Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest sobota, 16 listopada 2024, 07:35

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 6 ] 
Autor Wiadomość
Post: czwartek, 18 marca 2010, 18:59 
Offline
Użytkownik

Rejestracja: niedziela, 23 września 2007, 14:35
Posty: 477
Właśnie zauważyłem, że user ściąga mi dane z prędkością 70KB/s, a ja pobieram plik exe (niebieski pasek postępu a więc clamav-dansguardian skanuje). Jak ściągnie to wystawia komunikat scanned i wystawia link z plikiem do pobrania.

Po pierwsze mam wrażenie, że że plik ściągany jest 2 razy (najpierw przez dansguardiana później przez usera) i zastanawiam się czy tak być powinno (plik z drugiego linku moim zdaniem powinien ściągnąć się błyskawicznie z keszu squida, dobrze myślę?).

Druga sprawa - zdaje się, że niceshaper stracił swoje właściwości - user ściąga mi dane z prędkością 70KB/s, a ja (clamav) pobiera w tym czasie plik z prędkością 13KB/s.

Maszyna z dansguardianem nie jest ujęta w pliku users niceshapera. Muszę się temu przyjrzeć bliżej.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 18 marca 2010, 19:26 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Raczej odpowiednio powinieneś użyć opcji "do not shape local" no i ja bym maszynie z dansguardianem dał dużo więcej niż innym. Jeśłi np user 1 ściąga pocztę z dużym załącznikiem, user 2 ściaga plik z ftp a userzy 3,4,5 oglądają strony, a każdy komp w sieci ma takie samo dynamicznie przydzielane pasmo, to ci korzystający z dansguardiana dostaną razem 1/3 zamiast każdy 1/5 czyli 3/5.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 19 marca 2010, 00:13 
Offline
Użytkownik

Rejestracja: niedziela, 23 września 2007, 14:35
Posty: 477
Maciek pisze:
Raczej odpowiednio powinieneś użyć opcji "do not shape local" no i ja bym maszynie z dansguardianem dał dużo więcej niż innym. Jeśłi np user 1 ściąga pocztę z dużym załącznikiem, user 2 ściaga plik z ftp a userzy 3,4,5 oglądają strony, a każdy komp w sieci ma takie samo dynamicznie przydzielane pasmo, to ci korzystający z dansguardiana dostaną razem 1/3 zamiast każdy 1/5 czyli 3/5.

Logistycznie najlepszym rozwiązaniem byłby brak limitu dla hosta z dansguardianem (zapewne linia do not shape local 192.168.0.2 with 192.168.0.0/24 w config albo być może brak wpisu dla hosta w users - choć nie pamiętam jak to było przy braku wpisów czy nie bierze wtedy hosta pod uwagę (brak limitu), czy przydziela mu domyślny transfer wg chwilowych możliwości sieci) a limitować tylko transfery hostów użytkowników. Pytanie tylko czy niceshaper na maszynie A ma szanse interpretować "transfer użytkownika" jako ruch pomiędzy hostem a dansguardianem na maszynie B? Czy też (gorsza opcja) nie będzie w ogóle "widział" tego transferu pomiędzy hostem a dansguardianem (maszyną B), a będzie w stanie zobaczyć co najwyżej transfer pomiędzy dansguardianem (sumaryczny transfer użytkowników) a routerem (maszyną A)?

Teoretycznie ruch odbywa się na drodze host -> router (maszyna A) -> dansguardian (maszyna B) -> router (maszyna A) -> NET. Więc teoretycznie niceshaper powinien mieć możliwość wyłapania ruchu już na etapie host -> router (maszyna A) i na tej podstawie dzielić pasmo. Wówczas odpadłyby wszelkie problemy. Pytanie - czy jest to możliwe w taki sposób. Ale tu to już zapewne twórca samego niceshapera musiałby się wypowiedzieć (?) Choć z drugiej strony... on przecież nie limituje pasma wewnątrz sieci, a tylko ruch do i z internetu... i tu jest potencjalny problem. Musiałoby się to dziać trochę inaczej. Niceshaper musiałby "postrzegać" za pasmo użytkownika zarówno "zewnętrzny" ruch host -> internet, jak i "wewnętrzny" ruch host -> dansguardian. Innymi słowy ruch host -> dansguardian musiałby przestać być interpretowany jako nielimitowany (do not shape local) ruch "wewnętrzny" i zacząć być traktowany na takich samych zasadach jak ruch "zewnętrzny". Ciekawe czy jest szansa na wdrożenie takiego triku. To już pewnie też pytanie / sugestia dobre dla... samego twórcy Niceshaper-a...

PS. Czy powinienem dodać czerwoną linijkę?

Cytuj:
<global>
iface inet eth0 79.187.xx.yyy/29
iface local eth1 192.168.0.1/24
do not shape local 79.187.84.194 with 192.168.0.0/24
do not shape local 192.168.0.1 with 192.168.0.0/24
do not shape local 192.168.0.2 with 192.168.0.0/24
shape router true low 2kbps ceil 30kbps prio 2
stats unit kbps dump 10c file /var/www/nsstats.txt
resolve hostname false
method mark
reload 5s
</global>


Czy też może linia do not shape local 192.168.0.1 with 192.168.0.0/24 załatwia sprawę całej podsieci 192.168.0.x?


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 19 marca 2010, 00:46 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Generalnie, to oczywiście router może chcieć kontrolować ruch pomiędzy hostami, ale czy one go będą słuchać, to nie byłbym taki pewny. Ta dodatkowa linijka nie jest potrzebna.
Problem jest w czym innym. Shapery zwykle tną łącze aby zapewnić równy dostęp użytkownikom. W twoim przypadku 192.168.0.2 nie może mieć równego dostępu. Wydaje się, ze należałoby mu dać specjalne uprawnienia. Zagospodaruj plik users tak, aby wszystkie pozostałe hosty miały bez dansguardiana najwyżej połowę wartości łącza, daj niewielką wartość parametru low, a dla hosta z dansguardianem przeznacz całe łącze oraz low na połowę wartości.
To takie moje teoretyczne wymysły. Tego niestety nie da się przećwiczyć na Virtualboxie.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 19 marca 2010, 01:21 
Offline
Użytkownik

Rejestracja: niedziela, 23 września 2007, 14:35
Posty: 477
PS. Tak na dobrą sprawę "problem" niceshaper+proxy dotyczy zarówno sytuacji gdzie proxy jest na tej samej maszynie jak i sytuacji w której zrealizowany jest na oddzielnej maszynie. Popraw, jeśli się mylę.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 19 marca 2010, 02:25 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Niezupełnie. Dyrektywa do not shape local zapewnia szybkie działanie proxy na routerze. Tak przynajmniej powinno to działać i do tego zostało skonstruowane.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 6 ] 

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 0 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl