| Author |
Message |
|
|
Post subject: RE: mikrotik shaping vseobecne
 Posted: 02.06.2011 - 22:55 #91556
|
|
Basic
Joined: Feb 28, 2005
Posts: 399
Location: Michalovce
|
|
| chlope to su otazky na nejakom vyssom leveli certifikacnho skolenia cisco, ani samotny mikrotik netusi ako funguju RFCka, inak by sme nemali kazdy tyzden bugy , a nie na skfree forum, mozno preto ti nikto neodpoveda |
|
|
| |
|
|
|
 |
|
|
|
Post subject: RE: mikrotik shaping vseobecne
Posted: 03.06.2011 - 11:39 #91565
|
|
Majster
Joined: Okt 31, 2006
Posts: 2062
Location: TT
|
|
markovať to takto najprv spojenie a na základe toho pakety má zmysel ak používaš v QT PCQ
a vtedy ty stačia na jednu IP dve pravidlá prvým označíš spojenie na základe neho pakety a PCQ si to už rozobere čo je pre neho download a čo upload . samozrejme musiíš mať k tomu správne vytvorenú štruktúru QT |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: mikrotik shaping vseobecne
Posted: 03.06.2011 - 14:36 #91571
|
|
Majster
Joined: Jan 08, 2006
Posts: 2584
|
|
pakety smerujuce z vonku na tvoje IPcky su predsa v postroutingu
takze staci omarkovat download aj upload pakety a mozes shapovat jak chces
download omarkujes napr user1_dl, upload user1_up a mozes spokojne shapovat cez sq alebo qt... |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: mikrotik shaping vseobecne
Posted: 03.06.2011 - 18:30 #91575
|
|
Majster
Joined: Jan 08, 2006
Posts: 2584
|
|
do preroutingu markuj upload z tvojej IPcky
do postroutingu download na tvoju IPcku
pre kazdu IPcku 2 mangle t.j.
najprv v preroutingu passthrough s markovanim konekcie z dandej IPcky a nasledne mark-packet z danej connection-mark
a potom v postroutingu passthrough s markovanim konekcie na danu IPcku a nasledne mark-packet z danej connection-mark
alebo mozes dat vsetko do chanu forward ak chces |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: mikrotik shaping vseobecne
Posted: 03.06.2011 - 19:12 #91576
|
|
Majster
Joined: Júl 11, 2008
Posts: 2311
|
|
| Ja to riesime 2 pravidlami pre prerouting(connection mark+packet mar) a dvoma pre postrouting(connection+packet mark) |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: mikrotik shaping vseobecne
Posted: 04.06.2011 - 00:34 #91581
|
|
Majster
Joined: Jan 08, 2006
Posts: 2584
|
|
inac lukas, nemusi to byt celkom tak ako si pisal... ak sa nemylim, tak datovy prenos funguje takto:
pakety odchadzajuce z lokalnej IPcky (pod pojmom lokalna rozumej IPcka z tvojho subnetu) prejdu najprv forwardom a porom preroutingom, kde sa preroutuju dalej na uplink
a naopak pakety smerujuce z uplinku na tvoju lokalnu IPcku, sa najprv prezenu cez postrouting a potom idu forwardom dalej...
takze markovanie mozes robit bud komplet na forwarde alebo delit upload a download do preroutingu resp. postroutingu...
ak som sa pomylil, kludne ma opravte, ani ja nie som neomylny  |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: mikrotik shaping vseobecne
Posted: 04.06.2011 - 10:35 #91582
|
|
Guru
Joined: Okt 23, 2005
Posts: 1031
Location: /etc/bin/ladin
|
|
|
|
|
|
|
|
|
Post subject: RE: mikrotik shaping vseobecne
Posted: 04.06.2011 - 10:37 #91583
|
|
Basic
Joined: Júl 17, 2008
Posts: 102
Location: SNV
|
|
| JOFO, to, co si napisal je blbost az to boli. Preco by sa prerouting volal tak ako sa volal, keby do neho tiekli data az po routingu? Do preroutingu sa dostanu packety este pred rozhodnutim, ci sa budu routovat dalej alebo skoncia na inpute. Ak sa budu routovat, pokracuju dalej do forward, kde po odroutovani koncia v postroutingu. To dava logicky zmysel. Pre istotu, toto si vytlac a daj na nastenku -> IPtables packet flow |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: mikrotik shaping vseobecne
Posted: 04.06.2011 - 12:12 #91585
|
|
Majster
Joined: Jan 08, 2006
Posts: 2584
|
|
| ja som nepisal ze cez prerouting idu pakety az po routovani... asi si ma zle pochopil... pisal som ze pakety smerujuce z lokalnej IPcky idu preroutingom a teda tam ich moze omarkovat ako odchadzajuce t.j. Upload |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: mikrotik shaping vseobecne
Posted: 04.06.2011 - 13:09 #91586
|
|
Basic
Joined: Júl 17, 2008
Posts: 102
Location: SNV
|
|
| Budem parafrazovat tvoj predchadzajuci post: Quote: › pakety odchadzajuce z lokalnej IPcky prejdu najprv forwardom a potom preroutingom
Prefackajte ma ak som to nepochopil spravne ... Fakt, vratim aj maturitne vysvedcenie. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: mikrotik shaping vseobecne
Posted: 04.06.2011 - 15:02 #91587
|
|
Majster
Joined: Okt 21, 2003
Posts: 4247
|
|
JOFO wrote: ›pakety odchadzajuce z lokalnej IPcky (pod pojmom lokalna rozumej IPcka z tvojho subnetu) prejdu najprv forwardom a porom preroutingom, kde sa preroutuju dalej na uplink
nie. paket prichadzajuci zo stanice la loklanej sieti prejde
- fyzickym rozhranim (sietovkou a jej driverom)
- potom PREROUTINGom
- potom nastava routing decision - podla destination IP sa rozhoduje, ci cielom paketu je tento stroj (padne do INPUT) alebo iny stroj (padne do FORWARD)
- ak padol do FORWARD, nasledne este pojde do POSTROUTING, a potom von na sietovku...
JOFO wrote: ›a naopak pakety smerujuce z uplinku na tvoju lokalnu IPcku, sa najprv prezenu cez postrouting a potom idu forwardom dalej...
nie. pakery smerujuce z uplinku (internet) na tvoju loklanu IPcku robia presne to iste co pakety v opacnom smere. teda:
- najprv idu cez PREROUTING
- za nim nastane rozhodnutie ci su urcene pre tento fyzicky stroj (pokracuje sa v chaine INPUT) alebo su urceny pre iny stroj (pokracuje sa v chaine FORWARD)
- po prejdeni paketu FORWARDom ide do POSTROUTINGu, a odtial na fyzicku sietovku a von zo stroja...
 |
|
|
| |
|
|
|
|
|
|
|
Post subject: mikrotik shaping vseobecne
Posted: 04.06.2011 - 16:25 #91589
|
|
Majster
Joined: Okt 21, 2003
Posts: 4247
|
|
ahoj
povodne som ti odpisal dlhsi prispevok, ale kedze si si odpovedal sa medzitym ako som to pisal, tak to skratim a necham iba podstatne
lukas-svk wrote: ›Ako funguje mark-connection a mark-packet pri manglovani?
Ked pouzijem mark-connection, nasledne na to mark-packet, omarkujem takto vsetky pakety ktore sa viazu k danemu spojeniu?
omarkovanim paketov v spojeni dostavas omarkovane spojenie. napriklad pri FTP (kde mas na inom porte dohadovaie spojenia a na inych portoch prenos dat), markovanim iba paketov na porte 21 (ftp ) si velmi nepomozes, lebo prenasanych dat sa to tykat nebude.
co sa udeje, ked budes markovat piate cez deviate (spojenia a este aj pakety) si musis experimentalne zistit sam.
lukas-svk wrote: ›
Tu by ma zaujimalo, takto omarkujem vsetky spojenia ktore inicializoval host 195.168.168.168 a nasledne pakety, ktore sa viazu k danym spojeniam (spolu tam aj spat?)
unika mi dovod, naco markovat spojenia, a potom este pakety. tak ako isla evolucia, najprv existovalo markovanie paketov, a potom neskor pribudlo markovanie spojeni na pripady, v ktorych si nepomozes s markovanim pakeov (vid vyssie priklad s FTP). markovat omarkovane, hm, nerozumem dovodom.
lukas-svk wrote: ›Ak nasledne uplatnim shape na tento mark tak budem mat oshapovany upload a download v kope? Aky by to malo vyznam? Resp kde/kedy sa ma pouzivat mark-connection?? jedine co ma napada je prave v spojeni s natom , nasledne markovat pakety v jednom a druhom smere oddelene podla in a out rozhrania?
na shapovanie upload+dowload dokopy jednou rychlostou sa pouzivaju ine metody nez oznacovanie paketov (napriklad imq, intermediate queuing device). realizuje sa to tak, ze celu prevadzku aj up aj down nasmerujes do virtualneho zariadenia, ktore potom orezes na vyslednu rychlost ktoru chces pre up+down mat nastavenu.
oznacovanie spojeni sa pouziva napriklad ked protokol pouziva spojenie na viacerych portoch a bez pozerania do protokolu nezistis, ze novy port je vlastne sucast uz existujuceho spojenia.
tiez sa oznacovanie spojeni pouziva pri stavovych firewalloch. napr je ziaduce, aby stroj pustil iba pakety, ktore naozaj suvisia so spojenim (napriklad ze pakety v ramci spojenia prejdu firewallom iba vtedy, ked spojenie naozaj vzniklo cez SYN, ACK, SYN+ACK negociaciu).
lukas-svk wrote: ›Nevie niekto poradit ako napisat shaper/ omarkovat pakety v pripade routra ktory routuje cisto verejne ip adresy? (da sa tam connection-mark uplatnit? Mne vychadza ze treba pouzit iba mark-packet)
pytas sa na vec, ktora je zdokumentovana. ci si to precitas v dokumentacii, alebo na skfree, citat to musis tak ci tak, neusetris cas. este riskujes ze sa dozvies polopravy a nepravdy. pouzi manual a vlastnu hlavu, a ak s nebudes s niecim konkretnym vediet rady, potom sa pytaj ludi na fore.
lukas-svk wrote: ›
Vedel by niekto popisat ako to napisat s ohladom na vykon?
kedy pouzit connection-state=new + mark-connection, kedy mark-connection bez connection-state=new, kedy mark-packet..
urcite je menej narocne markovat paket, pretoze pri tom sa pozera iba do hlavickiek prave spracuvavaneho paketu. ak chces markovat spojenie, musi sa pozriet do hlaviciek paketu, a potom este spravit lookup do tabulky spojeni. hore sice pises ze markovanie paketov ti je vraj naroznejsie na CPU, toto nedava zmysel vzhladom na nechanizmus ako to funguje. na druhej strane v mrkvotiku si clovek nemoze byt nicim isty, a to z dovodu, ze niektore veci robi "za admina" a nebyva to prave efektivne. ked kazdy paket ma byt vyhodnoteny proti napr. 2000 pravidlam, jasne ze to pri velkom pocte paketov za sekundu zamestna CPU. ale ak je rozlozenie pravidiel spravene rozumne (napr 2000 pravidiel sa rozdeli do rozumnej hierarchie a vdaka tomu sa vykona ovela menej porovnani) tak vo vysledku by malo byt markovanie paketov menej narocne nez markovanie spojeni.
POVINNE CITANIE:
iptables tutorial
http://www.frozentux.net/iptables-tutor ... orial.html
veci tykajuce sa markovania spojeni hladaj v castiach STATE MACHINE a v casti o CONNMARK. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: mikrotik shaping vseobecne
Posted: 05.06.2011 - 01:19 #91595
|
|
Majster
Joined: Jan 08, 2006
Posts: 2584
|
|
pardon ak som niekoho pomylil... nehadam sa, v case pisania prispevku som nemal uplne "triezvy" pohlad na vec... taketo markovanie som mal rozbehane este par rokov dozadu... uz nejaku dobu neriesim shaping centralne takze sa mi to kus poplietlo asi...
este raz sorry ak som niekoho pomylil... preto som na koniec doplnil, ze to nemusi byt na 100% tak ako som pisal a ze ma mozte opravit (co sa aj stalo)... pixall & slash: vdaka za uvedenie na spravnu mieru... holt nik nie je dokonaly a stale sa je co ucit...
takto to dopadne ak sa clovek necha uniest a odpoveda hned po precitani bez nejakej hlabsej uvahy |
|
|
| |
|
|
|
|
|
|
