[FAQ] Ограничение скорости для клиентов на Ubuntu-Server (htb.init)

[Vorlog]

я так понял у вас eth0 смотрит во внешку, а eth1 к клиентам??

[Nitrolx]

я так понял у вас eth0 смотрит во внешку, а eth1 к клиентам??

eth0 сетка eth1 инет

Ребят спасибо всем кто ответил, проблему решил, обьесню в чем было дело.
Я просто запутался в масках, ну точней не запутался, а немного не так понел одного человека который мне обьеснял, двоичные числа.
Например когда вводишь команду
iptables -A FORWARD -s 192.168.0.100 -p tcp --syn -m connlimit --connlimit-above 50 -j DROP
ну или любую другую без маски то автоматически добовляется маска /32 а я этого не знал и думал что по дефалту добовляется 24 тобишь 255.255.255.0
по этому и не работало обрезание всех апи.

Сейчас все впорядке, Еще раз спасибо за потраченое время.

Сори за глупость.  Опыт приходит со временим

[Vorlog]

Сори за глупость.  Опыт приходит со временим

Не надо извиняться)) Тут тоже не все светилы науки)) для этого и существует этот форум что бы друг другу помогать!

[Nesmit]

Дано:
eth0 - смотрит в инет, через роутер с ip 192.168.0.2, gw 192.168.0.1  in 8000kbit out 512kbit
eth1 - смотрит в локалку

NAT на eth0 включен, и клиенты заходят через VPN

Клиентов 100 и они имеют адреса из диапазона 192.168.160.1-150.

Необходимо:
разделить интернет на 4 части группами по 25 клиентов, на основе диапазона или метки. Метка нужнее.

Мысли такаие:
1. будет ли работать фильтр с метками? деля на 4 отдельных класса. В каждом классе гарантированные 256кбит
2. создаем ifb0, заворачиваем туда трафик. И я не могу понять что получу там. Будет это нат. То пакеты будут с ip eth0 или они будут из диапазона VPN сервера.
3. Если вход eth0 тогда выход ifb0. тогда возникает вопрос, что будет на ifb0? Пакеты после NAT или еще не успели. И тогда на что вешать шейпер, чтобы не грузили канал? Вход eth0 CEIL 7500Kbit, а ifb0 CEIL 490Kbit. Получается так?

Пользователь решил продолжить мысль 19 Марта 2010, 15:45:28:htb.init 
ifb0 
ifb0-2.root
ifb0-2:20.inet1 
ifb0-2:20:11.www 
ifb0-2:20:12.https 
ifb0-2:20:13.www2 

sh htb.init compile
/sbin/tc qdisc del dev ifb0 root
/sbin/tc qdisc add dev ifb0 root handle 1 htb default 20 r2q 1

find: warning: you have specified the -maxdepth option after a non-option argument (, but options are not positional (-maxdepth affects tests specified before it as well as those specified after it).  Please specify options before other arguments.

[: 1: Illegal number: $[0x2]
/sbin/tc class add dev ifb0 parent 1: classid 1:2 htb rate 24Mbit

[: 1: Illegal number: $[0x20]
[: 1: Illegal number: $[0x2]
/sbin/tc class add dev ifb0 parent 1:2 classid 1:20 htb rate 8000Kbit ceil 8000Kbit
/sbin/tc qdisc add dev ifb0 parent 1:20 handle 20 sfq perturb 10
/sbin/tc filter add dev ifb0 parent 1:0 protocol ip prio 200 handle 10 fw classid 1:20

Почему ошибка?

[Beliyed]

Долго голову ломаю. Linux юзаю всего неделю. Надо раздать инет с eth0 на eth2. Сервер настроил, NAT + HTB крутятся. Инет раздается и режится download. Но не могу никак настроить, чтоб и upload ограничился. у меня ADSL Укртелеком (up 1Mb / down 8Mb). Как мне этот 1 исходящий метр разделить кому 128 Kb, а кому 512.

[Alex_Bratsk]

Управление входящим и исходящим трафиком в Linux: HTB и IMQ
http://www.opennet.ru/base/net/adsl_bandwidth.txt.html
Руководство по iptables (Iptables Tutorial 1.1.19)
http://www.opennet.ru/docs/RUS/iptables/
Я надеюсь это поможет.

[Vorlog]

Долго голову ломаю. Linux юзаю всего неделю. Надо раздать инет с eth0 на eth2. Сервер настроил, NAT + HTB крутятся. Инет раздается и режится download. Но не могу никак настроить, чтоб и upload ограничился. у меня ADSL Укртелеком (up 1Mb / down 8Mb). Как мне этот 1 исходящий метр разделить кому 128 Kb, а кому 512.

Чтобы резать Аплоад сделайте маркировку траффика в iptables и сделать файлы конфигурации. Этот способ без заморочек по пересборке ядра, которое требуется для решения задачи в случае организации интерфейса IMQ.

[Procik]

Привет всем.
Классифицировал трафик так

(Нажмите, чтобы показать/скрыть)

#Class 1
iptables -t mangle -A POSTROUTING -o ppp+ -p tcp --syn -m length --length 40:68 -j CLASSIFY --set-class 1:10
iptables -t mangle -A POSTROUTING -o ppp+ -p tcp --syn -m length --length 40:68 -j CLASSIFY --set-class 1:10
iptables -t mangle -A POSTROUTING -o ppp+ -p tcp --tcp-flags ALL SYN,ACK -m length --length 40:68 -j CLASSIFY --set-class 1:10
iptables -t mangle -A POSTROUTING -o ppp+ -p tcp --tcp-flags ALL ACK -m length --length 40:100 -j CLASSIFY --set-class 1:10
iptables -t mangle -A POSTROUTING -o ppp+ -p tcp --tcp-flags ALL RST -j CLASSIFY --set-class 1:10
iptables -t mangle -A POSTROUTING -o ppp+ -p tcp --tcp-flags ALL ACK,RST -j CLASSIFY --set-class 1:10
iptables -t mangle -A POSTROUTING -o ppp+ -p tcp --tcp-flags ALL ACK,FIN -j CLASSIFY --set-class 1:10
# Class 2
iptables -t mangle -A POSTROUTING -o ppp+ -p tcp --sport ssh -m length --length 40:100 -j CLASSIFY --set-class 1:20
iptables -t mangle -A POSTROUTING -o ppp+ -p tcp --dport ssh -m length --length 40:100 -j CLASSIFY --set-class 1:20
iptables -t mangle -A POSTROUTING -o ppp+ -p tcp --dport 5000:5100 -j CLASSIFY --set-class 1:20
# Class 3
iptables -t mangle -A POSTROUTING -o ppp+ -p tcp -m multiport --sport http,imap,https,imaps -j CLASSIFY --set-class 1:30
iptables -t mangle -A POSTROUTING -o ppp+ -p tcp --dport domain -j CLASSIFY --set-class 1:30
# Class 4
iptables -t mangle -A POSTROUTING -o ppp+ -p udp -j CLASSIFY --set-class 1:40
iptables -t mangle -A POSTROUTING -o ppp+ -p icmp -m length --length 28:1500 -m limit --limit 2/s --limit-burst 5 -j CLASSIFY --set-class 1:40
# Class 5
iptables -t mangle -A POSTROUTING -o ppp+ -p tcp --sport ssh -m length --length 101: -j CLASSIFY --set-class 1:50
iptables -t mangle -A POSTROUTING -o ppp+ -p tcp --dport ssh -m length --length 101: -j CLASSIFY --set-class 1:50
iptables -t mangle -A POSTROUTING -o ppp+ -p tcp --sport 25 -j CLASSIFY --set-class 1:50

И сам шейпер

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

if [ -f /var/run/radattr.$1 ]
   then
   DOWNSPEED=`/usr/bin/awk  '/PPPD-Downstream-Speed-Limit/ {print $2}'  /var/run/radattr.$1`
   UPSPEED=`/usr/bin/awk  '/PPPD-Upstream-Speed-Limit/ {print $2}'  /var/run/radattr.$1`
    /sbin/tc qdisc del dev $1 root    > /dev/null
    /sbin/tc qdisc del dev $1 ingress > /dev/null

 ##### speed server->client
   if [ "$UPSPEED" != "0" ] ;
   then
      /sbin/tc qdisc add dev $1 root handle 1: htb default 60
      /sbin/tc class add dev $1 parent 1: classid 1:1 htb rate ${UPSPEED}kbit burst 6k
      /sbin/tc class add dev $1 parent 1:1 classid 1:10 htb rate ${UPSPEED}kbit burst 6k prio 1
      /sbin/tc class add dev $1 parent 1:1 classid 1:20 htb rate ${UPSPEED}kbit burst 6k prio 2
      /sbin/tc class add dev $1 parent 1:1 classid 1:30 htb rate ${UPSPEED}kbit burst 6k prio 3
      /sbin/tc class add dev $1 parent 1:1 classid 1:40 htb rate $((9*$UPSPEED/10))kbit burst 6k prio 4
      /sbin/tc class add dev $1 parent 1:1 classid 1:50 htb rate $((8*$UPSPEED/10))kbit burst 6k prio 5
      /sbin/tc class add dev $1 parent 1:1 classid 1:60 htb rate $((5*$UPSPEED/10))kbit burst 6k prio 6


      # all get Stochastic Fairness
      /sbin/tc qdisc add dev $1 parent 1:10 handle 10: sfq perturb 10 quantum 1500
      /sbin/tc qdisc add dev $1 parent 1:20 handle 20: sfq perturb 10 quantum 1500
      /sbin/tc qdisc add dev $1 parent 1:30 handle 30: sfq perturb 10 quantum 1500
      /sbin/tc qdisc add dev $1 parent 1:40 handle 40: sfq perturb 10 quantum 1500
      /sbin/tc qdisc add dev $1 parent 1:50 handle 50: sfq perturb 10 quantum 1500
      /sbin/tc qdisc add dev $1 parent 1:60 handle 60: sfq perturb 10 quantum 1500
     
      fi
 ##### speed client->server
   if [ "$DOWNSPEED" != "0" ] ;
   then
     /sbin/tc qdisc add dev $1 handle ffff: ingress
     /sbin/tc filter add dev $1 parent ffff: protocol ip prio 100 u32 match ip src \
     0.0.0.0/0 police rate ${DOWNSPEED}kbit burst $((1*$DOWNSPEED/10))k drop flowid :1
   fi
 fi

Проблема в том , что если я открываю браузер, то скорость ограничивается согласно prio 3, но если работает торент, который prio 6, то скорость суммируется, т. е. если UPSPEED = 512 , то при остановленом торент-клиенте через http идёт 512, а запущенном, у которого скорость 5*$UPSPEED/10=250, пропускается 750
В чём моя ошибка?

[_navi_]

имееться одна сетвуха(eth0)
download ограничил rule
не получаеться ограничить upload
добавил в iptables строки
iptables -t mangle -A PREROUTING -s 192.168.1.1 -j MARK --set-mark 104
iptables -t mangle -A PREROUTING -s 192.168.1.1 -j RETURN
создал доп. файл для ограничения upload
eth0-2:20.me_up

Код: [Выделить]

RATE=500Kbit
CEIL=1Mbit
BURST=50kb
LEAF=sfq
PRIO=1
MARK=104eth0-2.root

Код: [Выделить]

RATE=1Mbit
BURST=50kbeth0-2:11.me

Код: [Выделить]

RATE=400Kbit
CEIL=1Mbit
BURST=50kb
LEAF=sfq
PRIO=1
RULE=192.168.1.1
П.С. в дальнейшем будут 2 сетевухи, но там будет не сложно все это реализовть,если eth0(inet), а eth1(loca) надо будет правила для upload вешать на eth0, а для download на  eth1
П.С. у меня аплоад сейчас режеться благодяра файлу

Код: [Выделить]

eth0-2:10.forall
RATE=64Kbit
CEIL=64Kbit
BURST=50kb
LEAF-sfq
PRIO=10
т.е. выходит аплоад идет как неопределенный траффик....хотя судя по выводу tc -s -d class show dev eth0 , в класс аплоада некоторые пакеты все таки попадают.....

[AnrDaemon]

iptables -t mangle -A PREROUTING -s 192.168.1.1 -j RETURN

Что по-твоему делает это правило?

[_navi_]

RETURN (прекратить обработку в данной цепочке, вернуть в цепочку уровнем выше)

[AnrDaemon]

И зачем оно в СТАНДАРТНОЙ таблице?

[_navi_]

сорри,но я что-то не понимаю..я взял этот пример с сайта(не этоо)..и там говорилось,что это нужно чтобы пакет не был перемаркирован....

[AnrDaemon]

Чтобы пакет не был перемаркирован, надо правильно строить правила. Там наверняка использовалась дополнительная пользовательская таблица для маркировки пакетов.

[_navi_]

и как же правильно про маркировать?