Типовая задача по настройке но голова уже



  • Вопрос по комплексной настройке, уже сам запутался во всём, ни с чем подобным дела доселе не имел потому голова идёт кругом.
    Есть локальная сеть из двух типов пользователей: начальство и подчинённые. Цель - дать начальству больше трафика чем подчинённым. Резать некоторые сайты подчинённым.

    Что есть: Локальная сеть 60 пользователей / 5 руководителей. Относительно старый компьютер с 2я сетевыми картами.

    Что сделано: pfs стоит между провайдером и людьми, поднят DHCP раздаётся 10.10.0.100-199 пользователям, руководство кидается в зарезервированные ip: 10.10.0.200-250. В Aliases добавлены два алиаса DHCPSUPOOL и DHCPCUPOOL для super users и common users соответственно. Поставлен SQUID в нём указаны настройки блока для нежелательных сайтов, всё режет отлично. Поднят NAT для доступа в интернет. Traffic shaper настроен в LAN из 3х очередей CBQ qDL_High и qDL_Low и qDL_Default.
    В правилах
    WAN:
    Proto Source Port Dest Port GW Queue
    TCP/UDP * * DHCPCUPOOL * * none

        • DHCPSUPOOL * * none
          LAN:
          Proto Source Port Dest Port GW Queue
    • DHCPSUPOOL * * * * none
      TCP DHCPCUPOOL HTTP(80) * * * none
      далее аналогично для DNS NTP и некоторых других

    в Floating Rules указываю
    Proto Source Port Dest Port GW Queue
    TCP/UDP * * DHCPPool * * qDL_Low
    TCP/UDP DHCPCUPool * * * * qDL_Low
    для DHCPSUPOOL аналогично

    Выбраны WAN/LAN, Direction=any, Action=Queue

    Всё кидается почему-то в qDL_Default
    Как я понимаю проблема в NAT и из-за трансляции адресов pfs не может определить пакеты, помогите пожалуйста решить данную проблему :-) уже голова идет кругом.  ???

    UPD: Версия PFS: 2.0 RC1



  • А какой трафик пытаетесь зашейпить?
    При использовании прокси сервера регулировать HTTP трафик шейпером не получится.



  • Пытаюсь зашейпить весь трафик, в основном http и p2p.
    Как тогда быть ? ставить в виртуалке 2й pfsense и 1н на шейпинг а 2й как прокси ?
    Двойной нат имх извращение выходит… по-другому никак ? Можно ли каким-либо образом шейпить трафик сквида, средствами pfs а не сквида?



  • @ekodian:

    Пытаюсь зашейпить весь трафик, в основном http и p2p.
    Как тогда быть ? ставить в виртуалке 2й pfsense и 1н на шейпинг а 2й как прокси ?
    Двойной нат имх извращение выходит… по-другому никак ? Можно ли каким-либо образом шейпить трафик сквида, средствами pfs а не сквида?

    Трафик сквида средствами ГУЯ нет, т.к. правила пакетов приоритетнее правил пользователя(ГУЯ)
    P2P шейпить можно.



  • ооооок
    тогда такой вопрос, не средствами ГУЯ мужно настроить шейпер чтобы резал сквид?
    Если нет то, как я смотрю судя по логам он кидает сквид в default queue а остальной трафик таки шейпит следовательно можно сделать правила чтобы он ловил Остальной трафик и шейпил его вместе с default queue, а шейп сквидового трафика настроить непосредственно в сквиде?



  • @ekodian:

    ооооок
    тогда такой вопрос, не средствами ГУЯ мужно настроить шейпер чтобы резал сквид?

    Да, если знакомы с PF - изменить /usr/local/pkg/squid.inc функцию правил.
    Добавить нужные опции в правила.


Log in to reply