Есть канал от провайдера 100Мбит в обе стороны. По нему идет IPTV, также по нему идет все остальное. Провайдер со своей стороны QoS не настраивает, считает что и так нормально.

По факту IPTV жрет ~4Мбит. Но при параллельной активности каналожрущих приложений типа torrent или speedtest картинка IPTV рассыпается на артефакты.

Я решил настроить QoS у себя на роутере (OS BusyBox v1.21.1) Сначала выбрал метод приоритезации HTB и пытался настроить на нем. QoS для IPTV на скоростном канале (комментарий)

Но цель не была достигнута, при существенной нагрузке на канал изображение все равно продолжало «лагать». Мне посоветовали использовать другой метод - HFSC.

Попробовал HFSC, но результат тот же (картинка IPTV распадается), вот скрипт:

int="br0"
DL="88Mbit"
DP="60Mbit"
tc qdisc del dev $int root > /dev/null 2>&1
tc qdisc add dev $int root handle 1: hfsc default 20
tc class add dev $int parent 1: classid 1:1 hfsc sc rate $DL ul rate $DL
#Класс для iptv
tc class add dev $int parent 1:1 classid 1:10 hfsc rt umax 1500b dmax 1us rate 10Mbit ul rate $DL
#Класс для всего остального
tc class add dev $int parent 1:1 classid 1:20 hfsc ls rate 1kbit ul rate $DP
tc qdisc add dev $int parent 1:10 handle 10: sfq perturb 10
tc qdisc add dev $int parent 1:20 handle 20: sfq perturb 10

#
tc filter add dev $int parent 1: protocol ip prio 1 u32 match ip protocol 17 0xff match ip dst 224.0.0.0/3 flowid 1:10

PS Похоже придется все-таки проверить аналогичные скрипты на более производительном компьютере, возможно действительно проблемы в недостаточной производительности процессора роутера.

Есть канал от провайдера 100Мбит. По нему идет IPTV, также по нему идет все остальное. Провайдер со своей стороны QoS не настраивает, считает что и так нормально.

По факту IPTV жрет ~3,8Мбит. Но при параллельной активности каналожрущих приложений типа torrent или speedtest рассыпается на артефакты.

Я решил настроить QoS у себя на роутере (OS BusyBox v1.20.2) Вот упрощеный скрипт, чтобы продемонстрировать проблему:

int="br0"
# Сужаем канал до 80Мбит, чтобы быть увереным, что все затыки будут у нас.
DL=80Mbit

# Удаляем существующую приоритезацию 
tc qdisc del dev $int root > /dev/null 2>&1
# Создаем корневой handle, с указанием подкласса по умолчанию (10)
tc qdisc add dev $int root handle 1: htb r2q 100 default 10
# Задаем ширину канала в верхнем классе
tc class add dev $int parent 1: classid 1:1 htb rate $DL ceil $DL
# Класс куда пойдет IPTV имеет высокий приоритет
tc class add dev $int parent 1:1 classid 1:10 htb rate 2Mbit ceil $DL prio 2
# Класс куда пойдет speedtest - имеет низкий приоритет и дополнительно ограничение скорости 60Мбит
tc class add dev $int parent 1:1 classid 1:20 htb rate 2Mbit ceil 60Mbit prio 3
tc qdisc add dev $int parent 1:10 handle 10: sfq perturb 10
tc qdisc add dev $int parent 1:20 handle 20: sfq perturb 10

# Направляем трафик от speedtest-сервера(85.94.0.83) в класс с низким приоритетом, остальное (включая IPTV) само идет в класс с высоким приоритетом, по умолчанию
tc filter add dev $int parent 1: protocol ip prio 1 u32 match ip src 85.94.0.83/32 flowid 1:20

Что получается, IPTV трафик даже имея более высокий приоритет и свободный канал в 20Мбит (speedtest не может взять больше 60Mbit из выделеных 80Мбит) Все равно сыплет картинку в артефакты на время работы speedtest.

Вопрос чего ему (трафику IPTV) нехватает, каких еще приоритетов?!, Как ему это дать? Хочу чтобы speedtest не мог влиять на IPTV.

Потихоньку настраиваю QoS на роутере. Более менее разобрался в принципах остались нюансы. Скрипт такой:

int="br0"
DL=10Mbit
tc qdisc del dev $int root > /dev/null 2>&1
tc qdisc add dev $int root handle 1: htb default 30
tc class add dev $int parent 1: classid 1:1 htb rate $DL ceil $DL
tc class add dev $int parent 1:1 classid 1:10 htb rate 5kbit ceil $DL prio 2
tc class add dev $int parent 1:1 classid 1:20 htb rate 5kbit ceil $DL prio 3
tc class add dev $int parent 1:1 classid 1:30 htb rate 3Mbit ceil $DL prio 4
tc qdisc add dev $int parent 1:10 handle 10: sfq perturb 10
tc qdisc add dev $int parent 1:20 handle 20: sfq perturb 10
tc qdisc add dev $int parent 1:30 handle 30: sfq perturb 10

###HIGH PRIO
#ICMP
tc filter add dev $int parent 1: protocol ip prio 1 u32 match ip protocol 1 0xff flowid 1:10
#ACK
tc filter add dev $int parent 1: protocol ip prio 1 u32 match ip protocol 6 0xff match u8 0x05 0x0f at 0 match u16 0x0000 0xffc0 at 2 match u8 0x10 0xff at 33 flowid 1:10
#DNS
tc filter add dev $int parent 1: protocol ip prio 1 u32 match ip protocol 17 0xff match ip sport 53 0xffff flowid 1:10
#VOIP
tc filter add dev $int parent 1: protocol ip prio 2 u32 match ip tos 0x68 0xff match ip protocol 11 0xff flowid 1:10
tc filter add dev $int parent 1: protocol ip prio 2 u32 match ip tos 0xb8 0xff match ip protocol 11 0xff flowid 1:10
#TOS
tc filter add dev $int parent 1: protocol ip prio 2 u32 match ip tos 0x10 0xff flowid 1:10
#IPTV
tc filter add dev $int parent 1: protocol ip prio 2 u32 match ip protocol 17 0xff match ip dst 224.0.0.0/3 flowid 1:10
#SSH+TELNET
tc filter add dev $int parent 1: protocol ip prio 2 u32 match ip protocol 6 0xff match ip sport 22 0xfffe flowid 1:10
#RDP ????
#SKYPE ????

Вопросы остались как выявить skype трафик, чтобы добавить его в приоритетный список? Еще есть RDP, вроде все просто порт 3389, но на многих серверах он настроен на других портах, может как-то можно по содержимому пакетов через u32 match выявить? Подскажите.

Операционка CentOS 5.5, (весь софт штатный), необходимо сделать соединения к одному из сайтов на сервере по SSL. Сделал тупо по инструкции:

http://www.alexr.me/index.php?option=com_content&view=article&id=110:...

В итоге вроде все заработало, браузер при заходе на сайт ругается, что сертификат самоподписанный, но согласившись с рисками пускает на сайт. При этом, что странно «замочек» подтверждающий криптованое соединение не показывается. и у меня есть подозрения, что соединение получается не криптованое.

Вопрос, с чем может быть связано это связано? Как сделать чтобы работало все нормально?

Есть сервер CentOS 5.4, за ним windows 2003 (терминал сервер)
из интернета постоянно брутефорсят винду, перебирают пароли, надо запретить больше 1-ой попытки соединиться в минуту, с одного IP.


Делаю так:
iptables -A FORWARD -p tcp -d 172.16.4.10 --dport 3389 -m state --state NEW -m hashlimit --hashlimit 1/min --hashlimit-mode srcip --hashlimit-name rdp -j ACCEPT

iptables -A FORWARD -p tcp -d 172.16.4.10 --dport 3389 -m state --state NEW -j DROP

Первая коман не работает, т.е. все подключения проходят без ограничений (одно в минуту). Почему? Как поправить?

логи messages и secure стерли
Взлом предположительно произошел сегодня в ~11 часов

в логах HTTP есть такое
-------------------------------------------------------------
[Thu Aug 26 03:50:16 2010] [error] [client 109.87.71.111] Attempt to serve directory: /var/www/html/
--11:09:12-- http://lipozor.go.ro/mysql.sock
Resolving lipozor.go.ro... [Thu Aug 26 11:09:13 2010] [error] [client 62.103.39.74] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
81.196.20.134
Connecting to lipozor.go.ro|81.196.20.134|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 29674 (29K) [text/plain]
Saving to: `mysql.sock'

0K .......... .......... ........ 100% 176K=0.2s

11:09:13 (176 KB/s) - `mysql.sock' saved [29674/29674]

--11:13:07-- http://lipozor.go.ro/mysql.sock
Resolving lipozor.go.ro... 81.196.20.134
Connecting to lipozor.go.ro|81.196.20.134|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 29674 (29K) [text/plain]
Saving to: `mysql.sock.1'

0K .......... .......... ........ 100% 174K=0.2s

11:13:08 (174 KB/s) - `mysql.sock.1' saved [29674/29674]
-------------------------------------------------------------

Подскажите, что это и как от этого защищаться?

Есть почтовый ящик (mbox все письма в одном файле) необходимо регулярно стирать старые письма из ящика, т.е. в ящике должны храниться только письма определенной давности получения их сервером.

Подскажите, чем такое можно реализовать? CentOS 5.4

Сейчас настроено так, что некоторый спам сваливается в почтовый ящик /var/mail/spam Нужно старые письма (те что пришли больше недели назад) регулярно удалять из ящика. Т.е. сделать так чтобы там были только недельной давности. При этом скачиваться почта из ящика будет только по необходимости.

Чем можно это реализовать?

И так вводная:
Установлен sendmail 8.13.8 и спамооборона 1024, связка настроена и работает хорошо, т.е. спамфильтр помечает спам в хеадере письма такими флагами:

X-Spam-Ystatus: hits=52.40
X-Spam-Flag: YES
X-Spam-Yversion: Spamooborona-3.2

где «hits», обозначает вероятность спама и колеблется от ~10 до 120 условных попугаев.

Задача: письма помеченные как спам, с hits>40 отправлять в /dev/null, остальное направлять в специальный почтовый ящик для спама. Для реализации задачи был использован procmail

/etc/procmailrc:
-------------------------------------------------
LOGFILE=/var/log/procmail
:0 H
* ^X-Spam-Flag: YES
{
:0
* ? test $(/usr/bin/formail -xX-Spam-Ystatus |/bin/sed -e 's/.*=//' -e 's/\..*//') -ge 40
/dev/null
}

:0 H
* ^X-Spam-Flag: YES
/var/mail/spam
-------------------------------------------------

А вот результат меня удивил - большинство писем расфасовывается нормально, но некоторые письма с hits>40 «прорываются» в почтовый ящик со спамом. Как такое получается - не понятно.


Вот лог:
------------------------------------------------------------
From riling01@boxpal.ru.ru Mon May 24 16:01:46 2010
Subject: [SPAM 108.50] =?koi8-r?B?0+xZ9uJhINJhY9P57G9r?=
Folder: /dev/null 4610
From riling01@boxpal.ru.ru Mon May 24 16:01:46 2010
Subject: [SPAM 108.50] =?koi8-r?B?0+xZ9uJhINJhY9P57G9r?=
Folder: /dev/null 4610
From riling01@boxpal.ru.ru Mon May 24 16:01:46 2010
Subject: [SPAM 108.50] =?koi8-r?B?0+xZ9uJhINJhY9P57G9r?=
Folder: /var/mail/spam 4611
------------------------------------------------------------

Вот письмо, вероятно на три адресата, которое странно обработалось, первые два пошли правильно в /dev/null, а третье /var/mail/spam


Помогите разобраться.