https://www.opennet.ru/openforum/vsluhforumID1/93861.html Здравствуйте!<br><br>Проблема такая: есть скрипт, которые устанавливает правила нарезки трафика tc для сети на брандмауэре. При запуске этого скрипта иногда блокируются некоторые хосты в сети (под блокировкой понимается отсутствие доступа в интернет). tcpdump ничего не дает. Видно, что пакет приходит, но дальше теряется где-то в недрах ядра. Вся эта петрушка лечится повторным запуском скрипта (скрипт реагирует на up и down).<br><br>Если кто-то может помочь, был бы очень рад. Могу предоставить дополнительную информацию.<br><br>Система: Linux wall 2.6.32-5-amd64 #1 SMP Sun Sep 23 10:07:46 UTC 2012 x86_64 GNU/Linux<br><br>Спасибо.<br> https://www.opennet.ru/openforum/vsluhforumID1/93861.html#10 Wed, 10 Oct 2012 05:40:54 GMT &gt; много где сказано, что это делать можно, т.к. все эти идентификаторы и <br>&gt; классы локальны <br>&gt; для каждого интерфейса.<br><br>По идее - да... Но спокойнее, когда они разные... К тому же для классов хендлеры начинаются с 8000, а у меня начинались с 200 (как у фильтров)... Я уже сталкивался с тем, что в некоторых системах такие значения принимаются, но грабли вылазят... Поэтому, лучше довериться операционке, если это возможно... К тому же в моей, несмотря на то, что они локальны для интерфейсов, операционка выдает для разных интерфейсов разные индентификаторы, которые идут подряд, т.е. 8000, 8001 и т.д.<br><br>&gt;&gt; Я изменил идентификаторы так, что они не пересекаются. Добавил приоритеты.. После 5 <br>&gt; вот скорее всего как раз добавление приоритетов и помогло. с приоритетами есть <br>&gt; некоторые <br>&gt; неочевидные нюансы.<br><br>В фильтрах prio заметен больше всего... :)<br><br>&gt; хэш считается по одному ключу.<br>&gt; 3. filter add dev $devNIF protocol all prio 1 parent 1:11 handle <br>&gt; 111 flow hash keys dst divisor 1024 <br>&gt; здесь достаточ https://www.opennet.ru/openforum/vsluhforumID1/93861.html#9 Tue, 09 Oct 2012 14:16:22 GMT &gt;&gt; я бы для начала убрал бы flow classifier. если пакеты будут по <br>&gt;&gt; прежнему пропадать, <br>&gt;&gt; то есть еще мысли.<br>&gt; Z0termaNN, спасибо за твой ответ...<br>&gt; У меня мысли вот какие... В моих правилах идентификаторы классов, хендлеров и <br>&gt; остального пересекаются. Нигде не сказано, что этого делать нельзя, к тому <br>&gt; же интерфейсы разные.<br><br>много где сказано, что это делать можно, т.к. все эти идентификаторы и классы локальны <br>для каждого интерфейса.<br><br>&gt; Я изменил идентификаторы так, что они не пересекаются. Добавил приоритеты.. После 5 <br><br>вот скорее всего как раз добавление приоритетов и помогло. с приоритетами есть некоторые<br>неочевидные нюансы.<br><br>&gt;[оверквотинг удален]<br>&gt; ceilHiUl="40mbit" <br>&gt; quantHi="1514" <br>&gt; rateLoDl="30mbit" <br>&gt; ceilLoDl="60mbit" <br>&gt; rateLoUl="20mbit" <br>&gt; ceilLoUl="40mbit" <br>&gt; quantLo="1514" <br>&gt; devNIF=eth0 <br>&gt; devFIF=ifb0 <br>&gt; P.S. Возможно, из-за одинаковых идентификаторов, пакеты мешались в очередях..<br><br>несколько несущественных замечаний.<br><br>1. я бы делал все одним приемом, приме https://www.opennet.ru/openforum/vsluhforumID1/93861.html#8 Tue, 09 Oct 2012 13:45:19 GMT &gt; я бы для начала убрал бы flow classifier. если пакеты будут по <br>&gt; прежнему пропадать, <br>&gt; то есть еще мысли.<br><br>Z0termaNN, спасибо за твой ответ...<br><br>У меня мысли вот какие... В моих правилах идентификаторы классов, хендлеров и остального пересекаются. Нигде не сказано, что этого делать нельзя, к тому же интерфейсы разные. <br><br>Я изменил идентификаторы так, что они не пересекаются. Добавил приоритеты.. После 5 дней все в норме. Перезагрузка правил не приводит к неверной работе. Также я опустил некоторые параметры, которые являются дополнительными - пусть система сама думает, какие идентификаторы выбрать... Плюс - сделал вместо скрипта на up интерфейса, скрипт, который пускается как сервис.<br><br>(Собственно, правила в первоначальном варианте и были такими, какие они сейчас... Просто я решил сделать более эстетично или академически, что-ли... :)<br><br>/etc/init.d/hi-me-lo<br><br>#! /bin/sh<br>### BEGIN INIT INFO<br># Provides: hilo-tc-shaper<br># Required-Start: $network $syslog<br># Required-Stop: $network $syslog<br># Should- https://www.opennet.ru/openforum/vsluhforumID1/93861.html#7 Tue, 09 Oct 2012 12:55:45 GMT я бы для начала убрал бы flow classifier. если пакеты будут по прежнему пропадать,<br>то есть еще мысли.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/93861.html#6 Wed, 03 Oct 2012 06:32:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; $cmdTC filter add dev $devNIF parent ffff: protocol all u32 match u32 <br>&gt;&gt;&gt;&gt; 0 0 action mirred egress redirect dev $devFIF <br>&gt;&gt; Пробовал переносить ingress в начало... Тогда внутренний интерфейс вообще не доступен...<br>&gt;&gt; Если перед правилами для ifb, результат не меняется...<br>&gt;&gt;&gt; ИМХО добавление sleep решит, но нужно-же иногда и ...<br>&gt;&gt; Я об это думал... Похоже, что иногда в ядре происходит не все <br>&gt;&gt; так быстро, как хотелось бы... Но... Слип - это не камельфо...<br>&gt;&gt; Это крайняя мера... Не хотелось бы...<br>&gt; дык естевственно что слип не есть хорошо , пишем скрипт и полностью <br>&gt; проверяем как и что <br><br>Я вызываю свой скрипт с параметром "down"... Потом жду секунд 20... Делаю "up"... И... Все тоже самое... Некоторые хосты отваливаются...<br> https://www.opennet.ru/openforum/vsluhforumID1/93861.html#5 Wed, 03 Oct 2012 05:52:42 GMT &gt;[оверквотинг удален]<br>&gt; в него и попадают...<br>&gt;&gt;&gt; $cmdTC qdisc add dev $devNIF ingress <br>&gt;&gt;&gt; $cmdTC filter add dev $devNIF parent ffff: protocol all u32 match u32 <br>&gt;&gt;&gt; 0 0 action mirred egress redirect dev $devFIF <br>&gt; Пробовал переносить ingress в начало... Тогда внутренний интерфейс вообще не доступен... <br>&gt; Если перед правилами для ifb, результат не меняется...<br>&gt;&gt; ИМХО добавление sleep решит, но нужно-же иногда и ...<br>&gt; Я об это думал... Похоже, что иногда в ядре происходит не все <br>&gt; так быстро, как хотелось бы... Но... Слип - это не камельфо... <br>&gt; Это крайняя мера... Не хотелось бы...<br><br>дык естевственно что слип не есть хорошо , пишем скрипт и полностью проверяем как и что<br> https://www.opennet.ru/openforum/vsluhforumID1/93861.html#4 Wed, 03 Oct 2012 05:46:24 GMT &gt;&gt; modprobe ifb <br>&gt;&gt; ip link set $devFIF up 2&gt;/dev/null <br>&gt; сдесь нужно поставить как минимум слип, чтобы бытm увереныым что интерфейс поднялся <br><br>Между делом, добавил загрузку ifb в /etc/modules, в /etc/networks/interfaces добавил ifb0 в hotplug... Результат не изменился...<br> <br>&gt;[оверквотинг удален]<br>&gt;&gt; $cmdTC qdisc add dev $devNIF parent 1:12 handle 112: sfq perturb 10 <br>&gt;&gt; # Create filters for network interface <br>&gt;&gt; $cmdTC filter add dev $devNIF protocol all parent 1:0 u32 match ip <br>&gt;&gt; dst 10.252.2.0/24 flowid 1:11 <br>&gt;&gt; $cmdTC filter add dev $devNIF protocol all parent 111: handle 111 flow <br>&gt;&gt; hash keys dst divisor 1024 baseclass 1:11 <br>&gt;&gt; $cmdTC filter add dev $devNIF protocol all parent 112: handle 112 flow <br>&gt;&gt; hash keys dst divisor 1024 baseclass 1:12 <br>&gt; сдесь смущает использование сети /24 и делителя в 1024 мне всегда казалось <br>&gt; что в такую сеть больше 256 хостов не влезает <br><br>Первый фильтр - на сеть из 254 хостов... Остальная сеть - порядка 500 компов... Поэтому такой большой хэш... Это дефолт https://www.opennet.ru/openforum/vsluhforumID1/93861.html#3 Wed, 03 Oct 2012 05:08:52 GMT &gt;[оверквотинг удален]<br>&gt; quantHi="1514" <br>&gt; rateLoDl="30mbit" <br>&gt; ceilLoDl="60mbit" <br>&gt; rateLoUl="20mbit" <br>&gt; ceilLoUl="40mbit" <br>&gt; quantLo="1514" <br>&gt; devNIF=eth0 <br>&gt; devFIF=ifb0 <br>&gt; modprobe ifb <br>&gt; ip link set $devFIF up 2&gt;/dev/null <br><br>сдесь нужно поставить как минимум слип, чтобы бытm увереныым что интерфейс поднялся<br><br>&gt;[оверквотинг удален]<br>&gt; ceil ${ceilLoDl} quantum ${quantLo} <br>&gt; $cmdTC qdisc add dev $devNIF parent 1:11 handle 111: sfq perturb 10 <br>&gt; $cmdTC qdisc add dev $devNIF parent 1:12 handle 112: sfq perturb 10 <br>&gt; # Create filters for network interface <br>&gt; $cmdTC filter add dev $devNIF protocol all parent 1:0 u32 match ip <br>&gt; dst 10.252.2.0/24 flowid 1:11 <br>&gt; $cmdTC filter add dev $devNIF protocol all parent 111: handle 111 flow <br>&gt; hash keys dst divisor 1024 baseclass 1:11 <br>&gt; $cmdTC filter add dev $devNIF protocol all parent 112: handle 112 flow <br>&gt; hash keys dst divisor 1024 baseclass 1:12 <br><br>сдесь смущает использование сети /24 и делителя в 1024 мне всегда казалось что в такую сеть больш https://www.opennet.ru/openforum/vsluhforumID1/93861.html#2 Tue, 02 Oct 2012 14:14:59 GMT &gt;&gt; Проблема такая: есть скрипт, которые <br>&gt;&gt; Если кто-то может помочь, был бы очень рад. Могу предоставить дополнительную информацию.<br>&gt; Предоставьте смету в раздел "Предложение работы" форума.<br><br>Иногда проблема исчезает после нескольких перезапусков скрипта.<br><br>Собственно скрипт:<br><br>#!/bin/sh<br><br>cmdTC=/sbin/tc<br><br>rateLANDl="60mbit"<br>ceilLANDl="60mbit"<br>rateLANUl="40mbit"<br>ceilLANUl="40mbit"<br>quantLAN="1514"<br><br># Nowaday bandwidth limit set to 100mbit.<br># We divide it with 60mbit download and 40mbit upload bandthes.<br><br>rateHiDl="30mbit"<br>ceilHiDl="60mbit"<br>rateHiUl="20mbit"<br>ceilHiUl="40mbit"<br>quantHi="1514"<br><br>rateLoDl="30mbit"<br>ceilLoDl="60mbit"<br>rateLoUl="20mbit"<br>ceilLoUl="40mbit"<br>quantLo="1514"<br><br>devNIF=eth0<br>devFIF=ifb0<br><br>modprobe ifb<br>ip link set $devFIF up 2&gt;/dev/null<br><br>#exit 0<br><br>################################################################################################<br># Remove discuiplines from network and fake interfaces<br>##################################################################