Вопрос про DUMMYNET

[ajak]

Прочел соотв. статью решил попробовать. В общем в лок сети есть ой полигон -freebsd, где я и эксперементирую. Ip 192.168.0.210. Поставил задачу - ограничить полосу пропускания - 1кбит, ради интереса. Провел настройки - wget как качал так и качает со скоростью в 500 кило. Я где то ошибся? Или это связано с тем что дельше на шлзе канал на всю открыт?
Вот что я прописал.

Код: Выделить всё

root@yakushev:: /usr/ports/sysutils/screen>#ipfw pipe show
00001:   1.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
         burst: 0 Byte

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[ajak]

Код: Выделить всё

root@yakushev:: /usr/ports/sysutils/screen>#ipfw show
00100 42016 4991538 allow ip from any to any
00200     0       0 pipe 1 ip from 192.168.0.210 to any
65535     1      41 deny ip from any to any

[rmn]

Код: Выделить всё

pipe 1 ip from any to 192.168.0.210

[risk94]

Код: Выделить всё

${fwcmd} add pipe 3100 all from not 192.168.17.0/24 to 192.168.17.8      #limit src-addr 260
${fwcmd} add pipe 3101 all from 192.168.17.8 to not 192.168.17.0/24
${fwcmd} pipe 3100 config bw 1MBit/s
${fwcmd} pipe 3101 config bw 256KBit/s

вот пайп реализующий ассиметрию - к клиенту 1 мегабит, от клиента 256 килобит

+ посмотрите правило номер 100 - оно пускает ip-траф куда угодно раньше вашего пайпа.

[ajak]

НЕ получается, может мне надо писать чсерез какой интерфейс, и что знапчит not - это отрицание, ника понять не могу

[skeletor]

1) У тебя пакеты до шейпера не доходят, так как применяется правило с номером 100.
2) Что бы пакеты после шейпера шли дальше по правилам нужно установить значение переменной net.inet.ip.fw.one_pass=0

[ajak]

1) У тебя пакеты до шейпера не доходят, так как применяется правило с номером 100.
2) Что бы пакеты после шейпера шли дальше по правилам нужно установить значение переменной net.inet.ip.fw.one_pass=0

ЭЭЭЭЭЭЭ........... прости. ТАк моё же правило номер 200 оно же выше по приоритету, 100 это -фаер, 200 шейпер
.Сейчас попробую то что ты написал

[risk94]

1) У тебя пакеты до шейпера не доходят, так как применяется правило с номером 100.
2) Что бы пакеты после шейпера шли дальше по правилам нужно установить значение переменной net.inet.ip.fw.one_pass=0

ЭЭЭЭЭЭЭ........... прости. ТАк моё же правило номер 200 оно же выше по приоритету, 100 это -фаер, 200 шейпер
.Сейчас попробую то что ты написал

вопщем вам сюда:

http://www.lissyara.su/?domains=www.lis ... 3A11&hl=ru

[risk94]

НЕ получается, может мне надо писать чсерез какой интерфейс, и что знапчит not - это отрицание, ника понять не могу

not - это действительно отрицание.

в контексте выше читается так: не из сети 192.168.17.0/24

[ajak]

Не, не помогло, установил через sysctl в 0 не получилось

[risk94]

man ipfw

вы даже невнимательно читаете, или не принимаете к свединию свой тред. Вам написали 2 раза - у вас не правильно построена логика правил фаервола. Пакеты НЕ ДОХОДЯТ до ВАШЕГО ПАЙПА!!! Андестенд?

[ajak]

understood,
я просто думаю что номер правила это типа как приоритет.
Я делаю по статье - не получается
А почему это они не доходят,я в этом деле новичёк

[Mox]

understood,
я просто думаю что номер правила это типа как приоритет.
Я делаю по статье - не получается
А почему это они не доходят,я в этом деле новичёк

номер правила - да, приоритет. И еще раз внимательно посмотрите на ваши строчки

Код: Выделить всё

00100 42016 4991538 allow ip from any to any
00200     0       0 pipe 1 ip from 192.168.0.210 to any
65535     1      41 deny ip from any to any

а теперь ответьте: у какого правила будет наивысший приоритет, что первым делом будет сделано?

[ajak]

Код: Выделить всё

00100 42016 4991538 allow ip from any to any
00200     0       0 pipe 1 ip from 192.168.0.210 to any
65535     1      41 deny ip from any to any

ну получается самый приоритетынй 65535 запретить всё, потом идёт 200 это уже шейпер, потом ,100 -разрешить всё. Мне что нужно создать правило с номером 50 ? Или не так?

[rmn]

правила проверяются по порядку - от меньшего номера к большему.
Т.е. по такой логике:

ну получается самый приоритетынй 65535 запретить всё, потом идёт 200 это уже шейпер, потом ,100 -разрешить всё

наоборот: самое приоритетное - правило 1, самое низкоприоритетное - правило 65535

[risk94]

курить ман однозначно, много раз! Без мануала будете думать так очень долго. Зачем гадать как правильно и тратитьнедели на метод тыка, если можно прочитать и осознать за пару-тройку часов?

[ajak]

Трудность в английском, и ман большой очень, кто поможет тому пиво ставлю - особенно тому кто с ростова

[risk94]

Трудность в английском, и ман большой очень, кто поможет тому пиво ставлю - особенно тому кто с ростова

учите английский однозначно, это раз.
Постами выше я дал вам кучу ссылок на русскоязычные маны по фаерволу, это двас
За вас делать никто не будет, это трис.
Читайте, делайте, пробуйте - и за помощью сюда, на форум, не забывая отписывать все что делали и что не получалось

[ajak]

Мучался неделю - отпечатал ман так и не получилось ничего. Честно его читал и пробовал, иожет это потому что моя мащшина не последняя и дальше идёт полный канал, без ограничений

[rmn]

Мучался неделю - отпечатал ман так и не получилось ничего. Честно его читал и пробовал, иожет это потому что моя мащшина не последняя и дальше идёт полный канал, без ограничений

Код: Выделить всё

ipfw -q -f flush
ipfw -q -f pipe flush
ipfw -q -f add 1 pipe 1 ip from any to 192.168.0.210
ipfw -q -f pipe 1 config bw 1Kbit/s
ipfw -q -f add 2 allow ip from any to any

[ajak]

Вот фак. Зделал удалённо -теперь не могу дступ получить, к серваку, отключился, не могу по путти соединится, хотя написал вот так только

ipfw add 1 pipe 1 ip from any to 192.168.0.210

не понятно почему меня выкинудло ведь я добавлял пайп, теперь нужно идти до клавиатуры

[rmn]

скриптом нужно правила менять, если по удаленке сидишь. И nohup юзать.

[vadim64]

топикстартера не андрей зовут?

P.S.: вопрос снят

[FreeBSP]

номер правила - это не приоритет, а порядок в котором пакет проходит правила. на первом совпавшем правиле пакет вылетает из файера.
тоесть в твоем случае пакет приходит в файер, попадает под описание "ip from any to any", получает статус allow и вылетает из файера.

я просто думаю что номер правила это типа как приоритет.

не надо думать! пока не надо думать. пока надо читать литературу и применять рабочие решения. и от них постепенно плясать. потом потихоньку пытаться делать чтото свое.
ты же сразу что то сделал, причем это что то не работает, а ты упорствуешь что это правильно, но почему то не работает.
посмотри вторую и третью колонки. - там количество попавших под правило байтов и пакетов. видно, что все вылетает на первом правиле, ну и на последнем парочка ухнула, пока ты первые набивал.
файер надо учить (цэ)

[gonzo111]

я бы посмотрел какими слезами он бы ревел тут если бы осиливал iptables
там все намного геморойнее )