【教學】Coyote Linux 頻寬管制 (QoS) 設定教學 - 第2頁 - PCZONE 討論區

返回   PCZONE 討論區 > ▲ ADSL_CABLE_FTTH 寬 頻 上 網 討 論 > -- 網 路 技 術 版


PCZONE 討論區



通知

-- 網 路 技 術 版 較深入的網路方面技術問題,請來此這版討論

Kree

引用:
作者: 史萊姆
謝謝
那想再請問,我目前主機是用磁片來開機
開完機後skype可連線,msn不能連,而有一些網站可連一些又不行
這會是什麼原因…,電腦(非指主機,一般用的電腦)都要重開機再連線嗎??
(我本來是用Icop+硬碟在連線)

對於保證頻寬的部份
我可以說一台電腦設兩個部份(一個是一般使用,一個是skype)
然後skype保證頻寬為0,但優先權最高
這樣子可行嗎??謝謝
1.
沒碰過這個問題,我家裡也是用 Coyote 當頻寬分享器,底下的 Client端電腦,連線都正常,msn 可以用。

檢查一下各種軟體的相關設定,例如:瀏覽器或MSN之類的,proxy 不要設。快取全部清空。

檢查 Client端電腦,閘道 IP 設定是否正確,閘道 IP 就是 Coyote主機。

若是 DHCP 自動取得,檢查 DHCP 設定是否正確。

檢查 Coyote 的防火牆設定,規則是否符合邏輯。若不確定,先把防火牆規則拷貝起來後全部清空,若可以連了,就表示原先防火牆設定錯誤。

重開機也可以,只是花比較多時間
在 windows 下,可以把網路先停用,再啟用,會 reset 網路配置,比較快


2.可以

如教學範例所示, server 只有一台,但是我可以再細分那台 server 電腦上有三個服務,這三個服務,各有其頻寬管制規則。

其原理是相同的,一台電腦 (IP 或 MAC),底下還可以細分很多類別(服務)。

但像 skype 這類的 VoIP 服務,需要即時的反應速度
就和線上遊戲一樣,給予適當的保證頻寬值 (非0),連線會比較穩定

至於純上網,下載資料,查資料之類的
由於不需要即時反應,保證頻寬可設 0

優先權高,是指有較大的機會搶得頻寬
而這個頻寬,若當下為其它類別「使用中」
QoS 機制會進行協調工作,將該頻寬使用權,轉移給優先權較高者
此過程約需要數秒鐘,期間連線會不穩定

故需要即時反應的服務,建議設定保證頻寬
以避免因 QoS 協調造成的短暫 LAG
這在玩線上遊戲和別人攻城時尤其重要,LAG 個 1秒可能就輸了
這就是設定保證頻寬的用意,可以提供較高品質的穩定連線




回覆
會員

引用:
作者: linux_xp
但像 skype 這類的 VoIP 服務,需要即時的反應速度
就和線上遊戲一樣,給予適當的保證頻寬值 (非0),連線會比較穩定
Coyote要如何設定Skype的QoS呢?Skype Outgoing的Port都是不固定的,而且常常就是用80 Port. 有辦法用l7-filter去把Skype的QoS提高嗎?
回覆
Kree

引用:
作者: chaunun
Coyote要如何設定Skype的QoS呢?Skype Outgoing的Port都是不固定的,而且常常就是用80 Port. 有辦法用l7-filter去把Skype的QoS提高嗎?
這就是 Coyote 的優點,它內建 l7-filter ,無須重新編譯核心。

一般的 Linux distro 發行版,並沒有內建 l7-filter,需重新編譯核心才能使用,對非 Linux 系統熟手來說,會有一定程度的困難。而 Coyote 由於是內建的,可直接使用。

說明:
-----------------------------------------------------------
l7-filter :Layer-7 Filter (OSI 模型第七層,過濾器)

國際標準組織 ISO ,於十幾年前提出的網路標準 OSI 模型
是網路設備的基本參考模型
其模型總共有七層,第七層是軟體應用層 (Application)

一般防火牆或路由器,只能過濾到第三層 Network 層
Network 層屬於 TCP/IP,以及 Port...等等,比較低層次的協定
所以無法管制 port 不固定的服務 (Service)

唯有標榜具 Layer-7 Filter 性能的防火牆,才能過濾 P2P 之類的服務

l7-filter 是直接去分析封包的內容資料,和 port 無關
但如果封包是加密過的,則無法分析

ISP 對於P2P 限速的手法,亦是使用了 l7-filter 技術
所以要破解 ISP 的 P2P 限速,可朝封包加密發展 (題外話)...

--------------------------------------------------------------

FW 過濾器,會依照封包的「標籤」,給封包歸「類別」

而封包原先是沒有「標籤」的
「標籤」是利用 iptables 檢測封包之後,貼上的

QoS 機制過程說明:
---------------------------------
1.當 iptables 抓到一個封包,判斷它的內容是屬於 skype 的封包,就給予貼上 10 這個「標籤」。

2.當 FW 過濾器,偵測到此封包上的「標籤」為10,就把這個封包丟到 10:10 這個「類別」。

3.qdisc 佇列規則,依據「類別」的頻寬定義,給予該封包頻寬管制。



利用 iptables 給 skype 封包,貼「標籤」之範例:
--------------------------------------------------------------
iptables -t mangle -A PREROUTING -m layer7 --l7proto skype -j mark --set-mark 10
( skype 上傳方向的封包,給予貼標籤 10 ,全區網性質)

iptables -t mangle -A POSTROUTING -m layer7 --l7proto skype -j mark --set-mark 10
( skype 下載方向的封包,給予貼標籤 10,全區網性質 )


iptables -t mangle -A PREROUTING -s 192.168.1.1 -m layer7 --l7proto skype -j mark --set-mark 10
( 專門針對某台電腦 IP )

iptables -t mangle -A POSTROUTING -d 192.168.1.1 -m layer7 --l7proto skype -j mark --set-mark 10
( 專門針對某台電腦 IP )

其它參數:
-s 192.168.1.0/24

針對的某個網段,可子網路切割,適用於企業辦公室環境


由於 FW 是靠 iptables 給封包貼「標籤」
來判斷封包屬於哪個「類別」

換句話說,只要 iptables 可以做到的過濾功能,通通可以使用
其種類變化多端
用於 QoS 基本型態有六種,但混搭起來可達數十種之多
若有興趣可參考 iptables 相關書籍

回覆
會員

linux_xp你好:
主機開機完
大家還是不能上網…= ="
skype、emule都能連線…
把防火牆配置都清掉還是沒辦法
用icop去開機就能連線…
"閘道 IP 設定是否正確,閘道 IP 就是 Coyote主機"
主機設定為192.168.2.1
所以閘道就是192.168.2.1嘛
那TCP/IP底下的慣用DNS伺服器是做什麼用的??
我用ICOP開機時,DNS也要設192.168.2.1才能上網
SKYPE和EMULE不管什麼情況都能連出去…= ="

我想說重做一次開機片
結果發現沒有我的網路卡型號耶…
我的網卡是3com 3C905C,選項中只有一個3C59x
我是用2.26版安裝的
過程中有一個DMZ是什麼用途呢??
回覆
Kree

引用:
作者: 史萊姆
linux_xp你好:
主機開機完
大家還是不能上網…= ="
skype、emule都能連線…
把防火牆配置都清掉還是沒辦法
用icop去開機就能連線…
"閘道 IP 設定是否正確,閘道 IP 就是 Coyote主機"
主機設定為192.168.2.1
所以閘道就是192.168.2.1嘛
那TCP/IP底下的慣用DNS伺服器是做什麼用的??
我用ICOP開機時,DNS也要設192.168.2.1才能上網
SKYPE和EMULE不管什麼情況都能連出去…= ="

我想說重做一次開機片
結果發現沒有我的網路卡型號耶…
我的網卡是3com 3C905C,選項中只有一個3C59x
我是用2.26版安裝的
過程中有一個DMZ是什麼用途呢??
1.那可能是 DNS 的問題吧

Client 端電腦,手動指定 IP 時,DNS 可以設兩組:

第一 DNS:設 Coyote 192.168.2.1
Coyote 有快取 DNS 的功能,可以加速域名解析

第二 DOS:設 ISP 的 DNS server
例如:
168.95.1.1 (HiNet)
61.64.127.1 (so-net)

-------------------------------------------
DNS (Domain Name Service)
域名解析服務
例如:
www.pczone.com.tw
轉換成 61.63.4.251 的這個服務就叫 DNS

在 TCP/IP 協定中,所有封包只認 IP
實際上打域名是不會通的,之所以會通,是因為有 DNS 的關係
而 DNS 若沒有指定,沒有機器負責轉換,當然就不會通了


2.
相近的試試看
有些網卡晶片,驅動是可以共用的
例如:DLink 530-TX,用 8139too.o 也通
3com 的我沒用過,不曉得....


DMZ ?
那可能是 2.26 版的新功能
我只裝到 2.24 而已,2.24 製作開機片時,並沒有 DMZ 選項...

DMZ 是「完全埠轉換」的意思
其英文全名直翻是「非軍事區」
指介於 Internet 戰場(易受網路攻擊),和後方安全區域網,中間的區域
常見於 IP 頻寬分享器

這樣講可能會很模糊
可以想像成是把內部一台使用 Private IP (私人IP) 的電腦
完全對應 Public IP (真實IP),使其曝露在 Internet 上
常用於內部電腦,當 server 的情況

例如:將 192.168.1.1 設為 DMZ
對外真實 Public IP 為 1.2.3.4
則 Internet 上,任何嘗試和 1.2.3.4 的連接
皆會指向內部那台 192.168.1.1的電腦

就好像把 1~65535 tcp/udp 的埠
一次全設定「埠轉換」到 192.168.1.1 的意思
而此時閘道防火牆(Coyote),是無法保護 192.168.1.1 這台電腦的

如沒需要,是不需要這樣設
因為 DMZ 這台電腦,會完全曝露在 Internet
若沒安裝防火牆,很容易被網路攻擊和入侵




回覆
會員

我終於找到原因了…= =
果然是DNS的問題,真是感謝
但用ICOP時卻不用加ISP的DNS到2個
所以我就找遍整個Coyote的選項

(我沒有裝過之前的版本,直接用2.26)
DNS 緩存 - 配置
允許 Coyote DNS 緩存?
緩存 DNS 可以提高網域名稱解析速度。 (推薦)

原來這個設定它預設是關的
打開之後就一切OK了
接下來終於可以把硬碟拿掉省電
不知道K6-2 166 + 64+64+32 RAM + 95W POWER的耗電量會是多少呢??
再來就是試Qos了

ps:之前用ICOP的時候就想用CF卡
當初買單插與主機板平行的
結果沒想到主機板有抓到,安裝過程也有抓到
但到了掃描磁碟時就卡住了…永遠的卡住,換卡也一樣
今天又去下標買了個外接式的,說有支援DMA,不知行不行用呢…

說的防火牆規則
# Firewall Access Configuration File
#
# This file contains entries in the following format:
# type active permit|deny protocol source[/mask] destination[/mask] port
#
# type = access # Control access THROUGH the Firewall <====這行和下面那行有什不同??
# type = admin # Control access TO the Firewall
# active = Y or N


access Y permit tcp int-net 192.168.2.86 8881:8999 #BT
access Y permit tcp int-net 192.168.2.86 4662 #eMule
access Y permit udp int-net 192.168.2.86 4672 #eMule

埠轉換的規則
# Port Forwarding Configuration File
#
# This file contains entries in the following formats:
# auto active protocol port desination [dns]
# port active destination [internet_ip] [protocol [port1 [port2]]] [dns]
#
# active = Y or N
#
auto Y tcp 8881:8999 192.168.2.86 #BT
port Y 192.168.2.86 tcp 4662 4662 #eMule
port Y 192.168.2.86 udp 4672 4672 #eMule

結果我重新載入防火牆後…
Configuring firewall rules...
Firewall rule line# 11 - source address error
Firewall rule line# 12 - source address error
Firewall rule line# 13 - source address error
Configuring custom firewall rules...
Configuring port forwarding for internal hosts...
Running Line UP Scripts...

哪做錯了嗎??

(剛才發現一件事…,註冊這麼久了,發言才15篇…)
回覆
Kree

引用:
作者: 史萊姆
不知道K6-2 166 + 64+64+32 RAM + 95W POWER的耗電量會是多少呢??
這個說不準的,要用儀器去測才知道
估計約在 30~50W 左右

可以拔掉兩支 RAM,留一支就好了,多少可以節省一點點電費

根據我使用幾個月的心得,RAM 使用率不曾超過 20MB
不過這和連接數也有關聯,連接數如果愈多,需要愈多 RAM
但不會很多就是了,32MB 應該就很夠用了

引用:
ps:之前用ICOP的時候就想用CF卡
當初買單插與主機板平行的
結果沒想到主機板有抓到,安裝過程也有抓到
但到了掃描磁碟時就卡住了…永遠的卡住,換卡也一樣
今天又去下標買了個外接式的,說有支援DMA,不知行不行用呢…
我是用「雙面」「插排線型」
在Y拍買 150元,確定可以用

「單面」的我也有買,可能是技術比較舊,經測試有相容性問題
插上 256MB CF 卡,抓不到

建議使用「雙面」的,技術比較新,相容性較好
雖然雙面只插一片有點浪費,但其實和單面的價差約只有 50元


引用:
說的防火牆規則
# type = access # Control access THROUGH the Firewall <====這行和下面那行有什不同??
# type = admin # Control access TO the Firewall
# active = Y or N
access Y permit tcp int-net 192.168.2.86 8881:8999 #BT
access Y permit tcp int-net 192.168.2.86 4662 #eMule
access Y permit udp int-net 192.168.2.86 4672 #eMule

埠轉換的規則
auto Y tcp 8881:8999 192.168.2.86 #BT
port Y 192.168.2.86 tcp 4662 4662 #eMule
port Y 192.168.2.86 udp 4672 4672 #eMule

結果我重新載入防火牆後…
Configuring firewall rules...
Firewall rule line# 11 - source address error
Firewall rule line# 12 - source address error
Firewall rule line# 13 - source address error
Configuring custom firewall rules...
Configuring port forwarding for internal hosts...
Running Line UP Scripts...
如果是在「訪問」裡頭新增的規則,就會標示 access
在「管理」裡頭新增的規則,則標示 admin

這個是 Coyote 自己創造的一種規格,並不是標準的 iptable 語法

感覺 access 和 admin 並沒有差別,只是方便識別
讓管理人員,可以從表格中
依照 access 或 admin,來判斷此條規則的用途

「訪問」:外部 to 內部,連入連線
「管理」:內部 to 外部,連出連線

閘道防火牆,可以進行 [雙向] 的管制

藉由限制外部 Internet 「訪問」內部電腦
來達到保護內部電腦的效果,避免被攻擊或入侵

另外有時老闆會要求不准員工上班使用 MSN .....之類的
或是父母不准小孩玩線上遊戲....之類的
就可藉由管制「內部 to 外部」的通訊,來達到此目的
這個就叫「管理」

但實際上,不管是用 access 或 admin,都可以做到完整的規則
所以那個可能只是好看的,方便管理人員識別而已

---------------------------------------------------

Firewall rule line# 11 - source address error
這是說防火牆規則 第11行,偵測到語法錯誤:來源位址錯誤

估計應該是在「編輯自定義防火牆」裡頭
不是上面列的這些
回覆
會員

l我原本的防火牆規則
1 # Firewall Access Configuration File
2 #
3 # This file contains entries in the following format:
4 # type active permit|deny protocol source[/mask] destination[/mask] port
5 #
6 # type = access # Control access THROUGH the Firewall
7 # type = admin # Control access TO the Firewall
8 # active = Y or N
9
10
11 access Y permit tcp int-net 192.168.2.86 8881:8999 #BT
12 access Y permit tcp int-net 192.168.2.86 4662 #eMule
13 access Y permit udp int-net 192.168.2.86 4672 #eMule

重新載入防火牆後…
Configuring firewall rules...
Firewall rule line# 11 - source address error
Firewall rule line# 12 - source address error
Firewall rule line# 13 - source address error
Configuring custom firewall rules...
Configuring port forwarding for internal hosts...
Running Line UP Scripts...

好像就是上面那個的問題耶…

若改成
1 # Firewall Access Configuration File
2 #
3 # This file contains entries in the following format:
4 # type active permit|deny protocol source[/mask] destination[/mask] port
5 #
6 # type = access # Control access THROUGH the Firewall
7 # type = admin # Control access TO the Firewall
8 # active = Y or N
9
10 access Y permit tcp int-if 192.168.2.86 8881:8999 #BT
11 access Y permit tcp int-if 192.168.2.86 4662 #eMule
12 access Y permit udp int-net 192.168.2.86 4672 #eMule <====這行我故意不改

就會變成
Configuring firewall rules...
Firewall rule line# 12 - source address error
Configuring custom firewall rules...
Configuring port forwarding for internal hosts...
Running Line UP Scripts...

前面的數字是在這邊才加上的
(int-net)internet與(int-if)internet interface有什麼不同呢??
為什麼改了就沒有錯誤訊息…= ="

我若在埠轉換的部份設定好
BT與eMule(高ID與Kad)就都可以連線了
防火牆規則有寫跟沒寫是一樣的…
還是說我沒有封全部,所以等於是全開放…??

剛剛發現了一張IBM的MD(340MB)
裝上那個轉卡居然能動…
看來真的相容性有問題…
回覆
Kree

引用:
作者: 史萊姆
l

前面的數字是在這邊才加上的
(int-net)internet與(int-if)internet interface有什麼不同呢??
為什麼改了就沒有錯誤訊息…= ="

我若在埠轉換的部份設定好
BT與eMule(高ID與Kad)就都可以連線了
防火牆規則有寫跟沒寫是一樣的…
還是說我沒有封全部,所以等於是全開放…??
建議防火牆部份,先用 web 介面去設
由於 web 介面只是滑鼠勾選,無關語法,會比較正確

先用 web 介面去設定後,系統會自動寫入 script
到時再來改,可以有個語法的參考依據


Coyote 的防火牆,預設是全部開放
正確的說,是完全沒有規則
在這種情況下,iptables 不會阻擋任何連線

較嚴謹的防火牆,有一個通則:封鎖全部,開放特定

因此最後一條規則,要加入 deny all 通訊協定
這樣對 Coyote 系統本身,和內部電腦來說會比較安全
雖說 Coyote 系統非常精簡,對外服務就只有 SSH
但多加一層保護,有備無患,以免有未知漏洞或木馬開後門

由於內部電腦是靠 NAT 與外面連線
內部電腦使用的是 Private IP
Internet 上是無法對 Private IP 的電腦進行攻擊的
NAT 可以保護內部電腦,不受外部網路的攻擊 (在沒有埠轉換的情況下)

所以 Coyote 的防火牆,預設才會採用完全開放
主要是避免如果使用者不懂防火牆工作原理,會導致無法連線


回覆
會員

引用:
作者: linux_xp
建議防火牆部份,先用 web 介面去設
由於 web 介面只是滑鼠勾選,無關語法,會比較正確

先用 web 介面去設定後,系統會自動寫入 script
到時再來改,可以有個語法的參考依據
我就是用web去設定的
結果還是一樣…= ="

引用:
作者: linux_xp
Coyote 的防火牆,預設是全部開放
正確的說,是完全沒有規則
在這種情況下,iptables 不會阻擋任何連線

較嚴謹的防火牆,有一個通則:封鎖全部,開放特定

因此最後一條規則,要加入 deny all 通訊協定
這樣對 Coyote 系統本身,和內部電腦來說會比較安全
雖說 Coyote 系統非常精簡,對外服務就只有 SSH
但多加一層保護,有備無患,以免有未知漏洞或木馬開後門
所以說如果最後一條規則加入 deny all 通訊協定
那就表示說必須要把各電腦中所需的port與協定都加入規則之中囉
這樣不就會有一大長串了嗎…


幾天下來問了一堆問題
真是麻煩你了,謝謝
(Qos都還沒開始實做…= =)





回覆
主題工具


類似的主題
主題 主題作者 討論版 回覆 最後發表
【教學】進入 AR4031B 設定教學 (2張圖解一次明瞭) ㄚ偉 ---- ADSL 軟 硬 體 技 術 36 2009-01-28 10:51 AM
登峰造極Kaspersky IntelnetSecurity 7 設定教學 ㄚ一 -- 防 駭 / 防 毒 版 7 2007-09-14 12:19 AM
【教學】Coyote/IPCOP 教學文件 threesecond -- 網 路 硬 體 版 6 2007-01-01 09:47 AM
【教學】Coyote/IPCOP 教學文件 threesecond -- 網 路 硬 體 版 0 2006-01-05 05:52 PM
【推薦】講 Linux QoS 的第一本繁體中文書 linux_xp ---- PCZONE 讀 書 會 3 2005-06-06 10:00 AM






 XML   RSS 2.0   RSS 
本站使用 vBulletin 合法版權程式
站務信箱 : www@pczone.com.tw

本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :www@pczone.com.tw 處理。