Auteur Sujet: DSCP (Lu 3508 fois)

atlas974 · « **le:** 13 septembre 2021 à 19:18:39 »

Bonjour

Actuellement en apprentissage sur les règles dscp plus précisément classify je voudrais savoir si il était possible de créer une règles classify à partir d'une ip source.
EX: iptables -t mangle -A POSTROUTING -p udp --dport 3659 -j CLASSIFY --src 192.168.1.133 --set-class 0000:0001
je voulais savoir si cette règle est correct.
Merci.

atlas974 · « **Réponse #1 le:** 13 septembre 2021 à 20:24:25 »

je me répond il me semble que cette règle est plus approprié.
iptables -t mangle -A POSTROUTING -j CLASSIFY --set-class 0000:0001 -s 192.168.1.133 -p tcp --dport 80

kgersen · « **Réponse #2 le:** 13 septembre 2021 à 20:31:43 »

a priori oui. apres ce dépend ce que tu veux que cette règle fasse dans les faits...

et par convention/clarté je recommande de mettre que l'action après le -j donc met le --src et autre selecteurs avant
C'est plus clair et plus lisible avec cette facon de faire:

Code: [Sélectionner]

iptables -t table -A rule <liste de conditions/selections> -j target <liste d'actions>
Un moyen de tester une règle est d'utiliser le convertisseur vers nftables (le successeur d'iptables):

Code: [Sélectionner]

iptables-translate -t mangle -A POSTROUTING -p udp --dport 3659 --src 192.168.1.133 -j CLASSIFY --set-class 0000:0001
ca indiquera s'il y a une erreur et te donnera la version nftables qui est plus lisible.

atlas974 · « **Réponse #3 le:** 13 septembre 2021 à 20:39:06 »

merci pour ta réponse kgersen, je testerais tout ça en faite j'aimerai dans l'idée que 192.168.1.133 est la priorité sur mon réseau local, je suis actuellement sous openwrt

kgersen · « **Réponse #4 le:** 13 septembre 2021 à 20:46:05 »

Citation de: atlas974 le 13 septembre 2021 à 20:39:06

merci pour ta réponse kgersen, je testerais tout ça en faite j'aimerai dans l'idée que 192.168.1.133 est la priorité sur mon réseau local, je suis actuellement sous openwrt

c'est vague en réseau 'avoir la priorité'. A quel niveau, dans quel sens, etc. Tout n'est pas forcement possible et ce n'est pas qu'une histoire d'iptables.

une bonne lecture: https://openwrt.org/docs/guide-user/network/traffic-shaping/packet.scheduler

atlas974 · « **Réponse #5 le:** 13 septembre 2021 à 21:00:31 »

je voudrais que les paquets input et output qui transite vers 192.168.1.133 soit prioritaire sur mon réseau qu'il soit traiter en direct (je sais pas si ça se dit), en espérant que j'arrive a me faire comprendre.

vivien · « **Réponse #6 le:** 13 septembre 2021 à 21:10:53 »

Je rappel que pour voir l'effet de la priorisation, il faut une congestion.

Sur un réseau ouvert au public, attention, ce qu'il est possible de faire est bien limité par le règlement européen internet ouvert qui préserver la neutralité d'internet.

Exemple de règles pour taguer du trafic sur un serveur :

# Connexions sortantes TCP
iptables -t mangle -A OUTPUT -p tcp --dport 53:32767 -j DSCP --set-dscp 10
ip6tables -t mangle -A OUTPUT -p tcp --dport 53:32767 -j DSCP --set-dscp 10

# Connexions sortantes UDP
iptables -t mangle -A OUTPUT -p udp --dport 53 -j DSCP --set-dscp 15
ip6tables -t mangle -A OUTPUT -p udp --dport 53 -j DSCP --set-dscp 15

# Connexions entrantes TCP
iptables -t mangle -A OUTPUT -p tcp --sport 53:32767 -j DSCP --set-dscp 10
ip6tables -t mangle -A OUTPUT -p tcp --sport 53:32767 -j DSCP --set-dscp 10

# Connexions entrantes UDP
iptables -t mangle -A OUTPUT -p udp --sport 53 -j DSCP --set-dscp 15
ip6tables -t mangle -A OUTPUT -p udp --sport 53 -j DSCP --set-dscp 15
iptables -t mangle -A OUTPUT -p udp --sport 8080 -j DSCP --set-dscp 15
ip6tables -t mangle -A OUTPUT -p udp --sport 8080 -j DSCP --set-dscp 15

kgersen · « **Réponse #7 le:** 13 septembre 2021 à 21:15:58 »

Citation de: atlas974 le 13 septembre 2021 à 21:00:31

je voudrais que les paquets input et output qui transite vers 192.168.1.133 soit prioritaire sur mon réseau qu'il soit traiter en direct (je sais pas si ça se dit), en espérant que j'arrive a me faire comprendre.

Si c'est entre 2 réseaux privés oui c'est possible on a un contrôle quasi total.

Si de/vers Internet tout n'est pas possible car on n'a pas la main sur ce qui vient d'Internet et en sortie les opérateurs ignorent la priorité des paquets entrant sur leur réseaux.

Dans ce cas ce qu'on fait généralement c'est des files en fonction de la taille de paquets pour prioriser les petits paquets par exemple et limiter le 'bufferbloat'. SQM (voir https://openwrt.org/docs/guide-user/network/traffic-shaping/sqm ) est la technique utilisée.

On peut jouer aussi sur les algo de congestion TCP par exemple, pour le trafic sortant ca peut impacter. Ceci ce fait sur la machine d'emission et pas le routeur.

A savoir aussi que l'activation de la QoS ou autres techniques peut désactiver l'accélaration matérielle dans le routeur. Celui-ci ne pourra peut-être plus suivre le débit d'une connexion fibre par exemple... du coup ca perd l'interet...

Un moyen simple c'est de segmenter le réseau local en 2 et limiter a 100Mbs par exemple (en forçant un port de switch a 100 par exemple) une partie du LAN et mettre la machine prioritaire sur l'autre partie du lan. Si la connexion internet est de 300/300 par exemple, il y aura toujours 200/200 garanti pour cette machine (c'est bidouille mais très efficace et simple) et quasi pas de bufferbloat.

atlas974 · « **Réponse #8 le:** 13 septembre 2021 à 21:21:39 »

En tout cas merci a vous pour votre aide je regarderais tout ça demain

atlas974 · « **Réponse #9 le:** 14 septembre 2021 à 11:01:39 »

juste une chose 0000:0001 est prioritaire par rapport a 000:0006

vivien · « **Réponse #10 le:** 14 septembre 2021 à 12:54:00 »

Tu définis ce que tu souhaites avec les DSCP de ton choix.

Cela fait des fois des mauvaises surprises.

Un bon exemple avec Orange, où le débit peut être limité à 10 Mb/s si tu n'est pas en DSCP 0 : https://lafibre.info/remplacer-livebox/ssh-tunnel-probleme-qos-debit-asymetrique/

On a d'autres exemples sur les réseaux d'initiative public, pour les offres activées :

Citation de: vivien le 20 juin 2017 à 22:31:32

Pendant ce temps, j'ai vérifié les autres sites web qui posent problème : ils sont bien avec un champ DSCP (Type of Service) 6.
A priori, OVH distingue les classe de trafic en fonction du DSCP et le champ DSCP n'est pas supprimé avant l'envoi sur Internet.
Le trafic prioritaire semble être en DSCP 0, le marquage habituel sur Internet.

j'ai donc enfin trouvé la cause des sites inaccessibles le soir / week-end :

- A l'origine il y a une saturation de la collecte Wibox pour l'Ain, c'est le cas en 2015 comme en 2017.

- Ensuite, il y a le fait que Lasotel garde les champ DSCP des flux qui rentre sur son réseau par Internet et plusieurs opérateurs utilisent de manière différente ces champ DSCP (Type of Service), le but étant de prioriser certains trafics en cas de saturation.

Le réseau de Lasotel interprète le DSCP 6 d'OVH comme une demande de dé-priorisation en cas de saturation (Autre formulaion équivalente :
Lasotel met une stricte priorité du trafic DSCP 0 vs DSCP 6).

Les flux des serveurs OVH concernés sont donc tout simplement supprimés au niveau du routeur qui a un lien de collecte saturé avec l'Ain.
Dés que un lien sature, tout le trafic DSCP 6 part à la poubelle.
C'est ce qu'il se passe le soir et le week-end, bloquant totalement les sites en question.

atlas974 · « **Réponse #11 le:** 14 septembre 2021 à 14:09:43 »

bonjour

Merci pour toute ces détails quand tu parle de dscp 0 c'est best effort c'est ca ?? Grace a toi j'apprend de plus en plus