресов выделить определённую фиксированую > > скорость > > >>> Сейчас настроил: > > >>> > > >>> для исходящего: > > >>> tc qdisc del dev eth1 root > > >>> tc qdisc add dev eth1 root handle 1: htb > > >>> tc class add dev eth1 parent 1: classid 1:1 htb rate 100mbit > > >>> tc class add dev eth1 parent 1:1 classid 1:10 htb \ > > >>> rate 128kbit ceil 128kbit burst 4k > > >>> > > >>> tc filter add dev eth1 parent 1: protocol ip prio 1 u32 \ > > >>> match ip dst 10.0.2.2/32 classid 1:10 > > >> Хорошо, нагрузки я не замечу :) > > >> > > >> А с этим скриптом всё правильно? Я до этого момента tc не использовал, > > >> скрипт написан путём проб и ошибок, может что поправить надо? > > > > > > Входящий трафик лучше ограничивать как исходящий на интерфейсе смотрящем > > > в сторону клиента тем же HTB. > > > > Тут всё немного "перевёрнуто" > > вот схемка: > > > > INET - eth0 - NAT - eth1 - клиент > > > > т.е. сейчас htb на eth1 ограничевает "входящую" скорость для клиента > > > > у меня динамический SNAT, значит я не могу шейпить трафик от клиентов в > > инет на eth0? ведь ip уже реальные, статической связи локальный ip - > > прямой ip нет. или я не прав? > > Можешь, сам так делаю. Вот тебе рецепт по твоей схеме. > > 1. Создаёш классы HTB для ограничения входящего и исходящего трафика. > Причём, все ограничения будут "исходящими", для входящего дисциплины > вешаешь на eth1, для исходящего на eth0. > 2. Ставишь фильтры на марки файрвола с помощью tc filter fwmark. > Например, исходящий трафик будет с маркой 0x10, входящий 0x20. > 3. В файрволе маркируешь пакеты как тебе угодно с помощью: > > iptables -t mangle -A PREROUTING -s -i eth1 -j MARK > --set-mark 0x10 > iptables -t mangle -A PREROUTING -s -i eth1 -j RETURN > > iptables -t mangle -A PREROUTING -d -i eth0 -j MARK > --set-mark 0x20 > iptables -t mangle -A PREROUTING -d -i eth0 -j RETURN > > Поскольку пакеты маркируются в PREROURING, до SNAT'а они ещё не дошли, > т.к. SNAT обрабатывается на выходе в POSTROUTING. > > Ещё один момент, в tc и iptables марки подаются в разном виде > (десятичный|шеснадцатиричный), я точно не помню, проверь сам. Извиняюсь, в предыдущем, заменить iptables -t mangle -A PREROUTING на iptables -t mangle -A FORWARD -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: OT: iproute2
В Срд, 06/09/2006 в 11:47 +0400, Pavel Volkovitskiy пишет: > Покотиленко Костик wrote: > > В Срд, 06/09/2006 в 10:56 +0400, Pavel Volkovitskiy пишет: > >> Pavel Volkovitskiy wrote: > >>> Pavel Volkovitskiy wrote: > Добрый день! > > Необходимо каджому из N ip адресов выделить определённую фиксированую > скорость > >>> Сейчас настроил: > >>> > >>> для исходящего: > >>> tc qdisc del dev eth1 root > >>> tc qdisc add dev eth1 root handle 1: htb > >>> tc class add dev eth1 parent 1: classid 1:1 htb rate 100mbit > >>> tc class add dev eth1 parent 1:1 classid 1:10 htb \ > >>> rate 128kbit ceil 128kbit burst 4k > >>> > >>> tc filter add dev eth1 parent 1: protocol ip prio 1 u32 \ > >>> match ip dst 10.0.2.2/32 classid 1:10 > >> Хорошо, нагрузки я не замечу :) > >> > >> А с этим скриптом всё правильно? Я до этого момента tc не использовал, > >> скрипт написан путём проб и ошибок, может что поправить надо? > > > > Входящий трафик лучше ограничивать как исходящий на интерфейсе смотрящем > > в сторону клиента тем же HTB. > > Тут всё немного "перевёрнуто" > вот схемка: > > INET - eth0 - NAT - eth1 - клиент > > т.е. сейчас htb на eth1 ограничевает "входящую" скорость для клиента > > у меня динамический SNAT, значит я не могу шейпить трафик от клиентов в > инет на eth0? ведь ip уже реальные, статической связи локальный ip - > прямой ip нет. или я не прав? Можешь, сам так делаю. Вот тебе рецепт по твоей схеме. 1. Создаёш классы HTB для ограничения входящего и исходящего трафика. Причём, все ограничения будут "исходящими", для входящего дисциплины вешаешь на eth1, для исходящего на eth0. 2. Ставишь фильтры на марки файрвола с помощью tc filter fwmark. Например, исходящий трафик будет с маркой 0x10, входящий 0x20. 3. В файрволе маркируешь пакеты как тебе угодно с помощью: iptables -t mangle -A PREROUTING -s -i eth1 -j MARK --set-mark 0x10 iptables -t mangle -A PREROUTING -s -i eth1 -j RETURN iptables -t mangle -A PREROUTING -d -i eth0 -j MARK --set-mark 0x20 iptables -t mangle -A PREROUTING -d -i eth0 -j RETURN Поскольку пакеты маркируются в PREROURING, до SNAT'а они ещё не дошли, т.к. SNAT обрабатывается на выходе в POSTROUTING. Ещё один момент, в tc и iptables марки подаются в разном виде (десятичный|шеснадцатиричный), я точно не помню, проверь сам. -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: OT: iproute2
Покотиленко Костик wrote: В Срд, 06/09/2006 в 10:56 +0400, Pavel Volkovitskiy пишет: Pavel Volkovitskiy wrote: Pavel Volkovitskiy wrote: Добрый день! Необходимо каджому из N ip адресов выделить определённую фиксированую скорость Сейчас настроил: для исходящего: tc qdisc del dev eth1 root tc qdisc add dev eth1 root handle 1: htb tc class add dev eth1 parent 1: classid 1:1 htb rate 100mbit tc class add dev eth1 parent 1:1 classid 1:10 htb \ rate 128kbit ceil 128kbit burst 4k tc filter add dev eth1 parent 1: protocol ip prio 1 u32 \ match ip dst 10.0.2.2/32 classid 1:10 Хорошо, нагрузки я не замечу :) А с этим скриптом всё правильно? Я до этого момента tc не использовал, скрипт написан путём проб и ошибок, может что поправить надо? Входящий трафик лучше ограничивать как исходящий на интерфейсе смотрящем в сторону клиента тем же HTB. Тут всё немного "перевёрнуто" вот схемка: INET - eth0 - NAT - eth1 - клиент т.е. сейчас htb на eth1 ограничевает "входящую" скорость для клиента у меня динамический SNAT, значит я не могу шейпить трафик от клиентов в инет на eth0? ведь ip уже реальные, статической связи локальный ip - прямой ip нет. или я не прав? -- Pavel -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: OT: iproute2
В Срд, 06/09/2006 в 10:56 +0400, Pavel Volkovitskiy пишет: > Pavel Volkovitskiy wrote: > > Pavel Volkovitskiy wrote: > >> Добрый день! > >> > >> Необходимо каджому из N ip адресов выделить определённую фиксированую > >> скорость > > > > Сейчас настроил: > > > > для исходящего: > > tc qdisc del dev eth1 root > > tc qdisc add dev eth1 root handle 1: htb > > tc class add dev eth1 parent 1: classid 1:1 htb rate 100mbit > > tc class add dev eth1 parent 1:1 classid 1:10 htb \ > > rate 128kbit ceil 128kbit burst 4k > > > > tc filter add dev eth1 parent 1: protocol ip prio 1 u32 \ > > match ip dst 10.0.2.2/32 classid 1:10 > > Хорошо, нагрузки я не замечу :) > > А с этим скриптом всё правильно? Я до этого момента tc не использовал, > скрипт написан путём проб и ошибок, может что поправить надо? Входящий трафик лучше ограничивать как исходящий на интерфейсе смотрящем в сторону клиента тем же HTB. -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: OT: iproute2
Pavel Volkovitskiy wrote: Pavel Volkovitskiy wrote: Добрый день! Необходимо каджому из N ip адресов выделить определённую фиксированую скорость Сейчас настроил: для исходящего: tc qdisc del dev eth1 root tc qdisc add dev eth1 root handle 1: htb tc class add dev eth1 parent 1: classid 1:1 htb rate 100mbit tc class add dev eth1 parent 1:1 classid 1:10 htb \ rate 128kbit ceil 128kbit burst 4k tc filter add dev eth1 parent 1: protocol ip prio 1 u32 \ match ip dst 10.0.2.2/32 classid 1:10 Хорошо, нагрузки я не замечу :) А с этим скриптом всё правильно? Я до этого момента tc не использовал, скрипт написан путём проб и ошибок, может что поправить надо? -- Pavel -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: OT: iproute2
On Wednesday 06 September 2006 09:55 Pavel Volkovitskiy wrote: > 10 mbit, Xeon 3.6 > + там ещё нат будет крутиться Ты не заметишь этой нагрузки. -- Best regards, Mikhail Bart-mdv- @ SolarNet IRC: irc.solarnet.ru WWW: http://www.solarnet.ru/ -- Фyфлоновые дискеты фирмы Verbatim.
Re: OT: iproute2
On Wed, 6 Sep 2006, Pavel Volkovitskiy wrote: PV> > PV> Смущает то, что приходится для исходящего использовать htb, фичи PV> > которого PV> > PV> мне совсем не нужны, а процессор нагружать будет PV> > Да что он там нагружать-то будет? Какой у тебя процессор и какой поток PV> > на выход идет? PV> PV> 10 mbit, Xeon 3.6 PV> + там ещё нат будет крутиться PV> PV> Хочется сделать правильно :) Потянет и не подавится. Нагрузку, боюсь, даже и не заметишь :).
Re: OT: iproute2
abraham shapirus wrote: On Wed, 6 Sep 2006, Pavel Volkovitskiy wrote: PV> Смущает то, что приходится для исходящего использовать htb, фичи которого PV> мне совсем не нужны, а процессор нагружать будет Да что он там нагружать-то будет? Какой у тебя процессор и какой поток на выход идет? 10 mbit, Xeon 3.6 + там ещё нат будет крутиться Хочется сделать правильно :) -- Pavel -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: OT: iproute2
On Wed, 6 Sep 2006, Pavel Volkovitskiy wrote: PV> Смущает то, что приходится для исходящего использовать htb, фичи которого PV> мне совсем не нужны, а процессор нагружать будет Да что он там нагружать-то будет? Какой у тебя процессор и какой поток на выход идет?
Re: OT: iproute2
Pavel Volkovitskiy wrote: Добрый день! Необходимо каджому из N ip адресов выделить определённую фиксированую скорость Сейчас настроил: для исходящего: tc qdisc del dev eth1 root tc qdisc add dev eth1 root handle 1: htb tc class add dev eth1 parent 1: classid 1:1 htb rate 100mbit tc class add dev eth1 parent 1:1 classid 1:10 htb \ rate 128kbit ceil 128kbit burst 4k tc filter add dev eth1 parent 1: protocol ip prio 1 u32 \ match ip dst 10.0.2.2/32 classid 1:10 для входящего: tc qdisc del dev eth1 handle : ingress tc qdisc add dev eth1 handle : ingress tc filter add dev eth1 parent : protocol ip prio 1 u32 \ match ip src \ 10.0.2.2/32 police rate 128kbit burst 4k drop flowid :1 Смущает то, что приходится для исходящего использовать htb, фичи которого мне совсем не нужны, а процессор нагружать будет хочется что-то вроде этого: tc qdisc del dev eth0 root tc qdisc add dev eth0 root handle 1: pfifo tc filter add dev eth0 parent 1: protocol ip prio 1 \ u32 match ip dst 10.0.2.2/32 \ police rate 128kbit burst 4k drop flowid 1: Но именно в таком виде не работает: # ./test_shaper.sh + tc qdisc del dev eth0 root + tc qdisc add dev eth0 root handle 1: pfifo + tc filter add dev eth0 parent 1: protocol ip prio 1 u32 match ip dst 10.0.2.2/32 police rate 128kbit burst 4k drop flowid 1: RTNETLINK answers: Invalid argument We have an error talking to the kernel -- Pavel -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: OT: iproute2
Nikolay Nikolaev wrote: Pavel Volkovitskiy пишет: Yauhen Kharuzhy wrote: Необходимо каджому из N ip адресов выделить определённую фиксированую скорость Прочитал http://www.opennet.ru/docs/RUS/LARTC/ получается что я должен буду создать N классов и N фильтров? Да, естественно. Каждый класс, точнее дисциплина, присоединённая к краевому классу --- грубо говоря, один канал шейпера. Если в него свалить пакеты для нескольких адресов, то резаться будет только суммарная скорость. А в чём проблемы создать N классов? Их будет много и это как-то "не оптимально" :) ESFQ тебя спасет Я так понимаю что ESFQ будет разделять весь канал поровну между разными ip, а надо каждому по 20кб/с (например) Или выделить для ESFQ rate=20*N ? Будет ли это лучше чем фильтры и хеш-фильтр? -- Pavel -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: OT: iproute2
Pavel Volkovitskiy пишет: Yauhen Kharuzhy wrote: Необходимо каджому из N ip адресов выделить определённую фиксированую скорость Прочитал http://www.opennet.ru/docs/RUS/LARTC/ получается что я должен буду создать N классов и N фильтров? Да, естественно. Каждый класс, точнее дисциплина, присоединённая к краевому классу --- грубо говоря, один канал шейпера. Если в него свалить пакеты для нескольких адресов, то резаться будет только суммарная скорость. А в чём проблемы создать N классов? Их будет много и это как-то "не оптимально" :) ESFQ тебя спасет -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: OT: iproute2
Yauhen Kharuzhy wrote: Необходимо каджому из N ip адресов выделить определённую фиксированую скорость Прочитал http://www.opennet.ru/docs/RUS/LARTC/ получается что я должен буду создать N классов и N фильтров? Да, естественно. Каждый класс, точнее дисциплина, присоединённая к краевому классу --- грубо говоря, один канал шейпера. Если в него свалить пакеты для нескольких адресов, то резаться будет только суммарная скорость. А в чём проблемы создать N классов? Их будет много и это как-то "не оптимально" :) В идеале хочется маркировать пакеты с помощью iptables и иметь M (по количеству фиксированых скоростей) классов (и, наверное, фильтров) Это возможно? Нет. Чтож, похоже самый эффективный вариант будет резать скорость фильтрами и использовать хеш-фильтры для повышения быстродействия ( http://www.opennet.ru/docs/RUS/LARTC/x1661.html ) -- Pavel -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: OT: iproute2
On Mon, Sep 04, 2006 at 10:12:57PM +0400, Pavel Volkovitskiy wrote: > Добрый день! > > Необходимо каджому из N ip адресов > выделить определённую фиксированую > скорость > > Прочитал http://www.opennet.ru/docs/RUS/LARTC/ > получается что я должен буду создать N > классов и N фильтров? Да, естественно. Каждый класс, точнее дисциплина, присоединённая к краевому классу --- грубо говоря, один канал шейпера. Если в него свалить пакеты для нескольких адресов, то резаться будет только суммарная скорость. А в чём проблемы создать N классов? > В идеале хочется маркировать пакеты с > помощью iptables и иметь M (по количеству > фиксированых скоростей) классов (и, > наверное, фильтров) > > Это возможно? Нет. -- Yauhen Kharuzhy jekhor _at_ gmail.com JID: [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
