[FAQ] Ограничение скорости для клиентов на Ubuntu-Server (htb.init)

[AnrDaemon]

Не притягивайте за уши неуместные аргументы.

[byte916]

Всем добрый день
Настроил всё следующим образом:
Eth0 смотрит в локалку.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

eth0
DEFAULT=9999
R2Q=10

Код: [Выделить]

eth0-2.root
RATE=100Mbit
CEIL=100Mbit

Код: [Выделить]

eth0-2:1000.http
RATE=384Kbit
CEIL=384Kbit
LEAF=sfq
RULE=*:80

Код: [Выделить]

eth0-2:1000:10.pc1
RATE=192Kbit
CEIL=384Kbit
LEAF=sfq
RULE=192.168.1.2

Код: [Выделить]

eth0-2:1000:20.pc2
RATE=192Kbit
CEIL=384Kbit
LEAF=sfq
RULE=192.168.1.3

Код: [Выделить]

eth0-2:9999
RATE=1Kbit
CEIL=1Kbit
LEAF=sfq
PRIO=100

Я так понял, что весь трафик, который не идёт по 80 порту(точнее с 80-го порта), весь должен идти в eth0-2:9999, но почему то не идёт, идёт без ограничений скорости. Вопрос - где я ошибся.

Еще возникли вопросы
1) Являются ли равнозначными такие записи? Т.е. по замыслу все клиенты должны делить канал(выделено на все компьютреы 384 кбита) поровну(получать свой rate, плюс свою долю от ceil).

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

eth0-2:1000.http
RATE=384Kbit
CEIL=384Kbit
LEAF=sfq
RULE=*:80

Код: [Выделить]

eth0-2:1000:10.pc1
RATE=192Kbit
CEIL=384Kbit
LEAF=sfq
RULE=*:80,192.168.1.2

Код: [Выделить]

eth0-2:1000:20.pc2
RATE=192Kbit
CEIL=384Kbit
LEAF=sfq
RULE=*:80,192.168.1.3

и

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

eth0-2:1000.http
RATE=192Kbit
CEIL=384Kbit
LEAF=sfq
RULE=*:80, 192.168.1.2/31

2) Почему странно работает наследование? Вот пример

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

eth0-2:1000.http
CEIL=384Kbit
LEAF=sfq
RULE=*:80

Код: [Выделить]

eth0-2:1000:10.pc1
RATE=192Kbit
LEAF=sfq
RULE=*:80,192.168.1.2

Почему в данном примере в eth0-2:1000:10.pc1 ceil автоматически будет выставлен в 192кбита, хотя у родительского класса этот параметр 384? Если этот параметр не наследуется, то какие наследуются?
Спасибо

[ivsatel]

PRIO=100

А допустимый диапазон - 0-7
Может по этому...

[byte916]

но вот вывод tc class show dev eth0

Код: [Выделить]

class htb 1:9999 parent 1:2 prio 7 rate 1000bit ceil 1000bit burst 1599b cburst 1599b
class htb 1:1000 parent 1:2 rate 384000bit ceil 384000bit burst 1599b cburst 1599b
class htb 1:10 parent 1:1000 prio 0 rate 192000bit ceil 384000bit burst 1600b cburst 1599b
class htb 1:2 root rate 100000Kbit ceil 100000Kbit burst 1600b cburst 1600b
class htb 1:20 parent 1:1000 prio 0 rate 192000bit ceil 384000bit burst 1600b cburst 1599b т.е. правило добавилось, но оно не работает как надо

[ivsatel]

А если так:

(Нажмите, чтобы показать/скрыть)

eth0

Код: [Выделить]

DEFAULT=9999
R2Q=10
eth0-2.root

Код: [Выделить]

RATE=100000Kbit
eth0-2:1000.http

Код: [Выделить]

RATE=384Kbit
CEIL=384Kbit
LEAF=sfq
RULE=*:80
eth0-2:1000:10.pc1

Код: [Выделить]

RATE=190Kbit
CEIL=384Kbit
LEAF=sfq
RULE=192.168.1.2:80
PRIO=3
eth0-2:1000:20.pc2

Код: [Выделить]

RATE=190Kbit
CEIL=384Kbit
LEAF=sfq
RULE=192.168.1.3:80
PRIO=3
eth0-2:9999

Код: [Выделить]

RATE=1Kbit
CEIL=1Kbit
LEAF=sfq
PRIO=7

Далее:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

sudo /etc/init.d/htb stop
sudo /etc/init.d/htb compile
sudo /etc/init.d/htb start

