Freesco, NND, CDN, EOS • Wyświetl temat - htb Zciecha z gupami i klasą P2P a ftp u userów

Posty bez odpowiedzi | Aktywne tematy

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

htb Zciecha z gupami i klasą P2P a ftp u userów

Moderatorzy: tasiorek, JakubC, Mis'

Strona 1 z 2

[ Posty: 25 ]

Przejdź na stronę 1, 2 Następna

Podgląd wydruku

Poprzedni temat | Następny temat

Autor

Wiadomość

macek

Tytuł: htb Zciecha z gupami i klasą P2P a ftp u userów

: poniedziałek, 28 listopada 2005, 22:20

Rejestracja: środa, 25 maja 2005, 23:35
Posty: 23

Pytanie jak w temacie - przy wysyłce na dowolny zewnętrzny serwer ftp cała transmisja idzie klasą dla P2P. Wpisałem do linii ze znakowaniem pakietów w klasie P2P --sport ! 21, np:
$i -t mangle -A PREROUTING -i $LANINT -p udp --sport ! 21 --dport 55696:65535 -j MARK --set-mark 2
ale to nie pomaga. Proszę o pomoc

Na górę

Albercik

Tytuł:

: wtorek, 29 listopada 2005, 00:32

PGF

Rejestracja: sobota, 15 marca 2003, 13:54
Posty: 2780

Spróbuj :

: [/] [] ()

$i -t mangle -I PREROUTING -i $LANINT -p udp --sport ! 21 --dport 55696:65535 -j MARK --set-mark 2

GeSHi © Codebox Plus

a jeżeli to nie pomoże to spróbuj tak :

: [/] [] ()

$i -t mangle -I PREROUTING -i $LANINT -p udp --sport ! 21 --dport 55696:65535 -j MARK --set-mark 0x2

GeSHi © Codebox Plus

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie

Szybkie kobiety i piękne samochody

Na górę

macek

Tytuł:

: wtorek, 29 listopada 2005, 08:50

Rejestracja: środa, 25 maja 2005, 23:35
Posty: 23

w obu wypadkach jest jeszcze gorzej bo niczego nie wrzuca do klasy P2P - wszystko idzie klasami userów.

Na górę

tasiorek

Tytuł:

: wtorek, 29 listopada 2005, 10:06

MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów

Wydaje mi sie, ze wytarczy zamienic wszystkie linijki z oznaczeniami p2p na takie:

: [/] [] ()

$i -t mangle -A PREROUTING -i $LANINT -m ipp2p --ipp2p -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $WANINT -m ipp2p --ipp2p -j MARK --set-mark 2

GeSHi © Codebox Plus

Nie zapomnij tez o zainstalowaniu najnowszego ipp2p.

Na górę

macek

Tytuł:

: wtorek, 29 listopada 2005, 11:21

Rejestracja: środa, 25 maja 2005, 23:35
Posty: 23

oto wszystkie linie znakujące pakiety w klasie P2P w moim skrypcie HTB:

: [/] [] ()

  $i -t mangle -A PREROUTING -i $LANINT -m ipp2p --edk --kazaa --gnu --dc --bit --apple --winmx --soul --ares -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -m ipp2p --ipp2p -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 1024:1549 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 1551:3022 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 3024:3127 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 3129:3538 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 3540:3576 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 3578:4999 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 5101:6110 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 6113:6664 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 6670:7170 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 7172:8073 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 8075:8079 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 8081:8499 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 8501:17000 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 17002:27242 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 27245:28959 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 28961:30000 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 30002:40040 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 40042:40310 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 40312:44404 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 44406:50002 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 50004:55694 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 55696:55900 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p tcp --sport ! 20:81 --dport 55902:65535 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p udp --sport ! 20:81 --dport 1024:1549 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p udp --sport ! 20:81 --dport 1551:3022 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p udp --sport ! 20:81 --dport 3024:4568 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p udp --sport ! 20:81 --dport 4570:4999 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p udp --sport ! 20:81 --dport 5101:7170 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p udp --sport ! 20:81 --dport 7172:17000 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p udp --sport ! 20:81 --dport 17002:27242 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p udp --sport ! 20:81 --dport 27245:28959 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p udp --sport ! 20:81 --dport 28961:30000 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p udp --sport ! 20:81 --dport 30002:40310 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p udp --sport ! 20:81 --dport 40312:44404 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p udp --sport ! 20:81 --dport 44406:55694 -j MARK --set-mark 2
  $i -t mangle -A PREROUTING -i $LANINT -p udp --sport ! 20:81 --dport 55696:65535 -j MARK --set-mark 2

GeSHi © Codebox Plus

Problem jest już rozwiązany połowicznie - na serwerach które wymagają trybu pasywnego nadal nie działa

Na górę

Koriolan

Tytuł:

: środa, 30 listopada 2005, 19:07

MODERATOR

Rejestracja: poniedziałek, 29 lipca 2002, 15:45
Posty: 1385
Lokalizacja: Polska

A dlaczego jest :
...-p udp ...

ftp po udp tez chodzi ??

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator :-)

Na górę

macek

Tytuł:

: środa, 30 listopada 2005, 21:10

Rejestracja: środa, 25 maja 2005, 23:35
Posty: 23

tak z rozpędu się zrobiło (przez kopiowanie linii z tcp)

Na górę

khun

Tytuł:

: poniedziałek, 12 grudnia 2005, 11:54

Użytkownik

Rejestracja: wtorek, 18 maja 2004, 08:24
Posty: 170

Ja używam htb_z_grupami i jest ten sam objaw tzn:
Jeżeli user ściąga lub wysyła przez ftp to go wrzuca do klasy p2p
I wiem zę tu musze coś zmienić tylko nie wiem na co ?

# Pasmo dla p2p
$h class add dev $LANINT parent 1:2 classid 1:5 htb rate ${USERDOWN}kbit ceil ${P2PDOWN}kbit prio 4 quantum 1500
$h qdisc add dev $LANINT parent 1:5 $SFQ_LAN
$h class add dev $WANINT parent 2:1 classid 2:5 htb rate ${USERUP}kbit ceil ${P2PUP}kbit prio 6 quantum 1500
$h qdisc add dev $WANINT parent 2:5 $SFQ_WAN
if [ $pora != 3 -a $P2P_ON = 1 ];then
$i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 1024:6110 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $WANINT -p tcp --sport 1024:6110 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 6113:6664 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $WANINT -p tcp --sport 6113:6664 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 6670:8073 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $WANINT -p tcp --sport 6670:8073 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 8075:8499 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $WANINT -p tcp --sport 8075:8499 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p tcp --dport 8501:65535 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $WANINT -p tcp --sport 8501:65535 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $LANINT -p udp --dport 1024:65535 -j MARK --set-mark 2
$i -t mangle -A PREROUTING -i $WANINT -p udp --sport 1024:65535 -j MARK --set-mark 2
$h filter add dev $LANINT parent 1:0 protocol ip prio 4 handle 2 fw flowid 1:5
$h filter add dev $WANINT parent 2:0 protocol ip prio 4 handle 2 fw flowid 2:5
fi

Jak to zmienić ??

Na górę

Ravel

Tytuł:

: poniedziałek, 12 grudnia 2005, 17:06

Użytkownik

Rejestracja: środa, 12 lutego 2003, 08:48
Posty: 392
Lokalizacja: LG k/Tarnowa

jesli chcesz dokladnie wylapywac po uslugach to proponuje layer-7. wiecej o nim http://l7-filter.sourceforge.net/

_________________
RoUteR NND [ C333 | 128MB RAM | 13GB HDD | DSL 2Mb]

Na górę

tasiorek

Tytuł:

: poniedziałek, 12 grudnia 2005, 17:25

MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów

Ravel pisze:

jesli chcesz dokladnie wylapywac po uslugach to proponuje layer-7. wiecej o nim http://l7-filter.sourceforge.net/

A nie lepiej dolaczone do NND ipp2p?

Na górę

fishu

Tytuł:

: wtorek, 13 grudnia 2005, 03:04

Użytkownik

Rejestracja: niedziela, 27 czerwca 2004, 11:45
Posty: 317

Ravel pisze:

jesli chcesz dokladnie wylapywac po uslugach to proponuje layer-7. wiecej o nim http://l7-filter.sourceforge.net/

Wdrożyłeś może to u siebie? Ja na razie zbieram informację na ten temat i z tego co widzę jest to vardzo ciekawe rozwiązanie.

