Como controlar el ancho de banda usando HTB-GEN

Imagen de damage

HOla distinguidos usuarios, amigos y conocidos del foro, a pedido de muchos, voy a comentarles mi experiencia en cuanto al uso del htb-gen versión 0.8.4, no usaremos la 0.9 porque aún esta en face beta. Bueno pues, el htb-gen es como su nombre lo indica un generador de script del famoso y glorioso HTB, pero bueno vamos al asunto en mención, los pasos son los siguientes:

1.- Descargar el htb-gen de la pagina oficial http://www.praga.org.ar/wacko/DevPraga/htbgen/, aqui escojemos dependiendo de nuestra distro de linux, el paquete mas apropiado, yo como uso Centos 4.4 i386, descargue htb-gen-0.8.4-1.noarch.rpm, también lo he usado en x86_64 ya que es un rpm "noarch".

2. Luego de la descarga respectiva, lo instalamos, ya sea con doble click o desde la consola como sea mejor para cada quien:


rpm -iUvh htb-gen-0.8.4-1.noarch.rpm

3. Ahora ya esta instalado el htb-gen, desde la consola editamos el .conf, no dirijimos hacia:


# vi /etc/htb-gen/htb-gen.conf
Aquí declaramos, las interfaces de red tanto la que esta conectada al internet como la que esta del lado LAN:
iface_down="eth1" # Server LAN iface
iface_up="eth0" # Server INET iface

3.1 Luego declaramos el ancho de banda que tenemos asignado por ejemplo si nuestra red tiene un ancho de banda de 512 Kbits tanto de bajada como de subida lo declaramos asi:

total_rate_down=512
total_rate_up=512

O si tenemos 512k down y 256 up:

total_rate_down=512
total_rate_up=256

3.2 El siguiente paso es declarar los puertos a segmentar, por default viene unos 10 puertos, pero si nuestro server hace de proxy/firewall, es basta con declarar el 80 y el 8080:

prio_ports=80,8080,25,110,443,1863

El resto de variables que estan en el archivo no lo tocamos para nada (mucho cuidado), no hace falta.

4. Ahora vamos a declarar el ancho de banda que tendra cada ip, subred o red, para esto editamos esto:

# vi /etc/htb-gen/htb-gen-rates.conf

Aquí podemos jugar con los valores el archivo muestra 5 columnas donde la primera es la ip, o subred, la segunda el "rate" de bajada, la tercera el "ceil" de bajada y la cuarta y quinta son el "rate" y el "ceil" de subida, todo esto esta debidamente documentado en el mismo archivo (pero en ingles), ejemplo de comfiguración:


192.168.100.2 0 128 0 64
192.168.100.3 64 128 0 64
192.168.100.4 0 64 0 32

Esto que significa por ejemplo la ip 192.168.100.2, tendra un ancho de banda compartido ( ya que esta en 0 el rate), podiendo llegar a un maximo de 128k siempre y cuando exista ancho de banda disponible.
la ip 192.168.100.3, tendra 64k de ancho de banda asegurado ya que esta en el rate y un maximo de 128k.
Dentro del mismo archivo tenemos más ejemplos didacticos. Guardamos los cambios y listo.

5. OJO esto solo en el caso de que no controle bien el ancho de banda le meten mano de lo contrario lo dejan tal como viene.
Luego de hacer todo esto debemos hacerle unos retoques al script principal el cual esta en:

# vi /usr/bin/htb-gen

y vamos hasta donde dice:

# Make extra tables, cleaner & target match faster
iptables -t mangle -N htb-gen.down
iptables -t mangle -A FORWARD -o ${iface_down} -j htb-gen.down
y Añadimos esta linea:
iptables -t mangle -A OUTPUT -o ${iface_down} -j htb-gen.down
Luego bajamos dos lineas y añadimos:
iptables -t mangle -A POSTROUTING -o ${iface_up} -j htb-gen.up

esta parte del script quedará asi:
iptables -t mangle -N htb-gen.down
iptables -t mangle -A FORWARD -o ${iface_down} -j htb-gen.down
iptables -t mangle -A OUTPUT -o ${iface_down} -j htb-gen.down
iptables -t mangle -N htb-gen.up
iptables -t mangle -A POSTROUTING -o ${iface_up} -j htb-gen.up
iptables -t mangle -A FORWARD -o ${iface_up} -j htb-gen.up

Bajamos un poco más y encontraremos esto:
#delete old htb-gen entries(chains)
iptables -t mangle -D FORWARD -o ${iface_down} -j htb-gen.down 2>/dev/null
iptables -t mangle -D FORWARD -o ${iface_up} -j htb-gen.up 2>/dev/null
Y lo remplazamos adicionando lineas correspondientes a las anterirmente declaradas, en fin debe quedar asi:

