Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Kontrola użytkowników, a podział pasma.
http://forum.freesco.pl/viewtopic.php?f=24&t=10650		 Strona 1 z 1
Autor:  czerk [ wtorek, 10 stycznia 2006, 21:08 ]
Tytuł:  Kontrola użytkowników, a podział pasma.
Witam,
Ponieważ jestem w fazie stawiania i konfigurowania routera, zastanawiam sie jak sprwiedliwie dzielić dostępne pasmo. Nie chcę niczego ograniczać użytkownikom, o ile nie będzie to bezwzględnie konieczne. Przecież jeżeli godzą sie na partcypowanie w kosztach netu to nie poto, żeby jakis admin dyktował im warunki korzystania z internetu. Jak facet chce włączyc p2p o 10:30, to jego prywatna sprawa i ma do tego pełne prawo. Bedę miał DSL 4MB i 35 kompów w sieci. Zastanawiam sie czy użycie niceshapera załatwi sprawę. Ustawię dynamiczny podział pasma i nich każdy korzysta z czego chce w sieci. Prosze o informacje co o tym myślicie.
Czy może zastosować dodatkowo jakieś ograniczenia, a jeśli tak to jakie :?:
Nie chce przesadzać z ograniczeniami, a jedynie zadbać o w miarę sprawiedliwy podział pasma.
Autor:  makog [ wtorek, 10 stycznia 2006, 21:35 ]
Tytuł: 
N apoczatek niceshaper, a co do p2p to zachwile sam zmienisz zdanie, jak ci zacznie lacze zamulac :)
Autor:  adamol [ środa, 11 stycznia 2006, 02:07 ]
Tytuł: 
Na początek spróbuj z :
http://forum.freesco.pl/viewtopic.php?p=50251&highlight=#50251

później popróbuj z :
http://forum.freesco.pl/viewtopic.php?t=8946&highlight=

Zobacz co będzie cię zadowalać i jednocześnie sprawdzać w twojej sieci.

Pozdro
Autor:  czerk [ środa, 11 stycznia 2006, 09:57 ]
Tytuł: 
A co myślicie o takim rozwiazaniu:
- kontrolowanie pasma niceshaperem,
- ograniczenie ilości nawiązywanych połączeń, powiedzmy do 50 na każdego usera.
Czy to załatwi apetyt p2p na zapychanie łącza?
Autor:  adamol [ środa, 11 stycznia 2006, 13:12 ]
Tytuł: 
Spróbuj. U mnie 50 połaczeń to było za mało, były problemy z www itd, zmniejsz czas trzymania połączeń wg opisu na wiki "o wydajności", a ilość połączeń zmniejsz może tylko dla wysokich portów.
Pozdro
Autor:  czerk [ środa, 11 stycznia 2006, 15:51 ]
Tytuł: 
Rzeczywiście ograniczanie do 50 połączń na użtkownika może się okazać zbyt drastyczne. Zastanawiam sie bardziej czy będę musiał osobno kontrolować programy p2p, czy opisana poprzednio metoda (niceshaper + ograniczona ilość połączeń) wystarczy do podziału pasma i poprawnej pracy routera? Wyczytałen gdziś że NND korzysta jedynie z 8192 portów dla NATu. Nie wien czy to prawda? Może to ktoś zweryfikować?
Autor:  Luc3k [ środa, 11 stycznia 2006, 17:21 ]
Tytuł: 
Ograniczanie ilosci polaczan w ogole sie u mnie nie sprawdzilo. Ze swojego przykladu wiem jak torrent wykorzystal caly limit, a reszta czyli strony gg itp. w ogole nie chodzily - kiepskie rozwiazanie moim zdaniem i na dluzsza mete odpada. Co sie w takim razie u mnie sprawdzilo? Niceshaper wiadomo, podstawa, ale dodatkowo wirtualne interfejsy (IMQ) + ipp2p. Opis rowniez znajdziesz na wiki. Jak narazie to sprawdza sie u mnie bez zarzutu. I wilk jest syty i owca cala...
Autor:  adamol [ środa, 11 stycznia 2006, 20:51 ]
Tytuł: 
Ja mam obecnie imq + nice + ipp2p + limity połączeń na 150 + ograniczenie czasu trzymania połączeń dla TCP coś koło 600... i działa :D, łącze też jest tu ważne, maszyna i reszta jak w opisie.
Musisz potestować co u ciebie będzie optymalne.
Pozdro
Autor:  czerk [ czwartek, 12 stycznia 2006, 08:55 ]
Tytuł: 
A może ktoś wie co z tą ilością portów dla NAT? Na Wiki znalazłem takie coś:
http://www.wiki.nnd.freesco.pl/index.php/Optymalizacja_NND

Wyraźnie jest tam napisane że NND dla NAT przydziela 8192 porty (czyli 2^13). Nie wiem czy jest to już liczba portów dla samego NAT, czy maksymalna ilość portów jak może być otwarta w systemie? Jeżeli jest to ten drugi przypadek, to w rzeczywistości dla NAT pozostanie 8192 -1024 = 7168 portów. Jak myślicie, czy jest to ilość wystarczająca dla 35 user-ów? Jeżeli nie, to gdzie zmienić ustawienia?. A może ta informacja dotyczy innej wersji NND? Ja mam NND z 2005.07.10, a artykuł na Wiki był ostatni raz modyfikowany 2005.05.23. W tym artykule podany jest również skrypt do zmiany timeout-ów. Ma może ktoś doświadczenia z tym skryptem?
Autor:  adamol [ czwartek, 12 stycznia 2006, 09:32 ]
Tytuł: 
Przy ustawieniach jak podałem powyżej + oczywiście cały skrypt do limitowania z Wiki, mam średnio otwartch 300-400 połączeń, max aktywnych userów około 35 a co do portów dla NAT to o ile się nie mylę masz te wartości wpisane w :
: [/] [] ()
/proc/sys/net/ipv4/ip_conntrack_max
/proc/sys/net/ipv4/netfilter/ip_conntrack_max
GeSHi © Codebox Plus

i zależą one od ilościu pamięci ram, dla 128 MB jest własnie 8192.
Autor:  czerk [ czwartek, 12 stycznia 2006, 11:26 ]
Tytuł: 
adamol pisze:
o ile się nie mylę masz te wartości wpisane w :
: [/] [] ()
/proc/sys/net/ipv4/ip_conntrack_max
/proc/sys/net/ipv4/netfilter/ip_conntrack_max
GeSHi © Codebox Plus

Rzeczywiście tam to jest. A jak zmienić ilość portów? Czy tak:
: [/] [] ()
echo 16384 > /proc/sys/net/ipv4/ip_conntrach_max
echo 16384 > /proc/sys/net/ipv4/netfilter/ip_conntrach_max
GeSHi © Codebox Plus

i jeszcze dodać to do rc.local.
Tylko że przecież ip_conntrack_max (jak i wszystko inne wewnętrz katalogo /proc) nie jest takim normalnym plikiem, tylko obrazem tego co się zmajduje gdzieś w jądrze. Chyba podczas startu systemu wartość ip_conntrack_max musi być jakoś do jądra podawana.
Autor:  adamol [ czwartek, 12 stycznia 2006, 11:39 ]
Tytuł: 
Wykorzystaj rc.local albo skrypt z Wiki i dopisz te 2 regułki, a skrypt niech startuje z systemem, z rc.local np.
Pozdro
Autor:  czerk [ czwartek, 12 stycznia 2006, 11:52 ]
Tytuł: 
Dzięki za pomoc adamol. Mam właśnie zamiar wykorzystać skrytp z Wiki i dopisać do niego te dwie linijki.
Powiedz proszę czy coś zmieniałeś w poszczególnych parametrach w tym skrypcie, i kiedy u ciebie skrypt jest uruchamiany? Jednokrotnie przy starcie systemu, czy może korzystasz z cron'a?
Autor:  adamol [ czwartek, 12 stycznia 2006, 12:19 ]
Tytuł: 
Skrypt wygląda tak:
: [/] [] ()
#!/bin/bash
#limity
echo "600" > /proc/sys/net/ipv4/tcp_keepalive_time
echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout
echo "30" > /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout
echo "10" > /proc/sys/net/ipv4/netfilter/ip_conntrack_icmp_timeout
echo "15" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close
echo "20" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
echo "600" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
echo "20" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait
echo "15" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_last_ack
echo "30" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait
echo "60" > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
echo "180" > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream
GeSHi © Codebox Plus

nazywa się *limity i w rc.local mam:
: [/] [] ()
# Programy, ktore musza startowac z usera

/etc/rc.d/limity
GeSHi © Codebox Plus

Jak utworzysz ten skrypt nadaj mu prawa, równie dobrze można całośc wrzucić do rc.local.
Działanie sprawdzisz w ten sposób że będą odpowiednie wartości w plikach ze skryptu.
Co do iptables to mam taki dopisek:

: [/] [] ()
-A FORWARD -s 192.168.1.0/255.255.255.0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP
GeSHi © Codebox Plus


Pozdro
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/