regra para HTB.init e IPP2P

fala galera.. como tá as coisa??

pessoal, estou tentando controlar o "tráfico" de p2p com o ipp2p e o htb-tools

fiz da seguinte forma:

Iptables:

iptables -t mangle -A PREROUTING -s rede -i eth0 -j MARK --set-mark 10
iptables -t mangle -A FORWARD -s rede -i eth0 -j MARK --set-mark 10


HTB:

client P2P {
bandwidth 8;
limit 64;
burst 0;
priority 5;
mark 10;
upload 32;
};

mas desta forma todos os clientes navegam por esta regra, anulando as demais...

alguém tem uma dica de como controlar o p2p com o htb??

valeu
[]'s

Citação:

---

Postado originalmente por lucianogf

fala galera.. como tá as coisa??

pessoal, estou tentando controlar o "tráfico" de p2p com o ipp2p e o htb-tools

fiz da seguinte forma:

Iptables:

iptables -t mangle -A PREROUTING -s rede -i eth0 -j MARK --set-mark 10
iptables -t mangle -A FORWARD -s rede -i eth0 -j MARK --set-mark 10


HTB:

client P2P {
bandwidth 8;
limit 64;
burst 0;
priority 5;
mark 10;
upload 32;
};

mas desta forma todos os clientes navegam por esta regra, anulando as demais...

alguém tem uma dica de como controlar o p2p com o htb??

valeu
[]'s

---

Vc tem q usar o CONNMARK em sua regra para marcar os pacotes...

/sbin/iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark
/sbin/iptables -t mangle -A PREROUTING -m mark ! --mark 0 -j ACCEPT
/sbin/iptables -t mangle -A PREROUTING -m ipp2p --ipp2p -j MARK --set-mark 100
/sbin/iptables -t mangle -A PREROUTING -m mark ! --mark 0 -j CONNMARK --save-mark

cara...

além da marcação para p2p tenho marcação de todos os pacotes que entrar para poder fazer controle de upload, estas regras que vc me passou não vão influenciar na outra marcação?

Citação:

---

Postado originalmente por lucianogf

cara...

além da marcação para p2p tenho marcação de todos os pacotes que entrar para poder fazer controle de upload, estas regras que vc me passou não vão influenciar na outra marcação?

---

Se vc setar um MARK diferente das demais nao influencia...

cara...

fui testar aqui e deu erro...

nas regras que tem o CONNMARK apareceu:

iptables: No chain/target/match by that name

mas o iptables tem o CONNMARK ativado, pois com o comando iptables -j CONNMARK --help aparece ele...

sabe o q possa ser??

valeu

Citação:

---

Postado originalmente por lucianogf

cara...

fui testar aqui e deu erro...

nas regras que tem o CONNMARK apareceu:

iptables: No chain/target/match by that name

mas o iptables tem o CONNMARK ativado, pois com o comando iptables -j CONNMARK --help aparece ele...

sabe o q possa ser??

valeu

---

Mas o CONNMARk esta ativado no kernel, se estiver ele esta como modulo ou built-in?

cara...

ontem mesmo depois de postar aqui, dei uma olhada e não encontrei algum módulo com referencia ao connmark, olhei no POM e vi q lá há um patc CONNMARK, apliquei o patch, entrei nas configurações do kernel mas não vi referência a ele... estranho isso...

estou usando kernel 2.4.27

cara...

dei mais uma olhada aqui, e vi q o CONNMARK está relacionado ao conntrack, e este está instalado e ativado no kernel...

agora sim eu fiquei sem saber o q fazer.. :/

Citação:

---

Postado originalmente por lucianogf

cara...

dei mais uma olhada aqui, e vi q o CONNMARK está relacionado ao conntrack, e este está instalado e ativado no kernel...

agora sim eu fiquei sem saber o q fazer.. :/

---

Faz o seguinte, roda o patch do POM novamente e verifica se o CONNMARK foi realmente aplicado ao kernel e posta o resultado... Normalmente ele aparece no topo os patch's aplicados e instaados.

cara..

me diz uma coisa, depois de aplicar o patch, ele deve aparecer nas configurações do kernel para selecioná-lo ou não aparece??

pelo q eu vi aqui ele é digamos um agregado do conntrack, se for isso acho q ele não irá aparecer mesmo..

pq qdo mando aplicar o patch aparece q ele não está instalado, mas qdo entro no
make menuconfig > network options > ip: netfilter options
não aparece opção do CONNMARK

o layer7 e o psd aparece, mas este não apareceu...

vou recompilar o kernel assim mesmo e ver no q dá..

Citação:

---

Postado originalmente por lucianogf

cara..

me diz uma coisa, depois de aplicar o patch, ele deve aparecer nas configurações do kernel para selecioná-lo ou não aparece??

pelo q eu vi aqui ele é digamos um agregado do conntrack, se for isso acho q ele não irá aparecer mesmo..

pq qdo mando aplicar o patch aparece q ele não está instalado, mas qdo entro no
make menuconfig > network options > ip: netfilter options
não aparece opção do CONNMARK

o layer7 e o psd aparece, mas este não apareceu...

vou recompilar o kernel assim mesmo e ver no q dá..

---

Teoricamente tem que aparecer, sinceramente eu nao sei o pq de nao estar aparecendo. :(
Vou dar uma pesquisada, mas se vc conseguir descobrir antes me de um retorno...

tranquilo...

agora estou esperando terminar a compilação do kernel...

valeu

cara...

algo de errado não está dando certo...

o patch não está sendo aplicado ao kernel

eu procuro o patch no diretório do source do kernel e não encontro, mas no diretório do source do iptables encontro...

para desencarbo de consciência procurei nos dois diretórios o patch string e consta nos dois... :/

estranho isso

cara...

não está aplicando o patch

qdo executo ./runme CONNMARK aparece a confirmação para aplicar, teclo "y" e depois enter (lógico), e aparece o seguinte:

cannot apply (1 rejects out of 2 hunks)

q será isso???

Citação:

---

Postado originalmente por lucianogf

cara...

não está aplicando o patch

qdo executo ./runme CONNMARK aparece a confirmação para aplicar, teclo "y" e depois enter (lógico), e aparece o seguinte:

cannot apply (1 rejects out of 2 hunks)

q será isso???

---

Tenta com o ./runme extra, talvez precise de algo a mais
"KERNEL_DIR=<<where-you-built-your-kernel>> \
IPTABLES_DIR=<<where-the-source-of-iptables>> \
./runme extra

cara...

também não deu certo...

mas eu fiz o seguinte, extraí novamente o source do kernel para um diretório novo e apliquei o path, aí funcionou, apareceu nas opções...

agora é aplicar todos os patches do kernel novamente... (tomara q eu nao esqueça de nem um.. hehehe)

depois q terminar posto aqui os resultados..

valeu

Que situação hein!? Estou fazendo uma outra maquina e deu erro tbm ao instalar o POM + kernel 2.6.17 :(

ainda não fiz aqui a aplicação de todos os patches, mas acredito q o CONNMARK tenha alguma incompatibilidade com outro patch...

veremos depois q eu fizer..

cara...

agora consegui aplicar o patch no kernel

fiz tudo novamente, apaguei o diretório que havia aplicado os patches anteriormente e extraí o source novamente e refiz do zero, mas dessa vez apliquei o CONNMARK primeiro, aí funcionou, apareceu a opção no menuconfig

agora vou fazer no servidor e testar a regra do htb pra ver como fica...

Hum.... Perai!!!

Ainda não concluiram o tópico!!!

Há uma maneira de bloquear os programas p2p com o conjunto Iptables + htb ???

Outra coisa.. eu não uso o htb-tools..... uso normalmente o htb....

Alguem tem uma resposta?? E se tiver, como se faz???