Controlează-ți Banda: Cum Să Implementezi un Upload Limiter pe Porturi Folosind HTB Tools

Te-ai trezit vreodată cu viteza de upload la pământ, în timp ce cineva de pe rețeaua ta (sau chiar un proces în fundal pe propriul tău server) uploadează un fișier masiv? 😩 Sau, poate ești administrator de server și vrei să te asiguri că serviciile critice precum SSH sau web serverul au întotdeauna suficientă bandă de upload, indiferent de cât de aglomerat este traficul de backup sau FTP? Dacă răspunsul este da, atunci ai ajuns la locul potrivit! Astăzi vom explora puterea instrumentelor Linux de control al traficului, în special HTB (Hierarchical Token Bucket), pentru a implementa un upload limiter inteligent pe porturi specifice. Nu doar că este mai simplu decât pare, dar îți oferă un control granular excepțional asupra fluxului de date.

De Ce Ai Nevoie de un Upload Limiter? 🤔

În era digitală, lățimea de bandă este oxigenul conectivității. Deși majoritatea ISP-urilor oferă viteze de download mult mai mari decât cele de upload, un upload necontrolat poate avea efecte dezastruoase asupra experienței tale online. Iată de ce limitarea outbound-ului este crucială:

• Performanță și Latență: Un upload saturat poate duce la o latență crescută (ping mare), afectând grav gaming-ul online, apelurile video și chiar navigarea web. Chiar și un simplu site web se va încărca mai greu dacă răspunsurile DNS sau cererile HTTP inițiale sunt încetinite de un flux masiv de upload.
• Echitate în Utilizare: Pe o rețea partajată, un singur utilizator sau o singură aplicație poate monopoliza întreaga capacitate de upload, lăsând pe ceilalți fără resurse. Limitarea uniformă sau pe servicii asigură o distribuție echitabilă.
• Stabilitate Servicii Server: Pentru servere, este vital ca serviciile esențiale (SSH pentru administrare, HTTP/HTTPS pentru servirea paginilor web, DNS) să funcționeze impecabil. Un backup care uploadează la viteză maximă nu ar trebui să blocheze accesul administratorului prin SSH.
• Gestionarea Costurilor: În unele medii cloud sau cu limite de trafic, depășirea pragurilor poate genera costuri suplimentare. O bună gestionare a lățimii de bandă poate preveni aceste surprize neplăcute.

Făcând Cunoștință cu Uneltele: `tc` și HTB 🛠️

În lumea Linux, Traffic Control (tc) este comanda magică prin care configurăm Quality of Service (QoS). QoS este un set de tehnici menite să gestioneze și să optimizeze traficul de rețea, asigurând performanța dorită pentru anumite tipuri de date. Dintre multiplele „discipline de coadă” (qdiscs) disponibile, HTB (Hierarchical Token Bucket) se distinge prin flexibilitatea și puterea sa.

Gândește-te la HTB ca la un sistem de management al apei. Ai un rezervor principal (interfața ta de rețea), și vrei să distribui apa (traficul) către diferite robinete (servicii/porturi). HTB îți permite să creezi o ierarhie de „găleți” (buckets) pentru a direcționa traficul. Fiecare găleată poate avea o capacitate garantată (rate) și o capacitate maximă la care poate ajunge dacă există bandă disponibilă (ceil – ceiling). În plus, poți seta priorități (prio), astfel încât anumite servicii să aibă întotdeauna întâietate în preluarea „jetoanelor” (tokens) de lățime de bandă.

Structura HTB este logică și eficientă:

• Root Qdisc: Punctul de intrare pe o interfață. Aici se atașează întreaga ierarhie.
• Clasa Părinte (Parent Class): De obicei, o clasă care definește lățimea de bandă totală disponibilă pentru upload pe acea interfață. Toate celelalte clase „copil” sunt subordonate acesteia.
• Clase Copil (Child Classes): Acestea sunt clasele individuale pe care le definim pentru a limita sau prioritiza traficul pe porturi, IP-uri sau alte criterii. Ele își iau banda de la clasa părinte.

Vom folosi comanda tc pentru a configura aceste elemente, iar uneltele u32 (o metodă de filtrare bazată pe adrese IP și porturi) pentru a identifica și direcționa traficul către clasele corespunzătoare.

Pregătirea Terenului: Ce Avem Nevoie? ⚙️

Înainte să ne murdărim pe mâini cu linii de comandă, hai să ne asigurăm că avem tot ce ne trebuie:

1. Un Sistem Linux: Indiferent dacă folosești Ubuntu, Debian, CentOS, Fedora sau orice altă distribuție, principiile rămân aceleași.
2. Pachetul iproute2: Acesta conține utilitarul tc. Pe majoritatea distribuțiilor moderne, este deja instalat. Dacă nu, îl poți instala simplu:
   • Pentru Debian/Ubuntu: sudo apt update && sudo apt install iproute2
   • Pentru CentOS/RHEL: sudo yum install iproute2
3. Identificarea Interfeței de Rețea: Trebuie să știi pe ce interfață vrei să aplici limitarea (de exemplu, eth0, enp0s3, ens18). Poți afla acest lucru cu comanda ip a sau ifconfig. Pentru exemplul nostru, vom folosi eth0, dar asigură-te că o adaptezi la sistemul tău.
4. Privilegii de Root: Toate comenzile tc necesită privilegii de superutilizator (sudo).

Ghid Pas cu Pas: Implementarea Upload Limiter-ului 🚀

Să trecem la partea practică! Vom crea o schemă HTB care limitează traficul de upload pe anumite porturi, lăsând un fond de bandă pentru celelalte servicii. Vom presupune o lățime de bandă totală de upload de 100 Mbps.

Pasul 0: Curățarea Regulilor Existente (Opțional, dar Recomandat)

Înainte de a începe, este o idee bună să ștergi orice reguli tc existente pe interfața respectivă, pentru a porni de la zero. Reține că acest lucru va șterge toate politicile de QoS:

sudo tc qdisc del dev eth0 root

Dacă primești o eroare de genul „RTNETLINK answers: No such file or directory”, înseamnă că nu există reguli de șters, ceea ce este perfect în regulă.

Pasul 1: Crearea Rădăcinii HTB (Root Qdisc)

Acesta este punctul de pornire al întregii noastre ierarhii. Specificăm că vrem să folosim HTB și definim o clasă implicită (default) pentru traficul care nu se potrivește niciunei alte reguli. Vom folosi classid 1:99 ca clasă implicită.

sudo tc qdisc add dev eth0 root handle 1: htb default 99

• dev eth0: Specifica interfața de rețea.
• root: Indică faptul că este qdisc-ul rădăcină.
• handle 1:: Un identificator unic pentru acest qdisc.
• htb: Tipul disciplinei de coadă.
• default 99: Traficul care nu se potrivește niciunui filtru va fi direcționat automat către clasa 1:99.

Pasul 2: Crearea Clasei Părinte (Main Class)

Aceasta va fi clasa superioară, care va conține toată lățimea de bandă de upload disponibilă pe interfață. Toate celelalte clase copil vor „împrumuta” bandă de la ea. Să spunem că lățimea de bandă totală de upload este de 100 Mbps.

sudo tc class add dev eth0 parent 1: classid 1:1 htb rate 100mbps ceil 100mbps

• parent 1:: Această clasă este subordonată rădăcinii (handle 1:).
• classid 1:1: Identificatorul clasei.
• rate 100mbps: Banda garantată pentru această clasă (în acest caz, întreaga bandă).
• ceil 100mbps: Banda maximă la care poate ajunge această clasă.

Pasul 3: Crearea Claselor pentru Servicii Specifice și Aplicarea Filtrelor 🔗

Acum vom defini clasele pentru porturile noastre cheie. Rețineți că pentru traficul de upload (outbound), ne vom uita la portul sursă (sport) al pachetelor de la server. Un server care trimite date de la portul 21 (FTP) sau 80 (HTTP) va avea aceste porturi ca sport.

Exemplul 1: Limitarea Upload-ului pentru FTP (Port 21) 📂

Să zicem că vrem să limităm FTP la un maxim de 10 Mbps, cu o bandă garantată de 5 Mbps, pentru a nu sufoca serverul.

sudo tc class add dev eth0 parent 1:1 classid 1:10 htb rate 5mbps ceil 10mbps prio 1
sudo tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip sport 21 0xffff flowid 1:10

• classid 1:10: Un identificator unic pentru clasa FTP.
• parent 1:1: Această clasă este subordonată clasei principale (1:1).
• rate 5mbps: Lățime de bandă garantată pentru FTP.
• ceil 10mbps: Lățime de bandă maximă pe care o poate utiliza FTP dacă este disponibilă.
• prio 1: Prioritate mare. Traficul FTP va fi servit cu prioritate față de alte clase cu numere de prioritate mai mari (un număr mai mic înseamnă prioritate mai mare).
• parent 1:0 în filtru: Filtrele sunt atașate la qdisc-ul rădăcină (handle 1:).
• u32 match ip sport 21 0xffff: Potrivește pachetele IPv4 cu portul sursă 21 (0xffff este masca, indicând că vrem să potrivim exact).
• flowid 1:10: Direcționează traficul către clasa 1:10.

