Pfsense 2.0 traffic shaper вопросы

dvserg

У меня стояла задача блоками изобразить простую логику обработки пакета, чтобы было видно и понятно когда и какой этап проходит. Более продвинутым и оригинальная схема поможет. ALTQ отображена как функциональный блок без внутренней детализации - здесь еще есть вариант подумать над ней.

alexandrnew

да я в принципе и так понял :) недавно разбирался с iptables…
думаю по топикам моим видно что не совсем начинающий :) но всего знать не возможно...
как сказал у меня знакомый - если человек умеет фаер нормально писать с консоли - то особых проблем в понимании нету :)

dvserg

@alexandrnew:

да я в принципе и так понял :) недавно разбирался с iptables…
думаю по топикам моим видно что не совсем начинающий :) но всего знать не возможно...
как сказал у меня знакомый - если человек умеет фаер нормально писать с консоли - то особых проблем в понимании нету :)

Ну ты понял, а другие? Хочется чтобы раз взглянул и понял саму идею, а не лазить днями по первоисточникам и искать смысл.

alexandrnew

я ж не спорю :)
да и нет уверенности что на 100% понял :)

dvserg

@alexandrnew:

я ж не спорю :)
да и нет уверенности что на 100% понял :)

Там кстати неточности и неправильности. Создан отдельный топик - по мере понимания кладу все туда. Если есть комменты/замечания, в личку или сюда.

alexandrnew

топик видел, спасибо
я подписался :) и заглядываю периодически.
пока пригрузили работой, посему - только читаю и думаю.тестить буду со вторника..
с наступающими! и Вам желаю отдохнуть!

Tamriel

Как так сделать чтоб исходящий тарфик HTTP (к примеру кто т  upload ит  фото на радикал) ходил по одной  очереди
а остальной трафик HTTP ходил по другой ?

Это возможно ?

Вот что я сделал (но мне кажится что сёрфинг замедляется при этом :( )
m_Other HTTP inbound  это для входящего трафика (закачки сёрфинг)
m_Other HTTP outbound  для аплоада.

dvserg

Возможно, если настроите правилами файрвола.

Tamriel

Всё супер тока вот с фаерволом в шейпере как то трудновато.
можно ещё раз кто врубил какой принцип работы фаера

Как я понял
Абсолютно все общие правила должны быть вверху(тоесть если нада ловить p2p и прочий тяжёлый трафик)
а там http pop3 (всё что улаживается в небольшой диапозон портов и ip адрессов)
должны быть снизу с пометкой quick

alexandrnew

@Tamriel:

Всё супер тока вот с фаерволом в шейпере как то трудновато.
можно ещё раз кто врубил какой принцип работы фаера

Как я понял
Абсолютно все общие правила должны быть вверху(тоесть если нада ловить p2p и прочий тяжёлый трафик)
а там http pop3 (всё что улаживается в небольшой диапозон портов и ip адрессов)
должны быть снизу с пометкой quick

без quick
так как quick - сразу применяет правило, а не просто "метит" для шейпера, т.е. если вы сделаете quick, а в правилах на интерфейсе - запретите, то запрет не сработает.

Tamriel

тоесть фаервол (флоатинг) сначало все правила просмотрит и какое последние нашёл то и срабатывает ?

alexandrnew

смотри. если правила в  Floating Rules без quick см. http://forum.pfsense.org/index.php/topic,33870.msg176410.html#msg176410
то они помечаются в порядке прохождения, а далее - идут по правилам на интерфейсах,
пример: пометилось все первым правилом, в очередь. например р2р, далее идет вниз по правилам, если находится более "точное" - например подходящее под порт - помечается уже им, если до конца правил уже нет вхождений - то переходит на правила интерфейсов, а там либо разрешен траф либо запрещен…
если же поставить quick - то сразу пакет будет пройден по правилу (deny\allow....) и не пройдет далее., следовательно если первое правило с очередью р2р сделать quick - то весь траф будет только по этой очереди.

Tamriel

значит правила проходят с верху в низ и помечает только самое точно из них (без пометки quick)

Tamriel

и что даёт вот эта минюшка ?

alexandrnew

это к какому интерфейсу применять, насколько я понимаю  если не делаешь quick - то лучше не трогайц - применяться будет ко всем, в т.ч. и новым (пптп, ипсек и тд)
я лично пока еще разбираюсь с шейпером по топику и благодаря dvserg.
но правила делаю как рекомендовали - в  Floating - пометки для шейпера, а все остальное - по интерфейсам

Tamriel

Правила для шейпера вообще не однозночные :(
раньше было намного понятнее (в бета версии)

dvserg

@Tamriel:

Правила для шейпера вообще не однозночные :(
раньше было намного понятнее (в бета версии)

Что именно?

Tamriel

вот щас заметил что p2p трафик(отдача) ходит не в ту трубу
вот скрин

по мои соображениям p2p должно обязательно попасть в p2p а вот попадает в qdefault
закачка p2p попадает правильно
direction везде any

Tamriel

Apr 4 23:42:55 	miniupnpd[56059]: sendto(udp_notify=16, 192.168.0.1): No buffer space available
Apr 4 23:42:55 	miniupnpd[56059]: sendto(udp_notify=16, 192.168.0.1): No buffer space available
Apr 4 23:42:55 	miniupnpd[56059]: sendto(udp_notify=16, 192.168.0.1): No buffer space available
Apr 4 23:42:55 	miniupnpd[56059]: sendto(udp_notify=16, 192.168.0.1): No buffer space available
Apr 4 23:42:55 	miniupnpd[56059]: sendto(udp_notify=16, 192.168.0.1): No buffer space available
Apr 4 23:42:55 	miniupnpd[56059]: sendto(udp_notify=16, 192.168.0.1): No buffer space available

У кого такие же логи ?
и начиная с каких версий их уже пофиксили
спс

Tamriel

Я объединил Lan и OPT2 в бридж
как мне сделать для бриджа (условно говоря это Лан бридж) трафик шейпер (один шейпер на 2 интерфейса, а не на каждый свой шейпер)
или же как сделать чтоб имея один канал к примеру 7 Мбит поделить между пользователями на 2-х интерфейсах объединёных в бридж
спс