Na górę

khun

Tytuł:

: wtorek, 13 grudnia 2005, 09:51

Użytkownik

Rejestracja: wtorek, 18 maja 2004, 08:24
Posty: 170

Rozwiązanie potrzebował bym na już bo mnie ci z tym p2p wykończą tak że chyba lepiej było by na ipp2p z nnd.
Tasiorek jak to rozwiązałeś?
Używam HTB_z_grupami i spisuje się super tylko nie wiem co zmienić w pliku configuracyjnym.
Narazie zwiększyłem im pasmo dla p2p bo by zaraz pokapowali że coś nie tak z download i upload bo część sciąga po ftp.
A jak by do klasy p2p trafiały tylko pakiety z programów p2p a klasa ta była nawet drastyczniej przycięta (zwłaszcza upload bo ich i tak interesuje download) to trudniej będzie sie komuś z userów połapać co sie dzieje ,bo jak zacznie sciągać przez www czy ftp to ładnie poleci a zawsze można zwalić na p2p , że różnie z tymi programami jest.

Na górę

Brzoznik

Tytuł:

: wtorek, 13 grudnia 2005, 11:10

Rejestracja: czwartek, 3 czerwca 2004, 22:17
Posty: 12
Lokalizacja: Białystok

Przyłączam się do pomysłu wdrożenia layer 7. Z moich doświadczeń wynika że IPP2P przycina skype'a i klienci sie buntują. Layer 7 podobno potrafi wyodrębnić skype'a.

Na górę

zciech

Tytuł:

: wtorek, 13 grudnia 2005, 13:12

PGF

Rejestracja: niedziela, 14 lipca 2002, 14:33
Posty: 3234
Lokalizacja: Radziejów

Proponuje wyprobowac takie cos

: [/] [] ()

# Pasmo dla p2p
$h class add dev $LANINT parent 1:2 classid 1:5 htb rate ${USERDOWN}kbit ceil ${P2PDOWN}kbit prio 4 quantum 1500
$h qdisc add dev $LANINT parent 1:5 $SFQ_LAN
$h class add dev $WANINT parent 2:1 classid 2:5 htb rate ${USERUP}kbit ceil ${P2PUP}kbit prio 6 quantum 1500
$h qdisc add dev $WANINT parent 2:5 $SFQ_WAN
if [ $pora != 3 -a $P2P_ON = 1 ];then 
 $i -t mangle -A PREROUTING -p tcp -j CONNMARK --restore-mark
 $i -t mangle -A PREROUTING -m ipp2p --ipp2p -j MARK --set-mark 2
 #nowe ipp2p  nie ma  ipp2p-data
 #$i -t mangle -A PREROUTING -m ipp2p --ipp2p-data -j MARK --set-mark 2
 $i -t mangle -A PREROUTING -p tcp -m mark --mark 2 -j CONNMARK --save-mark
 $h filter add dev $LANINT parent 1:0 protocol ip prio 4 handle 2 fw flowid 1:5
 $h filter add dev $WANINT parent 2:0 protocol ip prio 4 handle 2 fw flowid 2:5
fi 

GeSHi © Codebox Plus

Nie testowalem

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Na górę

khun

Tytuł:

: wtorek, 13 grudnia 2005, 15:08

Użytkownik

Rejestracja: wtorek, 18 maja 2004, 08:24
Posty: 170

Działa , juz nie wrzuca ftp do klasy p2p.
Jeszcze posprawdzam jak działają komunikatory (skype itp).
A jeszcze jedno pytanko.
Ten skrypt htb działa tak ,że np:
user ma przypisany max download i upload ;
dla klasy p2p też jest ustawiony max download i upload;
i teraz jest tak (sprawdzone) ,że przy sciąganiu user może sciągać sumą tych transferów.
A co zmienic żeby user nie wychodził poza swoje max download i uplad tylko ,żeby ruch z jego klasy szedł (p2p do klasy p2p a reszta na pozostałe klasy)
Przy takim ustawieniu można poświęcić pewną częćś łącza na p2p a pozostałe usługi będą ładnie działać ?.

Na górę

zciech

Tytuł:

: wtorek, 13 grudnia 2005, 16:41

PGF

Rejestracja: niedziela, 14 lipca 2002, 14:33
Posty: 3234
Lokalizacja: Radziejów

To jest tak ze dla p2p dla wszystkich userow dajesz okreslone pasmo i jest to SUMA ruchu wszystkich userow. Jesli tylko on ciagnie to ma super transfer ale jak jest ich 20 to sie im bryndza robi (ale Admin zawsze moze powiedziec - Ja nic nie blokuje). A ponadto kazdy ma do dyspozycji swoj transfer.
Oczywiscie mozna do klasy usera podpiac nastepna klase rowna np. 1/4 jego pasma i tam skierowac ruch p2p usera.

Ta klasa dla p2p to jest pozostalosc eksperymentu. W zasadzie to nalezalo by jeszce to odjac przy obliczeniach rate dla usera:
W zaleznosci od pory i wlaczenia p2p odejmowac badz nie.

: [/] [] ()

 fi
USERDOWN=$[$WANDOWN-$P2PDOWN]
 USERDOWN=$[$WANDOWN/$CNT]
 USERUP=$[$WANUP-$ACKSPD-$ICMPSPD-$SERVSPD-$P2PUP]
 USERUP=$[$USERUP/$CNT]
 if [ $USERDOWN \< 1 ];then

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Ostatnio zmieniony wtorek, 13 grudnia 2005, 16:53 przez zciech, łącznie zmieniany 1 raz

Na górę

khun

Tytuł:

: wtorek, 13 grudnia 2005, 16:52

Użytkownik

Rejestracja: wtorek, 18 maja 2004, 08:24
Posty: 170

Dzięki zciech za tak szybką odpowiedz.
Potestuje to teraz w praktyce na większej ilości userów.

Na górę

Ravel

Tytuł:

: wtorek, 13 grudnia 2005, 18:22

Użytkownik

Rejestracja: środa, 12 lutego 2003, 08:48
Posty: 392
Lokalizacja: LG k/Tarnowa

fishu pisze:

Wdrożyłeś może to u siebie? Ja na razie zbieram informację na ten temat i z tego co widzę jest to vardzo ciekawe rozwiązanie.

tez bieram info, w swieta planuje napisac sobie od podstaw firewalla + htb+esfq + ipp2p/layer-7 +staty na rrdtool z wykorzystaniem ipt_account. do swiat szukam gotwych regulek, komentarzy do nich i tony manuali

_________________
RoUteR NND [ C333 | 128MB RAM | 13GB HDD | DSL 2Mb]

Na górę

khun

Tytuł:

: środa, 14 grudnia 2005, 09:41

Użytkownik

Rejestracja: wtorek, 18 maja 2004, 08:24
Posty: 170

To HTB_z_grupami jest bordzo fajne.
Wykorzystuje efsq (tak jest w opisie a jak sprawdzić to nie wiem) ale co do ustawień to jest praktycznie wsztstko (grupy i podziała na pory dnia) i nawet ja byłem w stanie to uruchomić to uważam że to jest proste w konfiguracji bo "orłem"nie jetsem z linuxa.

Na górę

khun

Tytuł:

: niedziela, 18 grudnia 2005, 18:40

Użytkownik

Rejestracja: wtorek, 18 maja 2004, 08:24
Posty: 170

zciech pisze:

Proponuje wyprobowac takie cos

: [/] [] ()

# Pasmo dla p2p
$h class add dev $LANINT parent 1:2 classid 1:5 htb rate ${USERDOWN}kbit ceil ${P2PDOWN}kbit prio 4 quantum 1500
$h qdisc add dev $LANINT parent 1:5 $SFQ_LAN
$h class add dev $WANINT parent 2:1 classid 2:5 htb rate ${USERUP}kbit ceil ${P2PUP}kbit prio 6 quantum 1500
$h qdisc add dev $WANINT parent 2:5 $SFQ_WAN
if [ $pora != 3 -a $P2P_ON = 1 ];then 
 $i -t mangle -A PREROUTING -p tcp -j CONNMARK --restore-mark
 $i -t mangle -A PREROUTING -m ipp2p --ipp2p -j MARK --set-mark 2
 #nowe ipp2p  nie ma  ipp2p-data
 #$i -t mangle -A PREROUTING -m ipp2p --ipp2p-data -j MARK --set-mark 2
 $i -t mangle -A PREROUTING -p tcp -m mark --mark 2 -j CONNMARK --save-mark
 $h filter add dev $LANINT parent 1:0 protocol ip prio 4 handle 2 fw flowid 1:5
 $h filter add dev $WANINT parent 2:0 protocol ip prio 4 handle 2 fw flowid 2:5
fi 

Nie testowalem

To nie działa na starym NND to znaczy:
nic nie leci przez klase p2p to że ftp nie leci klasą p2p działa (nic tam nie jest kierowane) testuje na kazaa i emule
Podmieniłem kernel na 2.4.31 i tez nic
CHyba robie coś nie tak.
Może jakieś podpowiedz.
przy rchtb restart poazuje :

Restartowanie kolejkowania: stop startiptables: match `ipp2p' v1.2.9 (I'm v1.2.11).
iptables: match `ipp2p' v1.2.9 (I'm v1.2.11).
wykonano.
tzn że jest ipp2p v1.2.11

Na górę

Strona 1 z 2

[ Posty: 25 ]

Przejdź na stronę 1, 2 Następna

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 14 gości

Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników