Segmentación de ancho de banda

Imagen de iceman

Forums: 

Saludos:

Tengo un inconveniente con el ancho de banda disponible para el lugar donde trabajo. El asunto es que no se como segmentar de una manera adecuada el ancho de banda que mi ISP me proporciona. Hace unos a través de speedtest medí la velocidad de mi enlace y era sumamente baja.

Empecé a desconectar a ciertos usuarios de mi red y me di cuenta de quienes eran los que ocupaban más. Implementé un script con htb-gen pero la verdad no se si funciona adecuadamente la segmentación que he realizado.

La pregunta es si me pueden recomendar alguna otra forma de segmentar el ancho de banda ya sea a través de software o través de hardware o en su defecto como optimizo y compruebo que la implementación que realicé con htb-gen está funcionando.

Gracias.

htb-gen

Imagen de iceman

Este es el manual que seguí:

http://www.ecualug.org/2007/08/22/comos/como_controlar_el_ancho_de_banda_usando_htbgen

Mi pregunta es la siguiente:

Cuando reinicio el servidor, al ingresar en terminal el comando iptables -nL -t mangle no aparece mucho, pero al ingresar el comando htb-gen tc_all me sale el siguiente mensaje:

RTNETLINK answers: No such file or directory
RTNETLINK answers: No such file or directory

Ingreso nuevamente el comando iptables -nL -t y me aparecen mis redes y otras redes más.

¿Qué puede estar sucediendo?, realizo todo lo que dice el manual.

¿Cada vez que reinicio el server debo ingresar el comando htb-gen tc_all ?

Por otro lado no entiendo a que se refiere con todo el tráfico segmentado, lo que hice con htb-gen es para cada red darle ancho de banda específico.

Gracias

bueno son muchas preguntas...

Imagen de falcom

bueno son muchas preguntas...
cuando reinicias el server debes levantar nuevamente los controles de htb-gen presionando en un terminal
htb-gen tc_all
esto lo puedes automatizar colocando un script bash de inicio.
esto debido a q al reiniciar el server se hace un flush de las reglas.
sobre el error
RTNETLINK answers: No such file or directory
RTNETLINK answers: No such file or directory

alguna vez me salio y determine que se trataba de algun modulo miss en el kernel prueba con
modprobe sch_netem
o era alggo con iproute no recuerdo completamente, pero si le dabas de nuevo a htb-gen tc_all, el error ya no salia.

sobre las opciones para q veas el trafico segmentado utiliza mejor el jnettop asi:
jnettop -i eth0 -x "host 192.168.0.2"
en tu proxy te indicar el tráfico y ancho de banda up/down en totales
te decia del otro paquete que tambien es válido pero no te hagas problema, luego te explico para q es..

Y cómo hago para desactivar

Imagen de iceman

Y cómo hago para desactivar el htb-gen sin reiniciar el server?

Con respecto a la configuración de un nuevo server, me recomiendas que instale CentOS 6.4 version minimal. Cuál sería la ventaja de no usar modo gráfico?

Si no me equivoco:

Imagen de deathUser

Si no me equivoco:

service iptables restart

te va a dejar sin las reglas del htb-gen

Si no necesitas o no quieres tener modo gráfico o quieres consumir la menor cantidad de recursos pues no subes el modo gráfico, otra cosa es que la instalación minimal, te instala el mínimo necesario de paquetes para tener un linux funcional, de tal manera que tú agregas explícitamente los paquetes que vas a requerir, así te preocupas de mantener actualizados solo por los paquetes y servicios que instalaste ...

bye
;)

para parar el htb sin

Imagen de falcom

para parar el htb sin reiniciar el server:
iptables -F -t mangle
iptables -X -t mangle

o
tc qdisc del dev eth0 root
tc qdisc del dev eth1 root

ojo siempre tiene q ser a las 2 interfaces...
x favor lee bien el manual esta todo completo...
http://www.ecualug.org/?q=2007/08/22/comos/como_controlar_el_ancho_de_banda_usando_htbgen&page=1

sobre lo otro, lògico si unicamente usas el server como proxy, pues no necesitas nada de interfaz graphic, asi q instala los paquetes mínimos y necesarios.

