URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 82533
[ Назад ]

Исходное сообщение
"Ограничение входящего трафика."
Отправлено DmitryKambur , 22-Окт-08 23:17

Есть задача такого рода: Итак, линукс. Есть много (до 2000) ppp интерфейсов. Надо резать скорость каждому интерфейсу. Но резать не одним скопом, а каждому свою персонально выставлять, да еще разделять на два-три класса (интернет, внутренние ресурсы, городские ресурсы). Задача шейперения исхода решается тривиально и мы ее не рассматриваем. Вопрос касается как это реализовать на входе. (с нашей стороны вход, для юзера это исход). Я понимаю, что есть дисциплина ingress, с помощью которой можно сделать рейтлимит. Как я сейчас делаю: с помощью iptables в PREROUTING маркирую трафик в зависимости от назначения и затем фильтрами в ingress режу его с помощью полисера ориентируясь по fwmark. Всё работает стабильно, трафик до 500-600 Мбит, аптаймы по году, все довольны. Но... Лавочка прикрылась. Старый полисер объявили obsolete и потом его убрали (по крайней мере в ядрах >2.6.23). Новый полисер срабатывает ДО iptables и конечно маркировок не видит. Как быть? То есть нужно надежное и быстрое решение в случае входящего трафика. IFB? Пытаться вешаться тучей классов на исходящий езернет?

Содержание

Ограничение входящего трафика.,thehangedman, 03:29 , 23-Окт-08
- Ограничение входящего трафика.,DmitryKambur, 10:13 , 23-Окт-08

Сообщения в этом обсуждении

"Ограничение входящего трафика."
Отправлено thehangedman , 23-Окт-08 03:29

>Но... Лавочка прикрылась. Старый полисер объявили obsolete и потом его убрали (по крайней мере в ядрах >2.6.23).
А зачем вам обновлять ядро, раз все так хорошо работает? От добра добра не ищут.
>Новый полисер срабатывает ДО iptables и конечно маркировок не видит.
Как вариант - tc filter u32, раз маркировали только по назначению
>IFB?
Или imq, и плевать на идеологию)

"Ограничение входящего трафика."
Отправлено DmitryKambur , 23-Окт-08 10:13

>>Но... Лавочка прикрылась. Старый полисер объявили obsolete и потом его убрали (по крайней мере в ядрах >2.6.23).
>
>А зачем вам обновлять ядро, раз все так хорошо работает? От добра
>добра не ищут.
Знаю. но увы, начальство слишко авторитарно. Приходится искать пути. Да и старое ядро уже не собирается на новых дистрибутивах, потому что новая версия компилятора, другие библиотеки и пошло-поехало...
>
>>Новый полисер срабатывает ДО iptables и конечно маркировок не видит.
>
>Как вариант - tc filter u32, раз маркировали только по назначению
В bнгрессе один фильтр - одно ограничение. Разве можно в одном классификаторе u32 собрать сразу несколько ip dst? Просто там позиций 40, разные сети.
>
>>IFB?
>
>Или imq, и плевать на идеологию)
Ой, помню, как он вис и вызывал кернел паник. Было это правда 3 года назад, может что и изменилось...