впрочем
wshaper start "vlan1" 1500 1500
тоже не помогает скорость down фтипишки ограничена тойже планкой
Мои извинения что ввел в заблуждение условиями проблемы,
Все дело снижения скорости кроется в wshaper
Как только запускаю скрипт wshaper start "vlan1" 1000 220
получаю жуткие / 40KB/s / тормоза при скачивании с ftp
кроме лога ничего добавить не могу. Какие "цифирки" порекомендуете для wshaper
[admin@asus root]$ wshaper status "vlan1" 1000 220
qdisc ingress ffff:
statistics truncated
qdisc sfq 30: quantum 1518b perturb 10sec
statistics truncated
qdisc sfq 20: quantum 1518b perturb 10sec
statistics truncated
qdisc sfq 10: quantum 1518b perturb 10sec
statistics truncated
qdisc htb 1: r2q 10 default 20 direct_packets_stat 6
statistics truncated
class htb 1:1 root rate 220Kbit ceil 220Kbit burst 6Kb cburst 1880b
Sent 256808 bytes 4495 pkts (dropped 0, overlimits 0)
rate 952bps 16pps
lended: 0 borrowed: 0 giants: 0
tokens: 175943 ctokens: 51929
class htb 1:10 parent 1:1 leaf 10: prio 1 rate 220Kbit ceil 220Kbit burst 6Kb cburst 1880b
Sent 249828 bytes 4406 pkts (dropped 0, overlimits 0)
rate 949bps 16pps
lended: 4406 borrowed: 0 giants: 0
tokens: 175943 ctokens: 51929
class htb 1:20 parent 1:1 leaf 20: prio 2 rate 198Kbit ceil 198Kbit burst 6Kb cburst 1852b
Sent 6980 bytes 89 pkts (dropped 0, overlimits 0)
rate 2bps
lended: 89 borrowed: 0 giants: 0
tokens: 197301 ctokens: 58602
class htb 1:30 parent 1:1 leaf 30: prio 2 rate 176Kbit ceil 176Kbit burst 6Kb cburst 1824b
Sent 0 bytes 0 pkts (dropped 0, overlimits 0)
lended: 0 borrowed: 0 giants: 0
tokens: 223417 ctokens: 66363
Oleg спасибо за работу. купил карточку wmz , насколько безопасно в личку коды отправлять (пока не параноик )
впрочем
wshaper start "vlan1" 1500 1500
тоже не помогает скорость down фтипишки ограничена тойже планкой
Доброго дня или ночи... у кого как...
Очень интересует один вопросик по iptables. Никак не удаётся выполнить одну вроде бы не сложную комбинацию.
Собственно ситуация следующая. Имеется локалка. По vpn подключается инет. Прописана марщрутизация. И в итоге на lan-выходах роутера мы имеем ресурсы инета(ppp0)+локальной сети (vlan1).
За роутером поднят ftp-сервер (к примеру ip=192.168.1.10)/ Так же всё это хозяйство имеет внешний статический ip и в интернете виден фтп-сервер.
собствено проблема следующая. Необходимо средствами iptables заблокировать доступ к фтп-серверу (ip=192.168.1.10), кроме списка определённых адресов при этом разрешив доступ к нему из Internet.
Сколько не экспериментировал с блокировками - либо блочится весь дотуп либо открыт весь доступ.
P.S. Список разрешённых ip желательно хранить в отдельном файле (ну это в идеале (мечтать так мечтать))... Но можно и ручками прописать...
Может кто из более разбирающихся людей сможет подсказать необходимые правила?
Зарание спасибо.
На opennet.ru в поиске по iptables можно найти кучу примеров как это сделать, в тч и как парсить адреса из файла.
возможно, проблемы как таковой не существует для знающих людей, но обладая очень минимальными познаниями в линуксе, не могу даже приблизительно представить, как организовать следующее - необходимо ограничить на определенное время, например с 10.00 до 18.00 с определенного Ip внутренней сети доступ в интернет (wan). средствами фильтрации Wan-lan не удается добиться требуемого результата - фильтр просто не работает. не хочу, чтобы ребенок весь день сидел перед компьютером...
