https://www.opennet.me/openforum/vsluhforumID10/3879.html hi, all!<br><br>FreeBSD 6.0<br><br>Есть скрипт файрволла. В целом работает, но есть две проблемки, решение которых ниасилил, сколько вариантов не пробовал:<br><br>1. Исходящая скорость юзера ровно в два раза меньше размера пайпа, со входящей всё нормально.<br><br>2. Если юзер начинает качать с торрента, то, к примеру при пайпе в 64Кбит/с такую скорость он получает с каждого пира, что в итоге приводит к забиванию канала :(<br><br>Сам скрипт:<br># Сброс текущих правил, пайпов и таблиц<br>ipfw -f flush<br>ipfw -f pipe flush<br><br># юзерский сегмент<br>ipfw table 1 flush<br><br># Описания интерфейсов<br>ext="fxp0"<br>int="em0"<br>srv="em1"<br><br># Пайпы для безлимитных тарифов<br>ipfw pipe 1 config mask dst-ip 0xffffffff bw 64Kbit/s queue 4Kbytes<br>ipfw pipe 2 config mask src-ip 0xffffffff bw 64Kbit/s queue 4Kbytes<br><br>ipfw pipe 3 config mask dst-ip 0xffffffff bw 128Kbit/s queue 8Kbytes<br>ipfw pipe 4 config mask src-ip 0xffffffff bw 128Kbit/s queue 8Kbytes<br><br># some security<br>ipfw add 30 pass all from any to any via lo0<br>ipfw add 40 deny all from any to 127.0.0 https://www.opennet.me/openforum/vsluhforumID10/3879.html#6 Tue, 15 Jul 2008 10:31:42 GMT &gt;&gt;[оверквотинг удален]<br>&gt; На самом деле начиная с &#8470; 30000 - правила для многих <br>&gt;юзеров добавляются динамически. Т.е. идея была создать общий пайп для безлимитчиков <br>&gt;так, чтобы в него загонять любые ип, поэтому применил маску.. наверное <br>&gt;имеет смысл создавать для каждого ип свой пайп.. <br><br>Макски то зачем если всех в один пайп пихаешь?<br>Можно сделать несколько правил с таблицами. На каждое правило свой пайп без всяких масок. Пользователей динамически помещать в нужную таблицу и они будут делить между собой этот общий пайп. <br><br>&gt;ipfw add 30000 pipe 2 ip from any to 10.101.0.5 out <br>&gt;ipfw add 30010 pipe 1 ip from 10.101.0.5 to any in <br>&gt;так тоже пробовал. Инет таки не пашет.. почему и грешу на проходы..<br><br>Посмотри tcpdump'ом, видешь входящие пакеты на внутренеем интерфейсе при таком написании правил? И поправь конфиги к пайпам, если ты всех в одну трубу загоняешь, то тебе не надо ни масок указыать ни размер очереди определять.<br> https://www.opennet.me/openforum/vsluhforumID10/3879.html#5 Tue, 15 Jul 2008 08:46:43 GMT &gt;[оверквотинг удален]<br>&gt;&gt;ipfw add 30000 pipe 2 ip from any to 10.101.0.5 in <br>&gt;&gt;ipfw add 30010 pipe 1 ip from 10.101.0.5 to any out <br>&gt;&gt;<br>&gt;&gt; то инет вообще перестаёт работать. <br>&gt;<br>&gt;Правила 30000 и 30010 срабатывают на внутреннем интерфейсе em0, по этому правильнее <br>&gt;было бы писать <br>&gt;<br>&gt;ipfw add 30000 pipe 2 ip from any to 10.101.0.5 out <br>&gt;ipfw add 30010 pipe 1 ip from 10.101.0.5 to any in <br><br>так тоже пробовал. Инет таки не пашет.. почему и грешу на проходы..<br><br><br>&gt;Как я понимаю надо ограничить ширину канала для 10.101.0.5 т.е. для одного <br>&gt;Ip-адреса. И для этого одного адреса есть один пайп. Как результат <br>&gt;указывать маску в конфиге пайпа не нужно. <br><br> На самом деле начиная с &#8470; 30000 - правила для многих юзеров добавляются динамически. Т.е. идея была создать общий пайп для безлимитчиков так, чтобы в него загонять любые ип, поэтому применил маску.. наверное имеет смысл создавать для каждого ип свой пайп..<br><br><br> https://www.opennet.me/openforum/vsluhforumID10/3879.html#4 Tue, 15 Jul 2008 06:10:57 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;# Запрещаем всё остальное <br>&gt;ipfw add 65530 deny all from any to any <br>&gt;два прохода, но где - не пойму.. если в правилах указать <br>&gt;направления, типа: <br>&gt;# выпускаем юзеров в инет <br>&gt;ipfw add 30000 pipe 2 ip from any to 10.101.0.5 in <br>&gt;ipfw add 30010 pipe 1 ip from 10.101.0.5 to any out <br>&gt;<br>&gt; то инет вообще перестаёт работать. <br><br>Правила 30000 и 30010 срабатывают на внутреннем интерфейсе em0, по этому правильнее было бы писать<br><br>ipfw add 30000 pipe 2 ip from any to 10.101.0.5 out<br>ipfw add 30010 pipe 1 ip from 10.101.0.5 to any in<br><br>Как я понимаю надо ограничить ширину канала для 10.101.0.5 т.е. для одного Ip-адреса. И для этого одного адреса есть один пайп. Как результат указывать маску в конфиге пайпа не нужно.<br><br>Потом... так как у Вас написано, в пайпе 1 маска из конфига применяется к dst-ip, т.е. канал выделяется для каждого отдельного ипа на который идет соединение. С пайпом 2 все с точности до наобарот.<br><br><br>На заметку :<br><br>MASK SRC-IP/DST-IP mask - инвертированая маска https://www.opennet.me/openforum/vsluhforumID10/3879.html#3 Tue, 15 Jul 2008 05:48:12 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;А зачем определено значение queue ? <br>&gt;&gt;Ifconfig + описание где внутренний, а где внешний интерфейс. <br>&gt;<br>&gt;дело не в queue. <br>&gt;<br>&gt; fxp0 - внешний <br>&gt; em0 - внутренний <br>&gt;<br>&gt;Тут косяк со вторым проходом где-то :( <br><br>Это понятно что дело не в размере очереди... Просто не вижу глубокого смысла определять размер очерди..<br><br>Интересуют IP на интерфейсах. Я правильно понимаю, что 10.101.0.5 это ip пользователя?<br> https://www.opennet.me/openforum/vsluhforumID10/3879.html#2 Mon, 14 Jul 2008 07:41:21 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;Подскажите, что не так? Всю голову сломал :-( Предположительно где-то пакеты совершают <br>&gt;&gt;два прохода, но где - не пойму.. если в правилах указать <br>&gt;&gt;направления, типа: <br>&gt;&gt;# выпускаем юзеров в инет <br>&gt;&gt;ipfw add 30000 pipe 2 ip from any to 10.101.0.5 in <br>&gt;&gt;ipfw add 30010 pipe 1 ip from 10.101.0.5 to any out <br>&gt;<br>&gt;А зачем определено значение queue ? <br>&gt;Ifconfig + описание где внутренний, а где внешний интерфейс. <br><br>дело не в queue.<br> <br> fxp0 - внешний<br> em0 - внутренний<br><br>Тут косяк со вторым проходом где-то :(<br> https://www.opennet.me/openforum/vsluhforumID10/3879.html#1 Mon, 14 Jul 2008 06:41:58 GMT &gt;[оверквотинг удален]<br>&gt;# Запрещаем всё остальное <br>&gt;ipfw add 65530 deny all from any to any <br>&gt;-------------------8&lt;--------------------------- <br>&gt;<br>&gt;Подскажите, что не так? Всю голову сломал :-( Предположительно где-то пакеты совершают <br>&gt;два прохода, но где - не пойму.. если в правилах указать <br>&gt;направления, типа: <br>&gt;# выпускаем юзеров в инет <br>&gt;ipfw add 30000 pipe 2 ip from any to 10.101.0.5 in <br>&gt;ipfw add 30010 pipe 1 ip from 10.101.0.5 to any out <br><br>А зачем определено значение queue ?<br>Ifconfig + описание где внутренний, а где внешний интерфейс.<br>