Пусть у меня апач запускается chroot-среде. Все работает, никаких нареканий.
Но что делать, если возникает желание поднять web-морду к чему-либо, а все они хотят соотв. файлов (что вполне естественно), которые лежат вне chroot.
Есть ли возможность удовлетворить такие требования не во вред безопасности и если есть, то как?
Пусть есть шлюз с eth0, смотрящим в локалку и с eth1 - на провайдера.
Трафик идущий ОТ провайдера к клиентам локалки на eth1 безусловно является входящим и резать его можно только с помощью ingress или IMQ.
Но тот же трафик на eth0 уже является ИСходящим и его можно резать как душе угодно. Преимущество очевидно - на eth0 можно повешать HTB, сделать rate=ceil=достаточно_низким, т.е. делать то же, что и с помощью ingress, но с наличием буферов. Таким образом, уже пришедший трафик будет тормозиться, но не уничтожаться.
А мой вопрос вот в чем: почему НИГДЕ это толком не описано и не используется? Andy Gorev на atmsk.ru мельком об этом обмолвился и все, хотя где он это вычитал я не знаю. Ни в одном из виденных мною скриптов для контроля трафика это не используется.
Единственное, что приходит на ум - тут есть какая-то лажа, и вот об этом-то я и хочу узнать.
ЗЫ. Но вот только если лажа имеется, почему тогда это работает у меня?.. :)
Чтоб на php, но полегче, да менее дырявое.
Ну и на халявку :)
http://tldp.org/HOWTO/ADSL-Bandwidth-Management-HOWTO/implementation.html#AEN166
###Кусок:
# Outbound Shaping (limits total bandwidth to RATEUP)
# set queue size to give latency of about 2 seconds on low-prio packets
ip link set dev $DEV qlen 30
###Конец куска
Почему у него "qlen 30" - это около двух секунд лов-прио трафика? Каким образом автор это вычислил?
Где можно почитать, не подскажете?
Почти в любом треде в General
http://www.tldp.org/HOWTO/Bandwidth-Limiting-HOWTO/faq.html#AEN317
5.6. Can I limit my own FTP or WWW server in a manner similar it is shown in the question above?
Generally you can, but usually these servers have got their own bandwidth limiting configurations, so you will probably want to look into their documentation.
2.2.x Kernels
/sbin/ipchains -A input -s 192.168.1.1/24 -d ! 192.168.1.1 25 -p TCP -j REDIRECT 25
2.4.x Kernels
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j REDIRECT --to-port 25
Don't forget to add a proper line to your initializing scripts.
---
Причем тут 25-й порт, если речь идет о FTP (20,21) и http (80) протоколах?
И какой толк в перенаправлении с 25-го порта на свой 25-й?
Вот, задался вопросом, как это вообще реализуется. Точнее, меня интересуют... э-э, средства администрации этого хозяйства, если так можно выразиться.
Я так понимаю, у "правильных пацанов" где-то там, как-то там настраивается умная Cisco, т.е. на этот вот и-фейс столько-то и все на этом заканчивается.
Но я неправильный, у меня денег мало. Выделить кому-то кусок полосы я могу на Linux, а вот как это делать красиво, т.е., не переписывать на каждого нового желающего скрипт с командами tc, а как-то это систематизировать, что ли?
Надеюсь, не сильно мутно сформулировал? ;)
Dec 23 12:03:26 gate kernel: eth3: Transmit error, Tx status register 82.
Dec 23 12:03:26 gate kernel: Probably a duplex mismatch. See Documentation/networking/vortex
.txt
Dec 23 12:03:26 gate kernel: Flags; bus-master 1, dirty 587947(11) current 587947(11)
Dec 23 12:03:26 gate kernel: Transmit list 00000000 vs. c78434c0.
Dec 23 12:03:26 gate kernel: 0: @c7843200 length 80000049 status 00010049
Dec 23 12:03:26 gate kernel: 1: @c7843240 length 80000036 status 00010036
Dec 23 12:03:26 gate kernel: 2: @c7843280 length 80000036 status 00010036
Dec 23 12:03:26 gate kernel: 3: @c78432c0 length 80000036 status 00010036
Dec 23 12:03:26 gate kernel: 4: @c7843300 length 8000005c status 0001005c
Dec 23 12:03:26 gate kernel: 5: @c7843340 length 80000036 status 00010036
Dec 23 12:03:26 gate kernel: 6: @c7843380 length 80000056 status 00010056
Dec 23 12:03:26 gate kernel: 7: @c78433c0 length 80000052 status 00010052
Dec 23 12:03:26 gate kernel: 8: @c7843400 length 80000036 status 00010036
Dec 23 12:03:26 gate kernel: 9: @c7843440 length 8000003e status 0001003e
Dec 23 12:03:26 gate kernel: 10: @c7843480 length 8000017d status 8001017d
Dec 23 12:03:26 gate kernel: 11: @c78434c0 length 80000036 status 00010036
Dec 23 12:03:26 gate kernel: 12: @c7843500 length 80000036 status 00010036
Dec 23 12:03:26 gate kernel: 13: @c7843540 length 80000036 status 00010036
Dec 23 12:03:26 gate kernel: 14: @c7843580 length 8000004b status 0001004b
Dec 23 12:03:26 gate kernel: 15: @c78435c0 length 80000058 status 00010058
Чего ему не нравится в моей 3c905 карте?
Система: Slackware 10 (скорее всего, обновил с 9.0)
Стоит iptables из дистрибутива, все работает.
Удаляю iptables, беру исходники _из_дистрибутива_, без лишних телодвижений собираю стандартным iptables.SlackBuild, ставлю.
root@gate:~# iptables -t nat -A POSTROUTING -j MASQUERADE
iptables: Invalid argument
На SNAT та же реакция.
root@gate:/etc# lsmod|grep ipt
ipt_MARK 792 0 (autoclean)
ipt_tos 504 0 (autoclean)
ipt_unclean 6808 0 (unused)
ipt_MASQUERADE 1400 0
ipt_IMQ 856 0 (autoclean)
ipt_state 568 6
ipt_limit 920 3
ipt_LOG 3480 4
iptable_nat 16366 1 [ipt_MASQUERADE]
iptable_mangle 2200 0
iptable_filter 1772 1
ip_conntrack 19080 0 [ipt_MASQUERADE ipt_state iptable_nat]
ip_tables 12160 13 [ipt_MARK ipt_tos ipt_unclean ipt_MASQUERADE ipt_IMQ ipt_state ipt_limit ipt_LOG iptable_nat iptable_mangle iptable_filter]
root@gate:~# cat /usr/src/linux-2.4.28/.config|grep IP_NF
CONFIG_IP_NF_CONNTRACK=m
CONFIG_IP_NF_FTP=m
CONFIG_IP_NF_AMANDA=m
CONFIG_IP_NF_TFTP=m
CONFIG_IP_NF_IRC=m
CONFIG_IP_NF_QUEUE=m
CONFIG_IP_NF_IPTABLES=m
CONFIG_IP_NF_MATCH_LIMIT=m
CONFIG_IP_NF_MATCH_MAC=m
CONFIG_IP_NF_MATCH_PKTTYPE=m
CONFIG_IP_NF_MATCH_MARK=m
CONFIG_IP_NF_MATCH_MULTIPORT=m
CONFIG_IP_NF_MATCH_TOS=m
CONFIG_IP_NF_MATCH_RECENT=m
CONFIG_IP_NF_MATCH_ECN=m
CONFIG_IP_NF_MATCH_DSCP=m
CONFIG_IP_NF_MATCH_AH_ESP=m
CONFIG_IP_NF_MATCH_LENGTH=m
CONFIG_IP_NF_MATCH_TTL=m
CONFIG_IP_NF_MATCH_TCPMSS=m
CONFIG_IP_NF_MATCH_HELPER=m
CONFIG_IP_NF_MATCH_STATE=m
CONFIG_IP_NF_MATCH_CONNTRACK=m
CONFIG_IP_NF_MATCH_UNCLEAN=m
CONFIG_IP_NF_MATCH_OWNER=m
CONFIG_IP_NF_FILTER=m
CONFIG_IP_NF_TARGET_REJECT=m
CONFIG_IP_NF_TARGET_MIRROR=m
CONFIG_IP_NF_NAT=m
CONFIG_IP_NF_NAT_NEEDED=y
CONFIG_IP_NF_TARGET_MASQUERADE=m
CONFIG_IP_NF_TARGET_REDIRECT=m
CONFIG_IP_NF_NAT_AMANDA=m
# CONFIG_IP_NF_NAT_LOCAL is not set
CONFIG_IP_NF_NAT_SNMP_BASIC=m
CONFIG_IP_NF_NAT_IRC=m
CONFIG_IP_NF_NAT_FTP=m
CONFIG_IP_NF_NAT_TFTP=m
CONFIG_IP_NF_MANGLE=m
CONFIG_IP_NF_TARGET_TOS=m
CONFIG_IP_NF_TARGET_ECN=m
CONFIG_IP_NF_TARGET_DSCP=m
CONFIG_IP_NF_TARGET_MARK=m
CONFIG_IP_NF_TARGET_IMQ=m
CONFIG_IP_NF_TARGET_LOG=m
CONFIG_IP_NF_TARGET_ULOG=m
CONFIG_IP_NF_TARGET_TCPMSS=m
CONFIG_IP_NF_ARPTABLES=m
CONFIG_IP_NF_ARPFILTER=m
CONFIG_IP_NF_ARP_MANGLE=m
CONFIG_IP_NF_COMPAT_IPCHAINS=m
CONFIG_IP_NF_NAT_NEEDED=y
# CONFIG_IP_NF_COMPAT_IPFWADM is not set
`depmod -a; modprobe все_что_нужно` делал.
Рядом, на другой системе таких проблем нет.
Где я лажанулся, не подскажете?
Интересно, какой Инет-канал под какое кол-во пользоватей обычно берется и что выходит в среднем для пользователя на практике.
Ну и в теории, насколько (минимально) шикорим должен быть канал для комфортного серфинга?
Вопрос, пожалуй, глупый, но я все же попытаюсь сделать выводы из ответов :)
А то к НГ думаю появятся четыре звезды не у модераторов.
Или статус автоматически будет повышен до наместника maxcom'a на ЛОР? ;)
Я вот не пойму, их что, не всем дают, что на них такой спрос? И че в них такого классного?
Пожалуйста, я вас очень прошу, удаляйте на:*й не глядя, посты типа "а пАчему удалили..."
За*?ло уже. Demetrio, наивный, им отвечает и так они никогда не кончатся.
Никто не вкурсе, на teql-устройство можно вешать дисциплины, как на IMQ, или нет?
Расскажите, кто знает толком о реализациях, pls. Что делает я в курсе, а вот где брать патчи...
На хомяке (http://www.ssi.bg/~alex/esfq) только патч для 2.4.19, автор не особо распыляется на объяснения.
На мое 2.4.27 патч ложится без напильника, на код iproute (свежий) - ложится, но потом не собирается. Правда я не сильно разбирался.
На http://fatooh.org/esfq-2.6 есть другой, тут автор пишет, что в оригинальном есть реализация IMQ, ему это не нравится. А у меня уже наложен IMQ-патч, конфликт выйдет? IMQ меня больше устраивает с linuximq.net, он посвежее, да проработанней думаю. Но ляжет ли этот код (без IMQ) на мое 2.4.*?
Короче, не понял я толком ничего. Может оно и так выйдет, если поковырять, но решил уточнить, может есть у кого разумное объяснение :)
Ни в аське его нету, ни тут.
Никто не в курсе?
ну просто приятно смотреть :))
http://lartc.org/wondershaper/
Сколько не чешу репу, никак не могу понять для чего он добавляет эти строки:
########## downlink #############
# slow downloads down to somewhat less than the real speed to prevent
# queuing at our ISP. Tune to see how high you can set it.
# ISPs tend to have *huge* queues to make sure big downloads are fast
#
# attach ingress policer:
tc qdisc add dev $DEV handle ffff: ingress
# filter *everything* to it (0.0.0.0/0), drop everything that's
# coming in too fast:
tc filter add dev $DEV parent ffff: protocol ip prio 50 u32 match ip src \
0.0.0.0/0 police rate ${DOWNLINK}kbit burst 10k drop flowid :1
Зачем резать уже пришедший трафик и каким образом он может приходить быстрее максимальной скорости модема?
| ← назад | следующие → |