Шейпер

[Alteron]

Господа, взяли и-нет вскладчину. Надо настроить динамический шейпинг.

Почитал форум, доки. Скажите, правильно ли я делаю?
Канал 2Мбит в обе стороны. Использую IPFW
В правилах определяем:

Код: Выделить всё

#Трафик, выходящий со внутреннего интерфейса. Для людей из локалки - входящий.
# Общая входящая труба
${ipfw} pipe 1 config bw 1900Kbit/s
# Определяем очередь. По mask на каждый IP-клиент (внутри сети) будет создаваться отдельная очередь 
${ipfw} queue 1 config pipe 1 weight 50 mask dst-ip 0xffffffff
#Заворачиваем трафик в очередь
${ipfw} add 0900 queue 1 ip from not 192.168.1.0/24 to "table(2)" out via $int_if

#Трафик, выходящий в и-нет. Для людей из локалки - исходящий.
# Общая исходящая труба
${ipfw} pipe 2 config bw 1900Kbit/s
# Определяем очередь. По mask на каждый IP-клиент (внутри сети) будет создаваться отдельная очередь 
${ipfw} queue 2 config pipe 2 weight 50 mask src-ip 0xffffffff
#Заворачиваем трафик в очередь
${ipfw} add 1000 queue 2 ip from "table(2)" to not 192.168.1.0/24 out via $ext_if

На сколько я понимаю, правило 1000 надо ставить перед самым divert natd

Вроде всё. Прокомментируйте.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

а вы попробуйте

[Linozh]

Добрый день. Втрорые сутки мучаюсь с ipfw и все безрезультатно. Задача поделить канал.
Добавил в /etc/rc.conf следующее:

Код: Выделить всё

firewall_enable="YES"
firewall_script="/etc/ipfw.rules"
firewall_logging="yes"
dummynet_enable="yes"

В /etc/ipfw.rules прописал:

Код: Выделить всё

ipfw -f flush
ipfw -f pipe flush
ipfw -f queue flush

ipfw table 1 add 192.168.1.2 #User1
ipfw table 1 add 192.168.1.7 #User2

ipfw pipe 102 config mask src-ip 0x000000ff bw 64Kbit/s queue 50
ipfw add pipe 102 all from "table(1)" to any via re0
ipfw pipe 103 config mask dst-ip 0x000000ff bw 64Kbit/s queue 50
ipfw add pipe 103 all from any to "table(1)" via re0

Канал 300Kbit/s (правда реально не бывает больше 220). По тестам http://www.speedtest.net/ показывает 215Kbit/s входящая и 15Kbit исходящая. При попытке что-либо скачать используется весь доступный канал. В чем может быть проблема?

[hizel]

ipfw pipe show

и это весь фаервол?

[Linozh]

Код: Выделить всё

# ipfw pipe show
00102:  64.000 Kbit/s    0 ms   50 sl. 1 queues (64 buckets) droptail
    mask: 0x00 0x000000ff/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  4 ip           0.0.0.2/0             0.0.0.0/0      170    27230  0    0   0
00103:  64.000 Kbit/s    0 ms   50 sl. 1 queues (64 buckets) droptail
    mask: 0x00 0x00000000/0x0000 -> 0x000000ff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  2 ip           0.0.0.0/0             0.0.0.2/0       25     3652  1  100   0

Да пока весь.

[hizel]

работает :-\

[Linozh]

Я дома пытаюсь откатать схему для использования ее в рабочей сети (Поэтому всего 2 пользователя и такой маленький канал). Смысл в следующем. Есть сервер у которого шлюз в интернет маршрутизатор Cisco (на циске работает NAT). На сервере одна сетевая карта re0. Я хочу с помощью ipfw поделить канал. Это вообще реально или я зря трачу время?

[Linozh]

работает :-\

Как то странно работает: входящую не режет а исходящую зажимает до 15Kbit/s

[Linozh]

Код: Выделить всё

ipfw -f flush
ipfw -f pipe flush
ipfw -f queue flush

ipfw table 1 add 192.168.1.2 #User1
ipfw table 1 add 192.168.1.7 #User2

ipfw pipe 102 config bw 64Kbit/s
ipfw queue 102 config mask src-ip 0xffffffff pipe 102

ipfw pipe 103 config bw 64Kbit/s
ipfw queue 103 config mask dst-ip 0xffffffff pipe 103

ipfw add queue 102 ip from "table(1)" to any out xmit re0
ipfw add queue 103 all from any to "table(1)" in recv re0

Теперь исходящую режет как надо 59Kbit/s по тестам, а вот с входящей пока разобраться не смог. В чем может быть проблема?

[Burn_]

Это все правила или часть ? NAT'а нет ?
Пробуй упростить правила, убери на время отладки маски и т.п.
Добавь в правила log и смотри что в них попадает ...

