English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành *nix Một câu hỏi về mạng  XML
  [Question]   Một câu hỏi về mạng 25/08/2012 06:51:30 (+0700) | #1 | 268731
lion1102
Member
[Minus]    0    [Plus]
Joined: 13/08/2012 22:42:16
Messages: 15
Offline
[Profile] [PM]
Xin chào mọi người,

Mình có mô hình mạng như sau:


LAN ------------- (eth0) Linux FW (eth1) -------------- Internet


Linux FW này mình xét pppoe lấy IP từ ISP trên interface ppp0, còn interface eth1 thì không set (mình làm theo 1 hướng dẫn ở trên mạng), còn modem ADSL thì mình để ở chế độ Bridge.

LAN có 60 máy tính kết nối ra Internet, có lúc đồng thời cả 60 máy kết nối, có lúc không. Mình đã set rules chặn các port chỉ mở port 80, 443, 5050, 25, 110, 995, 465 ra ngoài Internet. Mọi người truy cập ra vẫn bình thường, thỉnh thoảng có hơi chậm 1 chút và download cực chậm, có lúc voice call qua skype lại bị disconnect, phải connect lại. Chỉ khoảng 20KB/s.
Các dịch vụ mà mình sử dụng: duyệt web, sử dụng Google Apps, Skype, Mail offline.
Mạng mình dùng ADSL gói cao nhất của VNPT là 10Mbps.

Nhờ mọi người giải đáp vài thắc mắc của mình

- Việc mình set như vậy có đúng không? Nếu đúng sao thỉnh thoảng lại vào chậm, và skype thỉnh thoảng bị disconnect?
- Liệu vấn đề này có liên quan gì tới MTU & QoS không? Vì MTU thì trên interface eth0 mình vẫn để mặc định là 1500, trên interface ppp0 thì set tự động là 1492 & QoS mình cũng chưa set (mình biết là nên set QoS nhưng mình đọc tài liệu ở trên trang http://lartc.org/ mà chưa hiểu smilie )
- 1 câu hỏi nữa liên quan đến QoS: mọi người có thể phân tích sự khác nhau của các classes trong iproute2 và các trường hợp khi nào dùng classes nào thì phù hợp được không?

Hơi ngoài lề ở đây 1 chút: thấy bác conmale nói rằng không nên dùng linux làm firewall NAT 2 lần nếu modem đã NAT rồi. Lý do vì sao mà lại không nên NAT 2 lần?

Xin cám ơn vì đã đọc bài và cho mình ý kiến
[Up] [Print Copy]
  [Question]   Một câu hỏi về mạng 26/08/2012 20:42:36 (+0700) | #2 | 268789
[Avatar]
 tranhuuphuoc
Moderator
Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline
[Profile] [PM] [WWW]

lion1102 wrote:
Xin chào mọi người,

Mình có mô hình mạng như sau:


LAN ------------- (eth0) Linux FW (eth1) -------------- Internet


Linux FW này mình xét pppoe lấy IP từ ISP trên interface ppp0, còn interface eth1 thì không set (mình làm theo 1 hướng dẫn ở trên mạng), còn modem ADSL thì mình để ở chế độ Bridge.

LAN có 60 máy tính kết nối ra Internet, có lúc đồng thời cả 60 máy kết nối, có lúc không. Mình đã set rules chặn các port chỉ mở port 80, 443, 5050, 25, 110, 995, 465 ra ngoài Internet. Mọi người truy cập ra vẫn bình thường, thỉnh thoảng có hơi chậm 1 chút và download cực chậm, có lúc voice call qua skype lại bị disconnect, phải connect lại. Chỉ khoảng 20KB/s.
Các dịch vụ mà mình sử dụng: duyệt web, sử dụng Google Apps, Skype, Mail offline.
Mạng mình dùng ADSL gói cao nhất của VNPT là 10Mbps.

Nhờ mọi người giải đáp vài thắc mắc của mình

- Việc mình set như vậy có đúng không? Nếu đúng sao thỉnh thoảng lại vào chậm, và skype thỉnh thoảng bị disconnect?
- Liệu vấn đề này có liên quan gì tới MTU & QoS không? Vì MTU thì trên interface eth0 mình vẫn để mặc định là 1500, trên interface ppp0 thì set tự động là 1492 & QoS mình cũng chưa set (mình biết là nên set QoS nhưng mình đọc tài liệu ở trên trang http://lartc.org/ mà chưa hiểu smilie )
- 1 câu hỏi nữa liên quan đến QoS: mọi người có thể phân tích sự khác nhau của các classes trong iproute2 và các trường hợp khi nào dùng classes nào thì phù hợp được không?

Hơi ngoài lề ở đây 1 chút: thấy bác conmale nói rằng không nên dùng linux làm firewall NAT 2 lần nếu modem đã NAT rồi. Lý do vì sao mà lại không nên NAT 2 lần?

Xin cám ơn vì đã đọc bài và cho mình ý kiến 


Giá trị MTU và QoS đứng dưới góc độ end-user thì không cần quan tâm vì phần này là do ISP cung cấp, thiết lập. Tinh chỉnh, điều chỉnh chúng phụ thuộc vào cổng uplink kết nối đến ISP, xem lại thuật ngữ "thắt nút cổ chai" .
Không nên NAT 2 lần vì như thế giảm thiểu rất rõ rệt tốc độ của đường truyền.
[Up] [Print Copy]
  [Question]   Một câu hỏi về mạng 27/08/2012 09:18:49 (+0700) | #3 | 268799
lion1102
Member
[Minus]    0    [Plus]
Joined: 13/08/2012 22:42:16
Messages: 15
Offline
[Profile] [PM]

tranhuuphuoc wrote:

lion1102 wrote:
Xin chào mọi người,

Mình có mô hình mạng như sau:


LAN ------------- (eth0) Linux FW (eth1) -------------- Internet


Linux FW này mình xét pppoe lấy IP từ ISP trên interface ppp0, còn interface eth1 thì không set (mình làm theo 1 hướng dẫn ở trên mạng), còn modem ADSL thì mình để ở chế độ Bridge.

LAN có 60 máy tính kết nối ra Internet, có lúc đồng thời cả 60 máy kết nối, có lúc không. Mình đã set rules chặn các port chỉ mở port 80, 443, 5050, 25, 110, 995, 465 ra ngoài Internet. Mọi người truy cập ra vẫn bình thường, thỉnh thoảng có hơi chậm 1 chút và download cực chậm, có lúc voice call qua skype lại bị disconnect, phải connect lại. Chỉ khoảng 20KB/s.
Các dịch vụ mà mình sử dụng: duyệt web, sử dụng Google Apps, Skype, Mail offline.
Mạng mình dùng ADSL gói cao nhất của VNPT là 10Mbps.

Nhờ mọi người giải đáp vài thắc mắc của mình

- Việc mình set như vậy có đúng không? Nếu đúng sao thỉnh thoảng lại vào chậm, và skype thỉnh thoảng bị disconnect?
- Liệu vấn đề này có liên quan gì tới MTU & QoS không? Vì MTU thì trên interface eth0 mình vẫn để mặc định là 1500, trên interface ppp0 thì set tự động là 1492 & QoS mình cũng chưa set (mình biết là nên set QoS nhưng mình đọc tài liệu ở trên trang http://lartc.org/ mà chưa hiểu smilie )
- 1 câu hỏi nữa liên quan đến QoS: mọi người có thể phân tích sự khác nhau của các classes trong iproute2 và các trường hợp khi nào dùng classes nào thì phù hợp được không?

Hơi ngoài lề ở đây 1 chút: thấy bác conmale nói rằng không nên dùng linux làm firewall NAT 2 lần nếu modem đã NAT rồi. Lý do vì sao mà lại không nên NAT 2 lần?

Xin cám ơn vì đã đọc bài và cho mình ý kiến 


Giá trị MTU và QoS đứng dưới góc độ end-user thì không cần quan tâm vì phần này là do ISP cung cấp, thiết lập. Tinh chỉnh, điều chỉnh chúng phụ thuộc vào cổng uplink kết nối đến ISP, xem lại thuật ngữ "thắt nút cổ chai" .
Không nên NAT 2 lần vì như thế giảm thiểu rất rõ rệt tốc độ của đường truyền.  


Em muốn set QoS trong mạng nội bộ để han chế mọi người trong mạng LAN download bittorrent ... bác ạ
[Up] [Print Copy]
  [Question]   Một câu hỏi về mạng 30/08/2012 12:49:46 (+0700) | #4 | 268905
myquartz
Member
[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Khi một người trong mạng kéo Bittorrent thì băng thông to đến mấy cũng bị nó hút sạch sẽ, không chậm mới là lạ.

QoS thì bạn đọc các hướng dẫn trong quyền Linux Advance Routing and Traffic Control, nhưng việc chống Bit cũng rất khó nếu không áp dụng kiểm soát cả ở mức application. Lý do là ở lớp 4 trở xuống, GW không thể "limit" luồng down (từ Internet về GW), chỉ có thể delay data lại không chuyển cho client và client sẽ không ack và phía nguồn sẽ giảm bớt việc đẩy dữ liệu về. Một số proxy, ví dụ squid, có delay pool và có thể giảm bớt tác hại của torrent (điều kiện là mọi thứ phải qua squid).
[Up] [Print Copy]
  [Question]   Một câu hỏi về mạng 30/08/2012 15:32:50 (+0700) | #5 | 268912
lion1102
Member
[Minus]    0    [Plus]
Joined: 13/08/2012 22:42:16
Messages: 15
Offline
[Profile] [PM]

myquartz wrote:
Khi một người trong mạng kéo Bittorrent thì băng thông to đến mấy cũng bị nó hút sạch sẽ, không chậm mới là lạ.

QoS thì bạn đọc các hướng dẫn trong quyền Linux Advance Routing and Traffic Control, nhưng việc chống Bit cũng rất khó nếu không áp dụng kiểm soát cả ở mức application. Lý do là ở lớp 4 trở xuống, GW không thể "limit" luồng down (từ Internet về GW), chỉ có thể delay data lại không chuyển cho client và client sẽ không ack và phía nguồn sẽ giảm bớt việc đẩy dữ liệu về. Một số proxy, ví dụ squid, có delay pool và có thể giảm bớt tác hại của torrent (điều kiện là mọi thứ phải qua squid). 


Trong cuốn Designing & Implementing Linux Firewalls & QoS thì có nói việc dùng L7filter. Em cũng đã build lại kernel & iptables để tích hợp với L7filter rồi, em đang tính sử dụng QoS mục đích để giảm lưu lượng download torrent nhưng đang bị rối với các classes của Traffic Control bác ạ.
Em cũng có đọc cuốn Linux Advanced Routing and Traffic Control rồi nhưng đang không biết sử dụng các classes nào của Traffic Control cho hợp lý. Bác có thể ví dụ với từng classes của nó cho em hiểu hơn được không ạ?

Ý bác hướng tất cả các request của client trong mạng LAN trên tất cả các port đến Squid Proxy xử lý ạ? Bác có thể nói rõ hơn ý này cho em được không ạ? Em cũng mới dựng 1 máy chạy Squid Proxy để hướng các request trên port 80 đến máy đấy.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|