ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Vladimir Lyapkin                     2:5022/47      04 Apr 2003  06:36:56
 To : Sergey A. Gontar
 Subject : Люди!! Помогите с настройкой IPFW (повторно)
 -------------------------------------------------------------------------------- 
 

 03 Апр 03 11:18, Sergey A. Gontar wrote to All:
 
  SG> Похоже первый постинг затерялся где-то в недрах Сети,
  SG> поэтому рискну повториться.....
 
  SG> Проблема в следующем:
 
  SG> Есть FreeBSD 4.7-RELEASE с несколькими сетевухами.
  SG> 1 из сетевух смотрит на провайдера (инет т.е.)
  SG> на этой сетевухе сделано 2 виртуальных gif-а,
  SG> которые смотрят через того самого провайдера
  SG> на 2 наших филиала в другом городе (т.е. через
  SG> 1 сетевуху идет 3 независимых потока, которые разветвляются
  SG> у провайдера). У филиалов есть 2 вида трафика: 1-служебный
  SG> (SQL там всякие) и 2-который можно попридержать (инет,
  SG> почта и т.п.).
 
  SG> Hа рисунке это выглядит примерно так:
 
  SG>                      локалка  fxp0 (10.107.101.1)
  SG>                               gif0 (10.107.50.17/30)
  SG>        +---------------------->10.50.1.2  (1 филиал)
  SG>        |
  SG> gif0 (10.107.50.18/30)
  SG> 10.50.1.14 (alias)
  SG> gif1 (10.107.50.22/30)
  SG>        |
  SG>        +---------------------->10.50.1.22 (2 филиал)
  SG>                                gif0 (10.107.50.21/30)
  SG>                       локалка  fxp0 (10.107.100.1)
  SG> 172.16.99.2 ------------------------------->Internet
  SG> Вобщем, чтоб застраховаться от 100% загрузки каналов
  SG> второстепенным трафиком я попытался сконфигурить шейпер
  SG> dummynet на ограничение полосы пропускания.
 
         Я бы посоветовал выбрать другой тунель для работы. У меня на gif резко
 отказалась работать почта по smtp. Соединения проходило и дальше все
 отваливалось по таймауту (подезреваю тут проблема с mss(?)). И потом, зачем ваш 
 локальный трафик в открытом виде ходит по интернет? Hа мой взгляд, лучше взять
 ppp (over udp, штантно имеется, смотри примеры /usr/share/exemples/ppp/), ipsec 
 (хм, а ведь он тоже gif использует, у кого-нибудь еще были проблемы с работой по
 smtp через gif?)...
 
  SG> А глюк проявляется в том, что при настройке шейпера на gif-ах:
 
  SG> 1. если ограничиваю исходяший от меня трафик (напр. до 64К)
  SG>     перестает работать аська (ч-з сокс) и инет (ч-з сквид)
  SG>     (пакеты пролазят, я прверял в филиале на сетевухе
  SG>     смотрящей в локалку) но коннекта нету, хотя почта
  SG>     ходит нормально в пределах ограниченной полосы...
 
         хм, попробуй с mtu поиграться.
 
  SG> 2. немогу ограничить полосу на входящий трафик (счетчики по нулям...)
  SG>     несколько раз переделывал правила, перепроверял...должно работать,
  SG>     но не работает..... (даже ман по IPFW перевел...не помогло  :-(((
  SG> )
 
  Hе в том месте расставил pipe. Вообще, в твоем случае можно пайп поставить на
 протокол "ipip".
 
  SG> Памагите кто чем может!!! ПЛИИИИИЗ!!!!!!!!
 
  SG> Может подскажете чем просмотреть что происходит с пакетами
  SG> при прохождении связки ipnat-ipfw-gifXXX и в какой
  SG> последовательности оно все происходит?
 
 ipnat?? может natd все-же? (в случае с ipnat ты можешь  дополнительных глюков
 огрести т к в ipfw ты видешь пакеты уже после ipnat ...)
 
  SG> уже крыша едет...   :-(((
 
        Для настройки ipfw полезно ставить ipfw.verbose=1 , правила с log и
 смотреть что происходит в логах...
 
  SG> PS: система перекомпилена с включенным IPFW2
 
  SG> ========== вырезка из rc.firewall (начало) ====================
  SG> /sbin/sysctl net.inet.ip.fw.one_pass=0
 
  SG> ${fwcmd} pipe 1 config bw 64Kbit/s
 
 [skip]
 
  SG> 1250 pipe 1 all from not 10.107.1.8/32 to 10.107.100.0/24 out via
  SG> gif1
 
  SG> # на входящий трафик пакеты в правила не попадают
  SG> # напр. при для противоположного 1251 условия при
  SG> # "from 10.107.101.0/24 to not 10.107.1.8/32 in via gif0"
  SG> # счетчики по нулям
 
  SG> 1251 pipe 1 all from not 10.107.1.8/32 to 10.107.101.0/24 out via gif0
  SG> 1252 pipe 1 all from any to 10.107.50.17/32 out via gif0
  SG> 1253 pipe 1 all from any to 10.107.50.21/32 out via gif1
 
  все вышестоящее можно заменить на:
  pipe 1 ipip from any to any via ${wan_if} (out по вкусу)
  где wan_if интерфейс смотрящий на провайдера.
 
  SG> =========== и чуть-чуть ifconfig ================
  SG> gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
  SG>          tunnel inet 10.50.1.14 --> 10.50.1.2
  SG>          inet 10.107.50.18 --> 10.107.50.17 netmask 0xfffffffc
  SG> gif1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
  SG>          tunnel inet 10.50.1.14 --> 10.50.1.22
  SG>          inet 10.107.50.22 --> 10.107.50.21 netmask 0xfffffffc
 
   WBR, Vladimir
                         iсq:41355077, mаilto:wlad(at)klax.tula.ru
 --- GoldED+/W32 1.1.5-0613
  * Origin: What did you expect to read here? (2:5022/47)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    Люди!! Помогите с настройкой IPFW (повторно)   Sergey A. Gontar   03 Apr 2003 11:18:58   Люди!! Помогите с настройкой IPFW (повторно)   Vladimir Lyapkin   04 Apr 2003 06:36:56   Re: Люди!! Помогите с настройкой IPFW (повторно)   Sergey A. Gontar   04 Apr 2003 11:23:22