 IPFW прошу хэлпа !!!,  netop, 26-Фев-07, 19:10 [смотреть все]Плиз хэлп! ОС: FreeBSD 5.4 + IPFW + NAT1. Есть ли аналог правила TCP ESTABLISHED для UDP и ICMP пакетов? Например я хочу пинговать компъютер в интернете, но не хочу, чтоб он мог пинговать меня! 2. Проблемы с траффик-шейпером, если в пайп загоняю ALL пакеты и выставляю скорость 10Мбит/с, то реальная скорость около 2Мбит/с и больше не поднимается :( Если TCP или UDP по отдельности - все ОК? Так и делать? По пайпу для каждого типа пакетов? 3. Как запустить NAT на VPN канале? Он же позже поднимается, а нат сразу падает - т.к. не находит интерфейса на котором работать! Выкручиваюсь пока при помощи delay в автозапуске. 4. Pipe не режет скорость на VPN канале tun0. Сервер подключается к провайдеру через VPN, там-же стоит NAT. При попытке резать прямую и обратную скорость на tun0 в итоге режется только прямая :( Наверно из-за НАТ. |
- IPFW прошу хэлпа !!!, Skif, 19:49 , 26-Фев-07 (1)
>Плиз хэлп! ОС: FreeBSD 5.4 + IPFW + NAT
>
>1. Есть ли аналог правила TCP ESTABLISHED для UDP и ICMP пакетов?
>Например я хочу пинговать компъютер в интернете, но не хочу, чтоб
>он мог пинговать меня!
определить типы icmp пакетов, на которые будет отвечать/слать твой хост>
>2. Проблемы с траффик-шейпером, если в пайп загоняю ALL пакеты и выставляю
>скорость 10Мбит/с, то реальная скорость около 2Мбит/с и больше не поднимается
>:( Если TCP или UDP по отдельности - все ОК? Так
>и делать? По пайпу для каждого типа пакетов? Не замечал.
>
>3. Как запустить NAT на VPN канале? Он же позже поднимается, а
>нат сразу падает - т.к. не находит интерфейса на котором работать!
>Выкручиваюсь пока при помощи delay в автозапуске. Смотря что пользуете. можно либо, если ppp указать ppp_nat="YES", либо в случае со статикой, прибить nat на ip.
>
>4. Pipe не режет скорость на VPN канале tun0. Сервер подключается к
>провайдеру через VPN, там-же стоит NAT. При попытке резать прямую и
>обратную скорость на tun0 в итоге режется только прямая :( Наверно
>из-за НАТ. А зачем на tun, то резать? Можно ж и на реальном интерфейсе этио сделать.
- IPFW прошу хэлпа !!!, netop, 20:08 , 26-Фев-07 (2)
>определить типы icmp пакетов, на которые будет отвечать/слать твой хост Ну это понятно - icmptypes, вопрос именно в том, на какие нужно отвечать - сами номера, или где по этому доки есть? >Смотря что пользуете. можно либо, если ppp указать ppp_nat="YES", либо в случае
>со статикой, прибить nat на ip. Пользуюсь pptp-client'ом - подойдет ppp_nat? про "прибить nat на ip" знаю, но доки не нашел :( Можно оба способа подробней? >А зачем на tun, то резать? Можно ж и на реальном интерфейсе
>этио сделать. Самое интересное в том, что на сервере 1 реальный интерфейс! Через него выход на провайдера (через шлюз) и на клиентов! Я на нем сейчас и режу скорость, но тогда режется и доступ пользователей к статистике. Когда качаешь - вообще нереально свою статистику посмотреть :(
Можно ли в правилах пайпа прописать, чтоб резал скорость на все ИП, кроме ИП сервера? Я не нашел МАНа по этому.
- IPFW прошу хэлпа !!!, JavaScript, 01:22 , 27-Фев-07 (3)
>Плиз хэлп! ОС: FreeBSD 5.4 + IPFW + NAT
>
>1. Есть ли аналог правила TCP ESTABLISHED для UDP и ICMP пакетов?
>Например я хочу пинговать компъютер в интернете, но не хочу, чтоб
>он мог пинговать меня!
может попробовать STATEFUL FIREWALL (man ipfw)
а насчет icmp types - то из того-же man ipfw:
icmptypes types
Matches ICMP packets whose ICMP type is in the list types. The
list may be specified as any combination of individual types
(numeric) separated by commas. Ranges are not allowed. The sup-
ported ICMP types are: echo reply (0), destination unreachable (3), source quench (4),
redirect (5), echo request (8), router advertisement (9), router
solicitation (10), time-to-live exceeded (11), IP header bad
(12), timestamp request (13), timestamp reply (14), information
request (15), information reply (16), address mask request (17)
and address mask reply (18). >2. Проблемы с траффик-шейпером, если в пайп загоняю ALL пакеты и выставляю
>скорость 10Мбит/с, то реальная скорость около 2Мбит/с и больше не поднимается
>:( Если TCP или UDP по отдельности - все ОК? Так
>и делать? По пайпу для каждого типа пакетов?
не встречал такого - конфиг посмотреть >3. Как запустить NAT на VPN канале? Он же позже поднимается, а
>нат сразу падает - т.к. не находит интерфейса на котором работать!
>Выкручиваюсь пока при помощи delay в автозапуске.
man natd(8)
-dynamic If the -n or -interface option is used, natd will monitor the
routing socket for alterations to the interface passed. If
the interface's IP address is changed, natd will dynamically
alter its concept of the alias address. >
>4. Pipe не режет скорость на VPN канале tun0. Сервер подключается к
>провайдеру через VPN, там-же стоит NAT. При попытке резать прямую и
>обратную скорость на tun0 в итоге режется только прямая :( Наверно
>из-за НАТ.
По идее если правильно завернуть пакеты в pipe то все должно резать
у меня на PPPoE без проблем
- IPFW прошу хэлпа !!!, netop, 08:58 , 27-Фев-07 (4)
>не встречал такого - конфиг посмотреть ${fwcmd} add 500 divert natd all from any to any via tun0 ${fwcmd} pipe 5 config mask dst-ip 0xffffffff bw 56Kbit/s queue 10
${fwcmd} pipe 6 config mask src-ip 0xffffffff bw 56Kbit/s queue 10
${fwcmd} add 800 pipe 6 any from "table(2)" to any out via tun0
${fwcmd} add 900 pipe 5 any from any to "table(2)" in via tun0 >man natd(8)
> -dynamic Попробую >По идее если правильно завернуть пакеты в pipe то все должно резать
>у меня на PPPoE без проблем Правила выше.
|
Версия для распечатки
