Готовится статья "PF : Конфиг для офисов"

[rnd]

а что за софтина графики такие рисует? если не секрет конечно

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Grishun_U_S]

Ага! Тоже нравится??!
http://www.benzedrine.cx/pfstat.html

[rnd]

ну впринципе ниче так, pfstat стоит, только без графиков, это как-то отдельно прикручивается?
если есть линк на хороший howto, буду очень рад )

[Grishun_U_S]

ну впринципе ниче так, pfstat стоит, только без графиков, это как-то отдельно прикручивается?
если есть линк на хороший howto, буду очень рад )

Вот пример конфига http://www.benzedrine.cx/pfstat.conf, там все элементарно. Мой конфиг, по которому строится график за 24 часа :

Код: Выделить всё

collect 1 = interface "re0" pass bytes in ipv4 diff
collect 2 = interface "re0" pass bytes out ipv4 diff
image "/usr/local/www/apache22/data/bandwidth.jpg" 
{
    from 24 hours to now
    width 980 height 500
    left
    graph 1 bps "in" "bits/s" color 0 192 0 filled
    right
    graph 2 bps "out" "bits/s" color 0 0 255
} 

указываешь интерфейс, куда картинка будет складываться, цвет, заштриховывать или нет ну и все.
А ну и в crontabe что-то наподобие :

Код: Выделить всё

#%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% pfstat %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
*/2	*	*	*	*	root	/usr/local/bin/pfstat -q ## "снимать" данные
*/10	*	*	*	*	root	/usr/local/bin/pfstat -p ## рисовать новую картинку

[rnd]

Спасибо.
но при запуске

Код: Выделить всё

/usr/local/bin/pfstat  -q 

и

Код: Выделить всё

 /usr/local/bin/pfstat -p 

выдает "fopen() failed: No such file or directory"
что-то не хватает ему?

[Grishun_U_S]

Спасибо.
но при запуске

Код: Выделить всё

/usr/local/bin/pfstat  -q 

и

Код: Выделить всё

 /usr/local/bin/pfstat -p 

выдает "fopen() failed: No such file or directory"
что-то не хватает ему?

конфига?

[rnd]

конфиг написал, он же жолжен лежать в /etc/pfstat.conf ?

Код: Выделить всё

collect 1 = interface "vr0" pass bytes in ipv4 diff
collect 2 = interface "vr0" pass bytes out ipv4 diff
image "/usr/local/apache/htdocs/pfstat/stat.jpg" 
{
	from 24 hours to now
	width 980 height 500
	left
	graph 1 bps "in" "bits/s" color 0 192 0 filled
	right
	graph 2 bps "out" "bits/s" color 0 0 255
}

cron вроде выполняет команды и в логах появляются какие-то цифры после исполнения команд, это нормально?
но папка где должен лежать рисунок пуста : (

[Grishun_U_S]

конфиг написал, он же жолжен лежать в /etc/pfstat.conf ?

Код: Выделить всё

collect 1 = interface "vr0" pass bytes in ipv4 diff
collect 2 = interface "vr0" pass bytes out ipv4 diff
image "/usr/local/apache/htdocs/pfstat/stat.jpg" 
{
	from 24 hours to now
	width 980 height 500
	left
	graph 1 bps "in" "bits/s" color 0 192 0 filled
	right
	graph 2 bps "out" "bits/s" color 0 0 255
}

cron вроде выполняет команды и в логах появляются какие-то цифры после исполнения команд, это нормально?
но папка где должен лежать рисунок пуста : (

/usr/local/etc

[rnd]

Cпасибо. Все получилось.

[Fioktist]

прочитал статью http://www.lissyara.su/?id=1833
Хотелось-бы получить от Вас разъяснения по следующему правилу которое Вы приводили
в своем примере где со стороны интернет, брандмауэр пропускал трафик (rdp)...

Код: Выделить всё

# входящие соединения с компом WinPeak по порту rdp защищаем с помощью synproxy
#pass in on $ext1_if proto tcp from any to $WinPeak port rdp queue ( qWinPeak,  qack ) synproxy state
# теоретически здесь synproxy уже не нужен
#pass out on $int_if proto tcp from any to $WinPeak port rdp queue ( qWinPeak,  qack ) modulate state

на http://house.hcn-strela.ru/BSDCert/BSDA ... te-ruleset
нашел следующее решение для публикации веб сервера в интернет...

Код: Выделить всё

# WWW Пропустить трафик идущий на машину web_comp, который прошёл трансляцию rdr
pass in on $ext1_if inet proto tcp from any to $web_comp port 80 flags S/SA synproxy state

но у Вас нет в правилах

Код: Выделить всё

pass out keep state

можно-ли опубликовать веб сервер нижеприведенными правилами?

Код: Выделить всё

web_comp="192.168.0.60"
# правило перенаправить все входящие соединения из интернет на 80-й порт на машину $web_comp 
#(а где закрепить и 80 порт на $web_comp незнаю )
# $ext1_if port 80 -> $web_comp port 80 ???? так ????
rdr on $ext1_if proto tcp from any to any port 80 -> $web_comp

# WWW Пропустить трафик идущий на машину web_comp, который прошёл трансляцию rdr
pass in on $ext1_if proto tcp from any to $web_comp port rdp queue ( qweb_comp,  qack ) synproxy state
pass out on $int_if proto tcp from any to $web_comp port rdp queue ( qweb_comp,  qack ) modulate state

а также вопрос по поводу записей в скобках
откуда нарисовались переменные типа { qboss, qbuh, qadmin, qWinPeak, qssh, qdns, qntp, qack }
смущает буква "q"

[Grishun_U_S]

но у Вас нет в правилах

да, потому что договаривались что статья будет не для правил "можно от меня ко всем", а "со строгим ограничением по портам". Хотя на практике почти всегда подходит первый вариант.

Код: Выделить всё

pass out keep state

можно-ли опубликовать веб сервер нижеприведенными правилами?

Код: Выделить всё

web_comp="192.168.0.60"
# правило перенаправить все входящие соединения из интернет на 80-й порт на машину $web_comp 
#(а где закрепить и 80 порт на $web_comp незнаю )
# $ext1_if port 80 -> $web_comp port 80 ???? так ????
rdr on $ext1_if proto tcp from any to any port 80 -> $web_comp

# WWW Пропустить трафик идущий на машину web_comp, который прошёл трансляцию rdr
pass in on $ext1_if proto tcp from any to $web_comp port rdp queue ( qweb_comp,  qack ) synproxy state
pass out on $int_if proto tcp from any to $web_comp port rdp queue ( qweb_comp,  qack ) modulate state

Да, если сервер находится в пределах той же сети, в которой находится $int_if
пара замечаний :
1) с таким rdr не видать вашим пользователям интернета, д.б. что-то вроде :
2) ну и порт не забываем

Код: Выделить всё

(нат есть или нет, я не понял)
без ната :
rdr on $ext1_if proto tcp from !$lan to any port 80 -> $web_comp port 80
с натом :
rdr on $ext1_if proto tcp from any to $ext1_if port 80 -> $web_comp port 80

а также вопрос по поводу записей в скобках
откуда нарисовались переменные типа { qboss, qbuh, qadmin, qWinPeak, qssh, qdns, qntp, qack }

Это не переменные, очереди (queues). Сначала добейтесь чтобы редирект работал без них, так проще разобраться. Потом, если нужно будет, за очереди возьметесь.

[itux]

Нужна помощь!
Ситуация: есть роутер на OBSD4.4, pf настроенный, но по всей видимости криво (мною), конфиг взять пока не могу с него.
1) Конфигурация, для раздачи канала по 128 кбит/с работает.
2) Конфигурация, для раздачи канала поровну не работает

Код: Выделить всё

int_if="rl0" // Local net
ext_if="rl1" // Internet

table <lan> persist file "/etc/internet/lan.table"

set optimization aggressive
set state-policy if-bound
scrub in all

# lan <-> inet queue
altq on $ext_if cbq bandwidth 1Mb queue {lan_out}
queue lan_out bandwidth 50% {user_out}
queue user_out cbq(default, borrow)
altq on $int_if cbq bandwidth 1Mb queue {lan_in}
queue lan_in bandwidth 50% {user_in}
queue user_in cbq(default,borrow)

# Politics
pass out quick on $int_if proto tcp from any to <lan> flags S/SA keep state queue (user_in)
pass out quick on $int_if proto udp from any to <lan> keep state queue (user_in)
pass out quick on $ext_if proto tcp from <lan> to any flags S/SA keep state queue (user_out)
pass out quick on $ext_if proto udp from <lan> to any keep state queue (user_out)

Конфиг вроде такой.....
Симптомы: Человек, лезет на mail.ru: качает там фотки, потом инет дружно падает у всех, после перезагрузки роутера инет снова работает

[Grishun_U_S]

какова реальная полоса канала?

[itux]

Реальная 10 мбит...

[Grishun_U_S]

тогда пробуй :
1) выделить ack в отдельную очередь
2) Назначить ей более выскокий приоритет с помощью priority

[itux]

было бы хорошо посмотреть пример

[Grishun_U_S]

не понял. Ты статью читал?

[itux]

Какую из ?

[Grishun_U_S]

вот эту http://www.lissyara.su/?id=1833

[itux]

Начал делать по ней... только придется много что изменить...

[Grishun_U_S]

так пример оттуда возьми, не надо подгонять конфиг из статьи под свою ситауцию.

[itux]

Задача вроде как упростилась... Нужно сбалансировать канал, пропускать трафик через нат и заварачивать его на прокси, потому что Locker считывает только с прокси...
Помогите пожалуйста, нужно срочное решение...

[Grishun_U_S]

уже помог!
Все это разбиралось в статье.

[itux]

Не помог, есть такое ПИПИПИ приложение как GGC или "Гарена", которая только через шлюз идет, а прокси посылает лесом, и потому трафик на локере не учитывается
Мож кто сталкивался... и знает тех кто сталкивался с такой проблемой ?

[Grishun_U_S]

ну извиняй....
Вместо тебя я конфиг для твоей ситуации написать не могу, потому что во-первых удаленно это сделать крайне сложно, достаточно упустить какую-нибудь мелкую деталь и "передавайте привет родителям". Не пишутся такие конфиги "с кондачка".
А во-вторых, представь что будет если все будут писать сюда "помогите мне по-быстрому нужен конфиг чтобы натил там, канал делил, то се...". Ребята, это ваша работа!
Постановка задачи никакая, опять же.
Что из статьи непонятно как натить? Или непонятно как заворачивать трафик? Примеры есть, все разжевано донельзя.
Будут конкретные вопросы, спрашивай. С радостью отвечу.