opt1k

Видимо и правда нельзя использовать отрицание, ну и фик с ним. Подскажите, как будет обработан трафик в такой ситуации: 1)есть трафик с src 192.168.5.0\24 и dst 192.168.5.0\24. 2)есть два разных правила, но трафик соотетствует обоим, например : $TC filter add dev ifb0 protocol ip parent 1:0 prio 1 u32 match ip src 192.168.5.0\24 flowid 1:100 $TC filter add dev ifb0 protocol ip parent 1:0 prio 1 u32 match ip dst 192.168.5.0\24 flowid 1:101 Интересует: трафик будет обработан только первым правилом? обоими? как-то ещё?

Добрый день! Есть: 1) сеть 192.168.5.0/24 2) роутер с линуксом eth0 - интернет, eth1 - 192.168.5.1 3) куча клиентов в сети 192.168.5.0/24 Нужно ограничивать скорость от клиентов в интернет. Всё вроде бы получилось, но текущие настройки режут и трафик от клиентов к самому роутеру 192.168.5.1 Далее привожу текущий конфиг: #in root $TC qdisc add dev ifb0 root handle 1: htb default 300 #out root $TC qdisc add dev ifb1 root handle 2: htb default 300 #ingress $TC class add dev ifb0 parent 1: classid 1:1 htb rate 900kbit ceil 901kbit #egress $TC class add dev ifb1 parent 2: classid 2:1 htb rate 900kbit ceil 901kbit #others $TC class add dev ifb0 parent 1:1 classid 1:300 htb rate 32kbit $TC class add dev ifb1 parent 2:1 classid 2:300 htb rate 32kbit $TC qdisc add dev ifb0 parent 1:300 sfq perturb 10 $TC qdisc add dev ifb1 parent 2:300 sfq perturb 10 #2 $TC class add dev ifb0 parent 1:1 classid 1:2 htb rate 64kbit ceil 512kbit $TC class add dev ifb1 parent 2:1 classid 2:2 htb rate 64kbit ceil 512kbit $TC qdisc add dev ifb0 parent 1:2 sfq perturb 10 $TC qdisc add dev ifb1 parent 2:2 sfq perturb 10 $TC filter add dev ifb0 protocol ip parent 1:0 prio 1 u32 match ip src 192.168.5.2 flowid 1:2 $TC filter add dev ifb1 protocol ip parent 2:0 prio 1 u32 match ip dst 192.168.5.2 flowid 2:2 #voip $TC class add dev ifb0 parent 1:1 classid 1:100 htb rate 320kbit ceil 512kbit $TC class add dev ifb1 parent 2:1 classid 2:100 htb rate 320kbit ceil 512kbit $TC qdisc add dev ifb0 parent 1:100 sfq perturb 10 $TC qdisc add dev ifb1 parent 2:100 sfq perturb 10 $TC filter add dev ifb0 protocol ip parent 1:0 prio 1 u32 match ip src 192.168.5.100 flowid 1:100 $TC filter add dev ifb1 protocol ip parent 2:0 prio 1 u32 match ip dst 192.168.5.100 flowid 2:100 ifconfig ifb0 up #ingress redirection $TC qdisc add dev eth1 ingress $TC filter add dev eth1 parent ffff: protocol ip prio 1 u32 match u32 0 0 flowid 1: action mirred egress redirect dev ifb0 #egress redirection $TC qdisc add dev eth1 root handle 2: htb $TC filter add dev eth1 parent 2: protocol ip prio 1 u32 match u32 0 0 flowid 2: action mirred egress redirect dev ifb1 Вобщем надо каким-то образом переделать фильтр u32 match. Я понимаю как работает данный фильтр. И предполагаю что нужно сделать подобное правило: трафик с src 192.168.5.0 и dst НЕ 192.168.5.0 отправлять в ifb, остальное мимо. Но вот как это сделать с помощью данного фильтра - не понимаю. Смотрел документацию и не нашёл там возможности задать адрес отрицанием. Подскажите, каким образом можно решить мою проблему?

спасибо всем за ответы. Часа два потратил на поиск хороших примеров с CLASSIFY, но так ничего и не нашёл. Посмотрел в инете как народ делает более внимательно и решил вообще не метить трафик. В итоге получилось такое: ip link set dev ifb1 up TC="/sbin/tc" tc qdisc del dev ifb0 root handle 1: tc qdisc del dev ifb1 root handle 2: tc qdisc del dev eth1 ingress tc qdisc del dev eth1 root handle 2: #in root $TC qdisc add dev ifb0 root handle 1: htb default 300 #out root $TC qdisc add dev ifb1 root handle 2: htb default 300 #ingress $TC class add dev ifb0 parent 1: classid 1:1 htb rate 900kbit ceil 901kbit #egress $TC class add dev ifb1 parent 2: classid 2:1 htb rate 900kbit ceil 901kbit #others $TC class add dev ifb0 parent 1:1 classid 1:300 htb rate 32kbit $TC class add dev ifb1 parent 2:1 classid 2:300 htb rate 32kbit $TC qdisc add dev ifb0 parent 1:300 sfq perturb 10 $TC qdisc add dev ifb1 parent 2:300 sfq perturb 10 #2 $TC class add dev ifb0 parent 1:1 classid 1:2 htb rate 64kbit ceil 512kbit $TC class add dev ifb1 parent 2:1 classid 2:2 htb rate 64kbit ceil 512kbit $TC qdisc add dev ifb0 parent 1:2 sfq perturb 10 $TC qdisc add dev ifb1 parent 2:2 sfq perturb 10 $TC filter add dev ifb0 protocol ip parent 1:0 prio 1 u32 match ip src 192.168.5.2 flowid 1:2 $TC filter add dev ifb1 protocol ip parent 2:0 prio 1 u32 match ip dst 192.168.5.2 flowid 2:2 . . . #voip $TC class add dev ifb0 parent 1:1 classid 1:100 htb rate 320kbit ceil 512kbit $TC class add dev ifb1 parent 2:1 classid 2:100 htb rate 320kbit ceil 512kbit $TC qdisc add dev ifb0 parent 1:100 sfq perturb 10 $TC qdisc add dev ifb1 parent 2:100 sfq perturb 10 $TC filter add dev ifb0 protocol ip parent 1:0 prio 1 u32 match ip src 192.168.5.100 flowid 1:100 $TC filter add dev ifb1 protocol ip parent 2:0 prio 1 u32 match ip dst 192.168.5.100 flowid 2:100 ifconfig ifb0 up #ingress redirection $TC qdisc add dev eth1 ingress $TC filter add dev eth1 parent ffff: protocol ip prio 1 u32 match u32 0 0 flowid 1: action mirred egress redirect dev ifb0 #egress redirection $TC qdisc add dev eth1 root handle 2: htb $TC filter add dev eth1 parent 2: protocol ip prio 1 u32 match u32 0 0 flowid 2: action mirred egress redirect dev ifb1 На тестовой машинке работает нормально, через 3 часа народ в офисе появится и будут тестить. Для чистоты эксперимента о нововведениях я говорить сотрудникам пока не буду :). ПС долго думал и пришёл к выводу что шейпить одновременно и исходящий и входящий трафик на одном ifb интерфейсе нельзя, прав ли я? (иначе скорость будет складываться из даунлоада и аплоада суммарно) И ещё 1 вопросик есть, но его чуть позже задам, сейчас уже засыпаю сидя...

обновление не помогло, вот скрипт который запускаю: TC="/sbin/tc" $TC qdisc del dev ifb0 root handle 1: $TC qdisc del dev eth0 ingress #my root $TC qdisc add dev ifb0 root handle 1: htb default 25 #root cfg $TC class add dev ifb0 parent 1: classid 1:1 htb rate 9000kbit ceil 9010kbit #others $TC class add dev ifb0 parent 1:1 classid 1:25 htb rate 320kbit #voip $TC class add dev ifb0 parent 1:1 classid 1:11 htb rate 560kbit ceil 1120kbit $TC qdisc add dev ifb0 parent 1:11 handle 10:0 sfq perturb 10 $TC qdisc add dev ifb0 parent 1:25 handle 50:0 sfq perturb 10 $TC filter add dev ifb0 protocol ip parent 1:0 prio 1 u32 match ip src 192.168.100.102 flowid 1:11 ifconfig ifb0 up $TC qdisc add dev eth0 ingress $TC filter add dev eth0 parent ffff: protocol ip prio 10 u32 match u32 0 0 flowid 1: action ipt -j MARK --set-mark 1 action mirred egress redirect dev ifb0 В дебиане 6 работает, в убунту 10.04 нет, вываливает ошибку: /lib/iptables/libipt_mark.so: cannot open shared object file: No such file or directory failed to find target MARK bad action parsing parse_action: bad value (11:ipt)! Illegal "action" Гугл кроме как бага дебиана ничего внятного не даёт. Что подскажите?

пришлось дома собрать тестовый стенд дабы разобраться. Данную проблему решил. Но попытался на боевой машине "закрепить" полученный опыт и Сейчас обновляю ОС, надеюсь поможет...

Добрый день! Настраиваю свой первый шейпер на линуксе. До этого использовал dummynet под freebsd. Итак, дано: Шлюз eth2 - интернет, канал 1мбит. Nat eth1 - локалка (192.168.5.1) tap0 - openvpn, работает через интернет, т.е. через eth2 (172.16.0.5) Есть несколько компов, которые выходят в инет через этот шлюз. Есть голосовой шлюз, выходящий в инет через данный шлюз, его адрес 192.168.5.100. Необходимо дать шлюзу гарантировано 256кбит, т.е. нужно настроить шейпер. Я начал с простого - решил попробовать ограничить исходящую скорость на tap0: TC="/sbin/tc" $TC qdisc del dev tap0 root handle 1: #my root $TC qdisc add dev tap0 root handle 1: htb default 25 #root cfg $TC class add dev tap0 parent 1: classid 1:1 htb rate 900kbit ceil 901kbit #others $TC class add dev tap0 parent 1:1 classid 1:25 htb rate 32kbit #voip $TC class add dev tap0 parent 1:1 classid 1:11 htb rate 256kbit ceil 512kbit $TC qdisc add dev tap0 parent 1:11 handle 10:0 sfq perturb 10 $TC qdisc add dev tap0 parent 1:25 handle 50:0 sfq perturb 10 $TC filter add dev tap0 protocol ip parent 1:0 prio 1 u32 match ip src 192.168.5.100 flowid 1:11 Всё получилось, ограничение заработало. Далее решил попробовать засунуть всё это дело в ifb - неудачо. Я пробовал множество вариантов, здесь все приводить, наверно, нет смысла. Поэтому выложу наиболее понятный для меня. $TC qdisc del dev ifb0 root handle 1: $TC qdisc del dev tap0 root handle 2: #my root $TC qdisc add dev ifb0 root handle 1: htb default 25 #root cfg $TC class add dev ifb0 parent 1: classid 1:1 htb rate 900kbit ceil 901kbit #others $TC class add dev ifb0 parent 1:1 classid 1:25 htb rate 32kbit #voip $TC class add dev ifb0 parent 1:1 classid 1:11 htb rate 256kbit ceil 512kbit $TC qdisc add dev ifb0 parent 1:11 handle 10:0 sfq perturb 10 $TC qdisc add dev ifb0 parent 1:25 handle 50:0 sfq perturb 10 $TC filter add dev ifb0 protocol ip parent 1:0 prio 1 u32 match ip src 192.168.5.100 flowid 1:11 $TC qdisc add dev tap0 root handle 2: prio $TC filter add dev tap0 parent 2: protocol ip u32 match u32 0 0 action mirred egress redirect dev ifb0 $TC filter add dev ifb0 protocol ip parent 1:0 prio 2 handle 111 fw classid 1: iptables -t mangle -A POSTROUTING -o tap0 -j MARK --set-mark 111 Подскажите чего делаю не так?

Надежды юношей питают :) не понимаю вашего сарказма Видел как в одной конторе этим летом купили карту на 2 порта E1 этого производителя и в итоге запустить ее удалось им только под Gentoo. Не проще купить карты Digium или Sangoma если нужны порты и уже есть машина с Астером?

мне дали зелёный свет для покупки cisco, если есть варианты оборудования более надёжные чем cisco, то я с удовольствием их выслушаю.

спасибо за ответ. Addpac и Audiocodes - дорого, я хочу купить циски здесь, у нага. По цене циска тут раза в 2 дешевле чем новый addpac.

Спасибо за ответ. Я пришёл к такому решению: 1)Asterisk(уже поставил, настроил софтфоны, работает, понравилось) как АТС в ГО(главный офис). 2)В ГО выкинуть старую миниАТСку и закупить 1 шлюз Cisco 1760 16-port Analog Bundle с 16 FXS портами и 1 шлюз Cisco 1760 с 8 FSX и 8 FXO интерфейсами. 3) В филиалы закупить те же шлюзы Cisco 1760 только с нужным кол-вом модулей FXO\FXS. Будет ли такое решение работать? и есть ли альтернативы с более низкой стоимостью(оборудование выбрал cisco, т.к. нужна высокая надёжность) Есть задача: В филиале г.Новосибирск есть 2 местных городских линии и телефонных аппарата. Я покупаю шлюз Cisco 1760 с 2 или больше FXO портами и 3 или больше FXS портами для этого филиала. Мне надо что бы пользователи сидящие в Новосибирске могли звонить со своих телефонов включенных в сей шлюз и на городские номера(допустим через префикс 9) и на внутренние номера организации. Вопрос: позволяет ли шлюз Cisco 1760 решить данную задачу? И подскажите, какой должен быть максимальный пинг. У меня до некоторых филиалов он колеблется от 100 до 120 мс, т.к. трафик ходит внутри vpn туннеля.

Картина такая: 1)Центральный офис в столице матушки, есть миниатс Панас тес-824, 5 городских линий и порядка 20 внутренних 2)куча филиалов по стране с кол-вом внешних линий 1-3 и кол-ом внутренних трубок 2-10 Нужно: 1)Всё объединить в единую сеть, что бы по внутреннему номеру можно было дозвониться до любого филиала. 2)в качестве аппаратов использовать существующие аналоговые 3)отсылать\принимать факсы Я так понимаю самым бюджетным вариантом будет покупка кучи voip шлюзов, или нет? Подскажите как решить данную задачу с минимальным бюджетом. Спасибо.

оптика принципиальна, ибо скоро лето, гроза... где можно почитать про технологию сколов и пр. в доступной форме?

надо сделать сабж, расстояние метров 50 между зданиями. У меня единственный вопрос - как быть с коннекторами, нужен ли для этого сварочный аппарат, или же коннетор можно "насадить" и без спец. оборудования?

на пути от точки к точке препятствий нет, радиус на котором прпепятствия отсутствуют около метра.

мне не то что хочется, мне нужно вайфай ибо река... если ББ стабильно вытянет на таком расстоянии 40 мегабит с хорошими атеннами то с микротиком я даже заморачиваться не хочу.