[FAQ] Модификация ToS / DSCP в FreeBSD - Пингвинятник (ОС *NIX)

*Plague* · 07.12.2010, 15:07

Не так давно сие, как утверждает unix-общественность, стало возможно во FreeBSD (в линухе оно есть уже давным-давно), но как утверждает та же общественность,

Цитата:

это средство – в стиле Unix, и позволяет админу прострелить себе ногу.

Описаний перекопированных одно с другого немеряно:
http://nuclight.livejournal.com/126002.html
вот тут картинок по-больше и чуть по-подробней

http://blog.wel.org.ua/nix/freebsd/netgraph-%D0%BD%D0%BE%D0%B4%D0%B0-ng_patch

но дюже уж как-то заумно, а ногу отстрелить совсем не хочется.
Хотелось бы разобраться с этой фишкой вообще, ну и сразу практическое применение, как я это вижу и как хотелось бы применить:
Очень хочется посредством этого дела прицепить на торрент-трафик ToS минимального приоритета (0x08). Видимый в этом вопросе смысл вполне очевиден: чтоб торрент-трафик уходил в ожидание при обращении на машину по более важным сервисам, как то OpenVPN, ftp, да и ssh в конце концов. А то если торрент запущен без ограничений по ширине канала - даже ssh иногда еле ворочается...

Hubbitus · 07.12.2010, 16:17

Цитата:

Сообщение от Plague

Очень хочется посредством этого дела прицепить на торрент-трафик ToS минимального приоритета (0x08).

Цитата:

При IP-телефонии применяется класс сервиса 5 (DS-байт равен 0xA0 или 10100000b), а для обычного трафика класс сервиса 0 (DS-байт равен 0×00 или 00000000b). Сравните с ToS – изменилась только терминология, а значение байта передается то же самое.

То есть на сколько я понимаю по умолчанию у всех 0 какраз, и чтобы быстрее проходил надо именно повышать. Понизить кому-то уже некуда.

добавлено через 12 минут
Ага, Af33 это просто имя, какраз со значением 011110 - http://www.cisco.com/en/US/tech/tk54...800949f2.shtml

Ну тогда вроде все становится на свои места. В общем то что у них приводится является пометкой пакетов именно в этот Class 3 что именно УВЕЛИЧИВАЕТ его приоритет почти до максимального (предпоследний, на сколько я понял).

Итак, для SSH тебе нужно будет приблизительно так я думаю:

Код:

/usr/sbin/ngctl -f- <<-SEQ
        mkpeer ipfw: patch 600 in
        name ipfw:600 dscp_af33
        msg dscp_af33: setconfig { count=2 csum_flags=1 ops=[   \
                { mode=7 value=0x03 length=1 offset=1 }         \
                { mode=8 value=0x78 length=1 offset=1 } ] }
SEQ
/sbin/ipfw add 160 netgraph 600 ip from any to any dst-port 22

*Plague* · 12.12.2010, 11:50

после ввода в консоль exit не отработало, так и осталось на вопросительном знаке, правило в ipfw не добавило; и ни через tcpdump:

Код:

tcpdump -iem0 -v -A ip host 192.168.1.6 and port 22 | grep tos

ни через wireshark (фильтр по ssh, на клиентской машине) никаких разниц я, соответственно, в пакетах не увидел...

ps. в принципе, я сейчас воткнул на роутер прошиву от dd-wrt, и она позволяет выруливать приоритеты потоков (кстати, Hubbitus, ты оказался прав, и при понижении приоритета для торрентов до уровня "грузового/bulk" - они вообще практически работать перестали), так что с одной стороны решение вопроса (я так надеюсь, проверим завтра, - когда работа начнется) найдено другими средствами; но, с другой стороны, разобраться с данной приблудой тоже было бы не лишним....

Hubbitus · 12.12.2010, 17:05

Цитата:

Сообщение от Plague

после ввода в консоль exit не отработало, так и осталось на вопросительном знаке, правило в ipfw не добавило; и ни через tcpdump:

Не отработало что именно? ngctl или уже ipfw?

Цитата:

Сообщение от Plague

ps. в принципе, я сейчас воткнул на роутер прошиву от dd-wrt, и она позволяет выруливать приоритеты потоков

Таким же способом?

*Plague* · 12.12.2010, 17:23

Цитата:

Сообщение от Hubbitus

Не отработало что именно? ngctl или уже ipfw?

ipfw не интерактивен, да и синтаксис его команды в примере вроде правилен.
а ngctl остается в интеративе и с примером из собственного man http://www.freebsd.org/cgi/man.cgi?q...le&format=html

Цитата:

Сообщение от Hubbitus

Таким же способом?

нет, человеческим..

Hubbitus · 12.12.2010, 19:02

Честно говоря не понял что ты под интерактивностью подразумеваешь, но что команда не возвращается это как-то странно помоему. Есть у него возможность просмотреть список подобных правил, добавилось оно или нет?

Цитата:

Сообщение от Plague

нет, человеческим..

Это каким же?

*Plague* · 12.12.2010, 19:24

Цитата:

Сообщение от Hubbitus

не понял что ты под интерактивностью подразумеваешь

http://www.freebsd.org/cgi/man.cgi?q...SE&format=html

Цитата:

The ngctl utility creates a new netgraph node of type socket which can be used to issue netgraph commands. If no -f flag is given, no command is supplied on the command line, and standard input is a tty, ngctl will enter interactive mode.

что собственно и имеем:

Код:

# /usr/sbin/ngctl -f- <<-SEQ
?   mkpeer ipfw: patch 300 in
?   name ipfw:300 tos_chg
?   msg tos_chg: setconfig { count=2 csum_flags=1 ops=[ \
?     { mode=7 value=0xf7 length=1 offset=1 } \
?     { mode=8 value=0x02 length=1 offset=1 } ] }
? SEQ
? /sbin/ipfw add 160 netgraph 600 ip from any to any not dst-port 80
? 
?
^c

я вообще думаю что управление ipfw (последняя строка) должна быть уже после завершения действий с ngctl результатом которых должен создаться некий "инжект", который ipfw вызывает по этой команде. но раз ничего не завершается, ничего не создается, а следовательно ничего и не цепляется в ipfw.

вариант создания файла "tos_patch" содержанием

Код:

mkpeer ipfw: patch 300 in                
name ipfw:300 tos_chg                    
 msg tos_chg: setconfig { count=2 csum_flags=1 ops=[ \
  { mode=7 value=0xf7 length=1 offset=1 } \
  { mode=8 value=0x02 length=1 offset=1 } ] }

с последующей
# ngctl -f tos_patch
даёт

Код:

ngctl: send msg: No such file or directory
ngctl: line 1: error in file

Цитата:

Сообщение от Hubbitus

Это каким же?

гуёвым...

ps. у меня вообще складывается ощущение что этот мануал все дружно друг с друга поперепостили, поаплодировали, но на практике никто даже не пытался применить, ибо никаких обсуждений, более развернутых нежели тупой репостинг ссылок из первого поста и "ура, круто!" в комментах к нему, лично мне нагуглить не удалось...

Hubbitus · 12.12.2010, 20:47

Цитата:

Сообщение от Plague

что собственно и имеем:

Здрасте

Цитата:

Сообщение от Plague

If no -f flag is given

А у нас именно он и есть.

Цитата:

Сообщение от Plague

я вообще думаю что управление ipfw (последняя строка) должна быть уже после завершения действий с ngctl результатом которых должен создаться некий "инжект", который ipfw вызывает по этой команде. но раз ничего не завершается, ничего не создается, а следовательно ничего и не цепляется в ipfw.

Разумеется.

Ты просто скопируй эти строчки все в скрипт, и выполни уже его. Причем лучше под башем, потому что там используется расширенный HEREDOC синтаксис, и вполне с ним в других шеллах могут быть проблемы. Ну или создай отдельный файл для этого правила и используй уже его в команде.

*Plague* · 12.12.2010, 21:01

Цитата:

Сообщение от Hubbitus

Здрасте.
А у нас именно он и есть.

добрый вечер

. о чем и говорю, что несмотря на это "-f" оно все равно в данном случае не работает как надо.
оно не работает и в интерактиве кстати, где шелл уже совсем не причем (ключ d добавлен для переключение его в более разговорчивый режим):

Код:

# ngctl -d
Available commands:
  config     get or set configuration of node at <path>
...
[overquote deleted]
...
+ mkpeer ipfw: patch 300 in
ngctl: sendto(ipfw:): No such file or directory
ngctl: send msg: No such file or directory
+ 
^C

да и в баше тоже:

Код:

[20:51:31:/home/plague]# bash
[root@freebsd /home/plague]# /usr/sbin/ngctl -f- <<-SEQ
>   mkpeer ipfw: patch 300 in
>   name ipfw:300 tos_chg
>   msg tos_chg: setconfig { count=2 csum_flags=1 ops=[ \
>     { mode=7 value=0xf7 length=1 offset=1 } \
>     { mode=8 value=0x02 length=1 offset=1 } ] }
> SEQ
ngctl: send msg: No such file or directory
ngctl: line 1: error in file

FantomIL · 12.12.2010, 22:55

Plague, оно тебя именно в прикладном значении волнует? То бишь для руления приоритетом трафика?
Я боюсь ошибиться, но PF на FreeBSD это всегда умел делать, причем как по CBQ так и по PQ.
Директива queue трафик priority значение вроде давно в PF существует.
И кстати синтаксис вполне себе человеческий

Естественно, что ядро придется с поддержкой ALTQ скомпилировать.
Или задачу надо было решить исключительно под IPFW?

*Plague* · 12.12.2010, 23:32

Цитата:

Сообщение от FantomIL

оно тебя именно в прикладном значении волнует?

ну, в общем наверное, теперь уже и в обще-теоретическом

. Типа уже просто вообще интересно стало как заставить эту хрень работать. Про PF возможно тож интересно было бы в общем смысле; но ipfw по-любому фунциклирует, посему если уж не в теории, а именно в практическом применении, то правильней на нем и рулить, дабы лишних огородов не сооружать..

Цитата:

Сообщение от FantomIL

ядро придется с поддержкой ALTQ скомпилировать

туплю блин. как проверить включена поддержка оного иль нет? kldstat ничего про то не говорит, но по-моему это несколько другая опера, хоть и близко..

Hubbitus · 13.12.2010, 00:22

Цитата:

Сообщение от Plague

ngctl: send msg: No such file or directory

Во, вот это уже ближе к истине, по крайней мере он вернулся с ответом.

Все же мне кажется ошибка синтаксиса где-то. Попробуй приаттаченный файл просто выполнить. Та же ошибка?

FantomIL · 13.12.2010, 10:37

По поводу ALTQ. Я, честно говоря, не знаю способа проверьть есть ли поддержка его в ядре или нет, кроме как попробовав стартовать PF. Если поддержки нет, то он выругается на это и скажет, что опции руления очередями недоступны.
Да, кстати, в хендбуке написано, что не все драйвера сетевых карт поддерживают ALTQ, но я, честно говоря, с такими еще не сталкивался.

*Plague* · 13.12.2010, 13:31

Цитата:

Сообщение от Hubbitus

Та же ошибка?

да, один-в-один.
сейчас читаю вот эти чтивы:
http://www.magxak.ru/xa117/140/1.htm
http://forum.lissyara.su/viewtopic.php?f=8&t=20448
не совсем о том, но близко.. может найдется ответ...

Hubbitus · 13.12.2010, 14:06

Странно

Цитата:

Сообщение от Plague

ngctl: send msg: No such file or directory

А все модули нужные подгрузил в ядро?
Не совсем по твоей теме, но везде говорят что этой ошибки это основное объяснение:
http://www.opennet.ru/openforum/vslu...ID1/66139.html
http://3nity.ru/viewtopic.php?t=5276

*Plague* · 13.12.2010, 14:16

Цитата:

Сообщение от Hubbitus

А все модули нужные подгрузил в ядро?

знать бы еще какие нужны... Мануал http://www.freebsd.org/cgi/man.cgi?q...le&format=html не очень-то красноречив по этому поводу...

Код:

# ngctl list
There are 1 total nodes:
  Name: ngctl1928       Type: socket          ID: 00000001   Num hooks: 0

Код:

# kldstat
Id Refs Address    Size     Name
 1   56 0xc0400000 ad3de4   kernel
 2    1 0xc0ed4000 1f50     ntfs_iconv.ko
 3    2 0xc0ed6000 cb1c     ntfs.ko
 4    5 0xc0ee3000 4de0     libiconv.ko
 5    1 0xc0ee8000 593c     if_tap.ko
 6    1 0xc0eee000 7120     snd_ich.ko
 7    2 0xc0ef6000 566f4    sound.ko
 8    1 0xc0f4d000 2534     accf_http.ko
 9    1 0xc0f50000 74e8     ng_ubt.ko
10    5 0xc0f58000 d944     netgraph.ko
11    2 0xc0f66000 de7c     ng_hci.ko
12    2 0xc0f74000 23a0     ng_bluetooth.ko
13    1 0xc0f77000 1f98     msdosfs_iconv.ko
14    1 0xc0f79000 1f84     cd9660_iconv.ko
15    1 0xc0f7b000 1f34     udf_iconv.ko
16    2 0xc0f7d000 79bc     udf.ko
17    1 0xc0f85000 2b0c     ng_patch.ko
18    1 0xc0f88000 4f90     atapicam.ko
19    1 0xc4b9a000 26000    linux.ko
20    1 0xc4c97000 e000     fuse.ko
21    1 0xc501d000 2000     blank_saver.ko
22    1 0xc5f08000 4000     ng_socket.ko

ps. ipfw собрано в ядре

Hubbitus · 13.12.2010, 14:54

Ну ng_patch подгружен... А какие еще есть ng_*?

*Plague* · 13.12.2010, 15:10

много... 58 штук

Нажмите здесь, чтобы увидеть текст полностью

ng_UI.ko
ng_async.ko
ng_atm.ko
ng_atmllc.ko
ng_bluetooth.ko
ng_bpf.ko
ng_bridge.ko
ng_bt3c.ko
ng_btsocket.ko
ng_car.ko
ng_ccatm.ko
ng_cisco.ko
ng_deflate.ko
ng_device.ko
ng_echo.ko
ng_eiface.ko
ng_etf.ko
ng_ether.ko
ng_ether_echo.ko
ng_fec.ko
ng_frame_relay.ko
ng_gif.ko
ng_gif_demux.ko
ng_hci.ko
ng_hole.ko
ng_hub.ko
ng_iface.ko
ng_ip_input.ko
ng_ipfw.ko
ng_ksocket.ko
ng_l2cap.ko
ng_l2tp.ko
ng_lmi.ko
ng_mppc.ko
ng_nat.ko
ng_netflow.ko
ng_one2many.ko
ng_patch.ko
ng_pipe.ko
ng_ppp.ko
ng_pppoe.ko
ng_pptpgre.ko
ng_pred1.ko
ng_rfc1490.ko
ng_socket.ko
ng_source.ko
ng_split.ko
ng_sppp.ko
ng_sscfu.ko
ng_sscop.ko
ng_tag.ko
ng_tcpmss.ko
ng_tee.ko
ng_tty.ko
ng_ubt.ko
ng_uni.ko
ng_vjc.ko
ng_vlan.ko

а вообще модулей - страшно говорить:
ls -l /boot/kernel/*.ko | wc -l
636

Hubbitus · 13.12.2010, 15:22

А что если все 58 подгрузить для теста?
Названия мне ничего не говорят на FreeBSD к сожалению.

*Plague* · 13.12.2010, 16:38

Блин, слона то я и не приметил

kldload ng_ipfw

у лисяры подсказали.

едем дальше: манипуляции из мануала (которые с name ipfw:300 tos_chg) привели тачку в недоступность после добавления команды в ipfw; пришлось звонить домой маме чтоб на ресет нажала

.
Сделал то, что Hubbitus в посте №2 написал - вроде ничо не отвалилось, щас wireshark на работе поставлю, поглядю что в пакетах у меня делается....

12.12.2010, 11:50	# 3
Plague Administrator Регистрация: 06.05.2003 Адрес: Московская Подводная Лодка Пол: Male Сообщения: 12 058	после ввода в консоль exit не отработало, так и осталось на вопросительном знаке, правило в ipfw не добавило; и ни через tcpdump: Код: tcpdump -iem0 -v -A ip host 192.168.1.6 and port 22 \| grep tos ни через wireshark (фильтр по ssh, на клиентской машине) никаких разниц я, соответственно, в пакетах не увидел... ps. в принципе, я сейчас воткнул на роутер прошиву от dd-wrt, и она позволяет выруливать приоритеты потоков (кстати, Hubbitus, ты оказался прав, и при понижении приоритета для торрентов до уровня "грузового/bulk" - они вообще практически работать перестали), так что с одной стороны решение вопроса (я так надеюсь, проверим завтра, - когда работа начнется) найдено другими средствами; но, с другой стороны, разобраться с данной приблудой тоже было бы не лишним.... __________________ все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! ~~~~~~~~~~~~~~~~~~~~~~ The time has come it is quite clear, our antichrist is ~~almost~~ already here. M.M.

12.12.2010, 22:55	# 10
FantomIL NetMOD Регистрация: 19.05.2003 Адрес: МосПодЛод - НачВод-АккОт Сообщения: 2 376	Plague, оно тебя именно в прикладном значении волнует? То бишь для руления приоритетом трафика? Я боюсь ошибиться, но PF на FreeBSD это всегда умел делать, причем как по CBQ так и по PQ. Директива queue трафик priority значение вроде давно в PF существует. И кстати синтаксис вполне себе человеческий Естественно, что ядро придется с поддержкой ALTQ скомпилировать. Или задачу надо было решить исключительно под IPFW? __________________ Красная точка лазерного прицела на вашем лбу это тоже чья-то точка зрения... --------- Репутация – это то, без чего могут жить люди с характером

13.12.2010, 10:37	# 13
FantomIL NetMOD Регистрация: 19.05.2003 Адрес: МосПодЛод - НачВод-АккОт Сообщения: 2 376	По поводу ALTQ. Я, честно говоря, не знаю способа проверьть есть ли поддержка его в ядре или нет, кроме как попробовав стартовать PF. Если поддержки нет, то он выругается на это и скажет, что опции руления очередями недоступны. Да, кстати, в хендбуке написано, что не все драйвера сетевых карт поддерживают ALTQ, но я, честно говоря, с такими еще не сталкивался. __________________ Красная точка лазерного прицела на вашем лбу это тоже чья-то точка зрения... --------- Репутация – это то, без чего могут жить люди с характером

13.12.2010, 14:54	# 17
Hubbitus мод IMHO Кодер-200(6,7,8) Регистрация: 29.03.2003 Адрес: Saint-Petersburg, Russia Пол: Male Сообщения: 2 734	Ну ng_patch подгружен... А какие еще есть ng_*? __________________ Я делаю Линукс! Присоединяйтесь к свободным людям! Связаться со мной всегда можно по джабберу: Hubbitus@jabber.ru Pahan-Hubbitus.

13.12.2010, 15:10	# 18
Plague Administrator Регистрация: 06.05.2003 Адрес: Московская Подводная Лодка Пол: Male Сообщения: 12 058	много... 58 штук Нажмите здесь, чтобы увидеть текст полностью ng_UI.ko ng_async.ko ng_atm.ko ng_atmllc.ko ng_bluetooth.ko ng_bpf.ko ng_bridge.ko ng_bt3c.ko ng_btsocket.ko ng_car.ko ng_ccatm.ko ng_cisco.ko ng_deflate.ko ng_device.ko ng_echo.ko ng_eiface.ko ng_etf.ko ng_ether.ko ng_ether_echo.ko ng_fec.ko ng_frame_relay.ko ng_gif.ko ng_gif_demux.ko ng_hci.ko ng_hole.ko ng_hub.ko ng_iface.ko ng_ip_input.ko ng_ipfw.ko ng_ksocket.ko ng_l2cap.ko ng_l2tp.ko ng_lmi.ko ng_mppc.ko ng_nat.ko ng_netflow.ko ng_one2many.ko ng_patch.ko ng_pipe.ko ng_ppp.ko ng_pppoe.ko ng_pptpgre.ko ng_pred1.ko ng_rfc1490.ko ng_socket.ko ng_source.ko ng_split.ko ng_sppp.ko ng_sscfu.ko ng_sscop.ko ng_tag.ko ng_tcpmss.ko ng_tee.ko ng_tty.ko ng_ubt.ko ng_uni.ko ng_vjc.ko ng_vlan.ko а вообще модулей - страшно говорить: ls -l /boot/kernel/.ko \| wc -l 636 __________________ все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! ~~~~~~~~~~~~~~~~~~~~~~ The time has come it is quite clear, our antichrist is* ~~almost~~ already here. M.M.

13.12.2010, 15:22	# 19
Hubbitus мод IMHO Кодер-200(6,7,8) Регистрация: 29.03.2003 Адрес: Saint-Petersburg, Russia Пол: Male Сообщения: 2 734	А что если все 58 подгрузить для теста? Названия мне ничего не говорят на FreeBSD к сожалению. __________________ Я делаю Линукс! Присоединяйтесь к свободным людям! Связаться со мной всегда можно по джабберу: Hubbitus@jabber.ru Pahan-Hubbitus.

13.12.2010, 16:38	# 20
Plague Administrator Регистрация: 06.05.2003 Адрес: Московская Подводная Лодка Пол: Male Сообщения: 12 058	Блин, слона то я и не приметил kldload ng_ipfw у лисяры подсказали. едем дальше: манипуляции из мануала (которые с name ipfw:300 tos_chg) привели тачку в недоступность после добавления команды в ipfw; пришлось звонить домой маме чтоб на ресет нажала . Сделал то, что Hubbitus в посте №2 написал - вроде ничо не отвалилось, щас wireshark на работе поставлю, поглядю что в пакетах у меня делается.... __________________ все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! ~~~~~~~~~~~~~~~~~~~~~~ The time has come it is quite clear, our antichrist is ~~almost~~ already here. M.M.