PF+ALTQ

[maradona]

Кто подскажет такую вещь: во FreeBSD 6.2 есть в примерах токой вот pf.conf (строки из него):

Код: Выделить всё

## enable queueing on the external interface to control traffic going to 
# the Internet. use the priq scheduler to control only priorities. set 
# the bandwidth to 610Kbps to get the best performance out of the TCP 
# ACK queue. 
altq on fxp0 priq bandwidth 610Kb queue { std_out, ssh_im_out, dns_out, tcp_ack_out } 
queue std_out     priq(default) 
queue ssh_im_out  priority 4 priq(red) 
queue dns_out     priority 5 
queue tcp_ack_out priority 6 

# enable queueing on the internal interface to control traffic coming in 
# from the Internet. use the cbq scheduler to control bandwidth. max 
# bandwidth is 2Mbps. 
altq on dc0 cbq bandwidth 2Mb queue { std_in, ssh_im_in, dns_in, bob_in } 
queue std_in    cbq(default) 
queue ssh_im_in priority 4 
queue dns_in    priority 5 
queue bob_in    bandwidth 80Kb cbq(borrow) 

# filter rules for fxp0 inbound 
block in on fxp0 all 
# filter rules for fxp0 outbound 
block out on fxp0 all 
pass  out on fxp0 inet proto tcp from (fxp0) to any flags S/SA \ 
        keep state queue(std_out, tcp_ack_out) 
pass  out on fxp0 inet proto { udp icmp } from (fxp0) to any keep state 
1 ----pass  out on fxp0 inet proto { tcp udp } from (fxp0) to any port domain \ 
        keep state queue dns_out 
pass  out on fxp0 inet proto tcp from (fxp0) to any port $ssh_ports \ 
        flags S/SA keep state queue(std_out, ssh_im_out) 
pass  out on fxp0 inet proto tcp from (fxp0) to any port $im_ports \ 
        flags S/SA keep state queue(ssh_im_out, tcp_ack_out) 

# filter rules for dc0 inbound 
block in on dc0 all 
pass  in on dc0 from $local_net 
# filter rules for dc0 outbound 
block out on dc0 all 
pass  out on dc0 from any to $local_net 
2 -----pass  out on dc0 proto { tcp udp } from any port domain to $local_net \ 
        queue dns_in 
pass  out on dc0 proto tcp from any port $ssh_ports to $local_net \ 
        queue(std_in, ssh_im_in) 
pass  out on dc0 proto tcp from any port $im_ports to $local_net \ 
        queue ssh_im_in 
pass  out on dc0 from any to $bob queue bob_in 

если пакет идет в "мир" по правилу №1(виделено) он попадает в очередь "queue dns_out priority 5", но в правиле есть "keep state" поэтому кто обяснит:
1. зачем нам здесь "keep state"?
2. и если он всетаки нужен пакет возвращаясь обратно попадает в нужную нам очередь на другом интерфейсе а именно - "queue dns_in"?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[maradona]

Ну напишите что-нибудь, кто-нибудь!!!!

[кто-нибудь]

что-нибудь

[maradona]

Ну чо впадлу, обяснить ну вот из мануала:

Код: Выделить всё

Keeping State:
Одной из важных способностей PF является "keeping state" или "stateful inspection". Контроль состояния относится к способности
PF проследить состояние или прогресс сетевого подключения. информацию о каждом подключении в таблице состояний, PF
способен быстро определить, принадлежит ли пакет, проходящий через систему сетевой защиты уже установленному
подключению. Если пакет принадлежит уже установленному соединению, то проверки его правилами не происходит.
Keeping state имеет много преимуществ, включая упрощение набора правил и повышение производительности пакетного
фильтра. PF способен согласовывать пакеты, двигающиеся в любом направлении, и так как пакеты, соответствующие stateful
подключению не проходят ruleset оценку, время, затрачиваемое PF на обработку пакетов может быть значительно уменьшено.
Когда в правиле установлена опция keep state, первый пакет, соответствующий правилу создает "state" между отправителем и
получателем. Теперь не только пакеты от отправителя к получателю, но и от получателя к отправителю не проходят проверку
правилами фильтрации.

"Если пакет принадлежит уже установленному соединению, то проверки его правилами не происходит."
вот я и спрашиваю - как пакет идущий в локалку установленного соединения попадет в нужную очередь "queue dns_in", ведь ALTQ работает только с исходящим трафиком, конкретный вопрос, читал все что можна но этот момент не понятен!?

[Alex Keda]

а попробовать не судьба?

[maradona]

Пробую поэтому и возник такой вопрос, все вроде пашет но делит чото херово - может как раз в очереди пакеты и не попадают, а без кеепа пока чото с правилами косяк..