Re: [FUG-BR] IPFW + Burst ?
Renato... veja bem estou desenvolvendo uma solucao para gerenciamento de acesso a internet (famoso captive portal :) ), e pretendo contemplar a maiorias dos problemas que sao citados pelos meus clientes, e essa é uma das questoes bastante discutidas. Basicamente, o controle de banda eh feito: ipfw pipe 250 config bw 128Kbit/s ipfw add 250 pipe 250 ip from 172.16.0.17 to any in not layer2 ipfw add 250 pipe 250 ip from any to 172.16.0.17 out not layer2 ou seja: crio um pipe com id 250 com banda maxima de 128Kbps e vinculo a trafego de up load e donwload a esse mesmo pipe. Com isso, qualquer conexoa (ip) vai passar por esse mesmo pipe, porque vai bater nessa regra. No caso, a abordagem que estou usando, e de nao criar um unico pipe estatico e vincular todo o up e download a ele, e sim, criar dois pipes por clientes, tipo, um com 128Kbit/s e outro com 20% disso, ou seja 24Kbit/s Ae, tenho um script que monitora as conexoes do cliente, tanto tcp quando udp, e quando um conexao eh estabelecida, meu script cria uma regra dinamica atribuindo a conexao: (ip_orig, port_orig, ip_dest, port_dest, proto ) ao pipe maior, a partir dae, ele abre uma sessao criando um registro num banco de dados. A partir dae, a conexao vai estar limitada as 128Kbps, porem, de minutos em minuto, o script verifica se a conexao ainda esta viva, e depois de um tempo limite, digamos, 5 minutos, e a conexao continuando viva, o script apaga a regra dinamica que associava a conexao ao pipe de 128 e cria novas regras dinamicas associando a conexao ao pipe menor, com isso, pro resto da vida da conexao, ela vai estar compartilhando o pipe de 24Kbps com as demais conexoes que caducaram. Por outro lado, conexoes que viverem menos de 5 minutos ( ou o tempo previamento configurado) fluirao a 128Kbps. Ainda, eh possivel configurar algumas portas especificas para nao passarem por essa regra, digamos, para voip por exemplo, pra nao acontecer de cair no estrangulamento garantindo uma certa QoS. Veja, tudo isso esta funcionando em laboratorio, ateh se tornar maduro para o produto que estou desenvolvendo (um appliance) baseado no freebsd. Porem, esta funcional, e ainda, estou evitando ao maximo L7, gerenciando tudo em L3. Nada é perfeito :)... mas é uma abordagem... Em 08/01/07, Renato Frederick[EMAIL PROTECTED] escreveu: Concordo, mas no caso é um provedor de internet, já usando ipfw com pipes, funcionando de acordo. O que acontece é que agora precisa-se limitar mais a banda(se é que é possível), pois a telemar não tem mais link prá vender(!) Daí surgiu essa hipótese do mikrotik suportar isto e cortar até 30% do tráfego(segundo o que falaram, não sei se é verdade) -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Guilherme M. O. Sent: segunda-feira, 8 de janeiro de 2007 09:21 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: Re: [FUG-BR] IPFW + Burst ? porque não bloquear o p2p? duvido que ele seja utilizado com propósitos empresariais. provavelmente baixam musica e coisa do tipo. a meu ver isso não deveria ser feito na empresa e poderia, sem problemas, ser bloqueado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW + Burst ?
Mário, bacana esta abordagem. Creio que deve ser algo assim que o mikrotik faz, para o burst, pelo que vi no programa. Realmente os delay pools não fazem isto, só mesmo algum script, seja em linux ou em ipfw. Estava olhando na internet e não há muitos appliances disponíveis, totalmente em freebsd, para o mercado de provedores/wireless, com recursos como squid, portal, etc etc, tudo em uma caixa plug and play hehehe. A solução que vi que possui bastantes recursos, que vem em caixa, mas não tem suporte bacana a wireless é o astaro linux. Até porque ele foi pensado como firewall, não um Hotspot. Só uma pergunta. Estes scripts não consomem muita CPU/memória com o passar do tempo? Ou você desenvolveu algo mais pra baixo em C e etc, consultando diretamente a biblioteca do ipfw? Seria algo bacana de desenvolver hehe Abraços Ae, tenho um script que monitora as conexoes do cliente, tanto tcp quando udp, e quando um conexao eh estabelecida, meu script cria uma regra dinamica atribuindo a conexao: (ip_orig, port_orig, ip_dest, port_dest, proto ) ao pipe maior, a partir dae, ele abre uma sessao criando um registro num banco de dados. A partir dae, a conexao vai estar limitada as 128Kbps, porem, de minutos em minuto, o script verifica se a conexao ainda esta viva, e depois de um tempo limite, digamos, 5 minutos, e a conexao continuando viva, o script apaga a regra dinamica que associava a conexao ao pipe de 128 e cria novas regras dinamicas associando a conexao ao pipe menor, com isso, pro resto da vida da conexao, ela vai estar compartilhando o pipe de 24Kbps com as demais conexoes que caducaram. Por outro lado, conexoes que viverem menos de 5 minutos ( ou o tempo previamento configurado) fluirao a 128Kbps. Ainda, eh possivel configurar algumas portas especificas para nao passarem por essa regra, digamos, para voip por exemplo, pra nao acontecer de cair no estrangulamento garantindo uma certa QoS. Veja, tudo isso esta funcionando em laboratorio, ateh se tornar maduro para o produto que estou desenvolvendo (um appliance) baseado no freebsd. Porem, esta funcional, e ainda, estou evitando ao maximo L7, gerenciando tudo em L3. Nada é perfeito :)... mas é uma abordagem... - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW + Burst ?
Sim... exatamente Foi essa falta de opcoes que me levou a desenvolver uma solucao propria... Inicalmente, todos os programas estao sendo desenvolvidos em python, mas, futuramente, a ideia eh algo em c/c++ mesmo, bem baixo nivel Em 10/01/07, Renato Frederick[EMAIL PROTECTED] escreveu: Mário, bacana esta abordagem. Creio que deve ser algo assim que o mikrotik faz, para o burst, pelo que vi no programa. Realmente os delay pools não fazem isto, só mesmo algum script, seja em linux ou em ipfw. Estava olhando na internet e não há muitos appliances disponíveis, totalmente em freebsd, para o mercado de provedores/wireless, com recursos como squid, portal, etc etc, tudo em uma caixa plug and play hehehe. A solução que vi que possui bastantes recursos, que vem em caixa, mas não tem suporte bacana a wireless é o astaro linux. Até porque ele foi pensado como firewall, não um Hotspot. Só uma pergunta. Estes scripts não consomem muita CPU/memória com o passar do tempo? Ou você desenvolveu algo mais pra baixo em C e etc, consultando diretamente a biblioteca do ipfw? Seria algo bacana de desenvolver hehe Abraços Ae, tenho um script que monitora as conexoes do cliente, tanto tcp quando udp, e quando um conexao eh estabelecida, meu script cria uma regra dinamica atribuindo a conexao: (ip_orig, port_orig, ip_dest, port_dest, proto ) ao pipe maior, a partir dae, ele abre uma sessao criando um registro num banco de dados. A partir dae, a conexao vai estar limitada as 128Kbps, porem, de minutos em minuto, o script verifica se a conexao ainda esta viva, e depois de um tempo limite, digamos, 5 minutos, e a conexao continuando viva, o script apaga a regra dinamica que associava a conexao ao pipe de 128 e cria novas regras dinamicas associando a conexao ao pipe menor, com isso, pro resto da vida da conexao, ela vai estar compartilhando o pipe de 24Kbps com as demais conexoes que caducaram. Por outro lado, conexoes que viverem menos de 5 minutos ( ou o tempo previamento configurado) fluirao a 128Kbps. Ainda, eh possivel configurar algumas portas especificas para nao passarem por essa regra, digamos, para voip por exemplo, pra nao acontecer de cair no estrangulamento garantindo uma certa QoS. Veja, tudo isso esta funcionando em laboratorio, ateh se tornar maduro para o produto que estou desenvolvendo (um appliance) baseado no freebsd. Porem, esta funcional, e ainda, estou evitando ao maximo L7, gerenciando tudo em L3. Nada é perfeito :)... mas é uma abordagem... - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW + Burst ?
Na realidade nao é enganar o usuario. Apenas classificá-los. Por exemplo, usuario que tiver baixando um programa pode esperar mais um pouco. Já uma pessoa que precisa fazer uma transferencia bancaria pode ter urgencia. Entao essa politica de controle implementa isso, de certa forma. Com um link bem dimensionado, e com essa política implementada é possivel garantir um acesso à WEB (principalmente) rapido a maior parte do tempo mesmo com os sangue-sugas pendurados baixando programas/filmes/etc. []s Rafael Considerando que eles que consomem o link... pelo menos aqui, o que o trafshow diz é que p2p e afins são os vilões de consumo do link :( As vezes um ou outro que esbarra em uns megaupload.com da vida! Abraços - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW + Burst ?
porque não bloquear o p2p? duvido que ele seja utilizado com propósitos empresariais. provavelmente baixam musica e coisa do tipo. a meu ver isso não deveria ser feito na empresa e poderia, sem problemas, ser bloqueado On 1/8/07, Renato Frederick [EMAIL PROTECTED] wrote: Na realidade nao é enganar o usuario. Apenas classificá-los. Por exemplo, usuario que tiver baixando um programa pode esperar mais um pouco. Já uma pessoa que precisa fazer uma transferencia bancaria pode ter urgencia. Entao essa politica de controle implementa isso, de certa forma. Com um link bem dimensionado, e com essa política implementada é possivel garantir um acesso à WEB (principalmente) rapido a maior parte do tempo mesmo com os sangue-sugas pendurados baixando programas/filmes/etc. []s Rafael Considerando que eles que consomem o link... pelo menos aqui, o que o trafshow diz é que p2p e afins são os vilões de consumo do link :( As vezes um ou outro que esbarra em uns megaupload.com da vida! Abraços - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Guilherme M. O. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW + Burst ?
Rafael Albuquerque escreveu: Olá! Dei uma fuçada na internet mas nao achei nada a respeito disso. Alguem ja conseguiu implementar em FreeBSD? Por exemplo, no mikrotik é possível definir a velocidade de conexao e um burst. Entao, qnd alguem começa a navegar por exemplo ele usa a velocidade de burst (mais rapida). Caso seja um download, no começo, digamos nos primeiros 100k, ele baixará usando a velocidade de burst e depois disso cairá pra velocidade de conexao sem o burst. Dessa forma, é possivel dar mais velocidade pra a navegação em relação aos downloads. Alguem ja utilizou? : Rafael - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Dê uma pesquisada em Delay Pools, no Squid. -- Cordialmente, Rodolfo Zappa Archive TSP - Total Solution Provider Nosso negócio é garantir que a sua rede de informações não pare! (21) 2567-1842 [EMAIL PROTECTED] http://www.archive.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW + Burst ?
Será que é isto que o meu cliente comentou (vide meu email - controle de banda exotico)? O tal Mikrotik? E desculpe a ignorancia no squid, mas como o delay pool faria isto? Fiz alguns testes aqui e ele só limitou o download ;) Obrigado! -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Rodolfo Zappa Sent: domingo, 7 de janeiro de 2007 10:30 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: Re: [FUG-BR] IPFW + Burst ? Rafael Albuquerque escreveu: Olá! Dei uma fuçada na internet mas nao achei nada a respeito disso. Alguem ja conseguiu implementar em FreeBSD? Por exemplo, no mikrotik é possível definir a velocidade de conexao e um burst. Entao, qnd alguem começa a navegar por exemplo ele usa a velocidade de burst (mais rapida). Caso seja um download, no começo, digamos nos primeiros 100k, ele baixará usando a velocidade de burst e depois disso cairá pra velocidade de conexao sem o burst. Dessa forma, é possivel dar mais velocidade pra a navegação em relação aos downloads. Alguem ja utilizou? : Rafael - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Dê uma pesquisada em Delay Pools, no Squid. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW + Burst ?
On 1/7/07, Renato Frederick [EMAIL PROTECTED] wrote: Será que é isto que o meu cliente comentou (vide meu email - controle de banda exotico)? O tal Mikrotik? E desculpe a ignorancia no squid, mas como o delay pool faria isto? Fiz alguns testes aqui e ele só limitou o download ;) Obrigado! O mikrotik faz isso de forma bastante simples. Tenho um sendo servidor PPPOE. No radius do servidor eu importo o dicionario (que ja vem ate, no freeradius). Ai tem um atributo Mikrotik-Rate que eu passo o valor de download, upload, donwloadburst e uploadburst (nao tenho certeza da ordem agora). E pronto. Ta tudo funcionando como se fosse magica. O delay-pools eu nao tenho experiencia, mas pelo pouco que vi daria pra fazer limitacao por classes de arquivos. Por exemplo, o que fosse AVI, EXE, ZIP... deixava limitado digamos a 200 kb. O que fosse .html, .htm, .php, .gif, .jpg ficaria sem limite. Deixaria as regras de ipfw fazendo limitacao de tudo que nao fosse porta 80. Mas mesmo assim.. isso me parece mais um quebra-galho do que a solução do problema. De qualquer forma, podemos debater e ver se chegamos a uma solução. Os que ja usam delay-pools podem tecer algum comentario? []s Rafael - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW + Burst ?
Humm Primeiro deixa eu entender o que é o conceito do mikrotik Ele libera a banda máxima por alguns minutos e depois limita? Ex, a sessão http ocorre com a banda máxima por 5minutos, conforme o limite setado no radius. Após os 5minutos o limite cai pro mínimo configurado? É isto? Daí, se o download couber(hehehe, essa foi feia hein) em 5minutos, ele é feito nesta velocidade. Se ele ultrapassar os 5minutos(ex, um ISO), ele vai pra velocidade mínima. Estive lendo hoje a documentação do squid e não achei nada no delay pools que falasse disto, só achei isto que você falou mesmo. Eu já utilizo o ipfw com pipes, mas alguém alardeou que este burst é a solução dos problemas de ocupação de banda... em minha ignorância, se não tem mais banda, tem que comprar, mas já viu como é, sempre querem apertar mais a torneira antes de liberar $$$ :) Obrigado pelas idéias, fico aguardando comentários O delay-pools eu nao tenho experiencia, mas pelo pouco que vi daria pra fazer limitacao por classes de arquivos. Por exemplo, o que fosse AVI, EXE, ZIP... deixava limitado digamos a 200 kb. O que fosse .html, .htm, .php, .gif, .jpg ficaria sem limite. Deixaria as regras de ipfw fazendo limitacao de tudo que nao fosse porta 80. Mas mesmo assim.. isso me parece mais um quebra-galho do que a solução do problema. De qualquer forma, podemos debater e ver se chegamos a uma solução. Os que ja usam delay-pools podem tecer algum comentario? []s Rafael - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW + Burst ?
On 1/7/07, Renato Frederick [EMAIL PROTECTED] wrote: Humm Primeiro deixa eu entender o que é o conceito do mikrotik Ele libera a banda máxima por alguns minutos e depois limita? Ex, a sessão http ocorre com a banda máxima por 5minutos, conforme o limite setado no radius. Após os 5minutos o limite cai pro mínimo configurado? É isto? É. Basicamente isso. Dessa forma, é possivel diminuir a velocidade de download em si e melhor a navegação. (é preciso ser sábio na hora da escolha dos valores, se o download ficar muito ruim a turma vai chiar tb. É preciso ter sabedoria) Daí, se o download couber(hehehe, essa foi feia hein) em 5minutos, ele é feito nesta velocidade. Se ele ultrapassar os 5minutos(ex, um ISO), ele vai pra velocidade mínima. Estive lendo hoje a documentação do squid e não achei nada no delay pools que falasse disto, só achei isto que você falou mesmo. Pois é. Quando falaram do delay pools meus olhos chega brilharam! Hehehe, mas ainda pode aparecer alguem com a magica e ele ainda ser util, apenas no que EU pude ver, nao resolve. Eu já utilizo o ipfw com pipes, mas alguém alardeou que este burst é a solução dos problemas de ocupação de banda... em minha ignorância, se não tem mais banda, tem que comprar, mas já viu como é, sempre querem apertar mais a torneira antes de liberar $$$ :) Concordo. Mas se nao houver um bom controle de banda, nao existirá limites. Sempre precisaremos mais e mais.. e mais e mais. Acho que tem de ser um pouquinho de cada lado. Comprar mais banda, mas tambem procurar alternativas para melhorar o uso do link. Obrigado pelas idéias, fico aguardando comentários Abraço Rafael - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW + Burst ?
Daí, suponhamos que a largura do seu link seja de 1Mbps, vc seta o squid para usar 800Kbps, cada usuário para usar 100 Kbps, a banda estrangulada para 30 Kbps e o tamanho de download aceito antes de estrangular, em 100 KB (este tamanho é por arquivo). Isto faz com que o download seja a 800 Kbps, até 100 KB trafegado, após isso ele limita a banda para 30 Kbps. Isso me resolveu um problemão a um tempo atrás, mas me desculpem a imprecisão, pois faz bastante tempo mesmo. Inclusive este controle deve ter melhorado um bocado, de lá pra cá. Rodolfo, você tem esse exemplo ai pra disponiblizar? Dessa forma, poderiamos testar e ver o desempenho. Acredito que dê pra resolver o problema. Nao é tao trivial qnt no Mikrotik (se fosse algo em ipfw mesmo seria mais facil porque nao tenho squid em todos os pops, mas tenho freebsd em todos eles) mas ja ajuda muito. []s Rafael - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW + Burst ?
Rafael Albuquerque escreveu: Rodolfo, você tem esse exemplo ai pra disponiblizar? Dessa forma, poderiamos testar e ver o desempenho. Acredito que dê pra resolver o problema. Nao é tao trivial qnt no Mikrotik (se fosse algo em ipfw mesmo seria mais facil porque nao tenho squid em todos os pops, mas tenho freebsd em todos eles) mas ja ajuda muito. []s Rafael - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Não tenho exemplo não. Eu fiz isto há muito tempo e não tenho mais acesso à máquina. Mas seguem algumas coisas interessantes que achei na rede: http://quark.humbug.org.au/publications/squid/aclsquid.html http://www.linuxbsd.com.br/forum/viewtopic.php?p=31654#31654 e no google: http://www.google.com.br/search?hl=pt-BRq=squid+delay+poolsbtnG=Pesquisa+Googlemeta= Boa Sorte! Qualquer dúvida, posta aí. -- Cordialmente, Rodolfo Zappa Archive TSP - Total Solution Provider Nosso negócio é garantir que a sua rede de informações não pare! (21) 2567-1842 [EMAIL PROTECTED] http://www.archive.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd