Frozen Fido : RU.UNIX.BSD : Люди!! Помогите с настройкой IPFW (повторно)

ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Sergey A. Gontar                     2:5020/400     03 Apr 2003  11:18:58
 To : All
 Subject : Люди!! Помогите с настройкой IPFW (повторно)
 --------------------------------------------------------------------------------

 
 Хаюшки всезнающему ALL!!
 
 Похоже первый постинг затерялся где-то в недрах Сети,
 поэтому рискну повториться.....
 
 Проблема в следующем:
 
 Есть FreeBSD 4.7-RELEASE с несколькими сетевухами.
 1 из сетевух смотрит на провайдера (инет т.е.)
 на этой сетевухе сделано 2 виртуальных gif-а,
 которые смотрят через того самого провайдера
 на 2 наших филиала в другом городе (т.е. через
 1 сетевуху идет 3 независимых потока, которые разветвляются
 у провайдера). У филиалов есть 2 вида трафика: 1-служебный
 (SQL там всякие) и 2-который можно попридержать (инет,
 почта и т.п.).
 
 Hа рисунке это выглядит примерно так:
 
                      локалка  fxp0 (10.107.101.1)
                               gif0 (10.107.50.17/30)
        +---------------------->10.50.1.2  (1 филиал)
        |
 gif0 (10.107.50.18/30)
 10.50.1.14 (alias)
 gif1 (10.107.50.22/30)
        |
        +---------------------->10.50.1.22 (2 филиал)
                                gif0 (10.107.50.21/30)
                       локалка  fxp0 (10.107.100.1)
 172.16.99.2 ------------------------------->Internet
 Вобщем, чтоб застраховаться от 100% загрузки каналов
 второстепенным трафиком я попытался сконфигурить шейпер
 dummynet на ограничение полосы пропускания.
 
 А глюк проявляется в том, что при настройке шейпера на gif-ах:
 
 1. если ограничиваю исходяший от меня трафик (напр. до 64К)
     перестает работать аська (ч-з сокс) и инет (ч-з сквид)
     (пакеты пролазят, я прверял в филиале на сетевухе
     смотрящей в локалку) но коннекта нету, хотя почта
     ходит нормально в пределах ограниченной полосы...
 
 2. немогу ограничить полосу на входящий трафик (счетчики по нулям...)
     несколько раз переделывал правила, перепроверял...должно работать,
     но не работает..... (даже ман по IPFW перевел...не помогло  :-(((  )
 
 Памагите кто чем может!!! ПЛИИИИИЗ!!!!!!!!
 
 Может подскажете чем просмотреть что происходит с пакетами
 при прохождении связки ipnat-ipfw-gifXXX и в какой
 последовательности оно все происходит?
 
 уже крыша едет...   :-(((
 
 PS: система перекомпилена с включенным IPFW2
 
 ========== вырезка из rc.firewall (начало) ====================
 /sbin/sysctl net.inet.ip.fw.one_pass=0
 
 ${fwcmd} pipe 1 config bw 64Kbit/s
 
 ${fwcmd} add 100 reject tcp from any to any 137-139
 ${fwcmd} add 100 reject udp from any to any 137-139
 ${fwcmd} add 100 reject tcp from any 137-139 to any
 ${fwcmd} add 100 reject udp from any 137-139 to any
 
 ${fwcmd} add 1000 pass all  from any to any via lo0
 ${fwcmd} add 1000 pass all  from 127.0.0.0/8 to 127.0.0.0/8
 ${fwcmd} add 1000 pass icmp from any to me
 # это физический адр. внешней сетевухи
 ${fwcmd} add 1000 pass all from 172.16.99.2 to any
 
 ############# Pseudo interfaces #######################
 # физические адреса для тунелей с IPSEC
 # 10.50.1.14 - мой alias для 172.16.99.2
 # 10.50.1.2  - физический адрес 1 филиала
 # 10.50.1.22 - физический адрес 2 филиала
 ${fwcmd} add 1100 pass all from 10.50.1.2 to 10.50.1.14
 ${fwcmd} add 1100 pass all from 10.50.1.14 to 10.50.1.2
 ${fwcmd} add 1100 pass all from 10.50.1.22 to 10.50.1.14
 ${fwcmd} add 1100 pass all from 10.50.1.14 to 10.50.1.22
 
 ###################### Gated ruleset ######################
 ${fwcmd} add 1200 allow ip from any to 224.0.0.0/8 via gif0
 ${fwcmd} add 1200 allow ip from any to 224.0.0.0/8 via gif1
 ${fwcmd} add 1200 allow ip from any to 224.0.0.0/8 via ppp0
 ${fwcmd} add 1200 allow ip from any to 224.0.0.0/8 via fxp0
 ${fwcmd} add 1200 allow ip from any to 224.0.0.0/8 via lo0
 
 #
 #
 #для сокращения длинны строк "${fwcmd} add" я убрал
 #
 ###################### PIPES ###########################
 1250 pipe 1 all from not 10.107.1.8/32 to 10.107.100.0/24 out via gif1
 
 # на входящий трафик пакеты в правила не попадают
 # напр. при для противоположного 1251 условия при
 # "from 10.107.101.0/24 to not 10.107.1.8/32 in via gif0"
 # счетчики по нулям
 
 1251 pipe 1 all from not 10.107.1.8/32 to 10.107.101.0/24 out via gif0
 1252 pipe 1 all from any to 10.107.50.17/32 out via gif0
 1253 pipe 1 all from any to 10.107.50.21/32 out via gif1
 
 =========== и чуть-чуть ifconfig ================
 gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
          tunnel inet 10.50.1.14 --> 10.50.1.2
          inet 10.107.50.18 --> 10.107.50.17 netmask 0xfffffffc
 gif1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
          tunnel inet 10.50.1.14 --> 10.50.1.22
          inet 10.107.50.22 --> 10.107.50.21 netmask 0xfffffffc
 --- ifmail v.2.15dev5
  * Origin: POE NewsServer (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
Люди!! Помогите с настройкой IPFW (повторно)	Sergey A. Gontar	03 Apr 2003 11:18:58
Люди!! Помогите с настройкой IPFW (повторно)	Vladimir Lyapkin	04 Apr 2003 06:36:56
Re: Люди!! Помогите с настройкой IPFW (повторно)	Sergey A. Gontar	04 Apr 2003 11:23:22

Архивное /ru.unix.bsd/16466b19eac84.html, оценка 2 из 5, голосов 10