Shorewall-perl - The down sideWhile there are advantages to using Shorewall-perl, there are also
- disadvantages:
+ disadvantages.
-
-
- There are a number of incompatibilities between the
- Shorewall-perl compiler and the earlier one.
+
+ Incompatibilities
-
-
- The Perl-based compiler requires the following capabilities
- in your kernel and iptables.
+ There are a number of incompatibilities between the Shorewall-perl
+ compiler and the earlier one.
-
-
- addrtype match (Restriction relaxed in Shorewall-perl
- 4.0.1)
-
+
+
+ The Perl-based compiler requires the following capabilities in
+ your kernel and iptables.
-
- multiport match (will not be relaxed)
-
-
+
+
+ addrtype match (Restriction relaxed in Shorewall-perl
+ 4.0.1)
+
- These capabilities are in current distributions.
-
+
+ multiport match (will not be relaxed)
+
+
-
- Now that Netfilter has features to deal reasonably with port
- lists, I see no reason to duplicate those features in Shorewall.
- The Shorewall-shell compiler goes to great pain (in some cases) to
- break very long port lists ( > 15 where port ranges in lists
- count as two ports) into individual rules. In the new compiler,
- I'm avoiding the ugliness required to do that. The new compiler
- just generates an error if your list is too long. It will also
- produce an error if you insert a port range into a port list and
- you don't have extended multiport support.
-
+ These capabilities are in current distributions.
+
-
- BRIDGING=Yes is not supported. The kernel code necessary to
- support this option was removed in Linux kernel 2.6.20. Alternative bridge
- support is provided by Shorewall-perl.
-
+
+ Now that Netfilter has features to deal reasonably with port
+ lists, I see no reason to duplicate those features in Shorewall. The
+ Shorewall-shell compiler goes to great pain (in some cases) to break
+ very long port lists ( > 15 where port ranges in lists count as
+ two ports) into individual rules. In the new compiler, I'm avoiding
+ the ugliness required to do that. The new compiler just generates an
+ error if your list is too long. It will also produce an error if you
+ insert a port range into a port list and you don't have extended
+ multiport support.
+
-
- The BROADCAST column in the interfaces file is essentially
- unused; if you enter anything in this column but '-' or 'detect',
- you will receive a warning. This will be relaxed if and when the
- addrtype match requirement is relaxed.
-
+
+ BRIDGING=Yes is not supported. The kernel code necessary to
+ support this option was removed in Linux kernel 2.6.20. Alternative bridge support
+ is provided by Shorewall-perl.
+
-
- The 'refresh' command is now similar to restart with the
- exceptios that:
+
+ The BROADCAST column in the interfaces file is essentially
+ unused; if you enter anything in this column but '-' or 'detect',
+ you will receive a warning. This will be relaxed if and when the
+ addrtype match requirement is relaxed.
+
-
-
- The command fails if Shorewall is not running.
-
+
+ The 'refresh' command is now similar to restart with the
+ exceptios that:
-
- A directory name cannot be specified in the
- command.
-
+
+
+ The command fails if Shorewall is not running.
+
-
- The refresh command does not alter the Netfilter
- configuration except for the static blacklist.
-
-
-
+
+ A directory name cannot be specified in the
+ command.
+
-
- With the shell-based compiler, extension scripts were copied
- into the compiled script and executed at run-time. In many cases,
- this approach doesn't work with Shorewall Perl because (almost)
- the entire ruleset is built by the compiler. As a result,
- Shorewall-perl runs many extension scripts at compile-time rather
- than at run-time. Because the compiler is written in Perl, your
- extension scripts from earlier versions will no longer
- work.
+
+ The refresh command does not alter the Netfilter
+ configuration except for the static blacklist.
+
+
+
- The following table summarizes when the various extension
- scripts are run:
-
-
-
- Compile-time
+
+ With the shell-based compiler, extension scripts were copied
+ into the compiled script and executed at run-time. In many cases,
+ this approach doesn't work with Shorewall Perl because (almost) the
+ entire ruleset is built by the compiler. As a result, Shorewall-perl
+ runs many extension scripts at compile-time rather than at run-time.
+ Because the compiler is written in Perl, your extension scripts from
+ earlier versions will no longer work.
- Run-time
+ The following table summarizes when the various extension
+ scripts are run:
+
+
+
+ Compile-time
- Eliminated
-
+ Run-time
-
- initdone
+ Eliminated
+
- clear
+
+ initdone
- continue
-
+ clear
-
- maclog
+ continue
+
- initdone
+
+ maclog
-
-
+ initdone
-
- Per-chain (including those associated with
- actions)
+
+
- start
+
+ Per-chain (including those associated with
+ actions)
-
-
+ start
-
-
+
+
- started
+
+
-
-
+ started
-
-
+
+
- stop
+
+
-
-
+ stop
-
-
+
+
- stopped
+
+
-
-
+ stopped
-
-
+
+
- tcclear
+
+
-
-
-
-
-
+ tcclear
- Compile-time extension scripts are executed using the Perl
- 'eval `cat <file>`' mechanism. Be sure that each script
- returns a 'true' value; otherwise, the compiler will assume that
- the script failed and will abort the compilation.
+
+
+
+
+
- When a script is invoked, the $chainref scalar variable will hold a
- reference to a chain table entry.
+ Compile-time extension scripts are executed using the Perl
+ 'eval `cat <file>`' mechanism. Be sure that each script
+ returns a 'true' value; otherwise, the compiler will assume that the
+ script failed and will abort the compilation.
-
- $chainref->{name}
- contains the name of the chain
+ When a script is invoked, the $chainref scalar variable will hold a
+ reference to a chain table entry.
- $chainref->{table}
- holds the table name
-
+
+ $chainref->{name}
+ contains the name of the chain
- To add a rule to the chain:
+ $chainref->{table}
+ holds the table name
+
-
- add_rule $chainref, <the
- rule>
-
+ To add a rule to the chain:
- Where
+
+ add_rule $chainref, <the
+ rule>
+
-
- <the rule> is a scalar
- argument holding the rule text. Do not include "-A
- <chain name>"
-
+ Where
- Example:
+
+ <the rule> is a scalar
+ argument holding the rule text. Do not include "-A
+ <chain name>"
+
-
- add_rule $chainref, '-j ACCEPT';
-
+ Example:
- To insert a rule into the chain:
+
+ add_rule $chainref, '-j ACCEPT';
+
-
- insert_rule $chainref,
- <rulenum>, <the
- rule>
-
+ To insert a rule into the chain:
- The log_rule_limit function works like it does in the shell
- compiler with two exceptions:
+
+ insert_rule $chainref,
+ <rulenum>, <the
+ rule>
+
-
-
- You pass the chain reference rather than the name of the
- chain.
-
+ The log_rule_limit function works like it does in the shell
+ compiler with two exceptions:
-
- The commands are 'add' and 'insert' rather than '-A' and
- '-I'.
-
+
+
+ You pass the chain reference rather than the name of the
+ chain.
+
-
- There is only a single "pass as-is to iptables" argument
- (so you must quote that part
-
-
+
+ The commands are 'add' and 'insert' rather than '-A' and
+ '-I'.
+
- Example:
+
+ There is only a single "pass as-is to iptables" argument
+ (so you must quote that part
+
+
- log_rule_limit
+ Example:
+
+ log_rule_limit
'info' ,
$chainref ,
$chainref->{name},
@@ -314,14 +313,14 @@
'add'
'-p tcp ';
- Here is an example of an actual initdone script used with
- Shorewall 3.4:run_iptables -t mangle -I PREROUTING -p esp -j MARK --set-mark 0x50
+ Here is an example of an actual initdone script used with
+ Shorewall 3.4:run_iptables -t mangle -I PREROUTING -p esp -j MARK --set-mark 0x50
run_iptables -t filter -I INPUT -p udp --dport 1701 -m mark --mark 0x50 -j ACCEPT
run_iptables -t filter -I OUTPUT -p udp --sport 1701 -j ACCEPT
- Here is the corresponding script used with
- Shorewall-perl:use Shorewall::Chains;
+ Here is the corresponding script used with
+ Shorewall-perl:use Shorewall::Chains;
insert_rule $mangle_table->{PREROUTING}, 1, "-p esp -j MARK --set-mark 0x50";
insert_rule $filter_table->{INPUT}, 1, "-p udp --dport 1701 -m mark --mark 0x50 -j ACCEPT";
@@ -329,188 +328,186 @@ insert_rule $filter_table->{OUTPUT}, 1, "-p udp --sport 1701 -j ACCEPT";
1;
- The initdone script is unique because the $chainref variable
- is not set before the script is called. The above script
- illustrates how the $mangle_table, $filter_table, and $nat_table
- references can be used to add or insert rules in arbitrary
- chains.
-
+ The initdone script is unique because the $chainref variable
+ is not set before the script is called. The above script illustrates
+ how the $mangle_table, $filter_table, and $nat_table references can
+ be used to add or insert rules in arbitrary chains.
+
-
- The /etc/shorewall/tos file now has
- zone-independent SOURCE and DEST columns as do all other files
- except the rules and policy files.
+
+ The /etc/shorewall/tos file now has
+ zone-independent SOURCE and DEST columns as do all other files
+ except the rules and policy files.
- The SOURCE column may be one of the following:
+ The SOURCE column may be one of the following:
-
- [all:]<address>[,...]
+
+ [all:]<address>[,...]
- [all:]<interface>[:<address>[,...]]
+ [all:]<interface>[:<address>[,...]]
- $FW[:<address>[,...]]
-
+ $FW[:<address>[,...]]
+
- The DEST column may be one of the following:
+ The DEST column may be one of the following:
-
- [all:]<address>[,...]
+
+ [all:]<address>[,...]
- [all:]<interface>[:<address>[,...]]
-
+ [all:]<interface>[:<address>[,...]]
+
- This is a permanent change. The old zone-based rules have
- never worked right and this is a good time to replace them. I've
- tried to make the new syntax cover the most common cases without
- requiring change to existing files. In particular, it will handle
- the tos file released with Shorewall 1.4 and earlier.
-
+ This is a permanent change. The old zone-based rules have
+ never worked right and this is a good time to replace them. I've
+ tried to make the new syntax cover the most common cases without
+ requiring change to existing files. In particular, it will handle
+ the tos file released with Shorewall 1.4 and earlier.
+
-
- Shorewall-perl insists that ipset names begin with a letter
- and be composed of alphanumeric characters and underscores (_).
- When used in a Shorewall configuration file, the name must be
- preceded by a plus sign (+) as with the shell-based
- compiler.
+
+ Shorewall-perl insists that ipset names begin with a letter
+ and be composed of alphanumeric characters and underscores (_). When
+ used in a Shorewall configuration file, the name must be preceded by
+ a plus sign (+) as with the shell-based compiler.
- Shorewall is now out of the ipset load/reload business. With
- scripts generated by the Perl-based Compiler, the Netfilter
- ruleset is never cleared. That means that there is no opportunity
- for Shorewall to load/reload your ipsets since that cannot be done
- while there are any current rules using ipsets.
+ Shorewall is now out of the ipset load/reload business. With
+ scripts generated by the Perl-based Compiler, the Netfilter ruleset
+ is never cleared. That means that there is no opportunity for
+ Shorewall to load/reload your ipsets since that cannot be done while
+ there are any current rules using ipsets.
- So:
+ So:
-
-
- Your ipsets must be loaded before Shorewall starts. You
- are free to try to do that with the following code in
- /etc/shorewall/start:
+
+
+ Your ipsets must be loaded before Shorewall starts. You
+ are free to try to do that with the following code in
+ /etc/shorewall/start:
- if [ "$COMMAND" = start ]; then
+ if [ "$COMMAND" = start ]; then
ipset -U :all: :all:
ipset -F
ipset -X
ipset -R < /etc/shorewall/ipsets
fi
- The file /etc/shorewall/ipsets will
- normally be produced using the ipset -S
- command.
+ The file /etc/shorewall/ipsets will
+ normally be produced using the ipset -S
+ command.
- The above will work most of the time but will fail in a
- shorewall stop - shorewall
- start sequence if you use ipsets in your
- routestopped file (see below).
-
+ The above will work most of the time but will fail in a
+ shorewall stop - shorewall
+ start sequence if you use ipsets in your routestopped
+ file (see below).
+
-
- Your ipsets may not be reloaded until Shorewall is
- stopped or cleared.
-
+
+ Your ipsets may not be reloaded until Shorewall is stopped
+ or cleared.
+
-
- If you specify ipsets in your routestopped file then
- Shorewall must be cleared in order to reload your
- ipsets.
-
-
+
+ If you specify ipsets in your routestopped file then
+ Shorewall must be cleared in order to reload your ipsets.
+
+
- As a consequence, scripts generated by the Perl-based
- compiler will ignore /etc/shorewall/ipsets
- and will issue a warning if you set SAVE_IPSETS=Yes in
- shorewall.conf.
-
+ As a consequence, scripts generated by the Perl-based compiler
+ will ignore /etc/shorewall/ipsets and will
+ issue a warning if you set SAVE_IPSETS=Yes in
+ shorewall.conf.
+
-
- Because the configuration files (with the exception of
- /etc/shorewall/params) are now processed by
- the Shorewall-perl compiler rather than by the shell, only the
- basic forms of Shell expansion ($variable and ${variable}) are
- supported. The more exotic forms such as ${variable:=default} are
- not supported. Both variables defined in /etc/shorewall/params and
- environmental variables (exported by the shell) can be used in
- configuration files.
-
+
+ Because the configuration files (with the exception of
+ /etc/shorewall/params) are now processed by the
+ Shorewall-perl compiler rather than by the shell, only the basic
+ forms of Shell expansion ($variable and ${variable}) are supported.
+ The more exotic forms such as ${variable:=default} are not
+ supported. Both variables defined in /etc/shorewall/params and
+ environmental variables (exported by the shell) can be used in
+ configuration files.
+
-
- USE_ACTIONS=No is not supported. That option is intended to
- minimize Shorewall's footprint in embedded applications. As a
- consequence, Default Macros are not supported.
-
+
+ USE_ACTIONS=No is not supported. That option is intended to
+ minimize Shorewall's footprint in embedded applications. As a
+ consequence, Default Macros are not supported.
+
-
- DELAYBLACKLISTLOAD=Yes is not supported. The entire ruleset
- is atomically loaded with one execution of
- iptables-restore.
-
+
+ DELAYBLACKLISTLOAD=Yes is not supported. The entire ruleset is
+ atomically loaded with one execution of
+ iptables-restore.
+
-
- MAPOLDACTIONS=Yes is not supported. People should have
- converted to using macros by now.
-
+
+ MAPOLDACTIONS=Yes is not supported. People should have
+ converted to using macros by now.
+
-
- The pre Shorewall-3.0 format of the zones file is not
- supported; neither is the
- /etc/shorewall/ipsec file.
-
+
+ The pre Shorewall-3.0 format of the zones file is not
+ supported; neither is the /etc/shorewall/ipsec
+ file.
+
-
- BLACKLISTNEWONLY=No is not permitted with FASTACCEPT=Yes.
- This combination doesn't work in previous versions of Shorewall so
- the Perl-based compiler simply rejects it.
-
+
+ BLACKLISTNEWONLY=No is not permitted with FASTACCEPT=Yes. This
+ combination doesn't work in previous versions of Shorewall so the
+ Perl-based compiler simply rejects it.
+
-
- Shorewall-perl has a single rule generator that is used for
- all rule-oriented files. So it is important that the syntax is
- consistent between files.
+
+ Shorewall-perl has a single rule generator that is used for
+ all rule-oriented files. So it is important that the syntax is
+ consistent between files.
- With shorewall-shell, there is a special syntax in the
- SOURCE column of /etc/shorewall/masq to designate "all traffic
- entering the firewall on this interface except...".
+ With shorewall-shell, there is a special syntax in the SOURCE
+ column of /etc/shorewall/masq to designate "all traffic entering the
+ firewall on this interface except...".
- Example:#INTERFACE SOURCE ADDRESSES
+ Example:#INTERFACE SOURCE ADDRESSES
eth0 eth1!192.168.4.9 ...Shorewall-perl
- uses syntax that is consistent with the rest of
- Shorewall:#INTERFACE SOURCE ADDRESSES
+ uses syntax that is consistent with the rest of
+ Shorewall:#INTERFACE SOURCE ADDRESSES
eth0 eth1:!192.168.4.9 ...
-
+
-
- The 'allowoutUPnP' built-in action is no longer supported.
- In kernel 2.6.14, the Netfilter team have removed support for '-m
- owner --owner-cmd' which that action depended on.
-
+
+ The 'allowoutUPnP' built-in action is no longer supported. In
+ kernel 2.6.14, the Netfilter team have removed support for '-m owner
+ --owner-cmd' which that action depended on.
+
-
- The PKTTYPE option is ignored by Shorewall-perl.
- Shorewall-perl 4.0.0 requires Address type match. Shorewall-perl
- versions 4.0.1 and later will use Address type match if it is
- available; otherwise, they will behave as if PKTTYPE=No had been
- specified.
-
+
+ The PKTTYPE option is ignored by Shorewall-perl.
+ Shorewall-perl 4.0.0 requires Address type match. Shorewall-perl
+ versions 4.0.1 and later will use Address type match if it is
+ available; otherwise, they will behave as if PKTTYPE=No had been
+ specified.
+
-
- Shorewall-perl detects dead policy file entries that result
- when an entry is masked by an earlier more general entry.
+
+ Shorewall-perl detects dead policy file entries that result
+ when an entry is masked by an earlier more general entry.
- Example:
+ Example:
- #SOURCE DEST POLICY LOG LEVEL
+ #SOURCE DEST POLICY LOG LEVEL
all all REJECT info
loc net ACCEPT
-
-
-
+
+
+
-
- Shorewall-perl is dependent on Perl (see the next section) which
- has a large disk footprint. This makes Shorewall-perl less desirable
- in an embedded environment.
-
-
+
+ Dependence on Perl
+
+ Shorewall-perl is dependent on Perl (see the next section) which
+ has a large disk footprint. This makes Shorewall-perl less desirable in
+ an embedded environment.
+
diff --git a/docs/traffic_shaping_ru.xml b/docs/traffic_shaping_ru.xml
index df230e438..5627eae28 100644
--- a/docs/traffic_shaping_ru.xml
+++ b/docs/traffic_shaping_ru.xml
@@ -1,6 +1,5 @@
-
+
@@ -8,23 +7,19 @@
Управление трафиком и шейпинг трафика
-
- Tom
+ Tom
- Eastep
-
+ Eastep
-
- Arne
+ Arne
- Bernin
-
+ Bernin
- 2001-2006
+ 2001-2007Thomas M. Eastep
@@ -42,10 +37,7 @@
- Этот документ разрешается копировать, распространять и/или изменять при выполнении условий лицензии GNU Free Documentation License версии
-1.2 или более поздней, опубликованной Free Software Foundation; без неизменяемых разделов, без текста на верхней обложке, без текста на нижней обложке. Копия лицензии приведена по ссылке
-GNU Free Documentation
- License.
+ Этот документ разрешается копировать, распространять и/или изменять при выполнении условий лицензии GNU Free Documentation License версии 1.2 или более поздней, опубликованной Free Software Foundation; без неизменяемых разделов, без текста на верхней обложке, без текста на нижней обложке. Копия лицензии приведена по ссылке GNU Free Documentation License.
@@ -60,20 +52,15 @@
- LARTC HOWTO: http://www.lartc.org
+ LARTC HOWTO: http://www.lartc.org
- Руководство по HTB:
-http://luxik.cdi.cz/~devik/qos/htb/manual/userg.htm
+ Руководство по HTB: http://luxik.cdi.cz/~devik/qos/htb/manual/userg.htm
- Некоторые документы с сайта http://www.netfilter.org/documentation/index.html#documentation-howto.
- Рекомендуем ознакомиться с очень хорошим руководством Оскара Андреассона.
+ Некоторые документы с сайта http://www.netfilter.org/documentation/index.html#documentation-howto. Рекомендуем ознакомиться с очень хорошим руководством Оскара Андреассона.
@@ -82,26 +69,22 @@
-
+ ВведениеНачиная с версии 2.5.5 в Shorewall реализована встроенная поддержка управления трафиком и шейпинга трафика. В более ранних версиях эти возможности были ограниченными. Можно было использовать собственный сценарий tcstart (это можно и сейчас), но, за исключением файла tcrules, в файлах конфигурации Shorewall не была предусмотрена возможность определения классов и дисциплин очередей.
- До сих пор поддержка управления трафиком является неполной, например, не поддерживаются все опции (и особенно различные алгоритмы очередей) из ядра Linux, но для большинства случаев она будет достаточной. Если у вас уже есть сценарий для управления трафиком, который вы собираетесь использовать и в будущем, то соответствующие инструкции приведены по ссылке ниже в этом документе. Для того чтобы это заработало, требуется включить поддержку управления трафиком в ядре и в Shorewall, как описано далее.
+ До сих пор поддержка управления трафиком является неполной, например, не поддерживаются все опции (и особенно различные алгоритмы очередей) из ядра Linux, но для большинства случаев она будет достаточной. Если у вас уже есть сценарий для управления трафиком, который вы собираетесь использовать и в будущем, то соответствующие инструкции приведены по ссылке ниже в этом документе. Для того чтобы это заработало, требуется включить поддержку управления трафиком в ядре и в Shorewall, как описано далее.
-
+ Управление трафиком и шейпинг трафика в Linux
- В этом разделе кратко описано, как работает управление трафиком в Linux. Даже если этого должно быть достаточно для настройки управления трафиком в файлах конфигурации Shorewall, мы очень рекомендуем внимательно прочитать руководство
-Linux
- Advanced Routing and Shaping HOWTO. Во время написания этого документа текущей версией была 1.0.0.
+ В этом разделе кратко описано, как работает управление трафиком в Linux. Даже если этого должно быть достаточно для настройки управления трафиком в файлах конфигурации Shorewall, мы очень рекомендуем внимательно прочитать руководство Linux Advanced Routing and Shaping HOWTO. Во время написания этого документа текущей версией была 1.0.0.Начиная с версии 2.2, в Linux реализованы полные возможности управления трафиком. Предусмотрены различные алгоритмы, которые применяются для приоритизации очередей пакетов, выходящих с интерфейса. Стандартный алгоритм называется pfifo, и, как следует из самого названия, это очередь типа первым пришел - первым ушел. Фактически при этом никакого управления трафиком не происходит, и если какое-то соединение забивает весь канал, то этот алгоритм не сможет этого предотвратить.
- Для управления трафиком в Shorewall используются два алгоритма, HTB (иерархический набор маркеров) и SFQ (очередь с равноправным стохастическим упорядочением). SFQ использует простую схему: отслеживаются все соединения (tcp или udp), и трафик распределяется между ними. Обычно это работает хорошо.
- HTB позволяет определить набор классов, между которыми распределяется трафик. Для каждого класса можно указать минимальную и максимальную полосу пропускания, а сами классы упорядочить в иерархическую структуру, чтобы классы с меньшим приоритетом получали доступ к каналу только в том случае, если запросы более важных классы удовлетворены. Встроенные функции управления трафиком в Shorewall позволяют определить такие классы и указать для них полосу пропускания. Внутри самих классов используется SFQ, чтобы их различные внутренние потоки данных обрабатывались как равноправные.
+ Для управления трафиком в Shorewall используются два алгоритма, HTB (иерархический набор маркеров) и SFQ (очередь с равноправным стохастическим упорядочением). SFQ использует простую схему: отслеживаются все соединения (tcp или udp), и трафик распределяется между ними. Обычно это работает хорошо. HTB позволяет определить набор классов, между которыми распределяется трафик. Для каждого класса можно указать минимальную и максимальную полосу пропускания, а сами классы упорядочить в иерархическую структуру, чтобы классы с меньшим приоритетом получали доступ к каналу только в том случае, если запросы более важных классы удовлетворены. Встроенные функции управления трафиком в Shorewall позволяют определить такие классы и указать для них полосу пропускания. Внутри самих классов используется SFQ, чтобы их различные внутренние потоки данных обрабатывались как равноправные.Управлять можно только исходящим трафиком. Причина этого состоит в том, что входящие пакеты уже пришли на сетевую плату, и нужно решить, что с ними делать. Их можно только сбросить, но особого смысла в этом не будет, поскольку пакет уже пришёл, пройдя через узкое место - входящий канал. Следующим узким местом может быть интерфейс, с которого уходит этот пакет, и именно на нём может образовываться очередь. Поэтому определение очередей для входящих пакетов не будет особенно полезным, эти пакеты просто нужно передать как можно быстрее на исходящий интерфейс.
@@ -111,8 +94,7 @@
Если на другом конце канала образуется очередь, а маршрутизатор не поддерживает QoS или биты QoS настроены неверно, то пакеты, для которых важна минимальная задержка, будут ждать в той же очереди, что и менее важные пакеты загрузки по HTTP, и задержка может быть большой.
- Управление исходящим трафиком достигается посредством распределения потока пакетов по
-классам. Класс связан ровно с одним сетевым интерфейсом и имеет ряд атрибутов:
+ Управление исходящим трафиком достигается посредством распределения потока пакетов по классам. Класс связан ровно с одним сетевым интерфейсом и имеет ряд атрибутов:
@@ -128,34 +110,30 @@
- MARK - метка. В Netfilter предусмотрены способы
-маркировки пакетов. Метки пакетов - это числа. В Shorewall они могут принимать значение от 1 до 255. Метки пакетов присваиваются различным типам пакетов согласно правилам, заданным в файле
-/etc/shorewall/tcrules.
+ MARK - метка. В Netfilter предусмотрены способы маркировки пакетов. Метки пакетов - это числа. В Shorewall они могут принимать значение от 1 до 255. Метки пакетов присваиваются различным типам пакетов согласно правилам, заданным в файле /etc/shorewall/tcrules.
- Для каждого интерфейса необходимо задать один класс, который будет классом по умолчанию. К этому классу будут относиться непомеченные данные, то есть пакеты, для которых не задана метка в файле
-/etc/shorewall/tcrules.
+ Для каждого интерфейса необходимо задать один класс, который будет классом по умолчанию. К этому классу будут относиться непомеченные данные, то есть пакеты, для которых не задана метка в файле /etc/shorewall/tcrules.Netfilter также поддерживает метки соединений. Метки соединений можно присвоить соединениям в правилах /etc/shorewall/tcrules, можно скопировать метку пакета в метку соединения (SAVE), или скопировать метку соединения в метку пакета (RESTORE).
-
+ Конфигурация ядра Linux
- Для работы требуется ядро не ниже 2.4.18. На рисунке показаны опции ядра, которые необходимо включить. Для встроенной поддержки необходимы опции HTB scheduler, Ingress scheduler,
- PRIO pseudoscheduler и SFQ queue. Прочие планировщики или алгоритмы очередей необязательны.
+ Для работы требуется ядро не ниже 2.4.18. На рисунке показаны опции ядра, которые необходимо включить. Для встроенной поддержки необходимы опции HTB scheduler, Ingress scheduler, PRIO pseudoscheduler и SFQ queue. Прочие планировщики или алгоритмы очередей необязательны.Также требуются классификаторы u32 и fw из главного меню Networking Options (не показаны).
- На следующем рисунке показано, как я настроил QoS у себя в ядре 2.6.13:
+ На следующем рисунке показано, как я настроил QoS у себя в ядре 2.6.13:Конфигурация ядра изменилась в 2.6.16 -- вот мои рекомендации.
-
+
-
+ Включение поддержки TC в ShorewallПоддержку TC требуется включить независимо от того, применяются ли встроенные функции или вы используете собственный сценарий tcstart.
@@ -164,14 +142,11 @@
- Задайте TC_ENABLED равным "Internal" в
- /etc/shorewall/shorewall.conf. Если TC_ENABLED=Yes, то Shorewall будет искать внешний
-файл tcstart (см. далее).
+ Задайте TC_ENABLED равным "Internal" в /etc/shorewall/shorewall.conf. Если TC_ENABLED=Yes, то Shorewall будет искать внешний файл tcstart (см. далее).
- Если задать параметр CLEAR_TC в
- /etc/shorewall/shorewall.conf равным Yes, то при запуске, перезапуске и остановке Shorewall будет сбрасываться текущая конфигурация управления трафиком. Обычно именно это и требуется при работе с встроенными функциями, а также с собственным сценарием tcstart.
+ Если задать параметр CLEAR_TC в /etc/shorewall/shorewall.conf равным Yes, то при запуске, перезапуске и остановке Shorewall будет сбрасываться текущая конфигурация управления трафиком. Обычно именно это и требуется при работе с встроенными функциями, а также с собственным сценарием tcstart.
@@ -180,7 +155,7 @@
-
+ Работа с встроенными функциями управления трафиком и шейпингаВстроенные в Shorewall функции управления трафиком - это тонкая оболочка для очереди входящих пакетов (ingress qdisc), HTB и SFQ. Эта оболочка позволяет выполнить следующие задачи:
@@ -211,17 +186,13 @@
Встроенные в Shorewall функции управления трафиком ограничены десятью (10) устройствами.
- Больше никаких задач встроенные функции управления трафиком не выполняют. Поэтому, чтобы их использовать, необходимо понимать, как работает HTB и управление трафиком в
- Linux, и как работают метки пакетов Netfilter. За дополнительной информацией обратитесь к ссылкам, приведенным в начале этого документа.
+ Больше никаких задач встроенные функции управления трафиком не выполняют. Поэтому, чтобы их использовать, необходимо понимать, как работает HTB и управление трафиком в Linux, и как работают метки пакетов Netfilter. За дополнительной информацией обратитесь к ссылкам, приведенным в начале этого документа.
- Для задания пропускной способности (как устройств, так и классов) используйте kbit или kbps (для килоБАЙТ в секунду) БЕЗ пробела между числом и единицей измерения (то есть
- 100kbit НО НЕ 100 kbit). Можно также использовать mbit, mbps или число (означающее байты), но поддерживаются только целые числа (0.5 использовать нельзя).
+ Для задания пропускной способности (как устройств, так и классов) используйте kbit или kbps (для килоБАЙТ в секунду) БЕЗ пробела между числом и единицей измерения (то есть 100kbit НО НЕ 100 kbit). Можно также использовать mbit, mbps или число (означающее байты), но поддерживаются только целые числа (0.5 использовать нельзя).
- Для того чтобы правильно настроить устройства, необходимо выяснить фактическую пропускную способность канала в обоих направлениях. Это особенно важно для соединений DSL или любых других, для которых пропускная способность канала не гарантирована. Не верьте числам, которые называет провайдер, но сами измерьте реальную скорость канала. В этом могут помочь различные утилиты в сети, попробуйте поискать "dsl speed test" в google (для Германии можно использовать arcor speed
- check). Найдите тест поближе к себе.
+ Для того чтобы правильно настроить устройства, необходимо выяснить фактическую пропускную способность канала в обоих направлениях. Это особенно важно для соединений DSL или любых других, для которых пропускная способность канала не гарантирована. Не верьте числам, которые называет провайдер, но сами измерьте реальную скорость канала. В этом могут помочь различные утилиты в сети, попробуйте поискать "dsl speed test" в google (для Германии можно использовать arcor speed check). Найдите тест поближе к себе.
-
+ /etc/shorewall/tcdevicesВ этом файле можно задать пропускную способность способность канала для устройств, для которых будет включено управление трафиком. Это означает, что в этом файле необходимо определить параметры для устройства, чтобы для него заработало управление трафиком.
@@ -230,20 +201,13 @@
- INTERFACE - Имя интерфейса. Интерфейс может быть указан не более одного раза. Использовать псевдоним интерфейса
- (например, eth0:0) здесь нельзя, см. FAQ #18.
- Также нельзя использовать символы подстановки, например, если есть несколько интерфейсов ppp, то все их необходимо здесь перечислить. В версиях Shorewall
- до 3.0.8 и 3.2.0 Beta 8, устройство, имя которого указано в столбце, должно было существовать в момент запуска, перезапуска или обновления Shorewall. Начиная с версии 3.0.8 и 3.2.0 Beta 8
- Shorewall может определить, существует ли устройство, и настроит его только в том случае, если оно существует. Если оно не существует, то будет показано следующее предупреждение:
+ INTERFACE - Имя интерфейса. Интерфейс может быть указан не более одного раза. Использовать псевдоним интерфейса (например, eth0:0) здесь нельзя, см. FAQ #18. Также нельзя использовать символы подстановки, например, если есть несколько интерфейсов ppp, то все их необходимо здесь перечислить. В версиях Shorewall до 3.0.8 и 3.2.0 Beta 8, устройство, имя которого указано в столбце, должно было существовать в момент запуска, перезапуска или обновления Shorewall. Начиная с версии 3.0.8 и 3.2.0 Beta 8 Shorewall может определить, существует ли устройство, и настроит его только в том случае, если оно существует. Если оно не существует, то будет показано следующее предупреждение:
- WARNING: Device <устройство> not
- found -- traffic-shaping configuration skipped
+ WARNING: Device <устройство> not found -- traffic-shaping configuration skipped
- IN-BANDWIDTH - Пропускная способность входящего канала для этого интерфейса.
- Обратите внимание, что шейпинг входящего трафика невозможен, так как пакеты уже пришли.
- В этом столбце можно задать максимальную скорость, разрешенную для этого интерфейса, при превышении которой пакеты будут отбрасываться. Это полезно главным образом для соединений DSL или кабельных, чтобы избежать очередей в устройствах провайдера. Если не следует отбрасывать никакие пакеты, то укажите значение, превышающее фактическую максимальную скорость канала.
+ IN-BANDWIDTH - Пропускная способность входящего канала для этого интерфейса. Обратите внимание, что шейпинг входящего трафика невозможен, так как пакеты уже пришли. В этом столбце можно задать максимальную скорость, разрешенную для этого интерфейса, при превышении которой пакеты будут отбрасываться. Это полезно главным образом для соединений DSL или кабельных, чтобы избежать очередей в устройствах провайдера. Если не следует отбрасывать никакие пакеты, то укажите значение, превышающее фактическую максимальную скорость канала (в Shorewall начиная с версии 3.2.6 можно также указать 0).Для того чтобы определить оптимальное значение, укажите сначала значение, которое заведомо ниже, чем измеренная скорость канала (процентов на 20). Далее, в ходе загрузки файлов, измеряйте время ответа на ping между своей системой и маршрутизатором провайдера и постепенно увеличивайте это значение. Оптимальным будет значение, при превышении которого время ответа на ping будет резко расти.
@@ -253,7 +217,7 @@
-
+ Предположим, что вы работаете с PPP по Ethernet (DSL), а интерфейс - это ppp0. Устройство имеет исходящую скорость 500 кбит и входящую - 6000 кбит
@@ -263,7 +227,7 @@ ppp0 6000kbit 500kbit
-
+ /etc/shorewall/tcclassesВ этом файле можно задать классы, по которым будет распределяться исходящий трафик.
@@ -274,23 +238,19 @@ ppp0 6000kbit 500kbit
- MARK - метка. Должна быть целым числом от 1 до 255.
- Эти метки задаются в файле tcrules. Они помечают пакеты, которые тем самым будут отнесены к определенным здесь классам очередей. Одни и те же метки могут использоваться для разных интерфейсов.
+ MARK - метка. Должна быть целым числом от 1 до 255. Эти метки задаются в файле tcrules. Они помечают пакеты, которые тем самым будут отнесены к определенным здесь классам очередей. Одни и те же метки могут использоваться для разных интерфейсов.
- RATE - скорость, то есть минимальная гарантированная пропускная способность, которая должна обеспечиваться для класса, когда возрастает нагрузка на канал. Классы с более высоким приоритетом обслуживаются даже в том случае, если заданы другие классы с гарантированной пропускной способностью, но низшим приоритетом. Если сумма значений RATE для всех классов, присвоенных интерфейсу, превышает OUT-BANDWIDTH для интерфейса, то
-предел OUT-BANDWIDTH не будет соблюдаться.
+ RATE - скорость, то есть минимальная гарантированная пропускная способность, которая должна обеспечиваться для класса, когда возрастает нагрузка на канал. Классы с более высоким приоритетом обслуживаются даже в том случае, если заданы другие классы с гарантированной пропускной способностью, но низшим приоритетом. Если сумма значений RATE для всех классов, присвоенных интерфейсу, превышает OUT-BANDWIDTH для интерфейса, то предел OUT-BANDWIDTH не будет соблюдаться.
- CEIL - ограничение, максимальная полоса пропускания, которая отводится для данного класса, когда канал свободен. Это полезно, если есть трафик, для которого будет выделяться полная скорость канала, если более важные службы (такие как ssh) не используются. Значение "full" означает, что максимальная пропускная способность для класса определяется значением, заданным для интерфейса.
+ CEIL - ограничение, максимальная полоса пропускания, которая отводится для данного класса, когда канал свободен. Это полезно, если есть трафик, для которого будет выделяться полная скорость канала, если более важные службы (такие как ssh) не используются. Значение "full" означает, что максимальная пропускная способность для класса определяется значением, заданным для интерфейса.
- PRIORITY - позволяет указать приоритет для класса.
- Пакеты из класса с более высоким приоритетом (то есть меньшим значением) будут обрабатываться раньше, чем пакеты с низшим приоритетом. Здесь можно просто указать значение метки, если метки присваиваются согласно приоритетам.
+ PRIORITY - позволяет указать приоритет для класса. Пакеты из класса с более высоким приоритетом (то есть меньшим значением) будут обрабатываться раньше, чем пакеты с низшим приоритетом. Здесь можно просто указать значение метки, если метки присваиваются согласно приоритетам.
@@ -301,20 +261,15 @@ ppp0 6000kbit 500kbitdefault - класс по умолчанию для интерфейса, к которому будет отнесен весь трафик, не отнесенный к другим классам.
- Необходимо указать default ровно для одного класса для интерфейса.
+ Необходимо указать default ровно для одного класса для интерфейса.
- tos-<имя-tos> - позволяет указать фильтр для заданного <имени-tos>, что в свою очередь позволяет определить значение бит Type Of Service в пакете ip, вследствие чего пакет будет отнесен к этому классу. Учтите, что этот фильтр переопределяет все заданные метки, поэтому, если задать фильтр tos для класса, то все пакеты, имеющие эту метку, войдут в этот класс независимо от того, какая у них уже есть метка. Возможные значения этого параметра:
- tos-minimize-delay (16) tos-maximize-throughput (8)
- tos-maximize-reliability (4) tos-minimize-cost (2)
- tos-normal-service (0)
+ tos-<имя-tos> - позволяет указать фильтр для заданного <имени-tos>, что в свою очередь позволяет определить значение бит Type Of Service в пакете ip, вследствие чего пакет будет отнесен к этому классу. Учтите, что этот фильтр переопределяет все заданные метки, поэтому, если задать фильтр tos для класса, то все пакеты, имеющие эту метку, войдут в этот класс независимо от того, какая у них уже есть метка. Возможные значения этого параметра: tos-minimize-delay (16) tos-maximize-throughput (8) tos-maximize-reliability (4) tos-minimize-cost (2) tos-normal-service (0)
- Каждая из этих опций применима только для одного класса интерфейса.
+ Каждая из этих опций применима только для одного класса интерфейса.
@@ -322,8 +277,7 @@ ppp0 6000kbit 500kbit
tcp-ack - эта опция создает фильтр tc и класс, в который помещаются все пакеты tcp ack на этом интерфейсе, размер которых не превышает 64 байта. Это позволяет ускорить загрузку. Ограничение размера пакетов ack 64 байтами служит для того, чтобы исключить из этого класса все приложения (например, p2p), которые помечают каждый пакет как пакет ack. Этому фильтру должны соответствовать только пакеты БЕЗ дополнительной нагрузки, отсюда и ограничение размера. Пакеты большего размера будут отнесены в другие классы.
- Эта опция применима только для одного класса интерфейса.
+ Эта опция применима только для одного класса интерфейса.
@@ -331,7 +285,7 @@ ppp0 6000kbit 500kbit
-
+ /etc/shorewall/tcrulesКлассификатор fwmark является удобным средством для классификации пакетов при управлении трафиком. В файле /etc/shorewall/tcrules эти метки представлены в виде таблицы. Глубже познакомиться с маркировкой пакетов в Netfilter/Shorewall позволяет этот документ.
@@ -342,14 +296,11 @@ ppp0 6000kbit 500kbit
- MARK или CLASSIFY - MARK задает значение метки, которая присваивается пакету в случае совпадения с правилом. Она должна быть целым числом от 1 до 255.
- Вслед за этим значением может идти : и одно из значений:
- F, P или "T", которые обозначают соответственно маркировку в цепочках FORWARD, PREROUTING или POSTROUTING. Если эти дополнительные спецификаторы опущены, то цепочка, в которой осуществляется маркировка пакетов, определяется следующим образом:
+ MARK или CLASSIFY - MARK задает значение метки, которая присваивается пакету в случае совпадения с правилом. Она должна быть целым числом от 1 до 255. Вслед за этим значением может идти : и одно из значений: F, P или "T", которые обозначают соответственно маркировку в цепочках FORWARD, PREROUTING или POSTROUTING. Если эти дополнительные спецификаторы опущены, то цепочка, в которой осуществляется маркировка пакетов, определяется следующим образом:
- Если SOURCE - это
- $FW[:<адрес>], то правило вставляется в цепочку OUTPUT.
+ Если SOURCE - это $FW[:<адрес>], то правило вставляется в цепочку OUTPUT.
@@ -358,56 +309,42 @@ ppp0 6000kbit 500kbit
- Спецификатор "T" был добавлен в Shorewall версии 3.3.6 и недоступен в более ранних версиях.
+ Спецификатор "T" был добавлен в Shorewall версии 3.3.6 и недоступен в более ранних версиях.
- Обычно метка присваивается пакету. Если вслед за меткой указать ":" и "C", то метка будет применяться к соединению. "C" можно сочетать с "F", "P" или "T", чтобы указать, что соединение следует пометить в определенной цепочке (например, "CF", "CP", "CT").
+ Обычно метка присваивается пакету. Если вслед за меткой указать ":" и "C", то метка будет применяться к соединению. "C" можно сочетать с "F", "P" или "T", чтобы указать, что соединение следует пометить в определенной цепочке (например, "CF", "CP", "CT").Предусмотрены также следующие специальные значения:
- RESTORE[/маска-- восстановить метку пакета из метки соединения, используя маску, если она указана. Ядро и iptables должны поддерживать CONNMARK.
+ RESTORE[/маска] -- восстановить метку пакета из метки соединения, используя маску, если она указана. Ядро и iptables должны поддерживать CONNMARK.
- Как и ранее, можно использовать дополнительные спецификаторы
-:P, :F
- или :T.
+ Как и ранее, можно использовать дополнительные спецификаторы :P, :F или :T.
- SAVE[/маска -- сохранить метку пакета в метке соединения, используя маску, если она указана. Ядро и iptables должны поддерживать CONNMARK.
+ SAVE[/маска] -- сохранить метку пакета в метке соединения, используя маску, если она указана. Ядро и iptables должны поддерживать CONNMARK.
- Как и ранее, можно использовать дополнительные спецификаторы :P, :F
- или :T.
+ Как и ранее, можно использовать дополнительные спецификаторы :P, :F или :T.CONTINUE - прекратить обработку дальнейших правил маркировки в таблице.
- Как и ранее, можно использовать дополнительные спецификаторы :P, :F
- или :T.
+ Как и ранее, можно использовать дополнительные спецификаторы :P, :F или :T.
- COMMENT (Начиная с
- Shorewall версии 3.3.3) -- остальной текст в строке будет добавлен как комментарий в правила Netfilter, генерируемые по следующим записям. Комментарий будет выделен символам "/* ...
- */" в выводе команды
-shorewall show
- mangle
+ COMMENT (Начиная с Shorewall версии 3.3.3) -- остальной текст в строке будет добавлен как комментарий в правила Netfilter, генерируемые по следующим записям. Комментарий будет выделен символам "/* ... */" в выводе команды shorewall show mangleДля того чтобы комментарий не применялся к последующим строкам, укажите COMMENT в отдельной строке.
- При работе с CLASSIFY ядро и iptables должны поддерживать CLASSIFY. В этом случае в столбце будет содержаться классификатор (classid) в виде <основной>:<дополнительный>, где <основной> и <дополнительный> должны быть целыми числами. Он соответствует указанию 'class' в следующих модулях управления трафиком:
+ При работе с CLASSIFY ядро и iptables должны поддерживать CLASSIFY. В этом случае в столбце будет содержаться классификатор (classid) в виде <основной>:<дополнительный>, где <основной> и <дополнительный> должны быть целыми числами. Он соответствует указанию 'class' в следующих модулях управления трафиком:
-
- atm
+ atmcbq
@@ -417,44 +354,35 @@ ppp0 6000kbit 500kbit
htb
- prio
-
+ prio
- В версиях Shorewall до 3.2.3 правила классификации всегда помещались в цепочку POSTROUTING. Начиная с Shorewall
-версии 3.2.3 классификация осуществляется в цепочке POSTROUTING, кроме тех случаев, когда SOURCE содержит
- $FW[:<адрес>], для которых классификация осуществляется в цепочке OUTPUT. При работе со встроенными функциями управления трафиком класс <основной> - это номер устройства (первая запись в файле /etc/shorewall/tcdevices - это устройство 1, вторая - устройство 2 и т.д.), а класс <дополнительный> - это значение MARK класса, перед которой стоит число "1" (для MARK со значением 1 <дополнительный> класс - это 11, для MARK со значением 22 -
- <дополнительный> класс 122, и т.д.).
+ В версиях Shorewall до 3.2.3 правила классификации всегда помещались в цепочку POSTROUTING. Начиная с Shorewall версии 3.2.3 классификация осуществляется в цепочке POSTROUTING, кроме тех случаев, когда SOURCE содержит $FW[:<адрес>], для которых классификация осуществляется в цепочке OUTPUT. При работе со встроенными функциями управления трафиком класс <основной> - это номер устройства (первая запись в файле /etc/shorewall/tcdevices - это устройство 1, вторая - устройство 2 и т.д.), а класс <дополнительный> - это значение MARK класса, перед которой стоит число "1" (для MARK со значением 1 <дополнительный> класс - это 11, для MARK со значением 22 - <дополнительный> класс 122, и т.д.).
- SOURCE - источник пакета. Это может быть разделенный запятыми список имен интерфейсов, IP-адресов, MAC-адресов и/или подсетей для пакетов, маршрутизируемых по общему пути. Элементы списка могут также включать имя интерфейса, к которому прибавлено ":" и адрес (например,
- eth1:192.168.1.0/24). Так, все пакеты для соединений, маскируемых через eth0 с других интерфейсов, можно описать одним правилом с несколькими критериями SOURCE. Однако соединение, пакеты которого приходят на eth0 по другому пути, например, из самой системы файрвола, требуют отдельного правила.
