Re: packet shaper
Hans-Georg Bork schrieb: > > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 \ > > > -j DNAT 192.168.10.1 > > Das ist schon syntaktisch grottenflasch - semantisch sowieso... > Habe ich mich beim abtippen aus dem "Lehrbuch" vertippt? wenn ja, wo? Syntaktisch: iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 22 \ -j DNAT --to-destination 192.168.10.1 Semantisch: DNAT macht keinen Sinn. Er hat eine offizielle externe IP und bestimmter Traffic soll diese nutzen. Ergo SNAT in POSTROUTING: iptables -A POSTROUTING -o eth1 -p tcp -m tcp --dport 22 \ -j SNAT --to-source 123.123.123.123 (Das ist aber nur ein theoretisches Syntax-Beispiel und korrespondiert nicht mit dem von mir vorgeschlagenen Konzept) -- [EMAIL PROTECTED] -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: packet shaper
Jens Benecke schrieb: > Unser Firewall läuft momentan mit iptables inkl. transparentem Proxy Huahua - das böse Wort: transparenter Proxy. Ich will gar nicht auf den technischen Aspekt raus, das wäre für mich schon Gegenargument genug. Dazu findest Du sicherlich ausreichend Pro/Contra im Netz. Für mich ist es einfach eine Stilfrage. Ich finde es unangemessen die Nutzer zu gängeln oder gar im Unklaren zu lassen. Wenn die Betriebs- vorgaben einen Proxy erfordern, dann nutze ich auch die Funktion des Redirects, allerdings nur um die Nutzer auf einen extra Intranet vhost zu leiten, der als ErrorDocument die index.html ausliefert, die erklärt, warum man einen Proxy benutzen muss, wie man dies einstellt, usw. Guter DAU Mechanismus: die Leute wollen einfach in's Web und bekommen erst mal die Betriebsbedingungen und Anleitungen auf den Schirm. > Unser momentaner Gateway (P-Pro 200 - der Vorgänger war ein 486DX-33 > :) hat IIRC momentan drei Netzwerkkarten. Er filtert mit iptables und > macht Accounting (via net-acct und ein paar Perl-Skripten und einer Hehe, ich kenne Leute, die meinen ein Gateway sollte möglichst schwachbrüstig sein, um potentiellen Hackern kein zu leistungsfähiges System zu bieten... Ich habe da leider keine greifbaren Werte, aber jetzt noch ein paar witzige Ideen, wie den Nutzern ein Webinterface an die Hand geben, mit dem Sie Firewall-Regeln für ihre feste IP am Gateway definieren können. Und fleissig conntrack verwenden, mtrg oder ähnliche CPU-Killer und es wird sicher eng mit einem P200. Die Methode eine alte Kiste für's Gate zu verwenden ist sehr verbreitet. Ich unterstütze das, wenn der Gedanke dahinter steht, dass ein bereits benutztes System, dass so schon einige Monate sauber lief mit einem geringeren Ausfallrisiko behaftet ist, wie eine neues frisch aus dem Karton. Ansonsten versuche ich das gleiche zu verwenden, wie für Web- oder andere Dienste auch. Vereinfacht die Austauschbarkeit und heutzutage kann in einigen Szenarios auch ein Gateway eine anständige CPU-Power benötigen. > über SSH getunnelten MySQL-Verbindung zum Hauptserver). Momentan geht > da pro Monat ca 200-300GB Traffic drüber. Ordentlicher Wert. Bei einer 2Mbit im Grunde schon Vollsättigung, wenn sich das in den üblichen Gausschen Schwankungen über den Tag verteilt. Hansenet freut sich sicher schon ;-) > Server und das Gateway. An der anderen Seite des Gateways hängt eine > Cisco (2500?), und daran hängt der SDSL-Splitter zur TUHH. Wenn die Cisco eine eigene IP hat und sich von einem Client, der eine IP im gleichen Netz hat, nicht direkt (sondern nur über das Gate) ansprechen lässt, sollte alles im grünen Bereich sein. Na ja, dann könnt Ihr ja Eurer RZ verblüffen, dass man mittlerweile für den Router einer 2Mbit keine -zig tausend Taler ausgeben muss, sondern meistens ein kleines harmloses Kästchen kostenlos gestellt bekommt. Sieht man trotzdem noch häufig, teure Ciscos als reines Leitungsabschlussgerät mit einem belanglosen statischen Routing - Hauptsache Markenlabel. > Ich will den Leuten, die meinen es zu brauchen, eine Möglichkeit > geben, ihren Traffic-Wahn auszuleben - und die, die es nicht > interessiert, weil sie sowieso nur 10MB im Monat für drei EMails und > etwas rumgesurfe brauchen, nicht weiter stören. Absolut eine gute Idee, primär mal nur private IPs per DHCP zu verteilen. Da können die User nicht viel falsch machen. Dabei wird am Gate MASQUERADE in Richtung Hansenet und für bestimmte Dienste oder Ziel-IP im Uninetz SNAT über die Uni-Linie gemacht. Nutzer, die sich besser auskennen und die Vorteile einer festen IP haben möchten, könnten sich diese dann gezielt holen. Sei's manuell oder über ein selbstgebasteltes Webinterface. -- [EMAIL PROTECTED] -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
neu packet shaper
moin moin so jetzt sind so einige von dem ursprünglichen thema abgeschwoffen. egal. mein shaper funzt nicht. ich habe nen 2.4er kernel mit den von shaper benötigten modules. ich starte den pc. als nächstes schau ich mir mal die route an. >route -n ># Kernel IP Routing Table Destination Gateway GenmaskFlags Metric Ref Use Iface 192.168.1.0 0.0.0.0 255.255.255.0 U 00 0 eth0 0.0.0.0192.168.1.1 0.0.0.0 U 00 0 eth0 die zweite route ist die default route .? jedenfalls zu löschen mit" route -n del default" was soll die erste route da? wie kriege ich die weg? ein ping in die aussenwelt funzt einwandfrei. mit default route sobald ich versuche die erste route zu loeschen.z.b. >route -n del default SIOCDELRT: No such process oder: >route -n del net 192.168.1.0 gw 0.0.0.0 dev eth0 diesen befehl in allen varinten ausgeführt führte meistens zu dieser fehlermeldung. net: Host name lookup failure.oder host: Host name lookup failure. ich lade shaper in den kernel. mit modconf. und fange an : >shapecfg attach shaper0 eth0 >shapecfg speed shaper0 1 >ifconfig shaper0 192.168.1.199 netmask 255.255.255.0 broadcast 192.168.1.255 up ich habe shaper0 und eth0 die gleiche IP zugewiesen. richtig? >route -n ergibt jetzt folgendes Kernel IP routing table Destination Gateway Genmask Flags Metric RefUse Iface 192.168.1.0 0.0.0.0 255.255.255.0 U 0 00 eth0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 00 shaper0 jetzt gebe ich die route an. route -n add default gw 192.168.1.1 dev shaper0 debian:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric RefUse Iface 192.168.1.0 0.0.0.0 255.255.255.0 U 0 00 eth0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 00 shaper0 0.0.0.0 192.168.1.1 0.0.0.0 UG0 00 shaper0 debian:~# ping 62.96.190.82 PING 62.96.190.82 (62.96.190.82): 56 data bytes --- 62.96.190.82 ping statistics --- 9 packets transmitted, 0 packets received, 100% packet loss erst wenn ich die eth0 route wieder einbinde funzt der ping erst wieder. route -n add default gw 192.168.1.1 dev eth0 debian:~# ping 62.96.190.82 PING 62.96.190.82 (62.96.190.82): 56 data bytes 64 bytes from 62.96.190.82: icmp_seq=0 ttl=246 time=13.0 ms 64 bytes from 62.96.190.82: icmp_seq=1 ttl=246 time=12.8 ms aber dann läuft doch alles wieder über eth0 und nicht über shaper0. und ich kann den speed nicht drücken. was mch ich verkehrt? mfg torsten -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: packet shaper
On Mon, 2002-07-15 at 23:20, Rainer Ellinger wrote: > hgb at users.sourceforge.net schrieb: > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 \ > > -j DNAT 192.168.10.1 > > Das ist schon syntaktisch grottenflasch - semantisch sowieso... Habe ich mich beim abtippen aus dem "Lehrbuch" vertippt? wenn ja, wo? > > > Evtl. habe ich aber auch kompletten Bloedsinn geschrieben ;-) > > tumm tee tamm... Kein Kommentar ist auch ein Kommentar ;-) -- hgb -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: packet shaper
Moin, On Mon, 2002-07-15 at 21:27, Jens Benecke wrote: > [...] > > > Irgendwo in /etc/init.d lauert dann ein script mit u.a. diesem: > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT 192.168.10.1 Das DNAT auf 192.168.10.1 kannst Du weglassen, wenn TUHH Dich so durchlaesst ... > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT 192.168.20.1 > > und so weiter mit allen anderen ports, bzw. --multiport ... Das Paket kommt auf 192.168.0.1:80 rein (ich bleibe bei den Beispieladressen), da ja einer aus dem netz versucht ueber 192.168.0.1 zu verbinden. Dieses Anfrage-Paket wird umadressiert auf 192.168.20.1, so dass es quasi auf eth0:2 nochmal ankommt, nur das dieses nicht passiert, sondern es einfach (durchs routing) auf eth2 (hanse) ausgegeben wird. Und eth2 wird maskiert: iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE Damit sollte dann jedes Paket, das auf eth0 (Wohnheim) auf port 80 ankommt, durch einen weiteren Durchlauf auf eth2 (hanse) ausgegeben werden, wobei es dann maskiert wird. > [...] > Ja, so hatte ich mir das prinzipiell auch vorgestellt. Das Verbinden der > beiden Netze ist mir aber noch nicht wirklich klar. Im Prinzip müssen > wir das 134.28.72.0/23 Netz (das ist das Wohnheim) für die > Hansenet-Ports (und nur für die) hinter dem Hansenet-Port maskieren, für > die restlichen Verbindungen nicht. > > Aber danke für deine Tipps. :) Da nich' fuer. Evtl. ist das ja immernoch Bloedsinn ;-) Hat jemand noch 'ne andere Idee? -- hgb -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: packet shaper
hgb at users.sourceforge.net schrieb: > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 \ > -j DNAT 192.168.10.1 Das ist schon syntaktisch grottenflasch - semantisch sowieso... > Evtl. habe ich aber auch kompletten Bloedsinn geschrieben ;-) tumm tee tamm... -- [EMAIL PROTECTED] -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: packet shaper
Jens Benecke schrieb: > > Gucken in /usr/share/doc/iproute/ip-cref.* unter dem Stichwort ".. > Ich habe rudimentäre Ahnung von Routing (will sagen, Dijksrta & Co Wichtiger wird es sein, mit iptables zurecht zu kommen. Das umfangreichste Howto dazu ist meines Wissens: http://freshmeat.net/projects/iptables-tutorial/ Zu "ip" gibt es neben .../share/doc/iproute noch www.lartc.org. "ip rule" benötigst Du nur für die offiziellen IPs der Uni, die durchgereicht werden müssen. Dabei geht beides: die Verteilung des Traffics komplett mit "ip rule" steuern oder das meiste mit iptables machen bzw. dort markieren und dann "ip rule" nur das Notwendigste machen lassen. > SSH und anderer interaktiver Kram usw. soll weiterhin über die TUHH > laufen, weil die so gute Latency-Zeiten und schön schnelle pings hat > und diese Dienste wenig bis kaum Traffic erzeugen. Ich würde die Logik genau umgekehrt ansetzen: der gesamte Traffic geht standardmässig über die Hansenet-DSL und nur explizit ausgewählter Verkehr geht über die Uni-SDSL. Das erscheint mir vom Konzept flexibler und kontrollierbarer. Dann können die Leute treiben, was sie wollen und es werden nur die Dienste über die Uni geführt, deren Traffic und Inhalt den vorgegebenen Bedingungen entspricht. Auf den Uni-Uplink wird nur geroutet, für die Hansenet-DSL macht man SNAT in der POSTROUTING Table. > Die Alternative ist, daß wir einfach 2 Gateways zur Verfügung stellen > und die Leute ihren Default-Gateway selbst aussuchen lassen. Das sowieso. Und zwar am besten, indem Du Gateway-Konzeptregel No. 1 folgst, die lautet "Netzwerkkarten, Netzwerkkarten, Netzwerkkarten". Ich kann immer nur mit dem Kopf schütteln, wenn ein Gateway gerade mal eine Karte für Intranet und eine für Extern hat. Immer besser noch eine Karte ungenutzt in petto haben. So kann man ohne den laufenden Betrieb zu unterbrechen erweitern, umbauen, noch eine DMZ aufmachen, etc. Ausserdem sollte jeder Uplink eine eigene Netzwerkkarte haben und Router/Modem sollten direkt über eine separate Line dran hängen. D.h. Kreuzkabel oder separater Mini-Hub. Bitte auf keinen Fall so einen Murks, beide Router und das Gateway oder gar noch das ganze Intranet an einen gemeinsamen Hub zu hängen. Zumal das sowieso ulkigen Spass mit icmp redirects und anderen Effekten bringen würde. Ich würde den Leuten aber auf jeden Fall auch eine Wahlmöglichkeit geben: und zwar gegen die Uni-Linie. Wer Dienste oder Ziel-IPs (z.B. Uni-intern), die standardmässig über den Uni-Uplink laufen würden, über Hansenet nach draussen führen möchte, sollte das auswählen können. Und zwar nicht über verschiedene Gateways, sondern über ein separates logisches (nicht physikalisches) Netz mit RFC 1918-IPs. Der Benutzer kann so durch die Wahl der eigenen IP festlegen, wie die gesonderten Dienste im einzelnen geroutet werden. Es ist für die meisten Leute einfacher einen Dienst an eine bestimmte Quell-IP zu binden, als diensteorientiert ein bestimmtes Ziel-Gateway anzusteuern ;-) -- [EMAIL PROTECTED] -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: packet shaper
Moin Jens, On Sun, 2002-07-14 at 23:37, Jens Benecke wrote: [...] > Och, ganz einfach. Momentane Situation: Dann bleiben wir doch einfach > > 2MBit SDSL (IIRC) 2x 34MBit > < Wohnheim >< Terror-Uni-HH >--< Internet > Wenn ich das richtig sehe, bekommt srv.Wohnheim 'ne dritte NIC. Damit waere: eth0 : das Wohnheim eth1 : -> TUHH eth2 : -> hanse Setzen wir dann noch ein IP's ein, ist eth1 : 192.168.10.10 eth2 : 192.168.20.10 eth0 bekommt drei Adressen: eth0 : 192.168.0.1 (das eigentliche Wohnheimnetz) eth0:1 : 192.168.10.1 eth0:2 : 192.168.20.1 Irgendwo in /etc/init.d lauert dann ein script mit u.a. diesem: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 \ -j DNAT 192.168.10.1 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 \ -j DNAT 192.168.20.1 und so weiter mit allen anderen ports, bzw. --multiport ... Es muss dann nur noch im routing festgelegt sein, das alles von eth0:1 auf eth1 und von eth0:2 auf eth2 ausgegeben wird. Eigentlich sollte das so funktionieren. Evtl. habe ich aber auch kompletten Bloedsinn geschrieben ;-) -- hgb -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
RE: packet shaper
Hallo, ich sage nur: apt-get install rinetd, http://www.boutell.com/rinetd/ Mit diesem Programm, welches wirklich super einfach zu konfigurieren ist, kann man eingehende TCP-Verbindungen an jeden beliebige IP-Adresse weiterleiten, mache ich mit SMTP hier so. Gruß Sebastian -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: packet shaper
Jens Benecke schrieb: > ich habe ein ähnliches Problem. Ich möchte Verbindungen zu bestimmten > Ziel-Ports (80, 81, 443, 412, usw.) über eine route laufen lassen, > den Rest über eine andere. Kriege ich das mit iproute & Co hin oder > wo muss ich gucken? Gucken in /usr/share/doc/iproute/ip-cref.* unter dem Stichwort "ip rule". Die Doku zu "ip" ist zum Glück mittlerweile etwas üppiger. Allerdings nichts für in 5 Minuten durchscannen. Ich würde es vom Umfang mit detaillierten Kenntnissen zu iptables/netfilter vergleichen. Router-Spezis dürften sich an die Syntax schneller gewöhnen. In der Regel kommt eine Kombination aus beidem zum Einsatz: iptables und ip. Obige Szenario ist mir noch nicht ganz klar. Pinsel mal eine kleine ABC-Strichgrafik oder mache eine detailliertere Beschreibung. Dann kann ich ein Beispiel konstruieren. -- [EMAIL PROTECTED] -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: packet shaper
On Sat, Jul 13, 2002 at 09:42:08AM +0200, Rainer Ellinger wrote: > Torsten Puls schrieb: > > ich brauch einen packet shaper fuer linux. programm zur bandbreiten > > messung und beschneidung. > > Der Standard für 2.4 Kernel ist, wenn QoS aktiviert ist, das Kommando > "tc" aus dem Paket "iproute". > > Bei der fulminanten Doku zu diesem Thema und Kommando ist es > allerdings besser, das Thema vorher schon zu beherrschen ;-> Also > brauchst Du etwas Ausdauer und ein gutes Händchen für Google... Hallo, ich habe ein ähnliches Problem. Ich möchte Verbindungen zu bestimmten Ziel-Ports (80, 81, 443, 412, usw.) über eine route laufen lassen, den Rest über eine andere. Kriege ich das mit iproute & Co hin oder wo muss ich gucken? -- mfg, Jens Benecke /// http://www.linuxfaq.de, http://www.linux.ms This mail is an attachment? Read http://www.jensbenecke.de/misc/outlook.html http://www.hitchhikers.de - Die größte kostenlose Mitfahrzentrale im Internet "Microsoft may provide updates that will be automatically downloaded onto your computer. These updates may disable your ability to copy and/or play content and use other software on your computer." -- http://bsdvault.net/article.php?sid=527&mode=&order=0 msg12611/pgp0.pgp Description: PGP signature
Re: packet shaper
Torsten Puls schrieb: > ich brauch einen packet shaper fuer linux. > programm zur bandbreiten messung und beschneidung. Der Standard für 2.4 Kernel ist, wenn QoS aktiviert ist, das Kommando "tc" aus dem Paket "iproute". Bei der fulminanten Doku zu diesem Thema und Kommando ist es allerdings besser, das Thema vorher schon zu beherrschen ;-> Also brauchst Du etwas Ausdauer und ein gutes Händchen für Google... -- [EMAIL PROTECTED] -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: packet shaper
Hi ich verwende eine bereits im Linuxkernel (2.4) vorhandene Komponente, den Traffic Shaper. Dieser wird 1: als Modul kompiliert, 2: geladen modprobe shaper 3: man definiert ein virtuelles Interface, welches mit dem zu bremsenden verknüpft wird shapecfg attach shaper0 eth0(eth0 extern) 4: dann definiert man die Geschwindigkeit shapecfg speed shaper0 1 5: und erweckt das Interface zum Leben ifconfig shaper0 router netmask 255.255.250.0 up 6: jetzt muß man nur noch dafür sorgen, daß das Interface überhaupt benutzt wird route del default route add default gw dev shaper0 Damit wird der komplette Traffic über den Shaper geleitet. Ansonsten steht hier viel: http://www.tldp.org/HOWTO/Bandwidth-Limiting-HOWTO/ Gruss Jochen > hallo > ich brauch einen packet shaper fuer linux. > programm zur bandbreiten messung und beschneidung. > > was gibt es da? > mfg torsten > > > -- > Zum AUSTRAGEN schicken Sie eine Mail an > [EMAIL PROTECTED] > mit dem Subject "unsubscribe". Probleme? Mail an > [EMAIL PROTECTED] (engl) > -- GMX - Die Kommunikationsplattform im Internet. http://www.gmx.net -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: packet shaper
Hallo Thorsten, * Torsten Puls <[EMAIL PROTECTED]> [020711 13:06]: > ich brauch einen packet shaper fuer linux. > programm zur bandbreiten messung und beschneidung. > > was gibt es da? home:/# apt-cache search shaper ... shaper - Traffic Shaper for Linux shaperd - A user-mode traffic shaper for tcp-ip networks. ... Gruß uli -- 'The box said, 'Requires Windows 95 or better', so i installed Linux - TKK 5 -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
packet shaper
hallo ich brauch einen packet shaper fuer linux. programm zur bandbreiten messung und beschneidung. was gibt es da? mfg torsten -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)