linux user group brescia
immagine del castello

Archivio della mailing list

Traffic control help

nicola.gatta a yoda.ing.unibs.it nicola.gatta a yoda.ing.unibs.it
Mar 29 Nov 2005 09:57:52 UTC 
On Tue, Nov 29, 2005 at 12:16:42AM +0100, Stefano Pedretti wrote:
> 
> Ciao
> ho dei problemini con il traffic control, tutto il traffico viene
> messo in una coda, come se iptables non marcasse
> correttamente i pacchetti.

> -A OUTPUT  -p tcp -m multiport --ports 4000:5999,6001:7000 -j MARK 
> --set-mark 0x3
> -A OUTPUT  -p tcp -m multiport --ports 80,21 -j MARK --set-mark 0x4
> -A OUTPUT  -p tcp -m multiport --ports 6000,22 -j MARK --set-mark 0x5

Premesso che il target MARK e' nella table mangle...

iptables -t mangle -L -nvx

ti da' un sommario di pacchetti e byte "matchati" da ciascuna regola

Sorry, ma sono un po' di fretta.

Lo scrpt di tc mi sembra ok, ad occhio

> # server web in uscita
> tc filter add dev eth1 parent 1: protocol ip u32 match ip sport 80 
> 0xffff flowid 1:20

Mi sfugge questa, visto che e' matchata gia' da iptables.

> diagnostica....
> brainld ~ # tc -s qdisc show
> qdisc sfq 10: dev eth1 parent 1:10
> Sent 3906877 bytes 9969 pkt (dropped 10, overlimits 0 requeues 0)
> rate 0bit 0pps backlog 0b 108p requeues 0
> qdisc sfq 20: dev eth1 parent 1:20
> Sent 561 bytes 7 pkt (dropped 0, overlimits 0 requeues 0)
> rate 0bit 0pps backlog 0b 0p requeues 0

Dalle statistiche direi due cose:
1) o la regola 
  tc filter add dev eth1 parent 1: protocol ip u32 match ip 
  sport 80 0xffff flowid 1:20

  funziona
  
2) o iptables funziona.

Essendo infatti la classe "10:" quella che riceve il traffico di
default, vuole dire che i 7 pkt nella qdisc 10: sono stati matchati..
(chiaro che e' strano siano solo 7 ma vedi il "PS:" piu' sotto)

Verifica come ti dicevo con 
iptables -t mangle -L -nvx

HTH
Ciao.

PS: non e' che il server web e' interno e quindi "DNATtatto" ?
In tal caso la catena su cui mettere i MARK non e' OUTPUT, in quanto la
output prende solo i pacchetti generati da localhost (e quindi dal firewall,
non eventuali server in DMZ o in LAN)

PPS: sorry per la risposta molto rapida e sbrigativa, ma sono un po' di
fretta.
-- 
Nicola "Trimack" Gatta
http://trimack.homelinux.org/blog

Maggiori informazioni sulla lista Lug