pf, подскажите ПЛЗ умеет ли он уже...
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- сержант
- Сообщения: 170
- Зарегистрирован: 2007-02-27 11:59:41
pf, подскажите ПЛЗ умеет ли он уже...
Привет
Подскажите - научился ли pf шейпить входящий и исходящий траффик(с год назад или более читал что он умеет только исходящий шейпить)?
Можно ли это сделать в моем варианте:
Инет----ed0---Сервер---ed1--->Локалка
Пользователи подключаются к ВПН-серверу(mpd4).
Интересует зашейпить Входящий/Исходящий траффик.
Сейчас pf используется для НАТа, а ipfw pipe + ipfw как фаервол.
Подскажите - научился ли pf шейпить входящий и исходящий траффик(с год назад или более читал что он умеет только исходящий шейпить)?
Можно ли это сделать в моем варианте:
Инет----ed0---Сервер---ed1--->Локалка
Пользователи подключаются к ВПН-серверу(mpd4).
Интересует зашейпить Входящий/Исходящий траффик.
Сейчас pf используется для НАТа, а ipfw pipe + ipfw как фаервол.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- сержант
- Сообщения: 170
- Зарегистрирован: 2007-02-27 11:59:41
Re: pf, подскажите ПЛЗ умеет ли он уже...
Эм...
Никто не знает или это слишком "ламерской вопрос"?
Никто не знает или это слишком "ламерской вопрос"?
- Morty
- ст. лейтенант
- Сообщения: 1370
- Зарегистрирован: 2007-07-17 23:25:12
Re: pf, подскажите ПЛЗ умеет ли он уже...
спроси в рассылке freebsd-pf@freebsd.org
если что потом сюда перенесёшь - поделишься
если что потом сюда перенесёшь - поделишься
- freeman
- лейтенант
- Сообщения: 734
- Зарегистрирован: 2007-03-18 5:13:25
Re: pf, подскажите ПЛЗ умеет ли он уже...
Не умел, не умеет и не будет уметь.wel писал(а):Привет
Подскажите - научился ли pf шейпить входящий и исходящий траффик(с год назад или более читал что он умеет только исходящий шейпить)?
Смысл и как шейперить уже пришедший на сетевуху трафик ?
А так чтоб по делу - если комп выступает шлюзом, то ну не может у него быть такого входящего чтобы он не был исходящим на другом интерфейсе, исодя из этого и шейперят altq (pf) и "входящий" и исходящие и год и два назад и счас
Остатся должен только один ...
-
- сержант
- Сообщения: 170
- Зарегистрирован: 2007-02-27 11:59:41
Re: pf, подскажите ПЛЗ умеет ли он уже...
Кто может пример подсказать?freeman писал(а): А так чтоб по делу - если комп выступает шлюзом, то ну не может у него быть такого входящего чтобы он не был исходящим на другом интерфейсе, исодя из этого и шейперят altq (pf) и "входящий" и исходящие и год и два назад и счас
- freeman
- лейтенант
- Сообщения: 734
- Зарегистрирован: 2007-03-18 5:13:25
Re: pf, подскажите ПЛЗ умеет ли он уже...
Ну для начала разберись с теми что при установке кидаются в share что ли.wel писал(а):Кто может пример подсказать?freeman писал(а): А так чтоб по делу - если комп выступает шлюзом, то ну не может у него быть такого входящего чтобы он не был исходящим на другом интерфейсе, исодя из этого и шейперят altq (pf) и "входящий" и исходящие и год и два назад и счас
Я делал так что исходящие ставились в очередь на внешней сетевушке, а входящие на неё же, ставились в исходящую внутренней. Итого имеем "шейперение" и входящего к клиентам и исходящего трафика. Это легко, но если есть ещё и NAT, то напрямую это мне не удавалось сделать, пришлось применить тегирование пакетов, а там опять уже всё легко Конкретный конфиг счас вне доступностиувы, может позжее выложу если не забуду.
Остатся должен только один ...
-
- сержант
- Сообщения: 170
- Зарегистрирован: 2007-02-27 11:59:41
Re: pf, подскажите ПЛЗ умеет ли он уже...
Вот задачка....
Есть FreeBSD + умный свич с vlan'ами + 2-а интерфейса
#cat /etc/rc.conf
ifconfig_em0="inet 192.168.1.1 netmask 255.255.255.0" #Смотрит на умный свич
ifconfig_vr0="inet 10.1.1.2 netmask 255.255.0.0" #смотрит на локалку
cloned_interfaces="vlan1 vlan2 vlan3"
ifconfig_vlan1="inet 10.12.1.1 netmask 255.255.255.0 vlan 3 vlandev em0"
ifconfig_vlan2="inet 10.13.1.1 netmask 255.255.255.0 vlan 4 vlandev em0"
ifconfig_vlan3="inet 10.14.1.1 netmask 255.255.255.0 vlan 5 vlandev em0"
Схема работы:
---Local'ка---vr0 (Роутер) em0 ---- Vlan'ы
<------------------------------------------->10.12.1.0/24
10.11.1.0/24<------------------------>10.13.1.0/24
<------------------------------------------->10.14.1.0/24
Тоесть Мне надо роутить 4-ре подсети:
10.11.1.0/24,10.12.1.0/24,10.13.1.0/24,10.14.1.0/24
Теперь Мне надо нарезать на каждом vlan'е 20Мбит/с вход и 20Мбит/с исход.
Поместить в очередь, что бы Инет(по PPTP - gre протокол) был с наивысшим приорететом,траффик от клиента до сервера с чуть меньшим приорететом, траффик локальный с небольшим преорететом, весь неучтённый траффик 2%.
Правильно ли Я нарезал исходящую скорость на Vlan1?
#cat /etc/pf.conf
vlan1="vlan1"
table <me> {10.1.1.2}
table <vlan1> {10.12.1.0/24}
table <server> {10.1.1.1}
table <local> {10.13.1.0/24,10.14.1.0/24,10.15.1.0/24,10.16.1.0/24,10.17.1.0/24}
scrub in all
##Vlan1
altq on $vlan1 bandwidth 20Mb cbq queue \
{ gre_vlan1, server_vlan1, local_vlan1, other_vlan1 }
queue gre_vlan1 bandwidth 60% cbq(borrow red) { gre_vlan1_hi,gre_vlan1_lo }
queue gre_vlan1_hi bandwidth 25% priority 7 cbq(borrow red)
queue gre_vlan1_lo bandwidth 75% priority 7 cbq(borrow red)
queue server_vlan1 bandwidth 30% cbq(borrow red)
queue local_vlan1 bandwidth 8% cbq(borrow red)
queue other_vlan1 bandwidth 2% cbq(default borrow red)
##
pass quick proto icmp all
pass in quick on lo0 all
pass in
pass quick proto tcp from any to any port = 22 keep state
##VLAN1
pass quick proto tcp from <vlan1> to <server> port = 1723 keep state \
queue gre_vlan1_hi
pass quick on $vlan1 proto tcp from <vlan1> to any flags S/SA \
keep state queue gre_vlan1_hi
pass quick on $vlan1 proto gre from <vlan1> to <server> keep state \
queue gre_vlan1_lo
pass quick on $vlan1 from <vlan1> to <server> keep state \
queue server_vlan1
pass quick on $vlan1 from <vlan1> to <local> keep state \
queue local_vlan1
pass quick on $vlan1 from <local> to <vlan1> keep state \
queue local_vlan1
pass quick on $vlan1 from <local> to any keep state \
queue local_vlan1
##
block quick log all
Как Теперь нарезать скорость для входящего траффика на vlan1?
Я так понимаю что входящая скорость на Vlan1 это будет исходящаяя на Vlan2+Vlan3+vr0, а так как Я знаю какие там подсети, то....тупик, интерфейсов то у Меня много....
Есть FreeBSD + умный свич с vlan'ами + 2-а интерфейса
#cat /etc/rc.conf
ifconfig_em0="inet 192.168.1.1 netmask 255.255.255.0" #Смотрит на умный свич
ifconfig_vr0="inet 10.1.1.2 netmask 255.255.0.0" #смотрит на локалку
cloned_interfaces="vlan1 vlan2 vlan3"
ifconfig_vlan1="inet 10.12.1.1 netmask 255.255.255.0 vlan 3 vlandev em0"
ifconfig_vlan2="inet 10.13.1.1 netmask 255.255.255.0 vlan 4 vlandev em0"
ifconfig_vlan3="inet 10.14.1.1 netmask 255.255.255.0 vlan 5 vlandev em0"
Схема работы:
---Local'ка---vr0 (Роутер) em0 ---- Vlan'ы
<------------------------------------------->10.12.1.0/24
10.11.1.0/24<------------------------>10.13.1.0/24
<------------------------------------------->10.14.1.0/24
Тоесть Мне надо роутить 4-ре подсети:
10.11.1.0/24,10.12.1.0/24,10.13.1.0/24,10.14.1.0/24
Теперь Мне надо нарезать на каждом vlan'е 20Мбит/с вход и 20Мбит/с исход.
Поместить в очередь, что бы Инет(по PPTP - gre протокол) был с наивысшим приорететом,траффик от клиента до сервера с чуть меньшим приорететом, траффик локальный с небольшим преорететом, весь неучтённый траффик 2%.
Правильно ли Я нарезал исходящую скорость на Vlan1?
#cat /etc/pf.conf
vlan1="vlan1"
table <me> {10.1.1.2}
table <vlan1> {10.12.1.0/24}
table <server> {10.1.1.1}
table <local> {10.13.1.0/24,10.14.1.0/24,10.15.1.0/24,10.16.1.0/24,10.17.1.0/24}
scrub in all
##Vlan1
altq on $vlan1 bandwidth 20Mb cbq queue \
{ gre_vlan1, server_vlan1, local_vlan1, other_vlan1 }
queue gre_vlan1 bandwidth 60% cbq(borrow red) { gre_vlan1_hi,gre_vlan1_lo }
queue gre_vlan1_hi bandwidth 25% priority 7 cbq(borrow red)
queue gre_vlan1_lo bandwidth 75% priority 7 cbq(borrow red)
queue server_vlan1 bandwidth 30% cbq(borrow red)
queue local_vlan1 bandwidth 8% cbq(borrow red)
queue other_vlan1 bandwidth 2% cbq(default borrow red)
##
pass quick proto icmp all
pass in quick on lo0 all
pass in
pass quick proto tcp from any to any port = 22 keep state
##VLAN1
pass quick proto tcp from <vlan1> to <server> port = 1723 keep state \
queue gre_vlan1_hi
pass quick on $vlan1 proto tcp from <vlan1> to any flags S/SA \
keep state queue gre_vlan1_hi
pass quick on $vlan1 proto gre from <vlan1> to <server> keep state \
queue gre_vlan1_lo
pass quick on $vlan1 from <vlan1> to <server> keep state \
queue server_vlan1
pass quick on $vlan1 from <vlan1> to <local> keep state \
queue local_vlan1
pass quick on $vlan1 from <local> to <vlan1> keep state \
queue local_vlan1
pass quick on $vlan1 from <local> to any keep state \
queue local_vlan1
##
block quick log all
Как Теперь нарезать скорость для входящего траффика на vlan1?
Я так понимаю что входящая скорость на Vlan1 это будет исходящаяя на Vlan2+Vlan3+vr0, а так как Я знаю какие там подсети, то....тупик, интерфейсов то у Меня много....
-
- сержант
- Сообщения: 170
- Зарегистрирован: 2007-02-27 11:59:41
Re: pf, подскажите ПЛЗ умеет ли он уже...
Помогите ПЛИЗ!