https://www.opennet.ru/openforum/vsluhforumID1/72466.html Привет Всем.<br>Я пользуюсь связкой ipfw+natd - но натд Мне очень не нравится... - это все для предоставления Инета...<br>Хочу использовать pf. Pf насколько Я понял не умеет ограничивать скорость входящего потока...<br>Поэтому Я подумал и буду использовать ipfw (pipe) и pf (nat)...<br>Теперь вопрос - как проходят покеты: ipfw -&gt; pf или pf-&gt;ipfw?<br>...и как Нат ставить?<br>В общем Мне не не ясно как строить в такой связке правила? https://www.opennet.ru/openforum/vsluhforumID1/72466.html#7 Mon, 13 Jun 2011 08:53:42 GMT &gt; Привет Всем.<br>&gt; Я пользуюсь связкой ipfw+natd - но натд Мне очень не нравится... - <br>&gt; это все для предоставления Инета...<br>&gt; Хочу использовать pf. Pf насколько Я понял не умеет ограничивать скорость входящего <br>&gt; потока...<br>&gt; Поэтому Я подумал и буду использовать ipfw (pipe) и pf (nat)...<br>&gt; Теперь вопрос - как проходят покеты: ipfw -&gt; pf или pf-&gt;ipfw?<br>&gt; ...и как Нат ставить?<br>&gt; В общем Мне не не ясно как строить в такой связке правила? <br><br>"Порядок прохождения пакетов по различным пакетным фильтрам в FreeBSD"<br>http://paix.org.ua/freebsd/fwpackets.html<br>Если не откроется, есть ещё страницы с таким текстом и заголовком.<br> https://www.opennet.ru/openforum/vsluhforumID1/72466.html#6 Tue, 27 Feb 2007 11:33:38 GMT &gt;Привет Всем. <br>&gt;Я пользуюсь связкой ipfw+natd - но натд Мне очень не нравится... - <br>&gt;это все для предоставления Инета... <br>&gt;Хочу использовать pf. Pf насколько Я понял не умеет ограничивать скорость входящего <br>&gt;потока... <br>&gt;Поэтому Я подумал и буду использовать ipfw (pipe) и pf (nat)... <br>&gt;Теперь вопрос - как проходят покеты: ipfw -&gt; pf или pf-&gt;ipfw?<br>&gt;...и как Нат ставить? <br>&gt;В общем Мне не не ясно как строить в такой связке правила? <br>&gt;<br><br>По поводу прохождения пакетов через фаер, вроде так:<br>ipfw -&gt; ipf (in)-&gt; pf(in) -&gt; маршрутизация -&gt; ipnat -&gt; ipf (out) -&gt; pf(nat) -&gt; pf(out) -&gt; ipfw<br><br>По поводу ната:<br>Теперь на счет ната. В pf для работы через нат с активным ftp используется ftp-proxy. При этом этот ftp-proxy и работает как прокси, т.е. возникают проблеммы с подсчетом такого тарфика. Как результат или не двать юзерам активный режим фтп или делать его средствами natd.<br><br><br><br>На счет ограничений:<br>Кстате, pf умеет ограничивать скорость см. ALTQ<br><br> https://www.opennet.ru/openforum/vsluhforumID1/72466.html#5 Tue, 27 Feb 2007 09:28:45 GMT Чего то я не совсем понял что именно творит автор темы. А именно шейпится ли на данный момент канал средствами ipfw pipe ?<br><br>VPN тут не причем. Попробую Вам более подобно описать мою ситуацию и мои выводы, а Вам уже делать Ваши :)<br><br>Исходные данные общие для всех экспериментов: ОС FreeBSD 5.4, Ядро откомпилировано с поддержкой ipfw, bridge, pf.<br>Эксперимент &#8470;1.<br>через rc.conf включены ipfw, pf, natd.<br>В pf.conf = пусто<br>Делаю простой NAT через natd. Копирую файл 700 мегабайт из внешней сети во внутреннюю по netbios. Процесс занимает примерно 2-4 минуты. В ipfw руками добавлены разрешающие правила, без всяких режимов open.<br>Эксперимент &#8470;2.<br>через rc.conf включены ipfw, pf, natd.<br>Делаю простой NAT через PF. Копирую файл 700 мегабайт из внешней сети во внутреннюю по netbios. Процесс занимает примерно 15 минут.<br><br>Пробую пинг на сервер, откуда забираю файл с разной длиной пакета. Нашел примерное ограничение в 1500, как побороть не понял.<br><br>Потребности:<br>1. Сделать скоростной NAT в сеть провайдера, https://www.opennet.ru/openforum/vsluhforumID1/72466.html#4 Mon, 26 Feb 2007 14:33:16 GMT &gt;&gt;Теперь вопрос - как проходят покеты: ipfw -&gt; pf или pf-&gt;ipfw?<br>&gt;&gt;...и как Нат ставить? <br>&gt;&gt;В общем Мне не не ясно как строить в такой связке правила? <br>&gt;&gt;<br>&gt;У меня в конкретном случае :) оба этих фильтра работают одновременно. <br>&gt;Кто первый перехватывает пакеты = ХЗ <br><br>Ставил себе и ipfw и pf. Первый пакеты фильтрует PF!!! https://www.opennet.ru/openforum/vsluhforumID1/72466.html#3 Mon, 26 Feb 2007 12:38:45 GMT &gt;Вопрос: <br>&gt;Поднимаю ipfw аллоу алл то алл <br>&gt;пф нат <br>&gt;<br>&gt;На винде пинг идет - ОК <br>&gt;Теперь тоже самое но только через ВПН-подключение к мпд <br>&gt;пинг ~50%потерь... <br>&gt;С натд такого вроде бы небыло... <br>FreeBSD 6.2RC1<br>Может ipfw отключить? Но тогда чем шейпить траффик?<br>Тобишь ккак Я смогу ограничивать скорость вх./исход. https://www.opennet.ru/openforum/vsluhforumID1/72466.html#2 Mon, 26 Feb 2007 11:18:12 GMT &gt;Пока работает только вот мне <br>&gt;никто не смог сказать как PF настроить на максимальную длину пропускаемого <br>&gt;пакета. У него по умолчанию что то около 1500 и выше <br>&gt;все срезается. Если нужна скорость то natd тут выигрывает :) при <br>&gt;техже настройках по умолчанию. Хотя может быть в новых версиях PF <br>&gt;чего и поменялось, я использовал PF из пакетов для FreeBSD v5.4 <br><br>Вопрос:<br>Поднимаю ipfw аллоу алл то алл<br>пф нат<br><br>На винде пинг идет - ОК<br>Теперь тоже самое но только через ВПН-подключение к мпд<br>пинг ~50%потерь...<br>С натд такого вроде бы небыло...<br><br> https://www.opennet.ru/openforum/vsluhforumID1/72466.html#1 Mon, 26 Feb 2007 10:03:27 GMT &gt;Теперь вопрос - как проходят покеты: ipfw -&gt; pf или pf-&gt;ipfw?<br>&gt;...и как Нат ставить? <br>&gt;В общем Мне не не ясно как строить в такой связке правила? <br>&gt;<br>У меня в конкретном случае :) оба этих фильтра работают одновременно.<br>Кто первый перехватывает пакеты = ХЗ<br><br>Я руководствовался при настройке PF статьей http://dreamcatcher.ru/index.php?option=com_content&task=view&id=69&Itemid=5<br><br>Кстати никто не курсе в этом движке форума каков формат тэга ссылок? Ато все некликабельно как-то<br><br>поднимаю на PF NAT и разрешаю в нем все.<br>А в Ipfw режу чего не надо. Пока работает только вот мне никто не смог сказать как PF настроить на максимальную длину пропускаемого пакета. У него по умолчанию что то около 1500 и выше все срезается. Если нужна скорость то natd тут выигрывает :) при техже настройках по умолчанию. Хотя может быть в новых версиях PF чего и поменялось, я использовал PF из пакетов для FreeBSD v5.4<br><br>Грызите гранит манов далее.<br><br>