Jump to content

QOS iptables

anix
 Share

Recommended Posts

anix

anix

Posted
Posted

Коллеги, на форуме много тем поднималось по классификации трафика.

есть задача, громко ее назвать можно как DPI на linux, суть - разбить весь трафик абонента на 3 класса (http, потоковое вещание и пр. и разного рода закачки (ftp, http, p2p)).

Поискал решения - нашел l7-filter и ipp2p.

Вопрос, а можно ли средствами iptables (length, string, mark) выделить из http трафика по длине пакетов просмотр сайтов, потоковое видео и закачки?

anix

anix

Posted
  • Author
Posted
Можно

см. connbytes

Только p2p идут по кусочкамm и сегментированные закачки тоже

пока проверяю конструкцию вида:

l7-filter userspace, в конфиге:

http 6

httpvideo 7

httpaudio 7

 

в iptables:

#заворачиваем трафик в фильтр

iptables -t mangle -A PREROUTING ! -i lo -j NFQUEUE --queue-num 0

#переносим метку с пакета на соединение

iptables -t mangle -A POSTROUTING -m mark --mark 6 -j CONNMARK --save-mark

#переносим метку с соединения на пакеты

iptables -t mangle -A POSTROUTING -m connmark --mark 6 -j CONNMARK --restore-mark

#http длиннее 1,2мб - помечаем 9

iptables -t mangle -A POSTROUTING -m mark --mark 6 -m connbytes --connbytes 1200000: --connbytes-dir both --connbytes-mode bytes -j MARK --set-mark 9

iptables -t mangle -A POSTROUTING -m mark --mark 9 -j CONNMARK --save-mark

iptables -t mangle -A POSTROUTING -m connmark --mark 9 -j CONNMARK --restore-mark

 

Логику вроде отрабатывает, может есть какие моменты, которые я не учел? (аудио и видео не проверял еще, только http и закачки через http, метится верно)

anix

anix

Posted
  • Author
Posted (edited)

Мой метод отделения закачек от просмотра страничек не проканал, кто подскажет более рабочйи вариант? :)

 

P.S. ввел дополнительные класы трафика (dns, smtp, pop, p2p, etc), вроде отрабатывает все, а вот с http болт, думал попробовать из набора паттерны для l7-filter, но там расширений файлов не так уж и много для детектирования.

 

Зато забавно видеть как при открывание сайтов торренты прижимаются в полосе :)

Edited by anix

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.