[QoS] Óñòàíîâêà è íàñòðîéêà nShaper

**ABATAPA** · 30-09-2009, 14:14

Originally Posted by Nikus

Ïîïðîáóéòå ñòðî÷êó
crlf="${esc}[1E"
çàìåíèòü íà
crlf="\n"

Äà, ýòî ïîìîãàåò. Ñïàñèáî!

Originally Posted by Nikus

Ðàáîòîñïîñîáíîñòü ïðàâèëà ïðîâåðÿëè?
Åñëè äà, òî äîáàâëþ â îáùóþ âåðñèþ. (ìíå ïðîâåðÿòü íå íà ÷åì...)

Originally Posted by Nikus

ß ïîñìîòðåë, SIP òðàôèê îáû÷íî ìàðêèðóåòñÿ ôëàãîì expedited forward (tos=0x68 èëè, ÷òî òî æå ñàìîå, dscp=26)

Íå óâåðåí, ÷òî ýòî äåëàþò âñå SIP-àäàïòåðû.
À âîò ïîðò òðàäèöèîííî èñïîëüçóåòñÿ èìåííî ýòîò - 5060.
Íî ýòî - äåòàëè. Õîòÿ, ðàç åñòü ïðàâèëî äëÿ Skype (è äàæå íåñòàíäàðòíûé ssh-ïîðò), ïî÷åìó íå áûòü äëÿ áîëåå äðóæåëþáíîãî è îòêðûòîãî

SIP?

**OlegaVB** · 30-09-2009, 16:12

Íå áîëüøîé îò÷åò ïî ðåçóëüòàòàì èñïûòàíèé.
Ñïàñèáî, âñå ðàáîòàåò, êàê è äîëæíî áûòü.
Åñòü âíóòðåííÿÿ ñåòü, ñêîðîñòü â êîòîðîé îãðàíè÷åíî íà óðîâíå ïðèìåðíî 40 Ìáèò. Â nshaper ñòèò îãðàíè÷åíèå 32 Ìáèòà íà ýòó ñåòü. Íó âîò òóò óæå ñàì ðîóòåð íå ñïðàâëÿåòñÿ.

Ïðè çàãðóçêå áåç nshaper ñêîðîñòü ïîðÿäêà 20 Ìáèò.
Åñëè âêëþ÷èòü nshaper ïàäàåò äî 12 Ìáèò.
À åñëè çàïóñòèòü status status òî 8 Ìáèò.

Çàãðóçêà ïðîöåññîðà â ïåðâîì ñëó÷àå ~ 70, âî âòîðîì ~ 90 è â òðåòüåì 100.
È â ëîã ïèøåò:

Sep 30 21:00:02 kernel: HTB: quantum of class 20001 is big. Consider r2q change.
Sep 30 21:00:03 kernel: HTB: quantum of class 20021 is big. Consider r2q change.

Ïðîñèò r2q óâåëè÷èòü, íî ñ ñêðèïòå åãî íåò.
Ýòî íå çàìå÷àíèå. Ïðîñòî êîììåíòàðèé.
Ðàáîòàåò âñå îòëè÷íî, åùå ðàç ñïàñèáî.

**Nikus** · 30-09-2009, 16:48

OlegaVB

Áëàãîäàðþ çà îòçûâ è òåñòû!

Ìåíÿ ðàçäèðàåò ëþáîïûòñòâî, êàê ïîâåä¸ò ñåáÿ ðîóòåð, åñëè ëîêàëüíûé òðàôèê ïóñòèòü â îáõîä øåéïåðà. Åñëè Âàñ íå çàòðóäíèò, íå ìîãëè áû Âû ïîïðîáîâàòü ìîäèôèöèðîâàòü ñêðèïò è ïðîâåñòè òåñòû çàíîâî?

