Проблема разгрузки каналов от разных проk



  • Доброго времени суток. Голова уже болит, помогите если в силах… Значит что есть: pfsense 2.0 RC1 3 шлюза (1 PPPOE-провайдер №1, 2 по DHCP-провайдер №2) и LAN-авторизация на captive portal'е. Провайдеры на столько суровы, что у всех есть значительные минусы, которые я пытаюсь обойти, а у прова №2 есть такое ограничение, что я аж не знаю куда копать чтобы его обойти (по словам ТП "есть ограничение на 70 подключений", а каких, куда.... гадайте называется). Результатом этих ограничений является жуткое торможение веб'а при наплыве людей из внутренней сети. У провайдера №1 есть минус в том что каналы очень узкие (особенно исходящий), т.к. АДСЛ технология мать её:). Так вот, что нужно: более менее адекватный интернет для пользаков.... (банально но правда). Что делал: делал все что можно и нельзя loadbalancer, разделял по разным шлюзам трафик, делил его на http, https, ftp и все остальное, соответственно раскидывал трафик так чтобы по возможности устранить минусы провайдеров, но оказалось что юзеры по большей мере пользуют не весь остальной трафик под который выделялся бОльший канал по ширине а именно http под который канала провайдера №1 не хватает.
    Еще как вариант был в моих мыслях такой ход: все таки кидать весь http трафик на канал провайдера №1 НО некоторые http ресурсы каким то загадочным образом перенаправлять статически на каналы прова №2, можно ли как то их описать в правилах pf?? Или вообще может быть у кого то еще какая нибудь мысль придет в голову... пусть даже радикальная, буду рад любой свежей мысли. Заранее спасибо!



  • Локализую вопрос, можно ли каким нибудь образом редиректить запросы на интернет ресурсы в разные гевеи??? По ip'ам сложно это сделать, возможно ли это при помощи pf???



  • @panika:

    Локализую вопрос, можно ли каким нибудь образом редиректить запросы на интернет ресурсы в разные гевеи??? По ip'ам сложно это сделать, возможно ли это при помощи pf???

    По каким критериям редиректить?



  • радикальная мысль -менять прова.
    второе -сквид не пробовал ставить? если у прова 2 ограничение на кол-во соединений - сквид должен помочь, также днс может у прова 2 тупить - поставь другой, например гугловый 8.8.8.8..
    по правилам -определись какие ресурсы хош куда пустить, можешь часть клиентов на один гейт, часть на второй, можешь по доменам - юзай алиасы, которые потом добавишь в  правило



  • @dvserg:

    @panika:

    Локализую вопрос, можно ли каким нибудь образом редиректить запросы на интернет ресурсы в разные гевеи??? По ip'ам сложно это сделать, возможно ли это при помощи pf???

    По каким критериям редиректить?

    Допустим по качающим и самым известным. Пример те же социальные сети, зашел человек из LAN в свой акк, начал качать фотку и не одну, и забил он адсл'ный исходящий в потолок, который порядка 600кб. от провайдера №1, а я людям пытаюсь хоть по мбиту раздать….Или та же почта, захотел человек загрузить файл порядка полугига и ждите люди называется... Или банально letitbit rapidshare и т.п. все в этом ключе.



  • @panika:

    @dvserg:

    @panika:

    Локализую вопрос, можно ли каким нибудь образом редиректить запросы на интернет ресурсы в разные гевеи??? По ip'ам сложно это сделать, возможно ли это при помощи pf???

    По каким критериям редиректить?

    Допустим по качающим и самым известным. Пример те же социальные сети, зашел человек из LAN в свой акк, начал качать фотку и не одну, и забил он адсл'ный исходящий в потолок, который порядка 600кб. от провайдера №1, а я людям пытаюсь хоть по мбиту раздать….Или та же почта, захотел человек загрузить файл порядка полугига и ждите люди называется... Или банально letitbit rapidshare и т.п. все в этом ключе.

    Это проблема не редиректа а ограничения скорости на каждого юзера. Ставьте и настраивайте прокси сквид с ограничением скорости. Одно НО - по умолчанию сквид работает только на WAN. Поэтому лучше сначала определить по какому каналу у Вас будет ходить HTTP. А на второй канал кинуть прочие сервисы.



  • @alexandrnew:

    радикальная мысль -менять прова.

    Самое первое что сделал бы:) а этих двоих сжег бы!
    @alexandrnew:

    второе -сквид не пробовал ставить? если у прова 2 ограничение на кол-во соединений - сквид должен помочь, также днс может у прова 2 тупить - поставь другой, например гугловый 8.8.8.8..
    по правилам -определись какие ресурсы хош куда пустить, можешь часть клиентов на один гейт, часть на второй, можешь по доменам

    сквид… не думаю что проксирование это выход, мне уже советовали его, но я не хочу еще проблем себе наживать, хотя всякое возможно, может и решусь помучать еще раз людей и себя:)
    про днс: уже пробывал это сделать, когда у меня был только провайдер №2... там шлюз видимо режет, а сказали они что это ограничение будет сниматься только осенью, а это значит "через год ждите чего то новенького" :)
    а вот сейчас так и спасаюсь, что юзеров по гейтам раскидываю, но криво это жуть как... ведь не угадаешь кто там может что заюзать и положить тот или иной канал...
    @alexandrnew:

    • юзай алиасы, которые потом добавишь в  правило

    а вот тут бы я выслушал с вашего позволения поподробнее:) и алиасы я так понял они нужны когда ты хочешь получить к локальному ресурсу доступ извне…. реально ли ими рулить внешние ресурсы из локалки?



  • у меня в алиасы забит список доменов, и в правилах лан - есть правило, что если назначение "алиас" - то выпускать через второй гейт



  • @dvserg:

    Это проблема не редиректа а ограничения скорости на каждого юзера. Ставьте и настраивайте прокси сквид с ограничением скорости. Одно НО - по умолчанию сквид работает только на WAN. Поэтому лучше сначала определить по какому каналу у Вас будет ходить HTTP. А на второй канал кинуть прочие сервисы.

    Проблема не редиректа, просто я думал редирект как один из выходов для разгрузки каналов, а теперь все больше сомневаюсь в этом и боюсь за то как будет отрабатывать сквидовый кеш…. потому что на работе я его вообще отключил, т.к. участились случаи его некорректной работы...



  • @alexandrnew:

    у меня в алиасы забит список доменов, и в правилах лан - есть правило, что если назначение "алиас" - то выпускать через второй гейт

    я в теории так и думал, но pf на меня ругался когда я ему задал алиас vkontakte.ru и он не смог загрузить ip для этого домена…. не подскажешь как правильно создавать алиас?



  • пфсенс 2ка, алиас - называешь без спецсимволов и пробелов, а в алиасе - Type - hosts - указываешь домены



  • @alexandrnew:

    пфсенс 2ка, алиас - называешь без спецсимволов и пробелов, а в алиасе - Type - hosts - указываешь домены

    а пример можно пожалуйста? жму +, вписываю в Description yandex.ru так правильно?



  • лови






  • Алиасы работают:) буду пытаться разгрузить каналы редиректом все таки… Всем большое спасибо за отклик!!! и еще маленький вопрос, может кто в курсе, чем можно проанализировать веб ресурсы?? что то на подобе banwitdthd, только бы вот таблицу посещаемых адресов увидеть.... Заранее благодарен!



  • squid\netflow\ntop



  • @alexandrnew:

    squid\netflow\ntop

    ага только хотел отписаться. что нашел) прикольная вещь… ntop всмысле.


Locked