Traffic Shaping - QOS

[cyprien2]

L'une des nouveautés d'ipcop 1.4 est la gestion de la QOS... m'étant un peu intéressé au sujet, je me permets de résumer ce que j'ai trouvé pour ceux que ça intéresse et aussi de poser les questions qu'il me reste :

Interface graphique :
-----------------------------
La gestion de la QOS se trouve sous l'onglet Pare feu / Lissage du trafic (shaping).

Partie configuration :
Vitesse montante/descendante : pour que les files d'attente ne se remplissent pas chez votre provider, il faut mettre une valeur un petit peu inférieure à la valeur réelle (exemple : pour une connexion 512/128, mettre 450/100, chez moi, pour une 1024/256, j'ai mis 900/220)
Bien sûr, cliquer sur la case "Activé".
Lorsque cela est activé, le shaping utilise, à ce que j'ai pu entendre, les règles de wondershaper (à confirmer)... petite description de wondershaper (tiré d'une news de linuxfr) : http://linuxfr.org/2002/05/14/8251.html) :
"J'en proffite pour rappeller que ce script permet de configurer rapidement une "Qualité De Service" réseau sous Linux à l'aide de l'outil tc. Le but de ce script est de maintenir un temps de latence bas pour les trafics interactifs (ssh..) sur une connexion ADSL (par exemple) dont la bande passante est largement utilisée.
Ainsi, votre serveur FTP à 16 ko/s ne vous ruine pas votre connexion locale au net. Chez moi, l'utilisation de ce script me permet de continuer à télécharger à (presque) 64 ko/s, alors que j'ai des transferts actifs sur mon serveur FTP, tout en maintenant des "ping" acceptables.
Dans cette nouvelle version, Wondershaper permet en plus d'affecter une priorité plus basse à des machines locales ou distantes et également à des ports locaux ou distants. Il est ainsi facile de donner plus de priorité à un serveur HTTP qu'à un serveur FTP."


Partie Services du lissage de trafic (shaping) :
En fonction de vos besoins, vous pouvez configurer vous meme vos priorités en fonction des ports utilisés par les services, voici quelques exemples (de Guiguid) :

Priorité Port Protocole description :
Haut 80 tcp Web
Faible 25 tcp envois email
Faible 110 tcp reception email
Faible 20 tcp download FTP
Haut 21 tcp naviation ftp
Haut 443 tcp Web https
Faible 4662 tcp e/xmule
Faible 4665 udp e/xmule
Faible 4673 udp e/xmule
Haut 27015 tcp counterstrike
Haut 27015 udp counterstrike
Haut 27005 tcp counterstrike
Haut 27005 udp counterstrike
Haut 1441 tcp radio ogg
j'ajouterais aussi le 445 (https) et 222 (ssh) pour administrer ipcop à distance

Il me reste quelques questions auxquelles quelques-uns d'entre vous pourront sûrement répondre :
- Quel est la différence entre une priorité mise à moyen et pas de priorité ?
- Quels sont les fichiers de conf affectés ?
- Est-il possible de limiter (en ligne de commande) la bande passante pour une ip qui se trouve sur l'interface verte ?

voilà, n'hésitez pas si vous avez plus d'infos... j'aimerais faire un autre poste pour le shaping en ligne de commande (avec les commande tc et iptables)

[micjack]

Il est chouette ton post, mais je concidere avant tout qu'un FW (donc IPcop dans ce cas precis) sert à proteger un reseau (plutot pro) utilisant avant tout des services restreinds comme le Http, ftp, mail...

Dans ce cas, la Qos va jouer son role.

La Qos permet d' equilibrer la charge en repartissant au maximum la BP en rapport des Users connectés
sur les services demandés.

Vu ta demande, le FW doit savoir faire passer du Lan party, de la mule et en plus il devrait se taper une Qos au max.

Je ne pense pas que cela soit realisable, y' a trop de port ouverts.... la bp va forcement s' eccrouler rien qu' avec la Mule...

PS: Si la principale utilisation du PC est de dl, jouer, MSN...etc , il serrait plutot judiciable d' utiliser une autre becane dedié à cela, non ?? car je ne vois pas l' interet d'avoir un FW...

[guiguid]

micjack -->
Je vois ce que tu veux dire :
L'interface web de la gestion de la QoS sous ipcop, est faite pour équilibré la charge dans un enironnement pro, et donc allie simplicité et efficacité.

Par contre, si cyprien2 veux faire son propre script QoS, il pourra faire ce qu'il veut :

En test, j'arrive a faire : P2P + upoload FTP + Download FTP + IPSEC + VoIP, sans aucune coupures ni retards sur la VoIP ! (linux is magic !)

cyprien2 -->

Ton meilleur guide : HOWTO du routage avancé et du contrôle de trafic sous Linux

http://fr.tldp.org/HOWTO/lecture/Adv-Routing-HOWTO.html

Chapitre 9. Gestionnaires de mise en file d'attente pour l'administration de la bande passante

Mais pour pouvoir soit meme configurer a la main les bandes passantes, meme si tu fais un HowTo, il faudra lire et comprendre ce chapitre 9 et quelques 'recettes de cuisines'.

Voila.

Guillaume

[micjack]

J' ai franchement pas lu ton lien

Mais cela me fait plutot penser à du "Token-Ring" chacun son tour.. mais bon, une bp chez mois reste une bp

[cyprien2]

bonjour à tous les deux et merci de vos réponses...

j'ai oublié de poser une 4iem question : c possible de limiter le nombre de connexion pour une ip donnée ?

guiguid : j'étais tombé sur la doc, elle m'a paru indigeste mais bon je m'y met ce matin...

micjack : je vais t'expliquer précisément mon domaine d'application pour ipcop :
je travaille dans un immeuble qui loue des bureaux à plusieurs clients et, en service suplémentaire, on propose un accès ADSL partagé... comme les clients payent pour ce service, nous ne bloquons aucun port et nous n'empéchons pas de faire de l'emule ou autre...
seulement, avec la ipcop 1.3, il y avait toujours le problème que les gars qui faisaient de l'emule bouffaient toute la bande passante en upload et qu'il nétait plus possible de naviguer, recevoir des mails... etc !
depuis que j'ai mis la v 1.4 et ces quelques règles en place : plus de problèmes apparement (j'attends d'avoir un peu de recul...)

[Gesp]

C'est pour cela que tu voudrais des VLAN?

[cyprien2]

GESP : ah ! non, ca n'a rien à voir
mes vlan, c pour que mes différents clients ne puissent pas se voir !!!

[JBJBJB171717]

Est-ce que le traffic sahpping d'ipcop 1.4 limite le traffic du modem ADSL vers le réseau ORANGE (DMZ) et vice versa ?

si oui, comment faire pour limiter la bande passante seulement pour les utilisateurs qui sont connecté et non pour la DMZ

merci

[grosbedos]

si ton but est de diviser ta bande passante par le nombre de tes clients de ton immeuble, wondershaper n'est pas adequat.
il va falloir que tu fasses ton propre script, et que tu desactive wondershaper. (et certainement qu tu changes le script iptables..)

j'avais regarder comment la qos fonctionnai y a lontemp..m'en rappel plus trop, faut dire que je n'avais pas était tres loin.

un lien sympa et simple : http://lea-linux.org/leapro/qos.html

il y as des exemples vers la fin assez utils pour ton cas je pense

[grosbedos]

cyprien2 dit :

GESP : ah ! non, ca n'a rien à voir Smile
mes vlan, c pour que mes différents clients ne puissent pas se voir !!

ben iptables est ton amis

[cyberman]

Salut


J’aimerais bien savoir comment faire pour limiter les téléchargements via http
Ma priorité absolu étant la navigation web j’ai pas de problèmes de ftp ou emul… bloqué par le FAI
La seule chose c’est les téléchargements via http
Or je ne vais pas limiter le trafic du port 80 car on l’utilise pour la navigation
Comment faire ??
Merci

[Oliv']

J’aimerais bien savoir comment faire pour limiter les téléchargements via http

Si c'est pour les limiter en taille, t'as squid qui fait ça très bien

Oliv'

[cyberman]

merci oliv
mais c'est juste pour favoriser la navigation parrapport aux telechargement via http donc de la QOS
reste quel port favoriser ? et le quel mettre a un faible niveau ??

[braouazou]

S'il s'agit de téléchargements FTP, mets le port 20 (et éventuellement 21) en priorité faible, et le port 80 en haute.
S'il s'agit de téléchargement HTTP, tu ne pourras rien faire avec wondershaper (même protocole).

@+

[gregs50]

as tu un retour d'expérience à nous donner ????