Äëÿ ýòîãî íóæíî:
1) îñòàíîâèòü nshaper
2) â ñêðèïòå ïðè âûçîâå "iptables ... " ïåðåä ïàðàìåòðîì -j IMQ äîáàâèòü ïàðàìåòð -s ! 10.20.30.0/24, ãäå 10.20.30.0 - àäðåñ ëîêàëêè, 24 - ìàñêà ïîäñåòè.
Âñåãî òàêèõ âûçîâîâ â ñêðèïòå - 4.
3) çàïóñòèòü nshaper

Â ÷àñòíîñòè èíòåðåñóåò, áóäåò ëè âûèãðûø â ñêîðîñòè, è áóäåò ëè "çàáèâàòü" èíòåðíåò-òðàôèê îñíîâàòåëüíî íàãðóæåííûé êàíàë ñ ëîêàëêîé.

Äëÿ âîçâðàòà îáðàòíî íóæíî âûïîëíèòü ï.ï.1-3 çàíîâî, âåðíóâ ñêðèïò â èñõîäíîå ñîñòîÿíèå. Çàðàíåå áëàãîäàðþ!

Ïðîñèò r2q óâåëè÷èòü, íî ñ ñêðèïòå åãî íåò.
Ýòî ìîæíî, äîáàâëþ â íàñòðîéêè â ñëåäóþùåì ðåëèçå.

**OlegaVB** · 30-09-2009, 16:54

10.20.30.0/24

Íóæíî çàìåíèòü íà àäðåñ ñâîåé ëîêàëêè?

**Nikus** · 30-09-2009, 16:59

OlegaVB
Íóæíî çàìåíèòü íà àäðåñ ñâîåé ëîêàëêè?

Äà. Äî êîòîðîé ñêîðîñòü 40ÌÁèò

**OlegaVB** · 30-09-2009, 17:13

Ñêîðîñòü ïðàêòè÷åñêè íå èçìåíèëàñü.
À â ñòàòóñå âñå ðàâíî ïîêàçûâàåò òðàôèê ëüãîòíîé çîíû.
20 Ìáèò ñ øåéïåðîì, 30 áåç íåãî.

**Nikus** · 30-09-2009, 17:26

OlegaVB
Ñêîðîñòü ïðàêòè÷åñêè íå èçìåíèëàñü.
À â ñòàòóñå âñå ðàâíî ïîêàçûâàåò òðàôèê ëüãîòíîé çîíû.
Ýòî íîðìàëüíî, òîëüêî öèôðû òàì äîëæíû áûòü íóëåâûìè (ñ ìîäèôèöèðîâàííûì ñêðèïòîì).

20 Ìáèò ñ øåéïåðîì, 30 áåç íåãî.
À êàê æå "íå èçìåíèëàñü"? Áûëî 12, à ñòàëî 20.
Ïðàâäà, áåç øåéïåðà áûëî 20, à ñòàëî 30. ×åãî-òî ÿ íåäîïîíèìàþ... Ïðîÿñíèòå?

**OlegaVB** · 30-09-2009, 18:22

Íàïèñàë íå òî. Ïåðåñ÷èòûâàë ìÁàéòû â ìÁèòû. Áåç øåéïåðà 2.5 ìÁèòà - 20 ìÁàéò. Ñ øåéïåðîì 1.5 ìÁèò - 12 ìÁàéò. Ìîæåò àäðåñà íå âñå ïðîïèñàë - òàì äâà äèàïàçîíà 94.181.0.0/19 è 94.181.32.0/20 ÿ ïðîïèñàë òîëüêî ïåðâûé 94.181.0.0/19.

**Nikus** · 30-09-2009, 18:42

OlegaVB

ßñíî. ×òî æ, îòðèöàòåëüíûé ðåçóëüòàò - òîæå ðåçóëüòàò.
Áëàãîäàðþ çà ñîòðóäíè÷åñòâî!

**igor77777** · 30-09-2009, 19:08

Originally Posted by Nikus

igor77777
Îáðàùàþ âíèìàíèå àâòîðà, ÷òî â òàêîé ïîñëåäîâàòåëüíîñòè îïèñàíèÿ ïðàâèë:

Code:

# set rules for low-prority queue setrule lan ip $LAN queue 3 # all remaining users' traffic. # only router's traffic remains unfiltered here setrule lan port 50022 queue 1 # router's SSH setrule lan port 8081 queue 1 # router's WEB server

òðàôèê ê âàøåìó ssh è web-ñåðâåðó ïîïàäàòü â ïåðâóþ î÷åðåäü íå áóäåò.

Nikus ïðîâåðüòå ïîæàëóéñòà è îïðîâåðãíèòå èëè ïîäòâåðäèòå ìîé âûâîä.

Îïðîâåðãàþ
Ñåé÷àñ çàø¸ë ïîä RDP íà îäèí óäàë¸ííûé ñåðâåð, à îòòóäà ñ ïîìîùüþ putty íà ssh ñâîåãî ðîóòåðà. Âñ¸ ôèëüòðóåòñÿ êàê çàäóìàíî

Code:

  -Zones-     -Download rate-   -Received-        -Upload rate-       -Sent-
               bit/s     pps        Bytes         bit/s     pps        Bytes
    Prio          40       0        6.29k         6.02k       1         723k

Ëó÷øå ïðèâåäèòå ïðàâèëà iptables, êîòîðûìè Âû ïåðåáðàñûâàåòå ïîðò ðîóòåðà.

Ïðàâèëà òàêèå.
Ïðîáðîñ ïîðòà:

Code:

-A PREROUTING -d xxx.xxx.xxx.xxx -i ppp0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.1.1:22

xxx.xxx.xxx.xxx - ìîé ip íà ppp0 èíòåðôåéñå âûäàííûé ïðîâàéäåðîì

è äàëüíåéøàÿ îáðàáîòêà ssh (âûêëàäûâàþ íà âñÿêèé ñëó÷àé).

Code:

-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 22 -j SSH_EVAL

-A SSH_EVAL -i ! br0 -p tcp -m state --state NEW -m tcp --dport 22 -m recent --set --name SSH_ATTACKER --rsource
-A SSH_EVAL -i ! br0 -p tcp -m state --state NEW -m tcp --dport 22 -m recent --update --seconds 600 --hitcount 4 --name SSH_ATTACKER --rsource -j DROP
-A SSH_EVAL -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

Ñåé÷àñ ïðîâåðèòü ñî ñòîðîíû èíòåðíåòà íå ìîãó. Ïîïðîâåðÿþ åù¸ ðàç çàâòðà ñ ðàáîòû.
ß ïðàâèëüíî ïîíÿë, ÷òî äëÿ ïðîâåðêè, äîñòàòî÷íî çàéòè pytty íà ðîóòåð. Ïîêà îêíî pytty îòêðûòî, áóäåò õîäèòü êàêîé-òî òðàôèê, è îí äîëæåí ïîïàäàòü â ïåðâóþ î÷åðåäü. Äëÿ âåðíîñòè - òîðìîçíóòü rtorrent. Òàê?

Ò.å. ïîðÿäîê äîáàâëåíèÿ ïðàâèë (ôèëüòðîâ) â ôóíêöèè rules() íå âàæåí?

**Nikus** · 30-09-2009, 19:59

igor77777

Ïîðÿäîê ðàñïîëîæåíèÿ ïðàâèë, êîíå÷íî æå, âàæåí.
Èìåííî ïî ïîðÿäêó ðàñïîëîæåíèÿ ïðàâèë ïðîñìàòðèâàåòñÿ êàæäûé ïàêåò, è äåëàåòñÿ âûâîä î íàïðàâëåíèè â òó èëè èíóþ î÷åðåäü.

ÍÎ åñëè âíèìàòåëüíî ïîñìîòðåòü áëîê-ñõåìó øåéïåðà, òî âèäíî, ÷òî îí âíåäðÿåòñÿ ïîñëå NAT.
Ñîîòâåòñòâåííî, ïîñëå Âàøåãî ïðàâèëà
-A PREROUTING -d xxx.xxx.xxx.xxx -i ppp0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.1.1:22
ïàêåò ìåíÿåò àäðåñ íàçíà÷åíèÿ è ñòàíîâèòñÿ "ëîêàëüíûì", â ñèëó ÷åãî øåéïåð, â ñîîòâåòñòâèè ñ ïðàâèëîì

Code:

  # set rules for low-prority queue
  setrule lan ip $LAN queue 3                   # all remaining users' traffic.

ñïðàâåäëèâî îòïðàâëÿåò åãî â ñîîòâåòñòâóþùóþ î÷åðåäü.

