Перейти к содержимому
Калькуляторы

h3ll1

Активный участник
 Просмотреть профиль  Активность

  • Публикации

    338

  • Зарегистрирован

  • Посещение

 Тип публикации 

Сообщения, опубликованные пользователем h3ll1

  1. Опубликовано · Изменено пользователем h3ll1 · Жалоба на ответ

    On 4/21/2021 at 1:35 PM, vop said:

    а хост

    Сам хост и меня интересует. Как (с хостом и трафик промежуточний - без CT флоу) захватить на QOS-a.

     

    On 4/21/2021 at 3:27 AM, vop said:

    потом, для двухстороннего шейпера

    Можно там ползоваться ipset-a (нс-чужой)?

  2. Опубликовано · Изменено пользователем h3ll1 · Жалоба на ответ

    On 4/22/2021 at 12:36 PM, vsmith80 said:

    да, проблема только при передаче в интернет транзитного трафика в один поток. 

    Передаете флуда с вашего хостинга. Ничто плохое. (https://github.com/pavel-odintsov/fastnetmon)

  3. Опубликовано · Жалоба на ответ 

    то, как минимум, 2,

    не так. >=1 . Физика и все остальное - интерфейси можно називать как хочеш. Тут вопрос (может бить баг) для nft возможно ли или нет.

    Юзеркейс - не только у меня. 

    Извините.

  4. Опубликовано · Жалоба на ответ

    6 hours ago, h3ll1 said:

    не сработало 

    nft add chain netdev dev  egress-eth0 { type filter hook egress device "eth0" priority 0\; policy accept\;} 
Error: Could not process rule: Operation not supported
add chain netdev dev egress-eth0 { type filter hook egress device eth0 priority 0; policy accept;}
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

    ps. https://www.spinics.net/lists/netfilter-devel/msg70104.html пача.

  7. Опубликовано · Изменено пользователем h3ll1 · Жалоба на ответ

    On 4/18/2021 at 7:41 PM, vurd said:

    ничего невозможно понять.

    Впервие: схема (ВПН+- очереди на одного интефейса) или (етХХ---етХХ)

    Схема сети: что-то ----- етХ ....нат и тд. ---- еtY....

    Проблема сети: связано с QOS и ACCOUNTING не само то что на етY, но и етХ! Если нат, (сделаете после или впереди Ваше значение) надо сделать QOS.

    Нашел что то:

    Quote

    http://patchwork.ozlabs.org/project/netfilter-devel/patch/14ab7e5af20124a34a50426fd570da7d3b0369ce.1583927267.git.lukas@wunner.de/

     

    Сделали люди чтото ВСЕ хочут: марк на ипт"Х", а класифай на ifb (+нфмарк)

     

    On 4/18/2021 at 4:11 AM, vop said:

    требуется только netns?

    НУ и сам человек сказал что контейнер для NS-a, но для задачи нужно сделять (ВиртМ).

    Для дела нужна (ВМ) чтоб била промежуточая связка интерфейсов. НО, не подходит все интрефейси на БРидж.

     

    Вот и ИДЕЯ, что делают:

    https://lwn.net/Articles/671458/

     

      

    tc qdisc add dev eth0 clsact
tc filter add dev eth0 egress matchall action  mirred egress redirect dev ifb1 
nft add rule inet mark-rules marks2 ip saddr @mynets meta priority set 2:322 ct mark set 322 counter

     

    Работает для IN+OUT 

     

    пс. попровобал: 

    Quote

    http://patchwork.ozlabs.org/project/netfilter-devel/patch/14ab7e5af20124a34a50426fd570da7d3b0369ce.1583927267.git.lukas@wunner.de/

    не сработало, но идея добра.( множество правил будет сюда. Юзерспейс) .

      

    cat /proc/cpuinfo | grep MHz | wc

     4      16      80

  8. Опубликовано · Изменено пользователем h3ll1 · Жалоба на ответ

    Проблема не связана, что данная схема не работает, а потому что для реализации надо пользоватся контрак-а. 

    При помощи IMQ - после postrouting делять все что угодно, Но нельзя на ingress. IFB  - делается все, НО нельзя с машиной взять соединение (типа VPN) и его исходящий трафик на QOS.

    Ну и затем вопрос - как поможет LXC (с помощи редиректа для тех - (нат адрессации)), когда сам контейнер связивается к остольном миру только через BRIDGE ( а не надо bridge-ит всех интерфейсов). 

    ps. у nft есть проблем, связан с редирект (dev vs inet) - не работают одинаково (они сказали что после 0.9.0 так, но нет, я так думаю (https://stackoverflow.com/questions/66976852/nftables-difference-between-netdev-and-inet-hooks)).

  10. Опубликовано · Изменено пользователем h3ll1 · Жалоба на ответ

    Проблемa -

    сейчас вход + выход на множество вланов и множество интерфейсов.

    debian 9 + ( iptables + ipset + IMQ + nft + НАТ) )+ kernel 4.19.XXX.

    Видде, все хорошо, но там есть лимитация в softirq, связаная с tc+imq (вроде 4г трафика больше нет),

    но с кернел  >5.9 не работает IMQ, и услышал что есть решение с LXC, когда сам контейнер может быть промежуточний шлюз для НАТа и для самого QOSa.

    Я сам протестовал, но с VLC, не все там работают macvlan|bridge|veth интерфейси.

    Ну и вопрос - как сделать промежуточний интерфейс вроде IFB с контейнера, чтоб сделать nft(-iptables-imq)+nat+qos на одной машине.

     

    подумал для nft "fw to" интерфейс.

     

    ps. Ето не для тя QOS-a полисинг, а для шейпинг.

      

                --eth1.1---  |  ifb0  |                 |  | local connected --   
ex->	        --eth1.2 --  |  ifb0  |                 |  | pppXXX --  
	        --eth2.2 --- |  ifb0  |                 |  | dhcp ---                   как сделать QOS в переди НАТ-а
	        --ethX.X --- |  idb0  |                 |  | vlan4 ---

     

  11. Опубликовано · Изменено пользователем h3ll1 · Жалоба на ответ

    On 3/22/2021 at 12:38 PM, lacost said:

    kоллеги, столкнулись с необъяснимыми потерями пакетов

    Вот и понадобился админ. :)

    16 hours ago, vurd said:

    Замените tc на ipt_ratelimit

    замените на nft (nftables)