【教學】Coyote Linux 頻寬管制 (QoS) 設定教學

[linux_xp]

我就是用web去設定的
結果還是一樣…= ="


所以說如果最後一條規則加入 deny all 通訊協定
那就表示說必須要把各電腦中所需的port與協定都加入規則之中囉
這樣不就會有一大長串了嗎…


幾天下來問了一堆問題
真是麻煩你了，謝謝
（Qos都還沒開始實做…= =）

建議可以改用 2.24 版看看，至少我用 2.24版是沒問題的

2.24版 是美商 Coyote Linux 推出的官方版

2.25~之後的版本，是巴西民間組織接手後，推出的版本
我記得他們網頁，在版本後面，有寫 beta (測試)這個字樣
換言之，那個並不是 stable 穩定版本，仍在開發和除錯中

HD Install 工具磁片，是通用的，2.xx 版本皆適用

--------------------------------------------------

一般觀念中，防火牆是用來保護內部電腦

但實際上，防火牆是「雙向」的，可分成兩個方向

「外部 to 內部」：防止外面小偷駭客入侵
「內部 to 外部」：防止內賊木馬偷傳資料出去

外部：WAN，Internet，網際網路
內部：LAN，區域網路


除非是極其嚴謹的網管政策
例如：
有些涉及開發的企業，基於商業機密，網管上會有非常嚴格之政策
只准上 http，其餘通通封鎖，甚至 web-ftp 之類的都必須管制
以防員工以任何手段，偷傳商業機密出去
這種情況下，就會用到「內部 to 外部」的管制

但一般家庭使用，並不會做到如此神經兮兮的地步
通常家庭用
對「內部 to 外部」的方向，是不會進行管制的
只會管制「外部 to 內部」


而「外部 to 內部」，即是所謂的 service 服務
例如：
內部有一台 web server，監聽 port 80
當外部網路，有人嘗試以 port 80 進行連線時
此時閘道防火牆的埠轉換，會引導至正確的內部電腦

「外部 to 內部」，有多少 service
這是可以預期且固定的，數目並不會太多

所謂最後一條規則，deny all
是指： 來源於 Internet ，目標在 Local Netwok
也就是 「外部 to 內部」
泛指來自 Internet，不請自來的連線要求，加以管制


暴露於 Internet 的電腦，每分每秒都會受到埠掃瞄
這是駭客攻擊手法的第一步：資料列舉
先掃描出目標電腦，有開放哪些 port，再決定攻擊方法

此時電腦若沒有監聽該 port
會回應給一個封包，說此 port 沒有開放，或者權限不足，有一個代碼
這是沒有防火牆保護的情況
除了遲早會被找出漏洞之外
回應封包，也會吃頻寬，有可能會被 DDoS 攻擊導致服務癱瘓

而有防火牆保護的話，被阻擋的封包，可給予 drop (丟棄)
drop 為直接丟棄封包，不給予任何回應
攻擊方會收到"連線逾時"的回覆
有兩種情況會連線逾時：
1.目標電腦不存在或未開機
2.目標電腦有防火牆保護
不管是哪一種，這意味著要入侵此台電腦是有困難的，駭客就會放棄

[chaunun]

感謝 linux_xp 大大指導用l7-filter去做QoS的方法~ 讓我又學到很多~
另外我想請教一下，Coyote是不是一定只能用NAT Mode？要做Bridge Mode的話要自己重Build Kernel？
我在想那一天如果可以用iptable做出多WAN, L7 QoS, 又支援Bridge Mode, 那目前市場那些設備就大為失色了~
可惜2版的Coyote已停止發開....

[史萊姆]

建議可以改用 2.24 版看看，至少我用 2.24版是沒問題的

2.24版 是美商 Coyote Linux 推出的官方版

2.25~之後的版本，是巴西民間組織接手後，推出的版本
我記得他們網頁，在版本後面，有寫 beta (測試)這個字樣
換言之，那個並不是 stable 穩定版本，仍在開發和除錯中

HD Install 工具磁片，是通用的，2.xx 版本皆適用

我剛試了2.24版
情況還是一樣…= ="
但我發現在2.24版的編輯配置檔埵閉搢
int-if = internet interface (eth1)
int-net = internet p.........
我選下面的就會錯
選上面的就不會有錯誤訊息

請問這個功能是做什麼用的??
允許 LAN 使用外部 IP ？ (推薦)
允許內部用戶使用外部 IP 或網域名稱訪問該服務。
該選項不會產生任何附加的風險。

我用我的電腦測試連ftp主機
打開就連的上，關掉就連不上了
不過經過測試關了外面還是連的進來


關於QOS的部份：
iptables 設定方面： (高級防火牆配置 - 編輯自訂防火牆規則)
iptables -t mangle -A PREROUTING -s 192.168.2.86 -j MARK --set-mark 30
這堛撤ARK好像要用大寫，我本來copy過來是小寫，結果一堆錯誤
後來看到上面有範例是大寫，所以改成大寫就好了，好像跟你的不太一樣

tc 指令部份： (編輯任意檔：/etc/rc.d/rc.local )
這個部份完成後存檔重開機就會自動載入然後就是算是開始運作了嗎??
還是說要在QOS頻寬管制再打開什麼之類的呢??
謝謝

[linux_xp]

我剛試了2.24版
情況還是一樣…= ="
但我發現在2.24版的編輯配置檔埵閉搢
int-if = internet interface (eth1)
int-net = internet p.........
我選下面的就會錯
選上面的就不會有錯誤訊息

請參考第一篇的：補充 02

(2005/11/03 修改)

請問這個功能是做什麼用的??
允許 LAN 使用外部 IP ？ (推薦)
允許內部用戶使用外部 IP 或網域名稱訪問該服務。
該選項不會產生任何附加的風險。

我用我的電腦測試連ftp主機
打開就連的上，關掉就連不上了
不過經過測試關了外面還是連的進來

這是讓內部網路，可以直接用網址，連上內部網路中的 server
此技術牽涉到 DNS 解析
有一個專業術語，好像是 loop 什麼的，忘記了

假設註冊的網址是 http://www.xxx.com.tw

有些網路設備，或者 IP 分享器
在內部電腦中，直接打網址 http://www.xxx.com.tw
會無法連線，必須打 Private IP 才有辦法連
是因為缺少這個功能的原因
而 Coyote 有內建這個功能，不過要啟用才會生效

關於QOS的部份：
iptables 設定方面： (高級防火牆配置 - 編輯自訂防火牆規則)
iptables -t mangle -A PREROUTING -s 192.168.2.86 -j MARK --set-mark 30
這堛撤ARK好像要用大寫，我本來copy過來是小寫，結果一堆錯誤
後來看到上面有範例是大寫，所以改成大寫就好了，好像跟你的不太一樣

好眼力，的確是大寫 MARK

前面是筆誤，已更正

tc 指令部份： (編輯任意檔：/etc/rc.d/rc.local )
這個部份完成後存檔重開機就會自動載入然後就是算是開始運作了嗎??
還是說要在QOS頻寬管制再打開什麼之類的呢??
謝謝

/etc/rc.d/rc.local
這個檔，在 Linux 作業系統中的用途
有點類似 DOS 下的 Autoexec.bat 自動執行批次檔
或者 windows 下的 [啟動]

是一開機就執行的

但有時可能小部份修改後，不想重開機，想讓它直接生效
可以直接去執行那個檔
該檔的權限為 755，是可執行檔，打 /etc/rc.d/rc.local 就會執行


如果都設定正確，QoS 是一開機就運作的

[史萊姆]

linux_xp

感謝你的詳細說明與指導
目前已經可以正常運作了
（先用excel來做前置作業真的讓接下來的工作更輕鬆）
接下來就是再做細部的設定
若還有問題再向你請教
謝謝

Coyote的那個讓硬碟休息的程式是會關掉硬碟
然後要用的時候才開啟嗎??
所以沒事的話是不會用到硬碟或cf囉
那我用ibm的microdrive也沒有關係嗎??

[linux_xp]

linux_xp

感謝你的詳細說明與指導
目前已經可以正常運作了
（先用excel來做前置作業真的讓接下來的工作更輕鬆）
接下來就是再做細部的設定
若還有問題再向你請教
謝謝

Coyote的那個讓硬碟休息的程式是會關掉硬碟
然後要用的時候才開啟嗎??
所以沒事的話是不會用到硬碟或cf囉
那我用ibm的microdrive也沒有關係嗎??

太客氣了，這麼好的東西當然要分享了

網路上，每個人的電腦程度不一定都相同
從回覆中，也可以看到推廣時會遇到什麼問題
好方便製作 FAQ 或補充說明，讓更多人可以使用


那個硬碟休息程式，根據該 Add-ones 作者的說法
當硬碟沒有使用超過1分鐘，會讓硬碟進入低耗電的休眠狀態
而當需要讀寫硬碟時，會再次啟動硬碟到正常工作模式
類似 windows 裡面也有的電源管理

具體的來說
硬碟是一種機械裝置，其上有馬達讓碟片保持一定轉速
馬達是硬碟裡面最耗電的元件
而硬碟休眠程式，是在硬碟閒置時，讓馬達停止運轉，以達到省電
但電路板和其上的晶片仍保持在低耗電工作模式，以便隨時接收系統指令


我是用CF卡的，感覺不到差異
CF卡是快閃記憶體，無須通電保持資料，平常無使用時本身就不秏電的
用硬碟的話，應該會感覺到差異

[rushoun]

我也推薦用CF卡，雖然我是使用FREESCO的系統，但是省卻磁碟有可能損壞的問題，
而且開機快速。

[史萊姆]

我想再請問
它可以做到時間限制嗎??
例如說我的ftp開放時間之類的…
謝謝

[pavo]

BrazilFW 2.26 似乎有這功能了

目前正再翻譯成 正體中文

其中在
Added 05-15-2005
有新增加 關於 排程
等我翻譯好在試試吧,還沒翻譯好 不想見到一堆英文
而且我是把他載入到 CF 卡中 所以想先翻譯完成在一次在做一次
伺服機才停機重開

等翻譯好 在放上來請大家幫忙

[linux_xp]

關於 Coyote 設定中的：
----------------------------------
int-if 和 int-net 的差別
Admin (管理) 和 Access (訪問) 的差別

前面小弟的回覆有誤

在由列出 iptables 明細，詳細比對之後，有新的結論
請參考第一篇的補充

--------------------------------------

新增：補充 02

淺談 Coyote 防火牆之工作原理
(從底層 iptables 的角度來看)