Gå til innhold

Allokering av båndbredde

simrem

Av simrem
i Operativsystemer

Anbefalte innlegg

simrem

simrem

Skrevet
Skrevet

hei,

 

Har en brannmur med endel brukere. Jeg har en misstanke om at jo flere tilkoblinger en ip-adresse bruker, jo større andel av båndbredda legger den beslag på.

 

Min ønsketenkning er å ha en slags qos, der du alltid har krav på en normalfordelt båndbredde pr IP + eventuell resterende kapasitet. Så visst du er alene, kan du utnytte linjen 100%. Er det 2 på linja skal hver bruker ha minst 50% av linjen. Jeg sier minst 50% fordi visst den andre brukeren ikke benytter sine 50%, så kan den andre igjen bruke det som er ledig tilgjennelig.

 

Jeg bruker en linux brannmurdistro som blandt annet benytter iptables. Internettforbindelsen er av type ADSL2, der uthastigheten blir flaskehalsen.

 

Problemet er hovedsaklig kryptert bittorrent pakker som blir opplastet. Det er vell ikke mulig å bruke DPI (deep packet inspection) på slike pakker? Slik som i denne artikkelen: http://www.f5.com/solutions/technology/pdf...eshaping_wp.pdf

Er det mulig å forme trafikken slik i linux? hvordan?

 

Det ble en liten avsporing fra temaet her på slutten...

 

Noen som kan bekrefte/avkrefte mine påstander og/eller gi meg svar på mine spørsmål? :)

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Langbein

Langbein

Skrevet
Skrevet
OpenBSD sin PF støtter båndbreddestyring.

7427164[/snapback]

Linux støtter også traffic shaping, bare ikke med iptables-kommandoen (dvs. iptables kan brukes til å klassifisere pakker, og begrense connections/sek osv).

 

Men linux har altså hatt støtte for skikkelig traffic shaping siden kernel 2.4 (hvis jeg ikke husker feil :hmm: ). Selve QoS-støtten er integrert i kjernen, og kommandoen tc (traffic control) er en del av iproute2-pakka.

 

Har fikla lite med tc selv, og det virker litt knotete å bruke. Men det fins også alternativer, som tcng og diverse frontends som forenkler (wondershaper, mastershaper...)

 

Har også testa ut en userspace traffic shaper som heter trickle, men den egner seg ikke til denne type bruk.

Lenke til kommentar
stigfjel

stigfjel

Skrevet
Skrevet
Linux støtter også traffic shaping, bare ikke med iptables-kommandoen (dvs. iptables kan brukes til å klassifisere pakker, og begrense connections/sek osv).

PF har all funksjonalitet man finner i iptables. Pluss at PF inneholder en del funksjonalitet man ikke finner i iptables. Traffic-shaping gjennom ALTQ, lastbalansering, CARP og AuthPF er eksempler på funksjoner iptables ikke har, men som er ganske nyttig funksjonalitet en avansert brannmur bør ha. En stor forskjell mellom iptables og PF er at PF har en mye mer forståelig syntaks slik at nye brukere vil være bedre i stand til å forstå PF enn iptables hvis man setter opp reglene selv.

 

Merk at traffic-shaping og load balancing ikke er det samme.

Lenke til kommentar
stigfjel

stigfjel

Skrevet
Skrevet
Det er vel ikke noen tvil om at PF er hakket kvassere enn iptables, og det er greit at én og annen påpeker det, men så lenge trådstarteren spesifiserer at han kjører Linux, tror jeg vi bør konsentrere oss om det.

7428114[/snapback]

Med mindre trådstarter bestemmer seg for å bytte ut GNU/Linux og iptables med OpenBSD og PF. I PF Users guide finner man faktisk flere eksempler på regeloppsett av traffic-shaping.

Lenke til kommentar
simrem

simrem

Skrevet
  • Forfatter
Skrevet

Nei det er ingen problem for meg å bytte ut Linux med OpenBSD.

 

Vil bare ha en fleksibel og stabil brannmur.

Skal kjøre den på en AMD Sempron 2600+ med 1,5GB minne.

 

Har ikke vært borti OpenBSD enda. Finnes det noen brannmur distroer som bruker OpenBSD? Hadde vært greitt å bruke webgrensesnitt for utføre enkle admin oppgaver.

Lenke til kommentar
stigfjel

stigfjel

Skrevet
Skrevet (endret)

Det er nok ingen brannmurdistroer som benytter OpenBSD. Men jeg synes i hvert fall at PF er såpass greit at jeg tror det vil gå greit. Husk at web-grensesnitt som webmin betyr en potensiell sikkerhetsrisiko. Dessuten, du lærer en god del mer av å gjøre ting selv. Kommandolinje kan vise seg å være svært effektiv når du kan bruke den riktig. Hvis du bestemmer deg for å bruke OpenBSD, kan installasjonen bli en liten utfordring. Men det er bare å bruke installasjonsguiden, som forøvrig fører deg igjennom relativt smertefritt. Å aktivere PF samt sette opp regler er ikke så vanskelig. Selv brukte jeg bare et par timer på å sette opp et enkelt og fungerende brannmuroppsett i OpenBSD, også inkludert installasjon. PF Users Guide er godt skrevet.

Endret av stigfjel
Lenke til kommentar
Langbein

Langbein

Skrevet
Skrevet
Linux støtter også traffic shaping, bare ikke med iptables-kommandoen (dvs. iptables kan brukes til å klassifisere pakker, og begrense connections/sek osv).

PF har all funksjonalitet man finner i iptables. Pluss at PF inneholder en del funksjonalitet man ikke finner i iptables. Traffic-shaping gjennom ALTQ, lastbalansering, CARP og AuthPF er eksempler på funksjoner iptables ikke har, men som er ganske nyttig funksjonalitet en avansert brannmur bør ha. En stor forskjell mellom iptables og PF er at PF har en mye mer forståelig syntaks slik at nye brukere vil være bedre i stand til å forstå PF enn iptables hvis man setter opp reglene selv.

 

Merk at traffic-shaping og load balancing ikke er det samme.

7427680[/snapback]

Jepp, det var derfor jeg skrev at man har kommandoen tc som brukes nettopp til traffic shaping ;)

 

Ellers har også iptables ufattelig mye funksjonalitet om man dykker litt ned i dokementasjonen, og det fins mange gode patcher (patch-o-matic). Det krever dog litt kompilering, men neppe noe mer enn hva man må om man velger bsd :whistle:

Lenke til kommentar
stigfjel

stigfjel

Skrevet
Skrevet (endret)
Jepp, det var derfor jeg skrev at man har kommandoen tc som brukes nettopp til traffic shaping ;)

7430604[/snapback]

Men PF har denne funksjonen innebygget, så man vil ikke trenge å lære seg å bruke en kommando i tillegg til pakkefilteret. Hele brannmur-konfigurasjonen vil være på ett sted.

 

Ellers har også iptables ufattelig mye funksjonalitet om man dykker litt ned i dokementasjonen, og det fins mange gode patcher (patch-o-matic). Det krever dog litt kompilering, men neppe noe mer enn hva man må om man velger bsd

All funksjonalitet iptables måtte ha, finnes som sagt også i PF. Hvorfor skal man bruke tid på å lete fram alle mulige obskøre patcher til iptables når PF likevel vil støtte det man har lyst til skal støttes? Dessuten, dokumentasjonen til PF er samlet mellom to permer, og man bruker mindre tid på å lese manualer. Når det kommer til kompilering: er det snakk om en dedikert brannmurmaskin er det svært lite kompilering som skal til. Uansett så er maskinen det er snakk om kraftig nok til at kompilering ikke blir noe problem. Det blir uansett mindre kompilering med OpenBSD/PF enn med GNU/linux og iptables, med forskjellige patcher til iptables.

 

Edit: det hadde vært fint om trådstarter hadde en formening om hva trådstarter vil, om trådstarter vil fortsette med en linux-basert brannmur eller bytte til en BSD-basert brannmur. Da forhindrer vi at diskusjonen går over til å bli en diskusjon om linux/iptables vs OpenBSD/PF. Hvis trådstarter ønsker å fortsette med GNU/Linux, kan denne tråden dedikeres til å handle om hvordan trådstarter kan få til det han ønsker med GNU/Linux og iptables. Hvis trådstarter derimot velger å gå for OpenBSD/PF finnes det et BSD/UNIX-forum trådstarter kan opprette en tråd i hvis trådstarter skulle lure på noe.

Endret av stigfjel
Lenke til kommentar
stigfjel

stigfjel

Skrevet
Skrevet
Trur jeg velger openbsd for brannmuren min.

 

Men kan jeg finne ut hva som er bittorrent pakker?

slik at jeg bruke traffic shaping på utgående trafikk.

7431002[/snapback]

Bittorrent bruker en spesifikk port, og du kan bruke traffic-shaping til å begrense båndbredden på denne porten.

Lenke til kommentar
stigfjel

stigfjel

Skrevet
Skrevet
Trur jeg velger openbsd for brannmuren min.

 

Men kan jeg finne ut hva som er bittorrent pakker?

slik at jeg bruke traffic shaping på utgående trafikk.

7431002[/snapback]

Bittorrent bruker en spesifikk port, og du kan bruke traffic-shaping til å begrense båndbredden på denne porten.

Lenke til kommentar
kyrsjo

kyrsjo

Skrevet
Skrevet

Bittorrent kan vel egentlig bruke alle mulige forskjellige porter.

 

Evt. kan du alliere deg med brukerene dine (dersom de er nat'a, slik at du har overtaket :p ) - "jeg forwarder bittorrent for deg, dersom du lover å *bare* bruke forwardet bittorrent", og så dedikere en port til hver bruker.

 

Prioritering av web, mail, ssh, ftp (?) etc. høres uansett ut som en god idé.

Lenke til kommentar
simrem

simrem

Skrevet
  • Forfatter
Skrevet

Er dere helt sikre på det?

Det er vell bare for å kommunisere med en tracker den bruker en spesifikk port, overføringene mellom en som deler og laster ned foregår på tilfeldige porter. Vet at ukrypterte bittorrentpakker har en gjenkjennelig header, men har krypterte pakker det?

Lenke til kommentar
stigfjel

stigfjel

Skrevet
Skrevet (endret)
Er dere helt sikre på det?

Det er vell bare for å kommunisere med en tracker den bruker en spesifikk port, overføringene mellom en som deler og laster ned foregår på tilfeldige porter. Vet at ukrypterte bittorrentpakker har en gjenkjennelig header, men har krypterte pakker det?

Uansett må bittorrent-programmet bruke en spesifikk port for å kunne kommunisere eksternt. Men bittorrent bruker bare en port, og det gjør den enkel å kontrollere.

Endret av stigfjel
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...