Gestion Bande passante par utilisateurs

par **belugha** » 03 Oct 2003 12:36

Rebonjour, La question a déjà été abordé plusieurs fois sur le forum mais n'a pas été abouti à mon sens. Comment gérer sa bande passante par utlisateurs sous Ipcop ? je n'ai vu que 2 solutions: * CENSORNET: mais il faut rajouter un poste avant le firewall ou sur le réseau green. N'y-at-il pas moyen de l'intégrer à Ipcop ? <IMG SRC="images/smiles/icon_wink.gif"> * par la gestion des iptables en marquant les paquets: mais là il faut être vachement balaise sur linux, et ce n'est pas mon cas <IMG SRC="images/smiles/icon_frown.gif"> Quoi d'autres .... Merci d'avance pour vos interventions <IMG SRC="images/smiles/icon_smile.gif">

par **grosbedos** » 03 Oct 2003 13:11

moi je ne vois pas... pourquoi ne pas le faire par adresse mac ou ip??

par **belugha** » 03 Oct 2003 13:15

Par Ip, c'est ce que je voulais dire avec les iptables, mais il faut être balaise avec ces regles, j'ai lu le post <a href="http://forums.ixus.net/viewtopic.php?t=5732" target="_blank">http://forums.ixus.net/viewtopic.php?t=5732</a> et j'avoue que je n'ai pas tout compris et je ne dois pas être la seule car le sujet n'a pas abouti par la formation d'un script . <IMG SRC="images/smiles/icon_wink.gif">

par **lucyfire** » 03 Oct 2003 13:52

deux sites interressant pour ça je crois: <a href="http://lartc.org/" target="_blank">http://lartc.org/</a> une methode TC pour faire ça, et le howto en français... y a pas que ça dedans mais c'est une approche. <a href="http://www.linux-france.org/prj/inetdoc/guides/lartc/" target="_blank">http://www.linux-france.org/prj/inetdoc/guides/lartc/</a>

par **lucyfire** » 03 Oct 2003 14:04

un site pas mal ou il cause de ça c'est <a href="http://www.docum.org/" target="_blank">http://www.docum.org/</a> dnt un extrait sur traffic control shapping: <a href="http://www.docum.org/stef.coene/qos/faq/cache/49.html" target="_blank">http://www.docum.org/stef.coene/qos/faq/cache/49.html</a> ça ça me parait pas mal à utiliser avec le script TC... You can shape on a firewall. But .... Most firewalls are natting the internal network. That means that the source address of the packets from the network is rewritten to that of the firewall. That also means that you can't use the source address. If you want to use the source address to classify packets, you can mark the packets when they enter your linux box. When they enter the linux box, the src address is sill the real one. The mark can be written with iptables and it only exists in your linux box. That mark can be used after the src address is rewritten to classify the packets. Example setup : LAN eth0 |-------| eth1 10.0.0.0/24 -------| |----- internet 10.0.0.254 |-------| 1.2.3.4 The clients have 10.0.0.254 as default gateway. The router is natting the LAN ip-addresses so all packets leaving eth1 have 1.2.3.4 as source address. What you can do is marking the packets when they enter the firewall on NIC eth0 so the source address is still the one of the LAN clients. That mark can be used on eth1 to classify the packets with the fw filter. Example if you have 2 ip's and want to create a class for each ip : # Basic firewall setup : iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE # Marking the packets : iptables -A PREROUTING -i eth0 -s 10.0.0.1 -t mangle -j MARK --set-mark 1 iptables -A PREROUTING -i eth0 -s 10.0.0.2 -t mangle -j MARK --set-mark 2 # Using fw filter to classify the packets : tc filter add dev eth1 parent 1: protocol ip prio 1 handle 1 fw classid 1:1 tc filter add dev eth1 parent 1: protocol ip prio 1 handle 2 fw classid 1:2 Si quelqu'un a un peu de temps pour decortiquer ça... <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_bise.gif">

par **belugha** » 03 Oct 2003 14:06

<IMG SRC="images/smiles/icon_up.gif"> pour le decortiquage <IMG SRC="images/smiles/icon_up.gif"> Merci

par **lucyfire** » 03 Oct 2003 14:10

another one in french tout tourne aunour de tc: Salut, Personnellement j'utilise ce script qui marche pas trop mal avec l'interface dont tu veut limiter la bande passante en argument. Bonne chance Marc ----- Original Message ----- From: linux-mandrake To: <a href="mailto:confirme@linux-mandrake.com">confirme@linux-mandrake.com</a> Sent: Thursday, February 06, 2003 1:18 PM Subject: [Confirme] Gérer/Limiter la Bande Passante Bonjour, Je désirerais limiter la bande passante sur un poste avec 1 ou 2 carte réseaux sous linux, comment dois-je faire ? J'ai essayé iptables & tc dans le script d'iptables mais il m'affiche "RTNETLINK answers: Invalid argument": iptables -t mangle -A OUTPUT -m length --length 0:500 -j MARK --set-mark 3 iptables -t mangle -A OUTPUT -m length --length 500:1500 -j MARK --set-mark 4 iptables -t mangle -A PREROUTING -i eth0 -m length --length 0:500 -j MARK --set-mark 3 iptables -t mangle -A PREROUTING -i eth0 -m length --length 500:1500 -j MARK --set-mark 4 tc qdisc add dev eth0 root handle 10: cbq bandwidth 10Mbit avpkt 1000 mpu 64 tc class add dev eth0 parent 10:0 classid 10:1 cbq bandwidth 10Mbit rate 51Kbit allot 1514 prio 1 maxburst 10 avpkt 100 isolated tc class add dev eth0 parent 10:0 classid 10:2 cbq bandwidth 10Mbit rate 77Kbit allot 1514 prio 8 maxburst 2 avpkt 1500 bounded tc filter add dev eth0 parent 10:0 protocol ip handle 3 fw flowid 10:1 tc filter add dev eth0 parent 10:0 protocol ip handle 4 fw flowid 10:2 on m'a aussi parlé de shaperd mais il utilise aussi tc, y-a-il d'autre solution pour limiter la bande passante? merci trouvé sur <a href="http://archives.mandrakelinux.com/confirme/2003-01/msg00363.php" target="_blank">http://archives.mandrakelinux.com/confirme/2003-01/msg00363.php</a>

par **lucyfire** » 03 Oct 2003 14:32

et en fait wondershapper utilise tc et tc est dejà sur la version 1.4 d'ipcop donc si des volontaires veulent faire l'essayer.

par **grosbedos** » 03 Oct 2003 23:28

une doc que j'ai beaucoup apprecié : <a href="http://www-rp.lip6.fr/~lochin/qos/qoshtml/" target="_blank">http://www-rp.lip6.fr/~lochin/qos/qoshtml/</a>

par **belugha** » 06 Oct 2003 08:48

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-10-03 14:32, lucyfire a écrit: et en fait wondershapper utilise tc et tc est dejà sur la version 1.4 d'ipcop donc si des volontaires veulent faire l'essayer. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Qq'1 a essayé ? Y-a-t-il un solution pour integrer CENSORNET à Ipcop ? Merci

par **Pabze** » 06 Oct 2003 11:11

Intégrer, je ne sais pas, mais je me sers de censornet en test pour une filiale de ma société, j'avais posté un message sur ce forum pour coller censornet derrière IP-Cop, je ne l'ai tjrs pas fais. (Manque de temps) Mais seule, elle est géniale (Tout se fais par l'interface, bien sur me direz-vous) Ton réseau est scanné lors de l'install pour détecter les adresses mac de tes probables clients ! Après a toi de créer tes groupes, tes blacklist par termes et autres (En gros un DansGuardian - SquidGuard a par entière !) Tout bonnement TOP, avec de superbes graphiques, par users, groupe, temps, % d'utilisation... un must ds les proxy-redirecteur ! <IMG SRC="images/smiles/icon_up.gif"> Vivement l'ouverture d'un forum sur cette distribution ! <IMG SRC="images/smiles/icon_up.gif">

par **acdsee** » 06 Oct 2003 13:02

pour censornet je l'avais testé en l'emulant ca marché plustot pas mal mais effectivement ca fais rajouté un poste ou a moin que tu fasse ca sur une grosse station de travaille <IMG SRC="images/smiles/icon_smile.gif"> <IMG SRC="images/smiles/icon_up.gif"> <IMG SRC="images/smiles/icon_up.gif">

par **belugha** » 06 Oct 2003 13:03

C'est ce que je compte faire en l'intégrant à Ipcop <IMG SRC="images/smiles/icon_wink.gif">

Gestion Bande passante par utilisateurs

Qui est en ligne ?