HTB - ograniczenie ruchu wychodzącego z LAN'u do netu

[Quickest]

On Thu, 31 Mar 2005 09:52:52 +0200
Jarek Poplawski <domat w klub.chip.pl> wrote:

> On Wed, Mar 30, 2005 at 03:08:35PM +0200, Quickest wrote:
> > # Klasy o numerach 2 do 4, są to podklasy głównej klasy 1:1
> > tc class add dev ppp0 parent 1:1 classid 1:2 htb rate 30kbit ceil 115kbit quantum 4  # serwer
> > 
> > tc class add dev ppp0 parent 1:1 classid 1:3 htb rate 10kbit ceil 10kbit quantum 4  # Lancelot
> > tc class add dev ppp0 parent 1:1 classid 1:4 htb rate 30kbit ceil 115kbit quantum 4  # Quick
> 
> Tu quantum też jest zdecydowanie za małe i lepiej je pominąć,
> ale będzie to miało wpływ tylko na "pożyczanie" przez klasy 2 i 4.
>  
> > iptables -t mangle -A SHAPER-OUT -p tcp -s 192.168.0.2 -j MARK --set-mark 21 # od Lancelota
> 
> Tu lepiej usunąć -p tcp, bo obecnie pakiety icmp i udp wędrują przez
> klasę domyślną i mogą być wstrzymywane przez ruch z serwera.
> 
> > # Z pakietami wychodzącymi z serwera jest
> > # pewnien problem, ponieważ adresem źródłowym jest zewnętrzne IP SDI
> > # (80.*). Tak więc pozostałe pakiety bez znaczka (mark=0) oznaczam jako
> > # 20.
> > iptables -t mangle -A SHAPER-OUT -m mark --mark 0 -j MARK --set-mark 20
> > -----------------------------------------
> > 
> > heh... nadal to samo blokuje zarówno download jak i upload do 10 kbit/s na 192.168.0.2??? Jak to wyjaśnić??? Czary mary!!!???
> 
> Jeśli nie było ograniczania ruchu na eth0, filtrowania
> pakietów do/z 192.168.0.2 lub zapchania domyślnej klasy przez
> ruch z serwera, to też stawiam na czary.
> 
> Jarek P.
> 
> _______________________________________________
> pld-users-pl mailing list
> pld-users-pl w pld-linux.org
> http://lists.pld-linux.org/mailman/listinfo/pld-users-pl
> 

ehh, nie mam żadnego blokowania interfejsu eth0, wszystkie inne wpisy dotyczące sieci, to:

----------------------------------------
# Wyłączenie ECN
if [ -e /proc/sys/ipv4/tcp_ecn ]; then
echo 0 > /proc/sys/net/ipv4/tcp_ecn
fi

# Wyłączenie spoofowania na wszystkich interfejsach
for x in ppp0 eth0
do echo 1 > /proc/sys/net/ipv4/conf/${x}/rp_filter
done

# Uruchomienie przekazywania pakietow IP.
echo "1" > /proc/sys/net/ipv4/ip_forward
# Blokowanie pakietów z sieci lokalnej
/usr/sbin/iptables -t filter -P FORWARD DROP

# Zezwalamy na by serwer przepuszczał pakiety które pochodzą z naszej sieci
# lokalnej lub są dla niej przeznaczone.
/usr/sbin/iptables -t filter -A FORWARD -s 192.168.0.0/255.255.0.0 -d 0/0 -j ACCEPT
/usr/sbin/iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/255.255.0.0 -j ACCEPT

# Teraz nakazujemy by wszystkie pakiety pochodzące z lanu były maskowane
/usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.0.0 -d 0/0 -j MASQUERADE
------------------------------------

I nic więcej nie mam...

ruch jest cały czas ograniczny na uploadzie i downloadzie do 10 kbit/s, tak jakby wszystkie pakiety były logowane:
zaraz, po skasowaniu głównej kolejki:

tc qdisc del root dev ppp0

wszystko wraca do normy, heh... jednak czary?!
heh... może ta regułka iptables powinna wyglądać inaczej??? jakiś inny pomysł, jakby to można napisać?

-- 
Jakub "Quickest" Kozicki
IMSIS, Bydgoszcz
.mailto: q u i c k e s t <at> p l d - l i n u x <dot> n e t
.http: k u b a <dot> o r g <dot> p l 
RLU: #273864 | "Los jest ślepy, ale trafia bez pudła."