- IPFW pipe, Pahanivo, 12:26 , 27-Янв-10 (1)
>Помогите пожалуйста с фаерволом. Сервер - шлюз в интернет для сети, к >нему сделаны тунели с помощью vtun (ещё пара офисов обьединены с >главным в одну сеть). Как сделать так, что б половина канала >(канал 4 мбита) отдавалась на растерзание пользователями интернета, а вторая половина >использовалась только тунелями (т.е. что б между сетями всегда было свободно >2 мбита)? в инет смотрит vr0 во внутреннюю сеть vr1, тунели >- tun4, tun5. Фаервол - ipfw. Заранее спасибо. dummynet
- IPFW pipe, Tamriel, 13:50 , 27-Янв-10 (2)
>>Помогите пожалуйста с фаерволом. Сервер - шлюз в интернет для сети, к >>нему сделаны тунели с помощью vtun (ещё пара офисов обьединены с >>главным в одну сеть). Как сделать так, что б половина канала >>(канал 4 мбита) отдавалась на растерзание пользователями интернета, а вторая половина >>использовалась только тунелями (т.е. что б между сетями всегда было свободно >>2 мбита)? в инет смотрит vr0 во внутреннюю сеть vr1, тунели >>- tun4, tun5. Фаервол - ipfw. Заранее спасибо. > >dummynet Да эт я знаю, pipe правила в фаерволе. Но я неочень понимаю принципы, как что ограничивать. Не получается ли так, что ограничивая трафик по внешнему каналу, мы тем самым даем ограничения на тунели?
- IPFW pipe, Aquarius, 14:15 , 27-Янв-10 (3)
>>dummynet > >Да эт я знаю, pipe правила в фаерволе. >Но я неочень понимаю принципы, как что ограничивать. Не получается ли так, >что ограничивая трафик по внешнему каналу, мы тем самым даем ограничения >на тунели? в общем случае - получается. для этого есть механизмы отделения мух от котлет
- IPFW pipe, Tamriel, 16:06 , 27-Янв-10 (4)
>>>dummynet >> >>Да эт я знаю, pipe правила в фаерволе. >>Но я неочень понимаю принципы, как что ограничивать. Не получается ли так, >>что ограничивая трафик по внешнему каналу, мы тем самым даем ограничения >>на тунели? > >в общем случае - получается. >для этого есть механизмы отделения мух от котлет Поэтому и написал тут, незнаю как это организовать правильно. Статьи и примеры ясности не добавили.
- IPFW pipe, Pahanivo, 16:56 , 27-Янв-10 (5)
>>>>dummynet >>> >>>Да эт я знаю, pipe правила в фаерволе. и? >>>Но я неочень понимаю принципы, как что ограничивать. Не получается ли так, >>>что ограничивая трафик по внешнему каналу, мы тем самым даем ограничения >>>на тунели? я ваше не очень понял полет вашей мысли >>в общем случае - получается. >>для этого есть механизмы отделения мух от котлет >Поэтому и написал тут, незнаю как это организовать правильно. Статьи и примеры >ясности не добавили. оставте ваши общие рассуждения на "подумать перед сном", тут они никому не интересны
- IPFW pipe, Tamriel, 17:56 , 27-Янв-10 (6)
>>>>Но я неочень понимаю принципы, как что ограничивать. Не получается ли так, >>>>что ограничивая трафик по внешнему каналу, мы тем самым даем ограничения >>>>на тунели? > >я ваше не очень понял полет вашей мысли Весь трафик тунеля ходит ведь на самом деле через внешний интерфейс, смотрящий в интернет. В итоге ставя ограничение на скорость через внешний интерфейс я тем самым обрезаю скорость и тунелей. Думаю вот так както надо? ipfw add pipe 1 ip from any to 192.168.1.0/24 out via tun0 ipfw pipe 1 config bw 4096Kbit/s ipfw add pipe 2 ip from any to 192.168.1.0/24 out via vr0 ipfw pipe 2 config bw 1024Kbit/s Но наверняка проверить будут ли работать ограничения или нет немогу. Вообще принцып правильный?
- IPFW pipe, Pahanivo, 09:27 , 28-Янв-10 (7)
>Думаю вот так както надо? >ipfw add pipe 1 ip from any to 192.168.1.0/24 out via tun0 >ipfw pipe 1 config bw 4096Kbit/s >ipfw add pipe 2 ip from any to 192.168.1.0/24 out via vr0 >ipfw pipe 2 config bw 1024Kbit/s > >Но наверняка проверить будут ли работать ограничения или нет немогу. Вообще принцып >правильный? принцип? не увидел тут принципа )) принцип у ipfw простой: попал пакет под шаблон - обработался правилом - не попал, значит не обработался; с пайпами все логично продолжается: попал пакет под шаблон - прошол через трубу (уже труба его зарезала как нужно), не попал под шаблон - улетел на максимумуме дальше по списку правил ... да естно нужно внимательно читать доки чтобы выставаить нужные переменные в sysctl; ТАКЖЕ НЕ ЗАБЫВАЕМ ЧТО ПРАВИЛА СРАБАТЫВАЮТ ДЛЯ КАЖДОГО ИНТЕРФЕЙСА о каких принципах ты рассуждаешь мне не совсем понятно ) ЗЫ например зачем у тебя режется один и тотже трафик дважды, причем первый раз оставляется канал заведомо шире чем второй ... непоняяяяятно ..
- IPFW pipe, Tamriel, 11:33 , 29-Янв-10 (8)
>ЗЫ например зачем у тебя режется один и тотже трафик дважды, причем >первый раз оставляется канал заведомо шире чем второй ... непоняяяяятно .. >ну какбы я рассчитывал что первая трубка при хождении пакетов с моей сети через тунель (толбишь в другую сеть), вторая - хождение внутренней сети в интернет. Интернет раздается через сквид (прозрачно, fwd с 80 порта сервера на 3128 себя же, где висит сквид). В sysctl встречал упоминание про параметр one_pass, который поидее мне нужно для такой системы выставить в 0, что б проходя трубку пакеты продолжали свой путь по фаерволу и нормально заварачивались. Хотя незнаю, все эти предположения строяцца на принципе "возможно это работает так" :) А вот такая контсрукция тоже бредовая? ipfw add pipe 1 ip from 192.168.2.0/24 to 192.168.1.0/24 ipfw add pipe 1 ip from 192.168.1.0/24 to 192.168.2.0/24 ipfw pipe 1 config bw 4096Kbit/s //пакеты из подсетей загонять в 4мбита ipfw add pipe 2 ip from not 192.168.2.0/24 to 192.168.1.0/24 out via vr1 //поидее - любой трафик, кроме межсетевого, выходящий в сторону 1 сети через внутренний интерфейс ipfw add pipe 2 ip from 192.168.1.0/24 to not 192.168.2.0/24 in via vr1 //аналогично, только режецца трафик идущий в сторону сервера (тобишь исходящий в интрент) ipfw pipe 2 config bw 1024Kbit/s При этом net.inet.ip.fw.one_pass 0, что б проходя трубки пакеты продолжали обрабатываться фаерволом (так много разграничений по пооду доступа определенных хостов к определенным служам и удаленным серверам) Сильно не плевать, FreeBSD досталась в наследство, и сесть за какойнить учебник или мануал мне банально не дают времени :)
- IPFW pipe, Pahanivo, 14:11 , 29-Янв-10 (9)
думаю тута требуется схема, на крайняк поллитра ... а то так и не понятно кто куда ходит
- IPFW pipe, Tamriel, 16:20 , 29-Янв-10 (10)
>думаю тута требуется схема, на крайняк поллитра ... а то так и >не понятно кто куда ходит В первом посте вобщемто описана организация: внешний интерфейс, внутренний смотрящий в сеть1, и парочка тунельных интерфейсов, вторые концы которых смотрят в удаленные сети. 1 офису нужно урезать скорость выхода в инет, чтоб всегда был наполовину свободный канал для обмена данными между подсетями. Как ещё ассказать незнаю, это вполне полное описание того как все построено.
- IPFW pipe, Pahanivo, 17:44 , 29-Янв-10 (11)
- IPFW pipe, Tamriel, 21:37 , 29-Янв-10 (12)
>схему нарисуй ! Для тебя или для себя? Если для тебя, то я несилён в псевдографике :) А если для себя - то я вобщемто ясно представляю что куда ходит, но затруднение вызывает синтаксис IPFW. На выходных постараюсь разобраться.
- IPFW pipe, Tamriel, 16:49 , 01-Фев-10 (13)
Сделал малость по другому, но возник ещё один вопрос. Выставляя параметр one_pass в 0 мы заставляем тафик продолжать движение по цепочке правил, так вот собственно вопрос: если дальше по цепочке идет загоняние :) трафика в другую трубку, и пакет во второй раз удовлетворяет условиям - он пойдет во 2ую трубку или нет? Если да, то как тогда сделать разграничения в таком стиле: add 1 pipe 1 all from any to 192.168.1.10 out via vr1 add 2 pipe 2 all from any to not 192.168.1.100 out via vr1pipe 1 config bw 2048Kbit/s pipe 2 config bw 1024Kbit/s Смысл в следующем - режем скорость для всей сети до мегабита, для 1го хоста делаем исключение в 2 мбита и для ещё одного - вообще снимаем все ограничения.
- IPFW pipe, Pahanivo, 16:57 , 01-Фев-10 (14)
>[оверквотинг удален] > >add 2 pipe 2 all from any to not 192.168.1.100 out via >vr1 > >pipe 1 config bw 2048Kbit/s >pipe 2 config bw 1024Kbit/s > >Смысл в следующем - режем скорость для всей сети до мегабита, для >1го хоста делаем исключение в 2 мбита и для ещё одного >- вообще снимаем все ограничения. прочитай уже нормально ман и да придек к тебе откровение ... skip ... - IPFW pipe, Tamriel, 22:38 , 01-Фев-10 (15)
>[оверквотинг удален] >> >>pipe 1 config bw 2048Kbit/s >>pipe 2 config bw 1024Kbit/s >> >>Смысл в следующем - режем скорость для всей сети до мегабита, для >>1го хоста делаем исключение в 2 мбита и для ещё одного >>- вообще снимаем все ограничения. > >прочитай уже нормально ман и да придек к тебе откровение ... >skip ... Ман не добрался почитать, но как всегда методом проб и ошибок, научного тыка и банальной эрудиции сделал все что хотел, все красиво и стройно. Главное - работает :) Всем мерси за переписку.
|