уважаемые, помогите! не разбираюсь я в этом линуксе, никак...
Есть такая проблема:
Есть сеть А на 10 машин, все машины собраны в хаб А, который в свою очередь воткнут в роутер в LAN1.
Есть сеть B на 10 машин, все машины собраны в хаб B, который в свою очередь воткнут в роутер в LAN2.
Есть выход в инет через порт WAN.
Также к роутеру подключен жесткий диск, который видно через сеть по Samba.
Требуется:
1. Чтобы Сеть А имела доступ к WAN и жесткому диску по Samba (доступ к сети B не обязателен).
2. Чтобы Сеть B не имела доступ к WAN и машинам сети А
(только доступ к жесткому диску по Samba)
что пробовал:
поднять на LAN2 независимый интерфейс чтобы он не видел LAN1 и WAN
для этого в post-boot прописал:
robocfg vlan 0 ports "1 3 4 5t" vlan 2 ports "2 5t" vlan 1 ports "0 5t"
vconfig add eth0 2
ifconfig vlan2 192.168.3.1 broadcast 192.168.3.255 netmask 255.255.255.0 up
LAN1 имеет 192.168.2.1 и маску 255.255.255.0
в результате:
роутер легко пингует себя по адресу 192.168.3.1
и машину сети B по адресу 192.168.3.2
машина роутер не видит и пинг на роутер не проходит
Если не сложно подскажите в чем проблема или предложите как решить ее иначе более грамотно.
С пингом разобрался почему не идет, только не понимаю видимо что то.
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 MACS all -- anywhere anywhere
2 DROP all -- anywhere anywhere state INVALID
3 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
4 ACCEPT all -- anywhere anywhere state NEW
5 ACCEPT all -- anywhere anywhere state NEW
6 ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
7 ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
8 logdrop all -- anywhere anywhere
Пинг дропается почему то на правиле 8 таблицы INPUT. Хотя пинг из LAN1 работает отлично.
Объясните плиз.
Потому что пинг из лан1(br0) проходит через разрешающее правило №5 . Чтобы понять, почему, смотреть цепочку лучше так: iptables -L INPUT -vn
Большое спасибо. я просто в линухе новичок. теперь понятно, что он еще и интерфейс анализировал. Все получилось. Добавил новое правило в таблицу INPUT и все заработало.
По поводу разграничения доступа двух сетей тоже все получилось.
Заодно поднял вместо одной 2 самбы для разграничения доступа к жесткому диску. В общем получилось все, что я и хотел.
Остался один вопросик не решенным. (тока ногами не бейте, направьте на путь истиный).
Если я отключаю в Веб-морде FTP, то у меня, как мне кажется, перестает монтироваться жесткий диск и запускаться post-mount.
Что мне прописать и куда, чтобы у меня был полноценный доступ к диску без запуска FTP.
При ручном запуске post-mount:
mount -obind /tmp/harddisk/opt /opt
mount -obind /tmp/harddisk/part1/share /opt/shar
выдается:
mount: Mounting /tmp/harddisk/opt on /opt failed: No such file or directory
mount: Mounting /tmp/harddisk/part1/share on /opt/shar failed: No such file or directory
большое спасибо. все получилось.
Рано обрадовался
2 самбы жить вместе отказываются.
Может поможет кто, как их подружить.
Лог самбы:
[2007/10/11 09:47:14, 0] source/lib/util_sock.cpen_socket_in(804)
bind failed on port 139 socket_addr = 192.168.2.1.
Error = Address already in use
Это я понял. Осталось понять можно это исправить или никак.
Вот здесь описано, но у меня не вышло, и я не понимаю как может получиться:
http://www.openspin.org/wiki/index.p...а_одной_машине
Все удалось решить. оказалось, что был запущен xinetd, который мешал работе самбы. После его отключения все получилось.
2 самбы работают совместно без проблем.
за что большое спасибо и респект Mam(O)n