Pont Réseau avec limitation de bande passante. C'est possible ? [Résolu]

[Arthurbean]

Bonjour à vous.
Apres une petite recherche sur le net et sur le forum je n'ai pas pu trouver ce que je voulais, je me suis donc décidé à poster sur ce forum.
Alors je vous explique la situation : je voudrais faire un pont comme décrit ici ( http://www.minet.net/spip/spip.php?article42 ), jusqu'ici rien de trop compliqué à part que les liens décrit dans cet article sont périmés. (si vous connaissez un lien vers ces fichiers je ne serais pas contre ^^)
Je suis obligé de prendre cette solution de pont car je suis en adresse publique et que je n'en ai pas des tonnes. Je ne peux donc pas prendre 2 adresses publiques juste pour cette machine.

Voilà le topo : j'ai 5 serveurs en addressage publique, ces 5 serveurs doivent le rester .(Je ne peux pas les mettre en adressage privé et faire du routage).
Je voudrais monitorer la bande passante de ces serveurs avec ntop et si possible pouvoir limiter la bande passante de ces serveurs. La machine qui servira d'analyse et de limitation se placera entre les 5 serveurs et le routeur.
Je me demandais donc si il est possible de le faire de la limitation de bande passante avec ce pont.

Salutations.

[gorgonite]

et pourquoi la solution du nat ne conviendrait-elle pas ?

[Arthurbean]

Bonjour.
Car le réseau dans lequel je travaille fournit un accés internet à des clients. De plus il y a des serveurs mail, web, de bdd etc ... qui ne peuvent pas être mis en adressage privé.

[gorgonite]

je ne comprends pas trop le problème de faire du nat... mais c'est vrai que je n'ai pas vraiment testé cette solution : j'ai deux classes C publiques

[Arthurbean]

Enfin j'ai fais quelques petits test avec le pont réseau sur le réseau privé, j'ai installé le package brige-utils configuré ca comme sur le tuto. C'est assez impressionant la machine est totalement transparente et a pourtant une adress ip.
Mais bon je sais toujours pas si c'est possible de limiter la bande passante. Je préfére me renseigner avant de faire des bétises et de couper la connexions de l'entrprise.

[MarcG]

bin couper la connexions de l'entreprise c'est deja faire de la regulation de bande passante


sinon il te faut te pencher sur QoS et iptables et tc

il y a ici une expliquation
http://sylvestre.ledru.info/howto/bandwidth.php

[Arthurbean]

Citation:

Envoyé par MarcG

bin couper la connexions de l'entreprise c'est deja faire de la regulation de bande passante

Sinon le lien que tu m'a donné à l'air sympa. Mais je me demande un truc, dans la chaine :

Citation:

Envoyé par Limitation

# Marque les packets
# Marquage des packets en upload
$IPTABLES -t mangle -A FORWARD -s 192.168.0.128/29 -j MARK --set-mark 3
$IPTABLES -t mangle -A FORWARD -s 192.168.0.6 -j MARK --set-mark 3

# Marquage des packets en download
$IPTABLES -t mangle -A FORWARD -s ! 192.168.0.0/24 -d 192.168.0.128/29 -j MARK --set-mark 4
$IPTABLES -t mangle -A FORWARD -s ! 192.168.0.0/24 -d 192.168.0.6 -j MARK --set-mark 4

Peut ont modifié les "-s 192.168.0.128/29 ou -d 192.168.0.128/29" par des interfaces réseaux ?
Sachant que donc mon cas je ne pourrais mettre de réseau source sachant que ça sera le même de toute façon. Et que le réseau de destination sera l'exterieur.

[MarcG]

oui probablement mais regarde un tuto sur iptanles pour la syntaxes, je connais pas trop.

[Arthurbean]

Oui apres une micro recherche, on peu mettre l'option -i pour interface dans les chaines INPUT, FORWARD et PREROUTING.
Maintenant il n'y a plus qu'a se lancer et tester.
Dans le script que tu m'as donné, il y a juste un truc qui m'embete c'est que l'on peut que faire une limitation globale. On ne peut pas personaliser la limitation par adress ip.

"Tain Jean Claude le gars du dessus, ne m'a pas tenu la porte, je vais lui brider sa bande passante tien"

[Arthurbean]

Me revoilà ^^
Alors j'ai essayé de mettre en place le pont avec ce lien : http://www.minet.net/spip/spip.php?article42
Ensuite j'ai essayé de mettre en place la limitation de bande passante avec ce lien : http://sylvestre.ledru.info/howto/bandwidth.php

Alors le pont fonctionne les paquets travesent la machines sans soucis mais je n'arrive pas à les filtrer. J'ai essayé de tout bloquer sur le firewall mais les paquets traversent quand même la machine.
Alors je ne sais pas si j'ai pas des modules à installer comme décrit dans l'article

Citation:

Envoyé par blabla

Tout le support de base d'Iptables est obligatoire pour l'IP Masquerade plus
CONFIG_IP_NF_CONNTRACK
CONFIG_IP_NF_TARGET_MARK --> Ceci est pour le marquage des packets qui vont être bridé.

QoS et fair queueing
CONFIG_NET_SCH_CBQ
CONFIG_NET_CLS_FW

Si oui comment les activer ? (je suis pas encore expert de linux)

Ou j'ai pas installé le support du bridge pour iptables/netfilter ?

Citation:

Envoyé par blabla2

Support noyau du pont

Il faut activer deux options : 802.1d Ethernet Bridging pour le support du pont et netfilter (firewalling) support pour rendre le pont "filtrant".

En tout cas c'est assez intéressant ce firewall sans ip ^^

[Arthurbean]

Vais-je devoir recompiler mon noyau ou il y a une solution pour activer ces "modules" sans recompiler le noyau ?

[MarcG]

s'il ne sont pas compiler, il faudra recompiler le kernel.
la commande pour charger les modules iptables est :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
/sbin/modprobe le_module
#exemple
/sbin/modprobe ip_nat_ftp

si le module n'est pas compiler un message d'erreur te le dira.
les module a charger sont decrit en fonction des besoin dans le man de iptables
(il on en general le nom sans le CONFIG_ en minuscule utilisé dans la configuration du kernel (donc cité dans les docs)

[Arthurbean]

Arf donc :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
/sbin/modprobe ip_nf_conntrack
FATAL: Module ip_nf_conntrack not found.

Ca veut dire que je vais devoir recompiler mon noyau.

Bon j'ai commencer à le recompiler avec ce tuto : http://doc.fedora-fr.org/Recompilati...au_Fedora_Core

Mais quand j'arrive pour reconstruire le fichier kernel-2.6.spec avec la commande :

rpmbuild --target i686 -ba kernel-2.6.spec

La commande rpmbuild est inconnue
Même la commande "rpm -ba" est inconnue et est pourtant dans le man rpm
Je m'embourbe

Edit : probleme résolue en installant des paquetage de devollpement ... ca compile

[MarcG]

oui il y a des chances, ce n'est pas bien difficile SI Tu RECUPERE la config de ton kernel actuel !
Celui-ci devrait se trouver dans le repertoire /boot avec comme non quelque choses comme :
config_monkernelactuel
tu copie ce fichier dans le repertoire /usr/src/linux sous le nom ".config" (il y a un point devant).

Cela te permettra de garder ta configuration actuelle qui a le merite de fonctionner et de juste ajouter en module ceux dont tu as besoin.

[Arthurbean]

merci de vos réponses.
alors avant que je commence à construire le fichier kernel-2.6.spec je n'avais aucun dossier dans /usr/src
Avant de le construire j'ai donc du creer le dossier /usr/src/redhat/ pour y extraire le package du noyau. Chelou o_0

Sinon ca fais juste 2 heures que les packetages sont en train d'être généré
Edit : toujours en compilation aïe :s

[MarcG]

quel paquetage ? il te faut descendre les sources du kernel.

[Arthurbean]

Ca veut dire quoi descendre les sources du kernel ?

Sinon apres recompilation avec les bonnes options (je sais pas si la recompilation etait necessaire mais ca m'a au moins appris comment faire), la limitation fonctionne a peu pres. Sur une transfert ftp de free, sans limitation je suis environ à 30 ko/s et quand j'active la limitation ca descend tres lentement vers un 5-10 ko/s qui n'est pas trop la limite que j'avais parametré mais ca limite au moins
Par contre sur un direct download du net ca ne limite pas. Je ne comprends pas trop ....
je vais creuser ca ...

Edit : la limitation marche pour certain direct download. On le voit tres bien dés que je démarre le script ca baisse et dés que je l'enleve ca remonte.
Par contre certain fichiers y sont insensibles. Bizzare.

[Arthurbean]

C'est bon la limitation marche. J'ai encore un peu du mal à fixer une limite précise. Si vous avez des questions n'hesitez pas à les poser sur le topic.
Merci pour votre aide

[gorgonite]

si tu pouvais nous résumer la procédure que tu as utilisée... cela serait plus pratique pour les prochains visiteurs avec cette question

[Arthurbean]

Tout d'abord il faut verifier que le noyeau a été compilé avec tout les modules nécéssaires : en gros tout les modules de Iptables/netfilter mais surtout ceux là.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
Tout le support de base d'Iptables est obligatoire pour l'IP Masquerade plus
CONFIG_IP_NF_CONNTRACK
CONFIG_IP_NF_TARGET_MARK --> Ceci est pour le marquage des packets qui vont être bridé.
 
QoS et fair queueing
CONFIG_NET_SCH_CBQ
CONFIG_NET_CLS_FW

et le support du bridge ( 802.1d Ethernet Bridging ). Il me semble qu'on peut faire un yum bridge-utils sous Fedora mais je ne suis pas sur.

Pour le nom des modules à l'installation à la compilation du noyau, je ne suis pas tout à fait sûr que ce soit les nom exacts, j'ai séléctionné tout ce qui me paraissait correspondre.

D'abord mettre en place le bridge avec ce lien : http://www.minet.net/spip/spip.php?article42

Si vous voulez plus d'info sur le bridge vous pouvez aller sur ce lien : http://linux-net.osdl.org/index.php/...nd_Firewalling

Ensuite j'ai suivi les instructions de ce liens pour la limitation de bande passante: http://sylvestre.ledru.info/howto/bandwidth.php

Il faut juste adapté vos ip(s) dans la regle a ajouter dans iptables/netfilter (je sais toujours pas la différence entre les deux )

Et ca a marché.

Edit voilà un extrait de mon fichier de config :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
# Core Netfilter Configuration
#
CONFIG_NETFILTER_NETLINK=y
CONFIG_NETFILTER_NETLINK_QUEUE=y
CONFIG_NETFILTER_NETLINK_LOG=y
CONFIG_NF_CONNTRACK_ENABLED=y
# CONFIG_NF_CONNTRACK_SUPPORT is not set
CONFIG_IP_NF_CONNTRACK_SUPPORT=y
CONFIG_IP_NF_CONNTRACK=y
CONFIG_NETFILTER_XTABLES=y
CONFIG_NETFILTER_XT_TARGET_CLASSIFY=y
CONFIG_NETFILTER_XT_TARGET_CONNMARK=m
CONFIG_NETFILTER_XT_TARGET_DSCP=m
CONFIG_NETFILTER_XT_TARGET_MARK=y
CONFIG_NETFILTER_XT_TARGET_NFQUEUE=y
CONFIG_NETFILTER_XT_TARGET_NFLOG=y
CONFIG_NETFILTER_XT_TARGET_NOTRACK=m
CONFIG_NETFILTER_XT_TARGET_SECMARK=m
CONFIG_NETFILTER_XT_TARGET_CONNSECMARK=m
CONFIG_NETFILTER_XT_MATCH_COMMENT=m
CONFIG_NETFILTER_XT_MATCH_CONNBYTES=m
CONFIG_NETFILTER_XT_MATCH_CONNMARK=m
CONFIG_NETFILTER_XT_MATCH_CONNTRACK=y
CONFIG_NETFILTER_XT_MATCH_DCCP=m
CONFIG_NETFILTER_XT_MATCH_DSCP=m
CONFIG_NETFILTER_XT_MATCH_ESP=m
CONFIG_NETFILTER_XT_MATCH_HELPER=m
CONFIG_NETFILTER_XT_MATCH_LENGTH=m
CONFIG_NETFILTER_XT_MATCH_LIMIT=m
CONFIG_NETFILTER_XT_MATCH_MAC=m
CONFIG_NETFILTER_XT_MATCH_MARK=y
CONFIG_NETFILTER_XT_MATCH_POLICY=m
CONFIG_NETFILTER_XT_MATCH_MULTIPORT=m
CONFIG_NETFILTER_XT_MATCH_PHYSDEV=m
CONFIG_NETFILTER_XT_MATCH_PKTTYPE=m
CONFIG_NETFILTER_XT_MATCH_QUOTA=m
CONFIG_NETFILTER_XT_MATCH_REALM=m
CONFIG_NETFILTER_XT_MATCH_SCTP=m
CONFIG_NETFILTER_XT_MATCH_STATE=m
CONFIG_NETFILTER_XT_MATCH_STATISTIC=m
CONFIG_NETFILTER_XT_MATCH_STRING=m
CONFIG_NETFILTER_XT_MATCH_TCPMSS=m
CONFIG_NETFILTER_XT_MATCH_HASHLIMIT=m
 
#
# IP: Netfilter Configuration
#
CONFIG_IP_NF_CT_ACCT=y
CONFIG_IP_NF_CONNTRACK_MARK=y
CONFIG_IP_NF_CONNTRACK_SECMARK=y
CONFIG_IP_NF_CONNTRACK_EVENTS=y
CONFIG_IP_NF_CONNTRACK_NETLINK=y
# CONFIG_IP_NF_CT_PROTO_SCTP is not set
CONFIG_IP_NF_FTP=y
# CONFIG_IP_NF_IRC is not set
# CONFIG_IP_NF_NETBIOS_NS is not set
# CONFIG_IP_NF_TFTP is not set
# CONFIG_IP_NF_AMANDA is not set
# CONFIG_IP_NF_PPTP is not set
# CONFIG_IP_NF_H323 is not set
# CONFIG_IP_NF_SIP is not set
CONFIG_IP_NF_QUEUE=m
CONFIG_IP_NF_IPTABLES=y
CONFIG_IP_NF_MATCH_IPRANGE=y
CONFIG_IP_NF_MATCH_TOS=y
CONFIG_IP_NF_MATCH_RECENT=m
CONFIG_IP_NF_MATCH_ECN=m
CONFIG_IP_NF_MATCH_AH=m
CONFIG_IP_NF_MATCH_TTL=m
CONFIG_IP_NF_MATCH_OWNER=m
CONFIG_IP_NF_MATCH_ADDRTYPE=m
CONFIG_IP_NF_FILTER=y
CONFIG_IP_NF_TARGET_REJECT=m
CONFIG_IP_NF_TARGET_LOG=m
CONFIG_IP_NF_TARGET_ULOG=m
CONFIG_IP_NF_TARGET_TCPMSS=m
# CONFIG_IP_NF_NAT is not set
CONFIG_IP_NF_MANGLE=y
CONFIG_IP_NF_TARGET_TOS=m
CONFIG_IP_NF_TARGET_ECN=m
CONFIG_IP_NF_TARGET_TTL=m
CONFIG_IP_NF_TARGET_CLUSTERIP=m
CONFIG_IP_NF_RAW=m
CONFIG_IP_NF_ARPTABLES=m
CONFIG_IP_NF_ARPFILTER=m
CONFIG_IP_NF_ARP_MANGLE=m
 
#
# Bridge: Netfilter Configuration
#
CONFIG_BRIDGE_NF_EBTABLES=m
CONFIG_BRIDGE_EBT_BROUTE=m
CONFIG_BRIDGE_EBT_T_FILTER=m
CONFIG_BRIDGE_EBT_T_NAT=m
CONFIG_BRIDGE_EBT_802_3=m
CONFIG_BRIDGE_EBT_AMONG=m
CONFIG_BRIDGE_EBT_ARP=m
CONFIG_BRIDGE_EBT_IP=m
CONFIG_BRIDGE_EBT_LIMIT=m
CONFIG_BRIDGE_EBT_MARK=m
CONFIG_BRIDGE_EBT_PKTTYPE=m
CONFIG_BRIDGE_EBT_STP=m
CONFIG_BRIDGE_EBT_VLAN=m
CONFIG_BRIDGE_EBT_ARPREPLY=m
CONFIG_BRIDGE_EBT_DNAT=m
CONFIG_BRIDGE_EBT_MARK_T=m
CONFIG_BRIDGE_EBT_REDIRECT=m
CONFIG_BRIDGE_EBT_SNAT=m
CONFIG_BRIDGE_EBT_LOG=m
CONFIG_BRIDGE_EBT_ULOG=m

Vous pouvez voir qu'il n'y a pas tous les modules qui correspondent exactement à ceux dans les articles, m'enfin s'pa grave tant que ca marche ^^