Шейпирование трафика ng_car + ipfw на FreeBSD
Published on Март 30, 2009 by Support · Комментариев нет
Основой данной статьи послужила публикация Дмитрия Шевченко.
best computer security software
Интересная идея заменить множество пайпов в файерволе на механизм
предложенный в ng_car.
Для примера,схема такая, имеем:
Сервер FreeBSD, он подключает пользователей по PPPoE через mpd,
интерфейс bge0 смотрит вверх.
Но, ВНИМАНИЕ, NAT`а на этом сервере нет, поэтому, зная что:
Шейпируется только исходящий трафик с интерфеса (как и в PF)
читайте эу статью учитывая эти факты.
Итак, до этого момента для шейпа использовался IPFW + PIPE + таблицы и
вяглядело примерно так:
05800 pipe 63 ip from any to table(63) out
05900 pipe 93 ip from table(63) to any in
06000 pipe 64 ip from any to table(64) out
06100 pipe 94 ip from table(64) to any in
...
11200 pipe 78 ip from any to table(78) out
11300 pipe 108 ip from table(78) to any in
11400 pipe 256 ip from any to table(16) out
11500 pipe 257 ip from table(16) to any in
и т.д. около 50-ти таблиц, т.к. тарифов множество.
Шейпируется несколько видов трафика: в интернет, к локальным ресурсам
Используя IPFW+ ng_car + таблицы все это можно свести к менее
громоздкому варианту:
04000 netgraph tablearg ip from table(20) to table(30) out via bge0
04010 netgraph tablearg ip from table(30) to table(20) out via ng*
05000 netgraph tablearg ip from table(10) to not table(30) out via bge0
05010 netgraph tablearg ip from not table(30) to table(10) out via ng*
Разница по загрузке CPU при шейпе на ng_car довольно ощутима.
Рассмотрим этот вариант повнимательнее:
netgraph — это правило действует как divert, только заворачивает оно не
в socket, а в ноду netgraph с параметром tablearg.
tablearg — это аргумент в таблице (10 и 20). Он должен быть уникальным
для каждого пользователя, именно по этому аргументу создается нода
netgraph, которая и будет шейпить (лимитировать скорость) пользователя.
Пример создания таблицы IPFW:
#:test:~: ipfw table 10 add 172.16.10.26/32 10
#:test:~: ipfw table 10 add 172.16.10.27/32 20
#:test:~: ipfw table 10 add 172.16.10.28/32 30
Посмотрим, что получилось:
#:test:~:ipfw table 10 list
172.16.10.26/32 10
172.16.10.27/32 30
172.16.10.28/32 20
Условимся что:
table 10 — IP-адреса с доступом к интернету
table 20 — IP-адреса с доступом к локальным ресурсам
table 30 — IP-адреса самиx локальныx ресурсов
bge0 — верхний интерфес
ng* — нижние интерфейсы пользователей, подключенных через PPPoE (MPD).
Таким образом мы передали управление от ipfw к ng_car посредством 4
правил в файерволе.
Теперь нужно задать каждому IP-адресу определенную полосу.
В mpd есть скрипты up и down, которые отрабатывают при поднятии туннеля
и при опускании туннеля.
Вот них то мы и будем нарезать полосы для IP-адресов в момент
подключения к серверу.
Для шейпера нужны 3 модуля:
ng_ether.ko
ng_car.ko
ng_ipfw.ko
Посмотреть подгружены ли модули можно по команде:
Если их нет, то загружаем командами:
/sbin/kldload /boot/kernel/ng_ether.ko
/sbin/kldload /boot/kernel/ng_car.ko
/sbin/kldload /boot/kernel/ng_ipfw.ko
Скрипт UP.pl:
#!/usr/bin/perl
$iface=$ARGV[0]; ###интерфес пользователя
$ip=$ARGV[3]; ###IP, выдаваемый пользователю
$user=$ARGV[4]; ###логин пользователя
$inet_table=10; ###таблица с IP-адресами с доступом в интернет
$local_table=20; ###таблица с IP-адресами c доступом к локальным ресурсам
$shape_inet=20971520; ###шейп в интернет (байт/с)
$shape_local=8388608; ###шейп в локалку (байт/с)
###Ищем tablearg IP-адреса в таблицах
$tablearg_inet=`/sbin/ipfw table $inet_table list | awk '/$ip/ \{print \$2\}'`;
$tablearg_local=`/sbin/ipfw table $local_table list | awk '/$ip/ \{print \$2\}'`;
###создаем шейп в интернет
$tablearg=$tablearg_inet;
chomp($tablearg);
$shape=$shape_inet;
$shape_type="inet";
shape($iface,$tablearg,$shape,$shape_type,$user);
###создаем шейп к локальным ресурсам
$tablearg=$tablearg_local;
chomp($tablearg);
$shape=$shape_local;
$shape_type="local";
shape($iface,$tablearg,$shape,$shape_type,$user);
###===функция нарезки шейпа===
sub shape{
$cbs=$ebs=$shape/8;
$cmd=sprintf("/usr/sbin/ngctl -f- <<-EOF
mkpeer ipfw: car %s upper
name ipfw:%s %s_%s
connect %s_%s: ipfw: lower %s
msg %s_%s: setconf { upstream={ cbs=%d ebs=%d cir=%d greenAction=1 yellowAction=1 redAction=2 mode=2 } downstream={ cbs=%d ebs=%d cir=%d greenAction=1 yellowAction=1 redAction=2 mode=2 } }
EOF>>",
$tablearg,$tablearg,$shape_type,$user,$shape_type,$user,$tablearg+1,$shape_type,$user,$cbs,$ebs,$shape,$ebs,$cbs,$shape);
`$cmd`; #Выполняем команду на сервере
}
$shape_inet=20971520; ###шейп в интернет (байт/с)
$shape_local=8388608; ###шейп в локалку (байт/с)
в данном случае шейпы взяты в качестве примера.
Если у вас различные тарифы, то соотвтетственно нужно дописать скрипт,
чтобы брать из внешних источников (база данных например).
Имя ноды формируется из переменных $shape_type (тип шейпа) и $user
(логин пользователя).
Для более наглядного примера приведу пример на логине пользователя
login. Команда исполняемая на сервере будет выглядеть следующим образом:
/usr/sbin/ngctl -f- <<-EOF
mkpeer ipfw: car 10 upper
name ipfw:10 inet_login
connect inet_login: ipfw: lower 11
msg inet_login: setconf { upstream={ cbs=2621440 ebs=2621440 cir=20971520 greenAction=1 yellowAction=1 redAction=2 mode=2 } downstream={ cbs=2621440 ebs=2621440 cir=20971520 greenAction=1 yellowAction=1 redAction=2 mode=2 } }
EOF>>
Где:
mkpeer ipfw: car 10 upper — создаем ноду для пользователя и подключаем
ее к модулю ipfw
name ipfw:10 inet_login — именуем ноду (в последствии через это имя
можно управлять шейпом пользователя на лету).
connect inet_login: ipfw: lower 11 — соединяем хуки исходящего и
входящего интерфейсов
Рзазберем управляющее сообщение:
msg inet_login: setconf { upstream={ cbs=2621440 ebs=2621440
cir=20971520 greenAction=1 yellowAction=1 redAction=2 mode=2 }
downstream={ cbs=2621440 ebs=2621440 cir=20971520 greenAction=1
yellowAction=1 redAction=2 mode=2 } }
inet_login — имя ноды, куда направляется управляющее сообщение
cbs — Commited burst size – размер всплеска (в байтах), по умолчанию равен cir/8.
ebs — Exceeded/Peak burst size – превышение размера всплеска (в байтах),
по умолчанию равен cbs.
cir — Commited information rate — разрешенная полоса (в байтах/с).
greenAction — маркер трафика для cbs (man ng_car)
yellowAction — маркер трафика для ebs (man ng_car)
redAction — маркер трафика переполнения разрешенной полосы пропускания (man ng_car)
mode — mode=2 — Аналог Cisco Rate-Limit, mode=3 Аналог Cisco Traffic Shape.
Скрипт DOWN.pl:
#!/usr/bin/perl
$iface=$ARGV[0];
$ip=$ARGV[3];
$user=$ARGV[4];
$shape_type="inet";
shutdown_hook($user,$shape_type);
$shape_type="local";
shutdown_hook($user,$shape_type);
###===функция уничтожения нод для шейпа при отключении пользователя===
sub shutdown_hook{
my $hook=sprintf("%s_%s",$shape_type,$user);
$cmd=sprintf("/usr/sbin/ngctl shutdown %s:",$hook);
`$cmd`;
}
Исполняемая на сервер комманда следующим образом:
/usr/sbin/ngctl shutdown inet_login:
Т.е. выключаем соответствующую ноду.
Если таблицы будут выглядеть так:
[cc lang="bash" tab_size="2" lines="-1"]
#:test:~:ipfw table 10 list
172.16.10.26/32 10
172.16.10.27/32 30
172.16.10.28/32 20
#:test:~:ipfw table 20 list
172.16.10.26/32 5
172.16.10.27/32 25
172.16.10.28/32 15
То после подключения мы увидим следующую картину:
#:test:~:ngctl show ipfw:
Name: ipfw Type: ipfw ID: 00000d00 Num hooks: 4
Local hook Peer name Peer type Peer ID Peer hook
6 local_login car 00000d3f lower
5 local_login car 00000d3f upper
11 inet_login car 00000d3d lower
10 inet_login car 00000d3d upper
или для отдельного шейпа:
#:test:~:ngctl show local_login:
Name: star_37735-1 Type: car ID: 00000d50 Num hooks: 2
Local hook Peer name Peer type Peer ID Peer hook
lower ipfw ipfw 00000d00 6
upper ipfw ipfw 00000d00 5
Осталось прикрутить это к mpd5. Для этого в конфиг mpd5.conf дописываем:
set iface up-script /usr/local/etc/mpd5/UP.pl
set iface down-script /usr/local/etc/mpd5/DOWN.pl
не забудьте указать полный и главное правильный путь до скриптов !
Есть несколько моментов, о которых нужно помнить при построении такой системы:
Нужно внимательно соблюдать синтаксис ngctl команд, при ошибке или даже лишнем
пробеле уже может ничего не работать.
tablearg должен быть уникальным.
zp8497586rq
Смотрите также:
Exchange 2007
Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам:
Проведение мониторинга Exchange 2007 с помощью диспетчера System ...
[+]
Введение
В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ...
[+]
Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ...
[+]
Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ...
[+]
Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам:
Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1)
...
[+]
If you missed the previous parts in this article series please read:
Exchange 2007 Install and Configuration from the command line (Part ...
[+]
Инструмент ExRCA
Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями:
Тест подключения Outlook 2007 Autodiscover
Тест подключения Outlook 2003 RPC ...
[+]
Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам:
Развертывание сервера Exchange 2007 Edge Transport (часть 1)
Развертывание ...
[+]
Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ...
[+]
Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ...
[+]
