Настройка Linux роутера для домашней сети

[budda]

Здравствуйте,

есть небольшая домашняя сеть + подсоединены несколько соседей итого 10 чел
интернет берем через adsl модем - 4 Bbit
есть роутер селерон 1000, 256 озу, 40ка винт, Alt-linux office server на борту

хочу настроить грамотно раздачу интернета, но столкнулся с рядом трудностей...

сначала хотел просто настроить SQUID (прозрачный), но поскольку сеть домашняя, то возникла проблема с пиринговыми сетями
я так понимаю, что нужно закрыть все порты, а 80 перенаправить с помощью iptables на 3128, а в торент клиентах вместо диапазона портов четко указать 3128?
в связи с этим возникло несколько вопросов:
- сможет ли пользователь качающий торент нормально серфить в сети?
- будет ли весь виндоус софт нормально работать через прозрачный прокси?
- насколько комфортна будет работа (задержки), особенно вечером при полной загрузке канала?

после начала изучения документации по iptables и iproute2 понял, что проблема довольно сложная
кроме разделения канала, нужно:
1. настроить NAT (с этим уже разобрался)
2. еще правильно разделить трафик по приоритетам с помощью iproute2 т.е в первую очередь пускать пакеты с DNS, открывающие и закрывающие tcp соединения, потом http, а затем уже фтп и пиринг
3. настроить шейпер htb (желательно,что б он делил канал динамически в зависимости от подключенных пользователей: т.е. сидит 1 чел. - канал весь его, 2 чел, канал делиться пополам, но при этом не по кол-ву сессий, а по ip, потому что пользователь может поставить на закачку торент и при этом еще серфить)
4. настроить авторизацию и самый простой учет трафика


подскажите пожалуйста в каком порядке нужно выполнять все эти мероприятия?

боюсь, что не осилю :(
знакомый высказал мнение, что все что я хочу может сделать только профессиональный сисадмин...

[alternativshik]

ИМею похожую проблему. Очень охота услышать мнение народа по этому поводу. А знакомый загнул=) Было бы желание=)

[DaemonTux]

squid не работает с p2p.

[Kataklysm]

Для домашних сетей наилучший вариант, это связка stargazer+squid.
Где:
Squid -прозрачный прокси
Stargazer-биллинг.
На клиенские машины ставиться клиент stargazer'а.

[budda]

Для домашних сетей наилучший вариант, это связка stargazer+squid.
Где:
Squid -прозрачный прокси
Stargazer-биллинг.
На клиенские машины ставиться клиент stargazer'а.

проблема не сквид поставить и настроить. а с пиринговыми сетями, они канал забивавют, причем в обоих направлениях!

[DaemonTux]

а с пиринговыми сетями, они канал уничтожают, причем в обоих направлениях!

Что значит уничтожуют?

[Xandry]

У меня всё это нормально работало с такой маленькой программулиной как 3proxy. Работу с пиринговыми сетями эту штучку не проверял.

[onewin]

Что значит уничтожуют?

Забивают канал полностью. Скорость нада шейпить....

[BaZilio]

По поводу пиринговых сетей для удобства проброса портов можно попробовать Upnp.

[DaemonTux]

По поводу пиринговых сетей для удобства проброса портов можно попробовать Upnp.

А есть ссылка на какуюнибуть статью по настройке?

Извеняюсь уже нарыл.
http://gentoo-wiki.com/HOWTO_Setup_UPnP_with_IPTables

[Данил]

Проще может купить аппаратный рутер?
И с настройкой в разы проще.

[budda]

Проще может купить аппаратный рутер?
И с настройкой в разы проще.

а что аппаратные теперь умеют канал делить качественно с приоритетеми и работать в том числе и с пиринговыми сетями?
прошу заметить - 10 чел это уже не 2-3, тем более что дом, все постоянно что то тянут...
я понял, что другого решения не может быть - только как сесть и постепенно во всем разобраться

[nacmyx]

Чем не угодили пулы в сквиде?

[Данил]

Проще может купить аппаратный рутер?
И с настройкой в разы проще.

а что аппаратные теперь умеют канал делить качественно с приоритетеми и работать в том числе и с пиринговыми сетями?
прошу заметить - 10 чел это уже не 2-3, тем более что дом, все постоянно что то тянут...
я понял, что другого решения не может быть - только как сесть и постепенно во всем разобраться

Посмори на dlink.ru там фсякие есть

И домашние и коммерческие, которые умеют всё, но ессно уже по другой цене.

[budda]

Чем не угодили пулы в сквиде?

уважаемый ну причем тут пулы? тут уже все выяснили, что сквид работает только с http

[nacmyx]

С пулами погорячился - факт. Пардон, замечтался..... увидел что п2п канал уничтожают и рубанул прям...

[hellriser]

А чем тебе не подходит CBQ . Я им режу скорость. Главное убавляй аплоад юзерам и всё будет чики - пики

[budda]

я с этим и разбираюсь только в cbq синтаксис сложноватый я склонен к htb

[hellriser]

Очень дазе лёгкий, могу на майл скинуть пример.

[uaradio]

а можешь мне кинуть пример настройки CBQ или помочь. Не могу настроить чтоб резало исходящий трафик.Или рассказать почему у меня шейпер пишет Starting CBQ : No such file or directory shaper .

[Djon$]

а можешь мне кинуть пример настройки CBQ или помочь. Не могу настроить чтоб резало исходящий трафик.Или рассказать почему у меня шейпер пишет Starting CBQ : No such file or directory shaper .

ну что, как успехи ?..
Кста зачем тебе CBQ если есть HTB он намного просче в принципе, хотя сам толком не разобрался с написание правил, но небольшой шейпер сваял, на 15 машин пока что, ну и в добавок крутится непрозрачный прокси с пулами, как-бы всё нормально пахает, шейпер режет пиринговые сети ну а прокся занимается чисто ВЕБ запросами.
Если есть у кого варианты реализации получше то как говорится примеры в студию. Меня также интересует ПРИОРИТЕТЫ траффика, обязательно прокидывать пинг, ДНС ну ACK пакеты в самый большой приоритет ?

[vtur]

а можешь мне кинуть пример настройки CBQ или помочь. Не могу настроить чтоб резало исходящий трафик.Или рассказать почему у меня шейпер пишет Starting CBQ : No such file or directory shaper .

ну что, как успехи ?..
Кста зачем тебе CBQ если есть HTB он намного просче в принципе, хотя сам толком не разобрался с написание правил, но небольшой шейпер сваял, на 15 машин пока что, ну и в добавок крутится непрозрачный прокси с пулами, как-бы всё нормально пахает, шейпер режет пиринговые сети ну а прокся занимается чисто ВЕБ запросами.
Если есть у кого варианты реализации получше то как говорится примеры в студию. Меня также интересует ПРИОРИТЕТЫ траффика, обязательно прокидывать пинг, ДНС ну ACK пакеты в самый большой приоритет ?

Рабочими конфигами htb можешь поделиться?

[Djon$]

а можешь мне кинуть пример настройки CBQ или помочь. Не могу настроить чтоб резало исходящий трафик.Или рассказать почему у меня шейпер пишет Starting CBQ : No such file or directory shaper .

ну что, как успехи ?..
Кста зачем тебе CBQ если есть HTB он намного просче в принципе, хотя сам толком не разобрался с написание правил, но небольшой шейпер сваял, на 15 машин пока что, ну и в добавок крутится непрозрачный прокси с пулами, как-бы всё нормально пахает, шейпер режет пиринговые сети ну а прокся занимается чисто ВЕБ запросами.
Если есть у кого варианты реализации получше то как говорится примеры в студию. Меня также интересует ПРИОРИТЕТЫ траффика, обязательно прокидывать пинг, ДНС ну ACK пакеты в самый большой приоритет ?

Рабочими конфигами htb можешь поделиться?

Могу канечно, я до этого создавал топик на обсуждение моих конфигов, то поётрли в течении получаса , незнаю почему правда, и админ промолчал насчёт этого, хоть-бы предупреждение дал. Чуток позже выложу конфиги.

[Djon$]

Рабочими конфигами htb можешь поделиться?

ну вот у меня такая организация шейпера (файлы прилагаются).
А если чесно то делал по пример вот отсюда

Код: Выделить всё

http://sudouser.com/nastrojka-ogranicheniya-i-raspredeleniya-kanala-htb-shaper.html

[danger08]

Попробуйте по http://www.opennet.ru/docs/RUS/LARTC/x2755.html
Там HTB, можно делать шейпинг и приоритезацию трафика (вас шейпинг интересует в первую очередь, как я понимаю).

Достаточно все просто расписано. Например, можете создать набор дисциплин, для каждого пользователя набором правил через iptables маркировать пакеты, раскидывая определенный трафик пользователей по определенным цепочкам.

[invictius]

Парни, такая проблема, вроде бы о настройке роутеров говорим, так вот, есть старгазер и есть безлимитные тарифы, все сделано по мануалю)) Все делится на ура.. Проблема в том, что когда я ставлю прозрачный прокси SQUID и делаю в OnConnect перенаправление на порт сквида... Старгазер просто игнорирует мой шейпер...

Порт сквида 3331

Код:

... iptables -t nat -A PREROUTING -p tcp -s $2 -i eth0 --dport 80 -j REDIRECT --to-ports 3331 #вот шейпер echo "C `date +%Y.%m.%d-%H.%M.%S`$1 $2 $3 $4 $5" >> /var/stargazer/users/$LOGIN/log default_speed=100000kbit # =========== shaping by tariff =========== tariff=$(grep -i "^tariff=" /var/stargazer/users/$1/conf | cut -f 2 -d"=") echo "tariff=$tariff" > /var/stargazer/users/$1/connect.log case $tariff in Un_064) speedkb=80kbit;; #64 kbit +20% 80 Un_160) speedkb=200kbit;; #160 kbit +20% 200 Un_256) speedkb=200kbit;; #256 Kbit +20% 307 Un_320) speedkb=384kbit;; #320 kbit +20% 384 Un_512) speedkb=490kbit;; #512 kbit +20% 614 Un_1024) speedkb=900kbit;; #1024 kbit +20% Un_2048) speedkb=2048kbit;; #2048 kbit +20% goodly) speedkb=500kbit;; #do 512 kbit *) speedkb=$default_speed;; # default speed esac # ========= shaping by tariff end ========= declare -i mark=$ID+10 echo "$mark" > /var/stargazer/users/$1/shaper_mark echo "$speedkb" > /var/stargazer/users/$1/shaper_rate iptables -t mangle -A FORWARD -d $2 -j MARK --set-mark $mark tc class add dev $int_iface parent 1:1 classid 1:$mark htb rate $speedkb burst 40k tc filter add dev $int_iface parent 1: protocol ip prio 3 handle $mark fw classid 1:$mark ...

??

[alfss]

CBQ или HTB + приоритизация трафика+ ограничение на количество коннектов.

и мое ИМХО - выкинуть ALT и заменить на Debian,CentOS,OpenSuSe

[budda]

Нашел статью http://www.xakep.ru/post/46309/default.asp "На страже безопасности: pfSense - дистрибутив для создания роутера" из интереса на домашнем роутере поставил pfsense.
Крутится 4-ю неделю.
Вэб интерфейс однако замутили неплохой, все что нужно есть.
В консоли пока был пару раз из любопытства.
Пока впечатления положительные, такое ощущение, что рулишь аппаратным роутером типа длинка.
Неплохо работает шейпер (всетаки бсдя!) и приоретизация (можно выставлять 3 уровня).
Т.е примерно за пол часа поднимаем роутер с шейпером и приоретизаций без ковыряния в iptables!
Имеются так же DNS, DHCP, VPN серверы, а так же подсчет трафика (freeradius), ну естественно настраивается фаервол и шейпер.
Кое какой фунционал касающийся серверного фунционирования можно доставить прямо из вэбморды.
Минусы: поскольку дистр заточен для роутера и ориентирован на раздачу инета отсутствует торент клиент (естественно можно доставить и работать в консоли с rtorrent), что не оч хорошо для домашнего функционала. Не обнаружил так же в вэб морде smb и nfs серверов.