что-то не могу заставить шейпить исходящий трафик - входящий шейпит (если перенести на внутренний интерфейс, то шейпится все как положено)
mkpeer ipfw: nat 60 out
name ipfw:60 nat
connect ipfw: nat: 61 in
msg nat: setaliasaddr внешний_ip
/sbin/ipfw add 1000 netgraph 61 all from any to any in via внешний_ip
/sbin/ipfw add 1010 netgraph 60 all from any to any out via внешний_ip
ipfw pipe 2000 config bw 128Kbit/s
ipfw add 2000 pipe 2000 ip from any to IP/MASK in via внешний_ip
ipfw add 2000 pipe 2000 ip from IP/MASK out via веешний_ip
IP/MASK - внутренний IP
на меня проходит все оки, от меня не шейпит - перепробовал все комбинации уже, и ничего
PS: fw.one_pass=0
поделитесь примерчиками если не затруднит.
мой список прохождения (em2= внешний интерфейс):
[root@nat ~]# ipfw show
00300 13947 8308069 netgraph 61 ip from any to any in via em2
00400 15343 5124168 netgraph 60 ip from any to any out via em2
00900 378 28873 allow ip from any to me
00900 10849 2540451 allow ip from me to any
01000 175 12332 allow ip from 192.168.1.8 to me via em2
01000 29 1973 allow ip from me to 192.168.1.8 via em2
01000 13 1767 allow udp from 195.225.130.2 53 to me via em2
01000 0 0 allow udp from me to 192.225.130.2 dst-port 53 via em2
05005 1484 1154592 pipe 5005 ip from any to 10.10.11.99 in via em2
05005 0 0 pipe 5005 ip from 10.10.11.99 to any out via em2
05005 46 4977 pipe 100 icmp from any to 10.10.11.99 in via em2
05005 0 0 pipe 100 icmp from 10.10.11.99 to any out via em2
05005 1686 250295 allow ip from 10.10.11.99 to any
05005 2968 2309184 allow ip from any to 10.10.11.99
65535 1326 130763 deny ip from any to any
PS:
правила 900 перенес вниз, после этого стало проходить до пайпа out,
но сам pipe out работает только с IP внешнего интерфейса....
получается что правила pipe на out нужно переносить до NAT - что непонятно как реализовать с привязкой в UTM5
