Привет Всем.
Я пользуюсь связкой ipfw+natd - но натд Мне очень не нравится... - это все для предоставления Инета...
Хочу использовать pf. Pf насколько Я понял не умеет ограничивать скорость входящего потока...
Поэтому Я подумал и буду использовать ipfw (pipe) и pf (nat)...
Теперь вопрос - как проходят покеты: ipfw -> pf или pf->ipfw?
...и как Нат ставить?
В общем Мне не не ясно как строить в такой связке правила?

• Как дружить ipfw + pf?,sedfom, 13:03 , 26-Фев-07
  • Как дружить ipfw + pf?,weldpua2008, 14:18 , 26-Фев-07
    • Как дружить ipfw + pf?,weldpua2008, 15:38 , 26-Фев-07
  • Как дружить ipfw + pf?,uanic, 17:33 , 26-Фев-07
    • ИМХО дело не в дружбе,sedfom, 12:28 , 27-Фев-07
• Как дружить ipfw + pf?,RSG, 14:33 , 27-Фев-07
• Как дружить ipfw + pf?,netmaster, 12:53 , 13-Июн-11

>Теперь вопрос - как проходят покеты: ipfw -> pf или pf->ipfw?
>...и как Нат ставить?
>В общем Мне не не ясно как строить в такой связке правила?
>
У меня в конкретном случае :) оба этих фильтра работают одновременно.
Кто первый перехватывает пакеты = ХЗ

Я руководствовался при настройке PF статьей http://dreamcatcher.ru/index.php?option=com_content&task=vie...

Кстати никто не курсе в этом движке форума каков формат тэга ссылок? Ато все некликабельно как-то

поднимаю на PF NAT и разрешаю в нем все.
А в Ipfw режу чего не надо. Пока работает только вот мне никто не смог сказать как PF настроить на максимальную длину пропускаемого пакета. У него по умолчанию что то около 1500 и выше все срезается. Если нужна скорость то natd тут выигрывает :) при техже настройках по умолчанию. Хотя может быть в новых версиях PF чего и поменялось, я использовал PF из пакетов для FreeBSD v5.4

Грызите гранит манов далее.

>Пока работает только вот мне
>никто не смог сказать как PF настроить на максимальную длину пропускаемого
>пакета. У него по умолчанию что то около 1500 и выше
>все срезается. Если нужна скорость то natd тут выигрывает :) при
>техже настройках по умолчанию. Хотя может быть в новых версиях PF
>чего и поменялось, я использовал PF из пакетов для FreeBSD v5.4

Вопрос:
Поднимаю ipfw аллоу алл то алл
пф нат

На винде пинг идет - ОК
Теперь тоже самое но только через ВПН-подключение к мпд
пинг ~50%потерь...
С натд такого вроде бы небыло...

>Вопрос:
>Поднимаю ipfw аллоу алл то алл
>пф нат
>
>На винде пинг идет - ОК
>Теперь тоже самое но только через ВПН-подключение к мпд
>пинг ~50%потерь...
>С натд такого вроде бы небыло...
FreeBSD 6.2RC1
Может ipfw отключить? Но тогда чем шейпить траффик?
Тобишь ккак Я смогу ограничивать скорость вх./исход.

>>Теперь вопрос - как проходят покеты: ipfw -> pf или pf->ipfw?
>>...и как Нат ставить?
>>В общем Мне не не ясно как строить в такой связке правила?
>>
>У меня в конкретном случае :) оба этих фильтра работают одновременно.
>Кто первый перехватывает пакеты = ХЗ

Ставил себе и ipfw и pf. Первый пакеты фильтрует PF!!!

Чего то я не совсем понял что именно творит автор темы. А именно шейпится ли на данный момент канал средствами ipfw pipe ?

VPN тут не причем. Попробую Вам более подобно описать мою ситуацию и мои выводы, а Вам уже делать Ваши :)

Исходные данные общие для всех экспериментов: ОС FreeBSD 5.4, Ядро откомпилировано с поддержкой ipfw, bridge, pf.
Эксперимент №1.
через rc.conf включены ipfw, pf, natd.
В pf.conf = пусто
Делаю простой NAT через natd. Копирую файл 700 мегабайт из внешней сети во внутреннюю по netbios. Процесс занимает примерно 2-4 минуты. В ipfw руками добавлены разрешающие правила, без всяких режимов open.
Эксперимент №2.
через rc.conf включены ipfw, pf, natd.
Делаю простой NAT через PF. Копирую файл 700 мегабайт из внешней сети во внутреннюю по netbios. Процесс занимает примерно 15 минут.

Пробую пинг на сервер, откуда забираю файл с разной длиной пакета. Нашел примерное ограничение в 1500, как побороть не понял.

Потребности:
1. Сделать скоростной NAT в сеть провайдера, для скачивания фильмов и т.п.
2. Сделать второй NAT для интернета. При этом создаю на шлюзе VPN подключение к тому же провайдеру. И соответственно завернуть трафик в интернет на второй NAT.
Результаты:
1-ю свою потребность я сделал на natd с соответствующей настройкой ipfw.
2-ю свою потребность я сделал на pf - умный NAT для интернета. На работе интернета могу только заметить, что скачивание файлов с интернета по http протоколу максимальная скорость достигала 600 килоБайт в секунду.
Выводы:
Текущая связка меня пока устраивает, но хочется попробовать ipnat вместо pf .

Ширину канала через ipfw я не резал.

>Привет Всем.
>Я пользуюсь связкой ipfw+natd - но натд Мне очень не нравится... -
>это все для предоставления Инета...
>Хочу использовать pf. Pf насколько Я понял не умеет ограничивать скорость входящего
>потока...
>Поэтому Я подумал и буду использовать ipfw (pipe) и pf (nat)...
>Теперь вопрос - как проходят покеты: ipfw -> pf или pf->ipfw?
>...и как Нат ставить?
>В общем Мне не не ясно как строить в такой связке правила?
>

По поводу прохождения пакетов через фаер, вроде так:
ipfw -> ipf (in)-> pf(in) -> маршрутизация -> ipnat -> ipf (out) -> pf(nat) -> pf(out) -> ipfw

По поводу ната:
Теперь на счет ната. В pf для работы через нат с активным ftp используется ftp-proxy. При этом этот ftp-proxy и работает как прокси, т.е. возникают проблеммы с подсчетом такого тарфика. Как результат или не двать юзерам активный режим фтп или делать его средствами natd.

На счет ограничений:
Кстате, pf умеет ограничивать скорость см. ALTQ

> Привет Всем.
> Я пользуюсь связкой ipfw+natd - но натд Мне очень не нравится... -
> это все для предоставления Инета...
> Хочу использовать pf. Pf насколько Я понял не умеет ограничивать скорость входящего
> потока...
> Поэтому Я подумал и буду использовать ipfw (pipe) и pf (nat)...
> Теперь вопрос - как проходят покеты: ipfw -> pf или pf->ipfw?
> ...и как Нат ставить?
> В общем Мне не не ясно как строить в такой связке правила?

"Порядок прохождения пакетов по различным пакетным фильтрам в FreeBSD"
http://paix.org.ua/freebsd/fwpackets.html
Если не откроется, есть ещё страницы с таким текстом и заголовком.