hola Falcon, siemrpe he

hola Falcon, siemrpe he querido controlar el ancho de banda con centos, he encontrado otras herramientas como untangle, microtik las cuales funcionan muy bien, pero siempre he querido implementarlo con htb pero me surgen las siguientes dudas, como amarro el htb con mi iptables, donde coloco las reglas mangle?, en el apartado mangle de mi iptables, como sabe el iptables o como se amarran estos dos modulos, esa parte es la que aun no logro entender, si ya tengo mi iptables que cambio debo hacerle para que funcione en conjunto con htbgen, abajo dejo mi iptables, si ven muchas reglas es por que administro unas vlan y necesitaba enrutamiento intervlan, les agradezco me logren orientar de como seria la jugada, otra cosa yo no lo hago con script mi iptables cual es la forma mas optima con script o de esta manera.

estes es mi iptables en esta ruta: etc/sysconfig/

*nat
:PREROUTING ACCEPT [46:18048]
:POSTROUTING ACCEPT [228:15016]
:OUTPUT ACCEPT [13258:878637]

# Redireccion al Proxy
-A PREROUTING -s 192.168.10.0/27 -i eth1.100 -p tcp --dport 80 -j REDIRECT --to-port 3128
-A PREROUTING -s 192.168.10.32/28 -i eth1.200 -p tcp --dport 80 -j REDIRECT --to-port 3128
-A PREROUTING -s 192.168.10.48/28 -i eth1.300 -p tcp --dport 80 -j REDIRECT --to-port 3128
-A PREROUTING -s 192.168.10.64/28 -i eth1.400 -p tcp --dport 80 -j REDIRECT --to-port 3128
-A PREROUTING -s 192.168.10.80/28 -i eth1.500 -p tcp --dport 80 -j REDIRECT --to-port 3128
-A PREROUTING -s 192.168.10.96/28 -i eth1.600 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Nateo de la Red
-A POSTROUTING -s 192.168.10.0/27 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.10.32/28 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.10.48/28 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.10.64/28 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.10.80/28 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.10.96/28 -o eth0 -j MASQUERADE

COMMIT

*mangle
:PREROUTING ACCEPT [502441:104737828]
:INPUT ACCEPT [402856:86142765]
:FORWARD ACCEPT [98701:18528985]
:OUTPUT ACCEPT [361738:76607469]
:POSTROUTING ACCEPT [460591:95156222]
COMMIT

*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:syn-flood - [0:0]
:OUTPUT ACCEPT [0:0]

# Local Host & Red Local
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.10.0/27 -j ACCEPT
-A INPUT -s 192.168.10.32/28 -d 192.168.10.0/27 -p tcp --dport 1433 -j ACCEPT
-A INPUT -s 192.168.10.0/27 -d 192.168.10.32/28 -p tcp --sport 1433 -j ACCEPT
-A INPUT -s 192.168.10.48/28 -j ACCEPT
-A INPUT -s 192.168.10.64/28 -j ACCEPT
-A INPUT -s 192.168.10.80/28 -j ACCEPT
-A INPUT -s 192.168.10.96/28 -j ACCEPT
-A INPUT -p udp -m udp -s 129.6.15.28 --dport 123 --sport 123 -j ACCEPT

# Anti-flooding o inundacion de tramas SYN
-A INPUT -i eth0 -p tcp --syn -j syn-flood
-A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
-A syn-flood -j DROP

-A FORWARD -d 192.168.10.5 -p tcp --dport 1433 -j ACCEPT
-A FORWARD -s 192.168.10.5 -p tcp --sport 1433 -j ACCEPT

-A FORWARD -s 192.168.10.0/27 -d 192.168.10.32/28 -j ACCEPT
-A FORWARD -s 192.168.10.32/28 -d 192.168.10.0/27 -j ACCEPT
-A FORWARD -s 192.168.10.0/27 -d 192.168.10.48/28 -j ACCEPT
-A FORWARD -s 192.168.10.48/28 -d 192.168.10.0/27 -j ACCEPT
-A FORWARD -s 192.168.10.0/27 -d 192.168.10.64/28 -j ACCEPT
-A FORWARD -s 192.168.10.64/28 -d 192.168.10.0/27 -j ACCEPT
-A FORWARD -s 192.168.10.0/27 -d 192.168.10.80/28 -j ACCEPT
-A FORWARD -s 192.168.10.80/28 -d 192.168.10.0/27 -j ACCEPT
-A FORWARD -s 192.168.10.0/27 -d 192.168.10.96/28 -j ACCEPT
-A FORWARD -s 192.168.10.96/28 -d 192.168.10.0/27 -j ACCEPT
-A FORWARD -s 192.168.10.32/28 -d 192.168.10.48/28 -j ACCEPT
-A FORWARD -s 192.168.10.48/28 -d 192.168.10.32/28 -j ACCEPT
-A FORWARD -s 192.168.10.32/28 -d 192.168.10.64/28 -j ACCEPT
-A FORWARD -s 192.168.10.64/28 -d 192.168.10.32/28 -j ACCEPT
-A FORWARD -s 192.168.10.32/28 -d 192.168.10.80/28 -j ACCEPT
-A FORWARD -s 192.168.10.80/28 -d 192.168.10.32/28 -j ACCEPT
-A FORWARD -s 192.168.10.32/28 -d 192.168.10.96/28 -j ACCEPT
-A FORWARD -s 192.168.10.96/28 -d 192.168.10.32/28 -j ACCEPT
-A FORWARD -s 192.168.10.48/28 -d 192.168.10.64/28 -j ACCEPT
-A FORWARD -s 192.168.10.64/28 -d 192.168.10.48/28 -j ACCEPT
-A FORWARD -s 192.168.10.48/28 -d 192.168.10.80/28 -j ACCEPT
-A FORWARD -s 192.168.10.80/28 -d 192.168.10.48/28 -j ACCEPT
-A FORWARD -s 192.168.10.48/28 -d 192.168.10.96/28 -j ACCEPT
-A FORWARD -s 192.168.10.96/28 -d 192.168.10.48/28 -j ACCEPT
-A FORWARD -s 192.168.10.64/28 -d 192.168.10.80/28 -j ACCEPT
-A FORWARD -s 192.168.10.80/28 -d 192.168.10.64/28 -j ACCEPT
-A FORWARD -s 192.168.10.64/28 -d 192.168.10.96/28 -j ACCEPT
-A FORWARD -s 192.168.10.96/28 -d 192.168.10.64/28 -j ACCEPT
-A FORWARD -s 192.168.10.80/28 -d 192.168.10.96/28 -j ACCEPT
-A FORWARD -s 192.168.10.96/28 -d 192.168.10.80/28 -j ACCEPT

-A FORWARD -p tcp -m multiport -s 192.168.10.36/32 -i eth1 --dport 1000:2000 -j ACCEPT
# ########## Servicios locales ##########
-A FORWARD -p tcp -m multiport -s 192.168.10.0/27 -i eth1.100 --dport 20,21,22,25,47,53,110,143,443,587,1433,3389,3535 -j ACCEPT
-A FORWARD -p tcp -m multiport -s 192.168.10.32/28 -i eth1.200 --dport 20,21,22,25,47,53,110,143,443,587,1433,3389,3535 -j ACCEPT
-A FORWARD -p tcp -m multiport -s 192.168.10.48/28 -i eth1.300 --dport 20,21,22,25,47,53,110,143,443,587,3389,3535 -j ACCEPT
-A FORWARD -p tcp -m multiport -s 192.168.10.64/28 -i eth1.400 --dport 20,21,22,25,47,53,110,143,443,587,3389,3535 -j ACCEPT
-A FORWARD -p tcp -m multiport -s 192.168.10.80/28 -i eth1.500 --dport 20,21,22,25,47,53,110,143,443,587,3389,3535 -j ACCEPT
-A FORWARD -p tcp -m multiport -s 192.168.10.96/28 -i eth1.600 --dport 20,21,22,25,47,53,110,143,443,587,3389,3535 -j ACCEPT

-A FORWARD -p udp -m multiport -s 192.168.10.0/27 -i eth1.100 --dport 20,21,53,3389 -j ACCEPT
-A FORWARD -p udp -m multiport -s 192.168.10.32/28 -i eth1.200 --dport 20,21,53,3389 -j ACCEPT
-A FORWARD -p udp -m multiport -s 192.168.10.48/28 -i eth1.200 --dport 20,21,53,3389 -j ACCEPT
-A FORWARD -p udp -m multiport -s 192.168.10.64/28 -i eth1.400 --dport 20,21,53,3389 -j ACCEPT
-A FORWARD -p udp -m multiport -s 192.168.10.80/28 -i eth1.500 --dport 20,21,53,3389 -j ACCEPT
-A FORWARD -p udp -m multiport -s 192.168.10.96/28 -i eth1.600 --dport 20,21,53,3389 -j ACCEPT

###### Bloqueamos todo el trafico forward #####
#

COMMIT

Hombre todo esta claramente

Imagen de falcom

Hombre todo esta claramente explicado en
http://www.ecualug.org/?q=2007/08/22/comos/como_controlar_el_ancho_de_banda_usando_htbgen
x lo general siempre se utlizan script de iptables para cargar nuestras personalizaciones/configuraciones, pero alli no va nada de htb-gen, x favor lee bien la pag indicada