Странности с dummynet при обработке UDP

[Vadeg]

Добрый день.
Столкнулся с тем, что UDP трафф не шейпится.
Если меняю правило 1200 на 2 правила таких :

Код: Выделить всё

${fwcmd} add 1200 pipe 2 tcp from any to table\(2\) via em1 out
${fwcmd} add 1201 pipe 2 udp from any to table\(2\) via em1 out

То UDP начинает шейпится, но както не правильно. Не на полную скорость трубы.
Почему в трубу не попадает траффик, когда в правиле 1200 протокол "IP" ?

Полный конфиг фаера:

Код: Выделить всё

fwcmd="/sbin/ipfw -q"
lan="192.168.0.0/16"
${fwcmd} flush
${fwcmd} pipe flush
${fwcmd} zero

${fwcmd} add 1 pass ip from any to any via lo0
###
#
#

${fwcmd} add 300 divert natd ip from any to any via em0
#

###############
${fwcmd} add 1000 pass ip from me to any via fxp0 keep-state

############### PIPES CONFIGz
${fwcmd} pipe 2 config bw 256kbit/s mask dst-ip 0xffffffff
#####TABLEZ
${fwcmd} add 1200 pipe 2 ip from any to table\(2\) via em1 out

${fwcmd} add 1215 pass ip from table\(2\) to any
${fwcmd} add 1216 pass ip from any to table\(2\)
#####

${fwcmd} add 6500 deny ip from any to any

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[terminus]

Код: Выделить всё

sysctl -a | grep one_pass

[Vadeg]

Сорри, забыл про sysctl переменные... Да, уанепасс конечно же поставил

Код: Выделить всё

net.inet.ip.fw.one_pass=0
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
net.inet.ip.dummynet.io_fast=1

Ipfw - в ядре, также в ядре NAT, 8 таблиц маршрутов, используются только 0-я и 1-я.
Шейпиный траф летит в дефолтно таблице.

[hranitel_y2k]

Добрый день.
Столкнулся с тем, что UDP трафф не шейпится.
Если меняю правило 1200 на 2 правила таких :

Код: Выделить всё

${fwcmd} add 1200 pipe 2 tcp from any to table\(2\) via em1 out
${fwcmd} add 1201 pipe 2 udp from any to table\(2\) via em1 out

То UDP начинает шейпится, но както не правильно. Не на полную скорость трубы.
Почему в трубу не попадает траффик, когда в правиле 1200 протокол "IP" ?

[/code]

1)У вас одна труба на tcp и udp. Может в этом причина?
2)Правила у Вас немного странные. Смущает вот это "from any to table\(2\) via em1 out". Но это зависит от ваших нужд.

[Vadeg]

1)У вас одна труба на tcp и udp. Может в этом причина?
2)Правила у Вас немного странные. Смущает вот это "from any to table\(2\) via em1 out". Но это зависит от ваших нужд.

1.Трубы динамические, каждому клиенту по 256кбит.
Если я пущу в разные трубы ТЦП и ЮДП, это в сумме будет 512, что етсь неправильно.
2. В таблицах фаера ИПшнеги клиентов, клиенты подключены к em1 - это внутр. ифейс, что может тут быть странного ?

Меня больше удивляет, почему если в правиле add 1200 pipe 2 ip from any to table\(2\) out via <внутр. интерфейс> стоит IP, то UDP протокол не шейпится.
Фряха чтоли его за IP протокол не считает ?

[hizel]

с чего вы взяли, что не шейпится? где ipfw pipe show наконец?

[Vadeg]

с чего вы взяли, что не шейпится? где ipfw pipe show наконец?

Потому при тестовых проверках клиентские машины начинали лить торренты со скоростью под 3-5 Мбит сек - это со слов админов, которым я настраивал этот шлюз.
Проверка trafshow dst <IP-клиента> поддтвердила, льется с такой большой скоростью только UDP траффик.
Сейчас ipfw pipe show сделать не могу - сейчас все работает как надо, менять нельзя назад на одно правило, сейчас работает в два правила: одно правило "add pipe" для TCP, одно для UDP.

[hizel]

смотрели trafshow-ом в обе стороны?
ибо udp может лится с какой угодно скоростью, там нет tcp механизмов ужатия потока

[Vadeg]

смотрели trafshow-ом в обе стороны?
ибо udp может лится с какой угодно скоростью, там нет tcp механизмов ужатия потока

1. Боюсь вас понять неправильно, что значит "в обе стороны ?" Я же уже писал, что смотрел на ифейсе клиентской подсети, с указанием направаления.
2. Про механизмы TCP и UDP большей частью вкурсе, я не очень представляю механизм шейпа UDP.

[hranitel_y2k]

1.Трубы динамические, каждому клиенту по 256кбит.
Если я пущу в разные трубы ТЦП и ЮДП, это в сумме будет 512, что етсь неправильно.
2. В таблицах фаера ИПшнеги клиентов, клиенты подключены к em1 - это внутр. ифейс, что может тут быть странного ?

Было немного непонятно направление шейпирования. Теперь ясно что к чему.

[hizel]

а механизма как бэ и нет, тупо отбрасываются пакеты и если tcp учитывает такую петрушку, то udp по барабану

[Vadeg]

а механизма как бэ и нет, тупо отбрасываются пакеты и если tcp учитывает такую петрушку, то udp по барабану

Я тоже так подумал.
Сейчас смотрю - наврное клиенты торрентов сами перешли на TCP, UDP траффика нет.

[hizel]

почитайте на udp протокол в новых версиях mTorrent, админы уже наложили кирпичей на эту придумку

я намекал на то что смотерть на трафик до шейпинга в случае udp бессмысленно, надо смотреть после шейпинга

[Vadeg]

почитайте на udp протокол в новых версиях mTorrent, админы уже наложили кирпичей на эту придумку

Да, чтото слышал, накосячили в нем.

я намекал на то что смотерть на трафик до шейпинга в случае udp бессмысленно, надо смотреть после шейпинга

Я же писал 2-3 постами выше, что я проверял trafshow dst <IPклиента> на ифейсе смотрящим в клиентскую локалку.