Exemplul 2: Limitarea Upload-ului pentru SSH (Port 22) 🔑

SSH este vital pentru administrare. Vrem să-i asigurăm o bandă, dar să nu permită transferuri masive (cum ar fi SFTP) să consume totul. Să-i dăm 2 Mbps garantat și 5 Mbps maxim.

sudo tc class add dev eth0 parent 1:1 classid 1:20 htb rate 2mbps ceil 5mbps prio 2
sudo tc filter add dev eth0 protocol ip parent 1:0 prio 2 u32 match ip sport 22 0xffff flowid 1:20

Am setat o prioritate mai mică (2) decât FTP (1) pentru a demonstra conceptul. În realitate, pentru SSH de administrare pur, aș prefera o prioritate mai mare.

Exemplul 3: Limitarea Upload-ului pentru Serverul Web (Porturile 80 și 443) 🌐

Serviciile web sunt adesea cele mai vizibile. Vrem să le oferim o bandă generoasă, dar cu o limită superioară pentru a proteja celelalte servicii. Să alocăm 20 Mbps garantat și 50 Mbps maxim.

sudo tc class add dev eth0 parent 1:1 classid 1:30 htb rate 20mbps ceil 50mbps prio 3
sudo tc filter add dev eth0 protocol ip parent 1:0 prio 3 u32 match ip sport 80 0xffff flowid 1:30
sudo tc filter add dev eth0 protocol ip parent 1:0 prio 3 u32 match ip sport 443 0xffff flowid 1:30

Observăm cum adăugăm două filtre distincte pentru aceiași flowid, deoarece ambele porturi (HTTP și HTTPS) sunt deservite de aceeași clasă de trafic web.

Pasul 4: Crearea Clasei Implicite (Default Class) 📊

Aceasta este clasa definită de default 99 în rădăcina HTB. Tot traficul care nu se potrivește filtrelor de mai sus va ajunge aici. Să îi dăm 20 Mbps garantat și 30 Mbps maxim, cu o prioritate scăzută (4).

sudo tc class add dev eth0 parent 1:1 classid 1:99 htb rate 20mbps ceil 30mbps prio 4

Acum ai o configurație de bază! Orice alt serviciu (cum ar fi Samba, transferuri de fișiere ad-hoc, etc.) va utiliza această clasă implicită.

Verificarea și Monitorizarea Configurației 👁️

După ce ai aplicat regulile, este esențial să verifici dacă sunt active și funcționează conform așteptărilor. Poți folosi următoarele comenzi:

• Pentru a vedea qdisc-urile (disciplinele de coadă) configurate:

  tc qdisc show dev eth0

• Pentru a vedea clasele HTB configurate și statisticile lor (pachete, octeți procesați, etc.):

  tc -s class show dev eth0

• Pentru a vedea filtrele configurate:

  tc filter show dev eth0

Pentru a testa efectiv limitările, poți folosi instrumente precum iperf3 pentru a genera trafic de upload pe porturi specifice și a observa dacă vitezele respectă limitele setate. De asemenea, monitorizează traficul cu iftop, nload sau netdata pentru o vizualizare în timp real.

Persistența: Cum Păstrăm Regulile După Restart? 🔄

Reține că toate comenzile tc pe care le-am executat sunt volatile și vor fi șterse la repornirea sistemului sau a interfeței de rețea. Pentru a le face persistente, cea mai modernă și recomandată metodă este crearea unui serviciu systemd.

Exemplu de Script de Configurare

Creează un fișier, de exemplu /usr/local/bin/setup-tc.sh, și inserează toate comenzile tc în el. Asigură-te că fișierul este executabil (sudo chmod +x /usr/local/bin/setup-tc.sh).

#!/bin/bash

# Clear existing rules
tc qdisc del dev eth0 root 2>/dev/null

# Root Qdisc
tc qdisc add dev eth0 root handle 1: htb default 99

# Parent Class (Total Upload 100Mbps)
tc class add dev eth0 parent 1: classid 1:1 htb rate 100mbps ceil 100mbps

# FTP Class (Port 21)
tc class add dev eth0 parent 1:1 classid 1:10 htb rate 5mbps ceil 10mbps prio 1
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip sport 21 0xffff flowid 1:10

# SSH Class (Port 22)
tc class add dev eth0 parent 1:1 classid 1:20 htb rate 2mbps ceil 5mbps prio 2
tc filter add dev eth0 protocol ip parent 1:0 prio 2 u32 match ip sport 22 0xffff flowid 1:20

