Andrejs Spunitis представил статью (http://www.dzti.edu.lv/links/ISP-server-conf-beg.php), в которой привет краткий обзор и пример использования пакетов iptables и iproute2 под Fedora Core 3 Linux с ядром 2.6.12.5.
Также опубликована статья (http://www.dzti.edu.lv/links/ISP-server-setup.php) с описанием шагов по установке ПО для NAT сервера и HOWTO (http://www.dzti.edu.lv/links/min-kern-2.6.php) по конфигурации и установке минимального ядра 2.6.12 на Fedora Core 2 и FC-3.URL: http://www.dzti.edu.lv/links/ISP-server-conf-beg.php
Новость: http://www.opennet.me/opennews/art.shtml?num=5994
"Важно отметить что с помощью iptables нельзя ограничивать скорость трафика, этой задачей занимается iproute2." Это с каких пор?
Мдя? Это через --limit что-ли? :)
# защита от провайдерства интернета
$ipt -A INPUT -i eth1 -m ttl --ttl-lt 128 -j DROP
$ipt -A INPUT -i eth1 -m ttl --ttl-gt 128 -j DROP
Это что то тоже не то. Ну по крайней мере не защита от провайдинга инета.
немного смешно, но так как дело в общаге, это помогает на первых порах.
Ну это грубая очень, но защита...
Любой нормальный студент с ВМК поймет, как такую защиту обойти: просто TTL на всех пакетах принудительно в 128 ставить.
Да блин до любого места в инете можно дойти не пройдя менее 128 маршрутизаторов это во первых, а во вторых если один субпровайдер не сможет поставить свой шлюх то и пользователь не до всех сайтов достучаться сможет :)
>$ipt -A INPUT -i eth1 -m ttl --ttl-lt 128 -j DROP
>$ipt -A INPUT -i eth1 -m ttl --ttl-gt 128 -j DROPа если у меня Linux-клиент?
Вы хотите сказать, что мне нужно будет себе ttl 128 ставить?
Ну уж нет... увольте.
Зафлужу нахер такой шлюз. Да и ещё DDoS устрою ;-)
Знаете господа.
Я никогда не понимал смысла борьбы с субпровайдингом.
Трафик товарисчу считается, то есть сколько скачал за то и заплатит.
Шейпы стоят.
Ну и пусть и творит в этих рамках что хочет.
Хоть прячет за собой сетку класса А.;))
Смысл еще какой есть, например студентам лимитированная плата. Они ставят себе шаринг и весело используют инет на несколько компов, при этом усиленно нагружая сетку. Одним из способом борьбы является ограничение сессий с одного IP а также разграничение скорости по IP адресам (для этого и пришлось пересобирать ядро и iproute2 с поддержкой ESFQ)
количество машин и у Стрима нет претензий.Микробная пыль ("провайдеры"!), которая ограничивает шаринг на безлимитных тарифах обязана издохнуть. Приду поссать на могилку.
> Я никогда не понимал смысла борьбы с субпровайдингом.
> Трафик товарисчу считается, то есть сколько скачал за то и заплатит.Тут -- без проблем.
А на безлимитке?Два честных безлимитчика приносят провайдеру (условно) по 10 уе в месяц. Итого 20.
"Субпровайдер" с сидящим на нём деятелем -- 10 уе за двоих. Итого 10.Шейпер-не шейпер, толку ноль. И на 1 Кбайт/с будут качать и не жужжать (ибо халява). Вон, до сих пор люди извращаются с 59-секундными модемными сессиями у провайдеров, дающих первую минуту нахаляву.
>> Я никогда не понимал смысла борьбы с субпровайдингом.
>> Трафик товарисчу считается, то есть сколько скачал за то и заплатит.
>
>Тут -- без проблем.
>А на безлимитке?
>
>Два честных безлимитчика приносят провайдеру (условно) по 10 уе в месяц. Итого
>20.
>"Субпровайдер" с сидящим на нём деятелем -- 10 уе за двоих. Итого
>10.
>
>Шейпер-не шейпер, толку ноль. И на 1 Кбайт/с будут качать и не
>жужжать (ибо халява). Вон, до сих пор люди извращаются с 59-секундными
>модемными сессиями у провайдеров, дающих первую минуту нахаляву.Интересный способ боротся с социальным явлением техническими способами ;) А может просто убрать безлимитку и посчитать таки сколько примерно мегабайт выходит? ;)))
>также разграничение скорости по IP адресам
Те же шейпы.
> Микробная пыль ("провайдеры"!),Как грозно.Ты вообще кто такой, чтобы гнать на провайдеров ?
> которая ограничивает шаринг на безлимитных тарифах обязана издохнуть.
Скажи спасибо им за то, что они предоставляют тебе сервис в наших условиях.
> Приду поссать на могилку.
Твою.
Тока плюнуть.
re Скажи спасибо им за то, что они предоставляют тебе сервис в наших условиях.паразитов "посредников-провайдеров" всегда давили
и давить будут пользуются мАментом
пока пользуются ...
Нда... как всё запущено, господа линуксоиды.
Андрей - сама статья довольно занимательна , хотя существуют более простые способы приоретизации и разделения трафика . Проблема лишь в том что у тебя либо сервак слабоват для данного набора софта , либо ты людей зарезал как мог - благо знаю несколько человек с той общаги - которую ты админишь , и скорость у них там сказка - никаких пиринговых клиентов не запущено , а странички даже по Латвии грузятся по 3 минуты , ИЕ - не грузит вообще , Опера - с горем пополам - вот именно по 3 минуты , про пинг куда либо умолчу , так что с такими зарезками как у тебя далеко не уедешь , обидно за студентов однако - им за учёбу плати , за пайку и т.д. - да и за инет ещё по 3 Лс - за такие деньги в Риге можно поставить нормальный инет - вот только в вашей общаге это не поставишь . Да и насчёт количества компов во внутренней сетке - в принцепе здесь - в ЛВ ни один из провайдеров не запрещает делать внутренние сети - так как канал на каждого клиента лимитирован по скорости Уп/Довн . Вот и интересно - вроде люди платят за инет - а на самом деле его нет ...
Если знаешь то кинь ссылки на то как полегче с общагой проблему решить...Просто приоритезация думаю не поможет, так как при больщой нагрузке
скорость скачивания больших файлов и измерения скорости через
lv.apollo.net BANDWIDTH meter хорошая, а вот время с которой загружаются
странички тормознутая.Отсюда был сделан вывод что у провайдера на их серваке/роутере
обработка очередей осуществляется по алгоритму pfifo_fast а сам
размер буфера большой.Тогда:
LATNET-router = (нагрузка DzTI/общага) + (нагрузка остальных клиентов Latnet)при большой нагрузки со стороны общаги приводит к тому что образуются
очереди на стороне Latnet, в результате именно этого скорость по пересылке больших обьемов удовлетворительная, а вот скрость ВЕБ-серфинга именно тормознутая.Надо отметить что ранее настройки ограничивали скорость корневой дисциплиы HTB на 300Кбайт/сек и при такой настройки наблюдалась повышенная заторможенность даже латвийских сайтов.... а вот когда
подрезал до 240Кбайт/сек то получше стало.Одно время при настроенной немного по другому конфигурации, был разрешен
и DC++ и bittorrent на оставшуюся полосу канала.. но это привело к столь многочесленным протестам со стороны студентов что по их требованию была снижена максимальная скорость Р2Р до 30Кбайт/сек на всю общагу.Еще часть общежития активно пользовалось программами усиленно посылающими UDP пакеты маленького размера.... может это был вирус,
а может что то новенькое из скачки... но когда прикрыл UDP за исключением DNS то мне показалась ситуация улучшилась.
Хотя насчет последних настроек сервака (с приведенной настройкой) у
студентов жалоб нету.... да и в институте для нас самих интернет
перестал притормаживать.top показывает
op - 07:22:09 up 9:24, 1 user, load average: 0.00, 0.00, 0.00
Tasks: 31 total, 2 running, 29 sleeping, 0 stopped, 0 zombie
Cpu(s): 0.3% us, 0.0% sy, 0.0% ni, 98.7% id, 0.0% wa, 0.3% hi, 0.7% si
Mem: 126172k total, 36284k used, 89888k free, 10668k buffers
Swap: 265032k total, 0k used, 265032k free, 15860k cached
(Сам сервак Celeron 450)
Вообще начальная загрузка страниц тормозила и при использование SQUID.
Использование SQUID приводило к более шустреньой загрузке кэшированных страничек. Да и те кто не знал как обойти проксик не создавали нагрузки.Может через месяц опробую более изощренную настройку сервака, подниму
приоритет пакетов начинающих или сбрасыающих соединений и так далее, а также с помощью geoip сделаю разделение на местный и зарубежный...
Хотя как мне кажется проблема с тормознутосью загрузки сайтов даже некоторых латвиских это не решит, когда есть нагрузке из общаги.Если будет тормозит WEB-серфинг то думаю придется
1 урезать еще меньше общую скорость общаги
2 через ESFQ уменьшить буфер очереди
3 дропать пакетов на уровне filter (из пакета iproute2)
Ранее поднимал вопрос в linux.org.ru и здесь, по поводу почему
нельзя к ядру начиная с 2.6.12 прикрутить connbytes, в этом случае
можно былобы создать отдельный класс tc куда бы передавались
пакеты если кто либо через ftp или http скачивает объем более
20Мег (через burst думаю это некорректно), но к сожалению
решения этой проблемы не нашел!Как обычно... мало знающих людей Linux... много только незнаек
которые посылают к манам или занимаются демагогией, вместо короткого
ответа из пары строк с конкретным примером команды.Если кто знает как прикрутить connbytes милости прошу!
http://www.linux.org.ru/view-message.jsp?msgid=1000786
ЗЫ
=====================================
Насчет бедных студентов из Риги, так у многих из них хватает денежек
ездить на машине :)Если кому что не нравится в общежитие инет, пускай отключаются,
я только ЗА! Так как канала на столько пользователей явно не хватает.Деньги со студентов я не получаю, сам пока студент. Менять скорость канала по всей видимости тоже не будут, так как интернет дается по какой то программе для учебных заведений.
Да и насчёт количества компов во внутренней сетке - в принцепе здесь - в ЛВ ни один из провайдеров не запрещает делать внутренние сети
----------
У моей мамы инет CitiNet ... за провайдерство далее штраф
Сам сижу у RedNet ... тоже при подключение сказали что бы не был провайдером...
----------3 мин тормозил инет.... и не только в общаге, но и у нас в институте,
теперь кажется эта проблема частично решена..... путем закрытия UDP.Последние кажется 10 дней мне на e-mail не приходоли жалобы от студентов,
(жалоба состоит из времени, сайта, времени сколько грузиласт страница, скоростьи интернета измеренного через net.apollo.lv).
Провайдер провайдеру рознь , как делают пацаны в общаге - эт одно , а когда субпровайдинг в крупных размерах да и ещё с абонентом другое . Насчёт канала общего и притормаживаний - ты как админ мог-бы поднять данный вопрос с латнетом - чтоб объяснили причину заторможенности нета . А нет.аполло.лв в принцепе не показатель - тестил свою скорость на нём - так показывает вообще заниженую . Так как с того-же тимес.лв скорость 8 мбс , а на нет.аполло выдаёт 3 мбс максимум . На мануалы посылать тебя не стану , смысла нет - сам ты разбераешься не плохо , просто надо найти оптимальный конфиг тогдауж - динамически разделяемые каналы на клиентов - в зависимости от производимых действий в интернете на данный момент - так как делают многие провайдеры - у них ведь тоже не 1000 мбс сети , а имея пару тысяч клиентов канал всё равно выдают не меньше 1-2 мбс .
C Latnet помниться чуть более года назад у них 30% пакетов пропадало....Конечно я звонил им, показывал свои конфиги.... пару раз можно дозвонится до их тех-персонала, после чего тот начинает активно обедать или куда то выезжает по делам....
net.apollo.lv тогда у меня показывает завышенную:)
А по поводу динамических каналов, разве та конфигурация не есть динамические каналы? Ведь общая полоса разделяется по IP плюс еще разделение по приоритетам на HTTP протокол и Р2Р ....
Жаль, что когда мне приходилось разбираться в этом, такой статьи не было под рукой.
QuickStart замечательный, основная логика, примеры, ссылки - все есть
5+!
Вот еще небольшая неточность.
ip_forward - This variable is special, its change -= resets all configuration parameters =- to their default state (RFC1122 for hosts, RFC1812 for routers)
У автора стоит имзенение этого параметра почему-то в конце скрипта, .т.е. все настройки /proc/sys/net/ipv4/ сбросятся в дефолт, надо бы эту команду переместить в самое начало скрипта.
Спасибо!на практике мне кажется нет разницы в конце или в начале,
а в конце перенес потому что хотел разрешить форвардинг
только после того как правила будут записаны.