[FAQ] Ограничение скорости для клиентов на Ubuntu-Server (htb.init)

[SAS1024]

Здравствуйте.
У меня следующая ситуация:
есть интернет-сервер с Ubuntu Server 12.04, сервер подключен с помощью одного физического линка к интернету (eth0, X.X.X.X), так же сервер имеет алиас сетевого интерфейса eth0:1 с другим айпишником (Y.Y.Y.Y).

Подскажите пожалуйста, каким образом мне можно резать исходящий трафик (от 100 мбит оставить максимум 80) с айпишника Y.Y.Y.Y ?

Пробовал использовать htb.init, но где-то в нём я видимо ошибаюсь.

Сделал следующий конфиг у htb:
eth0

Код: [Выделить]

DEFAULT=30
R2Q=100
eth0-2.root

Код: [Выделить]

RATE=100Mbit
CEIL=100Mbit
eth0-2:05.default (вся остальная полоса)

Код: [Выделить]

RATE=99Mbit
CEIL=99Mbit
LEAF=sfq
eth0-2:07.dl (трафик с Y.Y.Y.Y)

Код: [Выделить]

BURST=50Kb
RATE=80Mbit
CEIL=80Mbit
LEAF=sfq
PRIO=1
RULE=:80,Y.Y.Y.Y
htb compile выдаёт следующее:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

/sbin/tc qdisc del dev eth0 root
/sbin/tc qdisc add dev eth0 root handle 1 htb default 30 r2q 100

/sbin/tc class add dev eth0 parent 1: classid 1:2 htb rate 100Mbit ceil 100Mbit

/sbin/tc class add dev eth0 parent 1:2 classid 1:05 htb rate 99Mbit ceil 99Mbit
/sbin/tc qdisc add dev eth0 parent 1:05 handle 05 sfq perturb 10

/sbin/tc class add dev eth0 parent 1:2 classid 1:07 htb rate 80Mbit ceil 80Mbit burst 50Kb prio 1
/sbin/tc qdisc add dev eth0 parent 1:07 handle 07 sfq perturb 10
/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 100 u32 match ip sport 80 0xffff match ip dst Y.Y.Y.Y classid 1:07

Подскажите пож-та, где у меня ошибка?

[artem.ultra]

хочу завтра реализовать деление скорости у себя на работе (въезжают к нам партнеры, вот и потребовалось)
мой ifconfig

(Нажмите, чтобы показать/скрыть)

vlan101   Link encap:Ethernet  HWaddr 00:1e:4f:33:96:90 
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::21e:4fff:fe33:9690/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2185768 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2968536 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:356871108 (356.8 MB)  TX bytes:2864299274 (2.8 GB)

vlan102   Link encap:Ethernet  HWaddr 00:1e:4f:33:96:90 
          inet addr:192.168.10.1  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fe80::21e:4fff:fe33:9690/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1500397 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2243560 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:151561053 (151.5 MB)  TX bytes:2621818528 (2.6 GB)

как видно, внутри сети использую вланы, на интерфейсе локальной сети которые является eth1
завтра создам vlan103 в подсети 10.10.10.0/24
соответсвено как таковых ip адресов я знать не буду, цепляю нат на всю их подсеть. резать нужно как входящую так и исходящую (в том числе и по любым портам)
хочу поинтересоваться, или подойдет мне htb.init
вроде как понимаю, что входящую скорость разрезать получится, но как быть с исходящей?
или есть варианты просто отмаркировать вместо ip сразу всю подсеть?
исходящая нужна для торрентов (кто знает чем заниматься будут )

[Fusariun]

отмаркировать сеть варианты есть
iptables -t mangle -A POSTROUTING -i vlan103 -s 10.10.10.0/24 -j MARK --set-mark Y

И у меня трабла с этим связанная - есть задача шейперить исх трафик. Я маркирую его - iptables -L -t mangle выдает в чейне прероутинг правило маркировки. Есть tc класс (htb 1:50) на интерфейсе ррр0, есть fw фильтр по нужному марку tc filter show на ррр0 его видит, но до лиф-дисциплины (сфкю) трфик не доходит. Как облегчалка жизни стоит шореволл

