Discussion :

[Lapluche]

Bonjour,
Je suis à la recherche d'un âme bienveillante pour me donner une petite indication sur ces fout** qdisc.
En faite je cherche à développer un arbre de gestion des flux assez simple :
Je n'ai pas d'image sur la toile, donc je vais le décrire :

-----------ROOT--------------
----------/--|--\--------------
---------/---|---\-------------
-------1:10-1:20-1:30---------
-----/--|----|--\----\---\--
1:11-1:12-1:21:1:22-1:31-1:32

Les niveaux : 1:10, 1:20, 1:30 permettent de séparer les paquets en fonction de leurs réseaux de destinations ( masques en /24 )

Et les niveaux du dessous, par exemple 1:11 et 1:12 servent respectivement à dissocier les paques "-p tcp --dport 3389" ( protocole RDP ) de tous les autres.

MON PROBLEME :
Je filtre mes paquets grâce à un marquage préalable des paquets grâce à iptables et je les positionnent au bonne endroit grâce à tc filter.
Je voudrais pouvoir faire ceci :
1/ Un paquet arrive
2/ Pour quel réseau est-il ? --> 192.168.131.0/24 donc hop class 1:30
3/ Arrivé en 1:30
4/ Quel protocol utilise-t-il ? --> RDP donc hop class 1:32

Mais je n'y arrive pas, j'ai l'impression que mes rêgles s'appliquent toutes en même temps et non pas d'abord celles du niveau 1 puis celles du niveau inférieure.

Voici ma config :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
 
iptables -F -t mangle
iptables -F
tc qdisc del dev eth0 root
 
tc qdisc del dev eth0 root
tc qdisc add dev eth0 root handle 1: htb default 60
tc class add dev eth0 parent 1: classid 1:10 htb rate 200kbit ceil 200kbit
tc class add dev eth0 parent 1:10 classid 1:20 htb rate 200kbit ceil 200kbit
tc class add dev eth0 parent 1:10 classid 1:30 htb rate 200kbit ceil 200kbit
tc class add dev eth0 parent 1:10 classid 1:40 htb rate 200kbit ceil 200kbit
 
#pour le 1:20
tc class add dev eth0 parent 1:20 classid 1:21 htb rate 20kbit ceil 30kbit
tc class add dev eth0 parent 1:20 classid 1:22 htb rate 10kbit ceil 30kbit
 
#FILTRAGES ET IPTABLES
iptables -t mangle -A FORWARD -d 192.168.131.0/24 -j MARK --set-mark 130
tc filter add dev eth0 parent 1: protocol ip handle 130 fw flowid 1:20
 
iptables -t mangle -A FORWARD -p tcp -dport 3389 -j MARK --set-mark 140
tc filter add dev eth0 parent 1: protocol ip handle 140 fw flowid 1:21
 
iptables -t mangle -A FORWARD -p icmp -j MARK --set-mark 141
tc filter add dev eth0 parent 40:0 protocol ip handle 141 fw flowid 1:22

Votre avis, vos conseils ou vos références seront les bienvenues...
P.S : J'ai déjà toutes la panoplies des LARC et autres, et je n'y ai malheureusement pas trouvé mon bonheur...

[Lapluche]

Si quelqu'un passe dans le coin,
et même s'il n'est pas sur de lui ou autre, surtout n'hésitez pas.
J'ai vraiment besoin d'un coup de main

[gorgonite]

j'ai une question bête, pourquoi utiliser tc ?


ça ne marcherait pas avec des règles iptables DROP ?

[Lapluche]

hihihi,
au bout de ( facilement 1 semaine de recherche ) j'ai enfin trouvé mon problème.

Euh pour ta question, en faite TC permet de gérer et d'ordonnancer les paquets selon des mécanismes allant du simple (HTB) au compliqué (CBQ) ce que DROP d'iptables ne permet pas de faire puisque ( à ma connaissance ) on peut seulement s'en sevir pour éliminer tous ou une partie des paquets ( loss ..% ).
Mais dis si je me trompe.

Pour ma question : je me donne ma réponse:
On créé une qdisc à la racine
on fait descendre x classes de cette qdisc
on rajoute une qdisc à ses classes
on fait descendre y classes de chaque qdisc

Voila tout bête, mais j'ai cumulé les erreurs avec un problème d'ordre de mes filtres par marquages iptables. ( faites attention à l'ordre ).

A bientôt et merci gorgonite

[gorgonite]

Euh pour ta question, en faite TC permet de gérer et d'ordonnancer les paquets selon des mécanismes allant du simple (HTB) au compliqué (CBQ) ce que DROP d'iptables ne permet pas de faire puisque ( à ma connaissance ) on peut seulement s'en sevir pour éliminer tous ou une partie des paquets ( loss ..% ).
Mais dis si je me trompe.

iptables fournit quelques options intéressantes comme -m limit --limit 1/s ; et pour l'ordonnancement, avec les règles QoS ça devrait être possible

mais je ne maitrises pas trop ce morceau là