https://www.opennet.ru/openforum/vsluhforumID1/85104.html Доброго всем времени суток. <br>Есть задачи:<br>1) Ограничить канал гейтовой машины с ip-адресом 195.189.x.x до 2Mbit/s.<br>2) Нарезать каналы по 54kbit/s для юзеров внутренней сети только на входящий интернет-трафик.<br><br>В ядре имеется:<br><br>options IPFIREWALL<br>options DUMMYNET<br><br>Далее идём нарезать каналы:<br><br>/etc/ipfw<br><br> ${fwcmdq} pipe 1 config bw 2Mbit/s #Труба для гейторой машины<br> ${fwcmdq} pipe 2 config mask src-ip 0xffffffff bw 54kbit/s #пайп на исходящий траф<br> ${fwcmdq} pipe 3 config mask dst-ip 0xffffffff bw 54kbit/s #пайп на входящий траф<br> ${fwcmdq} add 0170 pipe 1 tcp from any to 195.189.x.x via ${ifout}<br> ${fwcmdq} add 0171 pipe 1 tcp from 195.189.x.x to any via ${ifout}<br> ${fwcmdq} add 0172 pipe 2 ip from 192.168.2.1/24{1-254} to any out via ${ifout}<br> ${fwcmdq} add 0173 pipe 3 ip from any to 192.168.2.1/24{1-254} in via ${ifout}<br><br>${ifout} - интерфейс, который смотрит в мир.<br><br>Правилами 0170-0171 я надеялся нарезать трубку в 2Mbit/s для тра https://www.opennet.ru/openforum/vsluhforumID1/85104.html#5 Thu, 30 Apr 2009 17:08:54 GMT &gt;Не суть как натятся. Проблема заключается не в том как всё это <br>&gt;натится, а в том как правильно пайпы нашить. <br>&gt;Вобщем с проблемой ограничения скорости подсети 192.168.2.1/24 я разобрался. <br>&gt;А вот как создать канал в 2Mbit/s для шлюза в интернет так <br>&gt;и не разобрался.. <br><br>ну почему не суть как ... если уж решаете проблему дак покажите че и как делаете или задумываете - а вы кинули кусок - нати ребятки, догадайтесь что я намудрил ...<br>как я понимаю 2мб будет сумарная труба для всех уже преджварительно нарезанных юзеров<br>к томуже труба сама по себе будет ограничивать сумму вход исход трафика<br>1) для начала убедитесь что у вас <br>net.inet.ip.fw.one_pass = 0 ! это очень необходимо для вложенных труб, да и в случае фильтрации отгейпованногго трафика<br>2) маски соурс и дст надо для сумарной трубы обе выставить в ноль<br>2) в фаерволе сначала идут правила нарезки по узким трубам и только следом правило нарезки в суммарную трубу<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/85104.html#4 Thu, 30 Apr 2009 15:57:05 GMT &gt;&gt;5) Диверта нет в фаере. <br>&gt;<br>&gt;ааааа какже тогда оно натится? вижу на одном интерфейсе паблик на втором <br>&gt;приват <br><br>Не суть как натятся. Проблема заключается не в том как всё это натится, а в том как правильно пайпы нашить.<br>Вобщем с проблемой ограничения скорости подсети 192.168.2.1/24 я разобрался.<br>А вот как создать канал в 2Mbit/s для шлюза в интернет так и не разобрался..<br> https://www.opennet.ru/openforum/vsluhforumID1/85104.html#3 Thu, 30 Apr 2009 12:18:12 GMT &gt;5) Диверта нет в фаере. <br><br>ааааа какже тогда оно натится? вижу на одном интерфейсе паблик на втором приват<br><br> https://www.opennet.ru/openforum/vsluhforumID1/85104.html#2 Thu, 30 Apr 2009 08:04:55 GMT &gt;1)ну для начала расслабится и включить мозг <br>&gt;2)научится пользоваться командой ipfw -a list и приводить сдесь ее ПОЛНЫЙ вывод <br>&gt;а не кусок скрипта вашего глюкавого фаревола <br>&gt;3)правила 170 172 ограничивают СУММАРНО вход исход трафик внешнего интерфейса <br>&gt;4)трафик локалки лучше шейтить на интерфейсе локалки (как минимум исходящий) <br>&gt;5)предполагаю что у вас перед правилами 172 173 стоит правило дайверт - <br>&gt;вывод сделайте сами <br><br>1) Попытаемся<br>2)<br>internet# ipfw -a list <br>00010 878 161554 allow ip from any to any via lo0 <br>00015 0 0 deny ip from any to 127.0.0.0/8 <br>00020 0 0 deny ip from 127.0.0.0/8 to any <br>00025 0 0 check-state <br>00100 0 0 allow tcp from any to any dst-port 53 out via https://www.opennet.ru/openforum/vsluhforumID1/85104.html#1 Thu, 30 Apr 2009 07:44:54 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Правилами 0170-0171 я надеялся нарезать трубку в 2Mbit/s для трафика, который гуляет <br>&gt;в обе стороны. <br>&gt;Далее правилами 0172-0173 скорость для каждой машиы из подсети 192.168.2.1/24 должна была <br>&gt;быть 54kbit/s как на исходящий трафик так и на входящий. <br>&gt;<br>&gt;Но проверяя со своей машины с ип-адресом 192.168.2.14 я убедился что правила <br>&gt;0172-0173 не работают ( Скорость скачки по прежнему осталась анлимитной. <br>&gt;И как проверить канал в 2Mbit\s даже если он работает? <br>&gt;В чём может быть ошибка? <br><br>1)ну для начала расслабится и включить мозг<br>2)научится пользоваться командой ipfw -a list и приводить сдесь ее ПОЛНЫЙ вывод а не кусок скрипта вашего глюкавого фаревола<br>3)правила 170 172 ограничивают СУММАРНО вход исход трафик внешнего интерфейса<br>4)трафик локалки лучше шейтить на интерфейсе локалки (как минимум исходящий)<br>5)предполагаю что у вас перед правилами 172 173 стоит правило дайверт - вывод сделайте сами<br>