Страница 1 из 1
ipfw
Добавлено: 2011-01-28 17:49:32
Spook1680
Доброго всем вечера/
Подскажите плиз/
Я правильно понимаю если эта опция установлена ( у меня там сейчас пусто)/
/etc/sysctl.conf
ТО каждый пакет, проходящий через фаерволл должен быть обработан правилом (запрещающим, либо разрешающим)
только один раз. Если пакет, проходя по правилам фаерволла, попал под разрешающее правило, он выходит из фаерволла и следует далее по сети. Если попал под запрещающее – он будет уничтожен системой и перестанет существовать.
Если это не прописано
То правила обрабатываются дважды?
Re: ipfw
Добавлено: 2011-01-28 18:14:13
terminus
эта установка по умолчанию в 1.
действует она для подсистем:
- dymmynet pipe/queue
- nat
- reass
- divert
- netgraph
- ngtee
И выражается это в том, что если one_pass=1 и трафик выходит из какой-нибудь из вышеуказаных подсистем после обработки там, то к нему автоматически применяется allow как если бы было специальное правидо allow all from any to any.
Если же one_pass=0 то трафик возврашается в фаервол и начинает проходить по всем оставшимся правилам до совпадения.
Re: ipfw
Добавлено: 2011-01-29 20:41:24
Spook1680
terminus писал(а):эта установка по умолчанию в 1.
действует она для подсистем:
- dymmynet pipe/queue
- nat
- reass
- divert
- netgraph
- ngtee
И выражается это в том, что если one_pass=1 и трафик выходит из какой-нибудь из вышеуказаных подсистем после обработки там, то к нему автоматически применяется allow как если бы было специальное правидо allow all from any to any.
Если же one_pass=0 то трафик возврашается в фаервол и начинает проходить по всем оставшимся правилам до совпадения.
Понятно тогда вопрос немного отходящий от этой темы.
Вот кусок правил который хочу в фаэрво запихнуть.
Насколько я понимаю ограничение скорости у меня будет от сервера к пользователю.
Правило №49 позволит распределить pipe 27 на хостах с 64 по 127!? - этого мы добиваеся благодоря
( 192.168.0.0/26 ) маска в таком варианте будет 255.255.255.192
Или я заблуждаюсь
Код: Выделить всё
${fwcmd} pipe 27 config bw 900Kbit/s
${fwcmd} queue 27 config pipe 27 weight 50 mask dst-ip 0x00000000
${fwcmd} add 40 skipto 50 ip from any to 192.168.0.2
${fwcmd} add 41 skipto 50 ip from any to 192.168.0.60
${fwcmd} add 49 queue 27 ip from any to 192.168.0.0/26
Re: ipfw
Добавлено: 2011-01-30 0:01:39
terminus
Правило №49 позволит распределить pipe 27 на хостах с 64 по 127!?
Это 192.168.0.0/26 значит диапазон:
Код: Выделить всё
192.168.0.0/26
Broadcast: 192.168.0.63
HostMin: 192.168.0.1
HostMax: 192.168.0.62
чтобы разпределять между ~ 64-127 надо 192.168.0.64/26
Код: Выделить всё
192.168.0.64/26
Broadcast: 192.168.0.127
HostMin: 192.168.0.65
HostMax: 192.168.0.126
кроме того маска для динамических очередей должна быть
Код: Выделить всё
queue 27 config pipe 27 weight 50 mask dst-ip 0x000000ff