пропадает pipe у несколькоторых абонов
-
Зараз на сторінці 0 користувачів
Немає користувачів, що переглядають цю сторінку.
-
Схожий контент
-
Від Nejron
Якщо обмежити швидкість таким чином
ipfw pipe 1 config bw 10Mbit/s
ipfw -q add 11000 pipe 1 ip from X.X.X.X/24 to table\(4\) via em0 out
ipfw -q add 11001 pipe 1 ip from table\(3\) to X.X.X.X/24 via em0 in
то встановлений ліміт буде на весь пул ?
чи на кожен IP/підключення окремо ?
-
Від LENS
Друзья, помогите пожалуйста разобраться с проблемой скорости
Nodeny 50.32
Ядро и BRAS на разных серверах.
BRAS сервер HP Proliant G8 360, 2CPU 2,6 Ghz, 8Gb RAM - сетевая Intel 82576
Вход и выход собраны в lagg - итого два гига вход и выход
Абоненты терминируются через PPPoE на mpd. Nat на pf, детализация на ipcad
Проблема: при включенном ipfw и именно правилах pipe со скоростью какая то дичь, исхода нет, вход 10-13 мегабит
Как только выключаешь ipfw - все летает, больше гигабита пролетает без проблем. При этом очевидных проблем с перегрузом ядер нет - все равномерно.
FreeBSD bras7 11.2-STABLE FreeBSD 11.2-STABLE #0: Sun Dec 23 20:44:08 EET 2018 root@bras7:/usr/obj/usr/src/sys/BRAS7 amd64
В ядро Generic добавил опции:
# NAS KERNEL OPTIONS options IPFIREWALL options IPFIREWALL_NAT options LIBALIAS options IPDIVERT options DUMMYNET options IPFIREWALL_DEFAULT_TO_ACCEPT options PANIC_REBOOT_WAIT_TIME=3 options NETGRAPH options NETGRAPH_BPF options NETGRAPH_IPFW options NETGRAPH_ETHER options NETGRAPH_IFACE options NETGRAPH_PPP options NETGRAPH_PPTPGRE options NETGRAPH_PPPOE options NETGRAPH_SOCKET options NETGRAPH_KSOCKET options NETGRAPH_ONE2MANY options NETGRAPH_SPLIT options NETGRAPH_TEE options NETGRAPH_TCPMSS options NETGRAPH_VJC options NETGRAPH_RFC1490 options NETGRAPH_TTY options NETGRAPH_UI
Sysctl.conf
net.inet6.ip6.auto_linklocal=0 net.inet6.ip6.auto_linklocal=0 # net.isr.dispatch=deferred # dev.igb.0.rx_processing_limit=4096 dev.igb.1.rx_processing_limit=4096 dev.igb.2.rx_processing_limit=4096 dev.igb.3.rx_processing_limit=4096 dev.igb.4.rx_processing_limit=4096 dev.igb.5.rx_processing_limit=4096 dev.igb.6.rx_processing_limit=4096 dev.igb.7.rx_processing_limit=4096 # net.link.lagg.default_use_flowid=1 # net.inet.ip.dummynet.pipe_slot_limit=1000 net.inet.ip.dummynet.io_fast=1 net.inet.ip.intr_queue_maxlen=10240 # kern.ipc.nmbclusters=262144 kern.ipc.maxsockbuf=16777216 kern.ipc.somaxconn=32768 kern.randompid=348 net.inet.icmp.icmplim=50 net.inet.ip.process_options=0 net.inet.ip.redirect=0 net.inet.icmp.drop_redirect=1 net.inet.tcp.blackhole=2 net.inet.tcp.delayed_ack=0 net.inet.tcp.drop_synfin=1 net.inet.tcp.msl=7500 net.inet.tcp.nolocaltimewait=1 net.inet.tcp.path_mtu_discovery=0 net.inet.tcp.recvbuf_max=16777216 net.inet.tcp.recvspace=64395 net.inet.tcp.sendbuf_max=16777216 net.inet.tcp.sendspace=64395 net.inet.udp.blackhole=1 net.inet.tcp.tso=0 net.inet.tcp.syncookies=1 net.inet.ip.ttl=226 net.inet.tcp.drop_synfin=1 net.inet.ip.accept_sourceroute=0 net.inet.icmp.bmcastecho=0 net.route.netisr_maxqlen=4096 net.graph.maxdgram=8388608 net.graph.recvspace=8388608
loader.conf
kern.geom.label.gptid.enable=0 kern.geom.label.disk_ident.enable=0 # hw.igb.rxd=4096 hw.igb.txd=4096 hw.igb.max_interrupt_rate=32000 # net.route.netisr_maxqlen=4096 net.isr.defaultqlimit=4096 net.link.ifqmaxlen=10240 rc.firewall
${f} -f flush ${f} add 50 allow tcp from any to me 22 via lagg1 ${f} add 51 allow tcp from me 22 to any via lagg1 #${f} add 65 allow tcp from any to me 1723 #${f} add 65 allow tcp from me 1723 to any #${f} add 65 allow gre from any to me #${f} add 65 allow gre from me to any # # # PRIVATBANK + LIQPAY FREE ACCESS ${f} add 66 allow tcp from not "table(0)" to "table(17)" dst-port 80,443 # # Blocked URL ${f} add 67 fwd 127.0.0.1,8082 tcp from "table(0)" to "table(18)" dst-port 80 in ${f} add 68 reject tcp from "table(0)" to "table(18)" ${f} add 69 deny ip from "table(0)" to "table(18)" # # DENY TRACEROUTE & PING ${f} add 70 allow ip from any to any via lo0 ${f} add 71 allow icmp from 10.10.1.1 to any ${f} add 72 allow icmp from any to 10.10.1.1 ${f} add 74 deny icmp from me to any ${f} add 75 deny icmp from 10.10.0.0/24 to 10.190.0.0/16 icmptype 0,11 ${f} add 76 deny icmp from any to me ${f} add 110 allow ip from any to any via lo0 ${f} add 120 skipto 1000 ip from me to any ${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${f} add 160 skipto 2000 ip from any to me # ${f} add 170 allow tcp from any to ${main_server} 80,443 ${f} add 175 allow tcp from ${main_server} 80,443 to any ${f} add 180 allow tcp from any to ${main_server} 80,443 ${f} add 185 allow tcp from ${main_server} 80,443 to any ${f} add 187 allow tcp from any to ${site_server} 80 ${f} add 188 allow tcp from ${site_server} 80 to any ${f} add 190 allow udp from any to ${dns} 53 ${f} add 195 allow udp from ${dns} 53 to any ${f} add 200 skipto 500 ip from any to any via lagg1 # message module======== ${f} add 280 fwd 127.0.0.1,8081 tcp from "table(35)" to not me dst-port 80 in ${f} add 290 fwd 127.0.0.1,8080 tcp from not "table(0)" to not me dst-port 80 in #======================= ${f} add 300 skipto 4500 ip from any to any in ${f} add 400 skipto 450 ip from any to any recv lagg1 ${f} add 420 tee 1 ip from any to any ${f} add 450 tee 2 ip from any to "table(0)" ${f} add 490 allow ip from any to any ${f} add 500 skipto 32500 ip from any to any in ${f} add 510 tee 1 ip from any to any ${f} add 540 allow ip from any to any ${f} add 1000 allow udp from any 53,7723 to any ${f} add 1010 allow tcp from any to any setup keep-state ${f} add 1020 allow udp from any to any keep-state ${f} add 1100 allow ip from any to any ${f} add 2000 check-state ${f} add 2010 allow icmp from any to any ${f} add 2020 allow tcp from any to any 80,443 ${f} add 2030 allow ip from ${bras_server} to any ${f} add 2050 deny ip from any to any via lagg1 ${f} add 2060 allow udp from any to any 53,7723 ${f} add 2100 deny ip from any to any ${f} add 32490 deny ip from any to any
nofire.pl добавляет еще правила:
05000 skipto 33010 ip from table(1) to table(37) 05001 skipto 33010 ip from table(37) to table(1) 05002 deny ip from not table(0) to any 05003 skipto 5010 ip from table(127) to table(126) 05004 skipto 5030 ip from any to not table(2) 05005 deny ip from any to not table(1) 05006 pipe tablearg ip from table(21) to any 05007 deny ip from any to any 05010 pipe tablearg ip from table(127) to any 05030 deny tcp from table(15) to any 25 05400 pipe tablearg ip from table(11) to any 32000 deny ip from any to any 32490 deny ip from any to any 33000 pipe tablearg ip from table(126) to table(127) 33001 skipto 33010 ip from not table(2) to any 33002 pipe tablearg ip from any to table(20) 33003 deny ip from any to any 33400 pipe tablearg ip from any to table(10)
Вот эти два правила, удалив которые все работает без проблем (либо сделать ipfw -f):
33002 pipe tablearg ip from any to table(20)
33400 pipe tablearg ip from any to table(10)
Подскажите, что может быть источником данной проблемы - при том, что на старой версии FreeBSD 7.4 все работает нормально.
