https://opennet.me/openforum/vsluhforumID3/5593.html Andrey V. Elsukov предложил протестироать патч (ftp://ftp.opennet.ru/pub/FreeBSD/ipfw_bound/) для ipfw, позволяющий задавать правила срабатывающие в зависимости от объема трафика прошедшего в соответвсии с определенным правилом.<br><br><br>Патч (ftp://ftp.opennet.ru/pub/FreeBSD/ipfw_bound/) небольшой, и при желании его функциональность может быть легко<br>расширена. На данный момент патч делает следующие изменения в системе:<br><br>- в IPFW добавляется новая опция (см. man ipfw: RULE OPTIONS/MATCH<br>PATTERNS) bound числовое_значение. Правила с этой опцией проходят<br>дополнительную проверку. Проверка заключается в сравнении байтового<br>счётчика правила со значением указанном в bound. Если значение счётчика<br>меньше значения в bound, то правило срабатывает (конечно при этом<br>делаются все остальные проверки), иначе - пропускается.<br><br>- необходимые для поддержки выше описанного изменения в утилите<br>/sbin/ipfw.<br><br><br>Пример использования:<br><br>ipfw add 100 allow ip from any to hostA in recv internet bound 10000000<br><br>ipfw add 200 den https://opennet.me/openforum/vsluhforumID3/5593.html#17 Mon, 23 May 2005 09:53:14 GMT Последняя версия патча доступна на http://butcher.heavennet.ru/<br>Нужен доброволец для перевода этого текста на английский язык. https://opennet.me/openforum/vsluhforumID3/5593.html#16 Fri, 13 May 2005 12:46:18 GMT &gt;Может я что-то недопонял ?<br>&gt;Может еще надо что-то прикутить?<br><br>Да, надо разрешить вашему адресу выходить в инет. https://opennet.me/openforum/vsluhforumID3/5593.html#15 Fri, 13 May 2005 12:07:40 GMT попробовал эту штучку .<br>Хочу сразу сказать что ситема 5.3<br>Проблема в том что да это правило(ipfw add 100 allow ip from any to hostA in recv internet bound 10000000 ) считает колво пакетов но не пропускает и правила обробатываются дальше, т.е. если я ставлю<br>ipfw add 200 deny ip from any to any <br>то в инет я идтить не могу так как 200 правило всегда отрабатывает.<br>Может я что-то недопонял ?<br>Может еще надо что-то прикутить? https://opennet.me/openforum/vsluhforumID3/5593.html#14 Wed, 11 May 2005 04:59:25 GMT &gt;IMHO, вместо bound логичнее реализовать что-то вроде lt/le (less then/less or equal), <br>&gt;gt/ge (greater then/greater or equal). <br><br>Возможно, но мои задачи пока этого требуют, разве что позднее ;)<br><br>&gt;И полезно иметь возможность задавать в k,M,G <br><br>Об этом уже думал, но тоже позднее, если будет время. <br>Первоначальная задача не подразумевала, что добавление удаление правил будет происходить в "ручном" режиме. https://opennet.me/openforum/vsluhforumID3/5593.html#13 Wed, 11 May 2005 04:56:07 GMT С таблицами сложнее. Для каждого адреса не ведётся отдельного счётчика, счётчик присутсвует только для "действия" (deny, pass, count, ..). Поэтому тут нужны более существенные изменения. https://opennet.me/openforum/vsluhforumID3/5593.html#12 Wed, 11 May 2005 04:34:42 GMT IMHO, вместо bound логичнее реализовать что-то вроде lt/le (less then/less or equal), gt/ge (greater then/greater or equal).<br>И полезно иметь возможность задавать в k,M,G<br><br>(default_to_pass)<br>deny all from any to 1.2.3.4 out xmit $iface gt 10G<br><br>(default_to_deny)<br>pass all from any to 1.2.3.4 out xmit $iface le 10G<br><br>pipe $M config bw 256Kbytes/s<br>pipe $N config bw 64Kbytes/s<br>pipe $M all from any to 1.2.3.4 out xmit $iface le 10G<br>pipe $N all from any to 1.2.3.4 out xmit $iface gt 10G<br> https://opennet.me/openforum/vsluhforumID3/5593.html#11 Tue, 10 May 2005 10:43:08 GMT &gt;посоветуйте какими будут правила с использванием ограничений скорости при наборе определенного лимита. <br>&gt;К примеру у пользвателя 128, после скачки 10G скорость до конца <br>&gt;месяца должна быть 64. Как правильнее написать при использовании патча.<br><br>я думаю что то вроди <br>sysctl net.inet.ip.fw.one_pass=1<br><br>ipfw add #1 pipe #1 ip from any to ip# out bound 10000000000<br>ipfw pipe #1 config bw 128kbit/s<br>ipfw add #2 pipe #2 ip from any to ip# out<br>ipfw pipe #1 config bw 64kbit/s<br><br>но учити что тут только входящий трафик учитывается...<br><br>зы divert,reg,gred,queue по вкусу<br><br><br><br><br><br> https://opennet.me/openforum/vsluhforumID3/5593.html#10 Tue, 10 May 2005 07:28:15 GMT посоветуйте какими будут правила с использванием ограничений скорости при наборе определенного лимита. К примеру у пользвателя 128, после скачки 10G скорость до конца месяца должна быть 64. Как правильнее написать при использовании патча. https://opennet.me/openforum/vsluhforumID3/5593.html#9 Mon, 09 May 2005 17:22:01 GMT &gt;Я конечно может немного и не понимаю чего.... Но зачем все эти <br>&gt;телодвижения, если можно написать свой скрипт который подсчитывает байты из <br>&gt;ipfw по каким хотите правилам (либо на Си написать программулину) и <br>&gt;запускать все это дело по крону... <br><br>Это стремление к блокировке в реалтайм. <br>За миниту юзер сидящий на 100 Мбит может прокачать сверх лимита почти Гиг траифика.<br>