kvirtu

это не ipfw nat, это бок dummynet насколько я помню рассылки и собственные эксперименты. Изаю ng_car , было 2 перезагруза за день с выше указанной ошибкой, тут писали на форуме, что из-за именно из-за использования ng_car. Разработчик abills`a писал на своем форуме , что это из-за пере оптимизации sysctl.conf.

+ ipfw nat, в гугле есть много примеров, только есть одно НО, при большой нагрузке при ipfw nat, сервак может уходит в ребут c ошибкой в логах discard frame w/o packet header. Или DUMMYNET

C чем связано не подскажешь ?

В Партии регионов предлагают внести изменения в налоговое законодательство Новые правила, касающиеся упрощенной системы налогообложения, действуют всего месяц, а в Партии регионов предлагают опять их изменить. Об этом пишет КоммерсантЪ-Украина в публикации "Налоги готовят к новой редакции". Как отмечает издание, производителям и продавцам ювелирных изделий хотят вернуть право уплаты единого налога и ввести годовой мораторий на проверку малого бизнеса. Одновременно будут изменены критерии автоматического возврата НДС, что, по мнению экспертов, упростит его получение в оперативном режиме.

понял, так такого не было с начала перехода на ng_car в течении года. А сегодня блин, уже 2 раза. спасибо, почитаю.

Всем привет ! помогите решить проблему, боевой сервак стал сам ребутиться: до этого работал без проблем. в логах: kernel: fxp0: discard frame w/o packet header Freebsd 7.2 , шейпер ng_car Писали, что возможно такое при определенных нагрузках , и нужно подправить настройки в sysctl.conf #security.bsd.see_other_uids=0 kern.ipc.maxsockbuf=8388608 net.graph.recvspace=256000 net.graph.maxdgram=128000 # TCP bufer size kern.ipc.maxsockbuf=8388608 net.inet.tcp.recvspace=65535 # incoming TCP queue size #kern.ipc.somaxconn=1024 # incoming packets queue size net.inet.ip.intr_queue_maxlen=2000 # net.inet.ip.fastforwarding=1 net.inet.ip.portrange.randomized=0 net.inet.tcp.nolocaltimewait=1 kern.ipc.nmbclusters=65536 kern.ipc.maxsockets=204800 net.inet.ip.dummynet.hash_size=512 kern.ipc.somaxconn=1024 net.inet.tcp.maxtcptw=40960 #Polling kern.polling.enable=1 kern.polling.user_frac=10 net.inet.ip.fw.one_pass=0 # net.inet.ip.dummynet.io_fast=1 net.inet.ip.portrange.first=1024 #DDOS net.inet.tcp.msl=7500 net.inet.tcp.blackhole=2 net.inet.udp.blackhole=1 net.inet.icmp.icmplim=500 kern.ipc.somaxconn=32768 net.inet.icmp.bmcastecho=0 net.inet.icmp.maskrepl=0 net.inet.icmp.drop_redirect=1 net.inet.tcp.sack.enable=0 net.link.ether.inet.max_age=1200 #Bufer size net.inet.tcp.sendspace=32768 net.inet.tcp.recvspace=32768

там провайдер УТК, у которого каналы как писалось выше ЗАБИТЫ !!!

Ну после того как ексу вернули домен... Все таки когда у народа забираеш зрелища он начинает злится, это не с руки перед выборами ага

есть же net.inet.ip.fw.one_pass нет, мне действительно интересно - никогда же не поздно учиться, да? Осведомлен. Но нутром чую, что у тописктартера он =1 UPD: Поспешил ) как раз 0

есть же net.inet.ip.fw.one_pass нет, мне действительно интересно - никогда же не поздно учиться, да? Использую net.inet.ip.fw.one_pass=0, т.к. заведено на сервак 2 разных аплинка.

это самоочевидно У меня она никак не выглядит. Констатация фактов - не есть критика по определению. Благо речь не о моей персоне, в любом случае отлично (я даже не знаю где лучше и проще чем в freebsd) документированные азы загуглить не составляет труда. Даже не поленился, посчитал - dummynet (см. гугление) упоминается на текущей странице ровно 8 (теперь уже 9 раз). Да я знаю о altq но учитывая использование ipfw а не pf лучше его не упоминать в данном контексте. ну это типа хорошо, че ну вот, так хорошо начали и так закончили.... А раскажите пожалуйста чем в вашем особенном мире отличается шейп реальных и нереальных айпишек? цветом да? Я бы лично с глубочайшим интересом проникся. Не стесняйтесь. продолжаете язвить, ну да ладно.

ng_car

В общем , Всем спасибо за критику и конструктив ! С НАТом реальных адресов я конечно перемудрил. А сделал так: Клиенту через pppoe выдается реальник 1.1.1.5 В правила добавил: ${fwcmd} add номер allow ip from 1.1.1.5 to any ${fwcmd} add номер allow ip from any to 1.1.1.5 Сайт конечно может и не красив, делал его сам на чистом HTML.

сначала вам нат шейпить мешает, потом свичи.... занятно ...теперь вы при помощи allow на шейп надеетесь.... да не, просто привет из 90-х. Резюмирую: Мне действительно стыдно если вы считаете себя администратором. Я всегда считал что бегло прочитать man dummynet и man ipfw не должно быть проблемой. Если даже это вызывает затруднения, могу порекомендовать http://bit.ly/zfLPqV Учится никогда не стыдно, и все все знать тоже невозможно. И критика бывает разной: У Вас она выглядит так: Как ты не знаешь этого ? Значит ты не админ уже. А Вы все сразу знали и не учились даже ? И не у кого не спрашивали ничего ??? ДА, я не все еще не знаю, но есть стремление узнать больше и сделать лучше. Не было потребности у меня до этого в реальных адресах, и не интересовался я этим. Вот пришло время и надо вникать.

Использую kernel NAT, скорее всего мне надо будет настроить модуль IPN.

Через НАТ (pppoe) шейпится скорость, посредством биллинга abills. Если без НАТа, то как все настроить ? где и что прописывать ? Что-то у вас смешались в кучу и кони, и люди. нат, пппое, шейпер. Вам смаршрутизировали блок. У вас должно просто работать: достаточно разрешить прохождения пакетов с этих адресов через Ваш шлюз. Натить белые адреса не нужно. Я не знаю как у Вас шейпится, через сам mpd, или через dummynet и как организовано управление всем этим хозяйством в биллинге, так что посоветовать что-то конкрнетно сложно ) Для начала добавьте руками просто : ${fwcmd} add номер allow ip from 1.1.1.5 to any ${fwcmd} add номер allow ip from any to 1.1.1.5 P.S.: Сайт Вашей сети порадовал) по этим правилам , все пашет ${fwcmd} add номер allow ip from 1.1.1.5 to any ${fwcmd} add номер allow ip from any to 1.1.1.5 Но, при этом у клиента не ограничивается скорость (. Сайт совсем плох ? Что не так ? Выслушаю любую критику, будет переделывать ...

Позвольте вопросить - каким местом в вашем особенном мире соотносяться ipfw nat и скажем dummynet? ЗЫ нат реальных айпишек это уже занятно само по себе. Сеть у меня пока небольшая , регить свою AS и блок адресов, пока не вижу смысла. Использую Kernel NAT для выхода пользователей в инет. Свичи на домах пока "тупые", и как в данном случае шейпить скорость для абонента ? Только через виртуальное соединение и приходится шейпить реальные адреса .

Через НАТ (pppoe) шейпится скорость, посредством биллинга abills. Если без НАТа, то как все настроить ? где и что прописывать ?

имеется freebsd 7.2. Своей AS и блока адресов нет. Есть блок IP-адресов от прова 1.1.1.1-1.1.1.5 маска 255.255.255.248. Нужно организовать выдачу клиенту реального айпишника, что бы его комп был виден в инете. Я выдал через pppoe клиенту адрес 1.1.1.5. Правила ipfw: ${fwcmd} nat 2 config ip 1.1.1.5 log same_ports ${fwcmd} add 65044 nat 2 ip from 1.1.1.5 to any ${fwcmd} add 65045 nat 2 ip from any to 1.1.1.5 У клиента инет бегает, но айпишник не виден в инете. Где грабли ?

Как клиент Веги дома, подтверждаю - не пашет.

У КС все на соплях (стяжках)

Следствие отозвало требование о блокировании домена EX.UA, согласно которому позавчера регистратор Imena.ua прекратил обслуживание домена, в результате файлообменный ресурс стал недоступен. Об этом AIN.UA рассказал управляющий партнер юридической фирмы «Юскутум» Артем Афян, который представляет интересы EX.UA. + Он также рассказал, что дело было возбуждено по факту размещения на портале пятью неустановленными лицами контрафактной продукциии компании Adobe. Сумму ущерба истец оценил в 180 тыс. грн. «Следствие разобралось, что факт размещения на портале нелицензионных продуктов не может стать причиной для блокирования домена, поэтому требование было отозвано. Теперь домен снова может быть включен, однако сервера портала все еще у милиции. Их изъятие никак не способствует установлению личностей пяти человек, которые разместили контрафактный контент. Более того, после блокирования домена установить личности нарушителей стало невозможно», — рассказал Афян. Сервера были изъяты под предлогом того, что на них могут быть копии продуктов Adobe, размещенных нарушителями. Представитель EX.UA Юрис Писковой сказал, что работа по восстановлению ресурса ведется, но более подробных комментариев пока не дал.

Ты это не нам говори, а юзверам).

1+1 не обращался в милицию с просьбой закрыть EX.ua, - гендиректор канала подробнее ТЫЦ P.S. а сайт 1+1 уже лежит ...