Всем доброго времени. Помогите разобраться с выбором комплекта программ для шлюза, точнее шейпинга. На данный момент есть:
1. Оборудование(P4 2.2, 512Мб,сетевые:Intel PWLA8391GT,Intel82559,Intel82555 и 3Com905-TX)
2. Установленная FreeBSD 9 release.
3. Лакальная сеть в частном секторе ~25 пользователей.(Возможно быстрое увеличение количества юзеров,-подключение другой сети).
Те, кто родился и уже знал фряху, советовали найти админа, что неприемлимо на данный момент, т.к. я за него)
Пока что поставил самбу, иксы (друзья, тольк пинать не надо, оборудование еще не в строю))
С nix раньше дел не имел, поэтому как бы есть желание пройти путем без грабель.
C файрволлом определился - pf (а значит altq однако он проигрывает dummynet) ipfw ставить не хочется. Понравилась связка radius+mpd+ng_car+abills. Однако попадались заметки о тормозе ng_car под нагрузкой. Что можете сказать о ng_car и есть ли способы борьбы с тормозами если таковые имеются?

• Не хочется наступить на грабли. Выбор шейпера,fantom, 10:44 , 21-Дек-12
  • Не хочется наступить на грабли. Выбор шейпера,164Vitali164, 20:20 , 21-Дек-12
• Не хочется наступить на грабли. Выбор шейпера,user, 21:29 , 21-Дек-12
  • Не хочется наступить на грабли. Выбор шейпера,164Vitali164, 02:18 , 22-Дек-12
    • Не хочется наступить на грабли. Выбор шейпера,user, 06:29 , 22-Дек-12
    • Не хочется наступить на грабли. Выбор шейпера,DeadLoco, 18:57 , 22-Дек-12
      • Не хочется наступить на грабли. Выбор шейпера,164Vitali164, 23:59 , 22-Дек-12
        • Не хочется наступить на грабли. Выбор шейпера,user, 20:27 , 24-Дек-12
        • Не хочется наступить на грабли. Выбор шейпера,164Vitali164, 02:35 , 25-Дек-12
          • Не хочется наступить на грабли. Выбор шейпера,user, 16:26 , 25-Дек-12

>[оверквотинг удален]
> Те, кто родился и уже знал фряху, советовали найти админа, что неприемлимо
> на данный момент, т.к. я за него)
> Пока что поставил самбу, иксы (друзья, тольк пинать не надо, оборудование еще
> не в строю))
> С nix раньше дел не имел, поэтому как бы есть желание пройти
> путем без грабель.
> C файрволлом определился - pf (а значит altq однако он проигрывает dummynet)
> ipfw ставить не хочется. Понравилась связка radius+mpd+ng_car+abills. Однако попадались
> заметки о тормозе ng_car под нагрузкой. Что можете сказать о ng_car
> и есть ли способы борьбы с тормозами если таковые имеются?

Вы нагрузку озвучьте....
25 пользователей, на сколько увеличение? какие скорости???

Нагрузка может увеличится до 500 примерно чел. Ну и ~200 Мбит канал будет. Пока что 30МБит. Вопрос еще так же в удобстве. Насколько я понял ng_car интерактивен более чем altq&dummynet.
_http://bonzo.me/freebsd-router Вот тут прочитал о притормаживании ng_car. Нагрузки канечно разные....но факт однако

> Всем доброго времени. Помогите разобраться с выбором комплекта программ для шлюза, точнее
> шейпинга. На данный момент есть:
> 1. Оборудование(P4 2.2, 512Мб,сетевые:Intel PWLA8391GT,Intel82559,Intel82555 и 3Com905-TX)

     А ччо память так дорого стоит? Для шлюза с шейпером она не помешает. Сетевой стэк вашей ОС многопоточный, так что крайне рекомендую посмотреть в сторону многопроцессорного\многоядерного аппаратного решения.

> Те, кто родился и уже знал фряху, советовали найти админа, что неприемлимо
> на данный момент, т.к. я за него)

     Когда вылезут проблемы, заложенные на стадии ТЗ, а юзеры будут вас штурмовать и требовать включить Инет, вот тогда вы пожалеете об этих словах :)

> Пока что поставил самбу, иксы (друзья, тольк пинать не надо, оборудование еще
> не в строю))

    А вот эти строки еще раз подтверждают вышесказанное мной.

> С nix раньше дел не имел, поэтому как бы есть желание пройти
> путем без грабель.

   Не получиться!

> C файрволлом определился - pf (а значит altq однако он проигрывает dummynet)
> ipfw ставить не хочется.

   В 10-ке PF многопоточный. Лично я его работой доволен (в плане производительности).
  
> Понравилась связка radius+mpd+ng_car+abills.

Однако попадались
> заметки о тормозе ng_car под нагрузкой. Что можете сказать о ng_car
> и есть ли способы борьбы с тормозами если таковые имеются?

   Не надо городить огород. Это все вам никчему.

Резюмируя. Вам следует использовать ipfw, так как канал резать лучше dummynet. Причем прорабатывайте конфигурацию с несколькими точками включения в Инет. С ipfw это несложно сделать. К тому же с недавних пор в ipfw возможен per-interface acl.
Если все же хочется с PF, то тогда ставьте 10-CURRENT. Можно нарезать и с помощью altq, но как будет при 500 юзерах - не знаю. А вообще ИМХО altq - морально устарел. Можно также попробовать PF и dummynet.
Можете почитать http://www.opennet.me/base/net/vpn_mpd_pf.txt.html

> ...рекомендую посмотреть в сторону многопроцессорного\многоядерного аппаратного решения..

  Пока что новое оборудование не планруется, канечно, без этого не обойтись, если юзеров станет больше
-------------
> Когда вылезут проблемы, заложенные на стадии ТЗ, а юзеры будут вас штурмовать и требовать включить Инет, вот тогда вы пожалеете об этих словах :)

  Старый шлюз я разбирать не буду, так что резерв есть и потом я сначала отлажу фряшный шлюз, а уж потом заменю.
-------------
> Не надо городить огород. Это все вам никчему.

  А что подразумевалось под этой фразой :) ? Если шейпинг реализован в  MPD, то почему бы не задействовать его?

>> ...рекомендую посмотреть в сторону многопроцессорного\многоядерного аппаратного решения..
>   Пока что новое оборудование не планруется, канечно, без этого не
> обойтись, если юзеров станет больше
> -------------
>> Когда вылезут проблемы, заложенные на стадии ТЗ, а юзеры будут вас штурмовать и требовать включить Инет, вот тогда вы пожалеете об этих словах :)
>   Старый шлюз я разбирать не буду, так что резерв есть
> и потом я сначала отлажу фряшный шлюз, а уж потом заменю.

  Вы слишком самоуверенны. И судя по этому посту http://www.opennet.me/openforum/vsluhforumID1/90726.html?n=1... во фре так и не разобрались.
Тогда зачем создавать топик да и еще с таким названием, непонятно...

> Старый шлюз я разбирать не буду

Старый шлюз? А кто делал старый шлюз?

> Старый шлюз? А кто делал старый шлюз?

я делал. Просто он на win2kserv. Да и к тому же это P III 1GHz. Уже 5 лет в работе. Крутится там НАТ(KControl), шейпер, доменная почта, хостинг, VPN, FTP, DNS, DHCP, WINS и+ шаровый доступ.
Однако данное оборудование устарело малец и не может адекватно обслуживать увеличивающиеся количество пользователей.
Есть еще один системник Athlon 2GHz Socket462. Сначала я думал сделать с него шлюз на win2k3, как резерв фряшному, но сейчас думаю поставить туда FreeBSD. Так я думал потому, что шлюз на win2k3 я могу сделать за неделю со всеми хотфиксами, тюнингом стека, шаблонами безопастности, перенести туда нужный комплект софта и настроить.
Но тем не менее, то что на Пне4 будет FreeBSD - это я решил окончательно. Банальное глушение UTP...например,.. на win вызывает как бы размышления.
---------------------------
>  Вы слишком самоуверенны.

Не без этого, канечно. Ну а как по другому? Да, тот пост был давно, прошло много времени, но во фре начал разбираться примерно с неделю как. Поэтому и спросил об общих принципах, а детали уже буду копать.

>[оверквотинг удален]
> Однако данное оборудование устарело малец и не может адекватно обслуживать увеличивающиеся
> количество пользователей.
> Есть еще один системник Athlon 2GHz Socket462. Сначала я думал сделать с
> него шлюз на win2k3, как резерв фряшному, но сейчас думаю поставить
> туда FreeBSD. Так я думал потому, что шлюз на win2k3 я
> могу сделать за неделю со всеми хотфиксами, тюнингом стека, шаблонами безопастности,
> перенести туда нужный комплект софта и настроить.
> Но тем не менее, то что на Пне4 будет FreeBSD - это
> я решил окончательно. Банальное глушение UTP...например,.. на win вызывает как бы
> размышления.

  А на FreeBSD думаете не будет вызывать? Как вы себе это представляете? Банальным deny UDP?
Тут вам нужен файервол, умеющий разглядывать payload. Вам в сторону Linux...

Помойму pf умеет видеть payload

> Помойму pf умеет видеть payload

LOL!