# Web Server Class (Ports 80, 443)
tc class add dev eth0 parent 1:1 classid 1:30 htb rate 20mbps ceil 50mbps prio 3
tc filter add dev eth0 protocol ip parent 1:0 prio 3 u32 match ip sport 80 0xffff flowid 1:30
tc filter add dev eth0 protocol ip parent 1:0 prio 3 u32 match ip sport 443 0xffff flowid 1:30

# Default Class
tc class add dev eth0 parent 1:1 classid 1:99 htb rate 20mbps ceil 30mbps prio 4

Crearea unui Serviciu Systemd

Creează un fișier de serviciu systemd la /etc/systemd/system/tc-qos.service:

[Unit]
Description=Traffic Control QoS setup for eth0
After=network-online.target

[Service]
Type=oneshot
ExecStart=/usr/local/bin/setup-tc.sh
RemainAfterExit=yes
ExecStop=/sbin/tc qdisc del dev eth0 root
StandardOutput=journal

[Install]
WantedBy=multi-user.target

Activează și pornește serviciul:

sudo systemctl daemon-reload
sudo systemctl enable tc-qos.service
sudo systemctl start tc-qos.service

Acum, regulile tale de control al traficului vor fi aplicate automat la fiecare pornire a sistemului!

O Opinie din Tranșeele Rețelei 💡

Din experiența mea de-a lungul anilor de administrare a infrastructurilor de rețea, de la servere dedicate la mașini virtuale, implementarea granulară a QoS cu HTB prin tc s-a dovedit a fi un instrument indispensabil. Am întâlnit nenumărate situații în care un backup nocturn sau un proces de sincronizare fișiere (adesea pe SSH/SFTP sau un port non-standard) sufoca complet uplink-ul, transformând serverul dintr-o mașină performantă într-una lentă și iritabilă.

Într-un caz particular, pe un server de dezvoltare cu mai mulți utilizatori, un script de sincronizare de fișiere către un repository extern, rulat fără nicio limitare, provoca pierderi de pachete și latențe de peste 500ms pentru sesiunile SSH ale altor dezvoltatori. După ce am implementat o regulă HTB care aloca traficului SFTP o limită de 8 Mbps și prioritiza traficul SSH de administrare (cu o clasă separată cu rate 1mbps ceil 2mbps prio 1), situația s-a schimbat radical. Latența a scăzut la un confortabil 20-30ms, chiar și în timpul transferurilor mari, iar plângerile utilizatorilor au dispărut. Eficiența operațională a crescut exponențial. Este o dovadă clară că o investiție minimă de timp în înțelegerea și aplicarea HTB poate aduce beneficii majore.

Acest tip de control nu este doar despre viteză, ci despre fiabilitate și predictibilitate. Știind că serviciile tale critice au întotdeauna lățimea de bandă necesară, chiar și în condiții de sarcină, îți oferă o liniște sufletească inestimabilă.

Considerații Avansate 🚀

Ce am discutat astăzi este doar vârful aisbergului. HTB și tc oferă mult mai multe posibilități:

• Limitare pe Adrese IP: Poți limita traficul pentru anumite adrese IP sursă sau destinație, nu doar pe porturi.
• Marcare DSCP/TOS: Poți clasifica traficul pe baza marcărilor DSCP (Differentiated Services Code Point) sau TOS (Type of Service) din antetul IP, oferind o flexibilitate sporită pentru rețelele complexe.
• Combinarea cu iptables: Folosind iptables, poți marca pachetele și apoi direcționa traficul marcat către anumite clase HTB, permițând reguli și mai sofisticate.
• Cozi Secundare: În cadrul unei clase HTB, poți adăuga cozi secundare (cum ar fi SFQ – Stochastic Fairness Queueing) pentru a asigura o distribuție echitabilă a benzii între multiple fluxuri din aceeași clasă.

Concluzie: Devino Maestrul Benzii Tale! 🏆

Implementarea unui upload limiter pe porturi folosind HTB tools este o abilitate valoroasă pentru oricine gestionează o rețea sau un server. Îți oferă controlul total asupra fluxului de date, optimizând performanța, asigurând echitatea și garantând disponibilitatea serviciilor critice. Deși inițial poate părea intimidantă, sintaxa tc devine logică odată ce înțelegi conceptele de bază. Nu te sfii să experimentezi cu diferite valori de rate și ceil pentru a găsi echilibrul perfect pentru nevoile tale. Începe mic, testează și ajustează! Cu puțină practică, vei deveni un adevărat maestru al benzii tale de rețea. Succes! 🎉