Не работают правила с pipe

[kharkov_max]

День добрый.

Если в кратце описать проблему - то не работает шейпер в ipfw.
Ядро скомпилено с DUMMYNET, net.inet.ip.fw.one_pass=0

Есть блок правил описывающих подключение к ftp серверу.

Код: Выделить всё

${fw} add allow tcp from ${ext_gateway_ip} 20,21,40000-40100 to any out via ${ext_if}
${fw} add allow tcp from any  to ${ext_gateway_ip} 20,21,40000-40100  in via ${ext_if}

Ftp трафик ходит только через эти правила фаервола.

Хочу ограничить скорость подключения к ftp, понимаю что можно резать на самом ftp сервере, но хочется реализовать через ipfw.
Меняю правила на:

Код: Выделить всё

${fw} pipe 1 config bw 500KByte/s queue 40
${fw} queue 1 config  pipe 1 weight 50  queue 40 mask dst-ip 0xffffffff
${fw} queue 2 config  pipe 1 weight 50  queue 40 mask src-ip 0xffffffff

${fw} add queue 1 tcp from ${ext_gateway_ip} 20,21,40000-40100 to any out via ${ext_if}
${fw} add queue 2 tcp from any  to ${ext_gateway_ip} 20,21,40000-40100  in via ${ext_if}

В результате доступа к FTP нет, счетчик in увеличивается.
Команды ipfw pipe show и ipfw queue show показывают что трубы и очереди есть, но по ним ни чего не ходит.
Не могу понять в чем может быть проблема.
Может кто натыкался на подобное и что то подскажет ?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[rmn]

net.inet.ip.fw.one_pass=0

а allow-правило после add queue где?

[kharkov_max]

net.inet.ip.fw.one_pass=0

а allow-правило после add queue где?

А разве add queue не является разрешающим правилом ?
Может я что то не дочитал ...

Вы хотите сказать что должно быть так ?

Код: Выделить всё

${fw} pipe 1 config bw 500KByte/s queue 40
${fw} queue 1 config  pipe 1 weight 50  queue 40 mask dst-ip 0xffffffff
${fw} queue 2 config  pipe 1 weight 50  queue 40 mask src-ip 0xffffffff

${fw} add queue 1 tcp from ${ext_gateway_ip} 20,21,40000-40100 to any out via ${ext_if}
${fw} add queue 2 tcp from any  to ${ext_gateway_ip} 20,21,40000-40100  in via ${ext_if}

${fw} add allow tcp from ${ext_gateway_ip} 20,21,40000-40100 to any out via ${ext_if}
${fw} add allow 2 tcp from any  to ${ext_gateway_ip} 20,21,40000-40100  in via ${ext_if}
....
deny all

[rmn]

А разве add queue не является разрешающим правилом ?

Когда one_pass == 1. Если one_pass == 0, пакеты после pipe, queue, nat, etc. проверяются по дальнейшим правилам.

[kharkov_max]

Т.е. в моем случае так будет правильно ?

Код: Выделить всё

${fw} pipe 1 config bw 500KByte/s queue 40
${fw} queue 1 config  pipe 1 weight 50  queue 40 mask dst-ip 0xffffffff
${fw} queue 2 config  pipe 1 weight 50  queue 40 mask src-ip 0xffffffff

${fw} add queue 1 tcp from ${ext_gateway_ip} 20,21,40000-40100 to any out via ${ext_if}
${fw} add queue 2 tcp from any  to ${ext_gateway_ip} 20,21,40000-40100  in via ${ext_if}

${fw} add allow tcp from ${ext_gateway_ip} 20,21,40000-40100 to any out via ${ext_if}
${fw} add allow 2 tcp from any  to ${ext_gateway_ip} 20,21,40000-40100  in via ${ext_if}
....
deny all

[kharkov_max]

Т.е. в моем случае так будет правильно ?

Код: Выделить всё

${fw} pipe 1 config bw 500KByte/s queue 40
${fw} queue 1 config  pipe 1 weight 50  queue 40 mask dst-ip 0xffffffff
${fw} queue 2 config  pipe 1 weight 50  queue 40 mask src-ip 0xffffffff

${fw} add queue 1 tcp from ${ext_gateway_ip} 20,21,40000-40100 to any out via ${ext_if}
${fw} add queue 2 tcp from any  to ${ext_gateway_ip} 20,21,40000-40100  in via ${ext_if}

${fw} add allow tcp from ${ext_gateway_ip} 20,21,40000-40100 to any out via ${ext_if}
${fw} add allow 2 tcp from any  to ${ext_gateway_ip} 20,21,40000-40100  in via ${ext_if}
....
deny all

Вообщем так - заработало, только не пойму следующего.
Сделал 2 разных трубы, для входа и выхода трафика с ftp.

Код: Выделить всё

${fw} pipe 1 config bw 500KByte/s queue 40
${fw} pipe 2 config bw 100KByte/s queue 40

${fw} queue 1 config  pipe 1 weight 50  queue 40 mask dst-ip 0xffffffff
${fw} queue 2 config  pipe 2 weight 50  queue 40 mask src-ip 0xffffffff

${fw} add queue 1 tcp from ${ext_gateway_ip} 20,21,40000-40100 to any out via ${ext_if}
${fw} add queue 2 tcp from any  to ${ext_gateway_ip} 20,21,40000-40100  in via ${ext_if}

${fw} add allow tcp from ${ext_gateway_ip} 20,21,40000-40100 to any out via ${ext_if}
${fw} add allow 2 tcp from any  to ${ext_gateway_ip} 20,21,40000-40100  in via ${ext_if}
....
deny all

В результате, трафик который идет от сервера к ftp клиенту - шейпится, а трафик который идет от клиента на сервер - нет.
Т.е. клиент может передавать на сервер без ограничений.

Как правильно поправить ?

[kharkov_max]

Все - разобрался.
Все вопросы снимаются.

Спасибо.