Author Topic: [RESOLVIDO] Verdade ou Mito: Proxy e Controle de Banda não funcionam juntos!  (Read 5168 times)

jrmenezes

  • Zen Apprentice
  • *
  • Posts: 24
  • Karma: +0/-0
    • View Profile
Caros,

Com certeza nesse Fórum existem "experts" no Zentyal, muitos já vem desde a época que ainda se chamava Plataforma Ebox. Queria então que os amigos me esclarecessem uma cruel dúvida:

Verdade ou mito: Proxy e Controle de Banda não funcionam juntos!

Li algumas coisas no fórum Espanhol e também no fórum em Inglês sobre isso. Fiz testes e não obtive sucesso, alguns falam em usar CBQ fora do ebox. Alguém sabe a verdade sobre isso?

Abraços a todos!

Jr. Menezes
« Last Edit: November 11, 2010, 06:43:09 pm by jrmenezes »
Especialista em Redes e Segurança de Sistemas
jrmenezes@r7.com
---
Gerente de TI
Governo Municipal de Cruz/CE
http://www.cruz.ce.gov.br

MHP

  • Zen Apprentice
  • *
  • Posts: 3
  • Karma: +0/-0
    • View Profile
Re: Verdade ou Mito: Proxy e Controle de Banda não funcionam juntos!
« Reply #1 on: November 11, 2010, 01:46:35 pm »
Olá,

Ainda não sou nenhum expert na Zentyal (estou tentando  ;D), e este é o meu primeiro post, mas aí vão meus dois centavos:

Se o controle e o proxy rodarem na mesma máquina, há um pouco de verdade sim.
A razão é simples: Somente é possível manipular os pacotes que saem pela interface. A limitação da velocidade em que entram pode ser feita apenas descartando o excesso, o que na prática não é controle de banda, porque a origem não sabe exatamente quais pacotes deverão ter maior ou menor prioridade.
Então, um controle mais efetivo no download deve ser feito na interface interna da máquina que controla a banda, a que envia os pacotes para a rede local, e por isso fica evidente que, se o proxy estiver instalado nesta mesma máquina, o tráfego HTTP não vai chegar a ele por esta interface e não poderá ser manipulado.
Se o proxy usado for o Squid, forma mais prática de se amenizar esta questão é usar o mecanismo de "delay pools", que pode ser configurado facilmente na Zentyal.
Entretanto, para se ter um controle mais apurado, do tipo distinguir os protocolos que cruzam o proxy (HTTP e HTTPS, por exemplo), este deve ficar em uma máquina separada (pode ser até virtual, dentro da que controla a banda, já fiz assim). Outra alternativa é usar dispositivos IFB (Intermediate Functional Block) ou IMQ (Intermediate Queueing Device), que são pseudo-interfaces que se conectam às físicas e permitem que se controle o que sai delas para estas últimas.

Um grande abraço,

--
    Márcio H. Parreiras

    GNU/Linux Professional

    +55(31)9632-0320

    Pedro Leopoldo - MG - Brazil


  "Faça a mudança: http://makethemove.net/"

  "Livre-se dos vírus e outras ameaças digitais: http://www.ubuntu-br.org/"

  "Get rid of viruses and other digital threats: http://www.ubuntu.com/"

   .

--
    Márcio H. Parreiras

    GNU/Linux Professional

    +55(31)9632-0320

    Pedro Leopoldo - MG - Brazil
.

jrmenezes

  • Zen Apprentice
  • *
  • Posts: 24
  • Karma: +0/-0
    • View Profile
Re: Verdade ou Mito: Proxy e Controle de Banda não funcionam juntos!
« Reply #2 on: November 11, 2010, 01:57:58 pm »
Caro amigo Márcio,

Sua resposta quanto a essa, digamos, restrição do Zentyal foi bastante esclarecedora. Mas sei que já configurei na unha Squid + Shapper (CBQ) no Debian e sei que funcionou, assim como também uso uma solução paga chamada MyAuth da TMSoft e também sei que os dois funcionam juntamente.

No entanto, estamos aqui para falar de Zentyal e não de outras aplicações. Me interessou a parte em que você fala sobre "delay pools". Como configurar esse recurso? Seria a opção de "Política de Estrangulamento de Banda"?

Ficarei muito grato se puder me ajudar com essa configuração. É apenas o que falta para poder "pendurar" os funcionários do Governo Municipal no Zentyal.

Abraços,

Júnior Menezes
Governo Municipal de Cruz-CE
CPD - Setor de Informática
+55 88 3660-1277 (R215)
www.cruz.ce.gov.br
Especialista em Redes e Segurança de Sistemas
jrmenezes@r7.com
---
Gerente de TI
Governo Municipal de Cruz/CE
http://www.cruz.ce.gov.br

MHP

  • Zen Apprentice
  • *
  • Posts: 3
  • Karma: +0/-0
    • View Profile
Re: Verdade ou Mito: Proxy e Controle de Banda não funcionam juntos!
« Reply #3 on: November 11, 2010, 05:12:35 pm »
Caro Júnior,

É isso mesmo, "Política de Estrangulamento de Banda". Você determina o tamanho máximo de download sem limitação de velocidade e a taxa máxima que será permitida pelo proxy após atingido este tamanho. A classe 1 tem prioridade e se aplica à toda sub-rede, enquanto a classe 2 é aplicada por clientes (limitados a 256)


Só para esclarecer o que postei sobre a impossibilidade de se fazer um controle minucioso do tráfego que entra por uma interface, esta restrição não é exclusiva da Zentyal, mesmo com CBQ ou HTB (que particularmente acho melhor) o problema ainda existe. Não conheço as entranhas do MyAuth, pode ser que ele possua algum mecanismo intermediário como os que citei.
A explicação para isso é a seguinte:
Os pacotes que trafegam na rede são gravados em buffers de recepção e transmissão ligados à interface de rede. Um processo local sabe quando o buffer de transmissão está cheio e "segura" o envio de pacotes, ou seja, não existe a perda destes internamente. Um processo externo (em outro host) não tem conhecimento que o buffer de recepção do destino está cheio e continua a mandar pacotes, os quais são simplesmente ignorados pela interface até que haja espaço no buffer para recebê-los, o que acarreta perda de pacotes. Isto é especialmente verdade nos casos de protocolos sem aviso de recebimento, como SMTP ou UDP. Pois bem, aqui já temos um "controle de banda" natural, onde a taxas são limitadas pelas capacidades dos buffers e também pela capacidade do meio de conexão. No protocolo TCP, o mecanismo de controle de transmissão percebe as perdas e ajusta o ritmo para reduzí-las, "economizando" o link pela menor quantidade de retransmissões. Mesmo assim as taxas podem saturar a conexão, então, no caso do TCP, podemos limitá-las ajustando o tamanho do buffers.
Em um controle de banda avançado os pacotes são classificados (marcados) conforme critérios como origem, destino, protocolo, portas, etc., e roteados, de acordo com esta classificação, para buffers com capacidades pré-definidas, permitindo-se fazer a limitação seletivamente. Acontece que esta marcação no cabeçalho do pacote só pode ser feita e utilizada internamente, ou seja, pacotes recebidos de fora não podem ser discriminados. Assim, se quisermos limitar determinado protocolo, serviço, ip, etc, ou dar garantia de banda a outro, a ação tem que ser aplicada na saída da interface conectada à rede interna. Mas note que, ainda desta forma, estaremos apenas regulando os fluxos que atravessam a máquina controladora, e não impedindo que os pacotes vindos de fora continuem batendo à porta da interface externa.

Abraços,

--
    Márcio H. Parreiras

    GNU/Linux Professional

    +55(31)9632-0320

    Pedro Leopoldo - MG - Brazil
.

jrmenezes

  • Zen Apprentice
  • *
  • Posts: 24
  • Karma: +0/-0
    • View Profile
Re: Verdade ou Mito: Proxy e Controle de Banda não funcionam juntos!
« Reply #4 on: November 11, 2010, 05:49:50 pm »
Caro,

Ainda não conhecia o uso do Delay Pools. Poderia me ajudar?

Qual taxa correta para:

TAXA DA REDE: ?
TAMANHO MÁXIMO DA REDE: ?

Querendo limitar a +/- 128k! Vi algumas coisas sobre Delay Pools, mas um tanto diferentes do modo usado no Zentyal.

Agradeço a atenção. Abraços!

Jr. Menezes
Especialista em Redes e Segurança de Sistemas
jrmenezes@r7.com
---
Gerente de TI
Governo Municipal de Cruz/CE
http://www.cruz.ce.gov.br

jrmenezes

  • Zen Apprentice
  • *
  • Posts: 24
  • Karma: +0/-0
    • View Profile
Re: Verdade ou Mito: Proxy e Controle de Banda não funcionam juntos!
« Reply #5 on: November 11, 2010, 06:42:47 pm »
Amigo Márcio,

Tudo OK por aqui! Antes mesmo que você me respondesse, consegui efetuar o "controle de banda" via Squid. Agora os funcionários fazem download apenas a 20kbps... Uma maravilha, fazendo exatamente o que eu queria!

Muito obrigado desde já por suas preciosas informações! Qualquer coisa, conte comigo!

Abraços!

RETIFICANDO: Download de arquivos pequenos, 1MB ou 2MB aparentemente não são controlados!
« Last Edit: November 11, 2010, 07:08:02 pm by jrmenezes »
Especialista em Redes e Segurança de Sistemas
jrmenezes@r7.com
---
Gerente de TI
Governo Municipal de Cruz/CE
http://www.cruz.ce.gov.br