Traffic Shaping - QOS

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Traffic Shaping - QOS

Messagepar cyprien2 » 14 Avr 2004 21:18

L'une des nouveautés d'ipcop 1.4 est la gestion de la QOS... m'étant un peu intéressé au sujet, je me permets de résumer ce que j'ai trouvé pour ceux que ça intéresse et aussi de poser les questions qu'il me reste :

Interface graphique :
-----------------------------
La gestion de la QOS se trouve sous l'onglet Pare feu / Lissage du trafic (shaping).

Partie configuration :
Vitesse montante/descendante : pour que les files d'attente ne se remplissent pas chez votre provider, il faut mettre une valeur un petit peu inférieure à la valeur réelle (exemple : pour une connexion 512/128, mettre 450/100, chez moi, pour une 1024/256, j'ai mis 900/220)
Bien sûr, cliquer sur la case "Activé".
Lorsque cela est activé, le shaping utilise, à ce que j'ai pu entendre, les règles de wondershaper (à confirmer)... petite description de wondershaper (tiré d'une news de linuxfr) : http://linuxfr.org/2002/05/14/8251.html) :
"J'en proffite pour rappeller que ce script permet de configurer rapidement une "Qualité De Service" réseau sous Linux à l'aide de l'outil tc. Le but de ce script est de maintenir un temps de latence bas pour les trafics interactifs (ssh..) sur une connexion ADSL (par exemple) dont la bande passante est largement utilisée.
Ainsi, votre serveur FTP à 16 ko/s ne vous ruine pas votre connexion locale au net. Chez moi, l'utilisation de ce script me permet de continuer à télécharger à (presque) 64 ko/s, alors que j'ai des transferts actifs sur mon serveur FTP, tout en maintenant des "ping" acceptables.
Dans cette nouvelle version, Wondershaper permet en plus d'affecter une priorité plus basse à des machines locales ou distantes et également à des ports locaux ou distants. Il est ainsi facile de donner plus de priorité à un serveur HTTP qu'à un serveur FTP."


Partie Services du lissage de trafic (shaping) :
En fonction de vos besoins, vous pouvez configurer vous meme vos priorités en fonction des ports utilisés par les services, voici quelques exemples (de Guiguid) :

Priorité Port Protocole description :
Haut 80 tcp Web
Faible 25 tcp envois email
Faible 110 tcp reception email
Faible 20 tcp download FTP
Haut 21 tcp naviation ftp
Haut 443 tcp Web https
Faible 4662 tcp e/xmule
Faible 4665 udp e/xmule
Faible 4673 udp e/xmule
Haut 27015 tcp counterstrike
Haut 27015 udp counterstrike
Haut 27005 tcp counterstrike
Haut 27005 udp counterstrike
Haut 1441 tcp radio ogg

j'ajouterais aussi le 445 (https) et 222 (ssh) pour administrer ipcop à distance ;)

Il me reste quelques questions auxquelles quelques-uns d'entre vous pourront sûrement répondre :
- Quel est la différence entre une priorité mise à moyen et pas de priorité ?
- Quels sont les fichiers de conf affectés ?
- Est-il possible de limiter (en ligne de commande) la bande passante pour une ip qui se trouve sur l'interface verte ?

voilà, n'hésitez pas si vous avez plus d'infos... j'aimerais faire un autre poste pour le shaping en ligne de commande (avec les commande tc et iptables)
Avatar de l’utilisateur
cyprien2
Major
Major
 
Messages: 74
Inscrit le: 17 Sep 2002 00:00

Messagepar micjack » 14 Avr 2004 22:26

Il est chouette ton post, mais je concidere avant tout qu'un FW (donc IPcop dans ce cas precis) sert à proteger un reseau (plutot pro) utilisant avant tout des services restreinds comme le Http, ftp, mail...

Dans ce cas, la Qos va jouer son role.

La Qos permet d' equilibrer la charge en repartissant au maximum la BP en rapport des Users connectés
sur les services demandés.

Vu ta demande, le FW doit savoir faire passer du Lan party, de la mule et en plus il devrait se taper une Qos au max.

Je ne pense pas que cela soit realisable, y' a trop de port ouverts.... la bp va forcement s' eccrouler rien qu' avec la Mule...

PS: Si la principale utilisation du PC est de dl, jouer, MSN...etc , il serrait plutot judiciable d' utiliser une autre becane dedié à cela, non ?? car je ne vois pas l' interet d'avoir un FW... :wink:
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar guiguid » 14 Avr 2004 23:23

micjack -->
Je vois ce que tu veux dire :
L'interface web de la gestion de la QoS sous ipcop, est faite pour équilibré la charge dans un enironnement pro, et donc allie simplicité et efficacité.

Par contre, si cyprien2 veux faire son propre script QoS, il pourra faire ce qu'il veut :

En test, j'arrive a faire : P2P + upoload FTP + Download FTP + IPSEC + VoIP, sans aucune coupures ni retards sur la VoIP ! (linux is magic !)

cyprien2 -->

Ton meilleur guide : HOWTO du routage avancé et du contrôle de trafic sous Linux

http://fr.tldp.org/HOWTO/lecture/Adv-Routing-HOWTO.html

Chapitre 9. Gestionnaires de mise en file d'attente pour l'administration de la bande passante

Mais pour pouvoir soit meme configurer a la main les bandes passantes, meme si tu fais un HowTo, il faudra lire et comprendre ce chapitre 9 et quelques 'recettes de cuisines'.

Voila.

Guillaume
Avatar de l’utilisateur
guiguid
Vice-Amiral
Vice-Amiral
 
Messages: 636
Inscrit le: 10 Avr 2003 00:00
Localisation: 66

Messagepar micjack » 14 Avr 2004 23:33

J' ai franchement pas lu ton lien :oops:

Mais cela me fait plutot penser à du "Token-Ring" chacun son tour.. mais bon, une bp chez mois reste une bp :wink:
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar cyprien2 » 15 Avr 2004 09:25

bonjour à tous les deux et merci de vos réponses...

j'ai oublié de poser une 4iem question : c possible de limiter le nombre de connexion pour une ip donnée ?

guiguid : j'étais tombé sur la doc, elle m'a paru indigeste :) mais bon je m'y met ce matin...

micjack : je vais t'expliquer précisément mon domaine d'application pour ipcop :
je travaille dans un immeuble qui loue des bureaux à plusieurs clients et, en service suplémentaire, on propose un accès ADSL partagé... comme les clients payent pour ce service, nous ne bloquons aucun port et nous n'empéchons pas de faire de l'emule ou autre...
seulement, avec la ipcop 1.3, il y avait toujours le problème que les gars qui faisaient de l'emule bouffaient toute la bande passante en upload et qu'il nétait plus possible de naviguer, recevoir des mails... etc !
depuis que j'ai mis la v 1.4 et ces quelques règles en place : plus de problèmes apparement (j'attends d'avoir un peu de recul...)
Avatar de l’utilisateur
cyprien2
Major
Major
 
Messages: 74
Inscrit le: 17 Sep 2002 00:00

Messagepar Gesp » 15 Avr 2004 13:18

C'est pour cela que tu voudrais des VLAN?
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar cyprien2 » 15 Avr 2004 13:37

GESP : ah ! non, ca n'a rien à voir :)
mes vlan, c pour que mes différents clients ne puissent pas se voir !!!
Avatar de l’utilisateur
cyprien2
Major
Major
 
Messages: 74
Inscrit le: 17 Sep 2002 00:00

Messagepar JBJBJB171717 » 03 Oct 2004 21:40

Est-ce que le traffic sahpping d'ipcop 1.4 limite le traffic du modem ADSL vers le réseau ORANGE (DMZ) et vice versa ?

si oui, comment faire pour limiter la bande passante seulement pour les utilisateurs qui sont connecté et non pour la DMZ

merci
Avatar de l’utilisateur
JBJBJB171717
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 300
Inscrit le: 28 Août 2004 22:46

Messagepar grosbedos » 03 Oct 2004 22:56

si ton but est de diviser ta bande passante par le nombre de tes clients de ton immeuble, wondershaper n'est pas adequat.
il va falloir que tu fasses ton propre script, et que tu desactive wondershaper. (et certainement qu tu changes le script iptables..)

j'avais regarder comment la qos fonctionnai y a lontemp..m'en rappel plus trop, faut dire que je n'avais pas était tres loin.

un lien sympa et simple : http://lea-linux.org/leapro/qos.html

il y as des exemples vers la fin assez utils pour ton cas je pense
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar grosbedos » 03 Oct 2004 22:58

cyprien2 dit :

GESP : ah ! non, ca n'a rien à voir Smile
mes vlan, c pour que mes différents clients ne puissent pas se voir !!

ben iptables est ton amis :-D
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

limiter téléchargement via http

Messagepar cyberman » 09 Oct 2004 13:57

Salut
:o

J’aimerais bien savoir comment faire pour limiter les téléchargements via http
Ma priorité absolu étant la navigation web j’ai pas de problèmes de ftp ou emul… bloqué par le FAI :?
La seule chose c’est les téléchargements via http
Or je ne vais pas limiter le trafic du port 80 car on l’utilise pour la navigation
Comment faire ??
Merci
CELERON 2GHZ 256Mo 20Go
Ipcop-1.4.1.LB.QM.L7 +Advanced Proxy+qos-1.0 = Une merveille
Avatar de l’utilisateur
cyberman
Aspirant
Aspirant
 
Messages: 118
Inscrit le: 26 Août 2003 00:00

Messagepar Oliv' » 09 Oct 2004 16:25

J’aimerais bien savoir comment faire pour limiter les téléchargements via http

Si c'est pour les limiter en taille, t'as squid qui fait ça très bien ;)

Oliv'
Avatar de l’utilisateur
Oliv'
Aspirant
Aspirant
 
Messages: 128
Inscrit le: 11 Juin 2004 15:14
Localisation: FRANCE

Messagepar cyberman » 09 Oct 2004 16:46

merci oliv
mais c'est juste pour favoriser la navigation parrapport aux telechargement via http donc de la QOS
reste quel port favoriser ? et le quel mettre a un faible niveau ??
CELERON 2GHZ 256Mo 20Go
Ipcop-1.4.1.LB.QM.L7 +Advanced Proxy+qos-1.0 = Une merveille
Avatar de l’utilisateur
cyberman
Aspirant
Aspirant
 
Messages: 118
Inscrit le: 26 Août 2003 00:00

Messagepar braouazou » 09 Oct 2004 16:59

S'il s'agit de téléchargements FTP, mets le port 20 (et éventuellement 21) en priorité faible, et le port 80 en haute.
S'il s'agit de téléchargement HTTP, tu ne pourras rien faire avec wondershaper (même protocole).

@+
Avatar de l’utilisateur
braouazou
Amiral
Amiral
 
Messages: 1290
Inscrit le: 26 Fév 2003 01:00
Localisation: Dans les Vosges, au milieu des sapins!

Messagepar gregs50 » 12 Oct 2004 07:14

as tu un retour d'expérience à nous donner ???? :lol:
Avatar de l’utilisateur
gregs50
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 10 Mars 2004 01:00

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron