pf, подскажите ПЛЗ умеет ли он уже...

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
wel
сержант
Сообщения: 170
Зарегистрирован: 2007-02-27 11:59:41

pf, подскажите ПЛЗ умеет ли он уже...

Непрочитанное сообщение wel » 2008-02-21 16:24:27

Привет
Подскажите - научился ли pf шейпить входящий и исходящий траффик(с год назад или более читал что он умеет только исходящий шейпить)?

Можно ли это сделать в моем варианте:
Инет----ed0---Сервер---ed1--->Локалка

Пользователи подключаются к ВПН-серверу(mpd4).
Интересует зашейпить Входящий/Исходящий траффик.
Сейчас pf используется для НАТа, а ipfw pipe + ipfw как фаервол.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

wel
сержант
Сообщения: 170
Зарегистрирован: 2007-02-27 11:59:41

Re: pf, подскажите ПЛЗ умеет ли он уже...

Непрочитанное сообщение wel » 2008-02-21 22:56:24

Эм...
Никто не знает или это слишком "ламерской вопрос"?

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: pf, подскажите ПЛЗ умеет ли он уже...

Непрочитанное сообщение Morty » 2008-02-22 0:41:45

спроси в рассылке freebsd-pf@freebsd.org
если что потом сюда перенесёшь - поделишься

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: pf, подскажите ПЛЗ умеет ли он уже...

Непрочитанное сообщение freeman » 2008-02-22 16:55:42

wel писал(а):Привет
Подскажите - научился ли pf шейпить входящий и исходящий траффик(с год назад или более читал что он умеет только исходящий шейпить)?
Не умел, не умеет и не будет уметь.
Смысл и как шейперить уже пришедший на сетевуху трафик ?

А так чтоб по делу - если комп выступает шлюзом, то ну не может у него быть такого входящего чтобы он не был исходящим на другом интерфейсе, исодя из этого и шейперят altq (pf) и "входящий" и исходящие и год и два назад и счас =)
Остатся должен только один ...

wel
сержант
Сообщения: 170
Зарегистрирован: 2007-02-27 11:59:41

Re: pf, подскажите ПЛЗ умеет ли он уже...

Непрочитанное сообщение wel » 2008-02-22 22:05:26

freeman писал(а): А так чтоб по делу - если комп выступает шлюзом, то ну не может у него быть такого входящего чтобы он не был исходящим на другом интерфейсе, исодя из этого и шейперят altq (pf) и "входящий" и исходящие и год и два назад и счас =)
Кто может пример подсказать?

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: pf, подскажите ПЛЗ умеет ли он уже...

Непрочитанное сообщение freeman » 2008-02-24 23:46:46

wel писал(а):
freeman писал(а): А так чтоб по делу - если комп выступает шлюзом, то ну не может у него быть такого входящего чтобы он не был исходящим на другом интерфейсе, исодя из этого и шейперят altq (pf) и "входящий" и исходящие и год и два назад и счас =)
Кто может пример подсказать?
Ну для начала разберись с теми что при установке кидаются в share что ли.
Я делал так что исходящие ставились в очередь на внешней сетевушке, а входящие на неё же, ставились в исходящую внутренней. Итого имеем "шейперение" и входящего к клиентам и исходящего трафика. Это легко, но если есть ещё и NAT, то напрямую это мне не удавалось сделать, пришлось применить тегирование пакетов, а там опять уже всё легко =) Конкретный конфиг счас вне доступностиувы, может позжее выложу если не забуду.
Остатся должен только один ...

wel
сержант
Сообщения: 170
Зарегистрирован: 2007-02-27 11:59:41

Re: pf, подскажите ПЛЗ умеет ли он уже...

Непрочитанное сообщение wel » 2008-04-19 1:07:13

Вот задачка....
Есть FreeBSD + умный свич с vlan'ами + 2-а интерфейса

#cat /etc/rc.conf

ifconfig_em0="inet 192.168.1.1 netmask 255.255.255.0" #Смотрит на умный свич
ifconfig_vr0="inet 10.1.1.2 netmask 255.255.0.0" #смотрит на локалку
cloned_interfaces="vlan1 vlan2 vlan3"
ifconfig_vlan1="inet 10.12.1.1 netmask 255.255.255.0 vlan 3 vlandev em0"
ifconfig_vlan2="inet 10.13.1.1 netmask 255.255.255.0 vlan 4 vlandev em0"
ifconfig_vlan3="inet 10.14.1.1 netmask 255.255.255.0 vlan 5 vlandev em0"

Схема работы:

---Local'ка---vr0 (Роутер) em0 ---- Vlan'ы
<------------------------------------------->10.12.1.0/24
10.11.1.0/24<------------------------>10.13.1.0/24
<------------------------------------------->10.14.1.0/24

Тоесть Мне надо роутить 4-ре подсети:
10.11.1.0/24,10.12.1.0/24,10.13.1.0/24,10.14.1.0/24

Теперь Мне надо нарезать на каждом vlan'е 20Мбит/с вход и 20Мбит/с исход.

Поместить в очередь, что бы Инет(по PPTP - gre протокол) был с наивысшим приорететом,траффик от клиента до сервера с чуть меньшим приорететом, траффик локальный с небольшим преорететом, весь неучтённый траффик 2%.


Правильно ли Я нарезал исходящую скорость на Vlan1?

#cat /etc/pf.conf
vlan1="vlan1"
table <me> {10.1.1.2}
table <vlan1> {10.12.1.0/24}
table <server> {10.1.1.1}
table <local> {10.13.1.0/24,10.14.1.0/24,10.15.1.0/24,10.16.1.0/24,10.17.1.0/24}

scrub in all

##Vlan1
altq on $vlan1 bandwidth 20Mb cbq queue \
{ gre_vlan1, server_vlan1, local_vlan1, other_vlan1 }
queue gre_vlan1 bandwidth 60% cbq(borrow red) { gre_vlan1_hi,gre_vlan1_lo }
queue gre_vlan1_hi bandwidth 25% priority 7 cbq(borrow red)
queue gre_vlan1_lo bandwidth 75% priority 7 cbq(borrow red)

queue server_vlan1 bandwidth 30% cbq(borrow red)
queue local_vlan1 bandwidth 8% cbq(borrow red)
queue other_vlan1 bandwidth 2% cbq(default borrow red)

##

pass quick proto icmp all
pass in quick on lo0 all
pass in
pass quick proto tcp from any to any port = 22 keep state

##VLAN1

pass quick proto tcp from <vlan1> to <server> port = 1723 keep state \
queue gre_vlan1_hi
pass quick on $vlan1 proto tcp from <vlan1> to any flags S/SA \
keep state queue gre_vlan1_hi

pass quick on $vlan1 proto gre from <vlan1> to <server> keep state \
queue gre_vlan1_lo

pass quick on $vlan1 from <vlan1> to <server> keep state \
queue server_vlan1

pass quick on $vlan1 from <vlan1> to <local> keep state \
queue local_vlan1

pass quick on $vlan1 from <local> to <vlan1> keep state \
queue local_vlan1

pass quick on $vlan1 from <local> to any keep state \
queue local_vlan1

##

block quick log all


Как Теперь нарезать скорость для входящего траффика на vlan1?
Я так понимаю что входящая скорость на Vlan1 это будет исходящаяя на Vlan2+Vlan3+vr0, а так как Я знаю какие там подсети, то....тупик, интерфейсов то у Меня много....