[artem.ultra]

сделал все по ману, все работает.
но при перезапуске выдает:

Код: [Выделить]

sudo /etc/init.d/htb restart 

(Нажмите, чтобы показать/скрыть)

find: warning: you have specified the -maxdepth option after a non-option argument -type, but options are not positional (-maxdepth affects tests specified before it as well as those specified after it).  Please specify options before other arguments.

find: warning: you have specified the -maxdepth option after a non-option argument (, but options are not positional (-maxdepth affects tests specified before it as well as those specified after it).  Please specify options before other arguments.

vlan102

Код: [Выделить]

R2Q=100
DEFAULT=0vlan102-2.root

Код: [Выделить]

RATE=4Mbit
CEIL=4Mbitvlan102-2:2001

Код: [Выделить]

RATE=200Kbit
CEIL=3Mbit
LEAF=sfq
PRIO=1
RULE=192.168.10.0/24задача, ограничить всю подсеть в 3Мбит

подскажите в чем ошибка

(Нажмите, чтобы показать/скрыть)

artem@mail:~$ sudo /etc/init.d/htb compile
/sbin/tc qdisc del dev vlan102 root
/sbin/tc qdisc add dev vlan102 root handle 1 htb default 0 r2q 100

find: warning: you have specified the -maxdepth option after a non-option argument (, but options are not positional (-maxdepth affects tests specified before it as well as those specified after it).  Please specify options before other arguments.

/sbin/tc class add dev vlan102 parent 1: classid 1:2 htb rate 4Mbit ceil 4Mbit

/sbin/tc class add dev vlan102 parent 1:2 classid 1:2001 htb rate 200Kbit ceil 3Mbit prio 1
/sbin/tc qdisc add dev vlan102 parent 1:2001 handle 2001 sfq perturb 10
/sbin/tc filter add dev vlan102 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.10.0/24 classid 1:2001

Пользователь решил продолжить мысль 02 Июля 2012, 13:48:00:при маркировании пакета командой

sudo iptables -t mangle -A PREROUTING -s 192.168.10.50 -j MARK --set-mark 1001
sudo iptables -t mangle -А PREROUTING -s 192.168.10.50 -j RETURN

и зменением RULE на MARK в настройках htb, скорость абсолютно не фильтруется.
когда делаю iptables-save, получаю

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Mon Jul  2 12:47:10 2012
*mangle
:PREROUTING ACCEPT [417029:331519429]
:INPUT ACCEPT [243032:210167054]
:FORWARD ACCEPT [173854:121331149]
:OUTPUT ACCEPT [281820:262710148]
:POSTROUTING ACCEPT [455674:384041297]
-A PREROUTING -s 192.168.10.50/32 -j MARK --[b]set-xmark 0x3e9/0xffffffff[/b]
-A PREROUTING -s 192.168.10.50/32 -j RETURN
COMMITset-xmark 0x3e9/0xffffffff - это так и должно быть? или же что то не то?

[AnrDaemon]

при маркировании пакета командой

sudo iptables -t mangle -A PREROUTING -s 192.168.10.50 -j MARK --set-mark 1001

set-xmark 0x3e9/0xffffffff - это так и должно быть? или же что то не то?

А посчитать? 03E9hex = 1001dec

[artem.ultra]

ну хорошо. с этим все нормально.
но почему то когда маркирую и добавляю в конфиг htb, скорость абсолютно не режется:(

[as_lan]

Добрый день. Возникла небольшая проблема с шейпингом.

Имеем сеть в пару десятков компов ( 172.20.0.0/20). 2 сетевые карты eth0 внешний мир, eth1.10 внутренняя ( на eth1 поднято 2 влана, но второй пока не трогаем)

Нужно разрулить трафик в зависимости от отдела.

Скрипты имеют такой вид.
Eth1.10:

Код: [Выделить]

DEFAULT=100
R2Q=100

eth1.10-2.root

Код: [Выделить]

RATE=100Mbit
CEIL=100Mbit

eth1.10-2:30.root

Код: [Выделить]

RATE=40Mbit
CEIL=80Mbit
LEAF=sfq
RULE=172.20.0.1,172.20.0.0/20
PRIO=2

eth1.10-2:40.root

Код: [Выделить]

RATE=9Mbit
CEIL=9Mbit
LEAF=sfq
PRIO=3

eth1.10-2:40:1.1et

Код: [Выделить]

RATE=4Mbit
CEIL=8Mbit
LEAF=sfq
BURST=50Kb
RULE=*,172.20.1.0/24
RULE=*,172.20.2.0/24
PRIO=7

eth1.10-2:40:2.2et

Код: [Выделить]

RATE=4Mbit
CEIL=8Mbit
LEAF=sfq
BURST=50Kb
RULE=*,172.20.3.0/24
RULE=*,172.20.4.0/24
PRIO=7

eth1.10-2:100.default

Код: [Выделить]

RATE=1Mbit
CEIL=1Mbit
LEAF=sfq
BURST=50Kb
PRIO=15

Идея заключалась в том, чтоб все кто не попадают в подсети 172.20.1.x 172.20.2.x 172.20.3.x 172.20.4.x попадали в группу default. И они попадают, скорость интернета режет. Но вместе с ней режет и скорость локального доступа к самому серверу (172.20.0.1). А мне не нужно это (на сервере самба и куча других сервисов). В чем косяк, второй день пытаюсь понять причину, наверняка она на поверхности, но не замечаю ее просто.

[lusuj]

 А есть какой-нибудь FAQ, как на ubuntu server ограничить именно торренты, не отрубить вообще, а урезать скорость? Может есть примеры правил в iptables.
 Не пинайте сразу, ну никак не получается найти эту инфу на форуме

 Спасибо.

[fisher74]

lusuj, а чем обсуждаемый в теме инструмент не подходит? Конкретно для торрентов и не найдёте. Режьте общую скорость, а уж пользователю самому придётся выбирать что тянуть из интернета - голых тёток или видеоконференцию проводимую шефом.
Ещё видится вариант с модулем connlimit - обрезать каждому пользователю до 3-5 соединений, тогда торрент-клент просто поперхнётся.Но что сработает этот способ не уверен.

[Nesmit]

на 3-5 поперхнется все аська, джаббер, скайп или просто браузер с открытым яндексом и  потом, с udp врят ли получится.

[lusuj]

  Понял, уже получается, просто не сразу вьехал. Спасибо.

Пользователь решил продолжить мысль 05 Сентября 2012, 21:32:04:

Решено.
Насчёт кеша - я был прав. В скрипте htb есть строчка:

Код: [Выделить]

HTB_CACHE=${HTB_CACHE:-/var/cache/htb.init}
Вот там и лежат настройки. Смысл? Хз...
Факт в том, что после удаления /var/cache/htb.init и последующего запуска скрипта всё стало на свои места

у меня тоже самое, проблема в том что после каждого изменения файлов приходится удалять файл кеша, как-то неудобно, кто как решил эту проблему?

кажется нашел:

(Нажмите, чтобы показать/скрыть)

# If you want to HTB.init to setup the traffic control directly without the
# cache, invoke it with "start nocache" parameters. Caching is also disabled
# if you have logging enabled (ie. HTB_DEBUG is not empty).

еще вопрос как мониторите трафик?
В теме упоминался munin и плагин к нему qos_, но данный плагин никак не могу найти.

Сам спросил, сам нашел

Пока все получается!

[c0ba]

Всем привет!

Скажите, можно ли как-то добиться, чтобы при работающем торренте htb.init более эффективно резал полосу под более приоритетный траффик?

Т.е. идея такая - я не хочу отключать торренты каждый раз, когда мне нужно в инет или когда мне нужно из инета получить доступ к своему домашнему серваку. Но когда есть канал - пусть cебе работают в полную силу, пусть забивают себе канал.

Проблема в том, что хоть сервер и доступен извне, но при попытке скачивания с него по http например, скорости выше 10 кбайт/с не добиться.

Перепробовал всякие рычаги, и BURST крутил и R2Q. но что-то особо не выходит ничего.

вот конфиги:

Код: [Выделить]

server htb # for i in $(ls ./ | grep -v check); do echo $i:; cat $i; echo -e "\n\n";  done
ppp0:
DEFAULT=99
R2Q=1



ppp0-2:10.ssh:
# class for outgoing ssh
RATE=128Kbit
CEIL=1110Kbit
RULE=*:22 # outgoing to :22
RULE=*:22, # outgoing from :22
RULE=*:220, # outgoing from :220
RULE=*:221, # outgoing from :221
RULE=*:222, # outgoing from :222
RULE=*:223, # outgoing from :223
RULE=*:224, # outgoing from :224
RULE=*:225, # outgoing from :225
PRIO=1
#BURST=128Kb
LEAF=sfq




ppp0-2:11.im:
# class for instant messengers
RATE=128Kbit
CEIL=1110Kbit
RULE=*:5222 # jabber (client-to-server)
RULE=*:5269 # jabber (server-to-server)
RULE=*:5222, # jabber (client-to-server)
RULE=*:5269, # jabber (server-to-server)
RULE=*:5223 # jabber unusual SSL
RULE=*:5670 # jabber unusual SSL
RULE=*:4000, # skype in
RULE=*:4000 # skype out
PRIO=2
#BURST=32Kb
LEAF=sfq




ppp0-2:13.zabbix:
# class for zabbix and snmp traffic
RATE=40Kbit
CEIL=1110Kbit
RULE=*:10050 # outgoing to :10050
RULE=*:10051, # outgoing from :10051
RULE=*:50002 # outgoing to :50002 (work snmp)
RULE=*:161 # outgoing to snmp
PRIO=2
LEAF=sfq




ppp0-2:14.transmission:
# class for transmission client
RATE=40Kbit
CEIL=1110Kbit
RULE=*:9091, # outgoing from :9091
PRIO=2
LEAF=sfq




ppp0-2:15.gaming:
# class for gaming
RATE=100Kbit
CEIL=1110Kbit
RULE=*:9988 # outgoing to battlefield 3
RULE=*:22990 # outgoing to battlefield 3
RULE=*:17502 # outgoing to battlefield 3
RULE=*:42127 # outgoing to battlefield 3
RULE=*:20000 # outgoing to battlefield 3
RULE=*:19767 # outgoing to battlefield 3
RULE=*:19967 # outgoing to battlefield 3
PRIO=2
#BURST=64Kb
LEAF=sfq




ppp0-2:20.www:
# rules for www traffic
RATE=600Kbit
CEIL=1110Kbit
RULE=*:80
RULE=*:80,
RULE=*:8080
RULE=*:8080,
RULE=*:443
RULE=*:443,
RULE=*:21 # ftp traffic
RULE=*:4040, # subsonic in
PRIO=2
#BURST=128Kb
LEAF=sfq




ppp0-2:90.torrent:
# rules for torrent traffic
RATE=16Kbit
CEIL=1110Kbit
PRIO=7
MARK=1001
LEAF=sfq




ppp0-2:99.other:
# rules for all other traffic
RATE=58Kbit
CEIL=1110Kbit
PRIO=5
LEAF=sfq




ppp0-2.full:
# root class containing total bandwidth
# RULE=[[saddr[/prefix]][:port[/mask]],][daddr[/prefix]][:port[/mask]]
RATE=1110Kbit
CEIL=1110Kbit
#BURST=128Kbit
для маркировки торрент траффика в iptables вот это:

Код: [Выделить]

# Mark torrent data to set it lowest priority in HTB
iptables -t mangle -A FORWARD -s ${V1} ! -d ${SERVER} -p tcp -m multiport ! --sport 22,8080,4040,9091 -j MARK --set-mark 1001
iptables -t mangle -A FORWARD -s ${V1} ! -d ${SERVER} -p udp -m multiport ! --sport 22,8080,4040,9091 -j MARK --set-mark 1001торрент валит с lxc контейнера V1

Картина получается примерно такая: http://d.pr/i/KBXJ

Спасибо!

