проблемы с шейпером



  • Добрый день. Вопрос следующий:
        На pfsense  (1.2.3-RELEASE built on Sun Dec 6 23:21:36 EST 2009 FreeBSD 7.2-RELEASE-p5 i386)
    пытаюсь зажать канал для конкретного ip.
        Делаю один в один по описанию (http://forum.pfsense.org/index.php/topic,22754.15.html).
        После применения изменений монитор пишет (There were error(s) loading the rules: /tmp/rules.debug:17: syntax error /tmp/rules.debug:21: queue qwanRoot has no parent /tmp/rules.debug:21: errors in queue definition /tmp/rules.debug:23: queue qwandef has no parent /tmp/rules.debug:23: errors in queue definition /tmp/rules.debug:25: и т.д)
        Вот содержание /tmp/rules.debug

    System Aliases

    loopback = "{ lo0 }"
    lan = "{ rl1  }"
    ng0 = "{ rl0 ng0 }"
    wan = "{ rl0 ng0  }"
    enc0 = "{ enc0 }"
    zapas = "{ rl2 }"

    User Aliases

    set loginterface rl0
    set loginterface rl1
    set loginterface rl2
    set optimization normal

    set skip on pfsync0
    scrub all random-id max-mss 1452 fragment reassemble
    altq on rl0 hfsc bandwidth  queue { qwanRoot qlanRoot }
    altq on rl1 hfsc bandwidth 4096Kb queue { qlanRoot }

    queue qwanRoot bandwidth 512Kb priority 0 hfsc { qwandef, qwanacks, qVOIPUp, qPenaltyUp, qP2PUp, comp236up }
    queue qlanRoot bandwidth 4096Kb priority 0 hfsc { qlandef, qlanacks, qVOIPDown, qPenaltyDown, qP2PDown, comp236down }
    queue qwandef bandwidth 1% priority 1 qlimit 500 hfsc (  default realtime 1% )
    queue qlandef bandwidth 1% priority 1 qlimit 500 hfsc (  default realtime 1% )
    queue qwanacks bandwidth 25% priority 7 hfsc (  realtime 10% )
    queue qlanacks bandwidth 25% priority 7 hfsc (  realtime 10% ) и т.д

    В чем может быть проблема ?
    Возможно такое происходит из за того что на rl0 на назначен никакой статичный ip, а просто поднимаеться PPPoE сессия ?



  • Сначала должен быть мастер настройки, потом все ручные изменения: удаляем лишнее, добавляем свое. Принтскрины настроек есть?



  • запуск мастера








  • продолжение






  • продолжение








  • результат работы мастера






  • создаю очереди






  • результат создания очередей




  • создаю правила для ip






  • результат создания правил




  • итоговый результат после применения и сохранения настроек




  • Мда.. в недостатке рисунков не обвинишь.
    На первый взгляд все так, видимо действительно дело в PPPoE.
    Нужно в доках поискать про шейпер и PPPoE.



  • зато изложил, вроде, максимально понятно ))



  • та же проблема. тоже pppoe и тоже шейпер не работает. показывает те же ошибки. :(



  • Тоже собираюсь делать шейпинг канала. Подключение по АДСЛ через модем (режим моста). Однако, после прочтения данного топика как-то боязно  :-\ .
    Хотелось бы услышать насчет выше всего написаного мнение гуру - действительно ли существует данная проблема с ПППоЕ ? Спасибо за ответ.



  • Привет всем, итак, поехали….

    Моя реальная предистория....
    Руки очень чесались и хотелось воспользоваться шейпером, а то средств сквида для ограничения скорости "per ip" http-траффика оказалось маловато(народ научился пользоваться программой utorrent, а закрывать порты я не стал). Так же ваял кучу правил, старательно заполнял много полей в мастере шейпера и т.д. Как все ходили наполную катушку, так и продолжали ходить. Так было несколько раз, когда я пытался создать правила и чтобы работало.

    Ну хватит лирики, я сделал так: общая скорость канала должна быть никак не 4096, а например 4000 или еще меньше(об этом много раз упоминается на англоязычных ветках форума), при использовании мастера, используем ТОЛЬКО поля внешнего канала и параметры для penalty. "Штрафников" у меня не один, поэтому в penalty у меня alias, куда я пополняю этих самых штрафников. Теперь торрент-качалки у нас 1 Мбит не выходят, причем шейпер достаточно точно держит отведенный уровень.



  • volag
    Выложите пожалуйста ваши настройки для шейпера. Спасибо



  • @ddjeck:

    зато изложил, вроде, максимально понятно ))

    За это и получишь ответ :)
    Была у меня такая же проблема, как всегда самое сложное в умении читать  ;)
    Но читать я умею, немного конечно на енглише  ::)
    –---------------------------------------------------
    Короче зайди на пфсенс програмой WinSCP(или подобной) и нужно почистить папку \tmp
    Потом сделай через мастер, отредактируй, как тебе нужно и будет тебе счастье  :-X



  • Если в двух словах, у меня так, как на рисунках ниже.
    У меня есть альяс на список адресов, которые часто тянут торрентом и пытаются завалить весь  канал. Вот для них у меня "пенальти" и работает. последний рисунок показывает как душится канал для торрентов. у меня установлено ограничение в 2 Мбита для "пенальти". Для 80-го порта - режет трафик сквид, там один пользователь не может выбраться за 3 Мбита. Но с ним пришлось повозиться, т.к. в стандартном пакете сквид собран без delay-параметров, но в одной из веток форума я нашел ссылку на пересобраный, переставил и все заработало. версия сквида -2.7.7








  • @volag:

    У меня есть альяс на список адресов, которые часто тянут торрентом и пытаются завалить весь  канал. Вот для них у меня "пенальти" и работает. последний рисунок показывает как душится канал для торрентов.

    Для меня торентокачалки не есть проблема.
    Есть такой сайтик, как vkontаkte.ru. Самое интересное, что этот сайтик жрет трафика иногда поболее всех торентокачалок. Хотелось бы как-то отделить  vkontаkte.ru от других сайтов. Можно ли его в "пенальти"? Проблема еще в том что серверов vkontаkte.ru говорят, что около сотни. Можно и через сквид, но я в нем плохо шарю. Вот если б volag скинул свой конфиг сквида(у меня такой же инет)  ::) , а еще лучше весь сквид полностью(установленый) была бы ему большая благодарность  :) (залить на файл обменник и скинуть сюда ссылку)



  • squid настроить несложно. Думаю % Cache Hit будет неплохим. Есть возможность ограничивать медиапотоки, что и требуется в случае vkontakte.
    Воспользуйтесь ссылками
    http://doc.pfsense.org/index.php/Setup_Squid_as_a_Transparent_Proxy
    http://doc.pfsense.org/index.php/Setup_VideoCache_with_Squid
    http://www.diskatel.narod.ru/index.files/page0001.htm
    Конечно лучше всего окончательно запретить или разграничить (с помощью squidGuard) к таким ресурсам доступ.



  • @Templar3d:

    @volag:

    У меня есть альяс на список адресов, которые часто тянут торрентом и пытаются завалить весь  канал. Вот для них у меня "пенальти" и работает. последний рисунок показывает как душится канал для торрентов.

    Для меня торентокачалки не есть проблема.
    Есть такой сайтик, как vkontаkte.ru. Самое интересное, что этот сайтик жрет трафика иногда поболее всех торентокачалок. Хотелось бы как-то отделить  vkontаkte.ru от других сайтов. Можно ли его в "пенальти"? Проблема еще в том что серверов vkontаkte.ru говорят, что около сотни. Можно и через сквид, но я в нем плохо шарю. Вот если б volag скинул свой конфиг сквида(у меня такой же инет)  ::) , а еще лучше весь сквид полностью(установленый) была бы ему большая благодарность  :) (залить на файл обменник и скинуть сюда ссылку)

    Ну с вконтакте.ру можно и по-бороться. Заходим на 2ip.ru- Информация об IP адресе- вводим vkontakte.ru и цифири капчи. Узнаем диапазон адресов - 93.186.224.0/21. А далее делаем трубу и в правилах для этого диапазона загоняем туда смотрильщиков видео  ::) Кажется так.

    П.с. Гуру, покритикуйте , плиз, мой шейпер. Вроде свою функцию выполняет, даже если запущена туча торрентов на нескольких машинах. Пинг при этом максимум до 200 мс даже на очень "далекие" сайты. Плюс не мешает простому серфингу и почте.

    ![Firewall- Shaper- Rules_.gif](/public/imported_attachments/1/Firewall- Shaper- Rules_.gif)
    ![Firewall- Shaper- Rules_.gif_thumb](/public/imported_attachments/1/Firewall- Shaper- Rules_.gif_thumb)
    ![Firewall- Shaper- Queues_.gif](/public/imported_attachments/1/Firewall- Shaper- Queues_.gif)
    ![Firewall- Shaper- Queues_.gif_thumb](/public/imported_attachments/1/Firewall- Shaper- Queues_.gif_thumb)



  • @Templar3d:

    @volag:

    У меня есть альяс на список адресов, которые часто тянут торрентом и пытаются завалить весь  канал. Вот для них у меня "пенальти" и работает. последний рисунок показывает как душится канал для торрентов.

    Для меня торентокачалки не есть проблема.
    Есть такой сайтик, как vkontаkte.ru. Самое интересное, что этот сайтик жрет трафика иногда поболее всех торентокачалок. Хотелось бы как-то отделить  vkontаkte.ru от других сайтов. Можно ли его в "пенальти"? Проблема еще в том что серверов vkontаkte.ru говорят, что около сотни. Можно и через сквид, но я в нем плохо шарю. Вот если б volag скинул свой конфиг сквида(у меня такой же инет)  ::) , а еще лучше весь сквид полностью(установленый) была бы ему большая благодарность  :) (залить на файл обменник и скинуть сюда ссылку)

    Давай почту в личку, я закину весь бэкап своих настроек(без паролей, я думаю они не понадобятся).



  • Ну с вконтакте.ру можно и по-бороться. Заходим на 2ip.ru- Информация об IP адресе- вводим vkontakte.ru и цифири капчи. Узнаем диапазон адресов - 93.186.224.0/21. А далее делаем трубу и в правилах для этого диапазона загоняем туда смотрильщиков видео  ::) Кажется так.

    Не так все просто. Во первых для видео другой домен - vkadre.ru с другим диапазоном. Во вторых вконтакте разрешил iframe, есть приложение "торренты", так что реальный диапазон может быть вообще 0.0.0.0.



  • @deutsche:

    Ну с вконтакте.ру можно и по-бороться. Заходим на 2ip.ru- Информация об IP адресе- вводим vkontakte.ru и цифири капчи. Узнаем диапазон адресов - 93.186.224.0/21. А далее делаем трубу и в правилах для этого диапазона загоняем туда смотрильщиков видео  ::) Кажется так.

    Не так все просто. Во первых для видео другой домен - vkadre.ru с другим диапазоном. Во вторых вконтакте разрешил iframe, есть приложение "торренты", так что реальный диапазон может быть вообще 0.0.0.0.

    Вот же ж изгаляются , нехорошие  :D Лишь бы жизнь админу усложнять. Ну тогда радикальное решение - все что идет c\на порты(ов) TCP\UDP - 1024-65535 загнать в трубу p2pUP\p2pDown, дать наименьший приоритет или жестко ограничить скорость. Думается, так.



  • Последним правилом поставь *** чтобы вообще любой TCP/UDP в пенальти переправляло, а выше нормальный разрешенный траф загнать в нормальную очередь



  • @volag:

    @Templar3d:

    @volag:

    У меня есть альяс на список адресов, которые часто тянут торрентом и пытаются завалить весь  канал. Вот для них у меня "пенальти" и работает. последний рисунок показывает как душится канал для торрентов.

    Для меня торентокачалки не есть проблема.
    Есть такой сайтик, как vkontаkte.ru. Самое интересное, что этот сайтик жрет трафика иногда поболее всех торентокачалок. Хотелось бы как-то отделить  vkontаkte.ru от других сайтов. Можно ли его в "пенальти"? Проблема еще в том что серверов vkontаkte.ru говорят, что около сотни. Можно и через сквид, но я в нем плохо шарю. Вот если б volag скинул свой конфиг сквида(у меня такой же инет)  ::) , а еще лучше весь сквид полностью(установленый) была бы ему большая благодарность  :) (залить на файл обменник и скинуть сюда ссылку)

    Давай почту в личку, я закину весь бэкап своих настроек(без паролей, я думаю они не понадобятся).

    Не могу написать в личку, может код неправильно пишу.
    Почта Templar3dгав-гавgmail.com
    –-----------------------------
    Прокся неставилась, пришлось все снести - поставилась :)

    Ну тогда радикальное решение - все что идет c\на порты(ов) TCP\UDP - 1024-65535 загнать в трубу p2pUP\p2pDown, дать наименьший приоритет или жестко ограничить скорость. Думается, так.

    Это не вариант, точнее вариант решения для офиса, но не для домашней локалки, поскольку есть еще и игрушки онлайн и другие приложения.@dvserg:

    Последним правилом поставь *** чтобы вообще любой TCP/UDP в пенальти переправляло, а выше нормальный разрешенный траф загнать в нормальную очередь

    У меня похожее реализовано, но ни о какаких пенальти не может быть и речи. Просто поставил 80% закачки и столько же отдачи, для правил  qwandef и  qlandef. Они что-то вроде мусорки. ::) Туда попадают все для которых нет правил.



  • А что эт вообще такое - vkontakte.ru? ко мне в асю каждый день спам оттуда стучится, и сплошь молодые девчонки -)))



  • социальная секта на постсовецком пространстве…



  • Разобрался. Прокся ненужна. С ней веб странички открываются быстро, а потом(через сутки) тормозят конкретно.
    Все что мне нужно было это есть уже в шейпере Пфсенса, а именно:
    "выделенно квадратиком"
    Читал мануал, переводил и невкурил, что означают опции планировщика:
    Random Early Detection, Random Early Detection In and Out, Explicit Congestion Notification.
    Приблизительно понял, но без наглядного примера не понять.





Log in to reply