pf ALTQ входящий трафик

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
d15b200
рядовой
Сообщения: 10
Зарегистрирован: 2010-06-28 1:12:10

pf ALTQ входящий трафик

Непрочитанное сообщение d15b200 » 2010-07-08 5:14:37

Про фаервол "PF" манов куча, статей и т.д.
Вот например в официальном мане приводится пример офисной сети, где на сервере 3 интерфейса. 1-й это интернет, 2-й это DMZ а 3-й это локалка.
ALTQ1.png
Вариант как в статье
Так вот в правилах по приоритизации 1500Kb внешнего входящего трафика из интернета делится на 1000kb в локалку и 500kb резерв на сервер HTTP. То есть из-за ораничения работы ALTQ только на выходном интерфейсе, максимально раздача инета в локалку ограничилась с 1.5-х до 1. хотя если поставить ещё один сервер в промежутке, как бы интернет шлюз, то сможем разруливать всю ширину канала.
ALTQ2.png
Альтернатива рабочая
Ведь там мы напишем

Код: Выделить всё

#   net_dmz_http - http traffic; higher priority.
#   net_dmz_misc - all non-http traffic. this is also the default queue.
   altq on $Out_if cbq bandwidth 1450Kb queue { to_users, to_Http }
     queue to_users  bandwidth 100% cbq(borrow)
     queue to_Http   bandwidth 500Kb { net_dmz_http, net_dmz_misc }
      queue net_dmz_http bandwidth 50% priority 3 cbq(red borrow)
      queue net_dmz_misc bandwidth 50% priority 1 cbq(default borrow)
Нашёл статью как спорил один с "типа разработчиками" про фитчу ALTQ на входящем трафике :st:
Его статья
Его сообщение в форуме 1 2
Официальный мэйл лист с вопросом
Все они упираютя
как только пакет попал на входящий интерфейс с ним уже поздно что-либо делать
, ну что!? Начинают сразу про Dos атаку.... хотя если настроить сервер как во втором примере просто вход-выход то эффект тот-же что и нужная фитча! Входящий трафик в 1500Kb принялся, а потом начался шейпиться, но как они говорят это же поздно уже делать :pardon: , ДА БЛИН ДЕЛАЕТСЯ ЖЕ!!! Какая разница теперь где дропать после или до! А если интерфейсов на отдачу несколько то разница есть, т.к. Очереди соседних не связаны и приоретизация работать связно не будет. Делаем очередь на входящем и всё НИШТЯК! Из 100 пекетов TCP дропаем 20 и тогда приложение которое качает принимает не всё, отправляет подтверждение тому кто отправлял с результатами потерь, а тот:
-Блин узковато как то стало, надо потише... :smile:
И о Боги, трафик снижается, и доступный канал высвобождается!
Доки описывают, что это всё банальная корзина с билетами для пакетов - взял билет и пошёл, а нет билета пошёл вон. Ну так можно её сделать виртуальной а не с привязкой к интерфейсу! Или я не заметил, что-то сложное?
Может кто видел патчи к исходникам с этой опцией или можно как нить обойти? (но не Dummynet!)
И вообще в чём такая сложность, чё они как бараны упираются? Кто слабое звено? Где я пропустил ту истину после которой этот пост станет для меня пустым!?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: pf ALTQ входящий трафик

Непрочитанное сообщение Burner » 2010-07-08 6:28:53

у вас несколько интерфейсов. Весь трафик, проходящий через файрвол, является исходящим на одном из интерфейсов. Хоть зашейпитесь.

d15b200
рядовой
Сообщения: 10
Зарегистрирован: 2010-06-28 1:12:10

Re: pf ALTQ входящий трафик

Непрочитанное сообщение d15b200 » 2010-07-08 7:19:02

Второй рисунок по вашему не работает? Из вашего ответа я не уловил почему это не возможно... не могли бы по подробнее объяснить на пальцах.
Представте Samba сервер с PF+ALTQ. Исходящий зашейпить можно, а входящий нет (интерфейс только ОДИН). А если в разрез поставить фаер с PF+ALTQ то всё реализуемо!

d15b200
рядовой
Сообщения: 10
Зарегистрирован: 2010-06-28 1:12:10

Re: pf ALTQ входящий трафик

Непрочитанное сообщение d15b200 » 2010-07-08 7:54:37

Ошибся в строке

Код: Выделить всё

queue to_users  bandwidth 100% cbq(borrow)
надо

Код: Выделить всё

queue to_users  bandwidth 950Kb cbq(borrow)

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: pf ALTQ входящий трафик

Непрочитанное сообщение Burner » 2010-07-08 10:45:51

d15b200 писал(а):Второй рисунок по вашему не работает? Из вашего ответа я не уловил почему это не возможно... не могли бы по подробнее объяснить на пальцах.
Представте Samba сервер с PF+ALTQ. Исходящий зашейпить можно, а входящий нет (интерфейс только ОДИН). А если в разрез поставить фаер с PF+ALTQ то всё реализуемо!
зачем пытаться шейпить входящий трафик на samba сервере?

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: pf ALTQ входящий трафик

Непрочитанное сообщение Burner » 2010-07-08 10:53:14

и, кстати, убедитесь, что ваш конфиг действительно работает. Когда я в последний раз этим занимался, borrow из недефолтной queue не работал.

d15b200
рядовой
Сообщения: 10
Зарегистрирован: 2010-06-28 1:12:10

Re: pf ALTQ входящий трафик

Непрочитанное сообщение d15b200 » 2010-07-08 13:55:11

Я на сервер заливаю файлы и ещё 30 человек заливают файлы. Нужно чтоб я заливал быстрее чем остальные, банальное разграничение приоритетов.
Про конфиг спорить не буду. Вот в данный момент у меня банальная задача. Есть сервер FreeBSD 8 + PF + ALTQ. У него есть соска 2 Mb интернет и 2 выходных интерфейса, один гигабит в рабочую сетку, другой wlan ко мне домой. На работе сидит Вася и смотрит интернет трансляцию, а у меня дома торрент качает. Вот и как сделать так чтоб Вася не ныл что торрент забивает весь канал нафиг! Очереди двух интерфейсов никак не связаны. приходиться ограничивать торрент.

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: pf ALTQ входящий трафик

Непрочитанное сообщение Burner » 2010-07-08 16:42:38

http://www.openbsd.org/faq/pf/queueing.html#assign
Note that queue designation can happen on an interface other than the one defined in the altq on directive:
altq on fxp0 cbq bandwidth 2Mb queue { std, ftp }
queue std bandwidth 500Kb cbq(default)
queue ftp bandwidth 1.5Mb

pass in on dc0 proto tcp to port 21 queue ftp

Queueing is enabled on fxp0 but the designation takes place on dc0. If packets matching the pass rule (or the state created by this rule) exit from interface fxp0, they will be queued in the ftp queue. This type of queueing can be very useful on routers.
и еще я думаю вам будет интересно почитать про RED и HFSC

d15b200
рядовой
Сообщения: 10
Зарегистрирован: 2010-06-28 1:12:10

Re: pf ALTQ входящий трафик

Непрочитанное сообщение d15b200 » 2010-07-09 0:54:53

If packets matching the pass rule (or the state created by this rule) exit from interface fxp0, they will be queued in the ftp queue
Если пакеты соответствующие разрешающему правилу (или созданные по keep-state? этого правила) ВЫХОДЯТ их интерфейса fxp0, они будут поставлены в очередь "ftp".
То есть опять ограничение, очереди двух выходных интерфейсов не связанны (в моём примере приведённом выше). Вот исходящий трафик от шлюза в интернет я спокойно могу разделить поровну между всеми пользователями хоть с 1000 интерфейсов, а обратно только своя очередь на интерфейс...
RED и HFSC это уже реализация рутины постановки в очередь, шейпинга. До них ещё дело не дошло. Да я про это читал, интересно, полезно, но применить пока что не для чего.

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: pf ALTQ входящий трафик

Непрочитанное сообщение Burner » 2010-07-09 9:39:53

d15b200 писал(а):Вот исходящий трафик от шлюза в интернет я спокойно могу разделить поровну между всеми пользователями хоть с 1000 интерфейсов
вот и делите. Tcp трафик поделится. Udp в торренто-качалке придется отключить.

d15b200
рядовой
Сообщения: 10
Зарегистрирован: 2010-06-28 1:12:10

Re: pf ALTQ входящий трафик

Непрочитанное сообщение d15b200 » 2010-07-09 16:38:48

Мне нужно тоже самое, только в другую сторону.

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: pf ALTQ входящий трафик

Непрочитанное сообщение Burner » 2010-07-12 5:51:13

возможно, в этом частном случае вы правы. Но это не шейпинг.