Pytanie (moze i niezbyt wyszkukane )
Czy ktos kiedys probowal polis tak aby zezwolic na pojedyncze polaczenie TCP z konkretnym portem (host)
Jesli host otwiera wiele palaczen do server'a - jak mozna "zmusic" aby tylko jedno dostalo "permit" a reszte "drop" - do tego samego IP/port'u ?
Moze jest gdzies na web'ie .. jak ktos widzial - prosze o podeslanie
A moze ktos wie jak zmusic ow system Linusa T. zeby zrobil policing nas 1200kb zamias 1Gb - to moze nawet lepsze ... policing na routerze skonczy sie zle dla aplikacji ...
policing pojedynczego TCP flow
policing pojedynczego TCP flow
Pozdrowienia
Hoover
Hoover
Re: policing pojedynczego TCP flow
Czyzbys tego szukal?:hoover pisze:A moze ktos wie jak zmusic ow system Linusa T. zeby zrobil policing nas 1200kb zamias 1Gb - to moze nawet lepsze ... policing na routerze skonczy sie zle dla aplikacji ...
http://lartc.org/
http://www.rns-nis.co.yu/~mps/linux-tc.html
I jakis przyklad policingu ingress:
http://blog.stevedoria.net/20050906/ing ... nux-and-tc
To tym lepiej ;), bo pierwotnie linuxowe tc bylo zaprojektowane dla szlifowania egressa (ingress to taki dodatek ;) )-> patrz w pierwszy link, jakies proste przyklady jak tego mozna uzyc:hoover pisze:prawie ...
tylko policing jest na ingres .. a ja potrzebuje "tresowac" flow na egress (TX) - ale opis b.ciekawy ..
http://www.linux.com/howtos/Adv-Routing ... ngle.shtml
http://www.linux.com/howtos/Adv-Routing ... cing.shtml
Mozna limitowac pod Linuxem ingress dokladnie takimi samymi dyscyplinami kolejkowania jak egress ( poza prostym ingressem). Wymaga to
a) IMQ - czytaj rekompilacji jadra(patch), dodatkowe urzadzenie na ktorym zakladasz wszystko jak na zwyklym ethX ( jak na wyjsciu ), ale ruch tam dociera z wejscia danego interfejsu
b) IFB - to samo, w kernelach nowszych distro powinno juz byc, ale w pewnych sytuacjach ( z NATem ) nie wystarcza (brak mozliwosci klasyfikacji na podstawie ipkow juz zaNATtowanych).
Dzieki IMQ i IFB mozna robic ingress typu:
1. glowna kolejka wejsciowa - PRIO z 3 dziecmi
1.1 PFIFO (pod PRIO) dla VOIPa
1.2 HFSC (z limitem np 1200kbps) pod inne rzeczy
1.3 HFSC (z limitem np 3mbps) pod p2p.
Co do pytania z limitowaniem, jest cos takiego jak connlimit - limituje ilosc rownolegle trzymanych polaczen na bazie wiedzy conntracka (statefull connection tracking). Mozesz zrobic tak na serwerze ze np UID=100 do np ip 1.2.3.4 tcp dport 12345 bedzie mogl trzymac tylko 1 polaczenie, kazde kolejne -> REJECT --reject-with tcp-reset -- o to chodzi ?
Mozna tez takie polaczenie zaMARKowac i tylko mu ograniczyc wyjscie (np na zwyklym eth0) do powiedzmy 1200kbps.
a) IMQ - czytaj rekompilacji jadra(patch), dodatkowe urzadzenie na ktorym zakladasz wszystko jak na zwyklym ethX ( jak na wyjsciu ), ale ruch tam dociera z wejscia danego interfejsu
b) IFB - to samo, w kernelach nowszych distro powinno juz byc, ale w pewnych sytuacjach ( z NATem ) nie wystarcza (brak mozliwosci klasyfikacji na podstawie ipkow juz zaNATtowanych).
Dzieki IMQ i IFB mozna robic ingress typu:
1. glowna kolejka wejsciowa - PRIO z 3 dziecmi
1.1 PFIFO (pod PRIO) dla VOIPa
1.2 HFSC (z limitem np 1200kbps) pod inne rzeczy
1.3 HFSC (z limitem np 3mbps) pod p2p.
Co do pytania z limitowaniem, jest cos takiego jak connlimit - limituje ilosc rownolegle trzymanych polaczen na bazie wiedzy conntracka (statefull connection tracking). Mozesz zrobic tak na serwerze ze np UID=100 do np ip 1.2.3.4 tcp dport 12345 bedzie mogl trzymac tylko 1 polaczenie, kazde kolejne -> REJECT --reject-with tcp-reset -- o to chodzi ?
Mozna tez takie polaczenie zaMARKowac i tylko mu ograniczyc wyjscie (np na zwyklym eth0) do powiedzmy 1200kbps.