Вопросы про шейпер

REM · Mar 21, 2012, 1:43 PM

Добрый день всем, есть пара вопросов
1)попытался настроить шейпер, и как не странно работает, если бы не одно НО, трафик по фтп попадает в трубу с низшим приоритетом, как его оттуда выгнать?
шейпер настраивался через мастер single wan-multi lan, попробовал добавить правило по аналогии с http, не помогло, или я чего то не понял?

Если на шлюзе поднять прокси, то весь его трафик идет в дефолтную трубу, в поиске нашел, что это не исправить, но может что то изменилось?

dvserg · Mar 21, 2012, 1:54 PM

Очередь qACK только для TCP трафика.
Прокси это программа к которой по сути подключаются клиенты (вместо внешнего мира) и пакеты там ходят по иному: Client > Squid [proxy interface IP : proxy Port] + Squid [127.0.0.1 : ] > Мир . Отсюда и иные правила для трафика. И тут же прошейпить получится только направление прокси > клиент и прокси > мир. Качать из интернета сам squid будет на полной скорости.

REM · Mar 21, 2012, 1:56 PM

хм, то есть оставить tcp- в остальном верно? тогда не помогло, или qask оттуда совсем убрать?

nomeron · Mar 21, 2012, 4:39 PM

А интерфейс в правиле правильно выбран, как и в остальных ?

REM · Mar 22, 2012, 4:58 AM

да, все также, НО, по умолчанию интерфейс wan, а в трубу qOthersLow on LAN попадает

REM · Mar 22, 2012, 5:44 AM

вроде разобрался

добавил qDefault на LAN
переделал правило как на картинке и заработало, правило сделал без интерфейса

REM · Mar 22, 2012, 5:49 AM

@dvserg:

Очередь qACK только для TCP трафика.

Прокси это программа к которой по сути подключаются клиенты (вместо внешнего мира) и пакеты там ходят по иному: Client > Squid [proxy interface IP : proxy Port] + Squid [127.0.0.1 : ] > Мир . Отсюда и иные правила для трафика. И тут же прошейпить получится только направление прокси > клиент и прокси > мир. Качать из интернета сам squid будет на полной скорости.

Тем шейпером про который я спрашивал реально трафик от прокси вытащить из трубы по умолчанию?

werter · Mar 22, 2012, 7:06 AM

Вы только правила во флоатинг приведите в порядок - оставьте\добавьте только то что нужно. Остальное засуньте в трубу с наименьшим приоритетом.

REM · Mar 22, 2012, 7:39 AM

если не сложно, можно скрин правил с машины с pfsense, где и прокси и шейпер одновременно?

REM · Mar 22, 2012, 11:09 AM

как не странно, удалось загнать трафик с прокси в отдельную трубу
правило для лан интрфейса

dvserg · Mar 22, 2012, 11:58 AM

@REM:

как не странно, удалось загнать трафик с прокси в отдельную трубу
правило для лан интрфейса

Это трафик прокси - клиент. А зачем его шейпить, если клиент и прокси находятся в одной локальной подсети? Прокси от этого медленнее запрашивать данные через внешний канал не станет. Шейпить имеет смысл трафик, уходящий во внешний мир.

REM · Mar 22, 2012, 1:43 PM

корп сетка, 1 вход, 10 отделов, некоторые любят торренты, начал борьбу с ними при помощи шейпера, остальное следствие, про исход завтра напишу правило, если неправильно будет - поправьте, если не сложно.

REM · Mar 23, 2012, 5:20 AM

А так весь трафик попадает в трубу по умолчанию, как правильно?

REM · Mar 28, 2012, 9:20 AM

Уважаемый dvserg, не могли бы Вы мне ответить на вопрос выше?

dvserg · Mar 28, 2012, 1:08 PM

@REM:

Уважаемый dvserg, не могли бы Вы мне ответить на вопрос выше?

Настройте ограничение скорости средствами прокси. Там есть возможность ограничить общую ширину полосы и ограничить полосу на пользователя.
Шейпером вы трафик прокси не сможете корректно ограничить.

REM · Mar 29, 2012, 12:28 PM

Ок, спасибо, попробую
Можно еще пару вопросов?
1)
Disable DNS Rebinding Checks как настроить правильно, и нужно ли, объясню суть проблемы, если включено, то на несколько хостов провайдера с ип 10.255.255.x в логах ребинд атаки и не пускает, а они нужны.
2)Do not use the DNS Forwarder as a DNS server for the firewall, без этой галки все вроде работает, но mail.google.com не видит, тоесть если днс 127.0.0.1 в resolv.conf есть, нормально не работает, почему?
в настройках указаны 2 днс.