Erweiterung der Firewall und Qos-Regeln

[Lars]

Und gerade bei Consolensessions willst Du alle Pakete so schnell wie möglich übertragen haben - egal wie groß sie sind.

Also SSH und RDP sind die Gegenbeispiele die mir sofort einfallen und recht häufig sind.

Wie ist das eigentlich im Moment bei FTP Verbindungen? Gehen da die Verzeichnisinformationen über einen anderen Port als die Dateien?

Gruß, Lars

[Lars]

ja, du tust mir auch leid ein Entwickler der so einen billigen Zusammenhang nicht erkennt ist mir auch schon lange nicht mehr untergekommen.

Und zu der Spielzeugsache, andere Produkte bieten diese Möglichkeiten, bei Firewall und Qos demnach scheint es bei der Lancom Firewall noch nicht mal als Spielzeug zu taugen.

Wenn auch in der Sache zum Teil korrekt, so ist dein Tolfall imho reichlich unmöglich.

Gruß, Lars

[Casey]

Wenn auch in der Sache zum Teil korrekt, so ist dein Tolfall imho reichlich unmöglich.

Backslash fing an persönlich zu werden, von Spielzeug zu reden, zu bezweifeln das ich seine Postings lese und abzustreiten das mein Vorschlag ein bestehendes Problem löst.

Wenn ich hunderte von Regeln erstellen muss für etwas bei dem mit den richtigen Möglichkeiten zwei Regeln ausreichen würden oder es gar nicht lösbar ist sehe ich da definitiv ein Problem.

[LoUiS]

Lars hat folgendes geschrieben:
Wenn auch in der Sache zum Teil korrekt, so ist dein Tolfall imho reichlich unmöglich.


Backslash fing an persönlich zu werden, von Spielzeug zu reden, zu bezweifeln das ich seine Postings lese und abzustreiten das mein Vorschlag ein bestehendes Problem löst.

Casey,

Dein Ton gefaellt mir hier auch nicht! Du hast mit diesem Flaming angefangen und Backslash hat nur sein Echo darauf gegeben, spaeter hat er sich dann auf Deinen Level herabgelassen!
Bedenke bitte, wir sind hier nicht Deine Leibeigenen, sondern machen dieses Forum aus Spass in unserer Freizeit. Die Moeglichkeit hier ueberhaupt Feature Requests zu stellen solltest Du nicht Durch Deine, in meinen Augen, sinnlose Diskutiererei kaputt machen. Wir nehmen alle Deine hier gestellten Anfragen zur Kenntnis und wenn es irgendwo in die Plaene passt, werden wir umsetzen was uns sinnvoll erscheint.
Du persoenlich hinterlaesst bei mir den Eindruck, als ob man Dich nicht von Deiner einmal festgelegten Meinung abbringen koennete, egal wie sinnvoll man mit dir diskutiert. Du scheinst sehr von Dir eingenommen zu sein.
Beendet diesen Thread nun, da er keinem mehr nutzt. Danke.

Ciao
LoUiS

[Hart]

Hallo Leute!

Also aus meiner Sicht war diese Diskussion sehr interessant und hat zumindest mir einige neue Erkenntnisse gebracht.

Casey, du hast dich eindeutig sehr mit der Problematik beschäftigt und ich konnte deinen Ausführungen gut folgen und haben den Eindruck gewonnen, dass dir ein entsprechendes Feature helfen würde. Letzendlich stellt sich aber immer die Frage ob ein solches Feature auch die "breite Masse" brauch. Aus meiner Erfahrung heraus sage ich nein. Bei uns gehen neben LANCOM Produkten auch andere Produkte (CISCO, Bintec, ...) über den Tisch. Es gibt immer wieder mal einen Kunden, der sich ein bestimmtes Feature wünschen und dieses in ihrem Szenario auch sinnvoll einsetzen können. Doch für mich stellt sich dabei die Frage, ob das entsprechende Feature, wenn es implementiert werden würde, dann auch wirklich allgemein genutzt wird oder nur von diesem Kunden und eventuell einer Hand voll weiterer. Und häufig gibt es ja doch, wenn auch etwas aufwendiger, die Möglichkeit über Konfigurationen eine solche Funktion zu nutzen.

Die Methode, wir packen alles rein was geht, ist nach meiner Überzeugung keine vernünftige Produktpolitik. Und somit wird jeder Hersteller, auch LANCOM, immer abwägen, was wirklich sinnvoll ist und was nicht.

Was ich an diesem Forum klasse finde ist die Bereitschaft von Entwicklern, sich auch kritischen Fragen zu stellen und dafür Zeit zu opfern. Wenn ich mir überlege, dass dieses Forum nicht unbedingt neue Kundschaft bringt und wenn doch, diese zumindest kaum gemessen werden kann, dann empfinde ich dies als zusätzlichen Service eines Unternehmens mit einem hervorragenden Produktsortiment und zeigt meiner Meinung nach die hohe Bereitschaft auch Anregungen aufzunehmen, diese intern zu prüfen und dann vielleicht sogar zu implementieren.

Ich finde deshalb das Diskussion hier möglichst sachlich und höflich geführt werden sollten, gerade wenn unterschiedliche Überzeugungen aufkommen.

Und für dich Casey vielleicht noch die Anregung, schau dich doch mal auf dem Markt um. Eventuell findest du ja einen Router der deinen grundsätzlichen Anforderungen entspricht und das entsprechende Feature besitzt. Und falls dem nicht so ist, eventuell denkst du ja noch einmal über eine softwareseitige Lösung nach. Das interessante und zugleich herausfordernde an der IT sind doch die individuellen Anforderungen und Lösungen eines jeden Anwenders und Unternehmens. LANCOM deckt mit seinen Produkten einen sehr großen Bereich dieser Anforderungen hab, dies bestätigen mir die guten Verkaufszahlen der Produkte in meinem Team, doch ich glaube es wird nie ein Produkt geben, welches wirklich alle nur erdenklichen Anforderungen abdeckt.

Gruß, Daniel

[Lars]

Es gibt immer wieder mal einen Kunden, der sich ein bestimmtes Feature wünschen und dieses in ihrem Szenario auch sinnvoll einsetzen können. Doch für mich stellt sich dabei die Frage, ob das entsprechende Feature, wenn es implementiert werden würde, dann auch wirklich allgemein genutzt wird oder nur von diesem Kunden und eventuell einer Hand voll weiterer.

Wobei dieses Feature eine sehr einfache Handhabung der Priorisierung von SSH und RDP Konsolen Sitzung erlaubt, und gleichzeitig die Drucker/Datei oder sonstigen Transfers nicht begünstigt. Und SSH und RDP habe ein sehr große Verbreitung.

Gruß, Lars[/code]

[janlange]

Unabhängig vom Diskussionsnivou von dir Casey, muss ich dir trotzdem mal voll zustimmen.

Auf Basis von Paketgrößen zu Priorisieren macht auch für mich Sinn.

Ich hab für meinen Home-Linux-Router (bevor ich n Lancom gekauft hab) ein Traffic Shaping Script "programmiert"

Ich Priorisiere RDP und SSH Sitzungen nicht anhand von Bandbreitenreservierung sondern Anhand von Level's

Die Pakete werden über die iptables Firewall makiert mit ner ID von 1 bis (z.b.) 6.

Pakete aus der Gruppe 1 werden als erstes durchgelassen (sprich nach vorne in die Queue sortiert). Die Gruppe 6 ist die "langsamste"

Als Default Regel werden erstmal alle Pakete mit 6 makiert.
danach gibs regeln die SSH, Ping, RDP mit 1 und 2 makieren.
HTTP/FTP liegt auf 3
(wenn jemand surft, darf er SSH/RDP nicht stören, soll aber webseiten trotzdem priorisiert anfordern können gegen über level 4-6)

Die Makierung auf Level 3 erfolgt ja wie eben erwähnt in der firewall per iptables, hier hab ich der firewall gesagt, makiere nur http/ftp pakete die zwischen 0 und (glaub) 512byte liegen.

Auf Level 5 liegen alle pakete zwischen 512 bis maximum.
Level 6 ist bei mir reserviert für "unbekannte verbindungen" und halt speziell edonkey.

Wobei ich festgestellt habe, das wenn man edonkey's 4661 Pakete (zum Server) und 0-512byte Pakete auf Port 4662 (datenverbindungen) auf Level 3 priorisiert, das n ordentlichen schub gibt.

Die Server Verbindung braucht der Esel ja für Abfragen, wo er Quellen für die herunterzuladenen Files hat.
Über 4662 gehen auch steuerbefehle (schick mir nächstes Paket z.b.) und nicht nur die eigentlichen "Daten"

Edonkey hat die Angewohnheit sich selbst auszubremsen durch zu viele verbindungen (die den "billig" DSL Router an die cpu grenzen bringt) so dass steuerbefehle auch langsamer durch die leitung gehen. Aber auch bei meinen Linux Server DSL Router hat es Performanceschübe durch das script gegeben.


Kurz: Was ich will:
Mir ist sch*** egal wieviele PC's mit welchen Diensten auch immer die 6mbit Leitung hier vollstopfen und bis an die Belastungsgrenzen bringen
Hauptsache wenn ein HTTP Request oder SSH Request kommt, soll der mit vollem speed als ERSTES durch die Leitung.

_und_ das funzte echt wunnerbar, hab mit allen möglichen kram meine Leitung mit 100erten TCP Verbindungen zugestopft (mit voller bandbreite upload und download)

hab ne website aufgerufen, und sie wurde fast genauso schnell aufgerufen wie bei keiner auslastung.
Fast = Browser prüfen ob die bilder im cache noch aktuell sind, dazu wird ne kurze status info an den Server geschickt (aha!! kleines tcp-paket)
ist das der Fall kommt das Bild ausm Cache.
der HTML Quelltext ist in der regel so klein der kommt eh immer zügig durch.

Bilder von neuen Websites dauern wohl deutlich spürbar ein wenig länger, aber auch das ist akzeptabel weil große tcp pakete auf level 5 und nicht auf level 6 bei mir priorisiert werden.

Hab den Lancom erst seit knapp ner Woche, ich hoffe einfahc mal in kann das was ich unter linux erstellt hab in etwa auch dort abbilden. wär schön.

Grüße
Jan Lange

[ittk]

Hallo,

wie wäre es mit der Idee die QOS-Regeln hinsichtlich Mindestbandbreite fr gewisse Dienste "dynamisch" beim Einschreiten eines ISDN-Backup Falles konfigurieren zu können.

Folgende Alternativen scheben mir vor:

1: Zusätzliche Spalte, mit anzugebenden QoS Werten, "gilt wenn ISDN-Backup für DSL Verbindung einspringt".

2: Die Entscheidung über QoS Reservierungen abhängig von jeweils verwendeten Interface sprich dem DSL-1-4 oder ISDN Interface zu machen.

Also gutum die Firewall um die Möglichkeit zu Erweitern die gesamten betroffenen Interfaces (insofern sie im LCOS so angesteuert werden können --> dass nimmt imho die Switch Ports aus), dass die Regel auch nur für Traffic gilt, der über die Interfaces läuft.

Hie rmüsste nur für eine Logik beim ISDN Interface gesorgt werden, die die regel auch nur dnan wirksam werden lässt, sobald das Event DSL-nicht verfügbar eintritt und z.B. nicht wenn eine RAS ISDN Einwahl erfolgt, aber diese Funktionalität dürfte soweit schon vorhanden sein, da der Router ja anhand der Backup-Tabelle die Anprechpartner der ISDN Gegenstellen kennt.