morfey 82 Опубликовано: 2009-07-05 18:45:00 Share Опубликовано: 2009-07-05 18:45:00 ipfw add 10002 pipe 114 all from any to 10.10.10.15 out ipfw add 10003 pipe 115 all from 10.10.10.15 to any in ipfw pipe 114 config bw 256Kbit/s ipfw pipe 115 config bw 256Kbit/s billing-host# ipfw pipe show 114 00114: 256.000 Kbit/s 0 ms 50 sl. 1 queues (1 buckets) droptail mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000 BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp 0 tcp 85.141.246.147/48734 10.10.10.15/2970 44160 33428125 0 0 30 billing-host# ipfw pipe show 115 00115: 256.000 Kbit/s 0 ms 50 sl. 1 queues (1 buckets) droptail mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000 BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp 0 tcp 10.10.10.15/3295 95.133.114.55/11520 3471 2610074 0 0 0 speedtest показывает входящий 256к, исходящий 50мбит)) может быть я не понимаю термина входящий/исходящий трафик? для меня исходящий, это направленный с машины наружу, неважно куда, в локалку или в инет. поправьте меня плз, если ошибаюсь.. сутки мучусь Ссылка на сообщение Поделиться на других сайтах
dead 93 Опубліковано: 2009-07-05 21:59:24 Share Опубліковано: 2009-07-05 21:59:24 ipfw add 10002 pipe 101 all from any to 10.10.10.15 outipfw add 10003 pipe 102 all from 10.10.10.15 to any in ipfw pipe 114 config bw 256Kbit/s ipfw pipe 115 config bw 256Kbit/s ты когда все это писал задумывался, что во всем есть минимальная, но логика? Минимум логика в том, что число 101 совершенно не равно 114, а 102 не равно 115? Когда исправишь этот косяк - не забудь про то, что у роутера есть интерфейсы и по твоим правилам трафик шейпится дважды. Хотя кусок фаервола - так не показывают. И, кстати, в нете дофига много инфы по шейпам, поэтому никто тебе и не помог Ссылка на сообщение Поделиться на других сайтах
morfey 82 Опубліковано: 2009-07-05 22:12:32 Автор Share Опубліковано: 2009-07-05 22:12:32 Сорри, там 114 и 115, просто одно копировал со скрипта а другое с ipfw show via тоже стоит, не делайте с меня идиота. Я сначала перерыл все маны, а потом написал. Ссылка на сообщение Поделиться на других сайтах
dead 93 Опубліковано: 2009-07-05 22:40:35 Share Опубліковано: 2009-07-05 22:40:35 via тоже стоит, не делайте с меня идиота. Я сначала перерыл все маны, а потом написал. в примере не стоит, телепатическими способностями не обладаю. Рекомендую привести фаервол целиком - вероятность, что помогут, будет больше Ссылка на сообщение Поделиться на других сайтах
morfey 82 Опубліковано: 2009-07-06 07:06:38 Автор Share Опубліковано: 2009-07-06 07:06:38 Вот переписал, все равно режет только входящий трафик system("$fwcmd pipe `expr $ID + 101` config bw $SPEED"."Kbit/s"); system("$fwcmd add `expr $ID '*' 10 + 10002` pipe `expr $ID + 101` ip from any to $IP"); system("$fwcmd add `expr $ID '*' 10 + 10003` pipe `expr $ID + 101` ip from $IP to any"); Ссылка на сообщение Поделиться на других сайтах
Al G 0 Опубліковано: 2009-07-06 07:58:55 Share Опубліковано: 2009-07-06 07:58:55 Значит траф по другому правилу убегает. Выше писали уже, приведи пример фаервола целиком. Ссылка на сообщение Поделиться на других сайтах
morfey 82 Опубліковано: 2009-07-06 08:03:00 Автор Share Опубліковано: 2009-07-06 08:03:00 billing-host# ipfw show 00001 35278 35492222 allow ip from any to any via lo0 00002 8061 3832158 allow ip from any to 10.10.10.11 00002 7680 4072741 allow ip from 10.10.10.11 to any 00003 30699 3301643 allow tcp from any to me dst-port 80 00004 44464 57496494 allow tcp from me 80 to any 00005 0 0 allow ip from 10.10.0.0/16 to me dst-port 80 00006 0 0 allow ip from me 80 to 10.10.0.0/16 00007 3439950 233142916 fwd 127.0.0.1,3128 tcp from 10.10.0.0/16 to not me dst-port 80 00009 2715 3455672 allow ip from any to me dst-port 25 00009 7 361 allow ip from any to me dst-port 27015 00010 108758 8310743 allow icmp from any to any 00011 16943 1897283 allow udp from any to any dst-port 53 00012 6254 1254253 allow udp from any 53 to any 00013 0 0 allow tcp from 10.10.10.11 143 to 10.10.10.10 00014 0 0 allow tcp from 10.10.10.11 25 to 10.10.10.10 00015 18651 27528753 allow tcp from 10.10.10.13 20,21,22,30000-50000 to 10.10.10.10 00015 0 0 allow tcp from 10.10.10.14 20,21,22,30000-50000 to 10.10.10.10 00106 0 0 allow tcp from 10.10.10.23 to 10.10.10.10 dst-port 3128 00126 0 0 allow tcp from 10.10.10.40 to 10.10.10.10 dst-port 3128 00136 0 0 allow tcp from 10.10.10.42 to 10.10.10.10 dst-port 3128 00156 0 0 allow tcp from 10.10.5.3 to 10.10.10.10 dst-port 3128 00166 0 0 allow tcp from 10.10.0.1 to 10.10.10.10 dst-port 3128 00176 0 0 allow tcp from 10.10.10.12 to 10.10.10.10 dst-port 3128 00186 0 0 allow tcp from 10.10.10.41 to 10.10.10.10 dst-port 3128 00196 0 0 allow tcp from 10.10.5.2 to 10.10.10.10 dst-port 3128 00206 0 0 allow tcp from 10.10.2.1 to 10.10.10.10 dst-port 3128 00226 0 0 allow tcp from 10.10.10.15 to 10.10.10.10 dst-port 3128 00304 425 48211 deny ip from any to 192.168.0.0/16 out via nfe0 00305 0 0 deny ip from any to 10.0.0.0/16 out via nfe0 00308 4293 394956 allow udp from any to 10.10.10.10 dst-port 5555 via rl0 00309 4698 1857328 allow udp from 10.10.10.10 to any via rl0 00310 0 0 allow tcp from 10.10.10.15 to 10.10.10.10 dst-port 22 via rl0 00311 34392 18646219 allow tcp from 10.10.10.10 to any via rl0 00312 0 0 allow tcp from any to 10.10.10.10 dst-port 80 via rl0 00313 0 0 allow tcp from 10.10.10.15 to 10.10.10.10 dst-port 5555 via rl0 00314 3503 264002 allow tcp from 10.10.10.12 to 10.10.10.10 dst-port 22 via rl0 00315 12723 731520 allow tcp from 10.10.10.12 to 10.10.10.10 dst-port 5555 via rl0 00316 30 1845 allow ip from 10.10.10.12 to 10.10.10.10 via rl0 00317 0 0 allow ip from 10.10.10.10 to 10.10.10.12 via rl0 00318 105 5397 allow ip from 10.10.10.23 to 10.10.10.10 via rl0 00319 0 0 allow ip from 10.10.10.10 to 10.10.10.23 via rl0 00320 78 3046 deny log ip from 10.10.0.0/16 to 10.10.10.10 via rl0 10001 0 0 allow icmp from 10.10.10.23 to any icmptypes 0,3,4,11,12 10002 2297144 122656715 pipe 101 ip from any to 10.10.10.23 via rl0 out 10003 0 0 pipe 102 ip from 10.10.10.23 to any via nfe0 in 10004 3141 185917 allow ip from 10.10.10.23 to any 10005 0 0 allow ip from any to 10.10.10.23 10021 0 0 allow icmp from 10.10.10.40 to any icmptypes 0,3,4,11,12 10022 21168 18834261 pipe 103 ip from any to 10.10.10.40 via rl0 out 10023 0 0 pipe 104 ip from 10.10.10.40 to any via nfe0 in 10024 609 47607 allow ip from 10.10.10.40 to any 10025 0 0 allow ip from any to 10.10.10.40 10031 0 0 allow icmp from 10.10.10.42 to any icmptypes 0,3,4,11,12 10032 0 0 pipe 104 ip from any to 10.10.10.42 via rl0 out 10033 0 0 pipe 105 ip from 10.10.10.42 to any via nfe0 in 10034 0 0 allow ip from 10.10.10.42 to any 10035 0 0 allow ip from any to 10.10.10.42 10051 0 0 allow icmp from 10.10.5.3 to any icmptypes 0,3,4,11,12 10052 39235 49167063 pipe 106 ip from any to 10.10.5.3 10054 57 8287 allow ip from 10.10.5.3 to any 10055 0 0 allow ip from any to 10.10.5.3 10061 0 0 allow icmp from 10.10.0.1 to any icmptypes 0,3,4,11,12 10062 1421 515267 pipe 107 ip from any to 10.10.0.1 10064 2 462 allow ip from 10.10.0.1 to any 10065 0 0 allow ip from any to 10.10.0.1 10071 0 0 allow icmp from 10.10.10.12 to any icmptypes 0,3,4,11,12 10072 184700 207156359 pipe 108 ip from any to 10.10.10.12 10074 58854 3466453 allow ip from 10.10.10.12 to any 10075 0 0 allow ip from any to 10.10.10.12 10081 0 0 allow icmp from 10.10.10.41 to any icmptypes 0,3,4,11,12 10082 64480 84685656 pipe 109 ip from any to 10.10.10.41 10084 387 135661 allow ip from 10.10.10.41 to any 10085 0 0 allow ip from any to 10.10.10.41 10091 0 0 allow icmp from 10.10.5.2 to any icmptypes 0,3,4,11,12 10092 129317 185733012 pipe 110 ip from any to 10.10.5.2 10094 74 9613 allow ip from 10.10.5.2 to any 10095 0 0 allow ip from any to 10.10.5.2 10101 0 0 allow icmp from 10.10.2.1 to any icmptypes 0,3,4,11,12 10102 2103434 1125966466 pipe 111 ip from any to 10.10.2.1 10104 1346915 158627778 allow ip from 10.10.2.1 to any 10105 0 0 allow ip from any to 10.10.2.1 10121 0 0 allow icmp from 10.10.10.15 to any icmptypes 0,3,4,11,12 10122 55439 46953016 pipe 113 ip from any to 10.10.10.15 10124 21604 21002432 allow ip from 10.10.10.15 to any 10125 0 0 allow ip from any to 10.10.10.15 50029 33716 1817732 allow tcp from any to any out via nfe0 setup 50030 5037570 2517339449 allow tcp from any to any via nfe0 established 50031 376 28137 allow udp from any to any out via nfe0 50032 0 0 allow udp from any 53 to any in via nfe0 50033 39 2328 allow tcp from any to me dst-port 22 via nfe0 65534 63198 3365178 deny log ip from any to any 65535 4 678 allow ip from any to any Ссылка на сообщение Поделиться на других сайтах
prototip 284 Опубліковано: 2009-07-06 08:12:55 Share Опубліковано: 2009-07-06 08:12:55 Ну в предыдущем посте написано обратить внимание на каком интерфейсе висит шейпер тут и будет тебе ответ . А вообще поиск рулит на этом форуме уже ломали копье насчет этого . Ссылка на сообщение Поделиться на других сайтах
morfey 82 Опубліковано: 2009-07-06 08:14:11 Автор Share Опубліковано: 2009-07-06 08:14:11 делал и на внешний и на внутренний via nfe0 via rl0 out in Ссылка на сообщение Поделиться на других сайтах
prototip 284 Опубліковано: 2009-07-06 08:29:58 Share Опубліковано: 2009-07-06 08:29:58 http://local.com.ua/forum/index.php?showto...1&hl=шейпер http://local.com.ua/forum/index.php?showto...ейпер&st=20 ну есть же поиск введите ШЕЙПЕР - море тем . В последней ссылке как раз и обяснение и ответ . Ссылка на сообщение Поделиться на других сайтах
morfey 82 Опубліковано: 2009-07-06 09:36:55 Автор Share Опубліковано: 2009-07-06 09:36:55 IN и OUT назначал и отдельно по интерфейсам, все равно исходящая скорость на максимуме Пожалуйста ткните пальцем, как говорилось в прведенном посте прокладку между клавой и монитором проапгрейдю Ссылка на сообщение Поделиться на других сайтах
Al G 0 Опубліковано: 2009-07-06 10:03:55 Share Опубліковано: 2009-07-06 10:03:55 Попробуй system("$fwcmd pipe `expr $ID + 101` config bw $SPEED"."Kbit/s");system("$fwcmd pipe `expr $ID + 102` config bw $SPEED"."Kbit/s"); system("$fwcmd add `expr $ID '*' 10 + 10002` pipe `expr $ID + 101` ip from any to $IP"); system("$fwcmd add `expr $ID '*' 10 + 10003` pipe `expr $ID + 102` ip from $IP to any"); без явного указания IN и OUT погоняй немного, чтобы счетчики накрутились, и повторно брось ipfw show Ссылка на сообщение Поделиться на других сайтах
morfey 82 Опубліковано: 2009-07-06 10:11:47 Автор Share Опубліковано: 2009-07-06 10:11:47 Щас стоит: system("$fwcmd pipe `expr $ID + 101` config bw $SPEED"."Kbit/s "); system("$fwcmd pipe `expr $ID + 102` config bw $SPEED"."Kbit/s"); system("$fwcmd add `expr $ID '*' 10 + 10002` pipe `expr $ID + 101` ip from any to $IP out "); system("$fwcmd add `expr $ID '*' 10 + 10003` pipe `expr $ID + 102` ip from $IP to any in "); Еще, стоит скуид, ипнат billing-host# ipfw show 00001 49454 52724858 allow ip from any to any via lo0 00002 9262 3923141 allow ip from any to 10.10.10.11 00002 8878 4264996 allow ip from 10.10.10.11 to any 00003 48637 5506744 allow tcp from any to me dst-port 80 00004 69045 88747773 allow tcp from me 80 to any 00005 0 0 allow ip from 10.10.0.0/16 to me dst-port 80 00006 0 0 allow ip from me 80 to 10.10.0.0/16 00007 4221142 452925835 fwd 127.0.0.1,3128 tcp from 10.10.0.0/16 to not me dst-port 80 00009 2735 3458265 allow ip from any to me dst-port 25 00009 7 361 allow ip from any to me dst-port 27015 00010 174287 12875355 allow icmp from any to any 00011 41499 3802148 allow udp from any to any dst-port 53 00012 8941 1834534 allow udp from any 53 to any 00013 0 0 allow tcp from 10.10.10.11 143 to 10.10.10.10 00014 0 0 allow tcp from 10.10.10.11 25 to 10.10.10.10 00015 345461 509998350 allow tcp from 10.10.10.13 20,21,22,30000-50000 to 10.10.10.10 00015 0 0 allow tcp from 10.10.10.14 20,21,22,30000-50000 to 10.10.10.10 00106 0 0 allow tcp from 10.10.10.23 to 10.10.10.10 dst-port 3128 00126 0 0 allow tcp from 10.10.10.40 to 10.10.10.10 dst-port 3128 00136 0 0 allow tcp from 10.10.10.42 to 10.10.10.10 dst-port 3128 00156 0 0 allow tcp from 10.10.5.3 to 10.10.10.10 dst-port 3128 00166 0 0 allow tcp from 10.10.0.1 to 10.10.10.10 dst-port 3128 00176 0 0 allow tcp from 10.10.10.12 to 10.10.10.10 dst-port 3128 00186 0 0 allow tcp from 10.10.10.41 to 10.10.10.10 dst-port 3128 00196 0 0 allow tcp from 10.10.5.2 to 10.10.10.10 dst-port 3128 00226 0 0 allow tcp from 10.10.10.15 to 10.10.10.10 dst-port 3128 00304 509 57625 deny ip from any to 192.168.0.0/16 out via nfe0 00305 0 0 deny ip from any to 10.0.0.0/16 out via nfe0 00308 7203 662676 allow udp from any to 10.10.10.10 dst-port 5555 via rl0 00309 7594 2985480 allow udp from 10.10.10.10 to any via rl0 00310 0 0 allow tcp from 10.10.10.15 to 10.10.10.10 dst-port 22 via rl0 00311 274925 45148991 allow tcp from 10.10.10.10 to any via rl0 00312 0 0 allow tcp from any to 10.10.10.10 dst-port 80 via rl0 00313 0 0 allow tcp from 10.10.10.15 to 10.10.10.10 dst-port 5555 via rl0 00314 7492 574534 allow tcp from 10.10.10.12 to 10.10.10.10 dst-port 22 via rl0 00315 26162 1503408 allow tcp from 10.10.10.12 to 10.10.10.10 dst-port 5555 via rl0 00316 54 3321 allow ip from 10.10.10.12 to 10.10.10.10 via rl0 00317 0 0 allow ip from 10.10.10.10 to 10.10.10.12 via rl0 00318 125 6425 allow ip from 10.10.10.23 to 10.10.10.10 via rl0 00319 0 0 allow ip from 10.10.10.10 to 10.10.10.23 via rl0 00320 126 5248 deny log ip from 10.10.0.0/16 to 10.10.10.10 via rl0 10001 0 0 allow icmp from 10.10.10.23 to any icmptypes 0,3,4,11,12 10002 2297205 122682299 pipe 101 ip from any to 10.10.10.23 via rl0 out 10003 0 0 pipe 102 ip from 10.10.10.23 to any via nfe0 in 10004 3156 188748 allow ip from 10.10.10.23 to any 10005 0 0 allow ip from any to 10.10.10.23 10021 0 0 allow icmp from 10.10.10.40 to any icmptypes 0,3,4,11,12 10022 166411 185244448 pipe 103 ip from any to 10.10.10.40 via rl0 out 10023 0 0 pipe 104 ip from 10.10.10.40 to any via nfe0 in 10024 1415 234250 allow ip from 10.10.10.40 to any 10025 0 0 allow ip from any to 10.10.10.40 10031 0 0 allow icmp from 10.10.10.42 to any icmptypes 0,3,4,11,12 10032 0 0 pipe 104 ip from any to 10.10.10.42 via rl0 out 10033 0 0 pipe 105 ip from 10.10.10.42 to any via nfe0 in 10034 0 0 allow ip from 10.10.10.42 to any 10035 0 0 allow ip from any to 10.10.10.42 10051 0 0 allow icmp from 10.10.5.3 to any icmptypes 0,3,4,11,12 10052 1533 926679 pipe 106 ip from any to 10.10.5.3 10053 136 14798 pipe 107 ip from 10.10.5.3 to any 10054 0 0 allow ip from 10.10.5.3 to any 10055 0 0 allow ip from any to 10.10.5.3 10061 0 0 allow icmp from 10.10.0.1 to any icmptypes 0,3,4,11,12 10062 10866 6782444 pipe 107 ip from any to 10.10.0.1 10064 35 6092 allow ip from 10.10.0.1 to any 10065 0 0 allow ip from any to 10.10.0.1 10071 0 0 allow icmp from 10.10.10.12 to any icmptypes 0,3,4,11,12 10072 273040 303217016 pipe 108 ip from any to 10.10.10.12 10074 77982 4530983 allow ip from 10.10.10.12 to any 10075 0 0 allow ip from any to 10.10.10.12 10081 0 0 allow icmp from 10.10.10.41 to any icmptypes 0,3,4,11,12 10082 152993 206292928 pipe 109 ip from any to 10.10.10.41 10084 457 144896 allow ip from 10.10.10.41 to any 10085 0 0 allow ip from any to 10.10.10.41 10091 0 0 allow icmp from 10.10.5.2 to any icmptypes 0,3,4,11,12 10092 767579 1093550401 pipe 110 ip from any to 10.10.5.2 10094 112 14636 allow ip from 10.10.5.2 to any 10095 0 0 allow ip from any to 10.10.5.2 10121 0 0 allow icmp from 10.10.10.15 to any icmptypes 0,3,4,11,12 10122 9609 6961451 pipe 113 ip from any to 10.10.10.15 out 10123 219 292711 pipe 114 ip from 10.10.10.15 to any in 10124 0 0 allow ip from 10.10.10.15 to any 10125 0 0 allow ip from any to 10.10.10.15 50029 54132 2980112 allow tcp from any to any out via nfe0 setup 50030 8488956 4901321678 allow tcp from any to any via nfe0 established 50031 453 31715 allow udp from any to any out via nfe0 50032 0 0 allow udp from any 53 to any in via nfe0 50033 41 2436 allow tcp from any to me dst-port 22 via nfe0 65534 79124 4251656 deny log ip from any to any 65535 4 678 allow ip from any to any Ссылка на сообщение Поделиться на других сайтах
Kucher2 122 Опубліковано: 2009-07-06 10:42:14 Share Опубліковано: 2009-07-06 10:42:14 226-ое правило убери. И вообще убери всё лишнее, особенно что касается твоего 10.10.10.15, включая правила на всю подсеть. Правила 10124 и 10125 - лишние, если ты уже пустил трафик через pipe. Вот мой рабочий IPFW. Не идеален - тоже слизан откуда-то, но всё работает, лишнее для тебя я убрал. 00004 allow udp from any 123 to any dst-port 123 00005 fwd 127.0.0.1,3128 tcp from 10.0.0.0/24 to any dst-port 80 out xmit rl1 00010 divert 8668 ip from any to any via rl1 00015 allow udp from 127.0.0.1 53 to any 00016 allow udp from any to 127.0.0.1 dst-port 53 00040 allow icmp from 10.0.0.0/24 to any via rl0 icmptypes 0,8 00059 deny log logamount 100 icmp from any to any frag 00060 allow icmp from any to any via rl1 00070 deny log logamount 100 ip from any to 127.0.0.0/8 00080 deny log logamount 100 ip from 127.0.0.0/8 to any 00100 allow ip from any to any via lo0 00304 deny log logamount 100 ip from any to 192.168.0.0/24 out via rl1 00305 deny log logamount 100 ip from any to 10.0.0.0/24 out via rl1 00306 deny log logamount 100 ip from any to 172.16.0.0/12 out via rl1 00308 allow udp from any to 10.0.0.0/24 dst-port 8888 via rl0 00400 allow tcp from me 80 to 10.0.0.0/24 00410 allow tcp from 10.0.0.0/24 to me dst-port 80 #Этот юзер пользуется общим каналом для помегабайтного тарифа. Каналы pipe создаются сразу при старте системы 29431 queue 3 ip from any to 10.0.0.58 29432 queue 4 ip from 10.0.0.58 to any #А у этого - индивидуальный pipe, включаемый по OnConnect в СТГ, как у тебя в примере 29453 pipe 29451 ip from any to 10.0.0.14 29454 pipe 29452 ip from 10.0.0.14 to any 50020 deny log logamount 100 ip from 10.0.0.0/24 to 10.0.0.10 via rl0 50021 deny log logamount 100 ip from 192.168.10.0/24 to 192.168.20.1 via rl0 50022 deny log logamount 100 ip from 192.168.10.0/24 to 192.168.30.1 via rl0 50029 allow tcp from any to any out via rl1 setup 50030 allow tcp from any to any via rl1 established 50031 allow udp from any to any out via rl1 50032 allow udp from any to any in recv rl1 65534 deny log logamount 100 ip from any to any 65535 deny ip from any to any Ссылка на сообщение Поделиться на других сайтах
morfey 82 Опубліковано: 2009-07-07 07:11:11 Автор Share Опубліковано: 2009-07-07 07:11:11 Ночью переписал все, заработало. Никого кроме тестового компа в сети небыло. Я успокоился. Утром проверил, опятиь та же проблема, не пойму.. вот правила: OnConnect: #!/usr/local/bin/php <?php mysql_connect('localhost','morfey','pass'); mysql_select_db('stg_billing'); $LOGIN=$argv[1]; $IP=$argv[2]; $CASH=$argv[3]; $ID=$argv[4]; $query = mysql_query("select Tariff from users where login='$LOGIN'") or die(mysql_error()); $result = mysql_fetch_array($query); $mac = $result['Userdata0']; if(substr($result['Tariff'],0,5) == 'unlim') { $SPEED=preg_replace('#unlim#Uis','',$result['Tariff']); } elseif(substr($result['Tariff'],0,6) == 'office') { $SPEED=preg_replace('#office#Uis','',$result['Tariff']); } $fwcmd="/sbin/ipfw -q"; $cur_date=date('Y-m-d'); $cur_time=date('H:M:S'); # DELETE RULEZ system("$fwcmd delete `expr $ID '*' 10 + 10001`"); system("$fwcmd delete `expr $ID '*' 10 + 10002`"); system("$fwcmd delete `expr $ID '*' 10 + 10003`"); # ADD RULEZ #narezka system("$fwcmd pipe `expr $ID + 101` config bw $SPEED"."Kbit/s "); system("$fwcmd pipe `expr $ID + 102` config bw $SPEED"."Kbit/s"); system("$fwcmd add `expr $ID '*' 10 + 10002` pipe `expr $ID + 101` ip from any to $IP via rl0 >> /dev/null "); system("$fwcmd add `expr $ID '*' 10 + 10003` pipe `expr $ID + 102` ip from $IP to any via rl0 >> /dev/null"); ?> rc.firewall : #!/bin/sh fwcmd="/sbin/ipfw" int_if="rl0" ext_if="nfe0" #flush ${fwcmd} -f flush ${fwcmd} add 1 allow all from any to any via lo0 ${fwcmd} add 2 allow all from any to me via ${ext_if} ${fwcmd} add 3 allow tcp from any to me 80 ${fwcmd} add 4 allow tcp from me 80 to any ${fwcmd} add 5 allow ip from 10.10.0.0/16 to me 80 ${fwcmd} add 6 allow ip from me 80 to 10.10.0.0/16 ${fwcmd} add 7 fwd 127.0.0.1,3128 tcp from 10.10.0.0/16 to not me 80 ${fwcmd} add 11 allow all from any to 10.10.10.10 80 ${fwcmd} add 10 allow icmp from any to any ${fwcmd} add 12 allow all from 10.10.10.10 to any 80 ${fwcmd} add 304 allow udp from any to 10.10.10.10 5555 via ${int_if} ${fwcmd} add 308 allow udp from any to 10.10.10.10 5555 via ${int_if} ${fwcmd} add 309 allow udp from 10.10.10.10 to any via ${int_if} #admins ${fwcmd} add 314 allow tcp from 10.10.10.12 to 10.10.10.10 22 via ${int_if} ${fwcmd} add 315 allow tcp from 10.10.10.12 to 10.10.10.10 5555 via ${int_if} ${fwcmd} add 316 allow all from 10.10.10.12 to 10.10.10.10 via ${int_if} ${fwcmd} add 317 allow all from 10.10.10.10 to 10.10.10.12 via ${int_if} ${fwcmd} add 314 allow tcp from 10.10.10.23 to 10.10.10.10 22 via ${int_if} ${fwcmd} add 315 allow tcp from 10.10.10.23 to 10.10.10.10 5555 via ${int_if} ${fwcmd} add 316 allow all from 10.10.10.23 to 10.10.10.10 via ${int_if} ${fwcmd} add 317 allow all from 10.10.10.10 to 10.10.10.23 via ${int_if} ${fwcmd} add 314 allow tcp from 10.10.10.24 to 10.10.10.10 22 via ${int_if} ${fwcmd} add 315 allow tcp from 10.10.10.24 to 10.10.10.10 5555 via ${int_if} ${fwcmd} add 316 allow all from 10.10.10.24 to 10.10.10.10 via ${int_if} ${fwcmd} add 317 allow all from 10.10.10.10 to 10.10.10.24 via ${int_if} ${fwcmd} add 314 allow tcp from 10.10.10.15 to 10.10.10.10 22 via ${int_if} ${fwcmd} add 315 allow tcp from 10.10.10.15 to 10.10.10.10 5555 via ${int_if} #${fwcmd} add 316 allow all from 10.10.10.15 to 10.10.10.10 via ${int_if} #${fwcmd} add 317 allow all from 10.10.10.10 to 10.10.10.15 via ${int_if} #servers ${fwcmd} add 319 allow all from any to me 25 ${fwcmd} add 320 allow all from any to 10.10.10.11 ${fwcmd} add 322 allow all from 10.10.10.11 to any ${fwcmd} add 323 allow tcp from 10.10.10.11 143 to 10.10.10.10 ${fwcmd} add 324 allow tcp from 10.10.10.11 25 to 10.10.10.10 ${fwcmd} add 325 allow all from 10.10.10.11 to me ${fwcmd} add 326 allow all from me to 10.10.10.11 #dns ${fwcmd} add 330 allow udp from any to any 53 ${fwcmd} add 331 allow udp from any 53 to any #ftp ${fwcmd} add 340 allow tcp from 10.10.10.3 20,21,22,30000-50000 to me ${fwcmd} add 341 allow tcp from 10.10.10.13 20,21,22,30000-50000 to me ${fwcmd} add 342 allow tcp from 10.10.10.14 20,21,22,30000-50000 to me ${fwcmd} add 50029 allow tcp from any to any out via ${ext_if} setup ${fwcmd} add 50030 allow tcp from any to any via ${ext_if} established ${fwcmd} add 50031 allow udp from any to any out via ${ext_if} ${fwcmd} add 50032 allow udp from any 53 to any in via ${ext_if} ${fwcmd} add 50033 allow tcp from any to me 22 via ${ext_if} ${fwcmd} add 50036 allow all from 10.10.10.12 to any ${fwcmd} add 50037 allow all from any to 10.10.10.12 ipfw add 50111 allow all from 10.10.10.10 to 10.10.0.0/16 ipfw add 50112 allow all from 10.10.0.0/16 to 10.10.10.10 ${fwcmd} add 65534 deny log all from any to any ipfw show: billing-host# ipfw show 00001 45062 54835190 allow ip from any to any via lo0 00002 58402 25726006 allow ip from any to me via nfe0 00003 4533 824743 allow tcp from any to me dst-port 80 00004 12726 12680518 allow tcp from me 80 to any 00005 0 0 allow ip from 10.10.0.0/16 to me dst-port 80 00006 0 0 allow ip from me 80 to 10.10.0.0/16 00007 190729 118275269 fwd 127.0.0.1,3128 tcp from 10.10.0.0/16 to not me dst-port 80 00010 41289 3197365 allow icmp from any to any 00011 0 0 allow ip from any to 10.10.10.10 dst-port 80 00012 0 0 allow ip from 10.10.10.10 to any dst-port 80 00304 1793 164956 allow udp from any to 10.10.10.10 dst-port 5555 via rl0 00308 0 0 allow udp from any to 10.10.10.10 dst-port 5555 via rl0 00309 3581 1096242 allow udp from 10.10.10.10 to any via rl0 00314 1699 127403 allow tcp from 10.10.10.12 to 10.10.10.10 dst-port 22 via rl0 00314 0 0 allow tcp from 10.10.10.23 to 10.10.10.10 dst-port 22 via rl0 00314 0 0 allow tcp from 10.10.10.24 to 10.10.10.10 dst-port 22 via rl0 00314 0 0 allow tcp from 10.10.10.15 to 10.10.10.10 dst-port 22 via rl0 00315 1950 112968 allow tcp from 10.10.10.12 to 10.10.10.10 dst-port 5555 via rl0 00315 0 0 allow tcp from 10.10.10.23 to 10.10.10.10 dst-port 5555 via rl0 00315 0 0 allow tcp from 10.10.10.24 to 10.10.10.10 dst-port 5555 via rl0 00315 0 0 allow tcp from 10.10.10.15 to 10.10.10.10 dst-port 5555 via rl0 00316 618 39084 allow ip from 10.10.10.12 to 10.10.10.10 via rl0 00316 0 0 allow ip from 10.10.10.23 to 10.10.10.10 via rl0 00316 0 0 allow ip from 10.10.10.24 to 10.10.10.10 via rl0 00317 3475 2303027 allow ip from 10.10.10.10 to 10.10.10.12 via rl0 00317 0 0 allow ip from 10.10.10.10 to 10.10.10.23 via rl0 00317 0 0 allow ip from 10.10.10.10 to 10.10.10.24 via rl0 00319 0 0 allow ip from any to me dst-port 25 00320 2643 177811 allow ip from any to 10.10.10.11 00322 2627 385847 allow ip from 10.10.10.11 to any 00323 0 0 allow tcp from 10.10.10.11 143 to 10.10.10.10 00324 0 0 allow tcp from 10.10.10.11 25 to 10.10.10.10 00325 0 0 allow ip from 10.10.10.11 to me 00326 0 0 allow ip from me to 10.10.10.11 00330 5891 395887 allow udp from any to any dst-port 53 00331 0 0 allow udp from any 53 to any 00340 0 0 allow tcp from 10.10.10.3 20,21,22,30000-50000 to me 00341 55781 81867801 allow tcp from 10.10.10.13 20,21,22,30000-50000 to me 00342 0 0 allow tcp from 10.10.10.14 20,21,22,30000-50000 to me 10072 3813 1318432 pipe 108 ip from any to 10.10.0.1 out 10073 320 26184 pipe 109 ip from 10.10.0.1 to any in 10092 9728 10719407 pipe 110 ip from any to 10.10.10.41 out 10093 1060 175393 pipe 111 ip from 10.10.10.41 to any in 10132 3514 260473 pipe 114 ip from any to 10.10.10.15 via rl0 10133 5492 8010969 pipe 115 ip from 10.10.10.15 to any via rl0 50029 11993 645204 allow tcp from any to any out via nfe0 setup 50030 1468116 1073000952 allow tcp from any to any via nfe0 established 50031 481471 29300676 allow udp from any to any out via nfe0 50032 0 0 allow udp from any 53 to any in via nfe0 50033 0 0 allow tcp from any to me dst-port 22 via nfe0 50036 188380 9886038 allow ip from 10.10.10.12 to any 50037 292885 348648494 allow ip from any to 10.10.10.12 50111 37883 1971483 allow ip from 10.10.10.10 to 10.10.0.0/16 50112 4 160 allow ip from 10.10.0.0/16 to 10.10.10.10 65534 3416 342249 deny log ip from any to any 65535 389 96227 allow ip from any to any Ссылка на сообщение Поделиться на других сайтах
prototip 284 Опубліковано: 2009-07-07 08:12:34 Share Опубліковано: 2009-07-07 08:12:34 Насчет сквида не задумывался ? Может у тебя проблема именно с ним ? Дело в том , что сквид резать скорость умеет своими средствами , вот только ежели пользователь запросил файл размером к примеру 100 метров , то он на всех парах будет залетать у тебя в канал , а потом нарезаясь отдаваться пользователю ..... с проксей думаю стоит завязывать нет от нее толку , либо прокси либо нат . Проксю можно юзать на сегодня в конторах с бешенным шефом , дабы порезать всех на... и отчет предоставить - другого смысла не вижу. Ссылка на сообщение Поделиться на других сайтах
morfey 82 Опубліковано: 2009-07-07 08:34:53 Автор Share Опубліковано: 2009-07-07 08:34:53 Да, вы правы. Отключил скуид, надоело игратся, спасибо за подсказку. Ссылка на сообщение Поделиться на других сайтах
Kucher2 122 Опубліковано: 2009-07-07 14:32:32 Share Опубліковано: 2009-07-07 14:32:32 Тот конфиг что я те показывал выше - стоит у меня на машине FreeBSD со Squid. И всё режется отлично. Да, если траф идёт через сквид - он сначала качается на всех порах в кеш, а потом отдаётся юзеру через pipe. Это происходит, потому что pipe работает для указанных тобой адресов, а на наружном ИФ, если стоит NAT, этих адресов просто нету - их NAT транслировал. Вот и выходит, что Squid во всё горло тащит в кеш траф по запросам, который режется только во внутреннюю сеть. Но этого не чувствуется, потому что в большинстве своём закачки идут через торренты и ftp, которые squid пропускает. К тому же у Squida есть возможность ограничить объём загружаемого файла - обычно 4МБ вполне достаточно. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас