OpenForum RSS: ipfw pipe и половина канала https://www.opennet.ru/openforum/vsluhforumID10/4251.html Пробую сделать систему ограничения и контроля трафика на ipfw с помощью pipe. <br>При этом хочется ограничивать только внешний канал, а работу из сети с сервером оставить без лимита. Для этого я написал следующую конфигурацию. <br>Создаю 3 pipe: <br>pipe 1 (для внутренней сети 1gbit), <br>pipe 2 (для для трафика от меня в интернет 180kbit), <br>pipe 3 (для для трафика ко мене из интернета 180kbit). <br>Затем делаю 6 очередей: <br>1 и 11 (для внутренней сети pipe 1), <br>2 (для для трафика от меня в интернет pipe 2 с Высоким преоритетом), <br>3 (для для трафика от меня в интернет pipe 2 с Низким преоритетом), <br>22 (для для трафика ко мене из интернета pipe 3 с Высоким преоритетом), <br>33 (для для трафика ко мене из интернета pipe 3 с Низким преоритетом). <br>Получается следующая картина: <br>1. Трафик для внутренней сети почему то тоже запихивается во 2 и 3 pipe и в результате все тормозит доже при отображении telnetа (это если что то еще качать по ftp из инета).<br>2. Скорость скачки с инета вместо положенных 180 kbit дает только пол ipfw pipe и половина канала (Pahanivo) https://www.opennet.ru/openforum/vsluhforumID10/4251.html#11 Mon, 05 Jul 2010 03:40:05 GMT &gt;[оверквотинг удален]<br>&gt;вот, смысл их не в том чтобы решать проблемы одного конкретного <br>&gt;человека, и не в том чтобы находить невероятно сложные узконаправленные решения, <br>&gt;а в том, что находить стандартные решения, стандартных проблем. <br>&gt;Я столкнулся с подобной проблемой и естественно пошел в гугл, который выдал <br>&gt;мне этот топик, в котором не было решения, мне пришлось расковыриваться <br>&gt;самому, что я и сделал, после чего запостил решение сюда, чтобы <br>&gt;другие, идущие моим путем, нашли здесь эту информацию и не тратили <br>&gt;время зря, а вот то, что вы делаете - это не <br>&gt;флейм, а флуд. Сомневаетесь ? Попробуйте перечитать свой пост и оценить <br>&gt;его отношение к проблеме обсуждаемой в топике. <br><br>))) кто с дамминетом хочет разобраться - тот разберется, благо все уже обсосано и разжовано за столько лет<br> ipfw pipe и половина канала (korn) https://www.opennet.ru/openforum/vsluhforumID10/4251.html#10 Sat, 03 Jul 2010 17:39:06 GMT &gt;&gt;Сор, устал к вечеру и не заметил сразу <br>&gt;<br>&gt;ты видать сильно устал если залез в уже год как закрытую тему <br>&gt;и начал флеймить ) <br><br>Я уже устал объяснять вам, молодые люди, смысл конференций подобно этой. Дак вот, смысл их не в том чтобы решать проблемы одного конкретного человека, и не в том чтобы находить невероятно сложные узконаправленные решения, а в том, что находить стандартные решения, стандартных проблем.<br>Я столкнулся с подобной проблемой и естественно пошел в гугл, который выдал мне этот топик, в котором не было решения, мне пришлось расковыриваться самому, что я и сделал, после чего запостил решение сюда, чтобы другие, идущие моим путем, нашли здесь эту информацию и не тратили время зря, а вот то, что вы делаете - это не флейм, а флуд. Сомневаетесь ? Попробуйте перечитать свой пост и оценить его отношение к проблеме обсуждаемой в топике.<br> ipfw pipe и половина канала (Pahanivo) https://www.opennet.ru/openforum/vsluhforumID10/4251.html#9 Fri, 02 Jul 2010 05:33:39 GMT &gt;Сор, устал к вечеру и не заметил сразу <br><br>ты видать сильно устал если залез в уже год как закрытую тему и начал флеймить )<br><br> ipfw pipe и половина канала (korn) https://www.opennet.ru/openforum/vsluhforumID10/4251.html#8 Wed, 30 Jun 2010 15:08:50 GMT &gt;man pf.conf <br>&gt;там есть очень хорошо написаное - как сделать правильную приоритезацию с динамически <br>&gt;изменяемой шириной канала - пайп не для таких сложностей <br><br>Трололо юноша. IPFW и dummynet это как раз таки то что надо для такой задачи. Если задача объёмнее то ng_ipfw + ng_car. Учите матчасть. <br> ipfw pipe и половина канала (korn) https://www.opennet.ru/openforum/vsluhforumID10/4251.html#7 Wed, 30 Jun 2010 10:33:10 GMT И ещё, я очепятался в правиле 1000, я написал<br>${ipfw} add 1000 100 pass all from ${peer} to any in via ${lancard}<br>А можно оставить как было у тебя, но skipto ставить не на 1000 а на 100<br>Сор, устал к вечеру и не заметил сразу<br> ipfw pipe и половина канала (korn) https://www.opennet.ru/openforum/vsluhforumID10/4251.html#6 Wed, 30 Jun 2010 10:31:06 GMT Вообще, в твоём случае ставь net.inet.ip.fw.one_pass=1 и не парься, обычно one_pass ставят 0 когда ng_nat используют, кстати очень хорошая штука.<br> ipfw pipe и половина канала (korn) https://www.opennet.ru/openforum/vsluhforumID10/4251.html#5 Wed, 30 Jun 2010 10:26:55 GMT &gt;[оверквотинг удален]<br>&gt;${ipfw} add 102 divert natd all from any to <br>&gt;any in via ${wancard} <br>&gt;${ipfw} add 103 pass all from me to any out via <br>&gt;${wancard} <br>&gt;${ipfw} add 104 pass all from any to ${peer} out via <br>&gt;${lancard} <br>&gt;${ipfw} add 105 pass all from any to ${peer} in via <br>&gt;${wancard} <br>&gt;${ipfw} add 65000 pass all from any to any <br>&gt;************************************************************************* <br><br>Видимо у вас переменная ядра net.inet.ip.fw.one_pass=0, собственно при таком подходе пакеты не уходят из цепочки после пропадания в queue, а лезут в следующий queue. <br>Решение: после каждого правила с queue ставить аналогичное правило с skipto.<br>То есть:<br><br>/****** всё что выше не меняется ******/<br><br>#---begin-lan network<br>${ipfw} add queue 1 ip from ${localhost} to ${lanaddr} out via ${lancard}<br>${ipfw} add skipto 1000 ip from ${localhost} to ${lanaddr} out via ${lancard}<br>${ipfw} add queue 11 ip from ${lanaddr} to ${localhost} in via ${lancard}<br>${ipfw} add skipto 1000 ip from ${lan ipfw pipe и половина канала (y) https://www.opennet.ru/openforum/vsluhforumID10/4251.html#4 Tue, 09 Jun 2009 10:17:21 GMT man pf.conf<br>там есть очень хорошо написаное - как сделать правильную приоритезацию с динамически изменяемой шириной канала - пайп не для таких сложностей <br> ipfw pipe и половина канала (Pahanivo) https://www.opennet.ru/openforum/vsluhforumID10/4251.html#3 Sun, 17 May 2009 05:17:11 GMT &gt;&gt;советую взять просто пример из какованидь хауту, упростить и двигаться от простого <br>&gt;&gt;к сложному, а не мудрить свое тупо подставля все подряд параметры <br>&gt;<br>&gt;Я так и пробовал. Но как видно не получается. Может что БОЛЕЕ <br>&gt;дельное подскажите? <br><br>я не буду коментить конкретно ваш пост - ибо зае... надоело коментить посты про пайпы (а также разбираться в вашем фареволах, корые не блешут понятностью) - варианты разные, а ошибки все теже. Просто повторю еще раз простые рекомендации:<br><br>1) НАЧНИТЕ С ОЧЕНЬ ПРОСТОЙ СХЕМЫ - поймите как это работает.<br>2) при конфиге пайпом обращайте внимание на маски - их тип и заначение: папйт исходящего трафика быдет по соур маске и наоборот, значение маски влеят на параметры агрегации.<br>3) важный параметр net.inet.ip.fw.one_pass<br>4) КРАЙНЕ ЖЕЛАТЕЛЬНО формулировать правило заворота на пайп в фареволе как можно строже - пакет должен попасть только на предназначенныю ему трубу, он не должен попасть туда дважды и тд - получаемые в случае ошибок глюки сложно интерпретировать и отлови