[ Introducció ] [
Cas-Estudi
] [ Instal·lació ] [ Configuració base ] [
Àlies ] [ NAT
] [ Regles ] [ DNS ] [ DHCP
] [ Cabal ] [ OpenVPN ] [ Portal
]
[ OpenVPN sense DHCP ] [ spamd
]
El regulador de cabal ALTQ (Alternate Queuing) forma part de Packet Filter (PF), originari d'OpenBSD. Packet Filter (PF) és present com estàndard a FreeBSD des de novembre del 2004. pfSense és una distribució basada en FreeBSD.
ALTQ és un conjunt d'eines de qualitat de servei (QoS) que permeten muntar cues de trànsit, assignant cabals i prioritats. ALTQ disposa de diferents models de funcionament.
pfSense empra cues HFSC (Hierarchical Fair Service Curve) amb funcionalitats ACK, RED (Random Early Detection) i ECN (Explicit Congestion Notification).
Cada cua HFSC (Hierarchical Fair Service Curve) té els següents paràmetres encarregats de garantir el seu cabal:
UpperLimit: Cabal màxim per a la cua. Mai tindrà més trànsit que l'indicat.
RealTime: Cabal mínim per a la cua. Independentment del trànsit que hi hagi a la interfície es garanteix aquest cabal.
LinkShare: HFSC calcula el cabal sobrant a la interfície tenint en compte que es compleixin els cabals mínims (RealTime) de cada cua. Aquest sobrant de cabal es reparteix llavors entre les cues, en funció del seu valor LinkShare. Per exemple, si teniu dues cues amb un 50% a LinkShare i es satura la connexió, ambdues cues presentaran el mateix excés de trànsit. Per contra, si una de les dues cues no necessita cabal sobrant, l'altra l'agafarà tot.
m1: Cabal inicial a assolir en d milisegons.
d: Milisegons que es tardarà a assolir el cabal m1.
m2: Cabal final a assolir. Els paràmetres m1, d i m2 modelen el graó (arrancada) de la cua.
BandWidth: Per comoditat, s'indica aquest paràmetre que, de fet, correspon al valor m2 de LinkShare. Si poseu un valor a m2 de LinkShare el que hi hagi a BandWidth no serveix de res. Es recomana no fer-ho.
A les finestres que pfSense té per a les cues aquests paràmetres es presenten en forma de taula, llevat de BandWidth que figura com a primer paràmetre de la cua:
| m1 | d | m2 | |
| UpperLimit | |||
| RealTime | |||
| LinkShare |
ALTQ
és una mica complex de configurar i ajustar,
pel que pfSense incorpora un
assistent i eines de monitorització de les cues.
[Firewall] [Traffic Shaper]
[Wizard]
Cues creades per l'assistent
Afinament del regulador de cabal
L'altra solució per controlar P2P
La primera vegada que entreu aquí s'executarà l'assistent ...
Atenció! Quan ja tingueu configurat Traffic Shaper la simple entrada a l'assistent desmunta tota la configuració de Traffic Shaper. Si cliqueu sobre el logotip de pfSense es cancel·la l'acció.
Cliqueu sobre el botó 
per continuar amb l'assistent ...
Ara haureu d'indicar:
La interfície de dins (inside) i la velocitat de baixada (download) de la vostra ADSL en kbit/s.
La interfície de fora (outside) i la velocitat de pujada (upload) de la vostra ADSL en kbit/s.
Si podeu mesurar les vostres ADSL usant una eina com MRTG, millor. En el cas exposat s'ha pogut comprovar amb MRTG que "la cosa" no dóna per més de 1.300/250 kbit/s.
Feu
...
A continuació es demana si voleu un
tractament especial per a comunicacions de veu sobre IP. Com que no és el cas,
us salteu la pantalla fent
...
Ara és el moment d'ocupar-se de les connexions P2P. Marqueu aquí les dues primeres caselles, la d'habilitar un trànsit menor per a les aplicacions P2P (Enable) i la de considerar P2P tot allò que no estigui previst (p2pCatchAll):
Feu
per continuar ..
La següent pantalla de l'assistent permet
atorgar trànsit prioritari a diversos jocs. Feu
de nou ...
Ara s'us demanarà si voleu activar el control de prioritats
per a la resta de trànsit. Activeu-lo, amb el que tots els tipus de trànsit
configurables (en aquesta finestra) agafaran la prioritat per defecte (Default priority). Un cop fet
això feu de nou clic a
...
I tindreu la pantalla final de l'assistent ...
Aquí es diu simplement que l'activació de les cues afectarà només a les noves connexions i que si voleu que s'apliqui a totes caldrà reiniciar la taula d'estats (amb possible pèrdua de connexions), anant a [Diagnostics] [States] [Reset States].
Un cop hagueu clicat el botó 
veureu com es recarreguen les regles (ara n'hi ha moltes i prenen el seu temps):
I quan acaba s'ofereix la possibilitat d'anar directament a veure l'estat de les cues creades (Queue Status):
L'assistent us haurà creat les següents cues, amb els següents cabals, prioritats i corba de trànsit:
| Cues-filles de qwanRoot (Cua-mare de WAN) | Cues-filles de qAlumnesRoot (Cua-mare d'Alumnes) | |||||||||||||||||||||||||
| Cabal | Prioritat | Corba | Cabal | Prioritat | Corba | |||||||||||||||||||||
| qwandef és la cua per defecte (la majoria del trànsit). | 1 % | 1 |
|
qAlumnesdef és la cua per defecte (la majoria de trànsit). | 1 % | 1 |
|
|||||||||||||||||||
| qwanacks és la cua d'acús de rebut (ACK). No hi pot haver pèrdues (drops), ja que això talla/enlenteix les connexions. | 25 % | 7 |
|
qAlumnesacks és la cua d'acús de rebut (ACK). No hi pot haver pèrdues (drops), ja que això talla/enlenteix les connexions. | 25 % | 7 |
|
|||||||||||||||||||
| qP2PUp és la cua de pujada a Internet usant aplicacions P2P (Emule, Ares, ...) | 1 % | 1 |
|
qP2PDown és la cua de baixada d'Internet usant aplicacions P2P (Emule, Ares, ...) | 1 % | 1 |
|
|||||||||||||||||||
| qOthersUpH és la cua d'altres pujades a Internet amb prioritat alta (High). No la necessitem! | 25 % | 4 |
|
qOthersDownH és la cua d'altres baixades d'Internet amb prioritat alta (High). No la necessitem! | 25 % | 4 |
|
|||||||||||||||||||
| qOthersUpL és la cua d'altres pujades a Internet amb prioritat baixa (Low). No la necessitem! | 1 % | 2 |
|
qOthersDownL és la cua d'altres baixades d'Internet amb prioritat baixa (Low). No la necessitem! | 1 % | 2 |
|
|||||||||||||||||||
Podreu veure amb més detall què ha fet l'assistent anant a [Firewall][Trafic Shaper] i mirant:
[Queues], que són les cues creades.
[Rules], que són les regles que determinen a quina cua va a parar un determinat tipus de trànsit.
Observeu que les cues qOthers no les necessiteu perquè heu deixat tots els protocols que no són P2P a Default priority, amb la qual cosa van tots per qwandef i qAlumnesdef.
Anant a [Status][Queues] del tallafocs podrem veure gràfics en temps real (pfSense utilitza RRDtool com a eina estadística) i estadístiques que ens diuen:
pps, paquets per segon.
b/s o kb/s (bits per segons o quilobits per segon).
borrows, paquets (ample de banda) agafats a la cua-mare. No aplicable en el nostre cas, ja que només existeix una mare per a totes les cues de pujada o de baixada.
suspends, paquets cancel·lats (?). No n'he vist cap encara i no sé massa què són. No he trobat una documentació clara sobre aquest aspecte.
drops, paquets descartats. Això és el que ens interessa que hi hagi a les cues de menys prioritat i que no hi ha de ser mai a les cues ACK.
Anant a [Firewall] [Traffic Shaper] [Queues] deixem les cues de la següent forma, després de força provatures:
| Cues-filles de qwanRoot (Cua-mare de WAN) | Cues-filles de qAlumnesRoot (Cua-mare d'Alumnes) | |||||||||||||||||||||||||
| Cabal | Prioritat | Corba | Cabal | Prioritat | Corba | |||||||||||||||||||||
| qwandef | 79 % | 3 |
|
qAlumnesdef | 84 % | 3 |
|
|||||||||||||||||||
| qwanacks | 20 % | 7 |
|
qAlumnesacks | 15 % | 7 |
|
|||||||||||||||||||
| qP2PUp | 1 kb/s | 1 |
|
qP2PDown | 1 kb/s | 1 |
|
|||||||||||||||||||
Els canvis fets són suficients per garantir que no hi ha pèrdues de paquets a cap cua llevat de les de P2P, que és el que ens interessa.
L'altra solució per controlar els accessos P2P
L'altra solució per evitar les connexions P2P és adoptar regles de tallafocs i no usar ALTQ.
Per fer això desactivarem Traffic Shaper a [Firewall][Traffic Shaper] i definirem primer els següents àlies:
I a continuació, a la interficie d'Alumnes, on la nostra darrera regla és:
canviarem aquesta regla per les següents:
Amb això autoritzarem només la navegació per Internet, FTP, l'actualització de la data/hora dels ordinadors de la xarxa i eines ICMP (PING i altres). Els ports de 8000 a 8100 són emprats normalment per a streaming (àudio i/o vídeo) o com a ports alternatius en servidors web.
Evidentment aquesta solució és més segura que emprar ALTQ però també és molt més restrictiva.
Autor: Josep Pujadas i Jubany
© 2006-2007. Tots els drets reservats