При создании правил трафик трафик идет в P2P



  • Установил pfsense 2.01. Создаю визардом правила как в книге pfSense 2 Cookbook. При прсмотре работы правил весь трафик идет в Р2Р с соответствующими ограничениями для Р2Р >:(.



  • Прикрепите к посту скриншоты правил и очередей.



  • @Andr:

    Установил pfsense 2.01. Создаю визардом правила как в книге pfSense 2 Cookbook. При прсмотре работы правил весь трафик идет в Р2Р с соответствующими ограничениями для Р2Р >:(.

    Что-то не так делаете. Например, для того же DNS или HTTP или ICMP отдельно правило создавали на одном из этапов визарда ?

    Скрин моих floating rules после отработки визарда , чистки от ненужных мне и добавления правил под мои нужды. ЧЯДнТ ?!

    Не стоит винить pf . Он лишь инструмент. Вы же в здравом уме молоток или ножовку не вините в том что неправильно забили гвоздь или отрезали что-то?




  • Спасибо что откликнулись. Выкладываю последовательность действий
    []](http://URL=http://radikal.ua/)
    []

    []](http://URL=http://radikal.ua/)
    []

    []](http://URL=http://radikal.ua/)
    []

    Что я сделал не так?
    Как видите в даный момент идет игра в контро-страйк , но в работе правил показано что трафик идет в Р2Р.
    Помогите пожалуйста настроить шейпер.



  • А правила Shaper и Floating?



  • Объясните пожалуйста.



  • @Andr:

    Объясните пожалуйста.

    Вы привели скриншоты визарда - это конечно хорошо, но не информативно. Визард создает правила Traffic Shaper и Floating Rules - вот их хотелось бы посмотреть.



  • Ночью сделаю.



  • Хотелось бы дополнить топик автора вот каким вопросом - будут ли работать правила применительно к случаю, когда "клиентом" выступает сам pfSense ? Пример - Transmission, установленный прямо на сенсе. Будет ли он шейпироваться, кто из знающих может подсказать ?







  • Выкладываю. Приходится делать откат т.к. после активации "Raise or lower other Applications"
    вообще не возможно ходить по интернет.



  • Визард работает не совсем корректно.
    Самая главная его проблема - это то, что он не создает qOthersDefault очередь на LAN интерфейсе. Скопируйте ее с правила на WAN интерфейсе во вкладке traffic shaper -> by queue



  • Пожалуйста более подробно



  • Я бы DNS и ICMP присвоил высокий приоритет. Сделайте по-моему скрину, к-ый в посте выше.



  • @Andr:

    Пожалуйста более подробно

    1. вкладка firewall -> traffic shaper -> by queue. Жмем на qOthersDefault, потом на Clone.

    2. Далее идем в firewall -> rules -> floating , жмем на любой плюсик, создаем правило со след параметрами:

    Action = queue; (означает, что правило для шейпера)
    interface = wan; (обычно указываем wan)
    direction = any; (обычно указываем any)
    protocol = udp;
    source, destination any any; (обычно указываем any any)
    port range = 27000 - 27030;
    Ackqueue/Queue = none/qGames(у udp нет ack ответов, так что у udp протокола нет смысла указывать ack трубу)
    

    И вторую также, на плюсик, за исключением:

    protocol = tcp;
    port range = 27014 - 27050;
    Ackqueue/Queue = qAck/qGames;(у всего остального трафика, как правило первая это ack труба)
    

    Значения protocol и port range указываем в соответствии с задачей(эти порты для cs16). Узнать необходимые протоколы и порты можно с помощью, например(но tcpdump предпочтительнее =) ), встроенного в nod32 фаервола(при сетевой активности исследуемого приложения).
    Либо, для ленивых, я даже писал видео-инструкцию по этому поводу

    2.1 Перемещаем получившиеся правила в конец списка floating rules(приоритет во Floating увеличивается к концу).
    перегружаем роутер(для получения немедленных применений).

    Все, для cs16 правило готово. Так делаем для каждого не представленного в списке вида трафика, если не хотим видеть его в трубке p2p, в вашем случае это Default трубка(firewall->Traffic shaper->by interface->qP2P->Default queue), в которую помещается весь не описанный во floating трафик

    p.s. Еще, на мой взгляд, следует удалять(или хотя бы отключать) автоматически сгенерированное правило Voip "DiffServ/Lowdelay/Upload". Лучше использовать Layer 7.



  • @goliy:

    Значения protocol и port range указываем в соответствии с задачей(эти порты для cs16). Узнать необходимые протоколы и порты можно с помощью, например(но tcpdump предпочтительнее =) ), встроенного в nod32 фаервола(при сетевой активности исследуемого приложения).
    Либо, для ленивых, я даже писал видео-инструкцию по этому поводу

    Более наглядно и корректно использовать команду netstat с ключами -abn . В этом случае листинг покажет не только порт , но и приложение используещее его.



  • @werter:

    @goliy:

    видео-инструкцию по этому поводу

    Более наглядно и корректно использовать команду netstat с ключами -abn . В этом случае листинг покажет не только порт , но и приложение используещее его.

    спасибо. не знал об этом ключе. мое упущение.



  • Спасибо заработало!!!!


Log in to reply