forum.opennet.ru - "dummynet и белые IP " (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"dummynet и белые IP "

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"dummynet и белые IP "		+/–
Сообщение от Shatnev (ok) on 13-Сен-09, 22:43
Добрый день. FreeBSD 7.2 Столкнулся с такой проблемой на белых IP. Трафик входящий/исходящий шейпится следующими правилами: Входящий ipfw pipe 5000 config bw 9000Kbit/s ipfw add 4000 pipe 5000 ip from any to 10.100.100.0/24 out Исходящий ipfw pipe 5001 config bw 9000Kbit/s ipfw add 4001 pipe 5001 ip from 10.100.100.0/24 to any in Трафик проходящий через NAT к абонентам шейпится без проблем в обе стороны и работает все замечательно. Но стоит вместо серой подсети (10.100.100.0/24) поставить белую подсеть (195.88.1.0/24) и начинает шейпится только исходящий трафик. Почему так происходит помогите пожалуйста разобраться. Заранее Спасибо.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

dummynet и белые IP , Michael, 09:28 , 14-Сен-09, (1)

dummynet и белые IP , Shatnev, 11:23 , 14-Сен-09, (2)

dummynet и белые IP , Pahanivo, 11:55 , 14-Сен-09, (3)

dummynet и белые IP , Shatnev, 16:17 , 14-Сен-09, (4)

dummynet и белые IP , Pahanivo, 18:22 , 14-Сен-09, (5)

dummynet и белые IP , Shatnev, 18:29 , 14-Сен-09, (6)

dummynet и белые IP , Pahanivo, 19:19 , 14-Сен-09, (7)

dummynet и белые IP , Shatnev, 22:07 , 14-Сен-09, (8)

dummynet и белые IP , Shatnev, 10:18 , 16-Сен-09, (9)

dummynet и белые IP , Pahanivo, 10:50 , 16-Сен-09, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "dummynet и белые IP " +/–

Сообщение от Michael (??) on 14-Сен-09, 09:28

>Заранее Спасибо.
ipfw pipe show и tcpdump помогут вам понять, как оно работает. и будущем подобные вопросы уже не возникнут.
ну если в двух словах, то пакеты не попадают в пайп, т.к. айпишники в их заголовке уже изменены натом

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "dummynet и белые IP " +/–

Сообщение от Shatnev (ok) on 14-Сен-09, 11:23

>
>>Заранее Спасибо.
>
>ipfw pipe show и tcpdump помогут вам понять, как оно работает. и
>будущем подобные вопросы уже не возникнут.
>ну если в двух словах, то пакеты не попадают в пайп, т.к.
>айпишники в их заголовке уже изменены натом
Михаил, в двух словах понятно.
Но как тогда из заголовков выкинуть информацию о нате? Как это побороть?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "dummynet и белые IP " +/–

Сообщение от Pahanivo (ok) on 14-Сен-09, 11:55

>[оверквотинг удален]
>>>Заранее Спасибо.
>>
>>ipfw pipe show и tcpdump помогут вам понять, как оно работает. и
>>будущем подобные вопросы уже не возникнут.
>>ну если в двух словах, то пакеты не попадают в пайп, т.к.
>>айпишники в их заголовке уже изменены натом
>
>Михаил, в двух словах понятно.
>Но как тогда из заголовков выкинуть информацию о нате? Как это побороть?
>
не совсем согласен с предыдущим оратором,
но про pipe show и tcpdump это он верно сказал.
Серость айпи тут не причем - ибо ipfw загонящий пакеты в трубу их не различает.
Вероятнее всего изза чего шейпится только исход траф - то что перед правилом загона в трубу вход траф попадает на какоето правило allow (pass). Читаем man ipfw по поводу очередности отработки правил, также полезен man dummynet.
Вообще (ИМХО) при работе с трубами и ipfw я бы выделили несколько распространенных ошибок: неправильный порядок правил изза чего пакеты выводятся их фаревола раньше или пожже, двойное прохождение пакета через трубу(ы), опция one_pass

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "dummynet и белые IP " +/–

Сообщение от Shatnev (ok) on 14-Сен-09, 16:17

>[оверквотинг удален]
>но про pipe show и tcpdump это он верно сказал.
>Серость айпи тут не причем - ибо ipfw загонящий пакеты в трубу
>их не различает.
>Вероятнее всего изза чего шейпится только исход траф - то что перед
>правилом загона в трубу вход траф попадает на какоето правило allow
>(pass). Читаем man ipfw по поводу очередности отработки правил, также полезен
>man dummynet.
>Вообще (ИМХО) при работе с трубами и ipfw я бы выделили несколько
>распространенных ошибок: неправильный порядок правил изза чего пакеты выводятся их фаревола
>раньше или пожже, двойное прохождение пакета через трубу(ы), опция one_pass
Пробывал менять очередность правил - не помогло.
Вот что конкретно содержит ipfw до добавления правил шейпера:
GW# ipfw list
64000 allow ip from me to any
64000 allow ip from any to me
65535 deny ip from any to any
Вот то, что я добавляю для шейпера:
Входящий
ipfw pipe 5001 config bw 9Mbit/s
ipfw add 5001 pipe 5001 ip from any to 195.88.127.0/24 out
ipfw add 5001 allow ip from any to 195.88.127.0/24
Исходящий
ipfw pipe 5000 config bw 9Mbit/s
ipfw add 5000 pipe 5000 ip from 195.88.127.0/24 to any in
ipfw add 5000 allow ip from 195.88.127.0/24 to any
После добавления правил видим это:
GW# ipfw list
05000 pipe 5000 ip from 195.88.127.0/24 to any in
05000 allow ip from 195.88.127.0/24 to any
05001 pipe 5001 ip from any to 195.88.127.0/24 out
05001 allow ip from any to 195.88.127.0/24
64000 allow ip from me to any
64000 allow ip from any to me
65535 deny ip from any to any
GW# ipfw pipe show
05001:   9.000 Mbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
05000:   9.000 Mbit/s    0 ms   50 sl. 1 queues (1 buckets) droptail
    mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  0 icmp    195.88.127.2/0         194.87.0.50/0       64     3820  0    0   0
Трафик шейпится только исходящий :(((
Народ что делать??
Что еще попробывать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "dummynet и белые IP " +/–

Сообщение от Pahanivo (ok) on 14-Сен-09, 18:22

приведи полный ipfw -a list в нормальном порядке

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "dummynet и белые IP " +/–

Сообщение от Shatnev (ok) on 14-Сен-09, 18:29

>приведи полный ipfw -a list в нормальном порядке
GW# ipfw -a list
05000 18887 11481432 pipe 5000 ip from 195.88.127.0/24 to any in
05000 47797 25081688 allow ip from 195.88.127.0/24 to any
05001     0        0 pipe 5001 ip from any to 195.88.127.0/24 out
05001 12322  1185789 allow ip from any to 195.88.127.0/24
64000 30691  4413640 allow ip from me to any
64000 32854  3715434 allow ip from any to me
65535 47128  7847093 deny ip from any to any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "dummynet и белые IP " +/–

Сообщение от Pahanivo (ok) on 14-Сен-09, 19:19

>[оверквотинг удален]
>
>GW# ipfw -a list
>05000 18887 11481432 pipe 5000 ip from 195.88.127.0/24 to any in
>05000 47797 25081688 allow ip from 195.88.127.0/24 to any
>05001     0
> 0 pipe 5001 ip from any to 195.88.127.0/24 out
>05001 12322  1185789 allow ip from any to 195.88.127.0/24
>64000 30691  4413640 allow ip from me to any
>64000 32854  3715434 allow ip from any to me
>65535 47128  7847093 deny ip from any to any
правил точно больше нет?
с какова перепугу исходяций стал in а входящий out? если уж привязываешь in out дак тогда и указывай интерфейсы - а то не совсем понятно для какова ифа ин а для какова аут

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "dummynet и белые IP " +/–

Сообщение от Shatnev (ok) on 14-Сен-09, 22:07

>[оверквотинг удален]
>> 0 pipe 5001 ip from any to 195.88.127.0/24 out
>>05001 12322  1185789 allow ip from any to 195.88.127.0/24
>>64000 30691  4413640 allow ip from me to any
>>64000 32854  3715434 allow ip from any to me
>>65535 47128  7847093 deny ip from any to any
>
>правил точно больше нет?
>с какова перепугу исходяций стал in а входящий out? если уж привязываешь
>in out дак тогда и указывай интерфейсы - а то не
>совсем понятно для какова ифа ин а для какова аут
Правил точно других нет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "dummynet и белые IP " +/–

Сообщение от Shatnev (??) on 16-Сен-09, 10:18

>[оверквотинг удален]
>>>64000 30691  4413640 allow ip from me to any
>>>64000 32854  3715434 allow ip from any to me
>>>65535 47128  7847093 deny ip from any to any
>>
>>правил точно больше нет?
>>с какова перепугу исходяций стал in а входящий out? если уж привязываешь
>>in out дак тогда и указывай интерфейсы - а то не
>>совсем понятно для какова ифа ин а для какова аут
>
>Правил точно других нет.
Народ, я так понимаю вариантов других нет?
Может кто-то еще, что посоветует, проблема еще не решена?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "dummynet и белые IP " +/–

Сообщение от Pahanivo (ok) on 16-Сен-09, 10:50

>[оверквотинг удален]
>>>
>>>правил точно больше нет?
>>>с какова перепугу исходяций стал in а входящий out? если уж привязываешь
>>>in out дак тогда и указывай интерфейсы - а то не
>>>совсем понятно для какова ифа ин а для какова аут
>>
>>Правил точно других нет.
>
>Народ, я так понимаю вариантов других нет?
>Может кто-то еще, что посоветует, проблема еще не решена?
внимательно перечитай мои посты! там все написано на что обратить внимание
я тебе явно указал на косяки

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "dummynet и белые IP "		+/–
Сообщение от Michael (??) on 14-Сен-09, 09:28
>Заранее Спасибо. ipfw pipe show и tcpdump помогут вам понять, как оно работает. и будущем подобные вопросы уже не возникнут. ну если в двух словах, то пакеты не попадают в пайп, т.к. айпишники в их заголовке уже изменены натом
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "dummynet и белые IP "		+/–
	Сообщение от Shatnev (ok) on 14-Сен-09, 11:23
	> >>Заранее Спасибо. > >ipfw pipe show и tcpdump помогут вам понять, как оно работает. и >будущем подобные вопросы уже не возникнут. >ну если в двух словах, то пакеты не попадают в пайп, т.к. >айпишники в их заголовке уже изменены натом Михаил, в двух словах понятно. Но как тогда из заголовков выкинуть информацию о нате? Как это побороть?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "dummynet и белые IP "		+/–
	Сообщение от Pahanivo (ok) on 14-Сен-09, 11:55
	>[оверквотинг удален] >>>Заранее Спасибо. >> >>ipfw pipe show и tcpdump помогут вам понять, как оно работает. и >>будущем подобные вопросы уже не возникнут. >>ну если в двух словах, то пакеты не попадают в пайп, т.к. >>айпишники в их заголовке уже изменены натом > >Михаил, в двух словах понятно. >Но как тогда из заголовков выкинуть информацию о нате? Как это побороть? > не совсем согласен с предыдущим оратором, но про pipe show и tcpdump это он верно сказал. Серость айпи тут не причем - ибо ipfw загонящий пакеты в трубу их не различает. Вероятнее всего изза чего шейпится только исход траф - то что перед правилом загона в трубу вход траф попадает на какоето правило allow (pass). Читаем man ipfw по поводу очередности отработки правил, также полезен man dummynet. Вообще (ИМХО) при работе с трубами и ipfw я бы выделили несколько распространенных ошибок: неправильный порядок правил изза чего пакеты выводятся их фаревола раньше или пожже, двойное прохождение пакета через трубу(ы), опция one_pass
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "dummynet и белые IP "		+/–
	Сообщение от Shatnev (ok) on 14-Сен-09, 16:17
	>[оверквотинг удален] >но про pipe show и tcpdump это он верно сказал. >Серость айпи тут не причем - ибо ipfw загонящий пакеты в трубу >их не различает. >Вероятнее всего изза чего шейпится только исход траф - то что перед >правилом загона в трубу вход траф попадает на какоето правило allow >(pass). Читаем man ipfw по поводу очередности отработки правил, также полезен >man dummynet. >Вообще (ИМХО) при работе с трубами и ipfw я бы выделили несколько >распространенных ошибок: неправильный порядок правил изза чего пакеты выводятся их фаревола >раньше или пожже, двойное прохождение пакета через трубу(ы), опция one_pass Пробывал менять очередность правил - не помогло. Вот что конкретно содержит ipfw до добавления правил шейпера: GW# ipfw list 64000 allow ip from me to any 64000 allow ip from any to me 65535 deny ip from any to any Вот то, что я добавляю для шейпера: Входящий ipfw pipe 5001 config bw 9Mbit/s ipfw add 5001 pipe 5001 ip from any to 195.88.127.0/24 out ipfw add 5001 allow ip from any to 195.88.127.0/24 Исходящий ipfw pipe 5000 config bw 9Mbit/s ipfw add 5000 pipe 5000 ip from 195.88.127.0/24 to any in ipfw add 5000 allow ip from 195.88.127.0/24 to any После добавления правил видим это: GW# ipfw list 05000 pipe 5000 ip from 195.88.127.0/24 to any in 05000 allow ip from 195.88.127.0/24 to any 05001 pipe 5001 ip from any to 195.88.127.0/24 out 05001 allow ip from any to 195.88.127.0/24 64000 allow ip from me to any 64000 allow ip from any to me 65535 deny ip from any to any GW# ipfw pipe show 05001: 9.000 Mbit/s 0 ms 50 sl. 0 queues (1 buckets) droptail 05000: 9.000 Mbit/s 0 ms 50 sl. 1 queues (1 buckets) droptail mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000 BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp 0 icmp 195.88.127.2/0 194.87.0.50/0 64 3820 0 0 0 Трафик шейпится только исходящий :((( Народ что делать?? Что еще попробывать?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "dummynet и белые IP "		+/–
	Сообщение от Pahanivo (ok) on 14-Сен-09, 18:22
	приведи полный ipfw -a list в нормальном порядке
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "dummynet и белые IP "		+/–
	Сообщение от Shatnev (ok) on 14-Сен-09, 18:29
	>приведи полный ipfw -a list в нормальном порядке GW# ipfw -a list 05000 18887 11481432 pipe 5000 ip from 195.88.127.0/24 to any in 05000 47797 25081688 allow ip from 195.88.127.0/24 to any 05001 0 0 pipe 5001 ip from any to 195.88.127.0/24 out 05001 12322 1185789 allow ip from any to 195.88.127.0/24 64000 30691 4413640 allow ip from me to any 64000 32854 3715434 allow ip from any to me 65535 47128 7847093 deny ip from any to any
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "dummynet и белые IP "		+/–
	Сообщение от Pahanivo (ok) on 14-Сен-09, 19:19
	>[оверквотинг удален] > >GW# ipfw -a list >05000 18887 11481432 pipe 5000 ip from 195.88.127.0/24 to any in >05000 47797 25081688 allow ip from 195.88.127.0/24 to any >05001 0 > 0 pipe 5001 ip from any to 195.88.127.0/24 out >05001 12322 1185789 allow ip from any to 195.88.127.0/24 >64000 30691 4413640 allow ip from me to any >64000 32854 3715434 allow ip from any to me >65535 47128 7847093 deny ip from any to any правил точно больше нет? с какова перепугу исходяций стал in а входящий out? если уж привязываешь in out дак тогда и указывай интерфейсы - а то не совсем понятно для какова ифа ин а для какова аут
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "dummynet и белые IP "		+/–
	Сообщение от Shatnev (ok) on 14-Сен-09, 22:07
	>[оверквотинг удален] >> 0 pipe 5001 ip from any to 195.88.127.0/24 out >>05001 12322 1185789 allow ip from any to 195.88.127.0/24 >>64000 30691 4413640 allow ip from me to any >>64000 32854 3715434 allow ip from any to me >>65535 47128 7847093 deny ip from any to any > >правил точно больше нет? >с какова перепугу исходяций стал in а входящий out? если уж привязываешь >in out дак тогда и указывай интерфейсы - а то не >совсем понятно для какова ифа ин а для какова аут Правил точно других нет.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "dummynet и белые IP "		+/–
	Сообщение от Shatnev (??) on 16-Сен-09, 10:18
	>[оверквотинг удален] >>>64000 30691 4413640 allow ip from me to any >>>64000 32854 3715434 allow ip from any to me >>>65535 47128 7847093 deny ip from any to any >> >>правил точно больше нет? >>с какова перепугу исходяций стал in а входящий out? если уж привязываешь >>in out дак тогда и указывай интерфейсы - а то не >>совсем понятно для какова ифа ин а для какова аут > >Правил точно других нет. Народ, я так понимаю вариантов других нет? Может кто-то еще, что посоветует, проблема еще не решена?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "dummynet и белые IP "		+/–
	Сообщение от Pahanivo (ok) on 16-Сен-09, 10:50
	>[оверквотинг удален] >>> >>>правил точно больше нет? >>>с какова перепугу исходяций стал in а входящий out? если уж привязываешь >>>in out дак тогда и указывай интерфейсы - а то не >>>совсем понятно для какова ифа ин а для какова аут >> >>Правил точно других нет. > >Народ, я так понимаю вариантов других нет? >Может кто-то еще, что посоветует, проблема еще не решена? внимательно перечитай мои посты! там все написано на что обратить внимание я тебе явно указал на косяки
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору