Да без проблем, все IP добавляются в соответствующую таблицу на маршрутизаторе с помощью модуля rfw по "правилам firewall", например правило включения "table 6 add UIP/UBITS" выключения "table 6 delete UIP/UBITS".
Если у клиента несколько IP на услуге, то они все добавятся в соответствующую таблицу.
Это не лучшее решение, но переделовать пока не буду, т.к. хотим переходить на другой биллинг.
pipe
По схеме с таблицами все классно работает... ну вот у меня вопрос скорее от не достатка знаний о dummynet....
у меня ПС роутер на freebsd 6.3 при использовании схемы как у mazay все работает, только вот при скачивании пинги в 2000-3000 подскажите как перебороть? mazay у вас так же? на нарезанной трубе 70 кбс в момент скачивания пинг с 11 взлетает до небес...
у меня ПС роутер на freebsd 6.3 при использовании схемы как у mazay все работает, только вот при скачивании пинги в 2000-3000 подскажите как перебороть? mazay у вас так же? на нарезанной трубе 70 кбс в момент скачивания пинг с 11 взлетает до небес...
У меня остается вопрос - что, труба с маской 0xFFFFFFFF нормально работает и порождает дочерние? я этого никак себе не уясню, в моем понимании при таком раскладе все должно сыпаться в одну трубу, а потом кто первый встал, того и тапки. Огласите кто-нибудь вывод ipfw pipe list с такой маской. Самому не на чем поупражняться в данный момент.
ipfw pipe list
00001: 74.000 Kbit/s 0 ms 90 sl. 11 queues (64 buckets) droptail
mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
8 ip 0.0.0.0/0 87.250.251.61/0 7 1518 0 0 0
10 ip 0.0.0.0/0 87.250.251.63/0 6 256 0 0 0
21 ip 0.0.0.0/0 10.10.10.1/0 256 15360 0 0 0
39 ip 0.0.0.0/0 213.180.204.14/0 7 961 0 0 0
40 ip 0.0.0.0/0 192.168.28.120/0 13 788 0 0 0
46 ip 0.0.0.0/0 10.10.10.122/0 2200 272924 0 0 0
48 ip 0.0.0.0/0 10.10.10.100/0 468 168044 0 0 0
50 ip 0.0.0.0/0 213.180.204.91/0 28 3703 0 0 0
51 ip 0.0.0.0/0 213.199.167.252/0 1 40 0 0 0
54 ip 0.0.0.0/0 93.158.134.11/0 6 832 0 0 0
58 ip 0.0.0.0/0 217.73.200.169/0 6 703 0 0 0
00002: 74.000 Kbit/s 0 ms 90 sl. 2 queues (64 buckets) droptail
mask: 0x00 0xffffffff/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
2 ip 10.10.10.100/0 0.0.0.0/0 2 120 0 0 0
62 ip 10.10.10.122/0 0.0.0.0/0 1136 182762 0 0 0
ipfw pipe 1 config bw 74Kbit/s pipe 1 weight 30 queue 20 mask dst-ip 0xffffffff
ipfw pipe 2 config bw 74Kbit/s pipe 1 weight 30 queue 20 mask src-ip 0xffffffff
ipfw sh|grep pipe
05002 1684 241768 pipe 1 ip from any to 10.10.10.122
05002 884 167642 pipe 2 ip from 10.10.10.122 to any
05003 61 3660 pipe 1 ip from any to 10.10.10.100
05003 61 3660 pipe 2 ip from 10.10.10.100 to any
00001: 74.000 Kbit/s 0 ms 90 sl. 11 queues (64 buckets) droptail
mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
8 ip 0.0.0.0/0 87.250.251.61/0 7 1518 0 0 0
10 ip 0.0.0.0/0 87.250.251.63/0 6 256 0 0 0
21 ip 0.0.0.0/0 10.10.10.1/0 256 15360 0 0 0
39 ip 0.0.0.0/0 213.180.204.14/0 7 961 0 0 0
40 ip 0.0.0.0/0 192.168.28.120/0 13 788 0 0 0
46 ip 0.0.0.0/0 10.10.10.122/0 2200 272924 0 0 0
48 ip 0.0.0.0/0 10.10.10.100/0 468 168044 0 0 0
50 ip 0.0.0.0/0 213.180.204.91/0 28 3703 0 0 0
51 ip 0.0.0.0/0 213.199.167.252/0 1 40 0 0 0
54 ip 0.0.0.0/0 93.158.134.11/0 6 832 0 0 0
58 ip 0.0.0.0/0 217.73.200.169/0 6 703 0 0 0
00002: 74.000 Kbit/s 0 ms 90 sl. 2 queues (64 buckets) droptail
mask: 0x00 0xffffffff/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
2 ip 10.10.10.100/0 0.0.0.0/0 2 120 0 0 0
62 ip 10.10.10.122/0 0.0.0.0/0 1136 182762 0 0 0
ipfw pipe 1 config bw 74Kbit/s pipe 1 weight 30 queue 20 mask dst-ip 0xffffffff
ipfw pipe 2 config bw 74Kbit/s pipe 1 weight 30 queue 20 mask src-ip 0xffffffff
ipfw sh|grep pipe
05002 1684 241768 pipe 1 ip from any to 10.10.10.122
05002 884 167642 pipe 2 ip from 10.10.10.122 to any
05003 61 3660 pipe 1 ip from any to 10.10.10.100
05003 61 3660 pipe 2 ip from 10.10.10.100 to any
-
mikkey finn
- Сообщения: 1612
- Зарегистрирован: Пт ноя 10, 2006 15:23
Нормально работает и порождает дочерние и каждый пользователь получает свою скорость. Единственное с чем не смог разобраться - Ели скорость указанна 64 К то выдается каждому ровно половина ( для любого значения скорости). Но решили просто - ставим в правилах фаревола скорость в 2 раза больше и все.JAO писал(а):У меня остается вопрос - что, труба с маской 0xFFFFFFFF нормально работает и порождает дочерние? я этого никак себе не уясню, в моем понимании при таком раскладе все должно сыпаться в одну трубу, а потом кто первый встал, того и тапки. Огласите кто-нибудь вывод ipfw pipe list с такой маской. Самому не на чем поупражняться в данный момент.
Не нравится мне листинг, приведенный выше.
Во-первых, отсутствует разделение пакетов на in и out, которое нужно для более ровной нарезки. Вот у вас пакет, адресованный на 10.10.10.122, может быть in на одном интерфейсе и out на другом, если он транзитом идет через роутер, так вот у меня вопрос - сколько раз он попадет в одну и ту же трубу? я думаю, что не один, а два. Оно вам надо?
Во-вторых, у меня в листинге адреса получателя клиентские, а у вас кто там? В одной трубе у меня адреса клиентов стоят как source, в другой - как destination. Всё ровненько.
Во-первых, отсутствует разделение пакетов на in и out, которое нужно для более ровной нарезки. Вот у вас пакет, адресованный на 10.10.10.122, может быть in на одном интерфейсе и out на другом, если он транзитом идет через роутер, так вот у меня вопрос - сколько раз он попадет в одну и ту же трубу? я думаю, что не один, а два. Оно вам надо?
Во-вторых, у меня в листинге адреса получателя клиентские, а у вас кто там? В одной трубе у меня адреса клиентов стоят как source, в другой - как destination. Всё ровненько.
-
mikkey finn
- Сообщения: 1612
- Зарегистрирован: Пт ноя 10, 2006 15:23
не претендую на правильность, но...
кусок фаервола, ограничивающий и шейпящий.
Соотв, правила фаервола:
table 2 add UIP/UBITS | table 2 delete UIP - общее отключение/включение
Нарезка скорости: для каждого тарифа...
table 20 add UIP/UBITS $pipe_nr | table 20 delete UIP
table 21 add UIP/UBITS $pipe_nr+1 | table 21 delete UIP
Режутся PPTP-VPN юзеры.
кусок фаервола, ограничивающий и шейпящий.
Код: Выделить всё
00200 deny ip from table(2) to not me
02010 pipe tablearg ip from any to table(20) out xmit ng*
02100 pipe tablearg ip from table(21) to any in recv ng*
table 2 add UIP/UBITS | table 2 delete UIP - общее отключение/включение
Нарезка скорости: для каждого тарифа...
table 20 add UIP/UBITS $pipe_nr | table 20 delete UIP
table 21 add UIP/UBITS $pipe_nr+1 | table 21 delete UIP
Режутся PPTP-VPN юзеры.
Это более правильное решение. У меня затянуто еще жестче, с привязкой к конкретным интерфейсам (in recv и out xmit), а правила для ng интерфейсов фактически к ним не привязаны. Вместо привязки используется раздача адресов из двух пулов, которые заткнуты на остальных интерфейсах. Потому что ng интерфейсов много, а фаер строился с расчетом на высокую скорость, поэтому там сначала выделяются потоки трафика между интерфейсами, разделяется транзитный и локальный трафик, потом идет уже контроль доступа, нарезка и все прочее. В результате внушительная куча правил работает быстро. Производительность такого шлюза - 40 мегабит на транзите с NAT. У нас такой скорости инет весьма нескоро будет.
вот так я сделал на БСД
все работает отлично...
для каждго своя труба и своя скорость....
сразу скажу почему нестандартные скрости - видетели думминет иногда мухлюет немножко (типа занято ядро или еще чего) поэтому даю немножко больше....
первые три правила это помегабайтники (почти уже никогоне осталось) там по очередям выстроено все: вроде как и скорость приличная и все не съедят....
если че пишите в личку......
все работает отлично...
для каждго своя труба и своя скорость....
сразу скажу почему нестандартные скрости - видетели думминет иногда мухлюет немножко (типа занято ядро или еще чего) поэтому даю немножко больше....
первые три правила это помегабайтники (почти уже никогоне осталось) там по очередям выстроено все: вроде как и скорость приличная и все не съедят....
если че пишите в личку......
-
mikkey finn
- Сообщения: 1612
- Зарегистрирован: Пт ноя 10, 2006 15:23