• Zarejestrowany: 2023-02-01
  • Posty: 72

Temat: Nftables - ograniczenie przepustowości dla wielu adresów IP razem

Mam kilka pytań do narzędzia nftables oraz potrzebuję pomocy do rozwiązania mojego problemu związanego z ograniczeniem przepustowości dla kilku adresów IP (ograniczenie łączne).
1. Czy jedyną metodą jest dodawanie tabel/łańcuchów nftables przy pomocy komend np. 

# nft add table ip filter
# nft 'add chain ip filter input { type filter hook input priority 0 ; }'
# nft 'add chain ip filter output { type filter hook output priority 0 ; }'

Pytam, gdyż nie mogę za bardzo znaleźć komend w uci, gdzie dodaje się nazwę tabeli, łańcuchów, setów lub zbiorów define. Chyba, że nie jest to potrzebne/wymagane?

2. Czy da się ograniczyć wiele komputerów do jednej wspólnej prędkości np. pobierania? Na przykład są 2 komputery, są ograniczone do pobierania 500KB/s, zatem na jednym może lecieć 100KB/s, a na drugim 400KB/s (będą "biły" się o łącze, natomiast razem go nie przekroczą (500KB/s)).
Wiem, że na pewno da się to zrobić dla jednego adresu IP przy pomocy nftables (i działa to bardzo dobrze póki co):

table inet nft-qos-static {
        chain upload {
                type filter hook postrouting priority filter; policy accept;
                ip saddr 192.168.1.249 limit rate over 200 kbytes/second drop
        }

        chain download {
                type filter hook prerouting priority filter; policy accept;
                ip daddr 192.168.1.249 limit rate over 500 kbytes/second drop
        }
}

Natomiast jak to zedytować, by połączyć wiele adresów IP zamiast jednego (ograniczenie prędkości łączne dla grupy adresów IP)?

3. W nawiązaniu do kodu z punktu nr 2, wyobraziłem sobie taki kod przy pomocy zbiorów adresów IP define (może być niepoprawna składania - kod jest jedynie "poglądowy"):

table inet nft-test-qos {
        chain upload {
                type filter hook postrouting priority filter; policy accept;
                ip saddr { 192.168.1.249, 192.168.1.250, 192.168.1.251 } limit rate over 200 kbytes/second drop
        }

        chain download {
                type filter hook prerouting priority filter; policy accept;
                ip daddr { 192.168.1.249, 192.168.1.250, 192.168.1.251 } limit rate over 500 kbytes/second drop
        }
}

Zatem czy to nie byłaby suma ograniczenia prędkości dla danych 3 adresów powyżej? Czy może kod zadziała ograniczając każdy jeden adres z 3 do tych np. 500KB/s (z osobna, a nie razem)?

4. W tym punkcie również nawiązuje do pytania nr 2. Szukając w internecie i czytając sporo o nftables natrafiłem jeszcze na metody: goto oraz jump. Zatem wyobraziłem sobie taki kod w głowie (może być niepoprawny - kod jest jedynie "poglądowy"):

table inet test-ograniczen {
    chain download-end {
        limit rate over 500 kbytes/second drop
    }
    chain download {
        type filter hook prerouting priority filter; policy accept;
        ip daddr 10.6.0.100 jump download-end
        ip daddr 10.6.0.101 jump download-end
        ip daddr 10.6.0.102 jump download-end
    }
}

I czy to prawo działać? Czy ten kod nie ograniczyłby mi może przepustowości łącza dla tych 3 adresów IP (łącznie, a nie z osobna)?

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,068

Odp: Nftables - ograniczenie przepustowości dla wielu adresów IP razem

1. W uci tego nie ma. uci to tylko reguły, zaś samym tworzeniem firewalla zajmuje się kod w ucode zawarty /usr/share/ucode/fw4.uc
ucode jest językiem wymyślonym na potrzeby openwrt, mały opis tego był gdzieś na forum openwrt.
2/3/4. Nie wiem, nie sprawdzałem. Zrób ograniczenia dla jednego hosta, zmień sobie składnię w /tmp/qos.nft i wykonaj to. Nigdy nie miałem potrzeby takiej konfiguracji i nigdy nie sprawdzałem czy to zadziała. Więc... sprawdź.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez pimpelunek

  • Zarejestrowany: 2023-02-01
  • Posty: 72

Odp: Nftables - ograniczenie przepustowości dla wielu adresów IP razem

1. Ok, rozumiem. W takim razie, gdybym miał reguły NFT to należy je dodawać komendami w SSH takimi jakie napisałem w punkcie 1 (przykładowe reguły), tak? Czy jak Ty byś je dodał (gdybyś potrzebował je wprowadzić u siebie)?
2. Sprawdzę w najbliższe dni i dam znać.

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,068

Odp: Nftables - ograniczenie przepustowości dla wielu adresów IP razem

Możesz albo ręcznie dodawać wołając nft albo zrobić plik z tablicami/łańcuchami i całość potraktować jako kod do nftables - tak robi wspominany nft-qos. Jak wolisz i jak to jest bardziej sensowne dla konkretnego problemu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez mar_w (edytowany przez mar_w 2023-04-13 00:28:56)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Nftables - ograniczenie przepustowości dla wielu adresów IP razem

@pimpelunek
możesz sprawdzić swoje podejście do tematu , ale możesz też założyć nowe łańcuchy w których pogrupujesz hosty i na ten nowy łańcuch założysz pierwszą regułę na cały ruch z limitem np 2 mbytes/sec a poniżej poszczególne hosty z dowolnym limitem + opcja burst np tak (to jest wyciąg firewalla z routera który robi NAT):
W tym przypadku hosty z adresami innymi niż te poniżej zostają w  łańcuchu upload bez "lejców" a te co się łapią na regułę to trafiają do odpowiednich stworzonych łańcuchów (grup). Cała grupa (cały nowy łańcuch) ma lejce globalne smile a hosty mają lejce lokalne z możliwością podbicia do maksa globalnego dla grupy smile

table inet nft-qos-static { # handle 3
    chain upload { # handle 1
        type filter hook postrouting priority filter; policy accept;
        ip saddr 192.168.1.100 jump lejce # handle 11
        ip saddr 192.168.1.101 jump lejce # handle 12
    }

    chain download { # handle 2
        type filter hook prerouting priority filter; policy accept;
        ip daddr 192.168.1.100 jump lejce_down # handle 18
        ip daddr 192.168.1.101 jump lejce_down # handle 19
    }

    chain lejce { # handle 10
        limit rate over 2 mbytes/second counter packets 2400 bytes 21704344 drop # handle 13
        ip saddr 192.168.1.100 limit rate 1 mbytes/second burst 1 mbytes counter packets 7546 bytes 41975042 accept # handle 14
        ip saddr 192.168.1.101 limit rate 1 mbytes/second burst 1 mbytes counter packets 9857 bytes 57261393 accept # handle 15
    }

    chain lejce_down { # handle 17
        limit rate over 2 mbytes/second counter packets 0 bytes 0 drop # handle 20
        ip daddr 192.168.1.100 limit rate 1 mbytes/second burst 1 mbytes counter packets 7630 bytes 423208 accept # handle 21
        ip daddr 192.168.1.101 limit rate 1 mbytes/second burst 1 mbytes counter packets 10497 bytes 579652 accept # handle 22
    }
}

poniżej zrobiłem test iperf3.
Serwer R1 (po stronie WAN-u wspomnianego routera) nasłuchiwał na 2 portach jednocześnie. Klienci C1 i C2 (po stronie LAN-u) łączyli się do R1 odpowiednio tylko do jednego portu. C1 do portu 5000 a C2 do portu 5001.
Objaśnienie.
W pierwszej kolumnie z lewej widać, że startuje iperf3 na porcie 5000 z prędkością 20 Mbps ( limit 2 MB/s) (zawsze startuje szybciej niż lejce smile )  razem z klientem C1 w 3 kolumnie.
Potem dołącza się klient C2 z 4 kolumny i widać, że w kolumnie 1 (port 5000) spada prędkość do ...12 ... 8 Mbps i pojawia się prędkość w drugiej kolumnie na porcie 5001. mniej więcej po równo.
Potem wyłączam iperf3 klienta C2 z 4 kolumny i prędkość na porcie 5000 z 1 kolumny wzrasta z powrotem do 16,5 Mbps.

