[FAQ] Ограничение скорости для клиентов на Ubuntu-Server (htb.init)

[InkVisitor]

Для исходящего маркировал MARK=10XX и вешал на ppp+ интерфейсы, правило:
iptables -t mangle -A FORWARD -d 192.168.1.XX -j MARK --set-mark 10XX
Тут явно трафик с локальным не пересекается. Скорость заливки на фтп не режется относительно правил исходящего.
Не понятен один нюанс относительно направления. Ведь если в правиле -d 192.168.1.XX то значит: "Пакет идет в направлении LAN" Я не ошибаюсь? Так вот эти марки висят на ppp+ и скорость на отдачу регулируется...

Вы уверены, что это правило работает? Оно может работать только в том случае, если IP модема 192.168.1.XX

Для входящего извне трафика в конфигурационных файлах пользователей я использовал RULE=192.168.1.XXX

Согласен.

Хотя в моем понимании -s 192.168.1.XX это источник...

Это источник. Точнее, это IP-адрес хоста, который отсылает пакет.

Если я создаю правило:
iptables -t mangle -A FORWARD -s 192.168.1.XX -j MARK --set-mark 20XX
И конфигурационные файлы основываю на них (марках) то не срабатывает.

И не сработает.
Если надо ограничивать транзитный траф -

iptables -t mangle -A FORWARD -d 192.168.1.XX -j MARK --set-mark 20XX

Если надо ограничивать трафик, который отдаёт шлюз -

iptables -t mangle -A OUTPUT -d 192.168.1.XX -j MARK --set-mark 20XX

Как вариант - можно промаркировать пакеты в цепочке POSTROUTING, но тогда в правилах нужно указывать не только адрес назначения, но и дополнительные условия (или источник, или порты, или протокол).

Попробуйте разобратся со схемой полтора поста назад. Её понимание отбросит много лишних вопросов.

[ivsatel]

Ограничивать трафик со шлюза (от локального приложения) не нужно. Только транзит.
Решил поступить согласно схеме, используя цепочку "мангл форвард".
-t mangle -A FORWARD -d 192.168.1.XX в LAN
 
Маркирую в -t mangle -A FORWARD -d 192.168.1.XX пакет входящий.

Так вот. Переделал правила для eth0 (вообще убрал остальные правила для других интерфейсов, оставил только eth0) с RULE на MARK так же как до этого делал для ррр+. Используя правило -t mangle -A FORWARD -d 192.168.1.XX По идеи локальный трафик затрагиваться не должен, но результата это не дало... Шейпер не срабатывает в данном случае вовсе.
И так:
iptables -t mangle -A FORWARD -i ppp+ -o eth0 -d 192.168.1.XX -j MARK --set-mark 10XX
Тоже не ровняет входящий в LAN.
************************************************
Микро озарение! Если я использую правила в iptables для транзита а на шлюзе squid то весь внешний трафик отловить через эту цепочку не получится.
Все, тупик.

[InkVisitor]

Может и сквид виноват... Я уже сквидом не пользуюсь.
У меня рабочий вариант выглядит так

Код: [Выделить]

iptables -t mangle -A FORWARD -o eth1 -s ! 192.168.2.0/24 -d 192.168.2.29 -j MARK --set-mark 29
iptables -t mangle -A FORWARD -o eth1 -s ! 192.168.2.0/24 -d 192.168.2.0/24 -j RETURN
iptables -A FORWARD -p tcp -i eth1 -s 192.168.2.29 -m multiport --dport 80,8000,443,5190,25,465,110,995,5222 -j ACCEPT
iptables -A FORWARD -p tcp -o eth1 -d 192.168.2.29 -m multiport --sport 80,8000,443,5190,25,465,110,995,5222 -j ACCEPT
+ SNAT или MASQUERADE
файл /etc/sysconfig/htb/eth1-2:229.l29

Код: [Выделить]

BURST=50Kb
RATE=150Kbit
CEIL=1500Kbit
LEAF=sfq
PRIO=1
MARK=29

Всё работает.

[vovanrus]

напишите пожалуйста простой пример ограничения входящей и исходящей скорости интернета для определенного ip и порт c помощью tc. Толкового примера не могу найти в гугле, а сам в tc не силен. Заранее спасибо!

[_Vadim_]

Добрый День!
Есть вопросик.
Имеется домашний сервер на Ubuntu Server 10.04, два физических ethernet интерфейса, на нем NAT для выхода домашних компов/устройств в инет, файловый сервер SAMBA(только для локалки), торрент-клиент RTorrent.
  Каким способом можно настроить приоритезацию интернетовского трафика от локальных машин над интернетовским трафиком самого сервера (RTorrent-а).
Мои идеи: почитав форум пришол к выходу, что установив шейпер на интерфейс который смотрит в локалку, абсолютно ни чем мне не поможет, для зажимания RTorrent-а.
  Пропатчить ядро для поддержки IMQ, сделать перенаправление с интерфейса который смотрит на провайдера на виртуальное устройство IMQ, на него уже повесить шейпер для ужимания RTorrent-а. Будет ли этот вариант работать так как мне надо.
 Или предложите другой возможный вариант, может возможно все это дело реализовать проще.
 Может вообще есть какие то утилиты или скрыпты, которые могут автоматом менять настройки самого RTorrent-а, когда идет трафик от локальных клиентов в интернет.
Заранее спасибо за ответ!

[ivsatel]

InkVisitor
Получилось! Удалил squid

Пересоздал топологию правил, добавил eth0-2:10.lan c содержимым:

Код: [Выделить]

RATE=80000Kbit
LEAF=sfq
MARK=99
PRIO=2
Далее eth0-2:20.www

Код: [Выделить]

RATE=8900Kbit
CEIL=10000Kbit
LEAF=sfq
PRIO=1
Далее клиентов eth0-2:20:20XX:

Код: [Выделить]

RATE=512Kbit
CEIL=10000Kbit
LEAF=sfq
MARK=1XX
PRIO=1
Для транзитного поставил правило:
iptables -t mangle -A FORWARD -d 192.168.1.XX -j MARK --set-mark 1XX
А для FTP (локальный трафик):
iptables -t mangle -A OUTPUT -d 192.168.1.0/24 -j MARK --set-mark 99

[_Vadim_]

Добрый День!
Есть вопросик.
Имеется домашний сервер на Ubuntu Server 10.04, два физических ethernet интерфейса, на нем NAT для выхода домашних компов/устройств в инет, файловый сервер SAMBA(только для локалки), торрент-клиент RTorrent.
  Каким способом можно настроить приоритезацию интернетовского трафика от локальных машин над интернетовским трафиком самого сервера (RTorrent-а).
Мои идеи: почитав форум пришол к выходу, что установив шейпер на интерфейс который смотрит в локалку, абсолютно ни чем мне не поможет, для зажимания RTorrent-а.
  Пропатчить ядро для поддержки IMQ, сделать перенаправление с интерфейса который смотрит на провайдера на виртуальное устройство IMQ, на него уже повесить шейпер для ужимания RTorrent-а. Будет ли этот вариант работать так как мне надо.
 Или предложите другой возможный вариант, может возможно все это дело реализовать проще.
 Может вообще есть какие то утилиты или скрыпты, которые могут автоматом менять настройки самого RTorrent-а, когда идет трафик от локальных клиентов в интернет.
Заранее спасибо за ответ!

Мне кто-то ответит или ветка уже мертвая?

[InkVisitor]

Мне кто-то ответит или ветка уже мертвая?

Ветка живая. А отсутствие ответов, кроме "мертвизны" ветки, может ещё означать незнание оных.

[ivsatel]

Не покидает сомнение по поводу честности деления канала. На предмет включенных качалок (торрент качалок).
К примеру если один из пяти клиентов включил торрент, достанется ли остальным положенная им ширина канала?
Исходя из 10 000 / 5 = 2 000
Или я неправильно понимаю принцип действия шейпера?

[InkVisitor]

В НТВ делится не точно, а ОТ и ДО. Насчёт торрента - проверьте и нам скажите  . Я на работе торрент вообще зарубил. Походу, НТВ просто не успевает следить за столькими подключениями...

[byte916]

Всем добрый день
Есть ли способы ограничивать трафик при превышении определенного порога скачанного(или розданного или суммарного трафика)?

[ivsatel]

Есть ли способы ограничивать трафик при превышении определенного порога скачанного(или розданного или суммарного трафика)?

Это Биллинг http://ru.wikipedia.org/wiki/%D0%91%D0%B8%D0%BB%D0%BB%D0%B8%D0%BD%D0%B3

[Nesmit]

В НТВ делится не точно, а ОТ и ДО. Насчёт торрента - проверьте и нам скажите  . Я на работе торрент вообще зарубил. Походу, НТВ просто не успевает следить за столькими подключениями...

Любой провайдер ограничивает количество соединений с одного ip, особенно физическому лицу. Для частичного решения проблемы в микротике ставят PCQ, который как раз и распределяет нагрузку не только по ширине канала, но и по количеству соединений.
Подробности тут

[AnrDaemon]

Любой провайдер ограничивает количество соединений с одного ip, особенно физическому лицу.

Ой ли?...

[Nesmit]

Ой ли?...

Уговорил, не все. Но те кто ограничивает, правы. Не зря ж в винде сделали 100 соединений =)