Freesco, NND, CDN, EOS

Witam, chodzi mi dokladnie o to, co napisalem w temacie. Mozna przyblokowac p2p przy pomocy ipp2p tylko na jednym laczu, bo mam jedna lacze pod p2p, a drugie pod reszte, a sporo cwaniaczkow korzysta z p2p np na porcie 80, zeby nie robic pokolei na portach to chcialbym zrobic dla calego lacza.

_________________
Wszystko da sie zrobic !!! NIE MA RZECZY NIEMOŻLIWYCH DO ZROBIENIA !!!

nie mam pojecia co chcesz zorbic. mozesz najpierw zapoznac sie z: http://mion.elka.pw.edu.pl/~lantonia/Do ... 7Layer.pdf
jesli nie o to chodzi to opisz bardziej jasno co chcesz osiagnac.

P.S. jak ktos ma jakeis zastrzezenia co do artykulu to niech napisze:)

Nie napisales w jaki sposob kierujesz pakiety na drugie lacze (kazdy ma swojego marka, tylko po portach, czy moze jeszcze jakos inaczej).
Blokada p2p na porcie 80 za pomoca ipp2p wyglada tak:

Pod warunkiem, ze wczesniej nie bedzie reguly zezwalajacej na forward tych pakietow.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Poprostu jedno lacze jest domyslne i tamtedy ida pakiety ktore sa nie markowane (no dodatkowo omarkowalem pakiety p2p modulem ipp2p, ale niestety nie wylapuje wszystkiego) a reszte pakietow poprostu po portach sa markowane i wrzucane w drugie lacze (www,poczta,dns,gry,komunikatory). Tylko, ze na to lacze "priorytetowe" nadal wbijaja sie pakiety p2p np. po porcie 80.
Przy okazji jeszcze mam jedno pytanie, czy to wogole jest dobry pomysl:
eth0 - dsl prio
eth1 - LAN
eth2 - dsl dla p2p
I teraz ruch z eth1 wrzucilem sobie w imq i przez htb przycianam ruch dla kazdego usera w gore i w dol. Natomiast na tych dsl`ach sa kolejki wedlug uslug. Jak narazie chodzi idealnie, ale zauwazylem po pierwsze, ze ruch z lanu do serwera nie jest limitowany (chyba zla regulka wrzucania ruchu do imq:

I teraz tak sie zastanawiam, bo naprawde nie jestem pewien jak to wyglada, bo niby pakiety beda markowane najpierw na eht1, potem w zaleznosci do jakiego lacza wpadaja, a potem znow na dsl`ach, dobrze to jest ?

PS. Mam nadzieje, ze wiecie o co mi chodzi, bo ja czesto nie potrafie przekazac swoich mysli.

_________________
Wszystko da sie zrobic !!! NIE MA RZECZY NIEMOŻLIWYCH DO ZROBIENIA !!!

ok to moj hint jest taki: markowanie w iptables + osobna tablica routingu dla obu lacz

No to tak wlasnie jest, sa dwie tabilce. Nie czaje tylko dlaczego mi uploadu nie przycina i co bedzie jak zmarkuje pakiety najpierw przy tym, w ktora tablice idzie pakiet, a potem jeszcze jak wpada juz w interfejs wyjsciowy w swiat, co z tego bedzie ? Aha i czy jest regulka, zebym zabijal caly ruch p2p na danym iface.

_________________
Wszystko da sie zrobic !!! NIE MA RZECZY NIEMOŻLIWYCH DO ZROBIENIA !!!

Srednio rozumiem o co Ci chodzi, ale uploadu nie mozesz przycinac po ip na interfejsie na ktorym masz maskowanie, bo w momencie wychodzenia przez ten interfejs (czyli wtedy, kiedy htb dostaje go w lapy) pakiet w adresie zrodlowym ma juz ip routera.
Ja proponuje markowac pakiety uprzywilejowane dla kazdegu usera osobno i to po tych markach przerzucac je na drugie lacze. Dzieki temu masz juz gotowe marki do kolejek htb na laczu uprzywilejowanym. Poza tym nie wylapujesz p2p, bo to jest walka z wiatrakami, tylko wylapujesz uslugi uprzywilejowane i je przerzucasz na drugie lacze, a p2p i wszystko czego nie zamarkujesz idze tym domyslnym.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

