Freesco, NND, CDN, EOS

Witam. Problem jest następujący - aby mieć możliwość zarządzania z zewnątrz sieci APkami wewnątrz na NND zrobiłem przekierowanie portów (firewall Czerwo). Przekierowanie działa, ale kiedy userzy działąją bardziej aktywnie - to dostanie się z zewnątrz na AP to cud. Mam DSLa z 256k uploadu, statystyki pokazują użycie 150 - 160 k, więc teoretycznie nie powinno byc problemu z wejściem. Podejrzewam, że ten ruch trafia do klasy dla P2P i dlatego tak kiepsko działa. Co radzicie? Dodam iż korzystam z HTB z wydzieloną klasą dla P2P (skrypt można pobrać pod adresem www.infobiuro.pl/pliki)

hmm rozwiązań może być kilka.

Np. Mozesz zrobić dla apków osobną grupę i dać im pełny download i upload a userom troszeczke przyciąć i zostawić np. 40 kilo uploadu i 60 kilo downloadu dla apków. Kwestia dostosowania.

_________________
Pozdrawiam

obawiam sie ze rozwiazanie jest jedno!

wszyscy skupili sie na ograniczeniu downloadu a najwazniejsza zecza na routerze jest zadbanie o upload, jesli ten bedzie zbyt nadmiernie generowany to net bedzie chodzil zle !

i nie dostaniesz sie na AP ( tez tak mam u siebie z Ap-kami zrobione)

wlasciwie to do nich wchodzisz tylko one nie moga nic do ciebie wyslac.


userzy sa w osobnych podklasach, kazdy w innej, a urzadzenia jeszcze w innej, ale juz wszystkie w tej samej

właśnie tak mam - każdy user ma swoją klasę, na oddzielnej klasie działa P2P. AP mam podefiniowane w HTB jako userów z transferami 64/64kbit (ceil = 64). Zaczynam podejrzewać, że z jakiegoś powodu ruch z AP trafia do klasy dla P2P. Czy mógłby ktoś rzucić okiem na mój skrypt (adres podałem w pierwszym poście)??

już wiem napewno, że problem leży w klasie dla P2P. Jak ją usuwam ze skryptu to dostęp do AP jest bezproblemowy, jak ją przywracam, to połączenie z AP idzie właśnie przez tą klasę, gdzie jest po prostu "duszony". Klasa dla P2P wygląda tak:
# Pasmo dla p2p
$h class add dev $LANINT parent 1:2 classid 1:5 htb rate ${USERDOWN}kbit ceil ${P2PDOWN}kbit prio 4 quantum 1500
$h qdisc add dev $LANINT parent 1:5 $SFQ
$h class add dev $WANINT parent 2:1 classid 2:5 htb rate ${USERUP}kbit ceil ${P2PUP}kbit prio 6 quantum 1500
$h qdisc add dev $WANINT parent 2:5 $SFQ
if [ $pora != 3 -a $P2P_ON = 1 ];then
$i -t mangle -A PREROUTING -i $LANINT -m ipp2p --ipp2p -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -m ipp2p --ipp2p-data -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -m ipp2p --bit --apple --winmx --soul --ares -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -m ipp2p --ipp2p -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 1024:1549 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 1551:3127 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 3129:6110 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 6113:6664 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 6670:7170 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 7172:8073 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 8075:8079 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 8081:8499 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 8501:17000 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 17002:27242 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 27245:28959 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 28961:30000 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 30002:40310 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 40312:44404 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 44406:55900 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 55902:65535 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p udp --dport 1024:1549 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p udp --dport 1551:7170 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p udp --dport 7172:17000 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p udp --dport 17002:27242 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p udp --dport 27245:28959 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p udp --dport 28961:30000 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p udp --dport 30002:40310 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p udp --dport 40312:44404 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p udp --dport 44406:65535 -j MARK --set-mark 2
$h filter add dev $LANINT parent 1:0 protocol ip prio 4 handle 2 fw flowid 1:5
$h filter add dev $WANINT parent 2:0 protocol ip prio 5 handle 2 fw flowid 2:5
fi

kto pomoże?

Zrob jeszce jedna klase jak dla normalnego usera i podepnij adresy AP do niej i juz.

http://reliserv.pl/nnd/rchtb/htb_z_grupami/

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

niestety - nie pomogło. Wgrałem HTB z lokalizacji, którą wskazałeś, ustawiłem "pod siebie" i jest to samo. Jak zapłotkuję klasę P2P, wtedy idzie klasą utworzoną dla tego AP, po uruchomieniu tej klasy ruch do i z AP idzie przez klasę P2P.

Nie przemyslalem tematu, zawsze tak bedzie

Jesli przekierowane porty to np. 4000:4010 to
w z kazdej linii dopisz:
$i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 4000:4010 --dport 1024:1549 -j MARK --set-mark 2
itd
dla drugiego kierunku oczywiscie --dport ! 4000:4010

to wykluczy z kontroli pakiety na i z portow przekierowanych.

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

teraz pomogło - jednak co fachura to fachura - WIELKIE DZIĘKI!!!

napotkałem przy okazji jeszcze jeden problem, na który wcześniej nie zwróciłem uwagi. Jeśli user wysyła coś na zewnętrzny serwer ftp (np. z windows commandera) to nie idzie to klasą usera, tylko klasą dla P2P. Sprawdziłem netstatem na komuterze usera, że faktycznie połączenie wychodzi na porcie 32903 i w tym momencie skrypt wrzuca go do klasy P2P. Czy można jakoś takie pakiety rozpoznać i oznakować, aby trafiały do klasy usera?

Wydaje mi sie, ze wytarczy zamienic wszystkie linijki z oznaczeniami p2p na takie: