 |
|
|
|
| Autor |
Nachricht |
ellegon
Anmeldungsdatum: 11.03.2005
Beiträge: 29
|
 Verfasst am:
Do 05 Jun, 2008 09:09 |
  |
|
Folgendes Problem mit einem halben Lösungsansatz - vielleicht kann mir ja jemand die andere Hälfte beisteuern und das Ergebnis selbst weiterverwursten.
Es kursierte hier schon mehrfach die Anfrage nach einer cron-job-gesteuerten Bandbreitenbegrenzung oder Sperrung für bestimme Dienste mit dazugehörigem Lösungsansatz.
Bei all diesen Anfragen blieb das Problem, daß Firewall-Regeln nur für neue Verbindungen beachtet werden und nicht für bestehende gelten - wenn man also z.B. wilde Dateidownloads von Uhrzeit bis Uhrzeit verhindern wollte und jemand hat vor der ersten Uhrzeit die Verbindung geöffnet funktionierte der Trick nicht.
Ich möchte etwas ähnliches machen: Von Uhrzeit bis Uhrzeit Bandbreitenbegrenzung für einen bestimmten Dienst. (Nachts läuft ein rsync-Task von einem Filial-Server zum Firmen-Zentral-Server über VPN und frißt den gesamten Uplink - wenns mal länger dauert soll er tagsüber mit gedrosselter Bandbreite weiterlaufen aber den Betrieb möglichst wenig stören)
Die zugehörige Firewall-Regel ist erstellt und funktioniert recht gut. Durch Zufall habe ich festgestellt, daß man zumindest teilweise für bestehende Verbindungen gültige Regeln in Parametern ändern kann und die Parameter werden im Betrieb angepaßt und übernommen. In meinem Fall:
Ich habe eine Firewall-Regel zur Bandbreitenbegrenzung, die immer aktiv ist. "Nachts" steht die Begrenzung auf 1000kBit/s (was größer ist als der reale Uplink), daher trifft die Regel nie zu und der Uplink steht fürs Backup zur Verfügung. Tagsüber ändere ich den Parameter auf 300kBit/s (was kleiner ist als der reale Uplink von 500kBit/s), und schon schlägt die Regel zu und begrenzt artig die Bandbreite auch für eine schon bestehende Verbindung.
Manuell im Webinterface bzw. LANConfig funktioniert das alles ganz toll. Jetzt möchte ich das natürlich automatisieren. Nach langem Sermon daher meine Fragen an die Menschen, die das Eingemachte der Kisten kennen:
1.) Ich weiß, der Trick ist schmutzig. Stellt sich trotzdem die Frage, wie hoch die Wahrscheinlichkeit ist, daß er auch in zukünftigen Releases der Firmware noch funktioniert.
2.) In den Lancom-cronjobs bin ich nicht ganz so fit und ich mag kein wget-Script auf irgendeinem Linux-Server schreiben, das mir über die Weboberfläche den Parameter je nach Zeit anpaßt. Kann mir jemand die Formulierung für einen Lancom-cron-job nennen, die die Angabe
im Webinterface unter /Setup/IP-Router/Firewall/Regel-Tabelle Eintrag "Aktion" ändert in
| Code:
|
%Lgtds1000 @v %D %N
|
Vielleicht hilft dieser Trick ja auch Menschen, die bestimmte Verbindungen von Uhrzeit bis Uhrzeit komplett verbieten wollen, man könnte z.B. die maximale Bandbreite im Begrenzungsfall auf 5kBit/s setzen und hätte defacto das gleiche Ergebnis wie ein Verbot  .
Ideen ?
Meinungen ?
Ach ja, wenns wichtig sein sollte: LC1821, F7.26
ellegon. |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
Jirka
Moderator
Anmeldungsdatum: 03.01.2005
Beiträge: 1905
Wohnort: Ex-OPAL-Gebiet
|
| Verfasst am:
Do 05 Jun, 2008 09:29 |
|
|
Hallo allegon,
zu 1) Ich würde sagen die Wahrscheinlichkeit ist recht hoch.
zu 2) set /2/8/10/2/Regelname {7} "%Lgtds1000 @v %D %N"
Viele Grüße,
Jirka |
|
|
|
|
ellegon
Anmeldungsdatum: 11.03.2005
Beiträge: 29
|
| Verfasst am:
Do 05 Jun, 2008 10:05 |
|
|
Cool - getestet - geht - genial !
Danke !
Dieses Forum ist einfach nur klasse....
ellegon. |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Do 05 Jun, 2008 14:13 |
|
|
Hi ellegon
der Trick funktioniert aber auch nur, weil du ein globales Limit verwendest hast, daß nur einmal existiert und von den Verbindungen "nur" referenziert wird. Wenn du das globale Limit änderst, dann gilt das schlagartig für alle Verbindungen, die dieses Limit referenzieren...
Würdest du ein Limit verwenden, daß "pro Verbindung" gilt, dann würde das Limit bei jeder Verbindung dupliziert, weshalb eine Änderung nur bei neuen Verbindungen greift...
Gruß
Backslash |
|
|
|
|
ellegon
Anmeldungsdatum: 11.03.2005
Beiträge: 29
|
| Verfasst am:
Do 05 Jun, 2008 15:07 |
|
|
Gut zu wissen - macht mir aber glücklicherweise keine Probleme sondern nutzt in meinem Falle eher... Aber ich versuche mal es im Hinterkopf zu halten falls mir nochmal nach ähnlichen Schweinereien ist |
|
|
|
|
|
|
|
|
| |
|
|
