https://www.opennet.me/openforum/vsluhforumID1/87454.html Привет всем. Решил перейти с ipfw на pf(packet filter). Вот немогу никак разобраться с скоростью <br><br>Вот схема сети<br><br>(inet)---(freebsd 192.168.100.1)---(linux 192.168.100.2, 192.168.0.1)---(users 192.168.0.0)<br><br>в линухе все прозрачно в фаерволе все разрешено<br><br>Версия FreeBSD 7.1-Release<br><br>Проблема заключается в том что исходящий трафик нормально в очередь становится и забивается под пропускную способность, которую я указал, но вот вхоящий вообще мимо очереди проходит.<br><br>Вот мой конфиг pf<br><br>#-------------------------<br># Variables and Macros<br>#-------------------------<br><br># interfaces<br>inet_if = "tun0"<br>ext_if = "em0"<br>int_if = "xl0"<br><br>#-------------------------<br># ip addresses<br>#-------------------------<br><br>extnet = "{ 10.0.0.0/8, 192.168.252.0/24 }"<br>lannet = "{ 192.168.0.0/24, 192.168.2.0/24, 192.168.100.0/24 }"<br>ext_ip = "xxx"<br>lhc = "192.168.100.1"<br>server = "192.168.0.1"<br>igmp_net = "224.0.0.0/4"<br>private_nets = "{ 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 }"<br>table &lt;uaix&gt; persist file "/etc/pf/pr https://www.opennet.me/openforum/vsluhforumID1/87454.html#5 Tue, 08 Dec 2009 20:55:01 GMT &gt;[оверквотинг удален]<br>&gt;pass out on $inet_if from 192.168.0.10 to any queue 192.168.0.10_io no state <br>&gt;<br>&gt;<br>&gt;А начиная с 7 бсды keep state - это правило,применяемое к пакетам <br>&gt;по-умолчанию, если даже оно явно не указано. <br>&gt;Вот и получается, что одно правило заменяет два. <br>&gt;<br>&gt;Почему я именно взял эти две очереди? Потому, что я расшифровал uo <br>&gt;- user out, ui - user in:))) так что можно назвать <br>&gt;это ошибкой телепата-неудачника:)))) <br><br>Извиняюсь за долгий ответ, отдыхал просто:) Возвращаемся к нашим баранам<br><br>pass out on $inet_if from 192.168.0.10 to any queue 192.168.0.10_io <br>pass out on $int_if from any to 192.168.0.10 queue 192.168.0.10_ii <br><br>поставил как вы и сказали, пробовал - но нефига:( даже пробовал с no state параметром.<br>Более прикольно то - что в этом случае вообще никакое ограничение не действует, даже на исходящий трафик:(<br><br>Куда еще можно порыть?<br><br>Может ли ктото скинуть работающий конфиг с ограничением скорости пожалуйста<br><br> https://www.opennet.me/openforum/vsluhforumID1/87454.html#4 Thu, 03 Dec 2009 10:42:11 GMT &gt;Вторым моментом является то, что если внимательно почитать библии и маны про <br>&gt;шейпинг, то будет ясно, что шейпить есть смысл только исходящий <br>&gt;трафик.<br><br>зачем злой провайдер вопреки всем библиям и прочим манам шейпит мой upload? ведь для него это download!<br> https://www.opennet.me/openforum/vsluhforumID1/87454.html#3 Sun, 29 Nov 2009 04:24:19 GMT Еслиб Вы начали пользоваться pf с более ранних версий бсды, то наверняка встретились бы с ситуацией, что нужно прописывать правила вот так:<br><br>pass out on $inet_if from 192.168.0.10 to any queue 192.168.0.10_io keep state<br><br>keep state в данном случае означает то, что фаерволл автоматом пропустит "обратные" пакеты. Если Вам надо пропустить только пакеты наружу, то<br><br>pass out on $inet_if from 192.168.0.10 to any queue 192.168.0.10_io no state<br><br>А начиная с 7 бсды keep state - это правило,применяемое к пакетам по-умолчанию, если даже оно явно не указано.<br>Вот и получается, что одно правило заменяет два.<br><br>Почему я именно взял эти две очереди? Потому, что я расшифровал uo - user out, ui - user in:))) так что можно назвать это ошибкой телепата-неудачника:))))<br> https://www.opennet.me/openforum/vsluhforumID1/87454.html#2 Sat, 28 Nov 2009 19:15:58 GMT &gt;[оверквотинг удален]<br>&gt;трафик. Или я неправльно догадался о том, какой интерфейс у Вас <br>&gt;за что отвечает(на схеме не указали), либо Вы пытаетесь шейпить входящий <br>&gt;трафик.... <br>&gt;Что нибудь типа вот такого попробуйте <br>&gt;pass out on $inet_if from 192.168.0.10 to any queue 192.168.0.10_uo <br>&gt;pass out on $int_if from any to 192.168.0.10 queue 192.168.0.10_ui <br>&gt;Первое правило загоняет в очередь 512К исходящие пакеты на инетовском интерфейсе(исходящий трафик <br>&gt;юзера), второе исходящие пакеты на локальную сеть(входящий трафик для юзера). Хотя <br>&gt;и без второго правила все будет шейпится...Не поможет - пишите будеи <br>&gt;разбираться дальше. <br><br>Спасибо за ответ. Про то что шейпить имеет смысл только исходящий трафик я в курсе давно, только немного непонимаю как точно делать это в PF. по поводу какой интерфей за что отвечает вот:<br>ifconfig -a<br>em0: flags=8a43&lt;UP,BROADCAST,RUNNING,ALLMULTI,SIMPLEX,MULTICAST&gt; metric 0 mtu 1500<br> options=9b&lt;RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM&gt;<br> ether 00:0c: https://www.opennet.me/openforum/vsluhforumID1/87454.html#1 Sat, 28 Nov 2009 18:15:00 GMT У вас на инетовский интерфейс(на котором все натится) весь трафик приходит для адреса 192.168.100.1 и уходит с него же. Стоит это учитывать. Это ответ на Ваш вопрос про то как влияет правило pass out from (self) to any:)<br>Вторым моментом является то, что если внимательно почитать библии и маны про шейпинг, то будет ясно, что шейпить есть смысл только исходящий трафик. Или я неправльно догадался о том, какой интерфейс у Вас за что отвечает(на схеме не указали), либо Вы пытаетесь шейпить входящий трафик....<br>Что нибудь типа вот такого попробуйте<br>pass out on $inet_if from 192.168.0.10 to any queue 192.168.0.10_uo<br>pass out on $int_if from any to 192.168.0.10 queue 192.168.0.10_ui<br>Первое правило загоняет в очередь 512К исходящие пакеты на инетовском интерфейсе(исходящий трафик юзера), второе исходящие пакеты на локальную сеть(входящий трафик для юзера). Хотя и без второго правила все будет шейпится...Не поможет - пишите будеи разбираться дальше.<br>