Чем лучше шейпить в linux?

шейпер в ядре, управляет им tc. ifb - костыль для шейпинга входящего трафика. imq - набор хитрых костылей для шейпинга любого типа трафика с использованием iptables.

Еще шейпить можно через NFQUEUE, но готовых решений не видел.

tun/tap это программные интерфейсы и программы использующие их могут сами выполнять шейпинг.

Мне как-то нужно было шейпить входящий и исходящий трафик на vlan-интерфейсах, все оказалось не так уж и просто. После долгого и нудного гуглежа и просмотра кучи неработающих скриптов даже посещали мысли написать шейпер в юзерспейсе

Получилось сделать на основе вот этой статьи https://wiki.gentoo.org/wiki/Traffic_shaping , правда реально скорости там получаются не те которые пишешь в скрипте, надо пробовать и выставлять с коэффициентом

SFQ по потокам.

запускай виртуалку с freebsd:)
В линуксах всё очень печально с шейпингом трафика.

Самому интересна эта тема, какие там перспективы с учетом выхода новых nftables(новый iptables)

Мне как-то нужно было шейпить входящий и исходящий трафик на vlan-интерфейсах, все оказалось не так уж и просто. После долгого и нудного гуглежа и просмотра кучи неработающих скриптов даже посещали мысли написать шейпер в юзерспейсе

Это в каком году было ? htb.init-0.85 уже много лет не меняется.

Шейпинг сам по себе не простой процесс, если начинать разбираться.

Есть хитрость при шейпинге на интерфейсе с native-vlan.

А остально достаточно хорошо расписано.

Со входящим трафиком чуть сложнее - есть 3 варианта разной степени упоротости.

А какие там могут быть перспективы? Они практически не связаны друг с другом. imq все равно не появится в ядре.

А мне все лень отослать нынешнему мантейнеру imq патчи для нормальной поддержки net_ns, а без них в контейнерах полная хрень.

Это в каком году было ?

Не так уж и давно, может года 3-4 назад.

Вот кстати до сих пор в первой странице выдачи гугла по «linux shaping vlan interface» такое:

http://serverfault.com/questions/455561/limiting-bandwidth-on-internal-interf...

«Doing traffic control on vlan's may not work as expected because the vlan pseudo-device does not have any transmit queue»

И accepted совет засовывать vlan в сетевой мост

ты эту ссылку внимательно читал ? автор ее - чудак.

Для шейпинга трафика можеш задействовать IPFW он отлично с этим справляется модуль IPFW можно скомпилить в LINUX потребуются исхожники ядра.

а зачем? iptables+ipset+imq у меня и так есть.

Расскажи, что такого полезного, удобного и нового я получу от этого IPFW ? Лезть в инет и читать про него мне влом. Если кто-то расскажет, то было бы интересно.

PS фрю я видел всего пару раз и не жалею :)

ipfw - неплохой инструмент, но он все-таки не нативен именно для linux, нужно нативное и проверенное для данной, конкретной среды решение.

iptables+imq+ipset - позволит ли разруливать входящий и исходящий трафик, комбинируя политики по отдельным соединениям, сетевым адресам и интерфейсам?

imq-да, слышыл, что он довольно гибко умеет рулить трафиком в двух направлениях, тоесть входящим и исходящим одновременно.

рулить только исходящим трафиком можно, это я гарантирую.

Я так делал года 4 назад, тогда ipfw под linux не умел в многопоточность, и я упирался в одно ядро.

При использовании imq неважно какой трафик. Входящий или исходящий. Весь трафик направляется в виртуальные интерфейсы и исходящий с этих интерфейсов трафик ты шейпишь. У самого вот уж лет 7 шейпинг с использованием imq+iptables+tc. Работает как часы.

Ради эксперимента заворачивал трафик tun интерфейса на imq. C помощью tc все шейпилось нормально.

Спасибо большое.

А вы не пробовали такие фичи, как Layer7 и SFQ дополнительно использовать? Они вроде бы как патчи ядра шли, видел недавно, что последние версии оных довольно старые, не знаю пока что, встанут ли они на новые ядра. Надо будет проверить.

Использую ndpi. layer7 древний и фактически нерабочий. Да и нагрузку бОльшую он создает. А по ndpi тут есть 2 топика. SFQ использую. Но патчить ядро ни для ndpi ни для sfq не нужно. В той же теме по ndpi я давал ссылку на nshaper. Скрипт создания правил динамического шейпинга (изначально сделанный для роутеров на олеговской прошивке и немного допиленный мной).