- Вопросы о PF, idle, 12:59 , 03-Июл-07 (1)
- Вопросы о PF, Alex, 13:48 , 03-Июл-07 (2)
- Вопросы о PF, adasa, 18:41 , 05-Июл-07 (4)
>>Что-то не то Вы читали. >>Почитайте вот это http://home.nuug.no/~peter/pf/en/. > >Почитал. Там лишь один из примеров немного относится к моему 1-му вопросу. >В том плане, что там входящий трафик интерфейса направляется в очередь. >Т.е. можно предположить, что фраза, неоднократно произносимая разными людьми в том >числе и на этом форуме, о том, что ALTQ работает только >с исходящими пакетами — неверна. Как и первое предложение из man: >"The ALTQ framework provides several disciplines for queuing outgoing network packets." >Странно всё это... >Ничего, касающегося остальных вопросов, в той статье не нашёл. там кругом keep-state. если на in разрешен трафик, то надо записать стейт с очередью. если входящий будет без keep-state, то стейт запишется правилом на out, что не совсем правильно если входящий будет с keep-state но без очереди, то ответ так и останется без очереди.
- Вопросы о PF, wintester, 01:13 , 09-Июл-07 (5)
- Вопросы о PF, idle, 11:40 , 09-Июл-07 (6)
- Вопросы о PF, adasa, 14:45 , 09-Июл-07 (7)
>>там кругом keep-state. >>если на in разрешен трафик, то надо записать стейт с очередью. >>если входящий будет без keep-state, то стейт запишется правилом на out, что >>не совсем правильно >>если входящий будет с keep-state но без очереди, то ответ так и >>останется без очереди. > >Ммм. Можно поподробнее про эти варианты, а то я не понял "стейт" >:/ >Как понимал, keep state открывает и ответное правило, т.е. и на вход >и на выход. В очередь встанет соотв. правилу ИСХОДЯЩИЕ пакеты на >том интерфейсе на котором очередь задана. Так же ? >И если так вопрос - раз получается при keep state два правила >с одной очередью, то тогда в обе стороны не "пошейперишь" ? > > >P.S. НЕ поможет ли кто с реальным примером (конфиг) решения такого куска >задачи : > >Все юзеры ходят через NAt. IP_Юзер_А надо при доступе на port 80 >дать исходящие и входящие 22%, а IP_Юзер_Б на порт 80 входящего >44% и исходящего 10%. >Проблема тут у меня в Nat :( ? Не было бы его >... а так на ext_if IP_Юзер_А уже нет, NAt подменил IP. >К чему б привязатся ? >Сложно, как-то все :). Низнаю, сам бы такого сразу не делал, посмотри в нат опцию тег, а потом в правилах на аут теггед добавлять в разны очереди, может и заработает, пробуй... >P.P.S. А пока что мало всё таки документации с нашими реальными примерами >из жизни. Всё что ни искал - аналоги и переводы PF >FAQ ... > Тому и много переводов, что читать надо очень внимательно и каждое слово, в мане очень уж концентрированая информация, и каждый пункт проверять сразу как оно в деле работает.. :)
- Вопросы о PF, Alex, 16:38 , 10-Июл-07 (9)
- Вопросы о PF, adasa, 17:21 , 10-Июл-07 (10)
>>Сложно, как-то все :). Низнаю, сам бы такого сразу не делал, посмотри >>в нат опцию тег, а потом в правилах на аут теггед >>добавлять в разны очереди, может и заработает, пробуй... > >Tag не катит в принципе. Правила с tag и tagged требуют keep >state, которое создаёт обратное разрешающее правило (выполняемое вперёд других) для ответного >трафика, НЕ привязанного ни к какой очереди, а потому ничем не >ограниченного. >Так что для фильтрации в двух направлениях tag и tagged не подходят. >особенно, если учесть, что нат - ето уже keep state, хотя могло б и работать, в man authpf похожий пример есть. nat on rl0 from 192.168.4.0/24 to 172.16.2.34 tag NATTED -> 172.16.2.21 pass out log quick on rl0 tagged NATTED keep state pyvo# pfctl -vss No ALTQ support in kernel ALTQ related functions disabled self tcp 192.168.4.198:36315 -> 172.16.2.21:64655 -> 172.16.2.34:80 FIN_WAIT_2:FIN_WAIT_2 [3158812003 + 16940] wscale 4 [1401457460 + 6880] wscale 0 age 00:00:15, expires in 00:01:21, 6:5 pkts, 324:496 bytes, rule 1
- Вопросы о PF, Alex, 16:34 , 10-Июл-07 (8)
- Вопросы о PF, Alex, 21:43 , 03-Июл-07 (3)
- Вопросы о PF, Alex, 19:16 , 11-Июл-07 (14)
- Вопросы о PF, Alex, 21:18 , 19-Июл-07 (19)
|