Tc: Ingress Policing und Ifb Mirroring

20

Ich versuche, Traffic Shaping auf einem Linux-Gateway wie hier beschrieben einzurichten . Das Skript muss angepasst werden, da ich mehrere LAN-Schnittstellen habe. Um die LAN-Seite zu formen, plane ich, ein ifb-Pseudogerät wie folgt zu erstellen:

     modprobe ifb
     ip link set dev ifb0 up
    /sbin/tc qdisc add dev $WAN_INTERFACE ingress
    /sbin/tc filter add dev $WAN_INTERFACE parent ffff: protocol ip u32 match u32 0 0 action mirred egress redirect dev ifb0

Das Skript aus dem oben erwähnten Hauptrepo hat folgende Zeilen:

 /sbin/tc qdisc add dev $WAN_INTERFACE handle ffff: ingress
    /sbin/tc filter add dev $WAN_INTERFACE parent ffff: protocol ip prio 1 u32 match ip sport $INTERACTIVE_PORT 0xffff flowid :1
    /sbin/tc filter add dev $WAN_INTERFACE parent ffff: protocol ip prio 1 u32 match ip dport $INTERACTIVE_PORT 0xffff flowid :1
    /sbin/tc filter add dev $WAN_INTERFACE parent ffff: protocol ip prio 5 0 u32 match ip src 0.0.0.0/0 police rate $MAX_DOWNRATE_INGRESS burst 20k drop flowid :2

Dieser Code und der Erstellungscode für das ifb-Interface passen nicht zusammen. Das angepasste Skript wird ausgeführt, aber das Gerät ifb0 zeigt keine Datenverkehrsstatistiken an. Wenn ich den Ingress-Gist-Repo-Code (oben zitiert) auskommentiere, zeigt das ifb0-Gerät die Anzahl der übertragenen Pakete an. Auch diese Zeilen können nicht zusammen ausgeführt werden:

/sbin/tc qdisc add dev $WAN_INTERFACE ingress
/sbin/tc qdisc add dev $WAN_INTERFACE handle ffff: ingress

Ich bekomme eine Datei existiert Fehler. Wie kann ich das Eindringen in WAN_INTERFACE und gleichzeitig den Datenverkehr zum LAN über das ifb0-Gerät gestalten?

traffic-shaping  tc 
nixnotwin
quelle

Antworten:

41

IFB ist eine Alternative zu tc-Filtern für die Behandlung von eingehendem Datenverkehr, indem es auf eine virtuelle Schnittstelle umgeleitet wird und dort als ausgehender Datenverkehr behandelt wird. Sie benötigen eine ifb-Schnittstelle pro physikalischer Schnittstelle, um eingehenden Datenverkehr von eth0 nach ifb0, eth1 nach ifb1 und so weiterzuleiten auf.

Geben Sie beim Einfügen des ifb-Moduls die Anzahl der benötigten virtuellen Schnittstellen an. Der Standardwert ist 2:

modprobe ifb numifbs=1

Aktivieren Sie nun alle ifb-Schnittstellen:

ip link set dev ifb0 up # repeat for ifb1, ifb2, ...

Weiterleitung des eingehenden Datenverkehrs von den physischen Schnittstellen zur entsprechenden ifb-Schnittstelle. Für eth0 -> ifb0:

tc qdisc add dev eth0 handle ffff: ingress
tc filter add dev eth0 parent ffff: protocol ip u32 match u32 0 0 action mirred egress redirect dev ifb0

Wiederholen Sie dies für eth1 -> ifb1, eth2 -> ifb2 usw., bis alle Schnittstellen, die Sie formen möchten, abgedeckt sind.

Jetzt können Sie alle gewünschten Regeln anwenden. Die Austrittsregeln für eth0 gelten wie in eth0 üblich. Begrenzen wir die Bandbreite, zum Beispiel:

tc qdisc add dev eth0 root handle 1: htb default 10
tc class add dev eth0 parent 1: classid 1:1 htb rate 1mbit
tc class add dev eth0 parent 1:1 classid 1:10 htb rate 1mbit

Unnötig zu sagen, wiederholen Sie für eth1, eth2, ...

Eingangsregeln für eth0 werden nun als Ausgangsregeln für ifb0 verwendet (was auch immer in ifb0 eingegeben wird, muss herauskommen, und nur eth0-Eingangsdatenverkehr wird in ifb0 eingegeben). Wieder ein Beispiel für ein Bandbreitenlimit:

tc qdisc add dev ifb0 root handle 1: htb default 10
tc class add dev ifb0 parent 1: classid 1:1 htb rate 1mbit
tc class add dev ifb0 parent 1:1 classid 1:10 htb rate 1mbit

Der Vorteil dieses Ansatzes besteht darin, dass Ausgangsregeln viel flexibler sind als Eingangsfilter. Mit Filtern können Sie nur Pakete verwerfen, aber beispielsweise keine Wartezeiten einführen. Indem Sie eingehenden Datenverkehr als ausgehenden Datenverkehr behandeln, können Sie Warteschlangendisziplinen mit Verkehrsklassen und gegebenenfalls Filtern einrichten. Sie erhalten Zugriff auf den gesamten tc-Baum, nicht nur auf einfache Filter.

Sérgio Carvalho
quelle
Schön gemacht. Es ist immer gut zu sehen, wie ein Profi mit der ersten Antwort eines Rockstars auftaucht.
Magellan
Dies mag eine naive Frage sein, aber ich finde keine spezifischen Informationen. Ist es basierend auf dieser Antwort (die übrigens großartig ist) möglich, ifb0Statistiken speziell für eine cgroup classid zu erhalten? Das heißt, ich kann die Ausgangsstatistik für eine cgroup mit einem classid-Filter erfolgreich abrufen. Kann der eingehende Datenverkehr aber auch gruppenweise abgerechnet werden?
JDI
Beachten Sie, dass Sie ifb nicht verwenden können, wenn Sie iptable zum Markieren Ihres Pakets und anschließendes Filtern verwenden, da alle eingehenden Daten VOR dem Markieren weitergeleitet werden. So werden Sie sehen, dass Ihre Klasse bei 0 bleibt und alle an die Standardeinstellung weitergeleitet. IMQ scheint die richtige Lösung für Benutzer von iptables zu sein.
Ornoone
@ SérgioCarvalho Ich kann nicht scheinen, dies zusammen mit dem net_cls-Controller von cgroups zum Laufen zu bringen. Ich bin ein bisschen verwirrt, weil ich den normalen ausgehenden Netzwerkverkehr (Egress) mit net_cls zusammen mit tc einschränken kann. Ich vermute, dass ifb aus irgendeinem Grund so verwendet wird, dass die aus ifb kommenden Egress-Pakete nicht richtig markiert werden, seit sie als Ingress gestartet sind. Kann jemand dies bestätigen oder einen Weg vorschlagen, den ich kann?
Rooster
3

Basierend auf der Antwort von Sérgio Carvalho habe ich ein kleines Bash-Skript erstellt, um die Bandbreite zu begrenzen:

Dateiname: Netspeed

#!/bin/bash 

#USAGE: sudo ./netspeed -l limit_in_kbit -s
usage="sudo $(basename "$0") -l speed_limit -s
  -l speed_limit - speed limit with units (eg. 1mbit, 100kbit, more on \`man tc\`)
  -s - remove all limits
"

# default values
LIMIT=0
STOP=0

# hardcoded constats
IFACE=ifb0 # fake interface name which will be used for shaping the traffic
NETFACE=wlan0 # interface which in connected to the internet

# shift all required and leave only optional

while getopts ':hl:s' option; do
  case "$option" in
   l) LIMIT=$OPTARG
      ;;
   s) STOP=1
      ;;
   h) echo "$usage"
      exit
      ;;
  esac
done

#
# functions used in script
#
function limitExists { # detected by ingress on $NETFACE qdisc
   # -n equals true if non-zero string length
  if [[ -n `tc qdisc show | grep "ingress .* $NETFACE"` ]]
  then
    return 0 # true
  else
    return 1 # false
  fi

}
function ifaceExists {
  # -n equals true if non-zero string length
  if [[ -n `ifconfig -a | sed 's/[ \t].*//;/^\(lo\|\)$/d' | grep $IFACE` ]]
  then
    return 0 # true
  else
    return 1 # false
  fi
}
function ifaceIsUp {
  # -n equals true if non-zero string length
  if [[ -n `ifconfig | sed 's/[ \t].*//;/^\(lo\|\)$/d' | grep $IFACE` ]]
  then
    return 0 # true
  else
    return 1 # false
  fi
}
function createLimit {
  #3. redirect ingress
  tc qdisc add dev $NETFACE handle ffff: ingress
  tc filter add dev $NETFACE parent ffff: protocol ip u32 match u32 0 0 action mirred egress redirect dev $IFACE

  #4. apply egress rules to local inteface (like wlan0)
  tc qdisc add dev $NETFACE root handle 1: htb default 10
  tc class add dev $NETFACE parent 1: classid 1:1 htb rate $LIMIT
  tc class add dev $NETFACE parent 1:1 classid 1:10 htb rate $LIMIT

  #5. and same for our relaying virtual interfaces (to simulate ingress)
  tc qdisc add dev $IFACE root handle 1: htb default 10
  tc class add dev $IFACE parent 1: classid 1:1 htb rate $LIMIT
  tc class add dev $IFACE parent 1:1 classid 1:10 htb rate $LIMIT
}
function updateLimit {
  #3. redirect ingress
  tc filter replace dev $NETFACE parent ffff: protocol ip u32 match u32 0 0 action mirred egress redirect dev $IFACE

  #4. apply egress rules to local inteface (like wlan0)
  tc class replace dev $NETFACE parent 1: classid 1:1 htb rate $LIMIT
  tc class replace dev $NETFACE parent 1:1 classid 1:10 htb rate $LIMIT

  #5. and same for our relaying virtual interfaces (to simulate ingress)
  tc class replace dev $IFACE parent 1: classid 1:1 htb rate $LIMIT
  tc class replace dev $IFACE parent 1:1 classid 1:10 htb rate $LIMIT
}
function removeLimit {
  if limitExists ; then
    tc qdisc del dev $NETFACE ingress
    tc qdisc del dev $NETFACE root
    tc qdisc del dev $IFACE root
  fi
  if ifaceIsUp ; then
    ip link set dev $IFACE down
  fi
}

#
# main script
#
if [[ `whoami` != "root" ]]; then
  echo "WARNING: script must be executed with root privileges!"
  echo $usage
  exit 1
fi
if [ $STOP -eq 1 ]; then
  echo "REMOVING limit"
  removeLimit
  echo "limit REMOVED"
elif [ "$LIMIT" != "0" ]; then
  # prepare interface
  if ! ifaceExists ; then
    echo "CREATING $IFACE by modprobe"
    modprobe ifb numifbs=1
    if ! ifaceExists ; then
      echo "creating $IFACE by modprobe FAILED"
      echo "exit with ERROR code 2"
      exit 2
    fi
  fi
  # set interface up
  if ifaceIsUp ; then
    echo "$IFACE is already up"
  else
    echo "set $IFACE up"
    ip link set dev $IFACE up # ( use ifconfig to see results)
    if ifaceIsUp ; then
      echo "$IFACE is up"
    else
      echo "enabling $IFACE by ip link FAILED"
      echo "exit with ERROR code 3"
      exit 3
    fi
  fi

  # create/update limits
  if limitExists ; then
    echo "update limit"
    updateLimit
  else
    echo "create limit"
    createLimit
  fi

  echo "limit CREATED"
  exit 0
else
  echo $usage
fi
jmarceli
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.