shorewall sebesseg korlatozas

Linux-haladó

Probalom beloni shorewall ala a sebesseg korlatozast, egyelore vmware-ben:
3 vgep: 1 server (lighttpd+1 gigas sparse file), 1 kliens (wget-tel szedi le a fajlt a serverrol), 1 firewall, a ket "szelso" gep kulon alhalo, e1000-s "halokartyak" alapbol tolja birja is:
server + eth0 <-> eth1 + server + eth2 <-> eth0 + kliens.

namost ha beallitom az alabbiakat:
tcdevices: eth1 2mbps 2mbps
tcclasses: eth1 1 100kbps 100kbps 1 default
tcrules: 1:F 0.0.0.0/0 0.0.0.0/0 all

(vagyis a 16mbit-re korlazotott halokartyan a forgalom 100k bajt/sec)

ehelyett wget 60K/sec-et ir.
Ha leveszem a tcdevicesben 8mbit-re a sebesseget, akkor wget 40K/sec-et ir.

Tehat korlatozas van, csak a beallitott ertekek koszoniviszonyban sincsenek a valosaggal.

Mit rontok el?

Elbandi

  • 940 megtekintés

( Sempi | 2009. 09. 09., sze – 19:26 )

Hello

Nem ismerem a shorewallt, de mivel tűzfal szabályokat generál, ezért jóeséllyel az iptables-save kimenete hasznos lehet számodra.

Sebesség korlátozásához a filter táblát és a queue modul használja.

Ehhez szükség van az ip_queue modulra, ezt is ellenőrizni kellene.

Habár a megolást nem tudom, de talán a fentiek segítenek elindulni...

Mellesleg, ha hálózati forgalmat kell szabályozni akkor a shaperd segít...

Üdv

Sempi

iptablesben csak ennyit modosit: 


root@ubuntu-hardy:~# iptables -t mangle -L FORWARD -v -n
Chain FORWARD (policy ACCEPT 585 packets, 450K bytes)
 pkts bytes target     prot opt in     out     source               destination
  585  450K tcfor      all  --  *      *       0.0.0.0/0            0.0.0.0/0
root@ubuntu-hardy:~# iptables -t mangle -L tcfor -v -n
Chain tcfor (1 references)
 pkts bytes target     prot opt in     out     source               destination
  585  450K MARK       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MARK set 0x1

valamint a tc-t allitgatja, itt a kimenet: 


root@ubuntu-hardy:~# tc qdisc show dev eth1
qdisc htb 1: root r2q 40 default 11 direct_packets_stat 0
qdisc ingress ffff: parent ffff:fff1 ----------------
qdisc sfq 11: parent 1:11 limit 127p quantum 2500b perturb 10sec
root@ubuntu-hardy:~# tc class show dev eth1
class htb 1:11 parent 1:1 leaf 11: prio 1 rate 800000bit ceil 800000bit burst 1600b cburst 1600b
class htb 1:1 root rate 8000Kbit ceil 8000Kbit burst 1599b cburst 1599b
root@ubuntu-hardy:~# tc filter show dev eth1
filter parent 1: protocol all pref 1 fw
filter parent 1: protocol all pref 1 fw handle 0x1 classid 1:11
root@ubuntu-hardy:~#

shaperd azert nemjo, mert neha lehalt, es olyankor az egesz forgalom megallt :/
meg kesobb majd priorizalni is akarok...

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!