https://slinkov.ru/openforum/vsluhforumID1/87981.html Помогите пожалуйста с фаерволом. Сервер - шлюз в интернет для сети, к нему сделаны тунели с помощью vtun (ещё пара офисов обьединены с главным в одну сеть). Как сделать так, что б половина канала (канал 4 мбита) отдавалась на растерзание пользователями интернета, а вторая половина использовалась только тунелями (т.е. что б между сетями всегда было свободно 2 мбита)? в инет смотрит vr0 во внутреннюю сеть vr1, тунели - tun4, tun5. Фаервол - ipfw. Заранее спасибо.<br> https://slinkov.ru/openforum/vsluhforumID1/87981.html#15 Mon, 01 Feb 2010 19:38:14 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;pipe 1 config bw 2048Kbit/s <br>&gt;&gt;pipe 2 config bw 1024Kbit/s <br>&gt;&gt;<br>&gt;&gt;Смысл в следующем - режем скорость для всей сети до мегабита, для <br>&gt;&gt;1го хоста делаем исключение в 2 мбита и для ещё одного <br>&gt;&gt;- вообще снимаем все ограничения. <br>&gt;<br>&gt;прочитай уже нормально ман и да придек к тебе откровение ... <br>&gt;skip ... <br><br>Ман не добрался почитать, но как всегда методом проб и ошибок, научного тыка и банальной эрудиции сделал все что хотел, все красиво и стройно. Главное - работает :) Всем мерси за переписку.<br> https://slinkov.ru/openforum/vsluhforumID1/87981.html#14 Mon, 01 Feb 2010 13:57:59 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;add 2 pipe 2 all from any to not 192.168.1.100 out via <br>&gt;vr1 <br>&gt;<br>&gt;pipe 1 config bw 2048Kbit/s <br>&gt;pipe 2 config bw 1024Kbit/s <br>&gt;<br>&gt;Смысл в следующем - режем скорость для всей сети до мегабита, для <br>&gt;1го хоста делаем исключение в 2 мбита и для ещё одного <br>&gt;- вообще снимаем все ограничения. <br><br>прочитай уже нормально ман и да придек к тебе откровение ...<br>skip ...<br><br> https://slinkov.ru/openforum/vsluhforumID1/87981.html#13 Mon, 01 Feb 2010 13:49:03 GMT Сделал малость по другому, но возник ещё один вопрос. Выставляя параметр one_pass в 0 мы заставляем тафик продолжать движение по цепочке правил, так вот собственно вопрос: если дальше по цепочке идет загоняние :) трафика в другую трубку, и пакет во второй раз удовлетворяет условиям - он пойдет во 2ую трубку или нет? Если да, то как тогда сделать разграничения в таком стиле:<br>add 1 pipe 1 all from any to 192.168.1.10 out via vr1<br>add 2 pipe 2 all from any to not 192.168.1.100 out via vr1<br><br>pipe 1 config bw 2048Kbit/s<br>pipe 2 config bw 1024Kbit/s<br><br>Смысл в следующем - режем скорость для всей сети до мегабита, для 1го хоста делаем исключение в 2 мбита и для ещё одного - вообще снимаем все ограничения.<br> https://slinkov.ru/openforum/vsluhforumID1/87981.html#12 Fri, 29 Jan 2010 18:37:42 GMT &gt;схему нарисуй ! <br><br>Для тебя или для себя? Если для тебя, то я несилён в псевдографике :) А если для себя - то я вобщемто ясно представляю что куда ходит, но затруднение вызывает синтаксис IPFW. На выходных постараюсь разобраться.<br> https://slinkov.ru/openforum/vsluhforumID1/87981.html#11 Fri, 29 Jan 2010 14:44:35 GMT схему нарисуй !<br> https://slinkov.ru/openforum/vsluhforumID1/87981.html#10 Fri, 29 Jan 2010 13:20:15 GMT &gt;думаю тута требуется схема, на крайняк поллитра ... а то так и <br>&gt;не понятно кто куда ходит <br><br>В первом посте вобщемто описана организация: внешний интерфейс, внутренний смотрящий в сеть1, и парочка тунельных интерфейсов, вторые концы которых смотрят в удаленные сети. 1 офису нужно урезать скорость выхода в инет, чтоб всегда был наполовину свободный канал для обмена данными между подсетями. Как ещё ассказать незнаю, это вполне полное описание того как все построено.<br> https://slinkov.ru/openforum/vsluhforumID1/87981.html#9 Fri, 29 Jan 2010 11:11:54 GMT думаю тута требуется схема, на крайняк поллитра ... а то так и не понятно кто куда ходит<br> https://slinkov.ru/openforum/vsluhforumID1/87981.html#8 Fri, 29 Jan 2010 08:33:46 GMT &gt;ЗЫ например зачем у тебя режется один и тотже трафик дважды, причем <br>&gt;первый раз оставляется канал заведомо шире чем второй ... непоняяяяятно .. <br>&gt;<br><br>ну какбы я рассчитывал что первая трубка при хождении пакетов с моей сети через тунель (толбишь в другую сеть), вторая - хождение внутренней сети в интернет.<br>Интернет раздается через сквид (прозрачно, fwd с 80 порта сервера на 3128 себя же, где висит сквид).<br>В sysctl встречал упоминание про параметр one_pass, который поидее мне нужно для такой системы выставить в 0, что б проходя трубку пакеты продолжали свой путь по фаерволу и нормально заварачивались. Хотя незнаю, все эти предположения строяцца на принципе "возможно это работает так" :) <br>А вот такая контсрукция тоже бредовая?<br><br>ipfw add pipe 1 ip from 192.168.2.0/24 to 192.168.1.0/24 <br>ipfw add pipe 1 ip from 192.168.1.0/24 to 192.168.2.0/24<br>ipfw pipe 1 config bw 4096Kbit/s<br>//пакеты из подсетей загонять в 4мбита<br><br>ipfw add pipe 2 ip from not 192.168.2.0/24 to 192.168.1.0/24 out via vr1 <br>//поидее - https://slinkov.ru/openforum/vsluhforumID1/87981.html#7 Thu, 28 Jan 2010 06:27:00 GMT &gt;Думаю вот так както надо? <br>&gt;ipfw add pipe 1 ip from any to 192.168.1.0/24 out via tun0 <br>&gt;ipfw pipe 1 config bw 4096Kbit/s <br>&gt;ipfw add pipe 2 ip from any to 192.168.1.0/24 out via vr0 <br>&gt;ipfw pipe 2 config bw 1024Kbit/s <br>&gt;<br>&gt;Но наверняка проверить будут ли работать ограничения или нет немогу. Вообще принцып <br>&gt;правильный? <br><br>принцип? не увидел тут принципа ))<br>принцип у ipfw простой: попал пакет под шаблон - обработался правилом - не попал, значит не обработался; с пайпами все логично продолжается: попал пакет под шаблон - прошол через трубу (уже труба его зарезала как нужно), не попал под шаблон - улетел на максимумуме дальше по списку правил ... да естно нужно внимательно читать доки чтобы выставаить нужные переменные в sysctl; ТАКЖЕ НЕ ЗАБЫВАЕМ ЧТО ПРАВИЛА СРАБАТЫВАЮТ ДЛЯ КАЖДОГО ИНТЕРФЕЙСА<br>о каких принципах ты рассуждаешь мне не совсем понятно )<br><br>ЗЫ например зачем у тебя режется один и тотже трафик дважды, причем первый раз оставляется канал заведомо шире чем второй ... непоняяяяятно ..<br>