Нужны рекомендации по управлению полосой пропускания

dport 5060

sip я так понимаю? кстати, это нужно уточнить ;)
так вот, sip, это не только spd (5060), но и rtp в диапазоне, к примеру, udp от 16000 до 32000 (нужно уточнять в мануле к используемой ip pbx)

добавлю, возможно проще указать src\dst ip pbx, нежели диапазоны портов

да, sip транк через нат уходит с внутреннего сервера телефония asterisk по старому маршруту в iptables вроде такие диапазоны портов на udp не открыты

хотя да получается если астериск открывает эти порты, они могут не попадать в фильтр...

to fr_butch

подампил на сервере телефонии, действительно выяснилось что основной трафик идет на порты указанные в rtp.conf астериска )) по дефолту это 10000:20000

поправил форвардинг в иптаблесах ...

но еще сам по себе фильтр не верен, заменил на

tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip dport 5060 0xffff flowid 1:10 
tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip sport 5060 0xffff flowid 1:10 

а как тогда в tc указать диапазон портов?

без маркировки в иптаблесах возможно?

http://www.google.ru/search?sourceid=chrome&ie=UTF-8&q=u32 match port...
не скажу, лучше гуглить =)

а как тогда в tc указать диапазон портов?
5060 0xffff

Насчет дипазона хз, но это вроде порт с «маской», делаешь 8192 (14ый бит = 1) с маской 0хd000 (3 певых бита = 1) и получаешь диапазон портов 8192 - 16383

to swelf
да, по маске, пока вроде догоняю суть
1. берем порт пакета
2. побитно умножаем с маской
3. сравниваем с указаным port в фильтре.

т.е. получается для диапазона 8192 - 16383 необходима маска 0хE000.
0010000000000000 = 8192
0011111111111111 = 16383
1110000000000000 = маска

условия для диапазона
1. E = S + R - 1
2. S / R = целое
3. R = 2^N

теперь надо подумать как же подогнать это под нужные цифры ))

Буду исходить из принципа что 1024 порта для RTP протокола для ip телефонии должно быть более чем достаточно, а порты должны быть за 10000 диапазоном.
Итак
R = 1024
S = 1024 * 10 = 10240
E = 10240 + 1024 - 1 = 11263

0010 1000 0000 0000 = 10240
0010 1011 1111 1111 = 11263
1111 1100 000 0000 = 0x7E00

поправьте меня если ошибся, пжалста?

астериск маркирует rtp-пакеты. исходя из этого, ловятся они такими правилами

$TC filter add dev $DEV_IN parent 1: prio 20 protocol ip u32 match ip protocol 17 0xff match ip tos 0x68 0xff flowid 1:20
$TC filter add dev $DEV_IN parent 1: prio 20 protocol ip u32 match ip protocol 17 0xff match ip tos 0xb8 0xff flowid 1:20

з.ы.: http://www.voip-info.org/wiki/view/QoS with Linux using PRIO and HTB

to cac2s
а другие приложения так же не маркируют?
уж что то не хочется связываться с этими маркерами, которые может менять кто угодно - порты конкретно проброшены на нужный ип.

а другие приложения так же не маркируют?

этот вопрос точно не ко мне =)

можете подкрутить под себя в sip.conf:

tos_sip=cs3 ; Sets TOS for SIP packets.
tos_audio=ef ; Sets TOS for RTP audio packets.
tos_video=af41 ; Sets TOS for RTP video packets.

to cac2s
не, мне кажется если уж нужно маркировать, то это проще сделать на шлюзе в иптаблесах НАТа и не привязываться к битам tos.
почему не хочу привязки к ипу? Потому что ип завтра у провайдера сменится и придется вспоминать, что не только в таблесах прописал, но и еще где то.
Астериск крутится на отдельной машине, но весь трафик с локальной сети идет через север-шлюз, который выполняет кучу задач.
Поэтому вопрос еще - кроме телефонии стоит ли еще разделять на очереди и по каким условиям:
2. сайт и личный кабинет
3. почта
4. прокси
5. днс
6. форвардинг служебного трафика

зачем тебе маркировть iptables'ом, если уже есть TOS, который в данном случае и используется для выявления rtp-трафика?

да я как бы вообще не хочу маркировать и привязываться к битам состояния, потому что нет уверенности, что эти метки не ставит кто то другой.
тем более что эти биты еще и указаны в конфе, который не известно - будет меняться или нет.
а порты указаны в таблесах, эти же порты указаны в фильтре дисциплины, кажется это вполне надежно.

1. tos — это далеко не биты состояния
2. пакетные менеджеры при обновлениях спрашивают тебя о том что делать с новым конфигом и делают бэкапы
3. проты, большие 1024 — далеко не панацея

в общем, решать тебе: сделать тяп-ляп или как положено

з.ы.: и не нужно так пароноить по поводу другого, ставящего такие же метки.

ок.
1. ТОС - тип обслуживания пакетов, могу ли я ставить любой какой захочу? могу хоть в чем угодно, хоть какие угодно. В букваре по tc шейпингу написано не дословно - выполнение проверки для tos приложением которое «правильно выставляет tos», соответственно даже гуру сомневаются опираться на эти тос.
2. все это хорошо, пока не накапливается куча конфигов, за которые уже не помнишь
3. в чем не панацея? в чем тяп ляп по портам и почему это не как положено?

зы. завтра провайдер станет править эти биты на свое усмотрение - где искать косяки потом?

Вот дословные слова из букваря на русском - Теперь выполним передачу достаточно большого объема данных неким инструментом, который корректным образом устанавливает флаги TOS и проверим еще раз.

а по sip.conf я еще добавлю - стоит Free PBX, которая сама правит все эти конфиги и лазить туда в ручную, чтобы потом после разных апдейтов вспоминать что же там было вообще нет никакого желания.

у тебя этот инструмент установлен на хосте с астериском?

думаю, что нет, поэтому добавляй в фильтр шейпера проверку на ip, и не морочь ни себе, ни другим голову.

ложить пакеты в высокоприоритетный класс на основании того, что sport/dport лежит в диапазоне 10000-20000 — бред сивой кобылы. почему? почитай свой «букварь на русском» про порты, открываемые подключениями со стороны клиентов (в т.ч. и торрент-клиентами)

а по sip.conf я еще добавлю - стоит Free PBX, которая сама правит все эти конфиги и лазить туда в ручную, чтобы потом после разных апдейтов вспоминать что же там было вообще нет никакого желания.

sip_general_custom.conf This is the proper location for placing any of the [general] context option lines that you might need to add to your setup. This is also the place to add those lines needed to enable the nat'ing of SIP when you go through a firewall.

но в этом нет необходимости, если добавишь в фильтр шейпера проверку на src/dst.

почитай свой «букварь на русском» про порты, открываемые подключениями со стороны клиентов (в т.ч. и торрент-клиентами)

открыты порты в иптаблесах на конкретно внешний ип, подскажите пожалуйста как торенты смогут их использовать?

FreePBX стоит вместе с Asterisk-ом, хотя это роли не играет где он стоит, т.к. правит конфиги все равно он. Уже позже вчера подумал - можно из гуи этого дополнительные опции в sip.conf задавать.

у тебя этот инструмент установлен на хосте с астериском?

если это вопрос про мой пример о tos - нет, он там не стоит. повторюсь - ВЕСЬ трафик идет через сервер шлюз где стоит фаервол и шейпер - содержание трафика мне не известно.

открыты порты в иптаблесах на конкретно внешний ип, подскажите пожалуйста как торенты смогут их использовать?

какие порты, кому открыты и на какой ип?

если есть желание — jid:cac2s@jabber.org

тут по-удобнее будет общаться

to cac2s
Вы были правы - по тестировал - с такими битами тос другого трафика через проксю кроме как телефония не идет, привязка по портам не дает такого точного отделения ВоИП трафика, приходится привязываться к ипам, что не хотелось бы.
Спасибо :)

приходится привязываться к ипам, что не хотелось бы

можно и без привязки к ip. всё зависит от наличия rtp-трафика идущего с_других/на_другие ip, кроме Вашего с астериском

з.ы.: пометьте тему, как решённую