Страница 1 из 2
Вопрос про DUMMYNET
Добавлено: 2010-09-16 16:53:09
ajak
Прочел соотв. статью решил попробовать. В общем в лок сети есть ой полигон -freebsd, где я и эксперементирую. Ip 192.168.0.210. Поставил задачу - ограничить полосу пропускания - 1кбит, ради интереса. Провел настройки - wget как качал так и качает со скоростью в 500 кило. Я где то ошибся? Или это связано с тем что дельше на шлзе канал на всю открыт?
Вот что я прописал.
Код: Выделить всё
root@yakushev:: /usr/ports/sysutils/screen>#ipfw pipe show
00001: 1.000 Kbit/s 0 ms 50 sl. 0 queues (1 buckets) droptail
burst: 0 Byte
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-16 16:54:02
ajak
Код: Выделить всё
root@yakushev:: /usr/ports/sysutils/screen>#ipfw show
00100 42016 4991538 allow ip from any to any
00200 0 0 pipe 1 ip from 192.168.0.210 to any
65535 1 41 deny ip from any to any
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-16 17:41:54
rmn
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-16 19:26:57
risk94
Код: Выделить всё
${fwcmd} add pipe 3100 all from not 192.168.17.0/24 to 192.168.17.8 #limit src-addr 260
${fwcmd} add pipe 3101 all from 192.168.17.8 to not 192.168.17.0/24
${fwcmd} pipe 3100 config bw 1MBit/s
${fwcmd} pipe 3101 config bw 256KBit/s
вот пайп реализующий ассиметрию - к клиенту 1 мегабит, от клиента 256 килобит
+ посмотрите правило номер 100 - оно пускает ip-траф куда угодно раньше вашего пайпа.
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-17 8:03:29
ajak
НЕ получается, может мне надо писать чсерез какой интерфейс, и что знапчит not - это отрицание, ника понять не могу
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-17 9:30:32
skeletor
1) У тебя пакеты до шейпера не доходят, так как применяется правило с номером 100.
2) Что бы пакеты после шейпера шли дальше по правилам нужно установить значение переменной net.inet.ip.fw.one_pass=0
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-17 9:53:15
ajak
skeletor писал(а):1) У тебя пакеты до шейпера не доходят, так как применяется правило с номером 100.
2) Что бы пакеты после шейпера шли дальше по правилам нужно установить значение переменной net.inet.ip.fw.one_pass=0
ЭЭЭЭЭЭЭ........... прости. ТАк моё же правило номер 200 оно же выше по приоритету, 100 это -фаер, 200 шейпер
.Сейчас попробую то что ты написал
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-17 10:05:49
risk94
ajak писал(а):skeletor писал(а):1) У тебя пакеты до шейпера не доходят, так как применяется правило с номером 100.
2) Что бы пакеты после шейпера шли дальше по правилам нужно установить значение переменной net.inet.ip.fw.one_pass=0
ЭЭЭЭЭЭЭ........... прости. ТАк моё же правило номер 200 оно же выше по приоритету, 100 это -фаер, 200 шейпер
.Сейчас попробую то что ты написал
вопщем вам сюда:
http://www.lissyara.su/?domains=www.lis ... 3A11&hl=ru
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-17 10:07:49
risk94
ajak писал(а):НЕ получается, может мне надо писать чсерез какой интерфейс, и что знапчит not - это отрицание, ника понять не могу
not - это действительно отрицание.
в контексте выше читается так:
не из сети 192.168.17.0/24
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-17 10:13:43
ajak
Не, не помогло, установил через sysctl в 0 не получилось
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-17 10:26:59
risk94
man ipfw
вы даже невнимательно читаете, или не принимаете к свединию свой тред. Вам написали 2 раза - у вас не правильно построена логика правил фаервола. Пакеты НЕ ДОХОДЯТ до ВАШЕГО ПАЙПА!!! Андестенд?
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-17 10:45:54
ajak
understood,
я просто думаю что номер правила это типа как приоритет.
Я делаю по статье - не получается
А почему это они не доходят,я в этом деле новичёк
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-17 11:12:43
Mox
ajak писал(а):understood,
я просто думаю что номер правила это типа как приоритет.
Я делаю по статье - не получается
А почему это они не доходят,я в этом деле новичёк
номер правила - да, приоритет. И еще раз внимательно посмотрите на ваши строчки
Код: Выделить всё
00100 42016 4991538 allow ip from any to any
00200 0 0 pipe 1 ip from 192.168.0.210 to any
65535 1 41 deny ip from any to any
а теперь ответьте: у какого правила будет наивысший приоритет, что первым делом будет сделано?
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-17 11:16:01
ajak
Код: Выделить всё
00100 42016 4991538 allow ip from any to any
00200 0 0 pipe 1 ip from 192.168.0.210 to any
65535 1 41 deny ip from any to any
ну получается самый приоритетынй 65535 запретить всё, потом идёт 200 это уже шейпер, потом ,100 -разрешить всё. Мне что нужно создать правило с номером 50 ? Или не так?
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-17 12:12:12
rmn
правила проверяются по порядку - от меньшего номера к большему.
Т.е. по такой логике:
ajak писал(а):ну получается самый приоритетынй 65535 запретить всё, потом идёт 200 это уже шейпер, потом ,100 -разрешить всё
наоборот: самое приоритетное - правило 1, самое низкоприоритетное - правило 65535
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-17 15:49:32
risk94
курить ман однозначно, много раз! Без мануала будете думать так очень долго. Зачем гадать как правильно и тратитьнедели на метод тыка, если можно прочитать и осознать за пару-тройку часов?
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-17 16:57:58
ajak
Трудность в английском, и ман большой очень, кто поможет тому пиво ставлю - особенно тому кто с ростова
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-17 18:32:11
risk94
ajak писал(а):Трудность в английском, и ман большой очень, кто поможет тому пиво ставлю - особенно тому кто с ростова
учите английский однозначно, это раз.
Постами выше я дал вам кучу ссылок на русскоязычные маны по фаерволу, это двас
За вас делать никто не будет, это трис.
Читайте, делайте, пробуйте - и за помощью сюда, на форум, не забывая отписывать все что делали и что не получалось
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-26 9:40:51
ajak
Мучался неделю - отпечатал ман так и не получилось ничего. Честно его читал и пробовал, иожет это потому что моя мащшина не последняя и дальше идёт полный канал, без ограничений
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-26 10:36:22
rmn
ajak писал(а):Мучался неделю - отпечатал ман так и не получилось ничего. Честно его читал и пробовал, иожет это потому что моя мащшина не последняя и дальше идёт полный канал, без ограничений
Код: Выделить всё
ipfw -q -f flush
ipfw -q -f pipe flush
ipfw -q -f add 1 pipe 1 ip from any to 192.168.0.210
ipfw -q -f pipe 1 config bw 1Kbit/s
ipfw -q -f add 2 allow ip from any to any
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-27 10:36:43
ajak
Вот фак. Зделал удалённо -теперь не могу дступ получить, к серваку, отключился, не могу по путти соединится, хотя написал вот так только
ipfw add 1 pipe 1 ip from any to 192.168.0.210
не понятно почему меня выкинудло ведь я добавлял пайп, теперь нужно идти до клавиатуры
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-27 11:36:30
rmn
скриптом нужно правила менять, если по удаленке сидишь. И nohup юзать.
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-29 10:27:50
vadim64
топикстартера не андрей зовут?
P.S.: вопрос снят
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-29 11:51:12
FreeBSP
номер правила - это не приоритет, а порядок в котором пакет проходит правила. на первом совпавшем правиле пакет вылетает из файера.
тоесть в твоем случае пакет приходит в файер, попадает под описание "ip from any to any", получает статус allow и вылетает из файера.
ajak писал(а):я просто думаю что номер правила это типа как приоритет.
не надо думать! пока не надо думать. пока надо читать литературу и применять рабочие решения. и от них постепенно плясать. потом потихоньку пытаться делать чтото свое.
ты же сразу что то сделал, причем это что то не работает, а ты упорствуешь что это правильно, но почему то не работает.
посмотри вторую и третью колонки. - там количество попавших под правило байтов и пакетов. видно, что все вылетает на первом правиле, ну и на последнем парочка ухнула, пока ты первые набивал.
файер надо учить (цэ)
Re: Вопрос про DUMMYNET
Добавлено: 2010-09-29 11:58:56
gonzo111
я бы посмотрел какими слезами он бы ревел тут если бы осиливал iptables
там все намного геморойнее
)