[Annonce] QoS IMQ et filtre Layer7 pour ipcop 1.4.x

[guiguid]

Bonjour a tous,

Voila, vous allez pouvoir enfin profiter de ce qui ce fait de mieux en matiere de QoS ainsi qu'en matiere le filtre directment au niveau 7 de la couche OSI !

FAQ :
IMQ c'est quoi ? : Qualite de service avec limitation de bande pasante en DOWNLOAD et UPLOAD

Layer7 c'est quoi ? : Filtre au niveau aplicatif (ex : emule --> interdit (quelque soit les ports), web --> autorise quelque soit les ports .....)

Tout est disponible ici : http://guiguid.free.fr/ipcop/ipcop.html
merci de bien vouloir poster vos scripts ....
Et si quelqu'un veut faire une interface WEB integé a IPCOP ......

quelques liens :
IMQ :
http://www.linux-france.org/prj/inetdoc ... c.imq.html
exemple :
http://lea-linux.org/leapro/qos.html (le script à la fin)
Layer7
http://l7-filter.sourceforge.net/index.php.fr
protocoles
http://l7-filter.sourceforge.net/protocols

PS: bien sur tout cela n'est pas officiel, donc pas supportte et livré tel quel, je ne suis pas responsable des destructions de données, perte, et tout ce qui pourrait advenir de l'utilisation de ceci.

[Kali Mero]

Citation:

Tout est disponible ici : http://www.guiguid.free.fr/ipcop/ipcop.html

en fait il faut lire : "Tout est disponible ici : http://guiguid.free.fr/ipcop/ipcop.html"

Je vais tester !

[guiguid]

je viens de le corriger....

Voici le genre de choses que l'on peut faire avec :

(petit rappel sur les interfaces de routage du noyau linux http://l7-filter.sourceforge.net/PacketFlow.png )

Layer7

IPTABLES -t mangle -A POSTROUTING -m layer7 --l7proto ssh -j ACCEPT
IPTABLES -t mangle -A POSTROUTING -m layer7 --l7proto http -j ACCEPT
IPTABLES -t mangle -A POSTROUTING -m layer7 --l7proto ftp -j DROP
IPTABLES -t mangle -A POSTROUTING -m layer7 --l7proto gnutella -j DROP

Pas mal hein ?

IMQ

rajoute une interface imq afin de pouvoir realiser de la qualite de ervice sur le download et upload, ainsi que de limiter les debits en upload et download. (Ce qui est impossble a faire en download sans imq.)

Les deux ensemble sont tres puissant:
http = 8ko/s mini, 48ko/s max
gnutella = 1ko/s mini full max
...
..

[guiguid]

Si quelqu'un a du temps pour faire l'interface graphique :
Je pense qu'il faut :
1 - decouper la bande passante totale en n sous bandes avc des priorité decroissante :
ex :
bande 1 : 2 ko/s prio ++++
bande 2 : 20 ko/s prio +++
bande 3 : 20 ko/s prio ++
bande 4 : 2 ko/s prio +

2 - Lier les applications aux bandes :
ex:
http = bande 2
ssh = bande 1
ftp = bande 4
edonkey = bande 4
pop = bande 3
imap = bande 3
smtp = bande 3

3- formauler les interdictions:

msn = non
aim (aol) = non

4- Lier les ports - protocoles aux bandes
ex:
proto ipsec = bande 1


-----------
En fait cela doit etre assez simple a faire niveau web pour quelqu'un qui connait perl et ipcop.
Pour la partie "backend" des scripts "tc" et "iptables" je suis la si il y a besoin
------------

Mais dans un premier temps il faudrait avoir plusieurs exemples de scripts de facon a bien cibler les besion et ce qui fonctionne bien.

a vos ipcops ....

[guiguid]

ATTENTION, N'OUBLIEZ PAS DE DESACTIVER LA QoS D'IPCOP PAR L'INTERFACE WEB !

(petit test avec le script pour IMQ :
sur une 2048 / 128

en meme temps
download ftp à 230ko/s
upload ftp à 15ko/s
ping a 120ms
et web utilisable !

sans commentaires.

[leso]

pas besoin de reccompiler ipcop alors, on applique ton patch sur 1.4.0 finale , on suit tes conseils , on reboot on règle le script et c'est bon?

