https://opennet.me/openforum/vsluhforumID1/83680.html Всем доброго времени суток!<br>И так имеем:<br>====== IPFW Rulles =======<br>00100 7604 509736 allow ip from 192.168.2.1 to me dst-port 22<br>00200 8079 5227032 allow ip from me to 192.168.2.1 src-port 22<br>65200 0 0 pipe 65200 ip from any to 192.168.2.254<br>65300 0 0 pipe 65300 ip from 192.168.2.254 to any<br>65535 1502 190313 deny ip from any to any<br>====== IPFW Pipes ======<br>65200: 64.000 Kbit/s 0 ms 50 sl. 0 queues (1 buckets) droptail<br>65300: 64.000 Kbit/s 0 ms 50 sl. 0 queues (1 buckets) droptail<br><br>1. в результате скорость на 192.168.2.254 ~100кбайт/сек (сама порезка заметна, но непонятна)<br>2. и ещё, если добавить в 65200 в конец сторки out, а в 65300 in пакеты на 192.168.2.254<br> перестают бегать вообще.<br><br>Хотелось бы получить ответы на 2 этих вопроса.<br><br>Заранее извеняюсь если подобная тема уже была, хотелось бы её увидеть если есть такова ...<br> https://opennet.me/openforum/vsluhforumID1/83680.html#16 Sat, 17 Jan 2009 10:36:11 GMT &gt;2. Обязательно пересобери ядро с DEVICE_POLLING и включи его на сетевой карте. <br><br>вы хоть в курсе что не все драйвера поддерживают пулинг? )<br> https://opennet.me/openforum/vsluhforumID1/83680.html#15 Fri, 16 Jan 2009 23:42:17 GMT &gt;[оверквотинг удален]<br>&gt;&gt;mysrv# sysctl net.inet.ip.fw.one_pass <br>&gt;&gt;net.inet.ip.fw.one_pass: 1 <br>&gt;<br>&gt;1. Что за канал? Ширина? Физическая среда? Возможно скорость прыгает на внешнем <br>&gt;канале или есть потеря пакетов. <br>&gt;2. Обязательно пересобери ядро с DEVICE_POLLING и включи его на сетевой карте. <br>&gt;<br>&gt;3. Попробуй поставить HZ&gt;1000 kern.hz="2000" в /boot/loader.conf<br>&gt;4. Попробуй уменьшить размер queue на пайпе. Для такой скорости 10 или <br>&gt;меньше.. <br><br>1. 10мбит, адсл2+, на внешнем канале скорость не прыгает (по крайней мере в таким приделах точно), без фаервола поднимается до ~1мбайта/сек, с ним же прыгает от 15кбайт/сек до 120кбайт/сек (при 64000)<br>2. Собираю, глянем какой даст результат ...<br><br>И ещё, судя по ipfw show почему-то работает только одно правило, например:<br>ipfw add 64200 allow log all from 192.168.2.254 to any<br>то есть для входа и выхода, или:<br>ipfw add 65200 pipe 65200 log all from 192.168.2.254 to any<br><br>по второму пакеты не ходят вообще:<br>ipfw add 64300 allow log all from any to 192.168.2.2 https://opennet.me/openforum/vsluhforumID1/83680.html#14 Fri, 16 Jan 2009 17:43:25 GMT &gt;[оверквотинг удален]<br>&gt;стредняя скорость закачки: 64Кбайта(скорость прыгает) - это не точно, ну точного числа <br>&gt;нету ... чтобы было в 2 раза больше положенной или меньше, <br>&gt;все время прыгает - но не фулл, то есть порезка присутсвует <br>&gt;точно. <br>&gt;<br>&gt;2. Нет. <br>&gt;3. Нет. <br>&gt;4. <br>&gt;mysrv# sysctl net.inet.ip.fw.one_pass <br>&gt;net.inet.ip.fw.one_pass: 1 <br><br>1. Что за канал? Ширина? Физическая среда? Возможно скорость прыгает на внешнем канале или есть потеря пакетов.<br>2. Обязательно пересобери ядро с DEVICE_POLLING и включи его на сетевой карте.<br>3. Попробуй поставить HZ&gt;1000 kern.hz="2000" в /boot/loader.conf<br>4. Попробуй уменьшить размер queue на пайпе. Для такой скорости 10 или меньше..<br><br> https://opennet.me/openforum/vsluhforumID1/83680.html#13 Fri, 16 Jan 2009 17:16:28 GMT &gt;&gt;<br>&gt;&gt;работает с IN & OUT, но все равно режит неправильно. <br>&gt;<br>&gt;Какие отклонения от заданной скорости? <br>&gt;DEVICE_POLLING ? <br>&gt;HZ=? <br>&gt;ipfw pipe show ? <br>&gt;sysctl net.inet.ip.fw.one_pass ? <br><br>1.<br>mysrv# ipfw show<br>00100 6532 352984 allow ip from 192.168.2.1 to me dst-port 22<br>00200 9816 5037483 allow ip from me to 192.168.2.1 src-port 22<br>65200 1932 264476 allow ip from 192.168.2.254 to any out<br>65300 0 0 allow ip from any to 192.168.2.254 out<br>65400 1937 264949 pipe 65200 ip from 192.168.2.254 to any in<br>65500 0 0 pipe 65300 ip from any to 192.168.2.254 in<br>65535 267 23677 deny ip from any to any<br>mysrv# ipfw pipe show<br>65200: 64.000 Kbit/s 0 ms 50 sl. 1 queues (1 buckets) droptail<br>65300: 64.000 Kbit/s 0 ms 50 sl. 0 queues (1 buckets) droptail<br><br>стредняя скорость закачки: 64Кбайта(скорость прыгает) - это не точно, ну точного числа нету ... чтобы было в 2 раза больше положенной или меньше, все время прыгает - но не фулл, то есть порезка присутсвует точно.<br><br>2. Нет.<br>3. Не https://opennet.me/openforum/vsluhforumID1/83680.html#12 Fri, 16 Jan 2009 17:04:34 GMT &gt;<br>&gt;работает с IN & OUT, но все равно режит неправильно. <br><br>Какие отклонения от заданной скорости?<br>DEVICE_POLLING ?<br>HZ=?<br>ipfw pipe show ?<br>sysctl net.inet.ip.fw.one_pass ?<br> https://opennet.me/openforum/vsluhforumID1/83680.html#11 Fri, 16 Jan 2009 16:58:23 GMT &gt;[оверквотинг удален]<br>&gt;&gt;да, это то что выдает ipfw show & ipfw pipe show <br>&gt;<br>&gt;add 65200 pipe 65200 ip from any to 192.168.2.254 in <br>&gt;add 65210 allow ip from any to 192.168.2.254 out <br>&gt;add 65300 pipe 65300 ip from 192.168.2.254 to any in <br>&gt;add 65310 allow from 192.168.2.254 to any out <br>&gt;<br>&gt;Это ДОЛЖНО работать, проблема скорее всего не в правилах.. <br>&gt;Еще помоему пакеты не проходят пока не был выполнен pipe config первый <br>&gt;раз. <br><br>работает с IN & OUT, но все равно режит неправильно.<br><br>и почему оба IN идут по пайпу а оба OUT по аллоу ?<br> https://opennet.me/openforum/vsluhforumID1/83680.html#10 Fri, 16 Jan 2009 16:49:43 GMT &gt;[оверквотинг удален]<br>&gt;00100 7604 509736 allow ip from 192.168.2.1 to me dst-port 22 <br>&gt;<br>&gt;00200 8079 5227032 allow ip from me to 192.168.2.1 src-port 22 <br>&gt;65200 0 0 <br>&gt;pipe 65200 ip from any to 192.168.2.254 <br>&gt;65300 0 0 <br>&gt;pipe 65300 ip from 192.168.2.254 to any <br>&gt;<br>&gt;неужели не заметно что пакеты ВООБЩЕ НЕ ПОПАЛИ В ПРАВИЛО??? <br>&gt;сдается мне фаревол таки не полный показывается <br><br>да все там попадает в правило, даже по 2 раза ...<br>просто скопировал ничего не делая ещё ...<br><br><br>на самом деле в логах имеем вид по этмоу правилу:<br><br>Jan 15 17:35:04 mysrv kernel: ipfw: 65200 Pipe 65300 ICMP:8.0 192.168.2.254 192.168.2.1 in via le0<br>Jan 15 17:35:04 mysrv kernel: ipfw: 65200 Pipe 65300 ICMP:8.0 192.168.2.254 192.168.2.1 out via le0<br>Jan 15 17:35:04 mysrv kernel: ipfw: 65300 Pipe 65200 ICMP:5.1 192.168.2.3 192.168.2.254 out via le0<br>Jan 15 17:35:04 mysrv kernel: ipfw: 65300 Pipe 65200 ICMP:0.0 192.168.2.1 192.168.2.254 in via le0<br>Jan 15 17:35:04 mysrv kernel: ipfw: 65300 Pipe 65200 ICMP:0.0 1 https://opennet.me/openforum/vsluhforumID1/83680.html#9 Fri, 16 Jan 2009 15:01:54 GMT у вас ошибку надо поискать в коде ДНК ..<br><br><br>00100 7604 509736 allow ip from 192.168.2.1 to me dst-port 22<br>00200 8079 5227032 allow ip from me to 192.168.2.1 src-port 22<br>65200 0 0 pipe 65200 ip from any to 192.168.2.254<br>65300 0 0 pipe 65300 ip from 192.168.2.254 to any<br><br>неужели не заметно что пакеты ВООБЩЕ НЕ ПОПАЛИ В ПРАВИЛО???<br>сдается мне фаревол таки не полный показывается<br><br> https://opennet.me/openforum/vsluhforumID1/83680.html#8 Fri, 16 Jan 2009 13:38:04 GMT &gt;&gt;&gt;<br>&gt;&gt;&gt;Ну вот почему-то когда добавляю IN & OUT пропадает связь вообще. <br>&gt;&gt;<br>&gt;&gt;Это все правила, которые есть в системе?? <br>&gt;<br>&gt;да, это то что выдает ipfw show & ipfw pipe show <br><br>add 65200 pipe 65200 ip from any to 192.168.2.254 in<br>add 65210 allow ip from any to 192.168.2.254 out<br>add 65300 pipe 65300 ip from 192.168.2.254 to any in<br>add 65310 allow from 192.168.2.254 to any out<br><br>Это ДОЛЖНО работать, проблема скорее всего не в правилах..<br>Еще помоему пакеты не проходят пока не был выполнен pipe config первый раз.<br>