Типовая задача по настройке но голова уже

ekodian

Вопрос по комплексной настройке, уже сам запутался во всём, ни с чем подобным дела доселе не имел потому голова идёт кругом.
Есть локальная сеть из двух типов пользователей: начальство и подчинённые. Цель - дать начальству больше трафика чем подчинённым. Резать некоторые сайты подчинённым.

Что есть: Локальная сеть 60 пользователей / 5 руководителей. Относительно старый компьютер с 2я сетевыми картами.

Что сделано: pfs стоит между провайдером и людьми, поднят DHCP раздаётся 10.10.0.100-199 пользователям, руководство кидается в зарезервированные ip: 10.10.0.200-250. В Aliases добавлены два алиаса DHCPSUPOOL и DHCPCUPOOL для super users и common users соответственно. Поставлен SQUID в нём указаны настройки блока для нежелательных сайтов, всё режет отлично. Поднят NAT для доступа в интернет. Traffic shaper настроен в LAN из 3х очередей CBQ qDL_High и qDL_Low и qDL_Default.
В правилах
WAN:
Proto Source Port Dest Port GW Queue
TCP/UDP * * DHCPCUPOOL * * none

• • • DHCPSUPOOL * * none
      LAN:
      Proto Source Port Dest Port GW Queue
• DHCPSUPOOL * * * * none
  TCP DHCPCUPOOL HTTP(80) * * * none
  далее аналогично для DNS NTP и некоторых других

в Floating Rules указываю
Proto Source Port Dest Port GW Queue
TCP/UDP * * DHCPPool * * qDL_Low
TCP/UDP DHCPCUPool * * * * qDL_Low
для DHCPSUPOOL аналогично

Выбраны WAN/LAN, Direction=any, Action=Queue

Всё кидается почему-то в qDL_Default
Как я понимаю проблема в NAT и из-за трансляции адресов pfs не может определить пакеты, помогите пожалуйста решить данную проблему :-) уже голова идет кругом.  ???

UPD: Версия PFS: 2.0 RC1

dvserg

А какой трафик пытаетесь зашейпить?
При использовании прокси сервера регулировать HTTP трафик шейпером не получится.

ekodian

Пытаюсь зашейпить весь трафик, в основном http и p2p.
Как тогда быть ? ставить в виртуалке 2й pfsense и 1н на шейпинг а 2й как прокси ?
Двойной нат имх извращение выходит… по-другому никак ? Можно ли каким-либо образом шейпить трафик сквида, средствами pfs а не сквида?

dvserg

@ekodian:

Пытаюсь зашейпить весь трафик, в основном http и p2p.
Как тогда быть ? ставить в виртуалке 2й pfsense и 1н на шейпинг а 2й как прокси ?
Двойной нат имх извращение выходит… по-другому никак ? Можно ли каким-либо образом шейпить трафик сквида, средствами pfs а не сквида?

Трафик сквида средствами ГУЯ нет, т.к. правила пакетов приоритетнее правил пользователя(ГУЯ)
P2P шейпить можно.

ekodian

ооооок
тогда такой вопрос, не средствами ГУЯ мужно настроить шейпер чтобы резал сквид?
Если нет то, как я смотрю судя по логам он кидает сквид в default queue а остальной трафик таки шейпит следовательно можно сделать правила чтобы он ловил Остальной трафик и шейпил его вместе с default queue, а шейп сквидового трафика настроить непосредственно в сквиде?

dvserg

@ekodian:

ооооок
тогда такой вопрос, не средствами ГУЯ мужно настроить шейпер чтобы резал сквид?

Да, если знакомы с PF - изменить /usr/local/pkg/squid.inc функцию правил.
Добавить нужные опции в правила.