konto usunięte
Temat: HTB+SFQ+SQUID problemy :)
Jest następujący problem, jest sobie neo 1024/256 i jest podzielone na 2 uzytkownikow 192.168.1.46 i 47 z czego 1szy user ma rate 500 i ceil 1000 a 2gi ceil=rate 500. I wszystko dziala pieknie (transfery stale po 60 kb/s) dopoki nie wprowadze SFQ wtedy transfery skacza jak im sie podoba to spadaja do 18 kb/s to i czasem wyjda poza kolejke do 70 kb/s i nie chca sie ustabilizowac caly czas skacza. Po wylaczeniu SFQ problem znika. Na poczatku myslalem ze to problem ze squidem bo nie patchowalem go latka hit_miss ani nie robilem kolejki na ruch squida, ale problem nie wystepuje wiec chyuba to nie wina squida, pewnie jest spatchowany domyslnie. Jest jeszcze maly problem ze squidem od czau do czasu wchodzac na jakas strone dostaje komunikat dostep zabroniony, po kilkakrotnym odswiezeniu strony albo przeladowaniu przegladarki moge juz wejsc na strone.rc.htb
tc qdisc del root dev eth0
tc qdisc add dev eth0 root handle 1:0 htb
tc class add dev eth0 parent 1:0 classid 1:1 htb rate 95000kbit ceil 95000kbit
tc class add dev eth0 parent 1:1 classid 1:2 htb rate 1000kbit ceil 1000kbit
tc class add dev eth0 parent 1:1 classid 1:3 htb rate 95000kbit ceil 95000kbit
tc class add dev eth0 parent 1:2 classid 1:4 htb rate 500kbit ceil 1000kbit
tc class add dev eth0 parent 1:2 classid 1:5 htb rate 500kbit ceil 500kbit
tc filter add dev eth0 protocol ip preference 1 parent 1:0 u32 match ip src 192.168.1.1 flowid 1:3
tc filter add dev eth0 protocol ip preference 2 parent 1:0 u32 match ip dst 192.168.1.46 flowid 1:4
tc filter add dev eth0 protocol ip preference 2 parent 1:0 u32 match ip dst 192.168.1.47 flowid 1:5
tc qdisc add dev eth0 parent 1:3 handle 3:0 sfq perturb 10
tc qdisc add dev eth0 parent 1:4 handle 4:0 sfq perturb 10
tc qdisc add dev eth0 parent 1:5 handle 5:0 sfq perturb 10
na wszelki wypadek squid.conf
http_port 8080 transparent
cache_mem 16 MB
maximum_object_size 10 MB
maximum_object_size 128 KB
fqdncache_size 8192
cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF
cache_dir diskd /var/spool/squid 256 16 256 Q1=90 Q2=110
dns_nameservers 194.204.152.34 194.204.159.1
error_directory /usr/share/squid/errors/Polish
refresh_pattern -i .(gif|jpg|jpeg|png|html|bmp) 4320 90% 43200 reload-into-ims
refresh_pattern -i .(zip|gz|bz2|exe|rar|mp3|mpg|avi|wmv|vqf|ogg) 43200 100% 43200 reload-into-ims
refresh_pattern windowsupdate.com/.*.(cab|exe|dll) 43200 100% 43200 reload-into-ims
refresh_pattern download.microsoft.com/.*.(cab|exe|dll) 43200 100% 43200 reload-into-ims
refresh_pattern au.download.windowsupdate.com/.*.(cab|exe|dll) 43200 100% 43200 reload-into-ims
refresh_pattern windowsupdate.com/.*.(cab|exe) 43200 100% 43200 reload-into-ims
refresh_pattern download.microsoft.com/.*.(cab|exe) 43200 100% 43200 reload-into-ims
refresh_pattern . 0 90% 43200 reload-into-ims
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl siec src 192.168.1.0/255.255.255.0 #Nasza LAN
acl SSL_ports port 443 563
acl Safe_ports port 21 80 442 563 70 210 280 488 591 777 1025-65535
acl CONNECT method CONNECT
acl MCONN maxconn 30
http_access allow localhost
http_access allow manager localhost
http_access deny manager
http_access deny to_localhost
http_access deny MCONN siec
http_access allow siec
http_access deny CONNECT !SSL_ports
http_access deny !Safe_ports
http_access deny all
visible_hostname muadib.m00n.org
rc.firewall
Marceli Mielczarek edytował(a) ten post dnia 17.02.10 o godzinie 17:24
cho '1' > /proc/sys/net/ipv4/ip_forward
echo '0' > /proc/sys/net/ipv4/tcp_ecn
iptables -P INPUT DROP
iptables -A INPUT -i ! ppp0 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp -i ppp0 -j REJECT --reject-with tcp-reset
iptables -A INPUT -p udp -i ppp0 -j REJECT --reject-with icmp-port-unreachable
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t nat -A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.1:8080
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080