iptables+htb+neo+ help - cos upload sie kaszani :/

n0rbi · 3 Maja 2004

Witam ! heh to ja od dzielenia neo+ ;)

wiec mam taki problem :

postawilem slacka 9.1, jaderko 4.6.5 (wkompilowane wszystko do nata), na to iptables i iproute i htb, no i dhcp skonfigurowalem chyba dobrze (za chwile zapodam skrypty do masq i htb) i mam problem ...

mianowicie dziele neo na 7 kompow ( modem/router---(tu adres 192.168.0.6)-linux-(tu adres 192.168.1.1)---switch---7 kompow), teoretycznie wszystko dziala, ale upload cos sie kielbasi, male pliki jeszcze ida ale jak cos wiekszego chce przeslac to sie wywala na 2% :? probowalem wylaczyc HTB (nawet mi sie udalo ;) ) ale to nic nie dalo ... nie wiem moze cos skopalem z maskarada? czy czegos nie widze ? bo ja juz glupieje, przeczytalem duzo na ten temat (chociaz o ipchains jest wiecej), probowalem roznych skladni przy maskaradzie i nic, dalej to samo :( moze ktos zauwazy co robie zle ?

zaznaczam ze szukalem na forum i na tej stronie z artykulami o linuxie, ale dalej nie widze co mam zkaszanione :?

Maskarada:

#!/bin/sh# Uruchomienie przekazywania pakietowecho "1" > /proc/sys/net/ipv4/ip_forward# Czyszczenie tablic iptables (NAT i Filtrowanie)/usr/sbin/iptables -F -t nat/usr/sbin/iptables -X -t nat/usr/sbin/iptables -F -t filter/usr/sbin/iptables -X -t filter# Odrzucenie i brak zezwolenia na forwardowanie pakietow/usr/sbin/iptables -t filter -P FORWARD DROP# Przepuszczanie pakietow z sieci lub przeznaczone dla sieci/usr/sbin/iptables -t filter -A FORWARD -s 192.168.1.0/255.255.255.0 -d 0/0 -j ACCEPT/usr/sbin/iptables -t filter -A FORWARD -s 0/0 -d 192.168.1.0/255.255.255.0 -j ACCEPT# Udostepanianie Internetu przez Maskarade/usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.2 -d 0/0 -j MASQUERADE/usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.3 -d 0/0 -j MASQUERADE/usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.4 -d 0/0 -j MASQUERADE/usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.5 -d 0/0 -j MASQUERADE/usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.6 -d 0/0 -j MASQUERADE/usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.7 -d 0/0 -j MASQUERADE/usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.8 -d 0/0 -j MASQUERADE/usr/sbin/iptables -A PREROUTING -t nat -p tcp -d 192.168.0.6 --dport 4661 -j DNAT --to 192.168.1.8:4661/usr/sbin/iptables -A PREROUTING -t nat -p tcp -d 192.168.0.6 --dport 4665 -j DNAT --to 192.168.1.7:4665echo "masquerada wlaczona"