[leso]

me suis lancer sur mon ipcop existant:
déja le howto, relis le, deux fautes de frappes ca fait mal en une ligne: telecharcher la liste des prtocoles

et précise aussi que mv l7-protocols-2004_09_13 l7-protocols c'est un " l "et pas un 1 , j'ai chercher 5 minutes ....

et y'a rien a rajouter dans les scripts de démarrage?

[guiguid]

C'est ca de rajouter des infos a 23h00 .....

pas besoin de reccompiler ipcop alors, on applique ton patch sur 1.4.0 finale , on suit tes conseils , on reboot on règle le script et c'est bon?

Bien c'est pour ca que j'ai fais l'addon, pour eviter a tous le monde de recompiler tout IPCOP!
mais si tu veux les fichiers lfs pour tout recompiler, je les mettrai aussi sur mon site (j'ai 1Go ! merci free)

Oui, apres c'est bon : c'est a dire tu peux utiliser un script comme celui-ci : http://guiguid.free.fr/ipcop/qos.sh
pour imq et les exemples cités plus haut pour le Layer7.
(apres tu en seras au meme point que moi, c'est pourquoi si vous arrivez a assimiler Linux Advanced Routing et QoS, je suis
preneur des vos scripts.)

(pour la petite histoire : QoS avec limitation de la bande passante en up et download + filtre applicatif Layer7 (niveau application de la couche OSI) il n'y a pas mieux pour l'instant !

EDIT: les sources : http://guiguid.free.fr/ipcop/scr-ipcop-imq

[leso]

donc j'en suis au même niveau , j'ai juste modifier ,le script qos d'origine pour l'adapter a mes besoins (1024/128, et rajout de regles pour les radios et les proxys). Par contre le script devrait pas être lancé a chaque démarrage?

[leso]

dans les sources, tu utilises un fichier /cache/diff iptables ver 1.2.9 , dans le script de compilation il est spécifié /lfs/iptables v 1.2.11 c'est pas génant?

[braouazou]

Merci pour les sources Je vais pouvoir m'amuser à l'intégrer dans ma version incluant samba.

Une petite question : tu utilises un patch pour le noyau 2.4.26 sur le noyau 2.4.27, cela n'a pas d'influence selon toi ?

Autre question pratique : j'ai pu lire sur les liens que tu donnes qu'il fallait préciser des débits inférieurs à ceux théoriques, mais rien ne précise clairement ce que signifie "inférieur" dans ce cas (une idée en terme de % ou autre ; tu cites une connexion 2048/128, qu'as tu précisé comme débits montants et descendants ?

Selon vous, dans le cas d'une utilisation personnelle, pensez-vous que le script imq suffise, ou faut-il vraiment se plonger dans des lectures interminables et assez indigestes pour le non confirmé que je suis concernant le Layer7 ?
Dans ce cas Guiguid, te serat-il possible de détailler la façon de ne pas inclure Layer7 ?

@++

[guiguid]

vous trouverez les reponses aux question de versions ici :
http://www.linuximq.net/

Patch for Linux-2.4.24 up to 2.4.27 (2004-01-30 by Philip Thiem) (md5sum:59e985e65f31b3541868da6210442640)
Patch for iptables up to 1.2.11 - See FAQ for details (2004-04-18 by Andre Correa) (md5sum: 696184ae9acf16cfc6b660ba660bafd6)

pour les debit, et bien c'est selon ce que j'ai pu lire 80% du maxi environ, mais tu peux ajuster ....

Biensur layer7 est totalement indepandant d'IMQ,

Pour enlever layer7 (mais tu peux le laisser sans l'utiliser.)
vire tout ce qui contient le terme layer7 dans /lfs linux et iptables
ainsi que dans /config/kernel/*

evidement pour lancer imq a chaque demarrage, il faut l'inclure dans un script ....

[leso]

bon je vais inclure le script qos.sh dans le démarrage de ipcop alors

[guiguid]

par contre qos.sh n'est peut-etre (voire surement) pas adapté a ton utilisation.....
apres c'est a toi de voir où tu veux de la qualite de service.

L'addon avec IMQ et Layer7 met a votre dispositions des outils puissant, apres c'est a vous de les utiliser.
(C'est sur qu'une interface Web permettrait de le rendre accessible a plus de personnes.)

[leso]

pourquoi pas adapté a mon utilisation?
j'ai adapté le script au niveau des ports et des priorités pour mes besoins