[OEvg85]

В обсчем картина такая: имеется сетка на 20 машин и internet, "толщиной" 2048 Kbit/s, в Internet смотрит eth0, в интрасеть eth1. Конфиги htb.init такие:
eth1

Код: [Выделить]

DEFAULT=30
R2Q=10
eth1-2.root

Код: [Выделить]

RATE=5Mbit
BURST=15k
eth1-2:05.igor
Это у меня один из клиентов, которому надо фиксированную скорость выделить

Код: [Выделить]

BURST=50K
RATE=100kbit
CEIL=500kbit
RULE=192.168.0.106
Ну и для примера
eth1-2:05.student
Тут для целой подсети

Код: [Выделить]

BURST=50K
RATE=64kbit
CEIL=128kbit
RULE=192.168.0.0/27
eth1-2:10.www

Код: [Выделить]

# class for outgoing WWW traffic
RATE=200Kbit
CEIL=200Kbit
BURST=15k
LEAF=sfq
RULE=*:80,
eth1-2:25.smb
Как я рассчитывал, правило для траффика по протоколу smb

Код: [Выделить]

# class for outgoing SMB traffic
RATE=100Mbit
CEIL=100Mbit
BURST=10M
LEAF=sfq
RULE=*:139
Ну и, собственно, дефолтовое правило
eth1-2:30.dfl

Код: [Выделить]

# default class for unclassified traffic
RATE=100Kbit
CEIL=100Kbit
BURST=15k
LEAF=sfq
htb.init "исправленный", с просторов интернета скачанный, вот он http://pastebin.com/BWPVLtUE

Так вот, столкнулся я с проблемой: шейпер работает, скорости клиенты получают, как им и должно (как в конфигах прописано), но и скорость копирования расшаренных файлов упала до значений (как я понял), прописанных в конфиге eth1-2:30.dfl
 а это ок 100 кб/с 3мб файл по 15 минут копируется .Сразу же оговорюсь, прописанный в конфиге порт 139 менял на 135,139,445 - не помогает, пробовал прописывать эти порты по отдельности, та же картина.

Ну и, собственно, вопрос: что предложите сделать с smb. Вариант правки eth1-2:30.dfl мной рассматривается как крайняя мера, т.к. товарищ с ip 192.168.0.106 самым наглым образом пользуется торрентами и отключать ему нельзя эту возможность , а скорость из-за его интернет-активности ощутимо падает, но и samba Хочется использовать с нормальной скоростью.

Если для решения проблемы нужны еще какие-нибудь конфиги/логи, пишите, выложу...

[lusuj]

(Нажмите, чтобы показать/скрыть)

Vorlog привет !
Поставил я макет Munin ,настроил HTB запускаю HTB он пишет 2 предупреждения ну вроде из фрумов ячитал он как быработает далее скопировал плагин qos_ добавил в конфиг Munin запускаю брозёр там как бы добавляется плагин но вот когда я выбираю эту закладочку то графиков не вижу вроде все просто а не пойму что не то сделал хотел написать автору но нет контактов есть статья http://habrahabr.ru/blogs/linux/60095/ у них не зарегишся помогите советом пож а может кто прикручивал плагин поделитесь опытом пож заранее благодарю за помощь 

Я сам пока пытаюсь с ним бороться!

А в чем проблема. Скачиваем плагин qos_ в /usr/share/munin/plugins, делаем его исполняемым

Код: [Выделить]

chmod +x /usr/share/munin/plugins/qos_,
делаем ссылку в директорию -

Код: [Выделить]

ln -s /usr/share/munin/plugins/qos_ /etc/munin/plugins/qos_eth1,
где eth1 это интерфейс, на котором стоит шейпер.
Далее добавляем в /etc/munin/plugin-conf.d/munin-node

Код: [Выделить]

[qos_eth1]
user root
env.ignore_queue0 yes
Только эту строчку стоит располагать по алфавиту, то есть не в конце файла. Ну и перезапускаем munin-node

Код: [Выделить]

/etc/init.d/munin-node restartи все работает

Графики munin для htb (плагин _qos)хорошо отображают состояние сети при небольшом количестве юзеров, а если их 50 или 100 так все налеплено что и не разобраться.
Кто подскажет решение?

[lusuj]

неужели никто не мониторит пользователей, я один такой