Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Pont Réseau avec limitation de bande passante. C'est possible ?

Arthurbean

Bonjour à vous.
Apres une petite recherche sur le net et sur le forum je n'ai pas pu trouver ce que je voulais, je me suis donc décidé à poster sur ce forum.
Alors je vous explique la situation : je voudrais faire un pont comme décrit ici ( http://www.minet.net/spip/spip.php?article42 ), jusqu'ici rien de trop compliqué à part que les liens décrit dans cet article sont périmés. (si vous connaissez un lien vers ces fichiers je ne serais pas contre ^^)
Je suis obligé de prendre cette solution de pont car je suis en adresse publique et que je n'en ai pas des tonnes. Je ne peux donc pas prendre 2 adresses publiques juste pour cette machine.

Voilà le topo : j'ai 5 serveurs en addressage publique, ces 5 serveurs doivent le rester .(Je ne peux pas les mettre en adressage privé et faire du routage).
Je voudrais monitorer la bande passante de ces serveurs avec ntop et si possible pouvoir limiter la bande passante de ces serveurs. La machine qui servira d'analyse et de limitation se placera entre les 5 serveurs et le routeur.
Je me demandais donc si il est possible de le faire de la limitation de bande passante avec ce pont.

Salutations.

paulez

Voilà un guide intéressant pour ce genre de problème : http://www.linux-france.org/prj/inetdoc/guides/lartc/

Je me suis réservé pour réaliser une limitation de la bande passante sur ma passerelle connectée au web ( ce qui permet de ne pas utiliser les fils d'attentes du modem et de garder ainsi un ping optimum ), ainsi qu'une gestion de priorité des flux ( QoS ).

Je pense que tu veux réaliser quelque chose dans ce genre ?

Arthurbean

Merci pour ta réponse. Cet articles est vraiment riche mais il ne correspond pas trop à ce que je recherche.
Je recherche un truc un peu plus simple. A la fin de l'article dans les autres possibilités, il y a CBQ.init. Je recherche un truc dans le genre mais je me demande si ca peut marcher avec une machine configurée en pont...

celmir

En vrac
http://l7-filter.sourceforge.net/
http://bwm-tools.pr.linuxrulz.org/
http://www.bandwidtharbitrator.com/
http://frottle.sourceforge.net/

Arthurbean

Merci pour les quelques liens

Alors j'ai essayé de mettre en place le pont avec ce lien : http://www.minet.net/spip/spip.php?article42
Ensuite j'ai essayé de mettre en place la limitation de bande passante avec ce lien : http://sylvestre.ledru.info/howto/bandwidth.php

Alors le pont fonctionne les paquets travesent la machines sans soucis mais je n'arrive pas à les filtrer. J'ai essayé de tout bloquer sur le firewall mais les paquets traversent quand même la machine.
Alors je ne sais pas si j'ai pas des modules à installer comme décrit dans l'article
Citation:
blabla a écrit :
Tout le support de base d'Iptables est obligatoire pour l'IP Masquerade plus
CONFIG_IP_NF_CONNTRACK
CONFIG_IP_NF_TARGET_MARK --> Ceci est pour le marquage des packets qui vont être bridé.

QoS et fair queueing
CONFIG_NET_SCH_CBQ
CONFIG_NET_CLS_FW
Si oui comment les activer ? (je suis pas encore expert de linux)

Ou j'ai pas installé le support du bridge pour iptables/netfilter ?
Citation:
blabla2 a écrit :
Support noyau du pont

Il faut activer deux options : 802.1d Ethernet Bridging pour le support du pont et netfilter (firewalling) support pour rendre le pont "filtrant".

En tout cas c'est assez intéressant ce firewall sans ip ^^

Arthurbean

Je vais devoir recompiler mon noyau pour activer le support des "modules" ci dessus ? Ou il existe un autre moyen ?

Anvil

Je vois pas pourquoi IPtables rentre dans le sujet, puisqu'un pont, c'est en dessous de la couche IP. Il n'y a aucun paquet IP a ce niveau, juste des trames ( en anglais "frames" je crois) ethernet. Pour faire du shaping, commande `tc' me semble etre la solution, cependant je ne sais pas si elle agit au niveau de la pile IP ou au niveau en dessous. Le lartc howto a sans aucun doute la reponse a cette question.

Pour tes modules, laisse tomber. Ils sont sans doute deja presents.

Arthurbean

Enfait dans le 1er lien que j'ai donné plus haut, iptables/netfilter (je saisis pas bien la différence entre les deux), l'auteur écrit qu'il est possible de faire firewall avec sa machine bridgés.

blabla wrote:Ce document expose l'installation et la configuration d'un "bridge ethernet firewall". Un bridge ethernet firewall, appelé aussi "pont filtrant" ou "bridging firewall", remplit un double rôle.

C'est un pont (ou bridge) qui va permettre de transferer des données d'un réseau à un autre sans les modifier. Ici les réseaux seront connectés par deux cartes réseau. C'est un firewall qui va permettre de filtrer le traffic entre les deux réseaux.

Sachant que le deuxiéme article que j'ai posté traite de la limitation de bande passante avec TC et iptables/netfilter, je me suis dit que je pouvais faire de la imitation de bande passante avec le "bridge ethernet firewall".

Mais plusieurs doutes subsiste :
TC va t'il pouvoir reperer les paquets marqué par iptables/netfilter ?
Ai-je les bonnes options de mon noyau ? Si non je sais pas comment les activer à part recompiler mon noyau ?

Arthurbean

C'est bon la limitation marche. J'ai encore un peu du mal à fixer une limite précise. Si vous avez des questions n'hesitez pas à les poser sur le topic.
Merci pour votre aide