No dokladnie tak robie, tylko ze jak sa uslugi uprzywilejowane, to trzeba je lapac po portach a na tych portach rownie dobrze moga chodzic programy p2p dlatego chce poprostu zrobic DROP dla lacza na ktorym leca uslugi uprzywilejowane tylko nie wiem jak ma wygladac regulka. Druga sprawa jak moge zrobic kolejki dla userow na interfejsach wyjsciowych, skoro ludziki maja jakies dane transfery (abonamenty), to pol transferu na jedno lacze pol na drugie ? Bez sensu. Zreszta wczesniej (tylko bez dodania routingu na drugie lacze) elegancko wszystko wpadalo w kolejki wlasnie przez imq i to chyba nawet identyczne regulki byly.

_________________
Wszystko da sie zrobic !!! NIE MA RZECZY NIEMOŻLIWYCH DO ZROBIENIA !!!

Skoro przerzucasz na inne lacze markujac pakiet, to zrob dropa z ipp2p tez po tym marku. Co do kolejkowania, to mozesz wrzucac caly ruch wychodzacy z serwera do internetu (nie wazne do ktorego polpaka) do jednego imq i tam ciac transfer. Nie testowalem, ale powinno dzialac.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

To jeszcze taka jedna sprawa. W sieci mam 60 osob. No i robiac podziala po uzytkownikach, to sie tworzy strasznie duzo klas, a z tego co mi wiadomo to raczej niezbyt zdrowe. No ale skoro robie przydzial po uslugach, to w jaki sposob dac uzytkownikowi dany transfer, czy jedyna mozliwoscia jest squid ?

_________________
Wszystko da sie zrobic !!! NIE MA RZECZY NIEMOŻLIWYCH DO ZROBIENIA !!!

Na jednym routerze dziala u mnie po ok 600 klas na interfejs, a interfejsow jest 5 i wszystko jest w porzadku. Sam squid ograniczy Ci tylko transfer z www. Jesli masz 60 uzytkownikow i bedziesz upload wrzucal na imq i tam lapal, a download na interfejsie lanowym, to w sumie bedzie ok 130 klas htb. Nie powinno byc najmniejszego problemu.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

No to lux. Teraz tylko jeszcze powiedz mi, co mi da to, ze wrzuce caly ruch z interfejsow wyjsciowych w imq, skoro tak nie zlimituje tam uploadu na kazdego usera, bo marki ktore przydziele pakietom od userow beda zmienione w trakcie, gdy beda markowane zeby wpasc w odpowiednie lacze.

_________________
Wszystko da sie zrobic !!! NIE MA RZECZY NIEMOŻLIWYCH DO ZROBIENIA !!!

Markujesz pakiet, ktory ma wyjsc laczem priorytetowym z konkretnego ip jako np 0x10. Pozniej dodajesz druga regule lapiaca pakiet taki pakiet z tego samego ip, ktory nie ma marka i przypisujesz mu np. 0x110. Dzieki temu wszystkie pakiety wychodzace z danego ip masz zamarkowane (te prio markiem 0x10, a reszte 0x110). Wrzucasz caly jego ruch wychodzacy na jedno imq a pakiety z markami 0x10 i 0.110 do jednej kolejki tego usera. Dla kolejnego ip wrzucasz pare np. 0x11 i 0x111 itd.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

A nie da sie tego zrobic tak, zeby markowac pakiety po ip, kiedy wchodza do serwera, potem, zeby zmarkowal sobie wedlug uslug i wrzucil je do odpowiednich interfejsow, a potem zeby przywrocil im poprzedni mark. Przeciez ten mark, ktory jest wczesniej nie zostaja usuniety albo nadpisany, on nadal jest przy pakiecie (z tego co wiem )

_________________
Wszystko da sie zrobic !!! NIE MA RZECZY NIEMOŻLIWYCH DO ZROBIENIA !!!

Moze i sie da, ale jak ja kombinowalem z podwojnym markowaniem pakietow, to po pewnym czasie zuzycie procesora skakalo do 100%. Nie jestem pewny, czy to przez to i raczej nie bede dzialajacej sieci rozmontowywal, zeby sprawdzic. To co Ci napisalem wyzej dziala na 100% bez problemow.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.