Pfsense 2.0 traffic shaper вопросы
-
в lan \wan правилах?
Ackqueue/Queue - я так понимаю Ackqueue - труба для установления соединений /Queue -собственно очередь?
для р2р трафика - его как определять? layer 7 использовать? -
опять таки, мастером сделал очереди,
в очередях
qDefault on WAN 174.82Kb/s
другие пусты. при этом идет закачка по хттп в 8 мегабит…
как понимать? -
опять таки, мастером сделал очереди,
в очередях
qDefault on WAN 174.82Kb/s
другие пусты. при этом идет закачка по хттп в 8 мегабит…
как понимать?Правило не поймало пакет и не переправило в нужную очередь. Работает дефолтная очередь.
-
правила только пробую настроить, не пойму почему разница в скорости почти в 4ре раза…
-
правила только пробую настроить, не пойму почему разница в скорости почти в 4ре раза…
Мегабайт Мегабиту рознь. Какая скорость канала и что выставлено в родительских очередях? Должно быть чуть меньше чем скорость канала, в том числе с учетом симметрии (АДСЛ к примеру).
-
на wan Bandwidth = 8Mbit
там оптика…в реале дает около 8,5 мегабит..
очередя должны біть на lan или wan? так как wan 2 интерфейса (траф пока ходит по одному, роутинг не настраивал) - делал правала мастером Single Lan multi Wan
не могу понять что далее надо делать? -
Применительно к 1.2 см qWanRoot/qLanRoot там без привязки к интерфейсу..
Версии 2.0 под рукой нет пока. -
всегда проверяй работу шейпера по статусу очередей.
-
Отдельный топ
http://forum.pfsense.org/index.php/topic,33870.0.html -
так и делаю, выше писал - реально скачивает в 8 мегабит, а показывает в 4 раза меньше
-
Попробуем разобраться с идеологией шейпера в 2.0
Первое, на что обращаем внимание - все правила файрвола с шейпингом помещаются в разделе Floating Firewall rules. Возможно это не обязательное условие, но все-таки для начала поступаем так-же.
так-с…
а при этом как будет проходить правило? что такое Floating Firewall rules ? - меня интерисует - если я там разрешу например хттп для лан интерфейса, то в лан разрешать не надо? -
порядок в принципе какой? если очередь создалась на wan а я применяю на лан - или так нельзя?
-
Набросал некоторую информацию, которую нужно еще осмыслить.
-
а при этом как будет проходить правило? что такое Floating Firewall rules ? - меня интерисует - если я там разрешу например хттп для лан интерфейса, то в лан разрешать не надо?
Floating Firewall rules - почти тоже, что и правила на интерфейсах, но с бОльшим функционалом (возможность выбора интерфейса (можно несколько), quick, направления in/out и т.п.) и при генерации правил pf располагаются "выше" правил на интерфейсах.
Соответственно если вы там например quick-запретите http, то до правил на интерфейсе дело не дойдёт.
В общем надо планировать куда и зачем помещать правила. Если я правильно понимаю задумку, то правила на интерфейсах предназначены для наглядного восприятия фильтрации входящего трафика на интерфейсе, а floating для более тонкой настройки, или назовём так, попыткой "таблезации" блокирующе/разрешающих правил pf.Для понимания работы шейпера и не только может помочь: http://homepage.mac.com/quension/pf/flow.png, хотя у меня остаётся ещё куча непонятых моментов.
-
-
а при этом как будет проходить правило? что такое Floating Firewall rules ? - меня интерисует - если я там разрешу например хттп для лан интерфейса, то в лан разрешать не надо?
Floating Firewall rules - почти тоже, что и правила на интерфейсах, но с бОльшим функционалом (возможность выбора интерфейса (можно несколько), quick, направления in/out и т.п.) и при генерации правил pf располагаются "выше" правил на интерфейсах.
Соответственно если вы там например quick-запретите http, то до правил на интерфейсе дело не дойдёт.
В общем надо планировать куда и зачем помещать правила. Если я правильно понимаю задумку, то правила на интерфейсах предназначены для наглядного восприятия фильтрации входящего трафика на интерфейсе, а floating для более тонкой настройки, или назовём так, попыткой "таблезации" блокирующе/разрешающих правил pf.Для понимания работы шейпера и не только может помочь: http://homepage.mac.com/quension/pf/flow.png, хотя у меня остаётся ещё куча непонятых моментов.
за картинку спасибо, но я не понял по ней в каком моменте Floating правила и где стоит шейпер… (в иптаблес тоже долго не понимал порядок прохождения пакетов)
-
за картинку спасибо, но я не понял по ней в каком моменте Floating правила и где стоит шейпер… (в иптаблес тоже долго не понимал порядок прохождения пакетов)
Мне показалось, что я ответил, но наверно сумбурно выражаю мысли.
Floating - это терминология пфсенса - к PF прямого отношения не имеет. Генерируются "выше" "интерфейсных" по списку правил, а значит и срабатывают раньше.
Шейпер (ALTQ) встречается на картинке в 3 местах: два тэгирования - одно на входе, второе на выходе и очереди на выходе. Какое из тэгирований приоритетней не знаю, не проверял, но думаю последнее по прохождению пакета. -
за картинку спасибо, но я не понял по ней в каком моменте Floating правила и где стоит шейпер… (в иптаблес тоже долго не понимал порядок прохождения пакетов)
Мне показалось, что я ответил, но наверно сумбурно выражаю мысли.
Floating - это терминология пфсенса - к PF прямого отношения не имеет. Генерируются "выше" "интерфейсных" по списку правил, а значит и срабатывают раньше.
Шейпер (ALTQ) встречается на картинке в 3 местах: два тэгирования - одно на входе, второе на выходе и очереди на выходе. Какое из тэгирований приоритетней не знаю, не проверял, но думаю последнее по прохождению пакета.что терминология пфсенса - это я понял, хочу понять на каком этапе становятся правила (в теории они просто в списке правил идут раньше…)
по тегам - тоже логично, что после фаера. -
за картинку спасибо, но я не понял по ней в каком моменте Floating правила и где стоит шейпер… (в иптаблес тоже долго не понимал порядок прохождения пакетов)
Мне показалось, что я ответил, но наверно сумбурно выражаю мысли.
Floating - это терминология пфсенса - к PF прямого отношения не имеет. Генерируются "выше" "интерфейсных" по списку правил, а значит и срабатывают раньше.
Шейпер (ALTQ) встречается на картинке в 3 местах: два тэгирования - одно на входе, второе на выходе и очереди на выходе. Какое из тэгирований приоритетней не знаю, не проверял, но думаю последнее по прохождению пакета.что терминология пфсенса - это я понял, хочу понять на каком этапе становятся правила (в теории они просто в списке правил идут раньше…)
по тегам - тоже логично, что после фаера.Правила Floating Rules становятся до правил интерфейсов.
-
dvserg - я имел ввиду что pfctl покажет их до правил интерфейсов, правильно?
ничем другим они не отличаются (корме большей гибкости при настройке с гуя)