| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| przekierowane porty i HTB http://forum.freesco.pl/viewtopic.php?f=22&t=9555 |
Strona 1 z 1 |
| Autor: | macek [ niedziela, 23 października 2005, 16:22 ] |
| Tytuł: | przekierowane porty i HTB |
Witam. Problem jest następujący - aby mieć możliwość zarządzania z zewnątrz sieci APkami wewnątrz na NND zrobiłem przekierowanie portów (firewall Czerwo). Przekierowanie działa, ale kiedy userzy działąją bardziej aktywnie - to dostanie się z zewnątrz na AP to cud. Mam DSLa z 256k uploadu, statystyki pokazują użycie 150 - 160 k, więc teoretycznie nie powinno byc problemu z wejściem. Podejrzewam, że ten ruch trafia do klasy dla P2P i dlatego tak kiepsko działa. Co radzicie? Dodam iż korzystam z HTB z wydzieloną klasą dla P2P (skrypt można pobrać pod adresem www.infobiuro.pl/pliki) |
|
| Autor: | Jacq [ niedziela, 23 października 2005, 16:44 ] |
| Tytuł: | |
hmm rozwiązań może być kilka. Np. Mozesz zrobić dla apków osobną grupę i dać im pełny download i upload a userom troszeczke przyciąć i zostawić np. 40 kilo uploadu i 60 kilo downloadu dla apków. Kwestia dostosowania. |
|
| Autor: | -MW- [ niedziela, 23 października 2005, 23:41 ] |
| Tytuł: | |
obawiam sie ze rozwiazanie jest jedno! wszyscy skupili sie na ograniczeniu downloadu a najwazniejsza zecza na routerze jest zadbanie o upload, jesli ten bedzie zbyt nadmiernie generowany to net bedzie chodzil zle ! i nie dostaniesz sie na AP ( tez tak mam u siebie z Ap-kami zrobione) wlasciwie to do nich wchodzisz tylko one nie moga nic do ciebie wyslac. userzy sa w osobnych podklasach, kazdy w innej, a urzadzenia jeszcze w innej, ale juz wszystkie w tej samej 
|
|
| Autor: | macek [ poniedziałek, 24 października 2005, 10:58 ] |
| Tytuł: | |
właśnie tak mam - każdy user ma swoją klasę, na oddzielnej klasie działa P2P. AP mam podefiniowane w HTB jako userów z transferami 64/64kbit (ceil = 64). Zaczynam podejrzewać, że z jakiegoś powodu ruch z AP trafia do klasy dla P2P. Czy mógłby ktoś rzucić okiem na mój skrypt (adres podałem w pierwszym poście)?? |
|
| Autor: | macek [ poniedziałek, 24 października 2005, 13:21 ] |
| Tytuł: | |
już wiem napewno, że problem leży w klasie dla P2P. Jak ją usuwam ze skryptu to dostęp do AP jest bezproblemowy, jak ją przywracam, to połączenie z AP idzie właśnie przez tą klasę, gdzie jest po prostu "duszony". Klasa dla P2P wygląda tak: # Pasmo dla p2p $h class add dev $LANINT parent 1:2 classid 1:5 htb rate ${USERDOWN}kbit ceil ${P2PDOWN}kbit prio 4 quantum 1500 $h qdisc add dev $LANINT parent 1:5 $SFQ $h class add dev $WANINT parent 2:1 classid 2:5 htb rate ${USERUP}kbit ceil ${P2PUP}kbit prio 6 quantum 1500 $h qdisc add dev $WANINT parent 2:5 $SFQ if [ $pora != 3 -a $P2P_ON = 1 ];then $i -t mangle -A PREROUTING -i $LANINT -m ipp2p --ipp2p -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -m ipp2p --ipp2p-data -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -m ipp2p --bit --apple --winmx --soul --ares -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -m ipp2p --ipp2p -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 1024:1549 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 1551:3127 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 3129:6110 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 6113:6664 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 6670:7170 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 7172:8073 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 8075:8079 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 8081:8499 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 8501:17000 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 17002:27242 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 27245:28959 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 28961:30000 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 30002:40310 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 40312:44404 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 44406:55900 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 55902:65535 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p udp --dport 1024:1549 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p udp --dport 1551:7170 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p udp --dport 7172:17000 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p udp --dport 17002:27242 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p udp --dport 27245:28959 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p udp --dport 28961:30000 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p udp --dport 30002:40310 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p udp --dport 40312:44404 -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $LANINT -p udp --dport 44406:65535 -j MARK --set-mark 2 $h filter add dev $LANINT parent 1:0 protocol ip prio 4 handle 2 fw flowid 1:5 $h filter add dev $WANINT parent 2:0 protocol ip prio 5 handle 2 fw flowid 2:5 fi kto pomoże? 
|
|
| Autor: | zciech [ poniedziałek, 24 października 2005, 15:41 ] |
| Tytuł: | |
Zrob jeszce jedna klase jak dla normalnego usera i podepnij adresy AP do niej i juz. http://reliserv.pl/nnd/rchtb/htb_z_grupami/ |
|
| Autor: | macek [ poniedziałek, 24 października 2005, 17:06 ] |
| Tytuł: | |
niestety - nie pomogło. Wgrałem HTB z lokalizacji, którą wskazałeś, ustawiłem "pod siebie" i jest to samo. Jak zapłotkuję klasę P2P, wtedy idzie klasą utworzoną dla tego AP, po uruchomieniu tej klasy ruch do i z AP idzie przez klasę P2P. |
|
| Autor: | zciech [ poniedziałek, 24 października 2005, 18:13 ] |
| Tytuł: | |
Nie przemyslalem tematu, zawsze tak bedzie
Jesli przekierowane porty to np. 4000:4010 to w z kazdej linii dopisz: $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 4000:4010 --dport 1024:1549 -j MARK --set-mark 2 itd dla drugiego kierunku oczywiscie --dport ! 4000:4010 to wykluczy z kontroli pakiety na i z portow przekierowanych. |
|
| Autor: | macek [ poniedziałek, 24 października 2005, 20:23 ] |
| Tytuł: | |
teraz pomogło - jednak co fachura to fachura - WIELKIE DZIĘKI!!! |
|
| Autor: | macek [ piątek, 4 listopada 2005, 11:28 ] |
| Tytuł: | |
napotkałem przy okazji jeszcze jeden problem, na który wcześniej nie zwróciłem uwagi. Jeśli user wysyła coś na zewnętrzny serwer ftp (np. z windows commandera) to nie idzie to klasą usera, tylko klasą dla P2P. Sprawdziłem netstatem na komuterze usera, że faktycznie połączenie wychodzi na porcie 32903 i w tym momencie skrypt wrzuca go do klasy P2P. Czy można jakoś takie pakiety rozpoznać i oznakować, aby trafiały do klasy usera? |
|
| Autor: | tasiorek [ piątek, 4 listopada 2005, 16:50 ] |
| Tytuł: | |
Wydaje mi sie, ze wytarczy zamienic wszystkie linijki z oznaczeniami p2p na takie: $i -t mangle -A PREROUTING -i $LANINT -m ipp2p --ipp2p -j MARK --set-mark 2 $i -t mangle -A PREROUTING -i $WANINT -m ipp2p --ipp2p -j MARK --set-mark 2 |
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|