Коллеги подскажите никто не сталкивался с проблемой что altq шейпер странно себя ведет, вроде настраиваю полосы для юзеров, беру себя как одного из них загоняю в конфик, ставлю ПС канала 64К все отлично работает даже в консоли тормозит :D , качаю тестовые файлы тоже все ок не больше не меньше 64К, но периодически канал начинает загружаться на 100% смотрю trafshow вижу какой-нить анлимщик на 32К тянет какую-нить фигню на полной скорости канала :( бьюсь уже не первый день, сначала забивал на это но народ наглеет , по нескольку гиг вытягивает в день и это при скорости типа у них 32К :( вот кусок конфига pf.conf
оговорюсь еще народ натится тоже через pfext_if="rl0"
int_if="fxp0"
table <internet_hosts> { 1.2.3.0/24 }
table <server_ip> { 1.2.3.1, 111.111.222.111 }
table <servers> { 1.2.3.2, 1.2.3.3, 1.2.3.4, 1.2.3.5 }
table <bad_hosts> persist
altq on $ext_if cbq bandwidth 5Mb queue { defl }
queue defl bandwidth 100% cbq(default) { xxx_out, yyy_out }
queue xxx_out bandwidth 32Kb
queue yyy_out bandwidth 64Kb
altq on $int_if cbq bandwidth 100Mb queue { deflt }
queue deflt bandwidth 100% cbq(default) { xxx_in, yyy_in }
queue xxx_in bandwidth 32Kb
queue yyy_in bandwidth 64Kb
no rdr on $int_if proto { tcp, udp } from any to <server_ip> port 80
no rdr on $int_if proto { tcp, udp } from <servers> to any port 80
rdr on $int_if proto tcp from <internet_hosts> to any port 80 -> 1.2.3.1 port 3128
nat on $ext_if from <internet_hosts> to any -> ($ext_if)
pass quick from 1.2.3.10 to any keep state queue xxx_out
pass quick from any to 1.2.3.10 keep state queue xxx_in
pass quick from 1.2.3.20 to any keep state queue yyy_out
pass quick from any to 1.2.3.20 keep state queue yyy_in
block in quick from <bad_hosts>
pass in quick from {1.2.3.0/24, 111.111.222.111/30}
pass in quick proto tcp to any port 22 flags S/SA keep state \
(max-src-conn-rate 3/60, overload <bad_hosts> flush global)
pass in quick proto tcp to any port 25 flags S/SA keep state \
(max-src-conn-rate 10/60, overload <bad_hosts> flush global)
pass in quick proto tcp to any port 110 flags S/SA keep state \
(max-src-conn-rate 10/60, overload <bad_hosts> flush global)
что самое любопытное почему-то и отлов кул-хацкеров при помощи последних строчек таинственным образом перестал работать, помогите решить трабл.