а в статье говорится о трафике в интернет. Если пакеты в хидере будут иметь назначением адрес роутера, то они останутся на роутере.icb писал(а):Я имею ввиду, что подключение к серверу по SSH в том числе и из сети 192.168.1.0/24этот текст относится к разделу примера под заглавием "Для сети 192.168.1.0/24:"
Подробное руководство по ipfw nat
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- vadim64
- майор
- Сообщения: 2101
- Зарегистрирован: 2009-09-17 15:15:26
- Откуда: Засратовец
Re: Подробное руководство по ipfw nat
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Подробное руководство по ipfw nat
icb писал(а):Из статьи (про самый просто вариант)Трафик дойдет до правила 1040 после чего выйдет из прохода IN фаервола, и попадет обратно в ip_input() где будет принято решение о том, что он предназначен не нам, а следовательно должен быть направлен в точку (4), в функцию ip_forward().Разве это правило говорит о том, что пакет предназначен не нам?Код: Выделить всё
add 1040 allow ip from any to any via fxp0
Получается, что к серверу даже по SSH не подключиться что ли?
Читайте классиков:
http://nuclight.livejournal.com/124348.html
Код: Выделить всё
Рассмотрим одну сторону роутера с рисунка выше более подробно, с точки зрения
вызовов функций в ядре (чуть более подробная картинка из мана). На самом деле,
с точки зрения функций, на рисунке выше нет двух сторон, она только одна,
и различается параметром - обрабатываемой сетевухой.
приложения нашей машины natd
| |
^ V (5) ^ v вместо divert
| (4) ____________ | | | сюда можно
| .->-|ip_forward()|->---+ (8) .--------. подставить
(3) | | `------------' | .->--| DIVERT | netgraph и
| | | | `--------' dummynet,
| | .->--------------------+-' (9) | механизм и
| | | | | v пути пакетов
| | | | | | точно такие же
| | | +--<---|-----------<-+
| | | | | |
ip_input() | не нам | ip_output() v (6) ^ v
.-----------|---|-. / .-------------|----. | |
| нам / | | | определить шлюз | | |
| | / | ^ | и сетевуху | | | |
| кому пакет? | | | | | | |
| | | / | ipfw_chk()->--' |
| ipfw_chk()--' | | | |
|___________|_____| |_____________|____| |
| | |
(2) ^ V (7) |
| | |
+---<---------------------------------------<---'
| |
(1) ^ V
| |
| |
ether_demux() ether_output_frame() это для ipfw layer2, тут
| | оно нас не интересует
^ V
| сетевые интерфейсы |
(железки), уровень драйверов BPF работает здесь
То есть, пакет на входе передается драйвером в ether_demux(), затем он
попадает в ip_input(), в точку (2), где выполняются базовые проверки на
корректность пакета, после чего пакет прилетает в ipfw - функция ipfw_chk().
Допустим, правила были простые, без задействования других подсистем. Тогда,
вернувшись из ipfw, пакет продолжает движение по ip_input(), которая смотрит,
предназначен ли пакет нашей машине ("to me" в терминах ipfw), либо кому-то
другому. Если нам, то пакет уходит в точку (3), где решится, в какой сокет
какой юзерлэндной программе его отправить.
Если же пакет был предназначен не нам, пакет из ip_input() направится в
точку (4), где ip_forward() проверит, установлен ли sysctl, разрешающий
форвардинг, произведет декремент TTL и т.п. действия, после чего пакет
придет в точку (6), функцию ip_output(). Туда же он попадет напрямую, когда
какая-нибудь программа решит что-то отправить в сеть и передаст данные ядру.
IPFW это фильтр перед TCP/IP стеком.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
-
- проходил мимо
- Сообщения: 3
- Зарегистрирован: 2011-01-28 14:43:51
Re: Подробное руководство по ipfw nat
Вот эта строчка вызывает затруднение при вводе со строки. Скрипт не пишу. Пробую так - покомандно. В результате - illegal option. Какой правильный синтаксис?# заварачиваем все что проходит через внешний интерфейс в нат
add 10130 nat 1 ip from any to any via em0
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Подробное руководство по ipfw nat
Код: Выделить всё
kldstat
Код: Выделить всё
ipfw add 10130 nat 1 ip from any to any via em0
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
-
- проходил мимо
- Сообщения: 3
- Зарегистрирован: 2011-01-28 14:43:51
Re: Подробное руководство по ipfw nat
Вывод kldstat:
Id Refs Address Size Name
1 26 0x80400000 64d5bc kernel
2 10 0x8234c000 b000 netgraph.ko
3 1 0x8235d000 4000 ng_ether.ko
4 1 0x82361000 6000 ng_pppoe.ko
5 1 0x82368000 4000 ng_socket.ko
6 1 0x82430000 3000 ng_iface.ko
7 1 0x82438000 7000 ng_ppp.ko
8 1 0x82571000 4000 logo_saver.ko
9 1 0x8267c000 4000 ng_pptpgre.ko
10 1 0x82680000 5000 ng_ksocket.ko
11 1 0x82686000 4000 ng_mppc.ko
12 1 0x8268a000 2000 rc4.ko
13 1 0x8268c000 3000 ng_tcpmss.ko
Id Refs Address Size Name
1 26 0x80400000 64d5bc kernel
2 10 0x8234c000 b000 netgraph.ko
3 1 0x8235d000 4000 ng_ether.ko
4 1 0x82361000 6000 ng_pppoe.ko
5 1 0x82368000 4000 ng_socket.ko
6 1 0x82430000 3000 ng_iface.ko
7 1 0x82438000 7000 ng_ppp.ko
8 1 0x82571000 4000 logo_saver.ko
9 1 0x8267c000 4000 ng_pptpgre.ko
10 1 0x82680000 5000 ng_ksocket.ko
11 1 0x82686000 4000 ng_mppc.ko
12 1 0x8268a000 2000 rc4.ko
13 1 0x8268c000 3000 ng_tcpmss.ko
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Подробное руководство по ipfw nat
libalias нет...
в rc.con напишите
и ребут
или без ребута
в rc.con напишите
Код: Выделить всё
firewall_nat_enable="YES"
или без ребута
Код: Выделить всё
kldload libalias.ko
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
-
- проходил мимо
- Сообщения: 3
- Зарегистрирован: 2011-01-28 14:43:51
Re: Подробное руководство по ipfw nat
Вот, спасибо. А то я только нашел, что надо пересобирать систему и ядро с поддержкой нат и libalias.
-
- лейтенант
- Сообщения: 751
- Зарегистрирован: 2008-07-15 16:11:11
Re: Подробное руководство по ipfw nat
Настроил ipfw, работает нормально.
Как только подключаю NAT - доступ обрубается.
В чем может быть ошибка?
Код: Выделить всё
#${FwCMD} nat 1 config if ${OutLan} reset deny_in
#${FwCMD} add nat 1 ip from any to any via ${OutLan}
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
${FwCMD} add allow ip from ${OutIp} to any out xmit ${OutLan}
${FwCMD} add allow tcp from any to ${OutIp} 22 via ${OutLan}
${FwCMD} 65530 add allow ip from any to any
В чем может быть ошибка?
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Подробное руководство по ipfw nat
icb писал(а):Настроил ipfw, работает нормально.
Как только подключаю NAT - доступ обрубается.
В чем может быть ошибка?
Код: Выделить всё
#${FwCMD} nat 1 config if ${OutLan} reset deny_in redirect_port tcp ${OutIp}:22 22
#${FwCMD} add nat 1 ip from any to any via ${OutLan}
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
${FwCMD} add allow ip from ${OutIp} to any out xmit ${OutLan}
${FwCMD} add allow tcp from any to ${OutIp} 22 via ${OutLan}
${FwCMD} 65530 add allow ip from any to any
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
-
- лейтенант
- Сообщения: 751
- Зарегистрирован: 2008-07-15 16:11:11
Re: Подробное руководство по ipfw nat
Отрубается не только SSH, но и перестает пинговаться.
22 порт и ICMP я разрешаю ниже. Получается, что в NAT надо прописывать еще индивидуально проброс всего (что идет на сервер)?
22 порт и ICMP я разрешаю ниже. Получается, что в NAT надо прописывать еще индивидуально проброс всего (что идет на сервер)?
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Подробное руководство по ipfw nat
нат запущен с deny_in - через такой никакие левые входящие соединения не идут.
Ставитье все дополнительные разрешения на ssh и ping до ната.
Ставитье все дополнительные разрешения на ssh и ping до ната.
Код: Выделить всё
${FwCMD} nat 1 config if ${OutLan} reset deny_in
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
${FwCMD} add allow tcp from any to ${OutIp} 22 via ${OutLan}
${FwCMD} add nat 1 ip from any to any via ${OutLan}
#это зачем?
${FwCMD} add allow tcp from any to any established
#
${FwCMD} add allow ip from ${OutIp} to any out xmit ${OutLan}
${FwCMD} 65530 add allow ip from any to any
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
-
- лейтенант
- Сообщения: 751
- Зарегистрирован: 2008-07-15 16:11:11
Re: Подробное руководство по ipfw nat
нат запущен с deny_in - через такой никакие левые входящие соединения не идут.
Если не установить deny_in, то пакеты будут пробрасываться в локальную сеть?Параметр предписывает запрет пропускать через nat входящие пакеты для
которых нет совпадения во внутренней таблице активных соединений,
или же нет совпадения с другими правил демаскировки.
Если данный параметр не установлен то для входящих соединений
будет создаваться новая запись в таблице активных соединений
и пакет будет пропускаться.
Как мне их оставить на сервере?
#это зачем?
${FwCMD} add allow tcp from any to any established
Благодаря этому правилу я не отваливаюсь по SSH моментально и успеваю вырубить ipfw# разрешаем все установленные соединения (если они установились -
# значит по каким-то правилам они проходили.)
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Подробное руководство по ipfw nat
то что будет приходить на внешний IP адрес, будет пролетать на сам сервер без остановок.Если не установить deny_in, то пакеты будут пробрасываться в локальную сеть?
Как мне их оставить на сервере?
Если же пришедший пакет принадлежит к какому-нить соединению которое раньше было инициировано от клиента из локалки (уже имеет в нат таблице соответсвие), то тогда будет демаскировка и возврат в фаервол, а потом в локалку.
в таких случаях обычно используют keep-state а не так. Потому, что кто угодно может установить в TCP заголовке флаги:# разрешаем все установленные соединения (если они установились -
# значит по каким-то правилам они проходили.)
Код: Выделить всё
established
Matches TCP packets that have the RST or ACK bits set.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
-
- лейтенант
- Сообщения: 751
- Зарегистрирован: 2008-07-15 16:11:11
Re: Подробное руководство по ipfw nat
Какой вариант тогда правильнее: убрать deny_in или поместить разрешающие правила выше ната?то что будет приходить на внешний IP адрес, будет пролетать на сам сервер без остановок.
Если же пришедший пакет принадлежит к какому-нить соединению которое раньше было инициировано от клиента из локалки (уже имеет в нат таблице соответсвие), то тогда будет демаскировка и возврат в фаервол, а потом в локалку.
На текущий момент NAT вроде работает. ipfw show даже говорит что пакетики по этому правилу есть.
Но ни ping ни telnet (на 80-й порт) в интернет не проходят
Что еще надо подкрутить?
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Подробное руководство по ipfw nat
правилно делать так чтобы было проще. Мне проще когда есть deny_in и точно известно что ничего лишнего не прилетит если нет разрешения.
Код: Выделить всё
${FwCMD} nat 1 config if ${OutLan} reset deny_in
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
${FwCMD} add allow tcp from any to ${OutIp} 22 via ${OutLan}
${FwCMD} add nat 1 ip from any to any via ${OutLan}
${FwCMD} add allow ip from any to any
${OutLan} - сетевуха какая? em?Но ни ping ни telnet (на 80-й порт) в интернет не проходят
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
-
- лейтенант
- Сообщения: 751
- Зарегистрирован: 2008-07-15 16:11:11
Re: Подробное руководство по ipfw nat
bge${OutLan} - сетевуха какая? em?
- vadim64
- майор
- Сообщения: 2101
- Зарегистрирован: 2009-09-17 15:15:26
- Откуда: Засратовец
Re: Подробное руководство по ipfw nat
to terminus: а зачем add allow ip from any to any в конце? и без неё всё же работает? или я задачу не понял?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Подробное руководство по ipfw nat
Если у него 8.1, где поломан one_pass, то надо.
При deny_in оно безопасно.
При deny_in оно безопасно.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
- vadim64
- майор
- Сообщения: 2101
- Зарегистрирован: 2009-09-17 15:15:26
- Откуда: Засратовец
Re: Подробное руководство по ipfw nat
ааааа))))
я вот не давно с правильной ОС взаимодействую, и этот пресловутый глюк меня кстати в шок поверг и раздумья: а часто ребята что то в коде тамадят, что ломают такие широко распространённые вещи? кто нить может вспомнить скажем предыдущий такой косяк?
я вот не давно с правильной ОС взаимодействую, и этот пресловутый глюк меня кстати в шок поверг и раздумья: а часто ребята что то в коде тамадят, что ломают такие широко распространённые вещи? кто нить может вспомнить скажем предыдущий такой косяк?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.
-
- рядовой
- Сообщения: 32
- Зарегистрирован: 2010-05-18 21:59:19
Re: Подробное руководство по ipfw nat
Доброго времени суток уважаемые форумчане,
Собрал маршрутизатор на базе любимой ОС 8.1 64-bit, 5 сетевух, 2 ядра, 4 гектара мозга. Заметно торможение в ряде случаев, а именно при удалённом или локальном залогивании, при вводе netstat -r отображается вывод на экран почти с минутной задержкой до первого маршрута затем различной протяжённостью рывками. Подскажите в чём может быть дело, если кто сталкивался.
Собрал маршрутизатор на базе любимой ОС 8.1 64-bit, 5 сетевух, 2 ядра, 4 гектара мозга. Заметно торможение в ряде случаев, а именно при удалённом или локальном залогивании, при вводе netstat -r отображается вывод на экран почти с минутной задержкой до первого маршрута затем различной протяжённостью рывками. Подскажите в чём может быть дело, если кто сталкивался.
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Подробное руководство по ipfw nat
DNS глючит?
команда netstat -rn тоже долго отрабатывает?
Вывод top покажите.
команда netstat -rn тоже долго отрабатывает?
Вывод top покажите.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
-
- рядовой
- Сообщения: 32
- Зарегистрирован: 2010-05-18 21:59:19
Re: Подробное руководство по ipfw nat
DNS не глючит.terminus писал(а):DNS глючит?
команда netstat -rn тоже долго отрабатывает?
Вывод top покажите.
netstat -rn отрабатывает моментально без тормозов
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Подробное руководство по ipfw nat
Это намекает на DNS - параметр -n это значит не проводить разрешение имен...netstat -rn отрабатывает моментально без тормозов
вывод топа никакой кримиральной нагрузки на систему не показывает.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
-
- рядовой
- Сообщения: 32
- Зарегистрирован: 2010-05-18 21:59:19
Re: Подробное руководство по ipfw nat
Спасибо. Это внесло ясность.
-
- проходил мимо
- Сообщения: 2
- Зарегистрирован: 2011-02-03 23:46:30
Re: Подробное руководство по ipfw nat
Блин, не получается рубить трафик, помогите - кто чем может.
Вот мё:
Вот /etc/firewall.sh - с которым все работает как надо - т.е (192.168.2.x) <->(192.168.2.1 <- nat -> 178.140.187.130) <-> INET
А теперь пытаюсь сузить канал:
запускаю:
мониторим (в чем я плохо чего понимаю):
И в инет дорога закрыта.
Прошу помощи!
Вот мё:
Код: Выделить всё
[voy@bsd:~]$ ifconfig rl0
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:40:45:20:b2:cf
inet 178.140.187.130 netmask 0xffffff00 broadcast 178.140.187.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
[voy@bsd:~]$ ifconfig re0
re0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
ether 00:e0:4c:00:19:20
inet 192.168.2.1 netmask 0xffffff00 broadcast 192.168.2.255
inet 192.168.2.2 netmask 0xffffff00 broadcast 192.168.2.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
Код: Выделить всё
[voy@bsd:~]$ cat /etc/firewall2.sh
ipfw -f flush
ipfw -f pipe flush
ipfw -f queue flush
# разрешаем все через интерфейс локальной сети
ipfw add 1040 allow ip from any to any via re0
# настройка ната.
ipfw nat 1 config log if rl0 reset same_ports deny_in
# заварачиваем все что проходит через внешний интерфейс в нат
ipfw add 10300 nat 1 ip from any to any via rl0
ipfw add 65534 deny all from any to any
Код: Выделить всё
[root@bsd:/etc]# cat firewall3.sh
ipfw -f flush
ipfw -f pipe flush
ipfw -f queue flush
# разрешаем все через интерфейс локальной сети
ipfw add 1040 allow ip from any to any via re0
ipfw pipe 1 config bw 500Kbit/s queue 60 gred 0.002/10/30/0.1
ipfw queue 1 config pipe 1 queue 60 mask src-ip 0xffffffff gred 0.002/10/30/0.1
ipfw pipe 2 config bw 250Kbit/s queue 60 gred 0.002/10/30/0.1
ipfw queue 2 config pipe 2 queue 60 mask dst-ip 0xffffffff gred 0.002/10/30/0.1
ipfw nat 1 config log if rl0 reset same_ports deny_in
ipfw add 10150 queue 1 ip from any to any out xmit rl0
ipfw add 10160 nat 1 ip from any to any via rl0
ipfw add 10170 queue 2 ip from any to any in recv rl0
ipfw add 10230 allow all from any to any
ipfw add 65534 deny all from any to any
Код: Выделить всё
[root@bsd:~]# /etc/firewall3.sh
Flushed all rules.
Flushed all pipes.
Flushed all pipes.
01040 allow ip from any to any via re0
ipfw nat 1 config if rl0 log deny_in same_ports reset
10150 queue 1 ip from any to any out xmit rl0
10160 nat 1 ip from any to any via rl0
10170 queue 2 ip from any to any in recv rl0
10230 allow ip from any to any
65534 deny ip from any to any
Код: Выделить всё
[root@bsd:~]# ipfw list
01040 allow ip from any to any via re0
10150 queue 1 ip from any to any out xmit rl0
10160 nat 1 ip from any to any via rl0
10170 queue 2 ip from any to any in recv rl0
10230 allow ip from any to any
65534 deny ip from any to any
65535 deny ip from any to any
[root@bsd:~]# ipfw pipe show
00001: 500.000 Kbit/s 0 ms 60 sl. 0 queues (1 buckets)
GRED w_q 0.001999 min_th 10 max_th 30 max_p 0.099991
burst: 0 Byte
00002: 250.000 Kbit/s 0 ms 60 sl. 0 queues (1 buckets)
GRED w_q 0.001999 min_th 10 max_th 30 max_p 0.099991
burst: 0 Byte
q00001: weight 1 pipe 1 60 sl. 3 queues (64 buckets)
GRED w_q 0.001999 min_th 10 max_th 30 max_p 0.099991
mask: 0x00 0xffffffff/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
20 ip 192.168.2.30/0 0.0.0.0/0 3387 310860 0 0 0
24 ip 178.140.187.138/0 0.0.0.0/0 1807 1420406 0 0 0
40 ip 192.168.2.32/0 0.0.0.0/0 383 22211 0 0 0
q00002: weight 1 pipe 2 60 sl. 0 queues (64 buckets)
GRED w_q 0.001999 min_th 10 max_th 30 max_p 0.099991
Прошу помощи!