classic.ISPforum.cz

Mam takhle nějak definované pravidlo:

/queue simple
name="allp2p" dst-address=0.0.0.0/0 interface=all parent=none \ direction=both priority=8 queue=default-small/default-small \
limit-at=0/0 max-limit=1000/1000 total-queue=default-small \
time=7h-23h,sun,mon,tue,wed,thu,fri,sat p2p=all-p2p

co bych potřeboval je, v rámci tohoto pravidla udat výjimky adres na které se nemá vztahovat. U některých parametrů v routerosu lze před hodnotu vložit vykřičník (a tak ji negovat) ale tady to nejde.

Vyjmenovat v dílčích pravidlech adresy nebo rozsahy nakteré se pravidlo vztahovat má by bylo neúměrně pracné.

Nějaké nápady?

Ja bych to videl na pouziti mangle, oznac si vse a pod to si dej pravidla ktra preznaci jen ty co potrebujes a je to ?

Maxik píše:Ja bych to videl na pouziti mangle, oznac si vse a pod to si dej pravidla ktra preznaci jen ty co potrebujes a je to ?

Jenže použití mangle je neúměrně pracnější než vytvořit dílčí pravidla simple queue pro IP kterou potřebujeme omezit jinak..

Na zacatek se slusi rici, ze obe rozhrani tvori bridge. Na linuxu by se to resilo jinak, nez routovanim ale v Routeros-u jsem nic jineho nenasel.

Zkusil jsem udelat pravidla pro mangle zhruba v nasledujici podobe:

add chain=prerouting action=mark-packet new-packet-mark=3 passthrough=yes p2p=all-p2p src-address=172.17.17.156 \
comment="DC ->" disabled=no
add chain=prerouting action=mark-packet new-packet-mark=3 passthrough=yes p2p=all-p2p dst-address=172.17.17.156 \
comment="DC <-" disabled=no
add chain=prerouting action=mark-packet new-packet-mark=9 passthrough=yes p2p=all-p2p src-address=!172.17.17.156 \
comment="" disabled=no
add chain=prerouting action=mark-packet new-packet-mark=9 passthrough=yes p2p=all-p2p dst-address=!172.17.17.156 \
comment="" disabled=no

a na ne navazujici fronty:

add name="allp2p+" dst-address=0.0.0.0/0 interface=all parent=none packet-marks=3 direction=both priority=8 \
queue=default-small/default-small limit-at=0/0 max-limit=512000/512000 total-queue=default-small disabled=no
add name="allp2p" dst-address=0.0.0.0/0 interface=all parent=none packet-marks=9 direction=both priority=8 \
queue=default-small/default-small limit-at=0/0 max-limit=1000/1000 total-queue=default-small \
time=7h-23h,sun,mon,tue,wed,thu,fri,sat disabled=no

bohuzel musim rici, ze do maglovaciho pravidla s markem 3 mi nepadaly zadne pakety ackoli jsem se snazil nejaky provoz zpusobit (s DC++ vubec neumim zachazet ale neco rozhodne projit muselo protoze mi tam behaly hlasky od hubu). Vysledek samozrejme negativni - vubec nic to nedelalo.

nerozumim tomu proc bych mel napred vsechno znackovat nejak a pak to preznacovat. Osobne si myslim, ze je podstatne, jaky packet mark nastavim paketum o ktere mam zajem a pak ho otestuju ve frontach. IMO nezalezi na tom, co je nastaveno (asi nic) u vsech ostatnich a tak mi pripada ztrata strojoveho casu jim cokoli nastavovat.

Vypadá to OK. Zkus nějaké jiné P2P. Nebo ten DC++ rozjeï pořádně a se tahaj data a ne jen pokec s hubem. Nebo tam na zkoušku dej ip někoho, kdo zaručeně tahá.

P2p se markuje tak ze nejprve oznacis konexi all p2p das conn. mark p2p a pote dalsim pravidlem prevedes conn.mark na paket mark funguje to uplne v pohode Pokud ti to neco nemangluje mas nejspis blbe zadane pravidlo nebo spatny chain

Na me radeji pomalu

V /ip firewall mangle dam neco a'la:
add chain=prerouting action=mark-connection new-connection-mark=p2p passthrough=yes p2p=all-p2p dst-address=192.168.14.5 \
comment="oznaceni spojeni p2p z opravnene stanice \(smer dovnitr\)" disabled=no
add chain=prerouting action=mark-connection new-connection-mark=p2p passthrough=yes p2p=all-p2p src-address=192.168.14.5 \
comment="oznaceni spojeni p2p z opravnene stanice \(smer ven\)" disabled=no
add chain=prerouting action=mark-packet new-packet-mark=3 passthrough=yes connection-mark=p2p comment="znackovani paketu \
p2p opravnene stanice podle spojeni" disabled=no
add chain=prerouting action=mark-connection new-connection-mark=p2p-ostatni passthrough=yes p2p=all-p2p \
src-address=!192.168.14.5 comment="oznaceni ostatnich p2p spojeni ven" disabled=no
add chain=prerouting action=mark-connection new-connection-mark=p2p-ostatni passthrough=yes dst-address=!192.168.14.5 \
comment="oznaceni ostatnich p2p spojeni dovnitr" disabled=no
add chain=prerouting action=mark-packet new-packet-mark=9 passthrough=yes connection-mark=p2p-ostatni comment="oznaceni \
ostatnich p2p paketu podle spojeni" disabled=no

a nasledne do front:
add name="allp2p" dst-address=0.0.0.0/0 interface=all parent=none packet-marks=9 direction=both priority=8 \
queue=default-small/default-small limit-at=0/0 max-limit=1000/1000 total-queue=default-small \
time=7h-23h,sun,mon,tue,wed,thu,fri,sat disabled=no

no tak v manglovacich pravidlech se sice neco zacalo objevovat ale frontoou neprosel jediny paket a routerboard zacal padat a pomohl jen restart napajeni (2.9.46)

cmartin píše:Na me radeji pomalu

V /ip firewall mangle dam neco a'la:
add chain=prerouting action=mark-connection new-connection-mark=p2p passthrough=yes p2p=all-p2p dst-address=192.168.14.5 \
comment="oznaceni spojeni p2p z opravnene stanice \(smer dovnitr\)" disabled=no
add chain=prerouting action=mark-connection new-connection-mark=p2p passthrough=yes p2p=all-p2p src-address=192.168.14.5 \
comment="oznaceni spojeni p2p z opravnene stanice \(smer ven\)" disabled=no
add chain=prerouting action=mark-packet new-packet-mark=3 passthrough=yes connection-mark=p2p comment="znackovani paketu \
p2p opravnene stanice podle spojeni" disabled=no
add chain=prerouting action=mark-connection new-connection-mark=p2p-ostatni passthrough=yes p2p=all-p2p \
src-address=!192.168.14.5 comment="oznaceni ostatnich p2p spojeni ven" disabled=no
add chain=prerouting action=mark-connection new-connection-mark=p2p-ostatni passthrough=yes dst-address=!192.168.14.5 \
comment="oznaceni ostatnich p2p spojeni dovnitr" disabled=no
add chain=prerouting action=mark-packet new-packet-mark=9 passthrough=yes connection-mark=p2p-ostatni comment="oznaceni \
ostatnich p2p paketu podle spojeni" disabled=no

a nasledne do front:
add name="allp2p" dst-address=0.0.0.0/0 interface=all parent=none packet-marks=9 direction=both priority=8 \
queue=default-small/default-small limit-at=0/0 max-limit=1000/1000 total-queue=default-small \
time=7h-23h,sun,mon,tue,wed,thu,fri,sat disabled=no

no tak v manglovacich pravidlech se sice neco zacalo objevovat ale frontoou neprosel jediny paket a routerboard zacal padat a pomohl jen restart napajeni (2.9.46)

Dejte demo ...

Nerozumím - mám to někde pustit na veřejné adrese s volným přístupem? Možná mezi čtyřma očima pro konkrétního jednotlivce, v produktivním prostředí si to pro veřejnost neumím představit.

cmartin píše:Nerozumím - mám to někde pustit na veřejné adrese s volným přístupem? Možná mezi čtyřma očima pro konkrétního jednotlivce, v produktivním prostředí si to pro veřejnost neumím představit.

Stačí ho posadit na veřejnou IP a vytvořit uživatele demo s právy jen pro čtení ...

Je normalni, ze po kazde zmene v tabulce mangle udela RouterOS restart?