IpQos σε 585 ξανά

[Spanos]

To

Κώδικας:

expr flush

πιστεύω οτι δε χρειάζεται γιατί έτσι σβήνεις πολλές εκφράσεις που χρειάζονται στο firewall και στο NAT πχ wan, lan, icmp, ftp κλπ

Θα μπορούσες απλά να προσθέσεις αυτά που δεν υπάρχουν

Πάντως είναι απόλυτα κατανοητή η προσέγγιση σου και θα μπορούσε κάποιος να προσθέσει εύκολα και τους δικους του κανόνες για FTP, RD, VNC κλπ

Well Done

[DSLaManiaC]

Απλά θέλω να είναι μόνο όσα βάζω εγώ..
Πάντως δεν έχω αντιμετωπίσει πρόβλημα με το nat κλπ γιατι οτι κάνω το κάνω custom, όχι με τα έτοιμα menu.

[Spanos]

Απλά θέλω να είναι μόνο όσα βάζω εγώ..
Πάντως δεν έχω αντιμετωπίσει πρόβλημα με το nat κλπ γιατι οτι κάνω το κάνω custom, όχι με τα έτοιμα menu.

Πές οτι θες να βάλεις ένα κανόνα στο nat και firewall για να επιστρέψεις την κίνηση στο 113 tcp απο έναν IRC Server πχ

Κώδικας:

nat tmpladd group=wan outside_addr=0.0.0.1 inside_addr=192.168.1.64 protocol=tcp outside_port=113-113 inside_port=113-113 mode=inbound weight=10

Κώδικας:

firewall rule add chain=forward_level_Custom index=1 name=Auth1 srcintf=wan srcip=194.219.155.226 dstintf=lan dstip=192.168.1.64 serv=AuthIRC log=enabled state=enabled action=accept

Θα δεχτεί την εντολή αμα έχεις κάνει flush τα expressions;

[DSLaManiaC]

Να μια ίσως καλύτερη ρύθμηση.
Τί λέτε?

Κώδικας:

:ipqos config dest=pvc_Internet state=enabled discard=tail
:ipqos queue config dest=pvc_Internet queue=0 ackfiltering=enabled
:ipqos config dest=pvc_Internet priority=wfq weight1=10 weight2=20 weight3=30 weight4=40

:label rule flush
:expr flush
:label flush

:label add name=lowest
:label add name=low
:label add name=normal
:label add name=high
:label add name=highest
:label add name=voip

:label modify name=lowest classification=overwrite defclass=1 ackclass=1 bidirectional=enabled
:label modify name=low classification=overwrite defclass=4 ackclass=4 bidirectional=enabled
:label modify name=normal classification=overwrite defclass=7 ackclass=7 bidirectional=enabled
:label modify name=high classification=overwrite defclass=10 ackclass=10 bidirectional=enabled
:label modify name=highest classification=overwrite defclass=12 ackclass=12 bidirectional=enabled
:label modify name=voip classification=overwrite defclass=14 ackclass=14 bidirectional=enabled

:expr add name=wan type=intf intfgroup=wan
:expr add name=local type=intf intfgroup=local
:expr add name=lan type=intf intfgroup=lan
:expr add name=tunnel type=intf intfgroup=tunnel
:expr add name=dmz type=intf intfgroup=dmz
:expr add name=guest type=intf intfgroup=guest

:expr add name=private type=ip addr=xx.xx.xx.xx/xx
:expr add name=ssdp_ip type=ip addr=239.255.255.250
:expr add name=mdap_ip type=ip addr=224.0.0.103

:expr add name=icmp type=serv proto=icmp
:expr add name=igmp type=serv proto=igmp
:expr add name=ftp type=serv proto=tcp dstport=ftp
:expr add name=telnet type=serv proto=tcp dstport=telnet
:expr add name=http type=serv proto=tcp dstport=www-http
:expr add name=httpproxy type=serv proto=tcp dstport=httpproxy
:expr add name=https type=serv proto=tcp dstport=443
:expr add name=syslog type=serv proto=udp dstport=syslog
:expr add name=dns type=serv proto=tcp dstport=dns
:expr add name=dns type=serv proto=udp dstport=dns
:expr add name=sip type=serv proto=udp dstport=sip
:expr add name=sip type=serv proto=tcp dstport=sip
:expr add name=voip-rtp type=serv proto=UDP srcport=10007 srcportend=10164
:expr add name=icmp type=serv proto=icmp
:expr add name=msn type=serv proto=TCP dstport=1863
:expr add name=torrents type=serv proto=TCP srcport=65156

:label rule add chain=qos_user_labels name=voip_signals state=enabled label=voip serv=sip
:label rule add chain=qos_user_labels name=voip_rtp_data state=enabled label=voip serv=voip-rtp
:label rule add chain=qos_user_labels name=dns_requests state=enabled label=highest serv=dns
:label rule add chain=qos_user_labels name=icmp_traffic state=enabled label=highest serv=icmp
:label rule add chain=qos_user_labels name=http_traffic state=enabled label=high serv=http
:label rule add chain=qos_user_labels name=https_traffic state=enabled label=high serv=https
:label rule add chain=qos_user_labels name=messenger state=enabled label=high serv=msn
:label rule add chain=qos_user_labels name=torrent_traffic state=enabled label=lowest serv=torrents
:label rule add chain=qos_user_labels name=default state=enabled label=normal

:saveall

[Spanos]

Αρκετά καλή αρκεί ο καθένας να την προσαρμόσει στις ανάγκες του.


Ένα πρόβλημα που έχω παρατηρήσει είναι οτι το NewMonitor 2.1 του Zardoz floodαρει τα logs του ρούτερ γιατί κάθε 30 δευτερόλεπτα κάνει login-logout

Jun 13 22:54:25 LOGOUT User Administrator logged out on FTP

Info Jun 13 22:54:24 LOGIN User Administrator logged in on FTP

Info Jun 13 22:53:55 LOGOUT User Administrator logged out on FTP

Info Jun 13 22:53:54 LOGIN User Administrator logged in on FTP

Κοίταξα λοιπόν στα services του συστήματος και είδα οτι υπάρχει επιλογή να κλείσεις το logging για το service του FTP. Έκανα λοιπόν disable το logging του FTP αλλα το άτιμο δε σταματάει, έκάνα επίσης start/stop το service και πάλι δε σταματάει. Μονο reboot δεν έχω κάνει τον router μη χαλάσω το Uptime.

Tι στο καλό ρε γαμώτο;

Κώδικας:

{Administrator}[service system]=>:service system modify name=FTP log=disabled
{Administrator}[service system]=>:service system list name=FTP expand=enabled
Idx Name             Protocol         SrcPort  DstPort  Group
---------------------------------------------------------------------------------
  1 FTP              tcp                       21
         Description................ File Transfer
         Properties................. server
         Attributes................. state port aclip aclif aclifgroup map log qoslabel routelabel natpmweight
         User Managed Attributes.... state port aclip aclif aclifgroup map log natpmweight
         Attribute Values :
         State...................... enabled
         Port....................... 21
         QOS Label.................. None
         Route Label................ None
         NAT Portmap Weight ........ 30
         Ip Access List............. any
         Interface Access List...... any
         Interface Group Access List lan
         Map List................... 21
         Logging.................... disabled

[nikosl]

ΡΕ ΠΑΙΔΙΑ ΣΑΣ ΥΠΕΡ ΥΠΕΡ ΕΥΧΑΡΙΣΤΩ.

Δεν ήξερα ότι μπορούσε να γίνει τέτοιος καταμερισμός bandwidth από router.

[Zigardeli]

Guys, έχω κάνει τα εξής:

:env set var=SESSIONTIMEOUT value=3000

:label add name=RealTime
:label modify name=RealTime classification=overwrite defclass=15 ackclass=15 bidirectional=enabled

:ipqos queue config dest=pvc_Internet queue=0 ackfiltering=enabled

:label modify name=Interactive defclass=10 ackclass=10

:ipqos config dest=pvc_Internet priority=wfq weight1=10 weight2=20 weight3=30 weight4=40

Για το Counter-Strike:

:expr add name=Steam_Port type=serv proto=tcp dstport=27030 dstportend=27039
:expr add name=Steam_Port type=serv proto=udp dstport=1200
:expr add name=Steam_Port type=serv proto=udp dstport=27000 dstportend=27015

:label rule add chain=qos_user_labels label=RealTime serv=Steam_Port

Για το Warcraft 3:

:expr add name=TFT_Port type=serv proto=tcp dstport=6112

:label rule add chain=qos_user_labels label=RealTime serv=TFT_Port

Αν μπορείτε να μου πείτε τί λάθος κάνω και δεν μου ρίχνει τα πακέτα για τα 2 αυτά παιχνίδια στην "Queue 5".

Αυτό που θέλω να κάνω είναι να έχουν μεγαλύτερη προτεραιότητα από οποιαδήποτε άλλη εφαρμογή που χρησιμοποιεί internet.

Ευχαριστώ εκ των προτέρων!!!

[zardoz]

Guys, έχω κάνει τα εξής:

Αν μπορείτε να μου πείτε τί λάθος κάνω και δεν μου ρίχνει τα πακέτα για τα 2 αυτά παιχνίδια στην "Queue 5".

Εκτός ότι δεν βλέπω state=enabled στο ipqos config (αλλά υποθέτω ότι είναι ΗΔΗ enabled), οι πόρτες που βάζεις είναι INCOMING ή OUTGOING?

Δεν έχω ΙΔΕΑ από παιχνίδια, αλλά αν οι ΑΛΛΟΙ συνδέονται στις παραπάνω
πόρτες απ' έξω ΣΤΟ ΔΙΚΟ ΣΟΥ Η/Υ, τότε αυτά που κάνεις ΔΕΝ πιάνουν τα πακέτα.

Πρέπει να κάνεις τα ίδια για srcport=???? και θα πιάσει ειδικά επειδή bidirectional=enabled.

Αν έχεις κάνει NAPT καλό είναι να έχεις τα ίδια port μέσα / έξω.

Ίσως πάλι να τα έχω ξεχάσει τόσο καιρό ...

[Spanos]

Guys, έχω κάνει τα εξής:

Για το Counter-Strike:
Για το Warcraft 3:
Αν μπορείτε να μου πείτε τί λάθος κάνω και δεν μου ρίχνει τα πακέτα για τα 2 αυτά παιχνίδια στην "Queue 5".

Αυτό που θέλω να κάνω είναι να έχουν μεγαλύτερη προτεραιότητα από οποιαδήποτε άλλη εφαρμογή που χρησιμοποιεί internet.

Ευχαριστώ εκ των προτέρων!!!

Aν και δεν είμαι ο ειδικός έχω διαβάσει στο site του Zardoz οτι

Στο UDP τώρα

• Τα UDP πακέτα στέλνονται ως έχει χωρίς fragmentation και χωρίς ACK!
• Ποτέ δεν είσαι σίγουρος ότι πήγαν εκτός αν το προβλέψεις σε ανώτερο επίπεδο πρωτοκόλλου

Στόχος #2:

• Δεν πειράζουμε τα UDP. Αυτό γιατί ανεξάρτητα με την κατεύθυνση (outgoing/incoming) περιέχουν χρήσιμες πληροφορίες ειδικά στο emule. Το να καθυστερήσουμε πχ τα εισερχόμενα είναι κακό γιατί περιέχουν χρήσιμη πληροφορία για εμάς!

http://www.carbonpeople.com/qos/

Επίσης θα πρότεινα τα services που έχεις δημιουργήσει να τα προσθέσεις κατευθείαν στο ηδη υπάρχον label VoIP-RTP που έχει τη μεγαλύτερη προτεραιότητα

Κώδικας:

{Administrator}=>label list
Name               Class      Def        Ack        Bidirect Inherit  Tosmark  Type       Value      Use  Trace
-----------------------------------------------------------------------------------------------------------
DSCP               overwrite  dscp       prioritize disabled disabled disabled tos        0          1    disabled
EmuleTorrentUpload overwrite  2          2          enabled  disabled disabled tos        0          4    disabled
Interactive        increase   8          10         disabled disabled disabled tos        0          14   disabled
Management         increase   12         12         disabled disabled disabled tos        0          4    disabled
Video              increase   10         10         disabled disabled disabled tos        0          2    disabled
VoIP-RTP           overwrite  14         14         enabled  disabled disabled tos        0          2    disabled
VoIP-Signal        overwrite  12         12         enabled  disabled disabled tos        0          2    disabled
default            increase   default    prioritize disabled disabled disabled tos        0          1    disabled

πχ με την εντολή

Κώδικας:

:label rule add chain=qos_default_labels index=1 serv=TFT_Port log=disabled state=enabled label=VoIP-RTP

Επίσης καλό θα ήταν να χρησιμοποιείς διαφορετικό όνομα για τα exrpessions που δημιουργείς αφού το καθένα έχει διαφορετικό port.

