| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
user54
Зарегистрирован: 14.03.2006
Сообщения: 41
|
 Добавлено: Вт Окт 17 2006 11:29 Заголовок сообщения: не пойму с шейпер FreeBSD |
 |
|
Привет!
Есть FreeBSD4.9 аз есмь роутер для доступа в Инет,2 сет.карты,ADSL модем.Использую НАТ,ipfirewall.Хочу ограничить скорость для некоторых машин в лок.сети.Ядро options IPFIREWALL,options IPDIVERT,options DUMMYNET.rl0-Инет,rl1-лок.сеть.
cat /etc/rc.firewall_
ipfw add allow ip from any to any via lo0
ipfw add divert natd ip from 192.168.1.0/24 to any
ipfw add divert natd ip from any to ВНЕШНИЙ ИП in via rl0
ipfw add allow tcp from any to any established
ipfw add allow ip from ВНЕШНИЙ ИП to any out xmit rl0
# разрешаем 192.168.1.3 доступ в Инет , допустим
ipfw add allow ip from 192.168.1.3 to any
ipfw add allow ip from any to 192.168.1.3
#
ipfw add allow ip from any to any via rl1
ipfw add allow udp from any to any 53 via rl0
ipfw add allow udp from any 53 to any via rl0
ipfw add allow icmp from any to ВНЕШНИЙ ИП in recv rl0 icmptype 0,3,4,1,12
ipfw add allow icmp from any to 192.168.1.0/24 in recv rl0 icmptype 0,3,4,11,12
ipfw add allow icmp from ВНЕШНИЙ ИП to any out xmit rl0 icmptype 3,8,12
ipfw add allow icmp from ВНЕШНИЙ ИП to any out xmit rl0 frag
deny ip from any to any
Скажите пожалуйста,если я хочу ограничить скорость доступа для 192.168.1.3 , куда пихать шейпер ipfw add pipe - до NAT,после NAT,до разрешения на доступ,после разрешения на доступ.Честно говоря , писАл уже во все места , все равно 192.168.1.3 собака использует всю ширину канала.
Заранее спасибо |
|
| Вернуться к началу |
|
 |
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Вт Окт 17 2006 12:04 Заголовок сообщения: |
|
|
А сикока раз пакет через фаервол проходит?
/etc/sysctl.conf
добавить
net.inet.ip.fw.one_pass=0
Вероятно проблема в этом.
_________________
Век живи - век учись!.. Дураком помрёшь. |
|
| Вернуться к началу |
|
|
user54
Зарегистрирован: 14.03.2006
Сообщения: 41
|
| Добавлено: Вт Окт 17 2006 12:16 Заголовок сообщения: |
|
|
| a-m-d писал(а): | А сикока раз пакет через фаервол проходит?
|
Если Вы имеете в виду ipfw -a list , то напротив pipe 1 - Нули.
За совет спасибо , попробую, отпишусь |
|
| Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Вт Окт 17 2006 14:41 Заголовок сообщения: |
|
|
Нет. Я про то, что при net.inet.ip.fw.one_pass=1 пакет, нашедший подходящее для себя правило, выходит из фаервола (возможно, не доходя до правила с шейпером).
_________________
Век живи - век учись!.. Дураком помрёшь. |
|
| Вернуться к началу |
|
|
user54
Зарегистрирован: 14.03.2006
Сообщения: 41
|
| Добавлено: Вт Окт 24 2006 08:27 Заголовок сообщения: та же |
|
|
| a-m-d писал(а): | | Нет. Я про то, что при net.inet.ip.fw.one_pass=1 пакет, нашедший подходящее для себя правило, выходит из фаервола (возможно, не доходя до правила с шейпером). |
Спасибо.Нашел на opennet.ru , ссылку не помню
Пусть клиенты сидят на серых адресах 192.168.0.0/16, а трафик приходит через
fxp0, тогда динамическая раздача поровну симметричных 128KBit/s будет
выглядеть примерно так:
ipfw pipe 1 config bw 128Kbit/s queue 80Kbytes
ipfw queue 10 config pipe 1 weight 50 queue 80Kbytes mask src-ip 0x0000ffff
ipfw add 5000 queue 10 all from 192.168.0.0/16 to any out via fxp0
<... между 5000 и 10000 должен стоять divert natd для этих сетей ...>
ipfw pipe 2 config bw 128Kbit/s queue 80Kbytes
ipfw queue 20 config pipe 2 weight 50 queue 80Kbytes mask dst-ip 0x0000ffff
Все работает.Досвиданья. |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