HTB

#!/bin/sh# shaper.sh -- prosty i ˆatwy skrypt do zarzĄdzania pasmemif [ "$1" == "stop" ]then    echo "Zatrzymujemy shapera"    tc qdisc del root dev eth0 2>/dev/null    tc qdisc del root dev eth1 2>/dev/null    iptables -t mangle -D POSTROUTING -o eth1 -j MYSHAPER-OUT 2>/dev/null    iptables -t mangle -F MYSHAPER-OUT 2>/dev/null    iptables -t mangle -X MYSHAPER-OUT 2>/dev/null    exitfiif [ "$1" == "start" ]then# To co bylo wcze˜niej -- do pieca! :)    echo "Uruchamiamy shapera"    tc qdisc del root dev eth0 2>/dev/null    tc qdisc del root dev eth1 2>/dev/null    iptables -t mangle -D POSTROUTING -o eth1 -j MYSHAPER-OUT 2>/dev/null    iptables -t mangle -F MYSHAPER-OUT 2>/dev/null    iptables -t mangle -X MYSHAPER-OUT 2>/dev/null########## DOWNLOAD    tc qdisc add dev eth1 root handle 1:0 htb    tc class add dev eth1 parent 1:0 classid 1:1  htb rate 90000kbit ceil 90000kbit    tc class add dev eth1 parent 1:1 classid 1:2  htb rate 550kbit ceil 550kbit    tc class add dev eth1 parent 1:1 classid 1:3  htb rate 85000kbit ceil 85000kbit    tc class add dev eth1 parent 1:2 classid 1:4  htb rate 77kbit ceil 550kbit    tc class add dev eth1 parent 1:2 classid 1:5  htb rate 77kbit ceil 550kbit    tc class add dev eth1 parent 1:2 classid 1:6  htb rate 77kbit ceil 550kbit    tc class add dev eth1 parent 1:2 classid 1:7  htb rate 77kbit ceil 550kbit    tc class add dev eth1 parent 1:2 classid 1:8  htb rate 77kbit ceil 550kbit    tc class add dev eth1 parent 1:2 classid 1:9  htb rate 77kbit ceil 550kbit    tc class add dev eth1 parent 1:2 classid 1:10 htb rate 77kbit ceil 550kbit    tc filter add dev eth1 protocol ip preference 1 parent 1:0 u32 match ip        src 192.168.1.1 flowid 1:3    tc filter add dev eth1 protocol ip preference 1 parent 1:0 u32 match ip        dst 192.168.1.2 flowid 1:4    tc filter add dev eth1 protocol ip preference 1 parent 1:0 u32 match ip        dst 192.168.1.3 flowid 1:5    tc filter add dev eth1 protocol ip preference 1 parent 1:0 u32 match ip        dst 192.168.1.4 flowid 1:6    tc filter add dev eth1 protocol ip preference 1 parent 1:0 u32 match ip        dst 192.168.1.5 flowid 1:7    tc filter add dev eth1 protocol ip preference 1 parent 1:0 u32 match ip        dst 192.168.1.6 flowid 1:8    tc filter add dev eth1 protocol ip preference 1 parent 1:0 u32 match ip        dst 192.168.1.7 flowid 1:9    tc filter add dev eth1 protocol ip preference 1 parent 1:0 u32 match ip        dst 192.168.1.8 flowid 1:10                        tc qdisc add dev eth1 parent 1:3 handle 3:0 sfq perturb 10    tc qdisc add dev eth1 parent 1:4 handle 4:0 sfq perturb 10    tc qdisc add dev eth1 parent 1:5 handle 5:0 sfq perturb 10    tc qdisc add dev eth1 parent 1:6 handle 6:0 sfq perturb 10    tc qdisc add dev eth1 parent 1:7 handle 7:0 sfq perturb 10    tc qdisc add dev eth1 parent 1:8 handle 8:0 sfq perturb 10    tc qdisc add dev eth1 parent 1:9 handle 9:0 sfq perturb 10    tc qdisc add dev eth1 parent 1:10 handle 10:0 sfq perturb 10########## UPLOAD    tc qdisc add dev eth0 root handle 1:0 htb    tc class add dev eth0 parent 1:0 classid 1:1 htb rate 150kbit ceil 150kbit    tc class add dev eth0 parent 1:1 classid 1:2 htb rate 21kbit ceil 150kbit    tc class add dev eth0 parent 1:1 classid 1:3 htb rate 21kbit ceil 150kbit    tc class add dev eth0 parent 1:1 classid 1:4 htb rate 21kbit ceil 150kbit    tc class add dev eth0 parent 1:1 classid 1:5 htb rate 21kbit ceil 150kbit    tc class add dev eth0 parent 1:1 classid 1:6 htb rate 21kbit ceil 150kbit    tc class add dev eth0 parent 1:1 classid 1:7 htb rate 21kbit ceil 150kbit    tc class add dev eth0 parent 1:1 classid 1:8 htb rate 21kbit ceil 150kbit    tc class add dev eth0 parent 1:1 classid 1:9 htb rate 21kbit ceil 150kbit    tc qdisc add dev eth0 parent 1:2 handle 2:0 sfq perturb 10    tc qdisc add dev eth0 parent 1:3 handle 3:0 sfq perturb 10    tc qdisc add dev eth0 parent 1:4 handle 4:0 sfq perturb 10    tc qdisc add dev eth0 parent 1:5 handle 5:0 sfq perturb 10    tc qdisc add dev eth0 parent 1:6 handle 6:0 sfq perturb 10    tc qdisc add dev eth0 parent 1:7 handle 7:0 sfq perturb 10    tc qdisc add dev eth0 parent 1:8 handle 8:0 sfq perturb 10    tc qdisc add dev eth0 parent 1:9 handle 9:0 sfq perturb 10    tc filter add dev eth0 protocol ip preference 1 parent 1:0 handle 20 fw flowid 1:2    tc filter add dev eth0 protocol ip preference 1 parent 1:0 handle 21 fw flowid 1:3    tc filter add dev eth0 protocol ip preference 1 parent 1:0 handle 22 fw flowid 1:4    tc filter add dev eth0 protocol ip preference 1 parent 1:0 handle 23 fw flowid 1:5    tc filter add dev eth0 protocol ip preference 1 parent 1:0 handle 24 fw flowid 1:6    tc filter add dev eth0 protocol ip preference 1 parent 1:0 handle 25 fw flowid 1:7    tc filter add dev eth0 protocol ip preference 1 parent 1:0 handle 26 fw flowid 1:8    tc filter add dev eth0 protocol ip preference 1 parent 1:0 handle 27 fw flowid 1:9    iptables -t mangle -N MYSHAPER-OUT    iptables -t mangle -I POSTROUTING -o eth0 -j MYSHAPER-OUT    iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.1.2 -j MARK --set-mark 21    iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.1.3 -j MARK --set-mark 22    iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.1.4 -j MARK --set-mark 23    iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.1.5 -j MARK --set-mark 24    iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.1.6 -j MARK --set-mark 25    iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.1.7 -j MARK --set-mark 26    iptables -t mangle -A MYSHAPER-OUT -s 192.168.1.8 -j MARK --set-mark 27    iptables -t mangle -A MYSHAPER-OUT -m mark --mark 0 -j MARK --set-mark 20    exitfiif [ "$1" == "status" ]then    echo "eth0: "    tc -s qdisc show dev eth0    echo "eth1: "    tc -s qdisc show dev eth1    exitfiecho "$0 start|stop|status"

sorka ze tu umieszczam ale jak dalej siec bedzie dzialac w taki sposob to mnie sasiedzi zlinczuja (tzn sasiedz z lokalu, w koncu poza lokal tego nie udostepniam ;)

z gory THX za pomoc

oldwinc · 5 Maja 2004

nie wiem jakim cudem to dziala... dla interfejsow eth0 i eth1 sa te same 'id' klasy 1:0 i tu i tu itd... zmien dla ktoregos oznaczenia 'id' na 2: itd.. inna sprawa suma rate klas potomnych nie moze byc wieksza od rate rodzica... masz na glownym drzewie zalozone 150kbit a suma klas potomnych wynosi 168 (21kbit x 8 ).. to tak na szybko... wogole jakis "dziwny" ten skrypt HTB..

n0rbi · 5 Maja 2004

hmm skrypt wzialem z neostrada.info tylko pozmienialem ppp0 na eth0, tam w tez jest tak id klasy, moze rzeczywiscie zmienie, a co do tych 150 to dzielilem na 7 bo tyle ma byc kompow, czy iptables -t mangle -A MYSHAPER-OUT -m mark --mark 0 -j MARK --set-mark 20 tez liczy sie do tego ? bo jak tak to to wywale i bedzie spox chyba ;)

a cio do maskarady nie ma zastrzezen ?

oldwinc · 5 Maja 2004

maskarada wyglada ok.. tylko nie rozumiem tych 2 wpisow...

/usr/sbin/iptables -A PREROUTING -t nat -p tcp -d 192.168.0.6 --dport 4661 -j DNAT --to 192.168.1.8:4661/usr/sbin/iptables -A PREROUTING -t nat -p tcp -d 192.168.0.6 --dport 4665 -j DNAT --to 192.168.1.7:4665

z tego co piszesz to neo+ dzielone... a wygloda to na 2 podsieci i SNAT/DNAT miedzy nimi na porty osiolka ? :wink:

a skrypt HTB zawsze warto sobie samemu napisac i dostosowac do swoich 'unikalnych' potrzeb...

n0rbi · 6 Maja 2004

oldwinc, nio ten wpis w maskaradzie po to zeby emule dzialal na high id bo inaczej to ze sciaganiem kiszka ;) a 192.168.0.6 - to adres serwera przydzielony przez router, 192.168.1.8 - to moj adres, to samo z 7 na koncu to adres kompa starszego ;) tzn nie wiem czy to dobrze jak sa tak porty forwardowane jak sie ma htb, czy nie psuje to tego ?

a cio do skryptu htb to : poprzedni dysk padl :lol: linuxa nie udalo sie przegrac na nowy, wiec wczoraj od nowa zainstalowalem, kernel 2.6.5, iptables, iproute+htb, dzisiaj odpalilem magiczny skrypt rchtb, na razie mam podlaczony tylko moj komp pod serwer (nie chce zeby sasiedzi plakali ze nie ma sieci jak cos) i na razie upload dziala super :D i rzeczywiscie teraz id klasy sa inne :) i wogole jakis miodzio klasy priorytetowe sa ;)

tylko pytanie teraz czy da sie forwardowac porty do mulka (i czy to sie robi tak

/usr/sbin/iptables -A PREROUTING -t nat -p tcp -d 192.168.0.6 --dport 4661 -j DNAT --to 192.168.1.8:4661

- inaczej nie znalazlem w sieci, a w ksiazkach mam same ipchains :? i czy przez to ze porty sa forwardowane nie bedzie omijane htb ?

i nastepne pytanko : jak odpale tryb bridge w routerze (czyli nat na disable, bridge enable, i zamiast ppoe llc dam 1493 bridged llc), to czy to przestawi router w tryb modemu ? i czy wtedy bede musial uzywac na linuxie pppoe zeby sie polaczyc ? czy moze lepiej zostawic tak jak jest ? ;)

snaj* · 6 Maja 2004

forwardowanie ok, htb nie bedzie pomijane (z tego co mi wiadomo), nat zmieni na samiutkim adresik docelowy i paczka wtedy przejdzie przez caly magiel - firewall, htb

n0rbi · 6 Maja 2004

snaj*, nio to spox :) tylko czy wiesz moze jaka jest skladnia jak jest dynamiczne IP ? bo chyba jak dam bridge a potem pppoe tio bedzie przydzielane dynamiczne ip ...

ParanoiK · 6 Maja 2004

Daj po międzymordziu [1].

[1] - międzymordzie == interface.

snaj* · 6 Maja 2004

lub programik - no-ip - bedziesz mial domene i problem zniknie(nazwa kanoniczna nie powinna stanowic problemu dla htb i fw).

n0rbi · 6 Maja 2004

ParanoiK, czyli to tak powinno wygladac : /usr/sbin/iptables -A PREROUTING -t nat -p tcp -i eth0 --dport 4661 -j DNAT --to 192.168.1.8:4661 - bo tak dziala ;) tzn mam high id :) thx ale jeszcze pewnie beda jakies klopoty to sie zglosze ;)

----

no i podlaczylem siec przez serwer i znowu upload lazi jak lazi :? qrde czy tak juz ma byc ? na razie do sieci sa wlaczone 4 kompy (max to 7, czyli wychodzi po 14 kbps min na kompa), z czego 1 to tylko gg wiec nie zzera duzo pasma ... :roll: qrde juz sam nie wiem :( czy htb samo z siebie jak nie ma kompa wlaczonego to przydziela jego pasmo innym ? i czy jak komp nie wykorzystuje swojego pasma to jest przydzielane innym czy trza do tego shaperd ? bo ja juz sie gubie :? a tak pozatym to pojecia nie mam jak przestawic ten router w tryb bridge (tzn robie tak jak w instrukcji, na serwerku odpalam adsl-start i sie nie laczy ...) ehh same problemy z ta neo+ :?

----

Albo jeszcze lepiej: co moglem przeoczyc w konfiguracji tego wszystkiego ?

bo jak mialem moj komp podlaczony przez serwer do routera to bylo miodzio,, a teraz wszystkie kompy sa podlaczone przez serwer i po prostu siec kulawi :( nawet maila nie da sie wyslac :? wiem na pewno ze bedzie gorzej bo jest wiecej kompow, ale jak nie szlo to wszystko przez serwer to bylo dobrze (tzn dopoki klient kaazy nie uruchomil)

snaj* · 6 Maja 2004

Kwestia uploadu jest nieco inna, nie bede sie rozpisywal po prostu looknij tu : http://linio.terramail.pl/htb.pdf - strona 12 - Sytuacja C.

W przypadku uploadu ograniczenia naklada sie na uslugi a nie ipki, a sfq juz userom zapodaje rowne pasmo.

Tak jesli jeden user nie uzywa neta to jego pasmo jest dzielone i oddawane innym - tutaj mozna ustawiac priorytety kto pierwszy je przejmie :)

n0rbi · 6 Maja 2004

a czy takie cus jest stosowane w rc.htb? :)

snaj* · 6 Maja 2004

NIe bardzo rozumiem pytanie :>

rc.htb to tylko skrypt odpalany przy starcie kompa, a jego zawartosc jesli zgodna ze skladnia htb to jest wlasciwa.

O to ci chodzilo ?

n0rbi · 6 Maja 2004

hmm mi chodzi o ten skrypt do generowania rc.htb :) o jest taki

a tak pozatym to to chyba nie jest rozwiazaniem problemu bo jak wylacze htb to i tak dalej wszystko wooolno dziala (a widze na switchu ze nikt sieci nie przypycha) :? a jak bylem sam to bylo wszystko dobrze :?hmm mi chodzi o ten skrypt do generowania rc.htb :) o jest taki

a tak pozatym to to chyba nie jest rozwiazaniem problemu bo jak wylacze htb to i tak dalej wszystko wooolno dziala (a widze na switchu ze nikt sieci nie przypycha) :? a jak bylem sam to bylo wszystko dobrze :?

snaj* · 6 Maja 2004

No coz ja tego skryptu nie widzialem i nie uzywalem (i jeszcze te siakies MYSHAPERY-OUT ;) ).

Reczna robotka jest najlepsza :] Sprobuj moze dla samego siebie napisac wlasne regulki, bedzie to przyjemne z pozytecznym.

n0rbi · 6 Maja 2004

snaj*, ale tamto to juz stare, teraz jest nowy skrypt ktorego uzywam i nie ma tu zadnych myshaperow

a napisac od poczatku moze i napisze, ale nie wiem czy po tej stronie lezy wina bo jak mowie wyczyscilem regulki i klasy i wszystko i dalej kicha upload jak nie dzialal tak nie dziala :? tzn dokladniej objawia sie to tym, ze jak chce wrzucic na ftpa jakis plik to na poczatku pokazuje predkosc 13 kB/s, a potem nagle to staje i zrywa sie polaczenie (mod ftp oczywiscie wrzucone do jadra), a jak testowalem to tylko na moim kompie to bylo ok

tzn bylo tak :

router-----switch----kompy_inne+serwer----cross----moj komp

i tak dzialalo to bez problemu

teraz jest

router---cros---serwer---switch----kompy

i tak nie dziala :(

nie wiem co jest skaszanione, komp chyba nie jest za wolny do maskarady (p200+64mb+4.3gb hdd+3com 905c + realtek 1839)

moze trzeba przestawic router w tryb bridge, czyli zeby NAT nie bylo na nim wlaczone? chociaz to chyba glupie, przeciez dla maskarady to roznicy nie powinno robic ... nie wiem gdzie jeszcze moze byc blad, za chwile sprobuje z serwera wrzucic na ftp jakis plik i powiem jak sie wtedy zachowuje .... a tak wogole THX za zainteresowanie tematem :) wisze Ci browca :)

---

a jezeli chcesz zobaczyc nowa wersje rc.htb to jest tutaj http://www.kompit.com.pl/norbi/rc.htb

---

no i kicha, maly plik po ftp polecial, ale wiekszy juz sie zerwalo polaczenie :( :roll: :cry:

Zaloguj się

iptables+htb+neo+ help - cos upload sie kaszani :/

Rekomendowane odpowiedzi

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Dołącz do dyskusji