| 1.1, Coctic (?), 13:53, 22/11/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Это не ответ "почему ALTQ работает только с исходящим трафиком", это рассказ о том, что иногда фильтровать входящий трафик бессмысленно, и поэтому лень заморачиваться на написание такой фильтрации, хотя иногда она полезна. | | |
| |
| 2.5, BB (??), 16:49, 22/11/2005 [^] [^^] [^^^] [ответить]
| +/– | |
Гы, а что мешает благородному Дону шейпить исходящий траффик на _внутреннем_ интф. ??? О чем в статье кстати и написано ? | | |
| |
| 3.6, Аноним (-), 16:56, 22/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Гы, а что мешает благородному Дону шейпить исходящий траффик на _внутреннем_ интф.
>??? О чем в статье кстати и написано ?
А если машина не шлюз, а сервер, т.е. конечная точка трафика ? Прикажите еще один сервер для шейпинга ставить ? В этом случае от простейшего UDP/ICMP/TCPSYN флуда никакой шейпер не спасет. | | |
| |
| 4.7, _Ale_ (??), 17:08, 22/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>А если машина не шлюз, а сервер, т.е. конечная точка трафика ? Прикажите >еще один сервер для шейпинга ставить ?
вот именно, для этой цели какой-нить 586 в любой организации всегда найдется.
| | |
| |
| 5.8, Аноним (-), 17:21, 22/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>>А если машина не шлюз, а сервер, т.е. конечная точка трафика ? Прикажите >еще один сервер для шейпинга ставить ?
>вот именно, для этой цели какой-нить 586 в любой организации всегда найдется.
Это если сам сервер для "каких-нибудь целей", т.е. простой не важен. Для серверов выполняющих конкретные задачи лишнее звено добавлять тразвомыслящий администратор не станет. Этот 586 сведет на нет надежность всей системы, займет драгоценное место в стойке, будет требовать дополнительных мощностей бесперебойников.
| | |
| |
| |
| 7.15, bmc (??), 12:53, 23/11/2005 [^] [^^] [^^^] [ответить]
| +/– | |
Что не так? Я тоже гавно всякое на трассы не согласен ставить. | | |
|
|
|
| 4.9, BB (??), 17:29, 22/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
Бррр, а причем здесь рваные голоши ???? грамотный флуд забъет тебе канал по любому.
Эт прости меня уже сетевой вандализм направленый на DoS и от него придется защищаться емного другими средствами, можно темже Snort&&snortsam | | |
| 4.14, AD (??), 11:31, 23/11/2005 [^] [^^] [^^^] [ответить]
| +/– | |
Народ не хочет понять, что ALTQ - это не шейпер, а менеджер очередей физических интерфейсов. На входящем трафике очередей нет, так как если трафик попадает в драйвер, то он уже принят. ALTQ сдесь ну ничего не может сделать, не той системы граната. Хочется полисинга входящего трафика - используйте dummynet. | | |
|
|
|
| 1.2, _Ale_ (??), 14:07, 22/11/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Если Вам оно так надо (заморачиваться входящим трафиком), почему бы Вам не переписать ALTQ, а то видите ли, сами "мы" ничего не сделали, зато можем критиковать и обвинять выдающихся людей в лени.... | | |
| 1.10, Storm (??), 18:27, 22/11/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Про дропанье пакетов и DoS - это все понятно. Только шейпинг входящего траффика часто нужен для tcp клиента именно_на_этой_машине. Очередь для входящих пакетов совсем не сложно сделать, это действительно лень, причем совсем непонятная.
А что касается 'переписать ALTQ', умажаемый Ale - это идите на с такими заявлениями, ибо что делают другие люди для сообщества вы понятия не имеете, а переписывать ALTQ - дело DH, а не их. | | |
| |
| 2.12, BB (??), 20:23, 22/11/2005 [^] [^^] [^^^] [ответить]
| +/– | |
>Про дропанье пакетов и DoS - это все понятно. Только шейпинг входящего >траффика часто нужен для tcp клиента именно_на_этой_машине. Очередь для >входящих пакетов совсем не сложно сделать, это действительно лень, причем >совсем непонятная.
Эээээ, простите что за клиент может проживать на FW для которого надо шейпить тарафик ???
(примерный ответ я конечно знаю, но также знаю как это сделать по другому, не менее красиво :-Р ) | | |
| 2.16, Sergey (??), 12:54, 23/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
> Только шейпинг входящего траффика часто нужен...
и причем тут шейпинг?
> Очередь для входящих пакетов совсем не сложно сделать...
т.е. предыдущий роутер отсортировал и приоритизировал свой трафик, а ваш на входе переделает по-своему? А если каждый маршрутизатор будет очередь перелопачивать на входе по-своему, кому будет щастье?
| | |
| 2.17, _Ale_ (??), 13:50, 23/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>А что касается 'переписать ALTQ', умажаемый Ale - это идите на с такими >заявлениями, ибо что делают другие люди для сообщества вы понятия не >имеете, а переписывать ALTQ - дело DH, а не их.
To Storm
интернет дал таким как вы безграничные возможности послать безнаказанно человека, который, возможно, имеет ученую степень, старше вас по возрасту, и совершенно не знаком с вами.
продолжайте в том же духе... | | |
| |
| 3.18, Storm (??), 17:05, 23/11/2005 [^] [^^] [^^^] [ответить]
| +/– | |
Вам я, в свою очередь, разрешаю и далее разбрасываться такими заявлениями как 'сами "мы" ничего не сделали'. | | |
|
|
| 1.19, gadm (?), 14:28, 24/11/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Народ. :) Ну что вы пургу все гоните?-)
1. Шейпить входящий траффик невозможно. Запомните это раз и навсегда. Шейпинг -- управление загрузкой физического канала. И хоть ты удропайся входящие пакеты -- если тебе их с другой стороны шлют, канал всё равно будет на 100% загружен. :)
2. Если под фразой "входящий траффик" понимается, к примеру, траффик по входящему дейта-каналу FTP-сессии, так его вполне можно зашейпить.
Неужели никому не пришла в голову светлая мысль шейпить выход этого соединения? Или кто-то плохо помнит, что ALTQ вносит _задержки_ в прохождение пакетов, а TCP PUSH'и не будут ехать быстрее, чем в обратную сторону едут TCP ACK'и?-) TCP -- протокол с flow control'ем, слава КПСС.
| | |
| |
| 2.20, gadm (?), 14:34, 24/11/2005 [^] [^^] [^^^] [ответить]
| +/– | |
И, кстати, именно из-за этого не имеет смысла делать спутниковые каналы более скоростными, чем 2 МБит/сек -- TCP через геостационарный спутник со скоростью, большей, чем 1 МБит/сек не работает.
Можете посчитать сами -- скорость TCP-потока -- 1 окно в round-trip time линка. Высота геостационарной орбиты -- около 35 тысяч километров. Пренебрегая примерно в 15 раз меньшим основанием треугольника, с хорошей точностью можно считать, что свет проходит 70 тысяч километров при передаче пакета. Скорость света -- 300 тысяч км/сек. Итого -- получаем 230 миллисекунд в одну сторону. RTT - 460 миллисекунд. Грубо -- полсекунды (с учётом нашего приближения). При окне в 64 килобайта получаем скорость 128 килобайт в секунду -- примерно 1 мегабит/сек. :)
Что есть тыщщу раз проверено (спросите у своих друзей со спутниковыми каналами). А вы говорите, не зашейпится. ;) | | |
| |
| 3.21, Аноним (-), 16:18, 24/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>приближения). При окне в 64 килобайта получаем скорость 128 килобайт в
>секунду -- примерно 1 мегабит/сек. :)
По 1 Мб на каждую TCP сессию. Запустил многопоточную качалку и доволен :-)
| | |
| |
| |
| 5.23, zyxman (?), 19:11, 24/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Ограничить число сессий по ИП
за такое полагается канделябром :)
| | |
| |
| 6.25, Sergey (??), 14:06, 25/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
 >>Ограничить число сессий по ИП
>за такое полагается канделябром :)
just try it!
Ежели пров черным по белому пишет что вот, держите анлим за ваши деньги, но шобы мне канал не сажали вот вам 15 TCP сессий и ешьте их как хотите.
Интересно кому канделябром в таком или похожем раскладе? | | |
| |
| 7.28, Мимо шел (?), 19:59, 18/12/2005 [^] [^^] [^^^] [ответить]
| +/– |
>>за такое полагается канделябром :)
>Ежели пров черным по белому пишет что вот, держите анлим за ваши
>деньги, но шобы мне канал не сажали вот вам 15 TCP
>сессий и ешьте их как хотите.
>Интересно кому канделябром в таком или похожем раскладе?
Смотря какие деньги. Если так, как у меня - полная халява - то я закрою глаза и на лимит сессий, и на негарантированную полосу. А если кто сурьезные деньги плОтит, а ему на мегабит 100 сессий дают... И ведь я знаю таких! При этом купленный мегабит оборачивается в 700-800 кбит в пиках, и 200-300 кбит среднего в долгосрочке.
Тут не канделябром, тут топором надо. Меж рогов.
| | |
|
|
|
|
| 3.24, v3625 (ok), 08:52, 25/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>И, кстати, именно из-за этого не имеет смысла делать спутниковые каналы более
>скоростными, чем 2 МБит/сек -- TCP через геостационарный спутник со скоростью,
>большей, чем 1 МБит/сек не работает.
>
>Можете посчитать сами -- скорость TCP-потока -- 1 окно в round-trip time
>линка. Высота геостационарной орбиты -- около 35 тысяч километров. Пренебрегая примерно
>в 15 раз меньшим основанием треугольника, с хорошей точностью можно считать,
>что свет проходит 70 тысяч километров при передаче пакета. Скорость света
>-- 300 тысяч км/сек. Итого -- получаем 230 миллисекунд в одну
>сторону. RTT - 460 миллисекунд. Грубо -- полсекунды (с учётом нашего
>приближения). При окне в 64 килобайта получаем скорость 128 килобайт в
>секунду -- примерно 1 мегабит/сек. :)
>
>Что есть тыщщу раз проверено (спросите у своих друзей со спутниковыми каналами).
>А вы говорите, не зашейпится. ;)
Существует вроде такой параметр масштабирования окна,
которыйможно передать в сегменте SYN.
Максимальный размер окна может быть 655334 * 2^14 байт.
(RFC 1323, Стивенс - глава 2.5)
| | |
| 3.26, Valentin Nechayev (?), 13:14, 18/12/2005 [^] [^^] [^^^] [ответить]
| +/– |
 >Можете посчитать сами -- скорость TCP-потока -- 1 окно в round-trip time
>линка. Высота геостационарной орбиты -- около 35 тысяч километров. Пренебрегая примерно
>в 15 раз меньшим основанием треугольника, с хорошей точностью можно считать,
>что свет проходит 70 тысяч километров при передаче пакета. Скорость света
>-- 300 тысяч км/сек. Итого -- получаем 230 миллисекунд в одну
>сторону. RTT - 460 миллисекунд. Грубо -- полсекунды (с учётом нашего
>приближения). При окне в 64 килобайта получаем скорость 128 килобайт в
>секунду -- примерно 1 мегабит/сек. :)
Выставляю окно в 256K без проблем. И скорости соответствующие.
>Что есть тыщщу раз проверено (спросите у своих друзей со спутниковыми каналами).
Не надо друзей, сам сидел на таком канале. 2MBit/s получалось без напряга.
>А вы говорите, не зашейпится. ;)
Речь в теме немного не о том. Но в данном случае Вы несли полную чушь - и по скорости, и по количеству потоков ограничения совсем другие. И в пике потребления мы получали 38Mbit/s по спутнику - это на весь AS.
| | |
|
|
| 1.29, iTux (?), 10:10, 13/03/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Ладно, пример того почему надо шейпить входящий трафик... Клуб, на каждый комп приходить должно не более 128кбит, pf+altq(cbq) ограничивает только исходящий, а мне нужно и то и другое, и желательно в синхроне, ибо трафик не резиновый (на 10Мбитах... по мегабайт-но)... Скажи те чем по вашему порезать канал для каждого ИПа в сети ?????
Я НИКОГО НЕ ОБСУЖДАЮ, но если нет инструментария то и говорить не очем, просто так и напишите что АЛЬТКУ не способен резать входящий канал.... А НЕ РАЗВОДИТЕ ДЕМАГОГИЮ по поводу ПОЧЕМУ !!!!
| | |
| 1.30, Аноним (-), 03:50, 15/06/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
В клуб порезать не проблема, причём на исходящих в локалку.
а вот на входящих в внешку реально плохо что неработает , иногда очент надо
| | |
|
