Добрый день!
настроил ядерный NAT по статье. вроде все заработало.
Но столкнулся с проблемой, которую никак не могу решить.
Мне нужно порезать канал на полосы следующим образом:
1 выделить фиксированную полосу для VOIP
2 Загнать в фиксированную полосу трафик с двух удаленных IP (с них валится видеонаблюдение)
3 выделить фиксированную полосу на всех юзверей в лавке.
конфигурация:
Код: Выделить всё
[root@GW /home/ni]# uname -a
FreeBSD GW.SOS 8.2-STABLE FreeBSD 8.2-STABLE #5: Wed May 25 16:33:23 MSD 2011 root@GW.SOS:/usr/obj/usr/src/sys/24052011.cern i386
Код: Выделить всё
[root@GW /home/ni]# sysctl -a | grep one_pass
net.inet.ip.fw.one_pass: 1
(Хотя в /etc/sysctl.conf net.inet.ip.fw.one_pass=0 ?????)
Код: Выделить всё
[root@GW /home/ni]# kldstat
Id Refs Address Size Name
1 4 0xc0400000 6d8df0 kernel
2 1 0xc7c95000 3000 daemon_saver.ko
Код: Выделить всё
[root@GW /home/ni]# cat /etc/firewall
#!/bin/sh
add 400 allow ip from any to any via re0
#Провайдер дал блок из пяти публичных адресов висит на внтутреннем интерфейсе.
#Раньше все работало без каких либо шаманств, теперь пришлось проброс сделать
add 410 allow ip from 1.5.8.105/29 to any via em0
загоняю трафик с IP 1.9.3.15 идущий извне в турбу.
add 420 pipe 1 ip from 1.9.3.15 to any via em0
pipe 1 config bw 1500Kbit/s
nat 1 config log if em0 reset same_ports
add 490 nat 1 ip from any to any via em0
Код: Выделить всё
[root@GW /home/ni]# ipfw show
00100 0 0 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 619488 576879361 allow ip from any to any via re0
00410 2217 630909 allow ip from 1.5.8.104/29 to any via em0
00420 949 45552 pipe 1 ip from 1.9.3.15 to any via em0
00490 613552 573462850 nat 1 ip from any to any via em0
65535 0 0 deny ip from any to any
В итоге вижу tcpdump, что у меня пакеты извне приходят, до машины в локальной сетке ,
а ответы от этой машины не уходят обратно.
Подскажите, что крутануть, что бы тунелились потоки..
И как лучше реализовать мою задачу задачу?
на ум приходит делать тунели с разными приоритетами и пропускной способностью, и выстраивать ирархию
по принципу самый высокий- VOIP, средний- юзвери,самый низкий IP cam из интеа????