# [OT] Abusos de Conexion compartida ayuda (Open)

## Eleazar Anzola

Hola a to2,

Hace algún tiempo coloque a una amiga, un switch para compartir su conexion con 4 vecinos, ahora me vuelve a llamar para indicarme que necesita restringir la conexion para no poder salir de esas 5 maquinas (4vecinos y la suya).

¿El problema?

Uno de los 4 vecinos sin su autorización ha colocado un switch en su casa y ahora da salida a 3 maquinas más, con la baja de velocidad que esto implica además de los p2p y bajadas excesivas.

```
               [A1]

                  |

{[V1]    [V2]    [V3]    [V4]}

                             \

                       { [X1] [X2] [X3] }

```

Agradeceria me ayudaran para poder resolver esto que no solo se me ha presentado con ella, sino en algunas consultas ya me lo habian comentado y no supe como dar una solución certera.

Gracias por su atención y ayuda para entender como restringir la salida a la web y que solo las maquinas desde A1 hasta V4 salgan sin poder seguir creciendo el ramo para ninguna otra sin autorización.

¿Alguien lo ha echo sin server?

----------

## Inodoro_Pereyra

Que quiere decir "sin server"?

Lo primero que se me viene a la mente es filtrado por mac address. Hay muchas formas de llegar al mismo resultado, por ejemplo:

Versión chapucera 1: Especificarle a tu servidor DHCP que para tal mac address tal número de IP. Ese número de IP cae fuera de la subred con lo que no es ruteable, luego se rompe la conectividad.

Versión chapucera 2: Editar en tu router /etc/etter.conf, especificar un número de IP fuera de la subred para la/s mac address problemática/s. Mismo resultado anterior.

Versión elegante: Filtrar con iptables todo el tráfico proveniente de las tres mac address que identificas como Xn.

```
iptables -A INPUT -m mac --mac-source AA:BB:CC:DD:EE:FF -j DROP
```

Nada de esto impide que los usuarios de la red X cambien de mac address burlando el filtro pero si hablamos del común de los usuarios de a pié, por lo general ni saben lo que es una dirección mac.

Tampoco impide que V4 haga las veces de router haciendo NAT para todos los usuarios de la red X, pero de nuevo, eso implica conocimientos mas avanzados.

Además de todo eso, no sería mala idea implementar algo de QoS resctrictivo también.

Salud!

**EDITO** Acabo de caer en la cuenta: Si por sin server te refieres a ruteando con algún aparatito en lugar de con una pc, es exactamente lo mismo. No sé de que router estaremos hablando pero todos tienen algún tipo de filtrado a nivel mac que se puede implementar.

----------

## Txema

Cierto, lo suyo es poner un filtro mac si no tiene un servidor sino un router, pero esto obliga a modificarlo cada vez que algún usuario decida cambiar de ordenador o comprarse uno nuevo, o incluso cambiar la tarjeta de red por cualquier problema. Con routers normales es un poco coñazo(fastidioso) el tener que hacer algo así, y el QoS que he visto no era gran cosa, pero quizá ese router tenga algún sistema de QoS medio decente para poder regular el flujo, de modo que, por muchas máquinas más que se conecten, su flujo estará totalmente limitado y no podrán superarlo, eso se puede conseguir usando políticas de herencia de QoS, como HTB, pero nuevamente, no sé si eso lo puede hacer ese router.

Saludos.

http://luxik.cdi.cz/~devik/qos/htb/manual/userg.htm

----------

## pcmaster

Yo buscaría una solución que pasase por restringir el ancho de banda máximo que pueda salir por cada conexión y/o el número de conexiones activas.

Más que nada, porque aunque al vecino x le filtres por IP o por MAC la salida, en ese PC que accede a Internet podría habilitar un servicio NAT y te jodería el invento. Así que es más simple: Como si quiere conectar 200 PC's, simplemente limítale el ancho de banda, por ejemplo a 2 Mb/seg si la conexión es de 6 megas, o el número de conexiones máximas a, por ejemplo, 10 conexiones simultáneas (o ambas cosas).

----------

## Inodoro_Pereyra

Enhaced stochastic fairness queueing (o como se escriba, que no tengo ganas de googlear). Eso aplicado como disciplina de encolado divide el ancho de banda por número de IP en lugar de la forma tradicional que es por cantidad de conexiones.

Aparte l7-filter puede directamente capar todo el tráfico p2p de tu red si quieres.

Salud!

----------

## Eleazar Anzola

Agradecido por las recomendaciones, lo de un server lo indique orque no quiero complicarme mucho instalando un server para un user VCS (Vulgar Comun y Silvestre) que no conoce nada de filtros, iptables ni QoS.

La opción de un router con filtrado de mac e ip asi como algo de ancho de banda creo que será por ahora lo más recomendable.

De todas maneras si alguien quiere aportar algo más será bien recibido, no cerrare el post para tal fin.

Gracias a todos por sus aportes.

PD:

La idea será poder romper la cascada de hub's raoters ó switches que pudieran colocar en la otra punta del cable. Es decir que no pueda salir más alla de la red primaria, aunque coloquen otro aparatito cualquiera.

----------

## pcmaster

 *Eleazar Anzola wrote:*   

> La idea será poder romper la cascada de hub's raoters ó switches que pudieran colocar en la otra punta del cable. Es decir que no pueda salir más alla de la red primaria, aunque coloquen otro aparatito cualquiera.

 

Eso es casi imposible. Es decir, si uno de los usuarios en vez de un PC pone un router neutro donde conectar varios equipos, en principio no tienes forma fácil de detectarlo. Una analogía: tu ISP te da UNA IP que está en tu router, que tiene otra IP de tu red privada. Él puede hacer lo mismo, siendo tú el "ISP" y el cable que va de tu casa a la suya "la conexión a internet": poner UNA IP de tu red en un router, que tendría otra IP de su red privada,a  la que puede conectar chopocientos equipos. Por eso te decía que lo más práctico sería poder limitar las conexiones simultáneas: si se las limitas a, por ejemplo, 10, aunque tuviese 300 PCs no podrían hacer más de 10 peticiones simultáneas entre todos.

A ver si te sirve esto: http://www.linuxparatodos.net/portal/article.php?story=tips-squid1

o esto: http://www.brazilfw.com.br/forum/viewtopic.php?f=40&t=62987

Tendrías que usar un PC de servidor, con linux, pero te puede servir hasta un antiguo Pentium I

----------

## Inodoro_Pereyra

Como dice pcmaster, se puede filtrar por mac address para limitar el acceso solo a las pc conocidas y nada mas pero si alguien viene y te pone un routercito de esos, habrás notado que todos tienen una opción que se llama "clone mac address", no?  :Very Happy: 

No sé hasta que punto es grave el asunto pero a veces es mas facil ir a golpearle la puerta al vecino abusador.

Salud!

----------

## pcmaster

 *Inodoro_Pereyra wrote:*   

> 
> 
> No sé hasta que punto es grave el asunto pero a veces es mas facil ir a golpearle la puerta al vecino abusador.
> 
> 

 

O cortarle el cable.  :Very Happy: 

----------

## Inodoro_Pereyra

 *pcmaster wrote:*   

>  *Inodoro_Pereyra wrote:*   
> 
> No sé hasta que punto es grave el asunto pero a veces es mas facil ir a golpearle la puerta al vecino abusador.
> 
>  
> ...

 

Eso! jeje...

----------

## carlos plaza

Hola amigo mio

 *Eleazar Anzola wrote:*   

> Agradecido por las recomendaciones, lo de un server lo indique orque no quiero complicarme mucho instalando un server para un user VCS (Vulgar Comun y Silvestre) que no conoce nada de filtros, iptables ni QoS.
> 
> La opción de un router con filtrado de mac e ip asi como algo de ancho de banda creo que será por ahora lo más recomendable.
> 
> De todas maneras si alguien quiere aportar algo más será bien recibido, no cerrare el post para tal fin.
> ...

 

No me acuerdo muy bien (tendré que buscar mis libros) pero los Routes o los Switches Cisco y también los Nortel, te hacen todo el trabajo de trafico, se le programa toda la red y demás cosas internamente y los puedes monitoriar desde linux elegantemente y sabrás si es un pc o un hub y desde consola lo sacas de la red. Eso si estos aparatos son costosos.

La mejor solución en rojo

 *Inodoro_Pereyra wrote:*   

> 
> 
> No sé hasta que punto es grave el asunto pero a veces es mas facil ir a golpearle la puerta al vecino abusador.

 

----------

## Eleazar Anzola

Gracias a los routers Linksys he podido detectar los dispositivos de red que no son Pc´s. Por ahora los filtro por mac y me he podido reir de lo lindo al verlos como locos formatenado y reinstalando sus sistemas para volverse a pegar con los hub's. Aun no llaman para pedir ayuda de por que no pueden navegar, pero apenas lo hagan se van a dar una sorpresa.

Otra que he visto con zenmap es un par de abusadores bajando a todo dar con torrent. les he puesto baja latencia a los puertos que se muestran, pero aun asi la bajada es brutal, inclusive he bloqueado los puertos pero burlan el bloqueo desde un Mac.

Seguiremos intentando algunas soluciones y comentaremos los resultados.

----------

## Coghan

La mayoría de los routers modernos pueden trabajar en modo promiscuo, se les pueden indicar varias ip a la misma interface de red. La idea que se me ocurre es reducir la máscara de red a la mínima expresión para que solo te deje trabajar con el número justo de equipos. De esa manera por más equipos que se incorporen no podrán obtener una ip libre. Me explico:

Si creamos la red 192.168.0.1 con la máscara 255.255.255.248 obtenemos una subred de 6 equipos, desde la ip 192.168.0.1 a la 192.168.0.6, si la primera ip se la asignamos al router nos quedan 5 direcciones  libres. En tu caso solo necesitas cubrir 4 direcciones, pues sobraría una, aquí es donde entra el modo promiscuo, la ip que nos sobra también se la asignamos a nuestro router sería la 192.168.0.2. Habría que configurar el dhcp para que solo asigne ese rango de cuatro direcciones de la 192.168.0.3 a las 192.168.0.6.

Existen dos puntos débiles:

Si nuestro querido abusador obtiene una de esas cuatro ip al estar apagado alguno de los equipos permitidos, o que se asigne una de esas ip manualmente e interfiera con el equipo válido. Para esto, algunos routers permiten configurar el filtro por mac de la forma "denegar todo salvo las mac permitidas", y otra opción pasaría por montar un switch gestionado que creara vlans por rango de tomas físicas de red, de esa manera podrías aislar al individuo indeseable.

Que el punto 4 de tu red se monte su propio enrutador y de acceso a su propia red privada. Ante eso la solución del switch gestionado también sería válida.

Puedes empezar por el invento de reducir la máscara y ver que pasa, es lo más económico, si esto se lo consiguen saltar, pues valora si el coste de un switch vlan te es rentable.

----------

## Inodoro_Pereyra

Yo probaría aplicando un buen enhanced stochastic fairness queueing, o de no estar disponible el sospechoso de siempre: stochastic fairness queueing... (Algo es algo).

Para el problema de p2p es la ESFQ es la única solución realmente efectiva que he podido encontrar hasta ahora y te olvidas inclusive de filtrar por protocolo...

Salud!

----------

## edgar_uriel84

Bueno, creo que la idea más sencilla es la de Coghan, pues no requieres un server (aunque si montas uno con OpenBSD, DHCP y Packet Filter tendrías un control muy bueno), solo un switch decente y hacer tu calculo con IP's (muy sencillos).

Lo de los torrent es algo brutal, yo luché mucho tiempo para que los usuarios de una red no usarán torrent y solo veía que el protocolo es un asco, ocupa todo el ancho de banda aunque este bajando a velocidad mediocre. Yo nunca encontré algo efectivo, ya investigaré lo que dice Inodoro.

----------

## ZaPa

Hola.

 *Quote:*   

> 
> 
> Lo de los torrent es algo brutal, yo luché mucho tiempo para que los usuarios de una red no usarán torrent y solo veía que el protocolo es un asco, ocupa todo el ancho de banda aunque este bajando a velocidad mediocre. Yo nunca encontré algo efectivo, ya investigaré lo que dice Inodoro.
> 
> 

 

Claro que si... si torrent puede estar bajando lentisimo, pero , las conexiones udp que abre son muchisimas... y si se puede luchar contra esto, y no es limitando con qos la velocidad para descargar no no, para hacer esto se utiliza el flag connlimit de iptables y a limitar las conexiones simultaneas y los p2p ya no nos molestarán más... 

Yo como he dicho, lo más fácil, pondría un router cualquier y activaria el filtrado mac, y santaspascuas, además tambien podrias activar el firewall del router (lo tienen todos ya), para darle acceso solamente a ciertas ips, y con el dhcp le dices que para X mac le ponga X ip..

Con el filtrado mac, el firewall comprobando ips y el dhcp forzando ips para cada mac, te funcionará de lujo.

Un saludo.

----------

## Inodoro_Pereyra

 *ZaPa wrote:*   

> y si se puede luchar contra esto, y no es limitando con qos la velocidad para descargar no no, para hacer esto se utiliza el flag connlimit de iptables y a limitar las conexiones simultaneas y los p2p ya no nos molestarán más...

 

También es cierto, pero tu aproximación zapa, es un poco mas ruda. Tradicionalmente se balancea la carga por conexiones, N cantidad de ancho de banda dividido en N cantidad de conexiones, cola mas, cola menos, algoritmo mas, algoritmo menos, pero en difinitiva es eso siempre.

EFSQ, balancea la carga  por número de IP. Si hay dos hosts en la red, uno abriendo miles de conexiones y otro una sola para enviar un mail por smpt, el ancho de banda se divide 50% y 50% (o lo que se hubiera especificado).

Todo eso hablado siempre del ancho de banda de subida, que suele ser el cuello de botella. Con el de bajada, algo se puede hacer también con IMQ pero eso ya es otro tema...

Salud!

----------

## ZaPa

Hola.

Inodoro_pereyra, lo que tu comentas, divide solamente el ancho de banda, pero no limita las conexiones tcp/udp, osea, que si alguien abre ares, la red se vendrá abajo, aunque este descarge a la minima velocidad..

Lo comento porque yo tenia ese problema, y al final tube que implementar connlimit para limitar las conexiones totales de la red, o conexiones totales por host, 

(al limitar conexiones, no baja la velocidad de descarga).

Un saludo.

----------

## Inodoro_Pereyra

 *ZaPa wrote:*   

> Hola.
> 
> Inodoro_pereyra, lo que tu comentas, divide solamente el ancho de banda, pero no limita las conexiones tcp/udp, osea, que si alguien abre ares, la red se vendrá abajo, aunque este descarge a la minima velocidad..

 

No me has entendido, te pongo un ejemplo: 2 ares, 1 emule 2 o 3 bittorrent esporádicos y mi red no se viene abajo. No solo eso si no que además puedo usar los teléfonos VoIP perfectamente y navegar como si nada mientras todo esto funciona en mi red. Uso HTB/ESFQ.

Usando Enhanced Stochastic Fairness Queueing la red no se viene abajo, nunca, indistintamente de la cantidad de conexiones, por si te interesa probarlo.

Salud!

----------

## ZaPa

Hola de nuevo.

Inodoro_pereya, en mi red wifi, con 3/4 usuarios con p2p funcionaba perfectamente, pero en momento tengas unos 10 usuarios simultaneas con p2p, te sobrecargan a conexiones udp y la nevegación y todo se satura demasiado,sobretodo con ares.

Lo solucioné como he dicho más arriba, utilizando connlimit con iptables, para asi limitar el numero de conexiones udp en la red y asi funciona sin ningún problema, va como un tiro.

¿HTB/ESFQ,trabaja priorizando y repartiendo velocidades mediante servicios verdad? Según el numero de ip se divide la conexión con la gente conectada, vamos, sería un qos por servicios para toda la red,no? o es algo más que un qos? supongo que será lo mismo,cierto?

En mi red, yo tengo funcionando un qos para toda la red, que funciona como tu dices, tengo separado el tráfico por clases, y para cada clase de tráfico se le da un ancho de banda. Pero si por ejemplo ,tengo 2 mb para navegar por web, esos 2 megas se divide por las ips que hayan activas, eso es lo mismo que lo que tu comentas,cierto?

Un saludo.

----------

## Inodoro_Pereyra

De la página web oficial:

 *http://fatooh.org/esfq-2.6/ wrote:*   

> 
> 
> ESFQ is the Enhanced Stochastic Fairness Queueing discipline. ESFQ is a modified version of the original SFQ which allows the user control over several originally hardcoded values. The most useful modification, for me, is the ability to change "hash type" so that ESFQ allocates bandwidth fairly per source IP rather than per connection.

 

Y la explicación profundiza un poco a continuación si te interesa implementarlo. Lo bueno de ESFQ es que realmente distribuye el ancho de banda de forma equitativa indistintamente del número de IP y la prioridad. No me gusta connlimit por que me parece tedioso de mantener. 

Con eso de que el p2p salta de puerto no se puede hacer match con iptables "si el IP es tal y el puerto es tal" de forma eficiente. Aplicando connlimit por puertos no sirve, saltan, por IP tampoco, en algún momento estarás descartando tráfico legítimo... Si además los IP son dinámicos, es un infierno  :Very Happy: 

Como es que lo has aplicado exitosamente si no es mucho molestar con la pregunta?

Salud!

----------

## ZaPa

Hola de nuevo Inodoro_pereyra, le tengo que hechar un ojo más profundamente al tema que tu estas comentando.

Veamos, lo he hecho aplicando connlimit al rango de ip que tengo funcionando la conexión a internet.

Si tengo en el rango 192.168.2.x internet funcionando, he aplicado connlimit a toda esa red/subredes.

Como tu dices, (asi pagan justos x pecadores), ya que, limito TODAS las conexiones tcp por segundo y TODAS las conexiones udp por segundo.

Ya te digo, asi me esta funcionando de maravilla, la red va fenomenal, y yo juego online y demás y sin ningún problema, lo único que afecta a esto es a los p2p que abren un monton de conexiones tcp/udp por segundo, cosa que ninguna otra cosa hace.

Tendrias que ver mis logs, como iptables dropea conexiones tcp udp de programas p2p, es bestial, pero una cosa exagerada, casi no puedo ver el log de TAN enorme que es.

Como ya te digo, sin connlimit mi red funcionaba lentisima, y era por el gran numero de conexiones por segundo que se tragaba mi servidor (router) y hacian el internet lentisimo.

Como tu estas comentando (repartiendo las velocidades por ips activas) es muy buena idea, pero, si vas a luchar contra muchos p2p, si no tiras de connlimit la red se vendrá abajo (no abajo, pero si funcionaria muyyy lenta).

Como yo lo tengo montado, además de repartir las velocidades de internet por servicios (utilizando también l7layer), también limita conexiones, y para cada puerto/s se definen unas velocidades de ancho de banda. Pero aparte de esto, estoy limitando conexiones con connlimit.

Te cuento bajo mi punto de vista y la gran experiencia que he tenido con esto.

He estado mucho tiempo luchando para intentar solucionar esto y al final no me quedó otra que connlimit.

Un saludo (y me esta gustando este post)  :Smile: 

----------

## Inodoro_Pereyra

Ya voy a hacer algunos experimentos cuando disponga de tiempo, a ver como va connlimit. A googlear se ha dicho!

Gracias por la explicación desde ya.

Salud!

----------

## Eleazar Anzola

Gracias por los aportes que se va aprendiendo cada día algo nuevo.  De ser posible apreciariamos sus comentarios y experiencias para al final ir haciendo de este post una guia ó un mini howto para quienes tenemos que luchar con esto en el dia a dia y para encaminar a los más nuevos.

----------

## anyeos

Hola amigos que tal, miren yo estoy usando HFSC por servicios (puertos) a través de MasterShapper con IMQ porque me cansé de intentar hacer todo manualmente. Pero lo único que quería hacer era un control de ancho de banda por IP sólo que fuera dinámico no estático. O sea, si hay 100 Ips que se ajustara a esos 100 Ips según como cada uno estuviera enviando o recibiendo datos. Pero si solamente estuvieran 3 Ip enviando o recibiendo datos pues que se repartiera entre esos 3.

Además de una forma tal que no produjera altas latencias por ejemplo en juegos o en aplicaciones VoIP.

Pero no lo pude lograr con ESFQ. ¿Cómo es que dicen que reparte por IP la cosa? ¿Cómo se puede hacer eso?

Por otra parte como dice aquí el amigo que limita por conexiones hay algo importante a tomar en cuenta. Dicen que los routers y equipos embebidos como los AP solamente soportan de 2000 a 4000 conexiones simultáneas TCP mantenidas. Ya que más que eso no les alcanza la RAM y la velocidad del procesador. Porque tienen que mantener en memoria todos esos datos ya que son conexiones activas. Entonces la verdad que limitar por conexiones no me parece para nada mala idea. Te permitiría dar un mejor servicio ya que no coparías la memoria tontamente por ejemplo si alguien quiere hacer tipo un DoS mandando miles de conexiones. 

Acá tengo una regla que limita por IP las conexiones:

```

# Limita la frecuencia de conexiones nuevas por IP de TCP/IP por la pasarela de internet

iptables -A FORWARD -i $usersdev -o $inetdev -p tcp -m state --state NEW -m recent --set

iptables -A FORWARD -i $usersdev -o $inetdev -p tcp -m state --state NEW -m recent --update --hitcount 13 --seconds 2 -j DROP

# Limita la cantidad de conexiones establecidas por IP de TCP/IP por la pasarela de internet

iptables -A FORWARD -i $usersdev -o $inetdev -p tcp --syn -m connlimit --connlimit-above 70 -j REJECT --reject-with tcp-reset
```

La primera limita la frecuencia (velocidad) conque se hacen las conexiones nuevas hacia Internet . Y la segunda limita la cantidad total de conexiones que pueden haber activas hacia internet. Todo esto asumiendo que las reglas las estás ejecutando en el router que se conecta a internet.

Las conexiones por UDP no son tanto problema ya que en los routers no ocupan memoria permanente porque no son conexiones que llevan un control de datos como lo hace TCP/IP sino que pasan o se bloquean así que no te gastes limitando la cantidad de conexiones UDP. Para los UDP el mejor control es simplemente del ancho de banda. Pero sería bueno limitar la cantidad de conexiones por IP al servicio de nombres para que éste no se ponga a responder a tantas peticiones:

```
iptables -A FORWARD -i $usersdev -o $inetdev -p udp --dport domain -m state --state NEW -m recent --set

iptables -A FORWARD -i $usersdev -o $inetdev -p udp --dport domain -m state --state NEW -m recent --update --hitcount 18 --seconds 2 -j DROP

```

$usersdev es el adaptador conectado a los usuarios (ejemplo: eth0).

$inetdev es el adaptador conectado a internet (ejemplo: eth1).

Ahora mi pregunta es cómo usar ESFQ así como lo tienes tu Inodoro? Porque la verdad que me gustaría usar eso mas que el lío de reglas y clases que tuve que lanzar para más o menos controlar el ancho de banda tanto saliente como entrante. Ya que mi intención en realidad era la de repartir el ancho de banda entre los IP y que cada uno se hiciera cargo de lo suyo. Por ejemplo si se le ponía lento el VoIP entonces que dejara de descargar de su bittorrent/ares. Pero que si yo NO estoy descargando desde bittorrent entonces a mi no tendría por qué afectarme mi VoIP. Me explico? Igual para juegos etc. Así cada uno debería responsabilizarse del uso que le diera a su propio ancho de banda. Pero tampoco quiero por ejemplo si nadie está navegando que se desperdicie ese ancho de banda. Entonces si nadie está navegando y yo solo (un solo IP) abro una página o descargo un archivo que todo el ancho de banda en ese entonces esté disponisble para mí solamente. O sea, algo dinámico, me explico? Igual si se suma alguien más mientras yo estoy descargando un archivo, que esa persona ahora tenga la otra mitad del ancho de banda. Y si se suman 3 entonces sería un tercio y así sucesivamente en constante dinamismo según el uso que se le esté dando en el momento.

Saludos.

----------

## ZaPa

Hola.

Creo haberte entendido perfectamente. Lo que tu andas buscando no es asignar un ancho de banda individual para cada IP conectada, si no, un ancho de banda ""global"" de la red el cual reparta equitativamente dependiendo de las IPS conectadas. 

Te comento...

El reparto de velocidades (por igual) entre las ips conectadas, lo consigue el algoritmo sfq (ahi más). Esto combinado con clases 'tc' y 'htb' tambien podemos priorizar un tráfico u otro.

Podriamos crear 2 clases para asociar cada tráfico a cada clase:

```

tc class add dev eth0 parent 1:10 classid 1:12 htb rate 500kbit ceil 1000kbit prio 1

tc class add dev eth0 parent 1:10 classid 1:13 htb rate 100kbit ceil 1000kbit prio 2

** Se crean dos clases asociadas a la interfáz eth0 con 500kbit garantizado y 1000kbit como máximo..

```

Asociando las clases creadas anteriormente al algoritmo para el reparto de ancho de banda (por igual):

```

tc qdisc add dev eth0 parent 1:10 handle 10: sfq perturb 5

* Cada 5 milisegundos hace un chequeo y haria un reparto equitativo del ancho de banda entre todas las conexiones

```

Con esto te es posible conseguir lo que andabas buscando. En el ejemplo que he puesto anteriormente, se utilizarian los 1000kbit SOLO SI ESTAN DISPONIBLES. Si no, tenemos garantizados 500kbit en la clase 1 y 100kbit en la clase 2.

Para asociar los paquetes a cada clase creada se debe hacer con iptables. 

Te dejo un documento para que le heches una ojeada:

http://usuarios.lycos.es/ccd_illusions/QoS-3.pdf

Un saludo.

----------