[pimp]

Παιδιά χρειάζομαι λίγο την σοφία σας,

Πως μπορώ να ορίσω/περιορίσω τον αριθμό τον κονεκτιονς για μία συγκεκριμένη IP ??? Το χρειάζομαι γιατί ένα πισάκι στο λαν είναι "μαγκάκι" και τα έχει μαμίσει όλα τα όλα

Προς το παρόν τον έβαλα σε ουρά διαβάζοντας εδώ τις οδηγίες! Thanks

Τα πράγματα είναι λίγο καλύτερα τώρα...

[zardoz]

Παιδιά χρειάζομαι λίγο την σοφία σας,

Πως μπορώ να ορίσω/περιορίσω τον αριθμό τον κονεκτιονς για μία συγκεκριμένη IP ??? Το χρειάζομαι γιατί ένα πισάκι στο λαν είναι "μαγκάκι" και τα έχει μαμίσει όλα τα όλα

Προς το παρόν τον έβαλα σε ουρά διαβάζοντας εδώ τις οδηγίες! Thanks

Τα πράγματα είναι λίγο καλύτερα τώρα...

α) ΣΩΣΕ το τρέχον configuration σου γιατί οι παρακάτω δοκιμές μπορεί να μη σου "βγούν"

β1) Προτίμησε να βάλεις το/τα κακά PC στην ουρά WFQ1, δηλαδή το label π. χ myspecificqueuelabel πρέπει να κάνει defclass=ackclass=6 ή 7

β2) ΚΑΝΕΝΑ άλλο pc να μην πέφτει στην WFQ1 δηλαδή στο myspecificqueuelabel γιατί θα καθυστερεί απάνθρωπα.

γ) Φυσικά χρειάζεσαι SRCIP για να ελέγξεις ποιά PC (ip) θα πέσουν στην

π.χ :label rule add chain=qos_user_labels name=myrule
srcintf=lan srcip=10.0.0.10 serv=http log=disabled state=enabled label=myspecificqueuelabel

(το παράδειγμα πιάνει ΜΟΝΟ το σερφάρισμα http από το 10.0.0.10)

δ) Και ... ΤΑDA ...

Κόψε σχεδόν εντελώς την προτεραιότητα της ουράς WFQ1

:ipqos queue config dest=atm_pvc_8_35 queue=1 ackfiltering=enabled propagate=disabled
:ipqos config dest=atm_pvc_8_35 priority=wfq weight1=5 weight2=25 weight3=30 weight4=40

όπου αντί για atm_pvc_8_35 πρέπει να βάλεις το δικό σου active interface
(το βλέπεις π.χ με :ipqos queue stats)

Αν είσαι ΠΟΛΥ κακός, αντί για wfq δοκίμασε wrr, οπότε η ουρά θα αδικηθεί τρελλά
μια και θα εξυπηρετείται αποκλειστικά μέσω προτεραιότητας 5%.

Προσοχή ίσως το 10.0.0.10 γονατίσει απάνθρωπα

Ξαναλέω το παράδειγμα πιάνει μόνο το http, για άλλα πρωτόκολλα πρέπει να φτιάξεις δικά σου SERV που να τα "πιάνουν".

edit: Θέλει :saveall και :system reboot για να δουλέψουν αυτά...

[pimp]

Λεβέντη μου zardoz,
Πολύ σε ευχαριστώ για το προγραμματάκι σου και το τουτόριαλ, πολύ με βόλεψαν. Επίσης για την βοήθειά σου

Μέχρι στιγμής έκανα αυτό:

Αν θέλεις να περιορίσεις το http σερφάρισμα για κάποιο συγκεκριμένο PC, πχ 10.0.0.5:

:expr add name=LimitDownloadBADPC type=serv proto=TCP dstport=!80 srcip=10.0.0.5

και να βάλεις την expression LimitDownloadBADPC σε default label:

:label rule add chain=qos_user_labels label=default serv=LimitDownloadBADPC


Μπορείς έτσι πχ να κάνεις μια βόμβα π.χ, αν θέλεις να "γονατίσεις" ένα συγκεκριμένο
PC γιατί είναι πχ του ξαδερφού της γυναίκας σου που του "μοιράζεις" internet:

προσθέτοντας το !(θαυμαστικό) μπροστά από το 80. Αν δεν κάνω λάθος με αυτόν τον τρόπο, επηρεάζω όλες τις πόρτες εκτός της 80 για αυτό το πισι/IP.

όχι δεν είμαι κακός , απλά εκτελώ χρέη διαχειριστή στην γραμμή μας και προσπαθώ να κρατάω της ισορροπίες όσο γίνετε(τα έξοδα τα μοιραζόμαστε επί ίσης ) . Θα μελετήσω της νέες οδηγίες που μου έδωσες αλλά από μία γρήγορη ματιά που έριξα δεν είδα να λένε κάτι για τα connections ανά IP.
Το θεωρώ βασικό αυτό, όταν μοιράζετε το ινετ σε πολλά άτομα να υπάρχει κάποιος περιορισμός στα κονέκτιονς που μπορεί να ανοίγει ο καθένας. Δεν είμαι και τόσο σίγουρος πόσο έξυπνο είναι το τς585 κι αν μπορεί να τα "πιάνει" τα πακέτα όταν ο άλλος έχει ενεργοποιημένη και την κρηπτογράφηση στα τόρρεντ και παίζει και με τις πόρτες. Αλλά αφού έχουμε εσένα δεν φοβάμαι τίποτα
Καλού κακού αποφάσισα σήμερα να τον πιάσω και να του μιλήσω και να του εξηγήσω το πρόβλημα. Μου έδωσε την εντύπωση ότι είδε θετικά την αντίδρασή μου και καλά έκανα που τον πλησίασα και ότι θα είναι πιο προσεκτικός από εδώ και πέρα.

Συνεχίζω να θέλω όμως να μάθω πως γίνετε γιατί όπως λέει και η παροιμία "με τα λόγια, χτίζω ανώγεια και κατώγια"

Θέλω κάποια στιγμή να διαβάσω και όλο το "Application Note" για το QoS μπας και πάρω χαμπάρι τι γίνετε

[Kolonos]

Πολύ καλό φιλέ μου και κάνει άψογη δουλεία

Ενδιαφέρομαι να φτιάξω ένα rule για τον δορυφορικό δεκτή στην θύρα 8888 ώστε να έχει την πρώτη προτεραιότητα από όλα τα άλλα στο δίκτυο, με τα παρακάτω θα είναι εντάξει πιστεύετε;

:label modify name=DreamSpeed classification=overwrite defclass=14 ackclass=14 bidirectional=enabled
:expr add name=UploadDreambox type=serv proto=TCP srcport=8888

Η μήπως θα ήταν προτιμότερο να φτιαχτεί ένας κανόνας για την ip δέκτη που είναι 192.168.1.24;


Οποιαδήποτε βοήθεια ευπρόσδεκτη

[Rick_641]

Zardoz, να σε ευχαριστήσω κι εγώ για όλα τα εξαιρετικά που'χεις προσφέρει

Μια προταση σχετικά με το newmonitor:
στη καρτέλλα Στατιστικά
προσθεσε μια ακόμη γραμμή "Συνολικά Active Connections"

[Spanos]

Παρατήρησα κάποιες αλλαγές στις ρυθμίσεις του IPQoS στα firmware της σειράς 8, έχουν προστεθεί κάποιες επιπλέον ρυθμίσεις για κάθε σειρά προτεραιότητας.

Ενώ στα προηγούμενα firmware οι ρυθμίσεις στο user.ini ήταν έτσι

Κώδικας:

[ ipqos.ini ]
config dest=pvc_Internet state=enabled weight1=10 weight2=20 weight3=30 weight4=40
queue config dest=pvc_Internet queue=0 ackfiltering=enabled
queue config dest=pvc_Internet queue=1 ackfiltering=enabled

Τώρα με 8άρι firmware οι ρυθμίσεις είναι έτσι

Κώδικας:

[ ipqos.ini ]
config dest=pvc_Internet state=enabled weight1=10 weight2=20 weight3=30 weight4=40 maxbytes=128
queue config dest=pvc_Internet queue=0 ackfiltering=enabled maxbytes=64 hold=2000
queue config dest=pvc_Internet queue=1 ackfiltering=enabled maxpackets=40 maxbytes=100 hold=2000
queue config dest=pvc_Internet queue=2 hold=2000
queue config dest=pvc_Internet queue=3 hold=2000
queue config dest=pvc_Internet queue=4 hold=2000
queue config dest=pvc_Internet queue=5 maxpackets=30 maxbytes=12 hold=2000

Tα release notes αναφέρουν οτι διορθώνουν το συγκεκριμένο πρόβλημα

Quality of Service - IPQoS

The issue where WFQ weights were not applied, has been fixed (WFQ is fair)