[Linozh]

Да это все правила.NAT`а нет

[Burn_]

Да это все правила.NAT`а нет

Могу конечно ошибаться, но судя по выше написанному у Вас шлюз и тестовые пользователи в одной сети с еще одним шлюзом, шлюзом провайдера, так сказать основным для этой сети. Если так, то входящий трафик через Вас шлюз не пойдет, и соответственно резать полосу не будет.

[harmless]

http://forum.lissyara.su/viewtopic.php?f=3&t=12525
Вот тут все расписано!
Выкинь то что тебе не нужно и экспериментируй дальше!???
А лучше не экспериментировать а предельно внимательно почитать хотя бы статьи лиса и остальных, а потом что-то пробовать написать(сам когда-то мучился)

[Linozh]

Да это все правила.NAT`а нет

Могу конечно ошибаться, но судя по выше написанному у Вас шлюз и тестовые пользователи в одной сети с еще одним шлюзом, шлюзом провайдера, так сказать основным для этой сети. Если так, то входящий трафик через Вас шлюз не пойдет, и соответственно резать полосу не будет.

Так для пользователей шлюзом выступает не Cisco а машина с FreeBSD. А если честно хочется выкинуть Cisco (по моему мнению без нее было бы проще) и оставить шлюз на FreeBSD.

[Burn_]

Так для пользователей шлюзом выступает не Cisco а машина с FreeBSD. А если честно хочется выкинуть Cisco (по моему мнению без нее было бы проще) и оставить шлюз на FreeBSD.

Пользователь идет через FreeBSD , но когда запрос возвращается, Cisco выступает в роли шлюза. т.к. у неё есть алиас из сети пользователя и пакеты идут, так сказать, по кротчайшему пути, т.е. сразу к клиенту, а не через FreeBSD.

[Linozh]

Придется от кошки избавиться Вопрос немного не по теме - покупать Cisco 2821 на которой из задач маршрутизации указан только статический маршрут до провайдера - это номально?

[Burn_]

Придется от кошки избавиться Вопрос немного не по теме - покупать Cisco 2821 на которой из задач маршрутизации указан только статический маршрут до провайдера - это номально?

Зависит от того, что планируется ею рулить. Для небольшого трафика и FreeBSD хватит.

[Linozh]

Пользователь идет через FreeBSD , но когда запрос возвращается, Cisco выступает в роли шлюза. т.к. у неё есть алиас из сети пользователя и пакеты идут, так сказать, по кротчайшему пути, т.е. сразу к клиенту, а не через FreeBSD.

Значит у меня впринципе эта идея не прокатит?

[Burn_]

Пользователь идет через FreeBSD , но когда запрос возвращается, Cisco выступает в роли шлюза. т.к. у неё есть алиас из сети пользователя и пакеты идут, так сказать, по кротчайшему пути, т.е. сразу к клиенту, а не через FreeBSD.

Значит у меня впринципе эта идея не прокатит?

Убери с Cisco алиас пользовательской сети и соедини FreeBSD и Cisco любой другой сетью.

[Linozh]

Пользователь идет через FreeBSD , но когда запрос возвращается, Cisco выступает в роли шлюза. т.к. у неё есть алиас из сети пользователя и пакеты идут, так сказать, по кротчайшему пути, т.е. сразу к клиенту, а не через FreeBSD.

Значит у меня впринципе эта идея не прокатит?

Убери с Cisco алиас пользовательской сети и соедини FreeBSD и Cisco любой другой сетью.

То есть поставить еще одну сетевую карту? Сейчас я вообще проверяю это дома и дома у меня маршрутизатор D-Link.

[Burn_]

То есть поставить еще одну сетевую карту? Сейчас я вообще проверяю это дома и дома у меня маршрутизатор D-Link.

Можно vlan настроить, если есть возможность, можно алиас повесить, можно и карту. Смотри сам по обстоятельствам....

[Linozh]

http://forum.lissyara.su/viewtopic.php?f=3&t=12525
Вот тут все расписано!
Выкинь то что тебе не нужно и экспериментируй дальше!???
А лучше не экспериментировать а предельно внимательно почитать хотя бы статьи лиса и остальных, а потом что-то пробовать написать(сам когда-то мучился)

Поставил вторую сетевуху сделал по вашему рецепту и УРА все заработало

[Linozh]

Вечер добрый. Объясните пожалуйста как тут можно использовать очереди для того чтобы обеспечить больший приоритет (в идеале гарантированную скорость) для пользователей со скоростью 1 мегабит?

Код: Выделить всё

###############  256Kbit/s ##############
${FwCMD} add pipe 1 ip from not ${NetIn} to table\(1\) out
${FwCMD} pipe 1 config bw 256000bit/s mask dst-ip 0xffffffff
${FwCMD} add pipe 2 ip from table\(1\) to not me in
${FwCMD} pipe 2 config bw 256000bit/s mask src-ip 0xffffffff
###############  512Kbit/s ##############
${FwCMD} add pipe 3 ip from not ${NetIn} to table\(2\) out
${FwCMD} pipe 3 config bw 512000bit/s mask dst-ip 0xffffffff
${FwCMD} add pipe 4 ip from table\(2\) to not me in
${FwCMD} pipe 4 config bw 512000bit/s mask src-ip 0xffffffff
################  1Mbit/s ###############
${FwCMD} add pipe 5 ip from not ${NetIn} to table\(3\) out
${FwCMD} pipe 5 config bw 1000000bit/s mask dst-ip 0xffffffff
${FwCMD} add pipe 6 ip from table\(3\)  to not me in
${FwCMD} pipe 6 config bw 1000000bit/s mask src-ip 0xffffffff

[harmless]

Вечер добрый. Объясните пожалуйста как тут можно использовать очереди для того чтобы обеспечить больший приоритет (в идеале гарантированную скорость) для пользователей со скоростью 1 мегабит?

Код: Выделить всё

###############  256Kbit/s ##############
${FwCMD} add pipe 1 ip from not ${NetIn} to table\(1\) out
${FwCMD} pipe 1 config bw 256000bit/s mask dst-ip 0xffffffff
${FwCMD} add pipe 2 ip from table\(1\) to not me in
${FwCMD} pipe 2 config bw 256000bit/s mask src-ip 0xffffffff
###############  512Kbit/s ##############
${FwCMD} add pipe 3 ip from not ${NetIn} to table\(2\) out
${FwCMD} pipe 3 config bw 512000bit/s mask dst-ip 0xffffffff
${FwCMD} add pipe 4 ip from table\(2\) to not me in
${FwCMD} pipe 4 config bw 512000bit/s mask src-ip 0xffffffff
################  1Mbit/s ###############
${FwCMD} add pipe 5 ip from not ${NetIn} to table\(3\) out
${FwCMD} pipe 5 config bw 1000000bit/s mask dst-ip 0xffffffff
${FwCMD} add pipe 6 ip from table\(3\)  to not me in
${FwCMD} pipe 6 config bw 1000000bit/s mask src-ip 0xffffffff

Код: Выделить всё

${FwCMD} pipe 1 config bw [bw your chanel]Mbit/s queue 20
${FwCMD} pipe 2 config bw [bw your chanel]Mbit/s queue 20

${FwCMD} queue 1 config pipe 1 weight 90 queue 20 mask dst-ip 0xffffffff
${FwCMD} queue 2 config pipe 2 weight 90 queue 20 mask src-ip 0xffffffff

${FwCMD} queue 3 config pipe 1 weight 5 queue 20 mask dst-ip 0xffffffff
${FwCMD} queue 4 config pipe 2 weight 5 queue 20 mask src-ip 0xffffffff

${FwCMD} add queue 1 ip from not ${NetIn} to table\(3\) out
${FwCMD} add queue 2 ip from table\(3\) to not ${IpIn} in

${FwCMD} add queue 1 ip from not ${NetIn} to not table\(3\) out
${FwCMD} add queue 2 ip from not table\(3\) to not ${IpIn} in

###############  256Kbit/s ##############
${FwCMD} add pipe 1 ip from not ${NetIn} to table\(1\) out
${FwCMD} pipe 1 config bw 256000bit/s mask dst-ip 0xffffffff
${FwCMD} add pipe 2 ip from table\(1\) to not me in
${FwCMD} pipe 2 config bw 256000bit/s mask src-ip 0xffffffff
###############  512Kbit/s ##############
${FwCMD} add pipe 3 ip from not ${NetIn} to table\(2\) out
${FwCMD} pipe 3 config bw 512000bit/s mask dst-ip 0xffffffff
${FwCMD} add pipe 4 ip from table\(2\) to not me in
${FwCMD} pipe 4 config bw 512000bit/s mask src-ip 0xffffffff
################  1Mbit/s ###############
${FwCMD} add pipe 5 ip from not ${NetIn} to table\(3\) out
${FwCMD} pipe 5 config bw 1000000bit/s mask dst-ip 0xffffffff
${FwCMD} add pipe 6 ip from table\(3\)  to not me in
${FwCMD} pipe 6 config bw 1000000bit/s mask src-ip 0xffffffff

${FwCMD} add allow ip from table\(3\) to not ${NetIn} in via ${LanIn} setup

${FwCMD} add allow ip from not table\(3\) to not ${NetIn} in via ${LanIn} setup

а также

Код: Выделить всё

sysctl net.inet.ip.fw.one_pass=0