FreeBSD: Шлюз, шейпинг. Помогите определиться с выбором

[Toxa-xa]

Есть интернет: 10 мбит
Пользователей в сети: ~60 ( IP Выдается по DHCP )
Требуется шейпить скорость (по мак).
Чем лучше это делать. PF, IPFW ,NAT, IPNAT, IPFIREWALL_NAT ?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

в freebsd по mac вы pf не зашейпите. какое отношение к шейперу имеют ipnat и ipfirewall_nat нет понятно

[Toxa-xa]

ошибся....
а чем же тогда лучше ?

[hizel]

где ошиблись?
в смысле лучше? в freebsd если вы собираетесь шейпить на основе информации о mac адресах, у вас только один вариант с dummynet, но возможно пришлепните и altq к ipfw

вообще-то шейпить можно по разному

[Toxa-xa]

где ошиблись?

IPNAT, IPFIREWALL_NAT

Забыл упомянуть что еще перенаправлять порты нужно. c ipfw я это смогу сделать ?
Что то я совсем запутался. Есть комп с ISA(он же шлюз), сейчас там перекрыты некоторые порты.
нужно поставить что то другое, и бесплатное, что бы ограничить скорость пользователям + порты перекрыть, и сделать перенаправление для пару портов.

[hizel]

когда распутаетесь возвращяйтесь :-)

проброс портов - функция NAT-а, NAT вы можете использовать любой из трех возможных, только потом в порядке прохождения пакетов не запутайтесь ^_^

[hizel]

не прошло и года у вас вместо сиськи ISA 8-)

[Toxa-xa]

я сменил работу
PS А там все разрулилось с помощью SQUID
тут ису нужно убить

так все я правильно спрашивал, просто чуток не дописал про перенаправленные
какой из трех по лучше будет (?

[hizel]

благославляю :-)

[tyler56]

Рекомендую dummynet.

[vadim64]

а чем иса не устроила? всмысле я не за нею, просто интересно, какие именно пункты в данном конкретном случае являются обоснованием перехода

[hizel]

нужно поставить что то другое, и бесплатное

вопросы?

[princeps]

а чем иса не устроила? всмысле я не за нею, просто интересно, какие именно пункты в данном конкретном случае являются обоснованием перехода

Я полагаю, в основном стоимость

[vadim64]

давайте не будем это рассматривать

[hizel]

это как? оО

[vadim64]

а что, если бы иса была бесплатная все бы бросились ею пользоваться?

[hizel]

какое это имеет отношение к теме топика? в чем у тебя то вопрос собственно? ты представляешь вообще порядок цен на половозрелую ISA в средненькой конплектации? :-|

[Toxa-xa]

а что, если бы иса была бесплатная все бы бросились ею пользоваться?

Ну и толку с нее ??
Смотря под какие задачи, под мои задачи она не подходит.
на цвет и вкус...

[Toxa-xa]

а чем иса не устроила? всмысле я не за нею, просто интересно, какие именно пункты в данном конкретном случае являются обоснованием перехода

Винда куплена все официально, но на сколько мне объяснил коллега, шейпить иса не умеет, а точнее нужно доустанавливать "плагины" что бы она это умела делать, а это деньги! Эту информацию я не проверял, поверил на слова.
нужен просто шейпинг, и переброс некоторых портов.
тему создал что бы спросить чем лучше шейпить и какой нат лучше использовать.....................................
PS Шейпинг настроил, осталось сделать по МАК. Всем спасибо за ответы.

[vadim64]

на моём новом месте работы их штук пять куплено без плагинов, правда все именно исы(2004 - 2006), не тмг.
дядя, пойдём в отдельную тему?

[Toxa-xa]

написал в личку.

[suspender]

А почему шейпить именно по Mac ? Нельзя ли однозначное сопоставление Mac <-> ip отдать на откуп DHCP серверу ?
Если планируется 2-й провайдер и выставление сервисов в инет - то юзать однозначно pf (из за наличия reply-to. Средствами ipfw этого пока не добиться (за исключением черезжопного варианта использования natd с опцией globalport ))

А вообще, можно и squid-ом шейпить. Тем более, если разговор про замену ISA - то логично предположить, что у Вас AD, и squid-ом можно шейпить вообще по доменным учёткам. (Конечно весь траффик рулить squid-ом не получится, но большинство офисных потребностей удовлетворить можно).

[opt1k]

чем лучше не знаю, у меня чуть меньше пользователей и чуть слабее канал - ipfw+dummynet на 300мгц(что ли) селероне и 128 мб ОЗУ справлялся без проблем. Но не было NAT, комп с FreeBSD был в роли моста, натила у меня другая железка - какой то adsl модем за 450 рублей от dlink.

[Toxa-xa]

А почему шейпить именно по Mac ? Нельзя ли однозначное сопоставление Mac <-> ip отдать на откуп DHCP серверу ?
Если планируется 2-й провайдер и выставление сервисов в инет - то юзать однозначно pf (из за наличия reply-to. Средствами ipfw этого пока не добиться (за исключением черезжопного варианта использования natd с опцией globalport ))

А вообще, можно и squid-ом шейпить. Тем более, если разговор про замену ISA - то логично предположить, что у Вас AD, и squid-ом можно шейпить вообще по доменным учёткам. (Конечно весь траффик рулить squid-ом не получится, но большинство офисных потребностей удовлетворить можно).

На счет DHCP, Вы имеете виду резервирование ?
2-й провайдер не планируется. SQUID, думал, но тут половина в АД а половина - нет( ПК + ноуты).

[princeps]

Рискну и я вставить свои 5 копеек. Имхо шейпить по макам - не интересно, поскольку сводит на нет плюсы DHCP. Squid - не очень эффективно, например, торренты им особо не пошейпишь Надо делать radius с керберос-аутентификацией в AD и шейпить таки дамминетом. Кстати, похожим способом делает, собственно, ИСА.