[FAQ] Ограничение скорости для клиентов на Ubuntu-Server (htb.init)

[InkVisitor]

Пробовал маркировать все пакеты идущие с виртуального интерфейса и заганял их в правило с CEIL на 100Мбит , не работает. Кто что еще может предложить?

Какие конкретно интерфейсы (кто за что отвечает, и кто кого куда выпускает)?
Как маркировал (проверить, действительно ли маркируются нужные пакеты)?
Как заганял?

Какой смысл переливать из пустого в порожнее? Опишите с пояснениями проблему, и тогда, возможно, кто-то поможет. А так... "заганял"... "не работает"... Что тут можно советовать?
Правильная постановка вопроса уже половина ответа.

P.S. У меня на сервере подобная ситуация. Инет и локалка идут через одни и те же виртуальные интерфейсы. Пакеты по-разному маркируются. Соответственно, скорость на инет и на локалку разная. Всё прекрасно работает.

[Vetal_krot]

Ситуация следующая:
есть eth1 с IP 192.168.1.1, етот интерфейс является шлюзом в интернет и здесь же крутится днс и проходин шейпинг интернета.
еще есть eth1:1 с  IP 192.168.10.10, тут крутится локальный фтп сервак

Нужно сделать так что б на eth1 проходил шейпинг интернета (к примеру на скорости 512Кб/с), а если пользователь пошол на локальный фтп (eth1:1) то скорость скачивания должна быть, ну к примеру 50Мб/с...



P.S. Всеравно както криво написал....

[InkVisitor]

Код: [Выделить]

iptables -t mangle -A FORWARD -s 192.168.1.10 -o eth1 -d !192.168.10.10 -j MARK --set-mark 101
iptables -t mangle -A FORWARD -s 192.168.1.10 -o eth1 -d !192.168.10.10 -j RETURN
iptables -t mangle -A FORWARD -s 192.168.1.10 -o eth1 -d 192.168.10.10 -j MARK --set-mark 102
iptables -t mangle -A FORWARD -s 192.168.1.10 -o eth1 -d 192.168.10.10 -j RETURN

Как-то так... Здесь 192.168.1.10 - ИП клиентской машины.
Если используется pppoe, тогда и интерфейс надо задавать ppp0.
Ессно, маркировать пакеты нужно в обе стороны (в инет - из инета, в локаль - из локали)
Потом в папке htb создать два файла

Код: [Выделить]

BURST=50Kb
RATE=256Kbit
CEIL=512Kbit
LEAF=sfq
PRIO=1
MARK=101
и

Код: [Выделить]

BURST=50Kb
RATE=20Mbit
CEIL=50Mbit
LEAF=sfq
PRIO=1
MARK=102
Для просмотра, маркируются ли пакеты

Код: [Выделить]

iptables -t mangle -L -n -v


[VA]

Нужно сделать так что б на eth1 проходил шейпинг интернета (к примеру на скорости 512Кб/с), а если пользователь пошол на локальный фтп (eth1:1) то скорость скачивания должна быть, ну к примеру 50Мб/с...

Я так делаю
iptables -t mangle -A FORWARD -i ppp0 -o vlan21 -j MARK --set-mark 1021
iptables -t mangle -A FORWARD -o ppp0 -i vlan21 -j MARK --set-mark 11021
маркируется и ограничивается только транзитный трафик , и только из Интернета но у меня vlan на каждого пользователя, у тебя будет:
iptables -t mangle -A FORWARD -i ppp0 -d 192.168.10.100 -j MARK --set-mark 1021
ppp0 - твоё ADSL подключение

[InkVisitor]

Я так понял, у Vetal_krot нужно ограничивать и инетовский, и локальный трафик. Кроме того, физический интерфейс один, поэтому при использовании виртуального интерфейса в правилах (eth1:1) может вызвать проблемы.

[Byuik]

Здравствуйте , пишу потому как нужно очень ваша помощь..
Мне очень нужно ограничить трафик пользователей.

Что имеем:

PPPoE bridg modem =192.168.1.1    2mb
Соединение с модемом eth1 = 192.168.1.2 < PPPoE = ppp0
Локальная сеть eth2 = 192.168.0.1 < NAT+ firestarter + DHCP3-server (в локалке пока три пользователя)

Необходимо: Ограничить скорость каждого пользователя по 512 килобит, причем ничего не устанавливая на компьютеры  и не меня в настройках самих клиентов.
Причина в с ледующем , один из пользователей убивает канал многопоточными закачками.
Есть какоето решение ?

[InkVisitor]

htb с маркировкой пакетов в iptables должно помочь (сам не тестил, но, теоретически...) - читать ЭТУ тему ВСЮ

[Byuik]

Моглиб и проще сказать, из обычного пользователя стань админом параноиком 

[cOnf_ua]

Подскажите как добавить к шейперу htb авторизацию пользователей по системе логин//пароль (или по другой системе, принципиально чтобы раздача не основывалась лишь на паре IP + MAС ).

Первое что пришло в голову это раздача по PPTP, но в этом случае надо прикручивать IMQ для нормальной работы HTB, а это довольно трудоёмко. Прежде чем приступать к этому способу, хотелось бы выяснить нет ли вариантов по-проще.

[Stiff]

Подскажите как добавить к шейперу htb авторизацию пользователей по системе логин//пароль (или по другой системе, принципиально чтобы раздача не основывалась лишь на паре IP + MAС ).

Первое что пришло в голову это раздача по PPTP, но в этом случае надо прикручивать IMQ для нормальной работы HTB, а это довольно трудоёмко. Прежде чем приступать к этому способу, хотелось бы выяснить нет ли вариантов по-проще.

Это для чего imq? чтоб входящий трафик шейпить?
всё отлично делается без imq, входящий трафик ограничивается полисингом или шейпится на исходящем канале через htb

[cOnf_ua]

Да, чтобы шейпить входящий трафик в связке с PPTP: если подключать пользователей через PPTP, то будут создаваться многочисленные ppp-подключения. Задача в моем случае - шейпить весь канал поровну на всех, а для этого нужен один общий для всех пользователей интерфейс, на котором и будут создаваться HTB очереди. Вот здесь и приходит по моим рассуждениям на помощь IMQ, который будет раздавать интернет ppp-интерфейсам.

[VA]

Да, чтобы шейпить входящий трафик в связке с PPTP: если подключать пользователей через PPTP, то будут создаваться многочисленные ppp-подключения. Задача в моем случае - шейпить весь канал поровну на всех, а для этого нужен один общий для всех пользователей интерфейс, на котором и будут создаваться HTB очереди. Вот здесь и приходит по моим рассуждениям на помощь IMQ, который будет раздавать интернет ppp-интерфейсам.

общий для всех пользователей интерфейс у тебя будет какой нибудь eth0, на нем и создавай очереди

[cOnf_ua]

В данном случае подойдет только "какой-нибудь eth0" который является внешним (уходящим в интернет) интерфейсом, и то не всегда подключение реализуется через ethernet. Так вот на этои внешнем интерфейсе можно со спокойной душой использовать HTB очереди лишь для исходящего трафика, тут же вопрос касается входящего трафика: локальные пользователи, если пускать их по VPN через PPTP, будут подключаться к шлюзу по ppp-интерфейсам.
Так что на счет авторизации то, знакома ли кому такая проблемка?

[Vetal_krot]

Я так понял, у Vetal_krot нужно ограничивать и инетовский, и локальный трафик. Кроме того, физический интерфейс один, поэтому при использовании виртуального интерфейса в правилах (eth1:1) может вызвать проблемы.

Вы все правильно поняли.
Сейчас у меня все работает как описал VA, но нету шейпинга на eth1:1

[InkVisitor]

Так что на счет авторизации то, знакома ли кому такая проблемка?

Поддерживаю вопрос.