Вот мой вывод (default = 40):
tc class show dev eth0 | sort

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

class htb 1:10 parent 1:2 leaf 10: prio 6 rate 80000Kbit ceil 80000Kbit burst 1600b cburst 1600b
class htb 1:2001 parent 1:20 leaf 2001: prio 3 rate 512000bit ceil 10000Kbit burst 1600b cburst 1600b
class htb 1:2002 parent 1:20 leaf 2002: prio 3 rate 512000bit ceil 10000Kbit burst 1600b cburst 1600b
class htb 1:2003 parent 1:20 leaf 2003: prio 3 rate 512000bit ceil 10000Kbit burst 1600b cburst 1600b
class htb 1:2004 parent 1:20 leaf 2004: prio 3 rate 512000bit ceil 10000Kbit burst 1600b cburst 1600b
class htb 1:2005 parent 1:20 leaf 2005: prio 3 rate 512000bit ceil 10000Kbit burst 1600b cburst 1600b
class htb 1:2006 parent 1:20 leaf 2006: prio 3 rate 512000bit ceil 10000Kbit burst 1600b cburst 1600b
class htb 1:2007 parent 1:20 leaf 2007: prio 3 rate 512000bit ceil 10000Kbit burst 1600b cburst 1600b
class htb 1:2008 parent 1:20 leaf 2008: prio 3 rate 512000bit ceil 10000Kbit burst 1600b cburst 1600b
class htb 1:2009 parent 1:20 leaf 2009: prio 3 rate 512000bit ceil 10000Kbit burst 1600b cburst 1600b
class htb 1:2010 parent 1:20 leaf 2010: prio 3 rate 512000bit ceil 10000Kbit burst 1600b cburst 1600b
class htb 1:2011 parent 1:20 leaf 2011: prio 3 rate 512000bit ceil 10000Kbit burst 1600b cburst 1600b
class htb 1:2012 parent 1:20 leaf 2012: prio 3 rate 512000bit ceil 10000Kbit burst 1600b cburst 1600b
class htb 1:2013 parent 1:20 leaf 2013: prio 3 rate 512000bit ceil 10000Kbit burst 1600b cburst 1600b
class htb 1:2014 parent 1:20 leaf 2014: prio 3 rate 512000bit ceil 10000Kbit burst 1600b cburst 1600b
class htb 1:2015 parent 1:20 leaf 2015: prio 3 rate 512000bit ceil 10000Kbit burst 1600b cburst 1600b
class htb 1:20 parent 1:2 rate 8900Kbit ceil 10000Kbit burst 1598b cburst 1600b
class htb 1:2 root rate 100000Kbit ceil 100000Kbit burst 1600b cburst 1600b
class htb 1:30 parent 1:2 leaf 30: prio 1 rate 1000Kbit ceil 10000Kbit burst 1600b cburst 1600b
class htb 1:40 parent 1:2 leaf 40: prio 7 rate 100000bit ceil 10000Kbit burst 1600b cburst 1600b

[byte916]

Спасибо за ответ, но вроде бы пишется вот так

Код: [Выделить]

RULE=[[saddr[/prefix]][:port[/mask]],][daddr[/prefix]][:port[/mask]] Поэтому запись 192.168.1.1:80 не верна. Еще как мне кажется совершенно нелогично создавать правила для каждый компьютера отдельно, это совершенно нелогично и не вяжется с sfq. Поэтомуеределал все правила, сделав так

(Нажмите, чтобы показать/скрыть)

eth0

Код: [Выделить]

DEFAULT=9999
R2Q=10

Код: [Выделить]

eth0-2.root
RATE=100Mbiteth0-2:100.local

Код: [Выделить]

RATE=20Mbit
CEIL=100Mbit
RULE=192.168.1.0/24,192.168.1.0/24
PRIO=7eth0-2:1000.http

Код: [Выделить]

RATE=192Kbit
CEIL=384Kbit
LEAF=sfq
RULE=*:80,192.168.1.0/24eth0-2.9999

Код: [Выделить]

RATE=1Kbit
PRIO=7

Вот так всё работает. Правда с наследованием пока не разобрался, почему то оно работает не так как должно.

[AnrDaemon]

Спасибо за ответ, но вроде бы пишется вот так

Код: [Выделить]

RULE=[[saddr[/prefix]][:port[/mask]],][daddr[/prefix]][:port[/mask]] Поэтому запись 192.168.1.1:80 не верна.

Почему же неверна?
Как раз верна. Только делать будет не то, что вам нужно.
Будет ограничивать исходящий входящий трафик с адреса на адрес 192.168.1.1 с порта на порт веб-сервера (80)

Если писать так, как я думаю, вы хотите это сделать, то вам надо
RULE=:80,192.168.1.1

[byte916]

возникла следующая проблема
весь трафик не попадающий под правила обрезается до 1 кбита.

(Нажмите, чтобы показать/скрыть)

eth0

Код: [Выделить]

DEFAULT=9999
R2Q=10eth0-2.9999

Код: [Выделить]

RATE=1Kbit
PRIO=7

Возникли проблемы со связью - иногда связь полностью прерывается, при этом свич (между шлюзом и компом) пингуется, а вот сам шлюз(на котором настроен htb) не отзывается на пинг, и нет доступа в интернет. Если жесткое ограничение на этом правиле снять(например до 100кбит), то такие потери связи исчезают.
В чём может быть проблема?

[ivsatel]

Это же естественно, что кроме 80-го порта есть и 67-й и 53-й и т.д.

[byte916]

Это же естественно, что кроме 80-го порта есть и 67-й и 53-й и т.д.

При возникновении таких тормозов первым делом подумал на днс, и сделал правило на 53-й порт, но не особо помогло

[roma333]

Это же естественно, что кроме 80-го порта есть и 67-й и 53-й и т.д.

При возникновении таких тормозов первым делом подумал на днс, и сделал правило на 53-й порт, но не особо помогло

А это правило что-нибудь попадает, может в правиле ошибка? Покажите htb.init compile и time dig ya.ru...

[byte916]

# service htb compile

(Нажмите, чтобы показать/скрыть)

/sbin/tc qdisc del dev eth0 root
/sbin/tc qdisc add dev eth0 root handle 1 htb default 9999 r2q 10

find: warning: you have specified the -maxdepth option after a non-option argument (, but options are not positional (-maxdepth affects tests specified before it as well as those specified after it).  Please specify options before other arguments.

/sbin/tc class add dev eth0 parent 1: classid 1:2 htb rate 100Mbit

/sbin/tc class add dev eth0 parent 1:2 classid 1:100 htb rate 20Mbit ceil 100Mbit prio 5
/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 100 u32 match ip src 192.168.1.0/24 match ip dst 192.168.1.0/24 classid 1:100

/sbin/tc class add dev eth0 parent 1:2 classid 1:1000 htb rate 96Kbit ceil 192Kbit
/sbin/tc qdisc add dev eth0 parent 1:1000 handle 1000 sfq perturb 10
/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 100 u32 match ip sport 80 0xffff match ip dst 192.168.1.0/24 classid 1:1000

/sbin/tc class add dev eth0 parent 1:2 classid 1:1010 htb rate 128Kbit ceil 384Kbit
/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 100 u32 match ip sport 21 0xffff match ip dst 192.168.1.* classid 1:1010

/sbin/tc class add dev eth0 parent 1:2 classid 1:1020 htb rate 100Mbit ceil 100Mbit prio 0
/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 100 u32 match ip sport 53 0xffff match ip dst 192.168.1.0/24 classid 1:1020

/sbin/tc class add dev eth0 parent 1:2 classid 1:9999 htb rate 1Kbit prio 7

В "обычном состоянии" time dig ya.ru

(Нажмите, чтобы показать/скрыть)

; <<>> DiG 9.7.1-P2 <<>> ya.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34491
;; flags: qr rd ra; QUERY: 1, ANSWER: 8, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;ya.ru.            IN   A

;; ANSWER SECTION:
ya.ru.         3993   IN   A   93.158.134.203
ya.ru.         3993   IN   A   93.158.134.3
ya.ru.         3993   IN   A   87.250.251.3
ya.ru.         3993   IN   A   87.250.250.203
ya.ru.         3993   IN   A   87.250.250.3
ya.ru.         3993   IN   A   77.88.21.3
ya.ru.         3993   IN   A   213.180.204.3
ya.ru.         3993   IN   A   213.180.193.3

;; Query time: 0 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Mon Jan  2 13:51:08 2012
;; MSG SIZE  rcvd: 151


real   0m0.009s
user   0m0.000s
sys   0m0.000s

В момент потери связи
time dig ya.ru

(Нажмите, чтобы показать/скрыть)

; <<>> DiG 9.7.1-P2 <<>> ya.ru
;; global options: +cmd
;; connection timed out; no servers could be reached

real   0m18.006s
user   0m0.000s
sys   0m0.000s

[roma333]

Проблема в том, что режется днс:
1) Первое, на что я бы обратил внимание: прохождение пакета через правила, то есть у вас пакеты днс сначала попадают под другое правило с  classid 1:100. Более высокоприоритеные действия должны выполнятся раньше, чем действия с низким приоритетом (т.е. иметь меньший classid)

2) У вас не стоят в iptables правила, которые ограничивают число соединений?

[byte916]

Проблема в том, что режется днс:
1) Первое, на что я бы обратил внимание: прохождение пакета через правила, то есть у вас пакеты днс сначала попадают под другое правило с  classid 1:100. Более высокоприоритеные действия должны выполнятся раньше, чем действия с низким приоритетом (т.е. иметь меньший classid)

Спасибо, поправил

2) У вас не стоят в iptables правила, которые ограничивают число соединений?

Нет, а надо?

[roma333]

Проблема в том, что режется днс:
1) Первое, на что я бы обратил внимание: прохождение пакета через правила, то есть у вас пакеты днс сначала попадают под другое правило с  classid 1:100. Более высокоприоритеные действия должны выполнятся раньше, чем действия с низким приоритетом (т.е. иметь меньший classid)

Спасибо, поправил

2) У вас не стоят в iptables правила, которые ограничивают число соединений?

Нет, а надо?

Не обязательно, просто одной из причин, по которой может происходить ваша проблема, является неправильное ограничение числа udp соединений...