Samba, Squid, Traffic Shaper

[Lambert 5]

Дано: интернет-роутер на базе FreeBSD 6.2

внутренняя сеть из-под NAT ходит в инет через транспарентный сквид.

Нарезка скорости юзерам выборнена через правила ipfw

В принципе, все равотает как надо.

Но понадобилось вот организовать небольшую файлопомойку для нужд локалки. Поставил самбу, настроил, запустил - опаньки. Шары раздаются, но скорость отдачи лимитируется все тем же ipfw. Понятное дело, хотелось бы чтоб шейпер работал только на внешний трафик.

Собственно вопрос - как ситуацию поправить, чтоб файлопомойку оставить на этой же машине?

Либо ipfw можно как-то хитро перенастроить, либо шейпер придется делать средствами сквида (хотя неоднократно я слышал, что это весьма кривое решение)

[Pretender 5]

Дано: интернет-роутер на базе FreeBSD 6.2

внутренняя сеть из-под NAT ходит в инет через транспарентный сквид.

Нарезка скорости юзерам выборнена через правила ipfw

В принципе, все равотает как надо.

Но понадобилось вот организовать небольшую файлопомойку для нужд локалки. Поставил самбу, настроил, запустил - опаньки. Шары раздаются, но скорость отдачи лимитируется все тем же ipfw. Понятное дело, хотелось бы чтоб шейпер работал только на внешний трафик.

Собственно вопрос - как ситуацию поправить, чтоб файлопомойку оставить на этой же машине?

Либо ipfw можно как-то хитро перенастроить, либо шейпер придется делать средствами сквида (хотя неоднократно я слышал, что это весьма кривое решение)

delay pools есть решение довольно нормальное, другое дело в том, что если вы отдаете абонентам не только кешированный траффик, а какой-то еще то он шейпиться не будет.

я у себя эту проблему решил поднятием впн.

[Lambert 5]

хмм.. можно подробней?

[Pretender 5]

хмм.. можно подробней?

ээммм просто для того, чтобы пустить клиентов в инет поднял vpn сервер. и теперь на виртуальных интерфейсах провожу шейпинг

а интерфейс который смотрит в сеть теперь вообще не шейпиться.

[Lambert 5]

Так.. Но это ж означает, что с клиентов для выхода в инет телодвижения надо какие-то делать?

Типа кликнуть где-то, логин/пароль ввести?

Не подходит, к сожалению

[XoRe 0]

2Lambert:

Скинте сюда часть правил фаерволла, отвечающих за шейпинг.

[Lambert 5]

iif="xl1"

inet="192.168.0.0"

imask="255.255.255.0"

iip="192.168.0.1"

 

setup_loopback

 

${fwcmd} pipe 1 config bw 128Kbit/s mask dst-ip 0xFFFFFFFF

${fwcmd} pipe 5 config bw 256Kbit/s mask dst-ip 0xFFFFFFFF

${fwcmd} pipe 8 config bw 512Kbit/s mask dst-ip 0xFFFFFFFF

 

${fwcmd} add 110 pipe 5 ip from any to 192.168.0.14

${fwcmd} add 120 pipe 1 ip from any to 192.168.0.16

${fwcmd} add 130 pipe 1 ip from any to 192.168.0.18

 

${fwcmd} add 140 pipe 8 ip from any to 192.168.0.21

[XoRe 0]

${fwcmd} add 110 pipe 5 ip from not me to 192.168.0.14 out

${fwcmd} add 120 pipe 1 ip from not me to 192.168.0.16 out

${fwcmd} add 130 pipe 1 ip from not me to 192.168.0.18 out

 

${fwcmd} add 140 pipe 8 ip from not me to 192.168.0.21 out

 

Или можно сделать not table\(n\), гле в таблицу n загнать список адресов, с которых шейпить не надо.

[Lambert 5]

хммм.. выглядит правдоподобно. Как-то я не додумался, видимо мало мануала скурил

Спасибо, буду пробовать

[XoRe 0]

Фаерволл - очень гибкая штука, которой можно делать все, что угодно )

[Lambert 5]

Уже вижу.. век живи - век учись