Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Limitare la banda per utente e connessioni con burst
Vai a 1, 2  Successivo
 
Nuovo argomento   Rispondi    Indice del forum -> Suggerimento nuove funzionalità
Precedente :: Successivo  
Autore Messaggio
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1559

MessaggioInviato: Mer Nov 26, 2008 11:50 pm    Oggetto: Limitare la banda per utente e connessioni con burst Rispondi citando

Una delle feature più richieste, ma che Zeroshell implementa parzialmente, è quella di limitare la banda per singolo utente. In altre parole, sarebbe opportuno poter specificare, nella configurazione del captive portal, la banda massima da assegnare ad un client autenticato e magari poterla differenziare in base alla categoria di utenza. Mi sembra una soluzione accettabile quella di specificare la classe QoS nel form di inserimento/modifica dell'utente.
Così facendo si creano delle classi con banda massima assegnata (volendo anche con banda minima garantita) e poi si assegna l'utente a una delle classi QoS.
Cosa ne pensate?

Peraltro, già con la beta11 è possibile implementare le connessioni con burst, che risolvono in gran parte il problema che sorge quando pochi utenti che effettuino dei download pesanti, possano degradare la qualità della navigazione interattiva su tutta la LAN.
La chiave di ciò sta nel parametro "Traffic per connection more than n MB" del classificatore QoS. In altre parole, si fanno partire tutte le connessioni nella classe DEFAULT a cui non si assegna un limite di banda. Superata una certa soglia di traffico (per esempio 1MB per connessione), si fa slittare la connessione in una classe con un limite di banda. Superata un'ulteriore soglia, si passa ad una classe ancora più limitata e così via.

In questa maniera, gli utenti che stanno semplicemente navigando sul web avranno sempre una risposta in tempo reale.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Gio Nov 27, 2008 1:04 am    Oggetto: Rispondi citando

Ciao Fulvio

Come soluzione sembra essere ottima.

Ma un altro problema da risolvere, dal mio punto di vista, sarebbe anche la possibilità di abilitare l'isolamento dei client connessi.
In pratica tra i mac connessi sulla lan lato hotspot dovrebbe essere impedita qualsiasi comunicazione (in modo da evitare accessi indesiderati al proprio pc).
Se si fa un test sui pc connessi ad una rete wireless si può verificare che l'80% (mi sono sicuramente tenuto basso) degli utenti ha l'utente administrator di windows xp senza password! Garantire una sicurezza anche a questi fruitori del servizio non sarebbe cosa malvagia.

Ciao Fulvio e grazie ancora per il lavoro che stai svolgendo.

Giancarlo
Top
Profilo Invia messaggio privato
argaar



Registrato: 21/11/07 10:48
Messaggi: 115
Residenza: Roma

MessaggioInviato: Gio Nov 27, 2008 10:25 am    Oggetto: Rispondi citando

@giancagianca: l'idea sarebbe bella però dipende dall'infrastruttura, se i client stanno tutti su uno switch devi agire dallo switch e non da ZS, lo scenario proposto da te va bene solo per quanto riguarda un AP.

@Fulvio: idea stupenda e da implementare appena possibile, la modalità che hai descritto ad un primo ragionamento sembra perfetta, se poi viene in mente qualche miglioria/difetto sarai subito informato.

Colgo l'occasione per ringraziarti sempre....
_________________
Noi esploriamo... e ci chiamate criminali. Noi cerchiamo conoscenza... e ci chiamate criminali. Noi esistiamo senza colore di pelle, nazionalita', credi religiosi e ci chiamate criminali.
Top
Profilo Invia messaggio privato
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Gio Nov 27, 2008 12:52 pm    Oggetto: Rispondi citando

Ciao

In effetti stavo parlando di hotspot. Non includevo il lato wired.

Ciao
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Gio Dic 04, 2008 3:39 pm    Oggetto: Rispondi citando

Se ho capito bene :

esempio impostazione

Parallel connections per IP more 2

Traffic per connection less 50 kb

se un ip fa +di 2 connessioni dimonuisci il trafico a meno di 50kb

dico bene oppure sbaglio ?

Cordiali Saluti Vito
Top
Profilo Invia messaggio privato
scara89



Registrato: 13/05/08 17:24
Messaggi: 53

MessaggioInviato: Mar Dic 09, 2008 9:50 pm    Oggetto: Rispondi citando

Non ho capito bene Fulvio, come ha detto Vito, se mettiamo Parallel connections per IP more 2 Traffic per connection less 50 kb , dopo che per esempio apre una pagina web e supera i 50 kb (quasi scontato) il traffico per aprire quella determinata pagina web se io sotto metto classifier P2P per esempio, mi limita la banda per l apertura della pagina al valore messo nella velocita di banda per il p2p ? Mi spiego ?

Quindi per impostare la banda di tutti gli utenti apro una classe di qos chiamata tipo "accounting", gli do le volocita sia down che up e poi imposto connections per IP more 1 Traffic per connection less 1 kb e avrei risolto ? Me le baipassa tutto sulla classe di qos "accounting" Grazie fulvio, davvero grazie,

Novita per il modulo di acconting vero e proprio ? Grazie
Top
Profilo Invia messaggio privato MSN
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1559

MessaggioInviato: Mar Dic 09, 2008 11:38 pm    Oggetto: Rispondi citando

Citazione:

Quindi per impostare la banda di tutti gli utenti apro una classe di qos chiamata tipo "accounting", gli do le volocita sia down che up e poi imposto connections per IP more 1 Traffic per connection less 1 kb e avrei risolto ? Me le baipassa tutto sulla classe di qos "accounting" Grazie fulvio, davvero grazie,


Non è necessario imporre anche il vincolo sul numero di connessioni parallele per IP che serve generalmente per evitare attacchi DoS.
Poi devi usare "Traffic per connection more 1kb" (more e non less).
Tuttavia, tieni conto che tutti glu utenti vanno a finire nella stessa classe e quindi la banda verrebbe condivisa. Non credo sia questo cio' che vuoi.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Mer Dic 10, 2008 9:55 am    Oggetto: Rispondi citando

Giusto rivedendo meglio la tua descrizione
il problema risolto con questa nuova applicazione
è esclusivamente quello in classe default
o di una a nostra scelta .
Quindi applicabile anche in due classi diverse,
dopo una certa quanrtità di dati dall'utente trasferita al suo pc tramite la connessione in atto
se sta facendo un download pesante e sta degradando la connessione ad altri ("perchè in default si assegna di solito sempre più banda ").
dopo aver impostato Traffic per connection more 10mb ad esempio
dopo che il download in atto dall'utente ammettiamo 100mb totali ha superato i 10mb passa automaticamente ad una classe più bassa.
E fin quì adesso ci sono ;
Ma in quale classe va a finire ipotizzando che ho tutte le classi impostate es. bulk p2p voip ecc se io volessi impostare il parametro solo in default?
Percaso nella banda garantita della medesima classe? o di una più ristretta?
Cordiali Saluti Vito
Top
Profilo Invia messaggio privato
scara89



Registrato: 13/05/08 17:24
Messaggi: 53

MessaggioInviato: Mer Dic 10, 2008 3:53 pm    Oggetto: Rispondi citando

Ciao Fulvio, inanzitutto grazie per la risposta, ho provato a creare una classe chiamata accounting, max 512 garantito 384 , ho messo in classifier la regola more 1 kb in target class accounting , Source IP 192.168.102.0/24 (quindi tutti gli ip di questa classe) Salvo tutto, faccio un test adsl ma mi da tutta la banda senza limiti, come mai? Grazie

Novita sul modulo accounting vero e proprio ? Grazie
Top
Profilo Invia messaggio privato MSN
scara89



Registrato: 13/05/08 17:24
Messaggi: 53

MessaggioInviato: Mer Dic 10, 2008 4:21 pm    Oggetto: Rispondi citando

scara89 ha scritto:
Ciao Fulvio, inanzitutto grazie per la risposta, ho provato a creare una classe chiamata accounting, max 512 garantito 384 , ho messo in classifier la regola more 1 kb in target class accounting , Source IP 192.168.102.0/24 (quindi tutti gli ip di questa classe) Salvo tutto, faccio un test adsl ma mi da tutta la banda senza limiti, come mai?In statics l accounting mi da 0, niente traffico. Grazie

Novita sul modulo accounting vero e proprio ? Grazie
Top
Profilo Invia messaggio privato MSN
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1559

MessaggioInviato: Mer Dic 10, 2008 7:39 pm    Oggetto: Rispondi citando

Visto che vuoi controllare il download devi mettere come destinazione
192.168.102.0/24 e non come sorgente.

