MPD + PF + ALTQ

[sibdoma]

Жаль тема забылась... А проблема актуальна.
Есть машинка с парой сотен ng- интерфейсов с pf. Надо бы все это хозяйство загнать под общую скорость. С помощью pf это сделать не представляется возможным.
Как единственно правильное решение вижу установку отдельной машины для шейпинга, но хотелось бы узнать может кто решал вопрос по другому?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

pf ipfw нормально сосуществуют вместе, надо только разобраться куда пакетики быстрее попадают, там есть тонкости например вкомпилен фаервол в ядро или болтается модулем

[Alex Keda]

pf ipfw нормально сосуществуют вместе, надо только разобраться куда пакетики быстрее попадают, там есть тонкости например вкомпилен фаервол в ядро или болтается модулем

э... а что - от этого меняется?

[sibdoma]

э... а что - от этого меняется?

В ipfw я могу нарисовать такое queue 1 ip from any to any ipprecedence 5 via vlan0 in и, хотя идеологически это неверно, кое как работает. Но вот при ограничении например в 60 Мбит в лучшем случае ipfw выдает 40, хотя при шейпах до 10 Мбит ipfw у меня работал достаточно корректно

[Alex Keda]

э... а что - от этого меняется?

В ipfw я могу нарисовать такое queue 1 ip from any to any ipprecedence 5 via vlan0 in и, хотя идеологически это неверно, кое как работает. Но вот при ограничении например в 60 Мбит в лучшем случае ipfw выдает 40, хотя при шейпах до 10 Мбит ipfw у меня работал достаточно корректно

вы о чём

[sibdoma]

да я все о шейпинге...

[hizel]

pf ipfw нормально сосуществуют вместе, надо только разобраться куда пакетики быстрее попадают, там есть тонкости например вкомпилен фаервол в ядро или болтается модулем

э... а что - от этого меняется?

пруф
http://www.opennet.ru/openforum/vsluhfo ... 75042.html

[voider]

Попробую объяснить подробнее. Види те ли, есть в этой истории три загвоздки:
1) Очереди можно поднять на определенном интерфейсе только, а на момент загрузки этого самого интерфейса и нет;
2) Не удалось найти командный интерфейс в pfctl для добавления очередей, после чтения конфига;
3) Синтаксис конфига pf требует обьявления очередей до первого правила фильтрации, иначе не применят ничего, а мы хотим как раз дообьявить очереди после поднятия конфига в момент присоединения пользователя на интерфейс, ну и, возможно, удалить после дисконнекта эти правила.

На схеме красным указана точка присоединения абонов, и план профилирования, правила и параметры адресации условные.

кстати какой программой топологию создал?

[muzzy]

Да простят меня ревнители тредонаправленности за этот оффтоп.
Dia, с набором CiscoNetworks, ктотрый, вроде, в поставке всегда есть. [url]http://projects.gnome.org/dia/[/url] знающие люди говорят что даже под винды порт есть, но вот диаграммы как то несовместимо сохраняются даже если версии одинаковые, авручает svg в таких случаях.

[чеееллл]

поробуй вот так

Два файла конфигов pf.conf и pf_vpn.conf (во втором добавлено все что касается ng0)
В rc.conf дефолтным прописан pf.conf.
При старте считывается дефолтный, в mpd скриптах добавляем, в up: pfctl -f /etc/pf_vpn.conf, в down: pfctl -f /etc/pf.conf