+ SOURCE - источник пакета. Это может быть разделенный запятыми список имен интерфейсов, IP-адресов, MAC-адресов и/или подсетей для пакетов, маршрутизируемых по общему пути. Элементы списка могут также включать имя интерфейса, к которому прибавлено ":" и адрес (например, eth1:192.168.1.0/24). Так, все пакеты для соединений, маскируемых через eth0 с других интерфейсов, можно описать одним правилом с несколькими критериями SOURCE. Однако соединение, пакеты которого приходят на eth0 по другому пути, например, из самой системы файрвола, требуют отдельного правила.
- Поэтому создавайте отдельное правило с $FW для пакетов, исходящих из системы файрвола. В таком правиле столбец MARK не может содержать ":P" или ":F", поскольку маркировка пакетов, исходящих из системы файрвола, всегда осуществляется в цепочке OUTPUT.
+ Поэтому создавайте отдельное правило с $FW для пакетов, исходящих из системы файрвола. В таком правиле столбец MARK не может содержать ":P" или ":F", поскольку маркировка пакетов, исходящих из системы файрвола, всегда осуществляется в цепочке OUTPUT.
- MAC-адреса необходимо предварять символом "~" и использовать "-" как разделитель.
+ MAC-адреса необходимо предварять символом "~" и использовать "-" как разделитель.Пример: ~00-A0-C9-15-39-78
- DEST - назначение пакета. Список IP-адресов и/или подсетей, разделенный запятыми. Если ядро и iptables поддерживают iprange, то можно также указывать диапазоны IP-адресов. Элементы списка могут также включать имя интерфейса, к которому прибавлено ":" и адрес (например,
- eth1:192.168.1.0/24). Если в столбце MARK указан спецификатор в виде <основной>:<дополнительный>, то столбец может также содержать имя интерфейса.
+ DEST - назначение пакета. Список IP-адресов и/или подсетей, разделенный запятыми. Если ядро и iptables поддерживают iprange, то можно также указывать диапазоны IP-адресов. Элементы списка могут также включать имя интерфейса, к которому прибавлено ":" и адрес (например, eth1:192.168.1.0/24). Если в столбце MARK указан спецификатор в виде <основной>:<дополнительный>, то столбец может также содержать имя интерфейса.
- PROTO - протокол. Должен быть указан как "tcp", "udp", "icmp", "ipp2p",
- "ipp2p:udp", "ipp2p:all", число или "all". Для "ipp2p" требуется поддержка ipp2p в ядре и iptables.
+ PROTO - протокол. Должен быть указан как "tcp", "udp", "icmp", "ipp2p", "ipp2p:udp", "ipp2p:all", число или "all". Для "ipp2p" требуется поддержка ipp2p в ядре и iptables.
- PORT(S) - целевые порты. Список имен портов (из /etc/services), номеров портов или диапазонов портов, разделенный запятыми. Если протокол - это "icmp", то столбец считается целевым типом icmp.
+ PORT(S) - целевые порты. Список имен портов (из /etc/services), номеров портов или диапазонов портов, разделенный запятыми. Если протокол - это "icmp", то столбец считается целевым типом icmp.
- Если протокол - это ipp2p, то столбец интерпретируется как опция ipp2p без начального "--" (например, "bit" для
-bit-torrent). Если PORT не указан, предполагается "ipp2p".
+ Если протокол - это ipp2p, то столбец интерпретируется как опция ipp2p без начального "--" (например, "bit" для bit-torrent). Если PORT не указан, предполагается "ipp2p".
- Этот поле игнорируется, если PROTOCOL = all, но должно быть указано, если задано любое из последующих полей. В этом случае рекомендуется указывать в этом поле "-"
+ Этот поле игнорируется, если PROTOCOL = all, но должно быть указано, если задано любое из последующих полей. В этом случае рекомендуется указывать в этом поле "-"
@@ -473,7 +401,7 @@ bit-torrent). Если PORT не указан, предполагается "ipp
joe # программа должна выполняться пользователем joe
:kids # программа выполняется участниками группы 'kids'
!:kids # программа выполняется участниками группы 'kids'
-+upnpd # программа upnpd (эта функция была удалена из Netfilter в версии ядра 2.6.14).
++upnpd # программа upnpd (эта функция была удалена из Netfilter в версии ядра 2.6.14).
@@ -481,23 +409,19 @@ bit-torrent). Если PORT не указан, предполагается "ipp
Здесь:
-
- ! Обратное соответствие (не равно)
+ ! Обратное соответствие (не равно)<значение> Значение метки соединения или пакета.<маска> Маска, применяемая к метке перед сравнением
- :C обозначает метку соединения. Если она не указана, то сравнивается метка пакета.
-
+ :C обозначает метку соединения. Если она не указана, то сравнивается метка пакета.
- LENGTH - длина пакета (необязательный параметр, начиная с Shorewall версии 3.2.0). Если указано это значение, то сравнивается длина пакета с указанным значением или диапазоном значений. Диапазон задается в виде <мин>:<макс>, где можно опустить или
-<мин>, или <макс>, но не оба эти параметра. Если опущен
- <мин>, то он считается равным 0, если опущен <макс>, то совпадающим будет любой пакет, длина которого не меньше <мин>.
+ LENGTH - длина пакета (необязательный параметр, начиная с Shorewall версии 3.2.0). Если указано это значение, то сравнивается длина пакета с указанным значением или диапазоном значений. Диапазон задается в виде <мин>:<макс>, где можно опустить или <мин>, или <макс>, но не оба эти параметра. Если опущен <мин>, то он считается равным 0, если опущен <макс>, то совпадающим будет любой пакет, длина которого не меньше <мин>.
- Для этой опции необходима поддержка сравнения длины в iptables. Если значение не указано или задано как "-", то сравнение длины не выполняется.
+ Для этой опции необходима поддержка сравнения длины в iptables. Если значение не указано или задано как "-", то сравнение длины не выполняется.Примеры: 1024, 64:1500, :100
@@ -506,8 +430,7 @@ bit-torrent). Если PORT не указан, предполагается "ipp
TOS - тип обслуживания (необязательный параметр, начиная с Shorewall версии 3.2.0 Beta 6). Стандартное имя или число.
-
- Minimize-Delay (16)
+ Minimize-Delay (16)Maximize-Throughput (8)
@@ -515,34 +438,33 @@ bit-torrent). Если PORT не указан, предполагается "ipp
Minimize-Cost (2)
- Normal-Service (0)
-
+ Normal-Service (0)
-
+ Все пакеты, приходящие на eth1, должны иметь метку 1. Все пакеты, приходящие на eth2 и eth3, должны иметь метку 2. Все пакеты, созданные в системе файрвола, должны иметь метку 3.
- #MARK SOURCE DESTINATION PROTOCOL PORT(S)
+ #MARK SOURCE DESTINATION PROTOCOL PORT(S)
1 eth1 0.0.0.0/0 all
2 eth2 0.0.0.0/0 all
2 eth3 0.0.0.0/0 all
3 $FW 0.0.0.0/0 all
-
+ Все пакеты GRE (протокол 47), не созданные в системе файрвола и имеющие целевой адрес 155.186.235.151, должны иметь метку 12.
- #MARK SOURCE DESTINATION PROTOCOL PORT(S)
+ #MARK SOURCE DESTINATION PROTOCOL PORT(S)
12 0.0.0.0/0 155.182.235.151 47
-
+ Все пакеты SSH, приходящие с 192.168.1.0/24 и предназначенные для 155.186.235.151, должны иметь метку 22.
@@ -551,7 +473,7 @@ bit-torrent). Если PORT не указан, предполагается "ipp
22 192.168.1.0/24 155.182.235.151 tcp 22
-
+ Все пакеты SSH, проходящие через первое устройство в файле /etc/shorewall/tcdevices, должны быть отнесены в класс с меткой 10.
@@ -562,7 +484,7 @@ bit-torrent). Если PORT не указан, предполагается "ipp
1:110 0.0.0.0/0 0.0.0.0/0 tcp - 22
-
+ Все пакеты echo ICMP должны иметь метку 1. Весь трафик протоколов p2p должен иметь метку 4.
@@ -582,12 +504,12 @@ SAVE 0.0.0.0/0 0.0.0.0/0 all - - -
Последние четыре правила означают следующее:
- "Если пакет не был классифицирован (метка пакета 0), то скопировать метку соединения в метку пакета. Если метка пакета уже задана, то никаких действий более не требуется. Если пакет относится к типу P2P, то задать метку пакета 4. Если метка пакета задана, то сохранить ее в качестве метки соединения."
+ "Если пакет не был классифицирован (метка пакета 0), то скопировать метку соединения в метку пакета. Если метка пакета уже задана, то никаких действий более не требуется. Если пакет относится к типу P2P, то задать метку пакета 4. Если метка пакета задана, то сохранить ее в качестве метки соединения."
-
+ Устройства pppЕсли подключение к провайдеру выполняется через ppp/pppoe/pppoa, и вы используете управление трафиком, то необходимо перезапустить управление трафиком shorewall. Причина этого состоит в том, что если соединение ppp перезапускается (обычно это происходит как минимум раз в день), то все фильтры и qdisc tc, связанные с этим интерфейсом, будут удалены.
@@ -599,48 +521,45 @@ SAVE 0.0.0.0/0 0.0.0.0/0 all - - -
/sbin/shorewall refresh
-
+ Рабочие примеры
-
+ Конфигурация для замены Wondershaper
- Встроенные функции управления трафиком позволяют полностью заменить сценарий wondershaper. Примеры файлов конфигурации приведены по адресу
-"http://www1.shorewall.net/pub/shorewall/Samples/tc4shorewall/.
- Обратите внимание, что эти примеры необходимо настроить, чтобы они работали в вашей среде. В них предполагается, что интерфейс соединения с провайдером - это ppp0 (для DSL), и для другого типа соединения его необходимо изменить. Также требуется изменить параметры в файле tcdevices.wondershaper, чтобы они отвечали фактической скорости канала. Ниже приведены соответствующие строки из файлов конфигурации. В итоге получается точная замена того, что должен делать wondershaper. Но вы можете и вносить улучшения...
+ Встроенные функции управления трафиком позволяют полностью заменить сценарий wondershaper. Примеры файлов конфигурации приведены по адресу "http://www1.shorewall.net/pub/shorewall/Samples/tc4shorewall/. Обратите внимание, что эти примеры необходимо настроить, чтобы они работали в вашей среде. В них предполагается, что интерфейс соединения с провайдером - это ppp0 (для DSL), и для другого типа соединения его необходимо изменить. Также требуется изменить параметры в файле tcdevices.wondershaper, чтобы они отвечали фактической скорости канала. Ниже приведены соответствующие строки из файлов конфигурации. В итоге получается точная замена того, что должен делать wondershaper. Но вы можете и вносить улучшения...
-
+ Файл tcdevices#INTERFACE IN-BANDWITH OUT-BANDWIDTH
ppp0 5000kbit 500kbit
-
+ Файл tcclasses
- #INTERFACE MARK RATE CEIL PRIORITY OPTIONS
+ #INTERFACE MARK RATE CEIL PRIORITY OPTIONS
ppp0 1 full full 1 tcp-ack,tos-minimize-delay
ppp0 2 9*full/10 9*full/10 2 default
ppp0 3 8*full/10 8*full/10 2
-
+ Файл tcrules
- #MARK SOURCE DEST PROTO PORT(S) CLIENT USER
+ #MARK SOURCE DEST PROTO PORT(S) CLIENT USER
# PORT(S)
1:F 0.0.0.0/0 0.0.0.0/0 icmp echo-request
1:F 0.0.0.0/0 0.0.0.0/0 icmp echo-reply
-# метка для трафика с низким приоритетом: 3.
+# метка для трафика с низким приоритетом:
# mldonkey
-3 0.0.0.0/0 0.0.0.0/0 udp - 4666
+3 0.0.0.0/0 0.0.0.0/0 udp - 4666Wondershaper позволяет определить набор хостов и/или портов, которым присваивается низкий приоритет. Для этого в tcrules этим хостам нужно присвоить метку 3 (как это делается в примерах файлов конфигурации).
-
+ Присвоение низкого приоритета хостамДопустим, что в сценарии wondershaper были следующие параметры (только в качестве примера):
@@ -657,7 +576,7 @@ NOPRIOHOSTDST=60.0.0.0/24
NOPRIOPORTSRC="6662 6663"
# Низкий приоритет - порты назначения
-NOPRIOPORTDST="6662 6663"
+NOPRIOPORTDST="6662 6663"
Эти параметры будут отражены следующим образом в файле tcrules:
@@ -671,22 +590,21 @@ NOPRIOPORTDST="6662 6663"
-
+ Простая конфигурация
- Ниже приведен простой пример для общего подключения к Интернет с разных компьютеров. Фактически здесь настроен шейпинг для двух хостов с IP-адресами 192.168.2.23 и
- 192.168.2.42
+ Ниже приведен простой пример для общего подключения к Интернет с разных компьютеров. Фактически здесь настроен шейпинг для двух хостов с IP-адресами 192.168.2.23 и 192.168.2.42
-
+ Файл tcdevices#INTERFACE IN-BANDWITH OUT-BANDWIDTH
ppp0 6000kbit 700kbit
- Канал имеет нисходящие 6 мбит и исходящие 700 кбит.
+ Канал имеет входящие 6 мбит и исходящие 700 кбит.
-
+ Файл tcclasses#INTERFACE MARK RATE CEIL PRIORITY OPTIONS
@@ -698,7 +616,7 @@ ppp0 4 90kbit 200kbit 3 defaultДобавляется класс для пакетов tcp ack с высоким приоритетом, чтобы ускорить загрузку. Следующие два класса совместно используют большую часть пропускной способности канала для двух хостов, и если соединение свободно, то всю пропускную способность. Так как хосты считаются равноправными, они имеют одинаковый приоритет. Последний класс предназначен для остального трафика.
-
+ Файл tcrules#MARK SOURCE DEST PROTO PORT(S) CLIENT USER
@@ -714,7 +632,33 @@ ppp0 4 90kbit 200kbit 3 default
-
+
+ Замечания для пользователей Xen
+
+ Если управление трафиком включено в dom0, но исходящий трафик при этом шейпится неправильно, то причиной этого может быть "выгрузка контрольных сумм" (checksum offloading) в ваших domU. Просмотрите вывод команды "shorewall show tc". Ниже приведен пример:
+
+ class htb 1:130 parent 1:1 leaf 130: prio 3 quantum 1500 rate 76000bit ceil 230000bit burst 1537b/8 mpu 0b overhead 0b cburst 1614b/8 mpu 0b overhead 0b level 0
+ Sent 559018700 bytes 75324 pkt (dropped 0, overlimits 0 requeues 0)
+ rate 299288bit 3pps backlog 0b 0p requeues 0
+ lended: 53963 borrowed: 21361 giants: 90174
+ tokens: -26688 ctokens: -14783
+
+ В приведенном примере легко обнаружить две проблемы:
+
+
+
+ Скорость (299288) заметно превышает установленный предел (230000).
+
+
+
+ Сообщается о большом числе огромных пакетов (90174).
+
+
+
+ Эта неполадка устраняется выключением "checksum offloading" в domU с помощью программы ethtool. За инструкциями обратитесь к статье по Xen.
+
+
+ Применение собственных сценариев tc
@@ -743,7 +687,7 @@ ppp0 4 90kbit 200kbit 3 default
-
+ Управление трафиком, внешнее по отношению к ShorewallДля того чтобы запустить управление трафиком при поднятии сетевых интерфейсов, необходимо запустить сценарий управления трафиком именно в этот момент. Это зависит от применяемого дистрибутива и здесь не описывается. После этого сделайте следующее:
@@ -760,10 +704,9 @@ ppp0 4 90kbit 200kbit 3 default
-
+ Инструменты тестирования
- Как минимум один пользователь Shorewall посчитал полезными следующие инструменты: http://e2epi.internet2.edu/network-performance-toolkit.html
+ Как минимум один пользователь Shorewall посчитал полезными следующие инструменты: http://e2epi.internet2.edu/network-performance-toolkit.html