Îäíèì èç ðåøåíèé áóäåò íàïèñàíèå âûøå òîãî ïðàâèëà ñëåäóþùåãî ïðàâèëà:
setrule lan ip $LAN_IP port 22 queue 1

Îáðàùàþ Âàøå âíèìàíèå íà òî, ÷òî, â îòëè÷èå îò Âàøåãî ðàáî÷åãî âàðèàíòà setrule lan port 22 queue 1, çäåñü ïðèìåí¸í ôèëüòð ïî IP àäðåñó ðîóòåðà (ëîêàëüíîìó). Áåç íåãî ïðàâèëî ðàñïðîñòðàíÿåòñÿ íà âñþ ëîêàëüíóþ ñåòü, ÷òî íåñ¸ò â ñåáå ïîòåíöèàëüíóþ óÿçâèìîñòü.

ß ïðàâèëüíî ïîíÿë, ÷òî äëÿ ïðîâåðêè, äîñòàòî÷íî çàéòè pytty íà ðîóòåð. Ïîêà îêíî pytty îòêðûòî, áóäåò õîäèòü êàêîé-òî òðàôèê, è îí äîëæåí ïîïàäàòü â ïåðâóþ î÷åðåäü. Äëÿ âåðíîñòè - òîðìîçíóòü rtorrent. Òàê?

Âñ¸ òàê, òîëüêî òîðìîçèòü òîððåíò íå îáÿçàòåëüíî. Äîñòàòî÷íî óâèäåòü íåíóëåâûå öèôðû â ïåðâîé î÷åðåäè.

**OlegaVB** · 01-10-2009, 03:28

Åñëè íóæíî ñåãîäíÿ âå÷åðîì åùå ðàç ïðîâåðþ ñêîðîñòè è âûëîæó ñî ñêðèíàìè.
È ïîïóòíî âîïðîñ â ôàéëå îïèñàíèÿ /opt/etc/nshaper/ip_[zone name].lst äâå çàïèñè

94.181.0.0/19
94.181.32.0/20

- ñóäÿ ïî Âàøåìó îïèñàíèþ òàê ìîæåò áûòü - ýòî âåðíî?

**igor77777** · 01-10-2009, 06:44

Originally Posted by Nikus

igor77777

Ïîðÿäîê ðàñïîëîæåíèÿ ïðàâèë, êîíå÷íî æå, âàæåí.
Èìåííî ïî ïîðÿäêó ðàñïîëîæåíèÿ ïðàâèë ïðîñìàòðèâàåòñÿ êàæäûé ïàêåò, è äåëàåòñÿ âûâîä î íàïðàâëåíèè â òó èëè èíóþ î÷åðåäü.

Àãà. Ñïàñèáî. Ñ ýòèì ïîíÿòíî.

Originally Posted by Nikus

ÍÎ åñëè âíèìàòåëüíî ïîñìîòðåòü áëîê-ñõåìó øåéïåðà, òî âèäíî, ÷òî îí âíåäðÿåòñÿ ïîñëå NAT.
Ñîîòâåòñòâåííî, ïîñëå Âàøåãî ïðàâèëà
-A PREROUTING -d xxx.xxx.xxx.xxx -i ppp0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.1.1:22
ïàêåò ìåíÿåò àäðåñ íàçíà÷åíèÿ è ñòàíîâèòñÿ "ëîêàëüíûì", â ñèëó ÷åãî øåéïåð, â ñîîòâåòñòâèè ñ ïðàâèëîì

Code:

  # set rules for low-prority queue
  setrule lan ip $LAN queue 3                   # all remaining users' traffic.

ñïðàâåäëèâî îòïðàâëÿåò åãî â ñîîòâåòñòâóþùóþ î÷åðåäü.

Îäíèì èç ðåøåíèé áóäåò íàïèñàíèå âûøå òîãî ïðàâèëà ñëåäóþùåãî ïðàâèëà:
setrule lan ip $LAN_IP port 22 queue 1

Îáðàùàþ Âàøå âíèìàíèå íà òî, ÷òî, â îòëè÷èå îò Âàøåãî ðàáî÷åãî âàðèàíòà setrule lan port 22 queue 1, çäåñü ïðèìåí¸í ôèëüòð ïî IP àäðåñó ðîóòåðà (ëîêàëüíîìó). Áåç íåãî ïðàâèëî ðàñïðîñòðàíÿåòñÿ íà âñþ ëîêàëüíóþ ñåòü, ÷òî íåñ¸ò â ñåáå ïîòåíöèàëüíóþ óÿçâèìîñòü.

Â îáùåì ïðîâåðèë åù¸ ðàç âñå âàðèàíòû. Âûâîä òàêîé.
Åñëè ìî¸ ïðàâèëî.
òàêîå: setrule lan port 22 queue 1
èëè òàêîå setrule lan ip $LAN_IP port 22 queue 1
ðàñïîëàãàåòñÿ ïîñëå ïðàâèëà:
setrule lan ip $LAN queue 3 # all remaining users' traffic.
Òî òðàôèê ê ìîåìó ssh ïîïàäàåò â òðåòüþ î÷åðåäü.
Åñëè æå ìî¸ ïðàâèëî
òàêîå: setrule lan port 22 queue 1
èëè òàêîå setrule lan ip $LAN_IP port 22 queue 1
ïåðåíåñòè äî
setrule lan ip $LAN queue 3 # all remaining users' traffic.
Òî òðàôèê ó ìîåìó ssh ïîïàäàåò â ïåðâóþ î÷åðåäü.

Äëÿ ñåáÿ ÿ âûíåñ, ÷òî âàæåí íå òîëüêî ïîðÿäîê ïðàâèë, íî òî êàêèå ôèëüòðû îíè íàêëàäûâàþò.
Âíà÷àëå íóæíî íàêëàäûâàòü áîëåå "ïîäðîáíûå" ôèëüòðû, ïåðåõîäÿ ê ìåíåå ïîäðîáíûì.

PS: Îñòàâèë ïðàâèëî, ïðåäëîæåííîå Âàìè. Ðàáîòàåò. :-)

**Nikus** · 01-10-2009, 06:50

Originally Posted by OlegaVB

Åñëè íóæíî ñåãîäíÿ âå÷åðîì åùå ðàç ïðîâåðþ ñêîðîñòè è âûëîæó ñî ñêðèíàìè.
È ïîïóòíî âîïðîñ â ôàéëå îïèñàíèÿ /opt/etc/nshaper/ip_[zone name].lst äâå çàïèñè
- ñóäÿ ïî Âàøåìó îïèñàíèþ òàê ìîæåò áûòü - ýòî âåðíî?

Âñ¸ âåðíî.

**allion** · 01-10-2009, 07:12

Nikus
Ìîæåò áûòü ñòîèò â àðõèâ ñëåäóþùåé âåðñèè äîáàâèòü äåìîíñòðàöèîííûå çàïèñè ñ îïèñàíèÿìè çîí? Áûëî áû ïðîùå ðàçáèðàòüñÿ â ïåðâîíà÷àëüíîé íàñòðîéêå.

Thread: [QoS] Óñòàíîâêà è íàñòðîéêà nShaper

Thread Tools

Rate This Thread

Display

Similar Threads

Óñòàíîâêà è íàñòðîéêà Quagga íà ðîóòåðå

Íàñòðîéêà PPTP VPN (accel-pppd) íà ðîóòåðå Asus

Íàñòðîéêà CRON íà ðîóòåðå

Óñòàíîâêà VLC íà ðîóòåð ?

Íå ïîëó÷àåòñÿ íàñòðîèòü Virtual DMZ

Tags for this Thread

Posting Permissions