https://opennet.me/openforum/vsluhforumID1/83711.html Привет всем<br>/&gt;uname -r<br>6.2-RELEASE-p12<br>Организовываю ограничение по скорости на пользователей созданием 4-5 pipe'ов:<br><br>cmd="/sbin/ipfw -q add "<br>bw="/sbin/ipfw pipe "<br>u512=table\(10\)<br>$cmd 200 pipe 200 all from not 10.0.0.0/8 to $u512 in<br>$cmd 200 pipe 200 all from $u512 to not 10.0.0.0/8 out<br>$bw 200 config mask dst-ip 0x000000ff bw 512Kbit/s<br>и т.д.<br><br>Как теперь можно ограничить количество соединений для диапазона портов?<br>то есть Я хочу ограничить для каждого ИП находящегося в таблице table\(10\) допустим так:<br>максимальное количество входящих ИП для портов &gt;1024 = 100, для остальных 200<br><br>Если Я увеличу количество pipe'ов в два раза и сделаю так будет ли работать?:<br><br>pipe 200 ip from table(5) to not me dst-port 1024-65535 out limit dst-addr 100<br>pipe 200 ip from table(5) to not me dst-port 1-1024 out limit dst-addr 200<br><br>pipe 200 ip from not me 1024-65535 to table(5) in src-addr 100<br>pipe 200 ip from not me 1-1024 to table(5) in src-addr 200<br><br><br><br> https://opennet.me/openforum/vsluhforumID1/83711.html#5 Sat, 16 Jan 2010 15:10:48 GMT Понял для чего, :) спасибо<br><br>столкнулся с такой же батвой, все поправил Автору респект и уважуха<br> https://opennet.me/openforum/vsluhforumID1/83711.html#4 Sat, 16 Jan 2010 14:50:26 GMT &gt;[оверквотинг удален]<br>&gt;размером 512. Направление трафика от IP из таблицы 5 <br>&gt;ipfw add 400 pipe 200 ip from table\(5\) to any <br>&gt;ipfw pipe 200 config mask src-ip /32 bw 512Kb <br>&gt;<br>&gt;# На каждый IP из таблицы 5 создать свою (aka динамическую) трубу <br>&gt;размером 512. Направление трафика к IP из таблицы 5 <br>&gt;ipfw add 400 pipe 300 ip from any to table\(5\) <br>&gt;ipfw pipe 300 config mask dst-ip /32 bw 512Kb <br>&gt;<br>&gt;Если я где-то что-то неправильно понял то поправте. <br><br>Не понятная ситуация получается, для чего обрабатывается правило прыгом на 400 правило?<br>Нельзя разве сразу написать <br>ipfw add 400 pipe 300 ip from any to table\(5\) dst-port 1024-65535<br> https://opennet.me/openforum/vsluhforumID1/83711.html#3 Fri, 23 Jan 2009 14:25:50 GMT &gt;Я 3-и раза прочитал и не понял - можно сделать то, что <br>&gt;нужна на этом компе или нет?... <br>&gt;Если да, то Мне нужно с pipe'а ми по одному правилу?... <br>&gt;ЗЫ: <br>&gt;Если смотреть table(5) то там будут ип с маской /32 <br><br>Я хотел просто обратить внимание на то, что динамические pipe и limit должны находиться в разных правилах.<br><br>Если идет ограничение на каждый ip то конфиг для пайпа должен выглядить так:<br>ipfw pipe 200 config mask dst-ip /32 bw 512Kb<br><br>Ваши правила мне не совсем понятны, например<br>pipe 200 ip from table(5) to not me dst-port 1024-65535 out limit dst-addr 100<br>Здесь Вы указываете адреса назначения к которым будет применено правило как "not me", и тут же говорите "out". А что, возможные пакеты по направлению к me в то время как они out?<br><br>Нужна схема для более точного написаня правил, но выглядеть по-моему это должно как-то так:<br><br># Для каждого соединения на порты 1024-65535 с IP из таблицы 5 будут созданы динамические<br># правила для прямого и обратного трафика. Таких соединений возможно не более https://opennet.me/openforum/vsluhforumID1/83711.html#2 Fri, 23 Jan 2009 12:24:11 GMT &gt;[оверквотинг удален]<br>&gt;есть. <br>&gt;<br>&gt;Во вторых, как я понимаю скорость так же ограничивается на каждый <br>&gt;IP, тогда логичнее было бы писать маску /32 в конфиге от <br>&gt;pipe. <br>&gt;<br>&gt;В третьих, т.к. limit динамически создает правила для каждой сессии на определенный <br>&gt;порт и pipe у Вас так же определен как динамический, для <br>&gt;каждого ипа, то в результате получится что скорость определенная в pipe <br>&gt;будет выделена каждой сессии из limit. <br><br>Я 3-и раза прочитал и не понял - можно сделать то, что нужна на этом компе или нет?...<br>Если да, то Мне нужно с pipe'а ми по одному правилу?...<br><br>ЗЫ:<br>Если смотреть table(5) то там будут ип с маской /32<br> https://opennet.me/openforum/vsluhforumID1/83711.html#1 Thu, 22 Jan 2009 08:19:24 GMT &gt;[оверквотинг удален]<br>&gt;ли работать?: <br>&gt;pipe 200 ip from table(5) to not me dst-port 1024-65535 out limit <br>&gt;dst-addr 100 <br>&gt;pipe 200 ip from table(5) to not me dst-port 1-1024 out limit <br>&gt;dst-addr 200 <br>&gt;<br>&gt;pipe 200 ip from not me 1024-65535 to table(5) in src-addr 100 <br>&gt;<br>&gt;pipe 200 ip from not me 1-1024 to table(5) in src-addr <br>&gt;200 <br><br>Во первых, limit это STATEFUL firewall и как результат создает динамические правила. Как следствие, обычно, обратные правила не нужны. А они у Вас есть.<br><br>Во вторых, как я понимаю скорость так же ограничивается на каждый IP, тогда логичнее было бы писать маску /32 в конфиге от pipe.<br><br>В третьих, т.к. limit динамически создает правила для каждой сессии на определенный порт и pipe у Вас так же определен как динамический, для каждого ипа, то в результате получится что скорость определенная в pipe будет выделена каждой сессии из limit.<br><br><br>