Проблема ми е следния:
имам рутер на Слак 10.1, пачнат с POM.
Искам да оптимизирам малко p2p трафика и по точно
торентите.Първо с ipp2p спрях напълно торентите, но сега
малко се вдигна трафика а и е гадно това положение за
потребителите, затова сложих CONNMARK и с начина описан в
www.ipp2p.org, трафика който е за торенти се регулира
идеално ( с tc,sbq и CLASSIFY).Обаче мисля че е и добра
идея да се опитам и да огранича конекциите на p2p, но досега
не става, въпреки че не ми дават грешка правилата който пиша
с iptables.Искам например клиента да може да направи 5-10
сесий на download и 2-4 na upload на p2p ( torent) трафик.
Правилата който съм написал са следните:
iptables -t mangle -A PREROUTING -p tcp -j CONNMARK
--restore-mark
iptables -t mangle -A PREROUTING -p tcp -m mark ! --mark 0
-j ACCEPT
iptables -t mangle -A PREROUTING -p tcp -m ipp2p --ipp2p -j
MARK --set-mark 1
iptables -t mangle -A PREROUTING -p tcp -m mark --mark 1 -j
CONNMARK --save-mark
iptables -t mangle -A POSTROUTING -o eth1 -m mark --mark 1
-j CLASSIFY --set-class 11:3
# клас 11:3 => 512 Kbit.
Работи перфетно.
После се опитвам с connlimit, четох доста по интернет. но и
малкото примери който намерих не работят.
Пиша правила от рода:
iptables -t filiter -A FORWARD -p tcp -o eth1 -m mark --mark
1 -m connlimit --connlimit-above 10 -j DROP
iptables -t filiter -A FORWARD -p tcp -o eth1 -s
10.10.10.0/24 -m mark --mark 1 -m connlimit
--connlimit-above 10 -j DROP
( тук страното е че в този случай направо блокира
торентите, а само ако махна "-o eth1", тогава пък не се
прави никакво органичение.
Пробвах и с mangle, с INPUT, с POSTROUTING, не дава грешка,
iptables -L и iptables -t mangle -L ми показват че
правилата ги има, но просто не става никакво ограничение на
конекцийте.
Някой може ли да ми даде съвет, бъркам ли или просто тези
два модула -m mark и -m connlimit са несъвместими в едно
правило.Или пък да зане друг начин да органичаване на
паралелни конекции на точно и само на p2p трафика.
|
