https://www.opennet.ru/openforum/vsluhforumID1/93134.html Всем привет. <br>Столкнулся со следующей проблемой: раньше для трафик шейпинга использовал ipfw\dummynet, все работало прекрасно, но дир поставил такую задачу, если канал не занимаеться трафиком с определенных IP, то отдавать канал полностью всем остальным, если есть трафик то отдавать процентов 80 канала этим IP. Решил использовать ipfw/altq/hfsc. Создал 3 очереди, конфиг привожу ниже (pf.conf):<br><br><br><br>altq on ae0 hfsc bandwidth 10Mb queue { standard, vip, management, work }<br><br>queue vip bandwidth 30% priority 7 hfsc (realtime 80% linkshare 30% upperlimit 100%)<br>queue management bandwidth 25% priority 5 hfsc ( linkshare 25% upperlimit 100%)<br>queue work bandwidth 25% priority 3 hfsc ( linkshare 25% upperlimit 60%)<br>queue standard bandwidth 20% hfsc ( linkshare 20% upperlimit 20% default)<br><br><br>Пока настроил только на download, ae0 внутренний интрефейс. Пытаюсь добиться чтоб очереди vip как и положенно отдавалось 80% канала. Далее раскидал компы по очередям в ipfw.rules:<br><br>$cmd 1 count altq vip all from any to $ https://www.opennet.ru/openforum/vsluhforumID1/93134.html#8 Sat, 17 Mar 2012 19:53:55 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; block in <br>&gt;&gt;&gt;&gt; block out <br>&gt;&gt;&gt;&gt; pass in quick on $int_if inet from $vip to !(self) queue <br>&gt;&gt;&gt;&gt; down_vip <br>&gt;&gt;&gt; ALTQ на fbsd не режет входящий трафик.<br>&gt;&gt; А где вы видели в моем примере обратное. Вы путаете сказанное с <br>&gt;&gt; _назначением_ очереди для конкретного вида траффика с учетом специфики PF (имеется <br>&gt;&gt; ввиду stateful filtering).<br>&gt;&gt; Почему не читаете доки?<br>&gt; Доки читал. Разъясните разницу - буду благодарен.<br><br> Смотрите, вся прелесть PF именно в stateful firewalling. Как с точки зрения производительности так и безопасности, поэтому лучше использовать как раз keep-state. Если вы пытаетесь ограничивать или приоритизировать трафик "в локальную сеть", то да его можно направить в нужную очередь фактически без keep-stating на внутрееннем интерфейсе (с помощью опции nostate), что не есть хорошо.<br> Лечше, когда у вас все keep-state и стейты привязаны к интерфейсу (set state-policy if-bound).<br> Допустим, клиент из локальной сети запросил www ресурс. На внутр. интерфейсе создае https://www.opennet.ru/openforum/vsluhforumID1/93134.html#7 Sat, 17 Mar 2012 17:25:37 GMT &gt;&gt;&gt; Далее назначаем очереди: <br>&gt;&gt;&gt; block in <br>&gt;&gt;&gt; block out <br>&gt;&gt;&gt; pass in quick on $int_if inet from $vip to !(self) queue <br>&gt;&gt;&gt; down_vip <br>&gt;&gt; ALTQ на fbsd не режет входящий трафик.<br>&gt; А где вы видели в моем примере обратное. Вы путаете сказанное с <br>&gt; _назначением_ очереди для конкретного вида траффика с учетом специфики PF (имеется <br>&gt; ввиду stateful filtering).<br>&gt; Почему не читаете доки?<br><br>Доки читал. Разъясните разницу - буду благодарен.<br> https://www.opennet.ru/openforum/vsluhforumID1/93134.html#6 Sat, 17 Mar 2012 09:55:01 GMT &gt;&gt; Далее назначаем очереди: <br>&gt;&gt; block in <br>&gt;&gt; block out <br>&gt;&gt; pass in quick on $int_if inet from $vip to !(self) queue <br>&gt;&gt; down_vip <br>&gt; ALTQ на fbsd не режет входящий трафик.<br><br>А где вы видели в моем примере обратное. Вы путаете сказанное с _назначением_ очереди для конкретного вида траффика с учетом специфики PF (имеется ввиду stateful filtering).<br> Почему не читаете доки?<br><br> Вот строчки из офф. PF User's Guide.<br><br> pass in on fxp0 proto tcp to port 80 queue http<br><br>With this rule, packets traveling back out fxp0 that match the stateful<br>connection will end up in the http queue. Note that even though the queue<br>keyword is being used on a rule filtering incoming traffic, the goal is to<br>specify a queue for the corresponding outgoing traffic; the above rule does<br>not queue incoming packets.<br> <br><br>&gt; Второе, по умолчанию все правила идут с keep state. по этому если <br>&gt; шейпить исход необходимо добавлять no state иначе часть трафика может не <br>&gt; попасть под ограничение, попав под другую, не шейпированную https://www.opennet.ru/openforum/vsluhforumID1/93134.html#5 Sat, 17 Mar 2012 06:24:31 GMT &gt; Далее назначаем очереди: <br>&gt; block in <br>&gt; block out <br>&gt; pass in quick on $int_if inet from $vip to !(self) queue <br>&gt; down_vip <br><br>ALTQ на fbsd не режет входящий трафик.<br>Второе, по умолчанию все правила идут с keep state. по этому если шейпить исход необходимо добавлять no state иначе часть трафика может не попасть под ограничение, попав под другую, не шейпированную очередь.<br> https://www.opennet.ru/openforum/vsluhforumID1/93134.html#4 Mon, 12 Mar 2012 07:51:01 GMT &gt; сначало все же в ipfw, не хочеться пока переходить на pf.<br><br>В ИПФВ задача решается динамическими (src/dst-mask) очередями с приоритетами (weight). Все, что нужно - создать два пайпа на вход и выход, а внутри них создавать диночереди с приоритетами, в зависимости от адресов-портов-направлений.<br> https://www.opennet.ru/openforum/vsluhforumID1/93134.html#3 Mon, 12 Mar 2012 06:50:14 GMT &gt;[оверквотинг удален]<br>&gt;&gt; block in <br>&gt;&gt; block out <br>&gt; pass in quick on $int_if inet from $vip to !(self) queue down_vip <br>&gt; tag vip <br>&gt; ....................... ... from $managment to !(self) queue down_manager tag manager <br>&gt; pass out quick on $int_if inet from any to any <br>&gt;&gt; Для ограничения исходящего траффика: <br>&gt; pass out quick on $ext_if inet from $ext_if to any queue up_vip <br>&gt; tagged vip <br>&gt; ........... ...................................................<br><br>Спасибо за помощь. Сегодня попробую планировщик cbq сначало все же в ipfw, не хочеться пока переходить на pf.<br> https://www.opennet.ru/openforum/vsluhforumID1/93134.html#2 Sun, 11 Mar 2012 18:02:29 GMT &gt;[оверквотинг удален]<br>&gt; вашем случае лучше использовать cbq.<br>&gt; Что-то типа этого: <br>&gt; set state-policy if-bound <br>&gt; altq on ae0 cbq bandwidth 10Mb queue { standard, vip, management, <br>&gt; work } <br>&gt; queue down_vip bandwidth 30% priority 7 cbq (borrow) <br>&gt; queue down_management bandwidth 25% priority 5 cbq (borrow) <br>&gt; queue down_work bandwidth 25% priority 3 cbq (borrow) <br>&gt; queue down_standard bandwidth 20% cbq(borrow) <br>&gt; Аналогично для внешнего интерфейса.<br><br> Oops. Далее я немного ошибся.<br><br>&gt; Далее назначаем очереди: <br>&gt; block in <br>&gt; block out <br><br>pass in quick on $int_if inet from $vip to !(self) queue down_vip tag vip<br>....................... ... from $managment to !(self) queue down_manager tag manager<br>pass out quick on $int_if inet from any to any <br><br>&gt; Для ограничения исходящего траффика: <br><br>pass out quick on $ext_if inet from $ext_if to any queue up_vip tagged vip<br> ........... ...................................................<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/93134.html#1 Sun, 11 Mar 2012 17:54:13 GMT &gt;[оверквотинг удален]<br>&gt; $cmd 4 count altq standard all from any to any out via <br>&gt; $lif <br>&gt; Прописал правила первыми до динамической проверки, $lif внутренний интерфейс. Далее наблюдаю <br>&gt; следующую картину: компы из очереди management используют канал почти на полную, <br>&gt; далее подключаю машину из очереди vip, через некоторое время закачка примерно <br>&gt; выравниваеться в соотношении примерно 50\50 между очередями. Команда pfctl -s <br>&gt; queue -v показывает что все очереди работают. Манипуляции с параметрами realtime, <br>&gt; upperlimit, linkshare ни к чему не привели...<br>&gt; Что не так в настройках и почему не работает?<br>&gt; Заранее спасибо.<br><br> Несколько общих рекомендаций. <br>Если вам не нужно "резать" канал по src-mask, то нет надобности в ipfw. Все можно реализовать с помощью pf/altq. Ставьте pftop и смотрите как распределяются очереди.<br>В hfsc приоритеты не исользуются, так что можете их не указывать. В вашем случае лучше использовать cbq. <br> Что-то типа этого:<br><br> set state-policy if-bound<br><br> altq on ae0 cbq ba