С меня бутылка хорошего горячительного средства или скажите сколько если устали пить
-
Від zaza12
В общем после пользования приоритета трафика около 3 лет на nas микротик, с переходом на nas freebsd ubilling ощутимо сказывается на пользовании. Поскольку сеть маленькая , в глубинке и почти все клиенты на точках , то 3м в трубе заполнить на раз, два и последующие запросы , игры или просто серфинг, пинг ого. Биллинг работает как часы , без нареканий. Привязал очереди к уже готовым трубам для каждого ip , перепробовал множество вариаций , но пока не могу запустить , может кто ткнет где не туда смотрю? К каждой трубе для каждого пользователя привязал 4 очереди с разными портами (потом можно добавить и по размеру файлов) . Очереди как бы заполняются , но скорость (например 3m) для каждого pipe почему то общая и для других ip , но по идее должна быть для каждого . Это одна из нескольких конфигураций , возможно кто подскажет где не так? Копию рабочего биллинга установил на виртуалку для оттачивания , чтобы клиенты не прибили за эксперименты!
#onconnect
#SPEED CONTROL ${fwcmd} pipe `expr $ID + 18101` config bw $SPEED$SCOUNT mask dst-ip 0xffffffff ${fwcmd} pipe `expr $ID + 101` config bw $UPSPEED$SCOUNT mask src-ip 0xffffffff # WAN -> LAN ${fwcmd} queue 111 config weight $wot queue 50 pipe `expr $ID + 18101` mask dst-ip 0xffffffff ${fwcmd} queue 112 config weight $http queue 50 pipe `expr $ID + 18101` mask dst-ip 0xffffffff ${fwcmd} queue 113 config weight $tcp queue 50 pipe `expr $ID + 18101` mask dst-ip 0xffffffff ${fwcmd} queue 114 config weight $all queue 50 pipe `expr $ID + 18101` mask dst-ip 0xffffffff # LAN -> WAN ${fwcmd} queue 211 config weight $wot queue 50 pipe `expr $ID + 101` mask src-ip 0xffffffff ${fwcmd} queue 212 config weight $http queue 50 pipe `expr $ID + 101` mask src-ip 0xffffffff ${fwcmd} queue 213 config weight $tcp queue 50 pipe `expr $ID + 101` mask src-ip 0xffffffff ${fwcmd} queue 214 config weight $all queue 50 pipe `expr $ID + 101` mask src-ip 0xffffffff #firewall.conf # WAN -> LAN ${FwCMD} add 13011 queue 111 ip from any ${wot} to any via ${LAN_IF} out ${FwCMD} add 13022 queue 112 ip from any ${http} to any via ${LAN_IF} out ${FwCMD} add 13033 queue 113 ip from any ${tcp} to any via ${LAN_IF} out ${FwCMD} add 13044 queue 114 ip from any not ${wot},${http},${tcp} to any via ${LAN_IF} out # LAN -> WAN ${FwCMD} add 13055 queue 211 ip from any to any ${wot} via ${LAN_IF} in ${FwCMD} add 13066 queue 212 ip from any to any ${http} via ${LAN_IF} in ${FwCMD} add 13077 queue 213 ip from any to any ${tcp} via ${LAN_IF} in ${FwCMD} add 13088 queue 214 ip from any to any not ${wot},${http},${tcp} via ${LAN_IF} in root@billing:~ # ipfw queue show q00213 50 sl. 0 flows (64 buckets) sched 101 weight 33 lmax 0 pri 0 droptail mask: 0x00 0xffffffff/0x0000 -> 0x00000000/0x0000 q00212 50 sl. 2 flows (64 buckets) sched 101 weight 50 lmax 0 pri 0 droptail mask: 0x00 0xffffffff/0x0000 -> 0x00000000/0x0000 BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp 6 ip 10.10.100.6/0 0.0.0.0/0 132 5762 0 0 0 14 ip 10.10.100.2/0 0.0.0.0/0 29 1330 0 0 0 q00214 50 sl. 1 flows (64 buckets) sched 101 weight 1 lmax 0 pri 0 droptail mask: 0x00 0xffffffff/0x0000 -> 0x00000000/0x0000 14 ip 10.10.100.2/0 0.0.0.0/0 60 4800 0 0 0 q00211 50 sl. 0 flows (64 buckets) sched 101 weight 100 lmax 0 pri 0 droptail mask: 0x00 0xffffffff/0x0000 -> 0x00000000/0x0000 q00111 50 sl. 0 flows (64 buckets) sched 18101 weight 100 lmax 0 pri 0 droptail mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000 q00114 50 sl. 1 flows (64 buckets) sched 18101 weight 1 lmax 0 pri 0 droptail mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000 22 ip 0.0.0.0/0 10.10.100.2/0 45 2664 0 0 0 q00113 50 sl. 0 flows (64 buckets) sched 18101 weight 33 lmax 0 pri 0 droptail mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000 q00112 50 sl. 1 flows (64 buckets) sched 18101 weight 50 lmax 0 pri 0 droptail mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000 18 ip 0.0.0.0/0 10.10.100.6/0 107 73002 15 10860 0 root@billing:~ # ipfw show 00004 58 3793 allow ip from table(2) to 10.10.100.1 dst-port 53 via em0 00004 58 10586 allow ip from 10.10.100.1 to table(2) src-port 53 via em0 00004 0 0 allow ip from table(2) to me dst-port 80 via em0 00004 0 0 allow ip from me to table(2) src-port 80 via em0 00005 0 0 fwd 127.0.0.1,80 ip from table(47) to not me dst-port 80 00005 0 0 fwd 127.0.0.1,80 ip from 172.32.0.0/20 to not me dst-port 80 00005 0 0 reset ip from 172.32.0.0/20 to any dst-port 443 00006 0 0 reset ip from table(47) to any dst-port 443,444 00006 0 0 allow ip from me to 172.32.0.0/20 via em0 out 00006 0 0 allow ip from 172.32.0.0/20 to me via em0 in 00101 28 1840 allow ip from me to 10.10.100.0/24 via em0 out 00102 1 328 allow ip from 10.10.100.0/24 to me via em0 in 06000 25885 13463718 nat 1 ip from table(2) to not table(9) out xmit em1 06001 23082 18714879 nat 1 ip from any to me in recv em1 13011 0 0 queue 111 ip from any 53,9081,9100,9090,8086,3724,9091,8087,6112,6881-6999 to any via em0 out 13022 22702 18675566 queue 112 ip from any 80,443,3128,8080,8081 to any via em0 out 13033 0 0 queue 113 ip from any 20,21,22,23,25,110,179,2222,3389 to any via em0 out 13044 276 18704 queue 114 ip from any not 53,9081,9100,9090,8086,3724,9091,8087,6112,6881-6999,80,443,3128,8080,8081,20,21,22,23,25,110,179,2222,3389 to any via em0 out 13055 0 0 queue 211 ip from any to any dst-port 53,9081,9100,9090,8086,3724,9091,8087,6112,6881-6999 via em0 in 13066 25736 13635783 queue 212 ip from any to any dst-port 80,443,3128,8080,8081 via em0 in 13077 0 0 queue 213 ip from any to any dst-port 20,21,22,23,25,110,179,2222,3389 via em0 in 13088 397 37455 queue 214 ip from any to any not dst-port 53,9081,9100,9090,8086,3724,9091,8087,6112,6881-6999,80,443,3128,8080,8081,20,21,22,23,25,110,179,2222,3389 via em0 in 14000 0 0 pipe tablearg ip from table(3) to any via em0 in 14001 0 0 pipe tablearg ip from any to table(4) via em0 out 65533 0 0 deny ip from table(2) to any via em0 65535 4667 857482 allow ip from any to any
-
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас