- Вопросы о PF,
 idle, 12:59 , 03-Июл-07 (1)
- Вопросы о PF, Alex, 13:48 , 03-Июл-07 (2)
- Вопросы о PF, adasa, 18:41 , 05-Июл-07 (4)
>>Что-то не то Вы читали.
>>Почитайте вот это http://home.nuug.no/~peter/pf/en/.
>
>Почитал. Там лишь один из примеров немного относится к моему 1-му вопросу.
>В том плане, что там входящий трафик интерфейса направляется в очередь.
>Т.е. можно предположить, что фраза, неоднократно произносимая разными людьми в том
>числе и на этом форуме, о том, что ALTQ работает только
>с исходящими пакетами — неверна. Как и первое предложение из man:
>"The ALTQ framework provides several disciplines for queuing outgoing network packets."
>Странно всё это...
>Ничего, касающегося остальных вопросов, в той статье не нашёл. там кругом keep-state.
если на in разрешен трафик, то надо записать стейт с очередью.
если входящий будет без keep-state, то стейт запишется правилом на out, что не совсем правильно
если входящий будет с keep-state но без очереди, то ответ так и останется без очереди.
- Вопросы о PF, wintester, 01:13 , 09-Июл-07 (5)
- Вопросы о PF, idle, 11:40 , 09-Июл-07 (6)
- Вопросы о PF, adasa, 14:45 , 09-Июл-07 (7)
>>там кругом keep-state.
>>если на in разрешен трафик, то надо записать стейт с очередью.
>>если входящий будет без keep-state, то стейт запишется правилом на out, что
>>не совсем правильно
>>если входящий будет с keep-state но без очереди, то ответ так и
>>останется без очереди.
>
>Ммм. Можно поподробнее про эти варианты, а то я не понял "стейт"
>:/
>Как понимал, keep state открывает и ответное правило, т.е. и на вход
>и на выход. В очередь встанет соотв. правилу ИСХОДЯЩИЕ пакеты на
>том интерфейсе на котором очередь задана. Так же ?
>И если так вопрос - раз получается при keep state два правила
>с одной очередью, то тогда в обе стороны не "пошейперишь" ?
>
>
>P.S. НЕ поможет ли кто с реальным примером (конфиг) решения такого куска
>задачи :
>
>Все юзеры ходят через NAt. IP_Юзер_А надо при доступе на port 80
>дать исходящие и входящие 22%, а IP_Юзер_Б на порт 80 входящего
>44% и исходящего 10%.
>Проблема тут у меня в Nat :( ? Не было бы его
>... а так на ext_if IP_Юзер_А уже нет, NAt подменил IP.
>К чему б привязатся ?
>Сложно, как-то все :). Низнаю, сам бы такого сразу не делал, посмотри в нат опцию тег, а потом в правилах на аут теггед добавлять в разны очереди, может и заработает, пробуй... >P.P.S. А пока что мало всё таки документации с нашими реальными примерами
>из жизни. Всё что ни искал - аналоги и переводы PF
>FAQ ...
>
Тому и много переводов, что читать надо очень внимательно и каждое слово, в мане очень уж концентрированая информация, и каждый пункт проверять сразу как оно в деле работает.. :)
- Вопросы о PF, Alex, 16:38 , 10-Июл-07 (9)
- Вопросы о PF, adasa, 17:21 , 10-Июл-07 (10)
>>Сложно, как-то все :). Низнаю, сам бы такого сразу не делал, посмотри
>>в нат опцию тег, а потом в правилах на аут теггед
>>добавлять в разны очереди, может и заработает, пробуй...
>
>Tag не катит в принципе. Правила с tag и tagged требуют keep
>state, которое создаёт обратное разрешающее правило (выполняемое вперёд других) для ответного
>трафика, НЕ привязанного ни к какой очереди, а потому ничем не
>ограниченного.
>Так что для фильтрации в двух направлениях tag и tagged не подходят.
>особенно, если учесть, что нат - ето уже keep state, хотя могло б и работать, в man authpf похожий пример есть. nat on rl0 from 192.168.4.0/24 to 172.16.2.34 tag NATTED -> 172.16.2.21
pass out log quick on rl0 tagged NATTED keep state pyvo# pfctl -vss
No ALTQ support in kernel
ALTQ related functions disabled
self tcp 192.168.4.198:36315 -> 172.16.2.21:64655 -> 172.16.2.34:80 FIN_WAIT_2:FIN_WAIT_2
[3158812003 + 16940] wscale 4 [1401457460 + 6880] wscale 0
age 00:00:15, expires in 00:01:21, 6:5 pkts, 324:496 bytes, rule 1
- Вопросы о PF, Alex, 16:34 , 10-Июл-07 (8)
- Вопросы о PF, Alex, 21:43 , 03-Июл-07 (3)
- Вопросы о PF, Alex, 19:16 , 11-Июл-07 (14)
- Вопросы о PF, Alex, 21:18 , 19-Июл-07 (19)
|
Версия для распечатки
Вопросы о PF, 