Per l'accounting ancora non mi sono organizzato.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
scara89



Registrato: 13/05/08 17:24
Messaggi: 53

MessaggioInviato: Lun Dic 15, 2008 4:43 pm    Oggetto: Rispondi citando

Non funziona...
Top
Profilo Invia messaggio privato MSN
scara89



Registrato: 13/05/08 17:24
Messaggi: 53

MessaggioInviato: Mer Dic 17, 2008 2:24 pm    Oggetto: Rispondi citando

Confidiamo tutti sull accounting..... Grazie Fulvio
Top
Profilo Invia messaggio privato MSN
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Sab Dic 20, 2008 12:33 am    Oggetto: Rispondi citando

Ciao Fulvio

Pensando l'utilizzo in una rete aziendale potrebbe essere utile anche il collegare all'utente il filtro dei contenuti. La soluzione più semplice forse sarebbe quella di gestire un flag per abilitare/disabilitare il controllo di dansguardian per utente.

Grazie

Giancarlo
Top
Profilo Invia messaggio privato
ASVP



Registrato: 21/05/08 12:58
Messaggi: 134

MessaggioInviato: Sab Apr 18, 2009 11:38 pm    Oggetto: Rispondi citando

domanda.... supponiamo che io su una ADSL volessi utilizzare questa tecnica per dare priorità al traffico web (porta 80)

ho inserito queste 2 regole (una in upload e una per il download) perché, non matchano la navigazione web ?


MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:80 connbytes ! 524288:4294967295 connbytes mode bytes connbytes direction both MARK set 0xf WEB

MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp spt:80 connbytes ! 10485760:4294967295 connbytes mode bytes connbytes direction both MARK set 0xf WEB

dovrebbero essere in grado di assegnare alla classe web:

tutte le connessioni con destinazione sulla porta 80 con traffico inferiore a 512 KB

tutte le connessioni provenienti dalla porta 80 con traffico inferiore a 10 MB...

dove sbaglio ?

ciao e grazie
_________________
www.asvp.it
Top
Profilo Invia messaggio privato
ASVP



Registrato: 21/05/08 12:58
Messaggi: 134

MessaggioInviato: Dom Apr 19, 2009 11:09 am    Oggetto: Rispondi citando

Ho risolto inframezzando le regole delle connessioni burst con regole "classiche" , in questo modo entro un range di dati trasportati per connessione credo di poter applicare ulteriori classificazioni...

verificherò se funziona.

vi segnalo anche l'alter ego di questo post sul forum inglese:

http://www.zeroshell.net/eng/forum/viewtopic.php?t=1012&highlight=burst

ciao


Codice:

   Seq Input Output  Description QoS Class Log Active
 1 * * MARK all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 LAYER7 l7proto edonkey MARK set 0xb  P2P no 
 2 * * MARK all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 LAYER7 l7proto gnutella MARK set 0xb  P2P no 
 3 * * MARK all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 LAYER7 l7proto bittorrent MARK set 0xb  P2P no 
 4 * * MARK all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 LAYER7 l7proto fasttrack MARK set 0xb  P2P no 
 5 * * MARK all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 LAYER7 l7proto gnucleuslan MARK set 0xb  P2P no 
 6 * * MARK all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 LAYER7 l7proto directconnect MARK set 0xb  P2P no 
 7 * * MARK all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 ipp2p v0.8.2-pomng --kazaa --gnu --edk --dc --bit MARK set 0xb  P2P no 
 8 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:443 MARK set 0xc  SHELL no 
 9 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp spt:443 MARK set 0xc  SHELL no 
 10 * * MARK all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 LAYER7 l7proto vnc MARK set 0xc  SHELL no 
 11 * * MARK all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 LAYER7 l7proto rdp MARK set 0xc  SHELL no 
 12 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:22 MARK set 0xc  SHELL no 
 13 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:23 MARK set 0xc  SHELL no 
 14 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp spt:22 MARK set 0xc  SHELL no 
 15 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp spt:23 MARK set 0xc  SHELL no 
 16 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:25 MARK set 0xd  BULK no 
 17 * * MARK all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 LAYER7 l7proto ftp MARK set 0xd  BULK no 
 18 * * MARK all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 connbytes 104857600:4294967295 connbytes mode bytes connbytes direction both MARK set 0x19  LIMITEND no 
 19 * * MARK all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 connbytes 52428800:4294967295 connbytes mode bytes connbytes direction both MARK set 0x18  LIMIT3 no 
 20 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp spt:80 MARK set 0xf  WEB no 
 21 * * MARK all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 connbytes 5242880:4294967295 connbytes mode bytes connbytes direction both MARK set 0x17  LIMIT2 no 
 22 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:80 MARK set 0xf  WEB no 
 23 * * MARK all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 connbytes 524288:4294967295 connbytes mode bytes connbytes direction both MARK set 0x16  LIMIT1 no 
 24 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:80 MARK set 0xf  WEB no 
 

_________________
www.asvp.it
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Ven Lug 03, 2009 3:47 pm    Oggetto: Rispondi citando

Ho testato le connessioni con brust ,
va divinamente.
Ho però delle perplessità , e ve le espongo :
-----------------------------------------------
se inserisco es. eth00 sia in in che in out limiterà con brust la banda complessiva della eth ?
------------------------------------------------------
se inserisco es. classe di ip 192.168.11.0/24 sia in in che in out limiterà con brust la banda complessiva di tutta la classe di ip immessa ?
----------------------------------------------------------
se voglio limitare un singolo ip come devo fare ?
devo inserire tutti gli ip uno ad uno ?
Se si come posso ovviare?
----------------------------------------------------------
Aspetto cordialmente vs. riscontro.
Saluti Vito
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Sab Lug 25, 2009 7:13 pm    Oggetto: Rispondi citando

Situazione testing connessioni con burst BETA 12

ETH02 WAN
ETH00 LAN da controllare sia upload che download

ETH00 100Mb/s Full Duplex
VIA Technologies, Inc. VT6102 [Rhine-II] (rev 43)
On
QoS Status:Enabled Max:100Mbit/s Guaranteed:100Mbit/s (Assigned:0%)
Class Description Priority DSCP Max Bandwidth Guaranteed On
DEFAULT Default class for unclassified traffic Medium
LIMIT1 Limitazione _1 High 2Mbit/s 500Kbit/s


------------------------------------------------------------------------------------


ETH02 100Mb/s Full Duplex
Realtek Semiconductor Co., Ltd. RTL-8139/8139C/8139C+ (rev 10)
On
QoS Status:Enabled Max:100Mbit/s Guaranteed:100Mbit/s (Assigned:0%)
Class Description Priority DSCP Max Bandwidth Guaranteed On
DEFAULT Default class for unclassified traffic Medium
LIMIT2 Limitazione _2 Medium 150Kbit/s 50Kbit/s

-----------------------------------------------------------------------------------

quindi limit 1 per download sulla eth00
limit 2 per upload sulla eth02

-----------------------------------------------------------------------------------

Creo le regole in
Classifier


QoS Rules
Seq Input Output Description QoS Class Log Active
1 * * MARK all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 source IP range 192.168.0.1-192.168.0.255 connbytes 102400:4294967295 connbytes mode bytes connbytes direction both MARK set 0xe LIMIT2 no
2 * * MARK all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 destination IP range 192.168.0.1-192.168.0.255 connbytes 512000:4294967295 connbytes mode bytes connbytes direction both MARK set 0xd LIMIT1 no


-------------------------------------------------------------------------------
allora veniamo al dunque ,
se metto la prima regola del download mi limita all banda che io desidero in download

ma la seconda regola in upload me la ignora .


se di cambio di Sequence
accade che mi limita l'upload e il download no.

non ne vengo a capo,sembra che debba scegliere tra o download o upload ma tutte e due insieme no.
Ma dettagliatamente valutando bene il problema sembra che il sistema mi accetti solo una prima regola le altre in giù me le ignora.

(adesso capisco perchè tempo fa le regole del qos non me li vedeve in upload )

Question

attendo riscontri

Saluti Vito
Top
Profilo Invia messaggio privato
onwavenet



Registrato: 10/02/08 12:03
Messaggi: 62
Residenza: Martina Franca

MessaggioInviato: Sab Ott 31, 2009 1:45 pm    Oggetto: Rispondi citando

forse devi impostare per limit1 in eth02 ed out eth00
e per limit2 in eth00 ed out eth02, se non fai così la prima regola matcherà tutto, sia quello che va in upload che quello che va in download.
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Sab Ott 31, 2009 5:15 pm    Oggetto: Rispondi citando

La risposta la trovi quì

http://www.zeroshell.net/forum/viewtopic.php?t=1907

Saluti Vito
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Suggerimento nuove funzionalità Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it