#delete old htb-gen entries(chains)
iptables -t mangle -D FORWARD -o ${iface_down} -j htb-gen.down 2>/dev/null
iptables -t mangle -D OUTPUT -o ${iface_down} -j htb-gen.down 2>/dev/null
iptables -t mangle -D POSTROUTING -o ${iface_up} -j htb-gen.up 2>/dev/null
iptables -t mangle -D FORWARD -o ${iface_up} -j htb-gen.up 2>/dev/null

6. Una vez guardados los cambios, desde consoloa tecleamos:

# htb-gen tc_all

Con esto htb-gen generara automaticamente, los script's correspondientes con las clases y la parte de iptables.

7. Verificamos que todo se halla generado con:

# iptables -nL -t mangle

8. Listo todo en orden a relajarce con unas chelas ya que tendran un problema menos que cargar, Salud.

NOTA: Deben tener instaldo iproute para que esto funcione de lo contrario, no generara mensajes de error, recuerden que el comando TC es parte de iproute y este comando es parte fundamental tanto en el uso de htb como de cbq.

Debido a la gran cantidad de preguntas respecto a el mensaje de "check rates conf, not enough download bandwidth", eso se da porque estan declarando más RATE del que tienen asignado en el "Total RATE" del htb-gen.conf. Pilas lean las palabritas que tiene cada archivito para que se enteren que no hacer.

Así mismo he visto que preguntan de manera insistente que se les indique porque no les funciona el htb-gen, muchos usuarios solo lo instalan y listo, pero aveces hay que ver que más pasa, yo nunca tuve inconvenientes con el htb-gen realizaba lo posteado y listo, pero con la versión 0.9b, el error se da que este no asigna la chain de mangle a la eth1 si no a la eth0, he ahi el error ya que personalmente la eth0 la declaro como interfaz externa.
Recomiendo tecleen iptables -nL -t mangle y se fijen en que eth se general el reporte, la solución la estoy analizando, la misma la posteare a futuro, por el momento si necesitan usar el htb-gen 0.9 usen la version 0.9-1 con la cual no se me ha presentado el inconveniente.

ACTUALIZACIÓN 11/07/2009
Viendo varios post similares sobre el problema de la segmentación de subida, lastimosamente muchos solo pensaron de que era cosa de instalar dar dos clic's, poner las ip's y listo, pero no este problema de subida se soluciona, y repito como dije hace meses atras (por eso nunca di respuesta antes ya que no lo creía necesario debido a "que lo habia dicho antes") se debe jugar con las reglas de iptables, en la versión del htb gen 0.9.1 que es la cual muchos usan,se debe adicionar una linea en la cual marque el FORWARD con la opción -i, con eso es suficiente para solucionar el dilema de la subida, espero que prueben y apliquen lo recomendado. No me pregunten el porque, se los dejo de tarea.
En cuanto a la versión 0.8.x no hay que hacerlos tal como se explica es suficiente, si tienes algun problema con el squid o alguna relacionado, me he topado con muchas personas que tienen script de iptables que hacen flush de reglas en la cadena mangle lo cual interfiere con las reglas de mangle del htb-gen, deben ver todas las opciones antes de decir NO FUNCIONA.

Actualización al 14 de Septiembre del 2010:

Se me presento en una institución que no es ISP que se necesitaba colo controlar el ancho de banda hacia Internet, pero resulta que como el htb-gen segmenta todo el tráfico en la tabla del FORWARD, pues eso tría complicaciones cuando el mismo gateway de Internet es también el router de varias subredes de una LAN, por ejemplo un servidor de aplicaciones esta dentro del segmento 192.168.0.1/24 y tengo hosts en el segmento 192.168.2.0/29, ambas redes son ruteadas por el Linux en este caso el Htb-gen me segmentara el trafico local entre ambas subredes, lo cual nos pondra en problemas, para solucionar esto se debe hacer los siguiente (gracias a Razametal por dar una luz ;) ):
iptables -t mangle -I FORWARD -p ALL -d 192.168.0.1/24 -s 192.168.2.0/29 -j RETURN
iptables -t mangle -I FORWARD -p ALL -s 192.168.0.1/24 -d 192.168.2.0/29 -j RETURN

Listo con esto adicionado al final del script principal de htb-gen (/usr/local/bin/htb-gen) tenemos todo resuelto.
Recuerden una vez ejecutado el script con las lineas de Return adicionadas, remplacen el -I con -A, ojo.

Saludos amigos.

Comentarios

Dos ISP

Imagen de Freestate

Hola

¿que pasa si tengo 2 ISP y por lo tanto dos interfaces conectadas a internet y 1 lan? veo que en el htb-gen-conf solo tiene declarada eth1 para la LAN y eth0 para internet.

Saludos!

Favor

Hola damage soy nuevo por aca y deso que me ayudas con el script de htb gen te comento ya lo intente pero me sale errores y seguido los pasos si puedes pasame el que tiene modificado a mi correo patricioguzman@hotmail.es
Ya que manejo 22ip estaticas y 3 dinamicas y deso darles un ancho de banda correpsondientes
por fa ayudame los p2p me comen la red de un ciber donde trabajo y mi jefe me va votar si no lo soluciono

tengo instlado centos 5 en un server hp proliant ml115 g5

TE agradesco de ante mano

Configuración

Imagen de Zarbon_Return

Saludos

Ojala me puedan ayudar con lo siguiente, tengo configurado en FEDORA 12 NAT para que todas las PCS salgan al internet a través de esta, lo tengo configurado con subinterfaces (eth0 WAN y eth0:0 LAN) y queria limitar el AB de los usuarios con htb-gen segui todos los paso y no me presenta ningun error en las configuraciones pero al colocar el último comando de verificación me sale lo siguiente:

[root@server zarbon]# htb-gen tc_all
[root@server zarbon]#

[root@server zarbon]# iptables -nL -t mangle
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination

Entonces pruebo con speed test la velocidad de las máquinas pero se ve que no se limita el AB. En espera de su gentil ayuda.

Saludos

Imagen de Zarbon_Return

Gracias efectivamente agregue otra tarjeta de red y se soluciono el inconveniente y pude limitar el AB, como observación adicionalmente tuve que bajar el SELINUX, pero ahora estoy probando y limita perfectamente al AB. :)

Revisión de Archivo

Imagen de Zarbon_Return

Saludos

Gracias por responder efectivamente revise el archivo indicado y coloque la información como indica la guia, indico a continuación:

# Make extra tables, cleaner & target match faster
iptables -t mangle -N htb-gen.down
iptables -t mangle -A FORWARD -o ${iface_down} -j htb-gen.down
iptables -t mangle -A OUTPUT -o ${iface_down} -j htb-gen.down
iptables -t mangle -N htb-gen.up
iptables -t mangle -A POSTROUTING -o ${iface_up} -j htb-gen.up
iptables -t mangle -A FORWARD -o ${iface_up} -j htb-gen.up

#delete old htb-gen entries(chains)
iptables -t mangle -D FORWARD -o ${iface_down} -j htb-gen.down 2>/dev/null
iptables -t mangle -D OUTPUT -o ${iface_down} -j htb-gen.down 2>/dev/null
iptables -t mangle -D POSTROUTING -o ${iface_up} -j htb-gen.up 2>/dev/null
iptables -t mangle -D FORWARD -o ${iface_up} -j htb-gen.up 2>/dev/null

Adicionalmente indico las configuraciones realizadas en los archivos.

/etc/htb-gen/htb-gen.conf

iface_down="eth0:0" # Server LAN iface
iface_up="eth0" # Server INET iface

total_rate_down=500
total_rate_up=128

prio_ports=20,21,22,25,80,110,143,443,465,993,995,1863,1864,3389

/etc/htb-gen/htb-gen-rates.conf

# rate is in 0 so it means that it will be automagickly calculated
192.168.1.10 128 256 32 64

Y como lo indique anteriormente genero las reglas no me sale ningun error y verifico con IPTABLES, finalmente pruebo con speedtest y verifico que no restringe el AB por favor si me pueden indicar el error o si algo adicional hay que agregar.

Squid y HTB-GEN no funcionan

Buen dia señores

Ante de todo pido disculpas por nuevamente postear este tema. La verdad ya he revisado muchas veces el tema y no encuentro la solucion. Realice todos los pasos explicados, he mirados todos los posts, he cambiado mi firewall, deje la maquina solo con nat, pero cada vez que activo el proxy transparente o habilito el proxy en el navegador, el htb no logra controlar el ancho de banda. SI deshabilito el proxy , se ahce le control correctamente. Por favor alguin que me de una mano con esto. Edite el /usr/bin/htb-gen tal como lo explicaste. De verdad no se que mas ahcerle a esto Por favor alguein que me de una mano.

Que firewall usas , te

Imagen de damage

Que firewall usas :?, te recomiendo que al final del /usr/bin/htb-gen coloques solo las reglas de NAT y de enmascaramiento, no actives el firewall, si el squid, prueba y comenta, si no funciona al aplicar tu proxy trasnparente es porque alguna regla esta haciendo un flush del mangle.
Además revisa si el SELINUX esta deshabilitado, es común que lo dejen permisivo o habilitado.

Páginas