Następnie wyłączam klienta C1 z 3 kolumny  i włączam klienta C2 z 4 kolumny.
Sytuacja jest na odwrót. Widać jak rusza transfer na porcie 5001 w kolumnie 2 z pełną prędkością 16,5 Mbps i zatrzymuje się transfer na porcie 5000 w kolumnie 1.
Włączam z powrotem klienta C1 i widać że w kolumnie 2 na porcie 5001 transfer spada do 7,23 Mbps i rośnie w kolumnie 1.

https://i.ibb.co/N6gJ1pW/iperf3-grupa-hostow.png

myślę że dla 3 klientów zrobiłbym podział sprawiedliwie 2048/3 = 682 z możliwością przekroczenia limitu gdy inni śpią, żeby dopełnić 2MB/s czyli

....ip saddr 192.168.1.100 limit rate  682 kbytes/second burst 1365 kbytes.

a gdy usunąłem hosta C2 192.168.1.101 z łańcucha upload to host C2 uzyskał pełną szybkość 485 Mbps natomiast host C1został sam na lejcach 16,5 Mbps...

https://i.ibb.co/YZnsLgg/iperf3-grupa-hostow2.png

w drugą stronę na pobieranie (iperf3 -R)  też działa gdy usunąłem hosta C2 z łańcucha "download"
Teraz tylko kwestia upiększenia regułek po Twojemu np.

table inet nft-qos-static { # handle 3
    chain upload { # handle 1
        type filter hook postrouting priority filter; policy accept;
        ip saddr { 192.168.1.249, 192.168.1.250, 192.168.1.251 } jump lejce_up
}

itd itp...

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

6 Odpowiedź przez pimpelunek

  • Zarejestrowany: 2023-02-01
  • Posty: 72

Odp: Nftables - ograniczenie przepustowości dla wielu adresów IP razem

Kurcze, ale się cieszę. Dokładnie z jakieś 2h temu spróbowałem postawić kod nftables z punktu 4 i zadziałało! Było to czyste ułożenie na logikę i wzorowanie się na różnych innych skryptach nftables. Ale cieszy mnie to bardzo, że jest duży postęp i szansa na dane rozwiązanie!

@mar_w Bardzo Ci dziękuję także za odpowiedź, utwierdza mnie to w przekonaniu, że warto w to rozwiązanie iść big_smile
Mam natomiast kilka pytań do Twojego kodu, by go lepiej zrozumieć:
1. Co oznacza "counter packets 2400 bytes 21704344"? Chodzi mi o tą linijkę:

limit rate over 2 mbytes/second counter packets 2400 bytes 21704344 drop # handle 13

Czy może ta linijka wygląda w rzeczywistości tak jak poniżej?

limit rate over 2 mbytes/second drop # handle 13

2. Co oznacza opcja "burst 1 mbytes"? Czytam na internecie i jeszcze nie czaję tego. Czy może to jest coś w stylu "sprawiedliwego"/równego podziału łącza na użytkowników? Jak w ogóle to rozwiązać, aby podział łącza był w miarę równy (jednak może się wydarzyć sytuacja, że któremuś użytkownikowi nie poleci pełne łącze, ale za to dobrze by było, aby drugiemu użytkownikowi poleciała pełna prędkość ponad "sprawiedliwy podział" (do maksymalnego zdefiniowanego limitu w nftables)?

ip saddr 192.168.1.100 limit rate 1 mbytes/second burst 1 mbytes counter packets 7546 bytes 41975042 accept # handle 14

3. Testując kod z punktu nr 4 zauważyłem, że gdy przykładowo zastosowałem ograniczenie łącza 500KB/s to przy pobieraniu pliku testowego FTP zrywało mi połączenie na jednym z urządzeń. Tak jakby pakiety były na jednym z nich całkowicie DROP-owane. Czy da się to w ogóle jakoś rozwiązań, aby prędkość spadała, jednak, aby te połączenia się nie zrywały? Zastanawiam się czy to nie jest wina tej opcji DROP (i czy nie ma jakiejś mniej restrykcyjnej alternatywy dla DROP-u w stylu "kolejki")? Bo DROP rozumiem jako całkowite odrzucenie pakietu (chyba, że się mylę)?

7 Odpowiedź przez pimpelunek (edytowany przez pimpelunek 2023-04-13 01:56:22)

  • Zarejestrowany: 2023-02-01
  • Posty: 72

Odp: Nftables - ograniczenie przepustowości dla wielu adresów IP razem

4. Mam jeszcze jedno pytanie, skoro widzę, że z nftables jesteś na "Ty" big_smile
Czy masz pomysł jak rozwiązać, aby wszystkie adresy od 192.168.0.1 do 192.168.0.255 były w jednej grupie ograniczonej do 1MB (wszystkie). Jednak z przedziału:
- od np. 192.168.0.10 do 192.168.0.100 mają ograniczenie do 20MB/s,
- a adresy od np. 192.168.0.101 do 192.168.0.120 mają ograniczenie do 10MB/s? smile

Chodzi o to, aby ująć wszystkie adresy od razu do jednej puli, a później z niej "odgraniczać" inne zakresy.

8 Odpowiedź przez mar_w (edytowany przez mar_w 2023-04-13 01:02:53)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Nftables - ograniczenie przepustowości dla wielu adresów IP razem

Ad 1. regułki które wprowadzałem to po krótce...

nft add chain inet nft-qos-static lejce
nft add rule inet nft-qos-static upload ip saddr 192.168.1.101 jump lejce
nft add rule inet nft-qos-static lejce limit rate over 2 mbytes/second counter drop
nft add rule inet nft-qos-static lejce ip saddr 192.168.1.101 limit rate 1 mbytes/second burst 1 mbytes counter accept

ten counter czyli licznik pokazuje co się łapie na daną regułę bo zlicza co trzeba smile ale nie musisz go używać.

Ad2. Burst oznacza ile możesz dopuścić powyżej ustawionego limitu.
Grupa ma 2 MB/s a pojedynczy host tylko 1 MB/s ale ma możliwość podbicia o dodatkowy 1 Mb/s gdy mu pozwoli łącze gdy inni pójdą spać.

Ad3. dlatego ja wolałem dać limit na pojedynczego hosta. Dla 3 hostów dziele po równo czyli 682 ale dopuszczam burst 1365.
Gdy są wszyscy to idzie równo 1/3 dla każdego, a gdy jest tylko jeden to bierze 682 + 1365 = 2048 kB/s
wtedy jednostką jest kbytes a nie mbytes

Ad4. Absolutnie nie jestem na "Ty" z nftables. Dostaję białej gorączki jak mam wpisywać z terminala nowe regułki, znając trochę lepiej iptables.
to jest chyba nielogiczne mieć grupę 1M a części z nich dawać lejce 20 a innym 10 ?
Trochę kombinujesz, zjedz snickersa bo nie jesteś Sobą wink
Ja bym założył 2 łańcuchy na upload i 2 na download np
lejce1_up dla adresów 0.10-0.100
lejce2_up dla adresów 0.10-0.100
to samo dla download
Na ostatni punkt trzeba się zastanowić na świeżym "kalafiorze" bo już późno się zrobiło....

Globalizacje to się robi gdy masz w firmie 1000 użytkowników i 30 różnych grup a w każdej grupie po 50 uprawnień do różnych funkcji w programie z czego ktoś może być w kilku grupach.

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

9 Odpowiedź przez pimpelunek (edytowany przez pimpelunek 2023-04-13 02:18:47)

  • Zarejestrowany: 2023-02-01
  • Posty: 72

Odp: Nftables - ograniczenie przepustowości dla wielu adresów IP razem

mar_w napisał/a:

Ad2. Grupa ma 2 MB/s a pojedynczy host tylko 1 MB/s ale ma możliwość podbicia o dodatkowy 1 Mb/s gdy mu pozwoli łącze gdy inni pójdą spać.

Ok, a jak on wykrywa, kiedy inne hosty "idą spać"? Czy po prostu "na siłę wpycha się" w łącze? Czy może patrzy czy pakiety lecą na pozostałych regułach (lejcach)?

Ad2. Ma to sens, widzę teraz dużą różnicę tego. Wiem o co chodzi, jednak do moich zastosowań najlepszym rozwiązaniem jest ograniczenie zakresów IP, a to jak ktoś już sobie rozdysponuje łącze to już tej osoby inwencja big_smile


mar_w napisał/a:

Ad4. Absolutnie nie jestem na "Ty" z nftables. Dostaję białej gorączki jak mam wpisywać z terminala nowe regułki, znając trochę lepiej iptables.
to jest chyba nielogiczne mieć grupę 1M a części z nich dawać lejce 20 a innym 10 ?
Trochę kombinujesz, zjedz snickersa bo nie jesteś Sobą wink
Ja bym założył 2 łańcuchy na upload i 2 na download np
lejce1_up dla adresów 0.10-0.100
lejce2_up dla adresów 0.10-0.100
to samo dla download
Na ostatni punkt trzeba się zastanowić na świeżym "kalafiorze" bo już późno się zrobiło....

Globalizacje to się robi gdy masz w firmie 1000 użytkowników i 30 różnych grup a w każdej grupie po 50 uprawnień do różnych funkcji w programie z czego ktoś może być w kilku grupach.

Hah big_smile Ale i tak radzisz sobie z nftables świetnie. Ja ledwo co zacząłem, dużo nie wymagam, ale te ograniczenia są dla mnie bardzo ważne. Tym bardziej, że mam bardzo dużo urządzeń w domu, a chcę całkowicie ograniczyć sytuacje, gdzie urządzenia wbijają się jak chcą i zabierają całe łącze.
Co do tego 1MB/s to oczywiście tylko przykład wink
I tak też zrobię, osobne grupy ograniczeniowe dla pewnych zakresów, oddzielnie dla upload i download smile

Tak nawiasem, wiesz może jak najlepiej dodać reguły nftables do OpenWRT tak aby przy ponownym uruchamianiu one już były w firewallu lub by zostawały dodane na początku uruchamiania? Jestem w sumie jeszcze świeży w OpenWRT, a wolałbym to zrobić w jakiejś przyszłościowej metodzie, tak, ab ustawienia były także łatwe do zachowania/przywrócenia przy aktualizacji systemu.

10 Odpowiedź przez pimpelunek

  • Zarejestrowany: 2023-02-01
  • Posty: 72

Odp: Nftables - ograniczenie przepustowości dla wielu adresów IP razem

Jeszcze sobie przypomniałem jedną rzecz, może ktoś mnie oświeci w związku z nftables. Czy jest jakaś reguła opcja, która zrobi w firewallu pierwszeństwo pakietów związanych z np. określone porty, gry (multiplayer typu CS, League of Legends, Dota itd.), VoIP?
To by też dużo pomogło jeśli już rozmawiamy tak o firewallu i nftables smile

11 Odpowiedź przez Cezary (edytowany przez Cezary 2023-04-13 06:28:31)

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,068

Odp: Nftables - ograniczenie przepustowości dla wielu adresów IP razem

Z tego co piszesz to pojawia się powoli obraz że ty bardziej dążysz do sprawiedliwego podziału, czyli qos niż samego ograniczania przepustowości dla hostów.

Jak spojrzysz na nft-qos to masz tam także piorytetyzowanie ruchu z którego możesz skorzystać. A także zobacz np. ten temat: https://forum.openwrt.org/t/cake-w-adap … dth/135379

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

12 Odpowiedź przez pimpelunek

  • Zarejestrowany: 2023-02-01
  • Posty: 72

Odp: Nftables - ograniczenie przepustowości dla wielu adresów IP razem

Cezary, zależy. Z jednej strony tak (sprawiedliwy podział), a z drugiej strony szukałem czegoś by np. podzielić łącze WAN na np. 3 grupy: 10MB/s, 10MB/s i 5MB/s. Z czego, najidealniejsza sytuacja to taka, w której łącze samo się dostosowuje, aby nie marnować wolnego pasma (jeśli np. można coś pobrać szybciej, a np. ktoś śpi).
Przykładowo, są 2 ograniczenia: 20MB/s i 20MB/s i jest 2 użytkowników, a każdy z nich ma wydzielone 20MB/s. Natomiast, jeśli jeden z nich pójdzie spać (adres IP / adresy IP danego użytkownika się rozłączą) to przepustowość tego jednego użytkownika zwiększy się do 40MB/s (tak będzie efektywniej). Ale to jest ogólnie raczej ciężkie do zrobienia, więc to odstawiam na razie na bok. Na razie wydzielenie sztywnych prędkości dla pewnych zakresów adresów to strzał w 9/10 wink

Tak nawiasem, nawiązuję do tego postu, gdzie kiedyś dokładniej opisałem przykładową (podobną sytuację), którą potrzebuję uzyskać: https://eko.one.pl/forum/viewtopic.php?id=22765 smile

Jedyne co mnie jeszcze martwi to światłowód, a raczej ta prędkość z UPC (tam jest napisane, że np. do 600Mbps, a nie sztywne 600Mbps, więc jeśli z 600Mbps zrobi się 480Mbps to będę musiał ciąć łącza tak, aby nie nachodziły na siebie (100% łącza to wtedy 480Mbps)). Jestem jednak nadziei, że będzie to prawie cały czas 600Mbps albo chociaż niech będzie to 500Mbps, ale żeby nie było skoków, że raz 550Mbps, a za 3h jest 350Mbps, potem za 1h 450Mbps, a pod wieczór z 200Mbps (mam nadzieję, że aż tak źle to nie wygląda przy światłowodzie (jeszcze mam ADSL 10Mbps wink)).

13 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,068

Odp: Nftables - ograniczenie przepustowości dla wielu adresów IP razem

Będzie tak jak piszesz - jak to blokowisko to rano będziesz miał 600Mbps, a po południu będzie spadało do 50Mbps smile

I dlatego właśnie ten cake z adaptacją...  Ale jeżeli okaże się że łącze trzyma stabilnie to po prostu sam piszesz regułki. @mar_w ładnie pokazał możliwości, więc tylko musisz to złożyć w całość wg własnych potrzeb.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

14 Odpowiedź przez pimpelunek

  • Zarejestrowany: 2023-02-01
  • Posty: 72

Odp: Nftables - ograniczenie przepustowości dla wielu adresów IP razem

To akurat dom jednorodzinny smile Miejscowość nie jakaś duża, więc mam nadzieję, że źle nie będzie smile

Co do komend nftable - już to mam u siebie ułożone z jumpami tak jak chciałem. Teraz w zasadzie tylko czekać aż zostanie założony światłowód i wykona się przez jakiś czas speedtesty jaka ta przepustliwość jest smile

15 Odpowiedź przez mar_w (edytowany przez mar_w 2023-04-13 09:30:00)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Nftables - ograniczenie przepustowości dla wielu adresów IP razem

pimpelunek napisał/a:
mar_w napisał/a:

Ad2. Grupa ma 2 MB/s a pojedynczy host tylko 1 MB/s ale ma możliwość podbicia o dodatkowy 1 Mb/s gdy mu pozwoli łącze gdy inni pójdą spać.

Ok, a jak on wykrywa, kiedy inne hosty "idą spać"? Czy po prostu "na siłę wpycha się" w łącze? Czy może patrzy czy pakiety lecą na pozostałych regułach (lejcach)?

Obawiam się, że pakiety wchodzą głębiej do firewalla (szczególnie przy łańcuchu "upload") i nadwyżka pakietów ze wszystkich hostów jest DROP-owana do sumarycznej granicy na co pozwala "grupa".
Jeżeli jest tylko host C1 to leci maks. grupy a gdy pojawia się pakiet od hosta C2 to obcinany jest burst dla C1.

Fajnym rozwiązaniem byłoby założenie "lejców" na wejściu do interfejsu (tabela netdev -> hook ingress) , zanim pakiety wejdą do łańcuchów firewalla ale tym sposobem obetniesz sobie ruch w sieci LAN między hostami. A Ty chcesz tylko obcinać do/z Internetu sad

A tu pewnie już widziałeś ogólne przykłady:
https://wiki.nftables.org/wiki-nftables … re_example

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

16 Odpowiedź przez frutis

  • frutis
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2009-11-10
  • Posty: 1,697

Odp: Nftables - ograniczenie przepustowości dla wielu adresów IP razem

Czy takie ograniczanie prędkości obciąża mocno procesor?

17 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,068

Odp: Nftables - ograniczenie przepustowości dla wielu adresów IP razem

Zależy ile tych regułek masz i co właściwie robisz, ale tak, wszelki qos zwykle powoduje mocny spadek wydajności.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

18 Odpowiedź przez ambrozy5

  • Zarejestrowany: 2015-01-27
  • Posty: 2,429

Odp: Nftables - ograniczenie przepustowości dla wielu adresów IP razem

Cezary napisał/a:

Zależy ile tych regułek masz i co właściwie robisz, ale tak, wszelki qos zwykle powoduje mocny spadek wydajności.

Genialny qos ma mikrotik - Simple queues, kiedyś jak byłem jeszcze adminem małej sieci osiedlowej to się w tym zakochałem , parę minut i wszystko wyklikane a do tego nie zużywał niewiadomo ile procesora do sprawnego działania. Da się takie coś wyklikać w openwrt? W pfsense mam kreator klik klik i gotowe ale nie mam potrzeby używania qos .

Dom : router https://i.imgur.com/IuB6Zwy.png | TP-LINK T1700G-28TQ |Zyxel XGS-1210-12 | 6x Ruckus r310 unleashed  + Ruckus icx7150-c12p | Truenas scale 124TB 25Gb| Xpenology 12TB | apc smart ups 750 lcd smile 100Mb/s - 25Gb/s
Podróżne : GL.Inet MT3000  +1TB hdd
Działka : rb260gs 1j wdm 1Gb+ ruckus r310 + nb m5 + kilka kamer ip  + panel 285Wp + lifepo4 12v 60Ah .

19 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,068

Odp: Nftables - ograniczenie przepustowości dla wielu adresów IP razem

Nie. Nie ma klikadła i generalnie wszystko robisz ze skryptów samodzielnie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona