Помогите приручить pf

[paradox]

аа у вас все сечас на ipfw

а правила с ipfw которые для полудуплексного показать можете?
как там нарезался


проще тогда было
показать ipfw весь
с правильными переменными
и спросить как это перевести на pf+altq

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[devchaos]

Перевести я думаю сам справлюсь главное разобратся как быть с полудуплексом в моем случае.
Вот начало конфига как есть после диверта собственно приоритеты. Как сделать такое же под altq?

Код: Выделить всё

ipfw -f flush
ipfw -f pipe flush
ipfw -f queue flush
ipfw add 20 skipto 92 ip from any 135-139 to any via nve0
ipfw add 21 skipto 92 ip from any to any 135-139 via nve0
ipfw add 22 skipto 65410 ip from me 21 to any via nve0
ipfw add 23 skipto 65420 ip from any to me 21 via nve0

ipfw add 30 divert natd all from any to any via em0

#ipfw pipe 3 config bw 26Mbit/s
#ipfw queue 1 config pipe 3 weight 50 mask dst-ip 0xffffffff
#ipfw queue 11 config pipe 3 weight 50 mask src-ip 0xffffffff
#ipfw queue 2 config pipe 3 weight 40 mask dst-ip 0xffffffff
#ipfw queue 21 config pipe 3 weight 40 mask src-ip 0xffffffff
#ipfw queue 3 config pipe 3 weight 10 mask dst-ip 0xffffffff
#ipfw queue 31 config pipe 3 weight 10 mask src-ip 0xffffffff

#ipfw add 80 queue 1 ip from not me to "table(90)" in
#ipfw add 81 queue 11 ip from "table(90)" to not me out
#ipfw add 82 queue 2 ip from not me to "table(50)" in
#ipfw add 83 queue 21 ip from "table(50)" to not me out
#ipfw add 84 queue 3 ip from not me to "table(1)" in
#ipfw add 85 queue 31 ip from "table(1)" to not me out

[paradox]

ммм
а для полудуплекса сдесть есть?

[devchaos]

Это и есть полудуплекс. Труба то одна с определенной скоростью и в нее попадают как входящие так и и сходящие пакеты.

[paradox]

1, 50, 90
это три таблицы
em это полудуплекс
так вот чет я непонимаю
как с em в pipe попадает?

в одной из трех таблиц есть адресса которые проходят по em?

[devchaos]

пайп не привязан к интерфейсу ведь.
Попадает вот так

Код: Выделить всё

#ipfw add 80 queue 1 ip from not me to "table(90)" in
#ipfw add 81 queue 11 ip from "table(90)" to not me out

[paradox]

пайп то не привязан
токо вот у меня например есть сомнения

Код: Выделить всё

#ipfw add 30 divert natd all from any to any via em0

что после этого
оно попадает в

Код: Выделить всё

#ipfw add 80 queue 1 ip from not me to "table(90)" in
#ipfw add 81 queue 11 ip from "table(90)" to not me out

разве что только в table 90 будет ip который проходит через em0

но это мое мнение....


а какие настройки natd ?
на какой интефейс он висит и с какими флагами?

[devchaos]

В rc.conf

Код: Выделить всё

natd_flags="-u"
natd_enable="YES"
natd_interface="em0"

В принципе может и не попадать после диверта натд.

Кстати в ipfw add 81 queue 11 ip from "table(90)" to not me out
вроде как не попадает
и тоже дя
83 и 85 правила. Переместил перед divert natd. Попадают точно )

Как быть с altq? Если я создам 2 приоритета на вход и на исход отдельно мне нужно указать скорость в 2 раза ниже на каждом направлении что не есть решение.

[paradox]

дуплексный, полудуплексный
это понятие для физического уровня
для tcp протокола к примеру такого понятие нет
если вы имеет ввиду односторонний трафик который идет через em,
тогда я непонимаю смысла диверта на этом интерфейсе
а загрузка очереди соответвенно будет немного перекошена по одному направлению
входящему трафику я так понимаю


чет уже начинает голова пухнуть=)
нужно с самого начала перечитать что вы там накрутили

[devchaos]

еще раз. Если не вникая в подробности ipfw исключительно для pf+altq.

Код: Выделить всё

ext_if="em0"

altq on $ext_if priq bandwidth 26Mb queue { q_pri, q_def }
queue q_pri priority 7
queue q_def priority 1 priq(default)

Трафик который идет от нас. Клево. Однако трафик может еще идти к нам. Решим с ним точно также только на внутреннем ифейсе.

Код: Выделить всё

altq on nve0 cbq bandwidth 26Mb queue { q_pri, q_def }
queue q_pri priority 7
queue q_def cbq(default)

Все замечательно, траф попадает куда нужно. Но без указания bandwidth 26Mb не будут правильно приоритеты работать. Так?
Нужно сделать чтобы очереди (вход/исход) делили между собой пропускную способность 26 мегабит. Зачем? Аплинк может либо отдавать на скорости 26 мегабит либо принимать информацию.

Код: Выделить всё

altq on $ext_if priq bandwidth 26Mb queue { q_pri, q_def }

и

Код: Выделить всё

altq on nve0 cbq bandwidth 26Mb queue { q_pri, q_def }

Переформулировал так )

[paradox]

нарисуйте если несложно топологию
и что там куда втекает и вытекает

а то я начинаю подозревать что у вас один канало строго на аплоад а втоторой на даунлоад
а бендвиш вы хотите сделать один на двух

[devchaos]

От радиомоста витая пара (100 мегабит) идет к ифейсу em0 (сетевая карта раз).
Сетевая карта nve0 смотрит в локалку два.
Натд на ифейсе em0.
Нужно дать приоритет певой группе пользователей самый высокий, второй средний, и тд.
Как это сделать на altq.

[paradox]

нат на em0
и туда же и очередь
и забыть о существовании nve0

или вы боитесь что от nve 100Mbit
а через em0 каких то 26

[devchaos]

1 очередь на исход (em0) в инет. На исход в локалку (nve0), не делать? Тоесть если пользователь будет скачивать информацио она не будет попадать в очередь? Только если передавать? Нельзя ли будет таким образом со стороны пользователя положить канал? Ведь входящего трафика больше чем исходящего? В основном качают а не закачивают. Или дело в том что трафик попадает вначале в диверт натд?

[paradox]

наскоко я понимаю
пользователи в локалке с серыми адрессами ходят в нет через радио канал

очередь инициализируеться когда пользователь делает запрос
дальше нат
потом ушло через езер em0(линк к радиоканалу)

приходит через езер em0(линк к радиоканалу)
проходит нат
пакет раскрываеться и очередь активируеться

нат же нужен для того что бы пользователей замаскировать под айпи em0 ?

а вы как то странно смотрите с сервера и на пользователей и на радиолинк

этот сервер же токо для раздачи инета как я понимаю

[paradox]

небольшая статейка
про чарли боба и других и как сделать что бы они не положили канал
http://www.opennet.ru/base/sec/pf_extended.txt.html

а я наверное уже спать)
а то бошка болит отвсего этого)

[devchaos]

Читал. Все понятно если канал может передавать и принимать данные с определенными скоростями. Например 2 мегабита вход и 640 килобит исход.
Как Вы писали выше если забыть о nve0.
Делаем только на внешнем ифейсе так

Код: Выделить всё

ext_if="em0"
altq on $ext_if bandwidth 26Mb priq queue {def_out, game_out}
queue def_out priority 1 priq(default red)
queue game_out priority 5 priq(red)

В ipfw

Код: Выделить всё

ipfw add 62 count altq game_out all from "table(90)" to any out via em0

В table(90) серые айпишнеги пользователей локальной сети которым нужно дать приоритет.

[paradox]

несовсем понятна манипуляция pf+altq+ipfw
чувствую там уже сильно накручено

хотелось бы что бы вы понимали
что для реализации вашей топологии на роутере
нужно смотреть путь хождения пакетов от пользователей в инет (а не с роутера в обе стороны)
и заганять в очередь уже на nve0
но сама очередь висит на em0
после чего маскарад на em0

мое мнение

[Alex Keda]

нормально ты так спал - 10 часов )))

[paradox]

ну 10 это среднее
иногда когда суток 3 не спишь
то потом сутки где то точно отсыпаешься

[Alex Keda]

у тя бывает что трое суток не спишь?
не, я конечно мало сплю, но трёх суток подряд не докатывался уже давно...
бывает, час поспишь, но шоп совсем - перебор.

[paradox]

правильный зеленый чай делает с людьми чудеса

[Alex Keda]

тока чёрный.
чтоб ложка стояла.
жена грит что я чифирю, однако, после двух лет в стройбате могу зяавить - до чефира ему ещё далеко ))

[paradox]

ну у кого какие вкусы
нормально думать и долго не спать у меня получаеться токо от зеленого - токо качественного
что бы из двух зерен разровачивались большие листья к примеру
но такой чет сечас тяжело достать

[Covax]

Как всегда, начали с вопроса о altq, закончили выбором сорта чая.