Bonjour à tous   !
 
Je voudrais savoir si il était techniquement possible de mettre en place un système de file d'attente (HTB avec Traffic shapping) sur une passerelle Unix avec un serveur proxy de type SQUID ?
 
Merci d'avance!
RedVivi

oui c'est possible  
en considerant bien sur uniquement l'interface par laquelle le trafic sort vers le lan  on peut prioriser le trafic.
 
perso j'utilise iptables avec du CLASSIFY
 

 
Moi j'utiliserai probablement classify avec des analyseurs de protocole, mais comment traduire ça au niveau d'IPTABLES ? J'avais lu que ce n'était pas possible car on ne peut gérer la manière dont Squid accède à Internet. Mais tu me parlais uniquement de l'interface: Machine -> Lan. Or mon souhait est de priotiser le traffic de Squid dans le sens: Internet -> Machine. Ou alors je n'ai absolument rien compris ?  
 
Voici ma config: Internet ------- eth1 ---Passerelle --- eth0 ---LAN

tu ne peux prioriser les paquets correctement que sur un flux sortant (upload)  (sur le download ce n'est plus de la priorisation mais un simple limitation de debit)
 
cela revient au meme puisque tu controles le flux que les utilsateurs recoivent  de la part du proxy.  (depuis le port 3128 de squid)  
 
l'interet reside surtout dans la possibilité de rendre prioritaire certain flux par rapport au web

 
Pourtant d'après ces 2 HOWTO: http://fr.gentoo-wiki.com/HOWTO_Qualité_de_service et http://fr.gentoo-wiki.com/HOWTO_Traffic_shaping il est possible de priotiser les downloads en deplaçant le noeud de congestion du modem vers eth1 (Ce qui revient dans un premier temps à limiter le debit de l'interface, mais ceci pour créer une liste de file d'attente HTB priotisable sur l'nterface).
 
Peut etre y a t il un probleme avec ces 2 HOWTO ?
 

effectivemetnil existe plusieurs moyens de contourner cette limitation  
mais dans ton cas je pense que le controle de flux entre squid et les clients du lan est la bonne option

cela dit l'important est de savoir les priorité de flux que tu veux etablir.

Voici mon probleme: Connexion peu rapide (1900Mbits/sec environ) pour 200 postes en residence universitaire, bref, je veux créer des priorités comme ceci:  
 
-priorité 0: Priorité max aux DNS, ping, ssh, et aux petits paquets
-priorité 1: flux http, msn, pop3, smtp, yahoo
-priorité 2: Jeux en ligne, transferts sur MSN/Yahoo, classe par défaut pour les paquets non classés
-priorité 3: Protocole P2P

ok  
 
tous les flux passent par la passerelle sur laquelle tourne squid ?
 

Oui, absolument tous comme indiqué sur le schéma dans un de mes posts precedents

 oui exact
je continue a penser que l'idee que je te proposait au debut peut repondre a ton probleme.
 

Si j'ai bien compris, pour qu'il y ait une priotisation des transferts avec Squid il faut soit 1) adopter ma solution avec le goulot d'étranglement sur eth1 par la limitaion
 
ou 2) Ta solution, mais le probleme c'est que je ne vois pas du tout comment tu veux faire, car si je priotarise le flux http LAN -> Squid, j'aurais aucun effet sur la priorité du flux http en download ?

les clients ne pourront recevoir de squid les informations plus "vite" que ce que les regles de priorités et de debit que tu auras etablies permettront.
cela aura pour effet de bord de limiter les requetes de squid sur internet.
 

Ok, mais cette solution me parait plus "aléatoire" que celle que j'avais établie precedemment, car si je te suis bien, soit je peux faire en sorte que la priorité des flux http soit supérieures à toutes les autres régles, soit en dessous de toutes les autres, cer entre les 2 c'est assez aléatoire ? Le probleme c'est que la Passerelle-> LAN n'est jamais saturé, ce qui exclu le principe des files d'attente, donc dans le cas de passerelle -> LAN, il faudrait plus une limitation et non une priotisation, c'est bien ça ?

tu ne vas pas faire une priorité sur les flux http mais sur le flux sortant du proxy vers les clients (le port 3128 avec squid)
 
en limitant le trafic sur ce flux et en le rendant non prioritaire, les autres flux sortant vers le lan (reception de mail par exemple) seront avantagés.
 
 
 
autre question importante: heberge tu des services accessible depuis internet sur ton reseau ? car eux aussi il faut les prioriser sur la passerelle mais cette fois sur l'autre interface.
 
en fait dans ton cas si je comprends bien tu veux controler le trafic entrant ET sortant (voir ta liste plus haut)
 

Oui c'est bien ça, controle des flux entrants et sortants sur les protocoles de la liste (car je pense que priotiser les 2 flux rendront le système pus efficace, au lieu d'agir seulement sur l'upload ou le download. Il faut juste que le http soit au-dessus du P2P et des jeux comme dans la liste.
 
Je n'héberge pas de services accessibles deuis Internet. Le probleme dans ta solution c'est que le proxy ne transmettra ses fichiers en cache qu'en flux priotisé, or mon objectif était de priotiser le traffic http Internet --> squid, ensuite mise en cache dans squid et envoi du flux http dans le lan @toute berzingue si c'est en cache ou en vitesse  disponible (Internet-> Squid) définit selon les priorités si le contenu n'est pas en cache :-s

oui c'est vrai que le probleme de ce que te propose c'est la limitation pour les fichiers en cache.
 
si tu veux reellement intervenir sur le flux http tu peux peut etre voir a deplacer ton proxy sur une autre machine dans le lan.  
 
et tu priorises alors sur la passerelle sur eth1 pour le flux http sortant vers ton proxy.
la file d'attente fonctionnerait comme cela.
 

Heu, je suis pommé....:s, ce n'est pas plutot le flux entrant d'internet vers la machine proxy ?

 
 
 
internet === eth0 -passerelle- eth1====proxy
 
le flux qui sort de eth1 sur la passerelle repondant au requete du proxy vers le port 80 sur internet est un flux sortant (upload) vers le proxy.
 
 

Ca ne fonctionnerait pas de renvoyer le flux http sortant de eth1 vers localhost:3128 ? Et qu'ensuite les clients se connectent sur ce proxy ?

je ne pense pas