Freesco, NND, CDN, EOS
http://forum.freesco.pl/

3 łącza długi czas na nawiązanie pierwszego połączenia
http://forum.freesco.pl/viewtopic.php?f=22&t=14920		 Strona 1 z 1
Autor:  ziolko [ wtorek, 6 marca 2007, 16:16 ]
Tytuł:  3 łącza długi czas na nawiązanie pierwszego połączenia
Witam
Mam 3 łącza i problem
Nieraz na pierwsze połączenie z internetem trzeba czekać kilka minut. Ping do bramy idzie ale już na bramę domyślną nie idzie nie działa też dns.
Nie wiem gdzie szukać przyczyny.

Konfigurację przedstawiam poniżej :

Łącza zewnętrzne:
: [/] [] ()
                        ifconfig eth0 173.16.1.101 netmask 255.255.255.0 up
                        ifconfig eth2 173.16.0.100 netmask 255.255.255.0 up
                        ifconfig eth3 10.0.1.78 netmask 255.255.0.0 up
                       route add default gw  173.16.1.199
GeSHi © Codebox Plus

Wewnętrzne :
: [/] [] ()
ifconfig eth1 192.168.0.199 netmask 255.255.255.0 up
ifconfig eth1:0 192.168.1.199 netmask 255.255.255.0 up
GeSHi © Codebox Plus


ograniczenie nawiązanych połączeń przez klienta z każdym łączem osobno:
: [/] [] ()
iptables -t mangle -A FORWARD -o eth0 -p tcp -m connlimit --connlimit-above 40 -j DROP
iptables -t mangle -A FORWARD -o eth2 -p tcp -m connlimit --connlimit-above 50 -j DROP
iptables -t mangle -A FORWARD -o eth3 -p tcp -m connlimit --connlimit-above 50 -j DROP
GeSHi © Codebox Plus


Routing i markowanie
: [/] [] ()
#!/bin/sh
PATH="/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin"

niceshaper stop
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter

echo "Czyszczenie"

ip route flush table T1
ip route flush table T2
ip route flush table T3
ip rule del fwmark 3 table T1
ip rule del fwmark 2 table T2
ip rule del fwmark 4 table T3

echo "dsl #1"
ip route add 192.168.0.0/16 dev eth1 table T1 # sieć lokalna 192.168.0.0/16
na interfejsie eth1
ip route add default via 173.16.1.199 table T1 # brama dla DSL #1
echo "dsl #2"
ip route add 192.168.0.0/16 dev eth1 table T3 # sieć lokalna 192.168.0.0/16
na interfejsie eth1
ip route add default via 173.16.0.199 table T3 # brama dla DSL #2
echo "dsl #3"
ip route add 192.168.0.0/16 dev eth1 table T2 # sieć lokalna 192.168.0.0/16
na interfejsie eth1
ip route add default via 10.0.0.1 table T2 # brama dla DSL #2

echo "ip rule"
ip rule add fwmark 3 table T1
ip rule add fwmark 2 table T2
ip rule add fwmark 4 table T3

echo "przygotowanie iptables"

# zatrzymujemy niceshapera
iptables -t mangle -F PREROUTING

# markujemy 
#iptables -t mangle -A PREROUTING -i eth1 -p udp -s 192.168.0.0/16 --dport 0 -j DROP

iptables -t mangle -A PREROUTING -i eth1 -s 192.168.0.0/16 -j MARK --set-mark 4
#iptables -t mangle -A PREROUTING -i eth1 -s 192.168.1.0/24 -j MARK --set-mark 3

#iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 -j MARK --set-mark 3

#iptables -t mangle -A PREROUTING -i eth1 -p udp -s 192.168.0.0/16 -j MARK --set-mark 3

# nadpisujemy numerkiem 3, to co ma być routowane drugim ł?czem

iptables -t mangle -A PREROUTING -i eth1 -p icmp -s 192.168.0.0/16 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 81:100 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 80 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 8080 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 443 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 4902 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 119 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 8074 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 3510 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 22 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 23 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 2510 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 2010 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 2225 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 995 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 17001 -j MARK --set-mark 3
#iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 88 -j MARK --set-mark 3

iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 25 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 21 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 20 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 110 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -s 192.168.0.0/16 -m layer7 --l7proto skypetoskype -j MARK --set-mark 2
# na tym zle dziala :(
#iptables -t mangle -A PREROUTING -i eth1 -s 192.168.0.0/16 -m layer7 --l7proto skypeout -j MARK --set-mark 2
#iptables -t mangle -A PREROUTING -i eth1 -s 192.168.0.0/16 -m layer7 --l7proto http -j MARK --set-mark 2
# programy p2p
############p2p   layer 7        #########################
##########################3################################
iptables -t mangle -A PREROUTING -i eth1 -s 192.168.0.0/16 -m layer7 --l7proto bittorrent -j MARK --set-mark 4
iptables -t mangle -A PREROUTING -i eth1 -s 192.168.0.0/16 -m layer7 --l7proto edonkey -j MARK --set-mark 4
#iptables -t mangle -A PREROUTING -i eth1 -s 192.168.0.0/16 -m layer7 --l7proto fasttrack -j MARK --set-mark 4
iptables -t mangle -A PREROUTING -i eth1 -s 192.168.0.0/16 -m layer7 --l7proto gnutella -j MARK --set-mark 4
#iptables -t mangle -A PREROUTING -i eth1 -s 192.168.0.0/16 -m layer7 --l7proto napster -j MARK --set-mark 4
#iptables -t mangle -A PREROUTING -i eth1 -s 192.168.0.0/16 -m layer7 --l7proto directconnect -j MARK --set-mark 4
iptables -t mangle -A PREROUTING -i eth1 -s 192.168.0.0/16 -m layer7 --l7proto ares -j MARK --set-mark 4
#blokada p2p na ###########################################
iptables -t mangle -A PREROUTING -i eth1 -s 192.168.0.0/16 -m ipp2p --ipp2p -j MARK --set-mark 4

##############################################################
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 7171 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p udp -s 192.168.0.0/16 --dport 7171 -j MARK --set-mark 3

##############################################################
# ostatecznie jednak nadpisujemy numerkiem
iptables -t mangle -A PREROUTING -i eth1 -p udp -s 192.168.0.0/16 --dport 53 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 53 -j MARK --set-mark 3

iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 -d 192.168.0.0/16 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 -d 173.16.1.0/24 -j MARK --set-mark 3 # podsieć dsl #1
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 -d 173.16.0.0/24 -j MARK --set-mark 3  # podsieć dsl #2
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 -d 10.0.0.0/16 -j MARK --set-mark 2  # podsieć dsl #2
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 -d 173.16.0.199 --dport 80 -j MARK --set-mark 4 # podsieć dsl #2
#iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 -d 173.16.2.199 --dport 80 -j MARK --set-mark 4 # podsieć dsl #4
iptables -t mangle -A PREROUTING -i eth1 -p udp -s 192.168.0.0/16 -d 192.168.0.199 --dport 53 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 -d 192.168.0.199 --dport 53 -j MARK --set-mark 3

iptables -t mangle -A PREROUTING -i eth1  -s 192.168.0.0/16 -d 81.219.253.124 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -i eth1  -s 192.168.0.0/16 -d 194.228.111.109 -j MARK --set-mark 3
#iptables -t mangle -A PREROUTING -i eth1 -p udp -s 192.168.0.0/16 -d 81.219.253.124 -j MARK --set-mark 3
#iptables -t mangle -A PREROUTING -i eth1 -p udp -s 192.168.0.0/16 -d 194.228.111.109 -j MARK --set-mark 3

#iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 -d 193.179.213.83 -j MARK --set-mark 3
#iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 -d 193.179.213.84 -j MARK --set-mark 3
#iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 -d 193.179.213.85 -j MARK --set-mark 3

#iptables -t mangle -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 -d 173.16.0.199 --dport 80 -j MARK --set-mark 2 # podsieć dsl #2
# startujemy niceshapera
sleep 10
niceshaper start
GeSHi © Codebox Plus
Autor:  Felek [ piątek, 9 marca 2007, 14:55 ]
Tytuł:  Re: 3 łącza długi czas na nawiązanie pierwszego połączenia
ziolko pisze:
Witam
ograniczenie nawiązanych połączeń przez klienta z każdym łączem osobno:
: [/] [] ()
iptables -t mangle -A FORWARD -o eth0 -p tcp -m connlimit --connlimit-above 40 -j DROP
iptables -t mangle -A FORWARD -o eth2 -p tcp -m connlimit --connlimit-above 50 -j DROP
iptables -t mangle -A FORWARD -o eth3 -p tcp -m connlimit --connlimit-above 50 -j DROP
GeSHi © Codebox Plus


A czy te limity sa dobrze zrobione, on przypadkiem nie limituje ilosci wszystkich polaczen na interfejsie ?
Autor:  ziolko [ niedziela, 11 marca 2007, 10:07 ]
Tytuł: 
Też mam wątpliwości czekam na potwierdzenie :) .
Autor:  Felek [ niedziela, 11 marca 2007, 14:06 ]
Tytuł: 
Usun ten wpis, wykonaj jeszcze raz skrypt i sprawdz jaki wtedy bedzie efekt. Ja mam to zrobione tak:
: [/] [] ()
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 100 --connlimit-mask 32 -j DROP
GeSHi © Codebox Plus
Przy sieci adresowanej 192.168.1.x.
Autor:  -MW- [ niedziela, 11 marca 2007, 14:27 ]
Tytuł: 
iptables -A FORWARD -s 192.168.1.0/24 -p tcp -m connlimit --connlimit-mask 32 --connlimit-above 100 -j DROP
Autor:  ziolko [ niedziela, 11 marca 2007, 16:40 ]
Tytuł: 
A jak zrobić ograniczenie nawiązanych połączeń przez klienta ale z każdym łączem oddzielnie ? - mam 3 łącza internetowe.
Autor:  Felek [ niedziela, 11 marca 2007, 18:29 ]
Tytuł: 
Jezeli masz klientow po wifi to jest bez sensu, bo ap kiepsko znasza duza ilosc polaczen.
Autor:  ziolko [ niedziela, 11 marca 2007, 22:34 ]
Tytuł: 
Myślę że dobre rozwiązanie jest to ponieważ klient nie zapcha sobie otwierania stron bo p2p będzie szło na drugie łącze gdzie osobny limit połączeń będzie a łącze na którym strony itp. na innym łączu i limicie połączeń oczywiście.

Moje pytanie aktualne jest :) jak to zrobic :)
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/