|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Michael Kolomiets 2:5020/400 16 Apr 2002 22:27:16
To : All
Subject : Зарулить pipe в ipfw
--------------------------------------------------------------------------------
Привет!
Ситуация такая, две локальных сети 10.0.1.0/24 и 10.0.3.0/24. Каждая
подключена через отдельную карту (xl0, xl1) к машине с выходом в инет
(ppp0). Hа этой машине сконфигурен ipfw и natd. Hе могу никак описать
правильно pipe, что бы можно было по отдельности шейпить трафик для каждой
сетки, причем вхоящий и исходящий поток относительно ppp0 по отдельности. По
логике вещей пакеты подходящие к конкретной пипе должны увеличивать счетчики
оной, однако ipfw sh (так же как и ipfw pipe sh) упорно показывает нули.
Пробовал так (пока только для сети 10.0.1.0, хоть бы с одной разобраться):
ipfw add pipe 1 all from 10.0.1.0/24 to any out via ppp0
ipfw add pipe 1 all from any to 10.0.1.0/24 in via ppp0
Я так полагаю, нат уже успевает сделать свое черное дело, и приходя на ppp0
пакет имеет уже совсем другой сорцовый адрес (почти аналогично происходит и
в обратную сторону только с адресом назначения).
А еще пробовал так:
ipfw add pipe 1 all from 10.0.1.0/24 to not 10.0.1.0/24 in via xl0
ipfw add pipe 1 all from not 10.0.1.0/24 to 10.0.1.0/24 out via xl0
Тут я даже не знаю, почему она не прокатывает (пробовал и to any/from any
соответственно).
Ага! Тут вот выяснилось, что реагируют таки пипы (второй вариант) на пакеты,
только правда на icmp :() Привожу полностью правила, мож я чего то не так
задал:
netmaster# ipfw li
00100 allow ip from any to any via lo0
00200 allow tcp from any to 10.0.1.0/24 80 via xl0
00300 allow tcp from any to 10.0.1.0/24 80 via xl1
00400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv xl0
00500 fwd 127.0.0.1,3128 tcp from any to any 80 in recv xl1
00600 reset log logamount 100 tcp from any to any 113 in recv ppp0
00700 allow udp from any to any 53 out xmit ppp0
00800 allow udp from any 53 to any in recv ppp0
00900 allow log logamount 1000 tcp from any to $oip 7 in recv ppp0 setup
01000 allow log logamount 1000 tcp from any to $oip 21 in recv ppp0 setup
01100 allow log logamount 1000 tcp from any to $oip 25 in recv ppp0 setup
01200 allow log logamount 1000 tcp from any to $oip 80 in recv ppp0 setup
01300 allow log logamount 1000 tcp from any to $oip 49152-65535 in recv ppp0
setup
01400 allow log logamount 1000 udp from any to any 49152-65535 via ppp0
01500 allow icmp from any to any icmptype 3
01600 allow icmp from any to any icmptype 11
01700 divert 8668 ip from any to any via ppp0
01800 allow tcp from any to any out xmit ppp0 setup
01900 allow tcp from any to any established
02000 allow tcp from any to any via xl0 setup
02100 allow tcp from any to any via xl1 setup
02200 allow udp from any to any via xl0
02300 allow udp from any to any via xl1
03000 pipe 1 ip from 10.0.1.0/24 to any in recv xl0
03100 pipe 2 ip from any to 10.0.1.0/24 out xmit xl0
04000 pipe 3 ip from 10.0.3.0/24 to any in recv xl1
04100 pipe 4 ip from any to 10.0.3.0/24 out xmit xl1
65435 deny log logamount 1000 ip from any to any
65535 deny ip from any to any
Для самих пайп дано такое (временно):
ipfw pipe x config bw 8KByte/s
Hа 80 порту сидит сокет редиректор и пробрасывает запросы на апач сидящий в
10.0.3.0, из-за него, собственно и вся катавасия - порезать канал, так чтоб
юзера из сети 10.0.1.0, ходящие в инет, не давили полностью канал для оного,
ну и соответственно наоборот. Hа этой же (там где ppp0) машине сидит сквид
(транспарент), сенмдайл и кирусовый имап, то биш имеет смысл не ограничивать
скорость из локальных сеток на саму машину.
Выручайте советом, ПЛЗ, а то уже потихоньку крышу от этих правил начинает
сдувать.
ЗЫ. Кто знает, киньте ссылку, ПЛЗ, на нормальные доки по конфигурению
дамминет, в смысле остальных параметров - delay, queue етс. А то чего то по
манам тяжковато...
--
С уважением, Михаил.
--- ifmail v.2.15dev5
* Origin: Akcecc ISP News Server (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
