Queeq

Знаю только, что Голден предоставляет телефонию по SIPу.

Я добавил пару строчек в скрипт Старгейзера, который обновляет правила для него. У меня под PF. Если надо - могу выложить. Также я сделал возможность отключения направлений для стг.

Можно поснифать и узнать, шифруется он или нет.

А https?

Проще всего нат делается в pf.

Было тыкое где-то. Вроде потому, что подсчёт стоит на двух интерфейсах.

напряги мосх, я тебе уже показывал и давал конфиги. Зачем ехо напрягать? Проще спросить :-(=)

Ну блин... Системы статистики всегда будут показывать имена прова, так же, как и резолв имени по адресу снаружи твоей сети. А как разрулить это для внутренних пользователей я уже написал.

Ну то есть сервак должен отвечать компам, которые внутри сети, не провайдерским доменным именем, а своим. Так?

Я так понял он хочет, чтобы его ДНС-сервер отвечал клиентам внутри сети не провайдерскими адресами... Или я не прав?

Если будет автономка - можно навесить на индивидуальные юзерские адреса их логины, например. А если юзер не купил себе реальный IP и ходит через какой-то общий (как у нас) - назвать его, например, clients-nat.mydomain.com Лично я вообще не скрываю от пользователей кто мой провайдер и какие у меня каналы в инет. Бесполезное это занятие. Даже если у тебя будет своя автономка всё равно нет проблем узнать кто твой аплинк.

http://pravda.com.ua/news/2008/1/16/69810.htm

Считай, блин... http://www.colocall.net/misc/aspi.html

Т.е. у тебя один реальный адрес и ты хочешь, чтобы он соответствовал разным доменным именам? Или у тебя много реальных адресов, которые ты назначаешь пользователям, и ты хочешь им поназначать доменные имена? Вообще если ты покупал адрес(а) у своего провайдера - тут ничего не поделаешь. Правила RIPE такие, что провайдер обязан ставить на свои адреса только свои поддомены. Даже если ты зарегистрируешь доменное имя на их IP - всё равно основным будет то имя, которое назначил провайдер. Чтобы иметь возможность рулить именами в своём домене надо купить блок провайдеро-независимых адресов (PI).

Если честно - мне немного стыдно за тебя. Все вопросы, которые у тебя возникают в ходе настройки ты выносишь на форум, вместо того, чтобы немного порыть инет и подумать. Я тоже настраивал и учился с нуля и не спрашивал тут всё подряд. Только в том случае, если действительно залип на одном месте. По теме. У меня внутренняя сетка 192.168.0.0/24 В named.conf я добавил зону: zone "0.168.192.in-addr.arpa" { type master; file "master/nicelan.net.ua.rev"; allow-query { 192.168.0.0/24; }; }; Добавил файл /var/named/etc/namedb/master/nicelan.net.ua.rev $TTL 14400 @ IN SOA nicelan.net.ua. root.nicelan.net.ua. ( 2007120800 ; Serial 3600 ; Refresh 900 ; Retry 3600000 ; Expire 3600 ) ; Minimum IN NS nicelan.net.ua. 1 IN PTR nicelan.net.ua. 1 - это адрес шлюза (т.е. 192.168.0.1). На запрос по этому адресу он ответит именем nicelan.net.ua. Конечно, если днсом у пользователя прописан мой сервак. Вроде всё, если я правильно понял задачу. Я это делал для того, чтобы при запуске tracert'а с внутреннего компа не дуплило долго с резолвом имени первого хопа.

Я бы посоветовал в качестве файрвола PF. В него включен и NAT, и шейпинг и очень удобно работать с большими списками сетей (например, список сетей ua-ix). Вообще очень гибкая и производительная штука. Синтаксис не сложный. В общем рекомендую З.Ы. Кстати под него уже и для СТГ скриптики готовы с отключением направлений.

Чтобы допустили к ПК надо им "сломать интернет" Ну и свалить на то, что комп юзера виноват Хотя в этом случае те, кто не спалился за раздачей интернета не поведутся.

А Циска знает, что вы такие скидки даёте?

Не думаю, что большинство пользователей будет обращать внимание на изменение TTL. 2Delfin: У тебя в сети разрешается иметь пользователям компы за роутером?

Не знаю точно, но попробуй посмотреть на TTL исходящих пакетов.

Сори за офтоп, но по-моему гораздо интереснее вопрос "что лучше, линукс или фря?".

Итак, всё получилось более-менее по-человечески. Немножко правим правила, выпускающие на мир: anchor world_shape_out from <wusr> anchor world_shape_in to <wusr> т.е. делаем из них поднабор правил. Далее, в начале pf.conf пишем правила для загрузки этих поднаборов: load anchor world_shape_in from "/etc/pf_subrules/world_shaping_in" load anchor world_shape_out from "/etc/pf_subrules/world_shaping_out" Создаём два файла с правилами в /etc/pf_subrules: world_shaping_in #queeq pass quick to 192.168.0.11 queue queeq_512k_in pass quick to any world_shaping_out #queeq pass quick from 192.168.0.11 queue queeq_512k_out pass quick from any Не забываем оставить одну пустую строку в конце. Здесь queeq - экспериментальный пользователь. Для каждого безлимитчика придётся вписывать своё правило в каждый из файлов (вполне можно автоматизировать), а также свою очередь. На данный момент очереди выглядят так (в самом начале pf.conf): altq on $ext_if cbq bandwidth 100Mb queue { default_out, queeq_512k_out } altq on $int_if cbq bandwidth 100Mb queue { default_in, queeq_512k_in } queue default_out bandwidth 10Mb cbq(default borrow) queue default_in bandwidth 10Mb cbq(default borrow) #unlimited users queues queue queeq_512k_out bandwidth 512Kb priority 4 cbq queue queeq_512k_in bandwidth 512Kb priority 4 cbq При этом все, для кого не заданы специально шейповые правила остаются работать на полной скорости канала (пользователи на пакетах по трафику и, конечно, я любимый ).

Я додумался. Надо использовать якоря. Сейчас попробую сделать. Если получится - выложу

Меньше всего накручено - меньше проблем Я такой вариант тоже рассмотрел. Но тут получается не так хорошо, как хотелось бы. На каждого пользователся тогда придётся создавать по 2 правила и по 2 очереди - ua-ix и мир (поправьте если ошибся). Я рассчитывал на то, что это можно как-то просто и аккуратно сделать, используя, например, сторонний демон. З.Ы. Сейчас у меня стоит возможность отключать направления. Для этого в PF'е устроено так: table <uaix> persist file "/etc/pf_ua-ix.txt" # украинские сети table <uausr> persist # список юзеров, у которых включен ua-ix table <wusr> persist # список юзеров, у которых включен мир далее, в конце всех правил стоит такое: pass quick from <uausr> to <uaix> pass quick from <uaix> to <uausr> block log quick from <uaix> block log quick to <uaix> pass quick from <wusr> pass quick to <wusr> Каждого безлимитчика придётся исключить из таблиц wusr и uausr, чтобы создать им отдельные правила со своими очередями. Это приведёт к громоздкости pf.conf и замедлению его работы. К тому же надо дописывать в OnConnect и OnDisconnect скрипты для постоянного дёрганья pf.conf и перезапуска файрвола. Это тоже не есть гуд. Можно ли это сделать как-то иначе?

На шлюзе стоит фря 6.2 с PF'ом. Возникла потребность сделать тарифы с зарезанием скорости на мир. Пожонглировав с altq не получилось нормально разобраться с шейпингом. Более того, нашёл в нете, что работает он только для исходящего трафика. Также придётся заводить каждому пользователю свою очередь и писать свои правила. Как я понял, altq - больше предназначен для QoS'a, чем для обычного зарезания скорости. Посоветуйте, пожалуйста, правильное решение для моего случая. От PF'a отказываться не хочу, т.к. он привлекает своей гибкостью, простотой и скоростью работы на высокой нагрузке.