[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: packet shaper

Jens Benecke schrieb:
> > Gucken in /usr/share/doc/iproute/ip-cref.* unter dem Stichwort "..
> Ich habe rudimentäre Ahnung von Routing (will sagen, Dijksrta & Co

Wichtiger wird es sein, mit iptables zurecht zu kommen. Das 
umfangreichste Howto dazu ist meines Wissens:

http://freshmeat.net/projects/iptables-tutorial/

Zu "ip" gibt es neben .../share/doc/iproute noch www.lartc.org.
"ip rule" benötigst Du nur für die offiziellen IPs der Uni, die 
durchgereicht werden müssen. Dabei geht beides: die Verteilung des 
Traffics komplett mit "ip rule" steuern oder das meiste mit iptables 
machen bzw. dort markieren und dann "ip rule" nur das Notwendigste 
machen lassen. 

> SSH und anderer interaktiver Kram usw. soll weiterhin über die TUHH
> laufen, weil die so gute Latency-Zeiten und schön schnelle pings hat
> und diese Dienste wenig bis kaum Traffic erzeugen.

Ich würde die Logik genau umgekehrt ansetzen: der gesamte Traffic geht 
standardmässig über die Hansenet-DSL und nur explizit ausgewählter 
Verkehr geht über die Uni-SDSL. Das erscheint mir vom Konzept flexibler 
und kontrollierbarer. Dann können die Leute treiben, was sie wollen und 
es werden nur die Dienste über die Uni geführt, deren Traffic und 
Inhalt den vorgegebenen Bedingungen entspricht. Auf den Uni-Uplink 
wird nur geroutet, für die Hansenet-DSL macht man SNAT in der 
POSTROUTING Table.

> Die Alternative ist, daß wir einfach 2 Gateways zur Verfügung stellen
> und die Leute ihren Default-Gateway selbst aussuchen lassen. 

Das sowieso. Und zwar am besten, indem Du Gateway-Konzeptregel No. 1 
folgst, die lautet "Netzwerkkarten, Netzwerkkarten, Netzwerkkarten".
Ich kann immer nur mit dem Kopf schütteln, wenn ein Gateway gerade mal 
eine Karte für Intranet und eine für Extern hat. Immer besser noch eine 
Karte ungenutzt in petto haben. So kann man ohne den laufenden Betrieb 
zu unterbrechen erweitern, umbauen, noch eine DMZ aufmachen, etc.

Ausserdem sollte jeder Uplink eine eigene Netzwerkkarte haben und 
Router/Modem sollten direkt über eine separate Line dran hängen. D.h. 
Kreuzkabel oder separater Mini-Hub. Bitte auf keinen Fall so einen 
Murks, beide Router und das Gateway oder gar noch das ganze Intranet an 
einen gemeinsamen Hub zu hängen. Zumal das sowieso ulkigen Spass mit 
icmp redirects und anderen Effekten bringen würde.

Ich würde den Leuten aber auf jeden Fall auch eine Wahlmöglichkeit 
geben: und zwar gegen die Uni-Linie. Wer Dienste oder Ziel-IPs (z.B. 
Uni-intern), die standardmässig über den Uni-Uplink laufen würden, über 
Hansenet nach draussen führen möchte, sollte das auswählen können. Und 
zwar nicht über verschiedene Gateways, sondern über ein separates 
logisches (nicht physikalisches) Netz mit RFC 1918-IPs. Der Benutzer 
kann so durch die Wahl der eigenen IP festlegen, wie die gesonderten 
Dienste im einzelnen geroutet werden. Es ist für die meisten Leute 
einfacher einen Dienst an eine bestimmte Quell-IP zu binden, als 
diensteorientiert ein bestimmtes Ziel-Gateway anzusteuern ;-)

-- 
rainer@ellinger.de


--
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-request@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Reply to: