Совместное использование ipfw(dummynet) и pf

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
lodErunnEr
рядовой
Сообщения: 46
Зарегистрирован: 2006-10-09 19:04:19

Совместное использование ipfw(dummynet) и pf

Непрочитанное сообщение lodErunnEr » 2008-03-28 23:09:28

Захотелось юзать dummynet совместно с pf (нужно шейпить траффик для клиентов локальной сети). Говорят такое возможно, но что-то нужно грузить модулем, а что-то жестко вкомпиливать в ядро. Подскажите, плз, что куда :)

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

mak_v_
проходил мимо

Re: Совместное использование ipfw(dummynet) и pf

Непрочитанное сообщение mak_v_ » 2008-03-29 17:26:22

у меня на одном из серверов такое работатает
в ядро включил и то и то
bpf
IPFIREWALL
(опционально для ипфв - форварды, диверты и т.д)
работает около года

lodErunnEr
рядовой
Сообщения: 46
Зарегистрирован: 2006-10-09 19:04:19

Re: Совместное использование ipfw(dummynet) и pf

Непрочитанное сообщение lodErunnEr » 2008-03-29 22:18:27

mak_v_ писал(а):у меня на одном из серверов такое работатает
в ядро включил и то и то
bpf
IPFIREWALL
(опционально для ипфв - форварды, диверты и т.д)
работает около года
я имел в виду не bpf, а pf

mak_v_
проходил мимо

Re: Совместное использование ipfw(dummynet) и pf

Непрочитанное сообщение mak_v_ » 2008-03-30 2:21:30

Сорри, конечно PF
описочка вышла
# ATA and ATAPI devices
device ata
device atadisk # ATA disk drives
device ataraid # ATA RAID drives
device atapicd # ATAPI CDROM drives

# atkbdc0 controls both the keyboard and the PS/2 mouse
device atkbdc # AT keyboard controller
device atkbd # AT keyboard
device psm # PS/2 mouse
device vga # VGA video card driver

# PCI Ethernet NICs.
device de # DEC/Intel DC21x4x (``Tulip'')
device em # Intel PRO/1000 adapter Gigabit Ethernet Card
device ixgb # Intel PRO/10GbE Ethernet Card
device txp # 3Com 3cR990 (``Typhoon'')
device vx # 3Com 3c590, 3c595 (``Vortex'')
device miibus # MII bus support
device bfe # Broadcom BCM440x 10/100 Ethernet
device bge # Broadcom BCM570xx Gigabit Ethernet
device dc # DEC/Intel 21143 and various workalikes
device fxp # Intel EtherExpress PRO/100B (82557, 82558)
device re # RealTek 8139C+/8169/8169S/8110S
device rl # RealTek 8129/8139

# Pseudo devices.
device loop # Network loopback
device random # Entropy device
device ether # Ethernet support
#device sl # Kernel SLIP
device ppp # Kernel PPP
device tun # Packet tunnel.
device pty # Pseudo-ttys (telnet etc)
#device md # Memory "disks"
device gif # IPv6 and IPv4 tunneling

#Включение PF в ядро
device pf
device pflog
#device pfsync
# Вклчение ALTQ
options ALTQ
options ALTQ_CBQ # Class Bases Queuing (CBQ)
options ALTQ_RED # Random Early Detection (RED)
options ALTQ_RIO # RED In/Out
options ALTQ_HFSC # Hierarchical Packet Scheduler (HFSC)
options ALTQ_PRIQ # Priority Queuing (PRIQ)
options ALTQ_NOPCC # Required for SMP build
options DEVICE_POLLING

options IPFIREWALL # встраиваем поддержку файрволла в ядро
options IPFIREWALL_VERBOSE # вывод информации об отброшенных пакета
options IPFIREWALL_VERBOSE_LIMIT=100 # ограничение, чтоб весь /var
# логами не засрали
options IPFIREWALL_FORWARD # включаем поддержку перенаправления
# чтобы можно было сделать
# позрачный прокси-сервер
# TCP пакетов ядром
options IPDIVERT # поддержка IP-маскарадинга
options DUMMYNET # поддержка DUMMYNET (искуственное
# ограничение пропускной способности
# сети, может быть нужно если есть
# необходимость урезать канал одним
# и разжать другим компьютерам)
options TCP_DROP_SYNFIN # Это нужно, чтобы сетевые сканеры
# не могли определять версию OS на
# сервере. Также нужно добавить в
# /etc/rc.conf строчку
# tcp_drop_synfin="YES"

lodErunnEr
рядовой
Сообщения: 46
Зарегистрирован: 2006-10-09 19:04:19

Re: Совместное использование ipfw(dummynet) и pf

Непрочитанное сообщение lodErunnEr » 2008-03-30 11:17:11

mak_v_
Хм... и у меня заработало :D Спасибо!
P.S. странно... почему-то раньше не получалось ....

mak_v_
проходил мимо

Re: Совместное использование ipfw(dummynet) и pf

Непрочитанное сообщение mak_v_ » 2008-03-30 12:26:56

ну вот, "а то всё мама да мама" (с)