forum.opennet.ru - "IPFW прошу хэлпа !!!" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"IPFW прошу хэлпа !!!"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"IPFW прошу хэлпа !!!"
Сообщение от netop on 26-Фев-07, 19:10
Плиз хэлп! ОС: FreeBSD 5.4 + IPFW + NAT 1. Есть ли аналог правила TCP ESTABLISHED для UDP и ICMP пакетов? Например я хочу пинговать компъютер в интернете, но не хочу, чтоб он мог пинговать меня! 2. Проблемы с траффик-шейпером, если в пайп загоняю ALL пакеты и выставляю скорость 10Мбит/с, то реальная скорость около 2Мбит/с и больше не поднимается :( Если TCP или UDP по отдельности - все ОК? Так и делать? По пайпу для каждого типа пакетов? 3. Как запустить NAT на VPN канале? Он же позже поднимается, а нат сразу падает - т.к. не находит интерфейса на котором работать! Выкручиваюсь пока при помощи delay в автозапуске. 4. Pipe не режет скорость на VPN канале tun0. Сервер подключается к провайдеру через VPN, там-же стоит NAT. При попытке резать прямую и обратную скорость на tun0 в итоге режется только прямая :( Наверно из-за НАТ.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

IPFW прошу хэлпа !!!, Skif, 19:49 , 26-Фев-07, (1)

IPFW прошу хэлпа !!!, netop, 20:08 , 26-Фев-07, (2)

IPFW прошу хэлпа !!!, JavaScript, 01:22 , 27-Фев-07, (3)

IPFW прошу хэлпа !!!, netop, 08:58 , 27-Фев-07, (4)

Сообщения по теме [Сортировка по времени, UBB]

1. "IPFW прошу хэлпа !!!"

Сообщение от Skif (ok) on 26-Фев-07, 19:49

>Плиз хэлп! ОС: FreeBSD 5.4 + IPFW + NAT
>
>1. Есть ли аналог правила TCP ESTABLISHED для UDP и ICMP пакетов?
>Например я хочу пинговать компъютер в интернете, но не хочу, чтоб
>он мог пинговать меня!
определить типы icmp пакетов, на которые будет отвечать/слать твой хост
>
>2. Проблемы с траффик-шейпером, если в пайп загоняю ALL пакеты и выставляю
>скорость 10Мбит/с, то реальная скорость около 2Мбит/с и больше не поднимается
>:( Если TCP или UDP по отдельности - все ОК? Так
>и делать? По пайпу для каждого типа пакетов?
Не замечал.
>
>3. Как запустить NAT на VPN канале? Он же позже поднимается, а
>нат сразу падает - т.к. не находит интерфейса на котором работать!
>Выкручиваюсь пока при помощи delay в автозапуске.
Смотря что пользуете. можно либо, если ppp указать ppp_nat="YES", либо в случае со статикой, прибить nat на ip.
>
>4. Pipe не режет скорость на VPN канале tun0. Сервер подключается к
>провайдеру через VPN, там-же стоит NAT. При попытке резать прямую и
>обратную скорость на tun0 в итоге режется только прямая :( Наверно
>из-за НАТ.
А зачем на tun, то резать? Можно ж и на реальном интерфейсе этио сделать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "IPFW прошу хэлпа !!!"

Сообщение от netop on 26-Фев-07, 20:08

>определить типы icmp пакетов, на которые будет отвечать/слать твой хост
Ну это понятно - icmptypes, вопрос именно в том, на какие нужно отвечать - сами номера, или где по этому доки есть?
>Смотря что пользуете. можно либо, если ppp указать ppp_nat="YES", либо в случае
>со статикой, прибить nat на ip.
Пользуюсь pptp-client'ом - подойдет ppp_nat? про "прибить nat на ip" знаю, но доки не нашел :( Можно оба способа подробней?
>А зачем на tun, то резать? Можно ж и на реальном интерфейсе
>этио сделать.
Самое интересное в том, что на сервере 1 реальный интерфейс! Через него выход на провайдера (через шлюз) и на клиентов! Я на нем сейчас и режу скорость, но тогда режется и доступ пользователей к статистике. Когда качаешь - вообще нереально свою статистику посмотреть :(
Можно ли в правилах пайпа прописать, чтоб резал скорость на все ИП, кроме ИП сервера? Я не нашел МАНа по этому.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "IPFW прошу хэлпа !!!"

Сообщение от JavaScript (ok) on 27-Фев-07, 01:22

>Плиз хэлп! ОС: FreeBSD 5.4 + IPFW + NAT
>
>1. Есть ли аналог правила TCP ESTABLISHED для UDP и ICMP пакетов?
>Например я хочу пинговать компъютер в интернете, но не хочу, чтоб
>он мог пинговать меня!
может попробовать STATEFUL FIREWALL (man ipfw)
а насчет icmp types - то из того-же man ipfw:
     icmptypes types
             Matches ICMP packets whose ICMP type is in the list types.  The
             list may be specified as any combination of individual types
             (numeric) separated by commas.  Ranges are not allowed. The sup-
             ported ICMP types are:
             echo reply (0), destination unreachable (3), source quench (4),
             redirect (5), echo request (8), router advertisement (9), router
             solicitation (10), time-to-live exceeded (11), IP header bad
             (12), timestamp request (13), timestamp reply (14), information
             request (15), information reply (16), address mask request (17)
             and address mask reply (18).
>2. Проблемы с траффик-шейпером, если в пайп загоняю ALL пакеты и выставляю
>скорость 10Мбит/с, то реальная скорость около 2Мбит/с и больше не поднимается
>:( Если TCP или UDP по отдельности - все ОК? Так
>и делать? По пайпу для каждого типа пакетов?
не встречал такого - конфиг посмотреть
>3. Как запустить NAT на VPN канале? Он же позже поднимается, а
>нат сразу падает - т.к. не находит интерфейса на котором работать!
>Выкручиваюсь пока при помощи delay в автозапуске.
man natd(8)
     -dynamic    If the -n or -interface option is used, natd will monitor the
                 routing socket for alterations to the interface passed.  If
                 the interface's IP address is changed, natd will dynamically
                 alter its concept of the alias address.
>
>4. Pipe не режет скорость на VPN канале tun0. Сервер подключается к
>провайдеру через VPN, там-же стоит NAT. При попытке резать прямую и
>обратную скорость на tun0 в итоге режется только прямая :( Наверно
>из-за НАТ.
По идее если правильно завернуть пакеты в pipe то все должно резать
у меня на PPPoE без проблем

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "IPFW прошу хэлпа !!!"

Сообщение от netop on 27-Фев-07, 08:58

>не встречал такого - конфиг посмотреть
    ${fwcmd} add 500 divert natd all from any to any via tun0
    ${fwcmd} pipe 5 config mask dst-ip 0xffffffff bw 56Kbit/s queue 10
    ${fwcmd} pipe 6 config mask src-ip 0xffffffff bw 56Kbit/s queue 10
    ${fwcmd} add 800 pipe 6 any from "table(2)" to any out via tun0
    ${fwcmd} add 900 pipe 5 any from any to "table(2)" in via tun0
>man natd(8)
>     -dynamic
Попробую
>По идее если правильно завернуть пакеты в pipe то все должно резать
>у меня на PPPoE без проблем
Правила выше.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPFW прошу хэлпа !!!"
Сообщение от Skif (ok) on 26-Фев-07, 19:49
>Плиз хэлп! ОС: FreeBSD 5.4 + IPFW + NAT > >1. Есть ли аналог правила TCP ESTABLISHED для UDP и ICMP пакетов? >Например я хочу пинговать компъютер в интернете, но не хочу, чтоб >он мог пинговать меня! определить типы icmp пакетов, на которые будет отвечать/слать твой хост > >2. Проблемы с траффик-шейпером, если в пайп загоняю ALL пакеты и выставляю >скорость 10Мбит/с, то реальная скорость около 2Мбит/с и больше не поднимается >:( Если TCP или UDP по отдельности - все ОК? Так >и делать? По пайпу для каждого типа пакетов? Не замечал. > >3. Как запустить NAT на VPN канале? Он же позже поднимается, а >нат сразу падает - т.к. не находит интерфейса на котором работать! >Выкручиваюсь пока при помощи delay в автозапуске. Смотря что пользуете. можно либо, если ppp указать ppp_nat="YES", либо в случае со статикой, прибить nat на ip. > >4. Pipe не режет скорость на VPN канале tun0. Сервер подключается к >провайдеру через VPN, там-же стоит NAT. При попытке резать прямую и >обратную скорость на tun0 в итоге режется только прямая :( Наверно >из-за НАТ. А зачем на tun, то резать? Можно ж и на реальном интерфейсе этио сделать.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "IPFW прошу хэлпа !!!"
	Сообщение от netop on 26-Фев-07, 20:08
	>определить типы icmp пакетов, на которые будет отвечать/слать твой хост Ну это понятно - icmptypes, вопрос именно в том, на какие нужно отвечать - сами номера, или где по этому доки есть? >Смотря что пользуете. можно либо, если ppp указать ppp_nat="YES", либо в случае >со статикой, прибить nat на ip. Пользуюсь pptp-client'ом - подойдет ppp_nat? про "прибить nat на ip" знаю, но доки не нашел :( Можно оба способа подробней? >А зачем на tun, то резать? Можно ж и на реальном интерфейсе >этио сделать. Самое интересное в том, что на сервере 1 реальный интерфейс! Через него выход на провайдера (через шлюз) и на клиентов! Я на нем сейчас и режу скорость, но тогда режется и доступ пользователей к статистике. Когда качаешь - вообще нереально свою статистику посмотреть :( Можно ли в правилах пайпа прописать, чтоб резал скорость на все ИП, кроме ИП сервера? Я не нашел МАНа по этому.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "IPFW прошу хэлпа !!!"
Сообщение от JavaScript (ok) on 27-Фев-07, 01:22
>Плиз хэлп! ОС: FreeBSD 5.4 + IPFW + NAT > >1. Есть ли аналог правила TCP ESTABLISHED для UDP и ICMP пакетов? >Например я хочу пинговать компъютер в интернете, но не хочу, чтоб >он мог пинговать меня! может попробовать STATEFUL FIREWALL (man ipfw) а насчет icmp types - то из того-же man ipfw: icmptypes types Matches ICMP packets whose ICMP type is in the list types. The list may be specified as any combination of individual types (numeric) separated by commas. Ranges are not allowed. The sup- ported ICMP types are: echo reply (0), destination unreachable (3), source quench (4), redirect (5), echo request (8), router advertisement (9), router solicitation (10), time-to-live exceeded (11), IP header bad (12), timestamp request (13), timestamp reply (14), information request (15), information reply (16), address mask request (17) and address mask reply (18). >2. Проблемы с траффик-шейпером, если в пайп загоняю ALL пакеты и выставляю >скорость 10Мбит/с, то реальная скорость около 2Мбит/с и больше не поднимается >:( Если TCP или UDP по отдельности - все ОК? Так >и делать? По пайпу для каждого типа пакетов? не встречал такого - конфиг посмотреть >3. Как запустить NAT на VPN канале? Он же позже поднимается, а >нат сразу падает - т.к. не находит интерфейса на котором работать! >Выкручиваюсь пока при помощи delay в автозапуске. man natd(8) -dynamic If the -n or -interface option is used, natd will monitor the routing socket for alterations to the interface passed. If the interface's IP address is changed, natd will dynamically alter its concept of the alias address. > >4. Pipe не режет скорость на VPN канале tun0. Сервер подключается к >провайдеру через VPN, там-же стоит NAT. При попытке резать прямую и >обратную скорость на tun0 в итоге режется только прямая :( Наверно >из-за НАТ. По идее если правильно завернуть пакеты в pipe то все должно резать у меня на PPPoE без проблем
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "IPFW прошу хэлпа !!!"
	Сообщение от netop on 27-Фев-07, 08:58
	>не встречал такого - конфиг посмотреть ${fwcmd} add 500 divert natd all from any to any via tun0 ${fwcmd} pipe 5 config mask dst-ip 0xffffffff bw 56Kbit/s queue 10 ${fwcmd} pipe 6 config mask src-ip 0xffffffff bw 56Kbit/s queue 10 ${fwcmd} add 800 pipe 6 any from "table(2)" to any out via tun0 ${fwcmd} add 900 pipe 5 any from any to "table(2)" in via tun0 >man natd(8) > -dynamic Попробую >По идее если правильно завернуть пакеты в pipe то все должно резать >у меня на PPPoE без проблем Правила выше.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]