1 Temat przez jkdobro (edytowany przez jkdobro 2007-02-01 19:28:10)

  • Skąd: Mielec
  • Zarejestrowany: 2006-12-30
  • Posty: 194

Temat: QOS + monitor ruchu w LAN

Witam,

OpenWRT posiada możliwość ustawienia QOS. Chciałbym ustawić zasady zarządzania pasmem w sieci LAN.
W sieci LAN znajduje się kilka kompów (nad którymi nie do końca mam kontrolę) oraz telefony VoIP. Część komputerów w sieci jest połączona przez LAN, a część przez WLAN.
W związku z tym mam kilka pytań.

1. Czy jest możliwość blokowania/udostępniania zasobów za pomocą identyfikacji po MAC i/lub IP?
2. Jak ustawić priorytety i pasma, żeby urządzenie VoIP pracowało bez zacięć (zagwarantowanie pasma)?
3. Czy można ograniczyć pasmo dla jakiegoś użytkownika, po przekroczeniu limitu pobranych danych w jakimś okresie czasu?
4. Jak wygląda sprawa monitorowania zużycia pasma (obciążenia sieci) dla konkretnego IP?

Jarek

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,109

Odp: QOS + monitor ruchu w LAN

Temat rzeka. Na wszystkie pytania: tak, da się. Do prostych zastosowań masz w openwrt gotowe skrypty, do bardziej skompilowanych spraw, podziału na usługi, czasowe itd trzeba sobie samemu napisać. Szukaj pod imq, cbq, iptables, tc, markowanie pakietów i http://www.inet.one.pl/

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,109

Odp: QOS + monitor ruchu w LAN

Wczoraj ktoś opisywał qos ze względu na voip: http://forum.openwrt.org/viewtopic.php?id=9270, może być interesujące dla Ciebie

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

4 Odpowiedź przez jkdobro

  • Skąd: Mielec
  • Zarejestrowany: 2006-12-30
  • Posty: 194

Odp: QOS + monitor ruchu w LAN

Witam,

Znalazłem na http://openlinksys.info/forum/viewthrea … ad_id=1337 temat dotyczący monitorowania ruchu w LAN.

Włazisz na tomato za pomocą Telnetu lub SSH, i wpisujesz na początek:

iptables -N traffic_in
iptables -N traffic_out
iptables -I FORWARD 1 -j traffic_in
iptables -I FORWARD 2 -j traffic_out

Potem wpisujesz dane każdego z kompów które chcesz sprawdzać:
iptables -A traffic_in -d <IP-Kompa>
iptables -A traffic_out -s <IP-Kompa>

Uwaga: W drugim jest -s a nie -d!

Sprawdzasz stan za pomocą
iptables -L traffic_in -vn

- Dla Downloadu
iptables -L traffic_out -vn

- Dla Uploadu

Zerujesz liczniki za pomocą:
iptables -Z traffic_in
iptables -Z traffic_out

Mam pytanie (GuruCezary na pewno wie smile).
Czy da się to tak zmodyfikować, żeby liczył tylko ruch z/do <IP-Kompa> na WAN (czyli tylko ruch z/do internetu)?

5 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,109

Odp: QOS + monitor ruchu w LAN

zamiast
iptables -A traffic_in -d <IP-Kompa>
iptables -A traffic_out -s <IP-Kompa>

to

iptables -A traffic_in -d <IP-Kompa> -s ! <IP-routera>
iptables -A traffic_out -s <IP-Kompa> -d ! <IP-routera>

Będzie zliczał wszystko od kompa ale pod warunkiem,że nie pochodzi z serwera

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

6 Odpowiedź przez jkdobro

  • Skąd: Mielec
  • Zarejestrowany: 2006-12-30
  • Posty: 194

Odp: QOS + monitor ruchu w LAN

Oczywiście <IP-routera> od strony LAN (192.168.1.1)?

A co się będzie działo kiedy 2 kompy z LAN będą wymieniały dane między sobą? Ruch zostanie zliczony czy odrzucony?

7 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,109

Odp: QOS + monitor ruchu w LAN

zliczony. A tego tez nie chcesz?  To dodaj odpowiednie -i / -o  związane z interfejsami i jeszcze bardziej to zawęzisz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

8 Odpowiedź przez jkdobro

  • Skąd: Mielec
  • Zarejestrowany: 2006-12-30
  • Posty: 194

Odp: QOS + monitor ruchu w LAN

A da się wyłączyć całą pulę IP wewnętrznych np. 192.168.1.* (lub w podobny sposób)? Wtedy zliczło by pakiety wychodące tylko poza obręb LAN.

9 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,109

Odp: QOS + monitor ruchu w LAN

192.168.1.0/24, pewnie że się da

Tak po prawdzie jak robisz 192.168.1.XX to on przyjmuje że to jest 192.168.1.XX/32.

Coś mi się zdaje, że nie czytałeś w ogóle o iptables...

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

10 Odpowiedź przez jkdobro

  • Skąd: Mielec
  • Zarejestrowany: 2006-12-30
  • Posty: 194

Odp: QOS + monitor ruchu w LAN

Muszę się przyznać bez bicia, że tej lekcji faktycznie dobrze nie odrobiłem smile, głównie z braku czasu, ale również ze względu na rozległość tematu..... Sukcesywnie nadrabiam zaległości.... smile

Mam jeszcze 2 pytania:
1. Jak całkowicie zdeaktywować (usunąć) traffic_in i traffic_out?
2. Wspominałeś że zewnętrzny storage przy czętym zapisie można zajechać. Czy założenie na nim bazy danych i dokonywanie wpisów (z traffic) co 1 lub 5 minut szybko mu da radę? Jaka jest bezpieczna ilość zapisów dla tego typu pamięci?

11 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,109

Odp: QOS + monitor ruchu w LAN

1. -I dodaje regułkę -D usuwa, czyli iptables -D FORWARD 2 -j traffic_out itd.
2. Policz. Zakladając że dozwolone jest 100 000 zapisów na sektor. Co minutę to 100 000 minut żeby zajechać nośnik. Czyli jakieś 70 dni jeżeli mnie kalkulator nie oszukuje. Oczywiście że nie będziesz cały czas zapisywał tego samego sektora, bo logi będą Ci rosły, więc rozmiar pliku powiększał i tym samym fizyczny sektor zmieniał.

W praktyce karta karcie nie równa i nikt nie wie ile tych zapisów wytrzyma.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

12 Odpowiedź przez jkdobro (edytowany przez jkdobro 2007-03-24 00:05:13)

  • Skąd: Mielec
  • Zarejestrowany: 2006-12-30
  • Posty: 194

Odp: QOS + monitor ruchu w LAN

Podczas próby zliczania ruchu z IP 192.168.2.1, iptables pokazuje cały czas ruch 0. Na innych IP ładnie wszystko zlicza.
Co może być powodem nie działania zlicznia dla 192.168.2.1 ? Ten IP ma router (WL500gP) i stoi na nim również Asterisk. Asterisk na pewno generuje jakiś ruch do WAN. Nie rozumiem tego....

Ustawiam regułki:

iptables -N traffic_in
iptables -N traffic_out
iptables -I FORWARD 1 -j traffic_in
iptables -I FORWARD 2 -j traffic_out
iptables -A traffic_in -d 192.168.2.1 -s ! 192.168.2.0/24
iptables -A traffic_out -s 192.168.2.1 -d ! 192.168.2.0/24

i sprawdzam:

iptables -L traffic_in -vnx
iptables -L traffic_out -vnx

wynik:

    pkts      bytes target     prot opt in     out     source               destination
       0        0            all  --  *      *      !192.168.2.0/24       192.168.2.1
       0        0            all  --  *      *       192.168.2.1         !192.168.2.0/24


Mam jeszcze jeden zgryz. Za skarby nie mogę usunąć regułek traffic_in i traffic_out.

iptables -D FORWARD 1 -j traffic_in
iptables -D FORWARD 2 -j traffic_out

zgłasza błąd:

iptables v1.3.3: Illegal option `-j' with this command

Próba zrobienia samego:

iptables -D FORWARD

wysadziło w powietrze system (reset). Czy muszę kasować wszystkie wprowadzone reguły pojedynczo? Jak to ugryźć?

PS.
Trochę się już podszkoliłem z iptables.... smile

13 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,109

Odp: QOS + monitor ruchu w LAN

Źle ci napisałem. Musisz usunąć każdą regułkę po kolei, albo wyczyścić całą tablicę nat przez -X. Ale tak zniszczysz cały firewall openwrt i nic nie będziesz miał. Najlepiej zrób /etc/init.d/S35firewall to ustawi wszystko od nowa i pozbędziesz się regułek.

Asteriks zainstalowany na ruterze na pewno nie generuje ruchu od ip lan od wan. Ba, ponieważ on jest lokalnie to w ogóle nie przechodzi przez FORWARD, bo to dotyczy zdalnych maszyn. Wiec nie wpadnie w te regułki. Musisz założyć dodatkowe na OUTPUT/INPUT

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona