форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Отцы! Похелпите! как сделать так, что бы ipfw резал трафик и..."
Сообщение от kitkat on 05-Фев-02, 18:39  (MSK)
ну все как обычно - 2 карты, nat, ipfw В правилах прописано( по умолчанию все закрыто), 1. Диверт 2. Подсчет трафика 3. правила шейпер 4. правила файервола Вопрос в следующем, если прописывать правила шейпера до правил файервола то по команде ipfw show видно что трафик идет через pipe и до правил не доходит, если же заремарить правила шейпера то открывается весь канал юзверям и работаю правила, как совместить полезное с приятным ?? Спасибо всем ответившим...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Отцы! Похелпите! как сделать так, что бы ipfw резал траф..."
Сообщение от Nightman on 06-Фев-02, 08:12  (MSK)
>ну все как обычно - 2 >карты, nat, ipfw > >В правилах прописано( по умолчанию все >закрыто), >1. Диверт >2. Подсчет трафика >3. правила шейпер >4. правила файервола > >Вопрос в следующем, если прописывать правила > >шейпера до правил файервола то по >команде ipfw show видно что >трафик идет через pipe и >до правил не доходит, если >же заремарить правила шейпера то >открывается весь канал юзверям и >работаю правила, как совместить полезное >с приятным ?? > >Спасибо всем ответившим... Срабатывает первое правило которое удовлетворяет критерию-исходя из этого и настраивай
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Отцы! Похелпите! как сделать так, что бы ipfw резал траф..."
	Сообщение от Mikka on 06-Фев-02, 11:55  (MSK)
	Цитат (может, поможет ;-))) pipe pipe_nr Pass packet to a dummynet(4) ``pipe'' (for bandwidth lim­itation, delay, etc.).  See the TRAFFIC SHAPER CONFIGURATION section for further information.  The search terminates; however, on exit from the pipe and if the sysctl(8) variable net.inet.ip.fw.one_pass is not set, the packet is passed again to the firewall code starting from the next rule. Поменяй значение перменной.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: Отцы! Похелпите! как сделать так, что бы ipfw резал траф..."
	Сообщение от kitkat on 06-Фев-02, 12:40  (MSK)
	>Поменяй значение перменной. это в каком месте?? и в какой очередности должны идти правилa...??
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: Отцы! Похелпите! как сделать так, что бы ipfw резал траф..."
	Сообщение от kitkat on 06-Фев-02, 12:57  (MSK)
	>Срабатывает первое правило которое удовлетворяет критерию-исходя >из этого и настраивай Хех, это я понял,но вот как совместить полезное с приятным все таки? Count то к примеру работает так, сначала посчитал, потом правила отработали и все ок...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: Отцы! Похелпите! как сделать так, что бы ipfw резал траф..."
	Сообщение от alexey on 06-Фев-02, 13:07  (MSK)
	>>Срабатывает первое правило которое удовлетворяет критерию-исходя >>из этого и настраивай > >Хех, это я понял,но вот как >совместить полезное с приятным все >таки? Count то к примеру >работает так, сначала посчитал, потом >правила отработали и все ок... > sysctl -w net.inet.ip.fw.one_pass=0
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: Отцы! Похелпите! как сделать так, что бы ipfw резал траф..."
	Сообщение от kitkat on 06-Фев-02, 13:20  (MSK)
	>sysctl -w net.inet.ip.fw.one_pass=0 можно ли с комментариями, а?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: Отцы! Похелпите! как сделать так, что бы ipfw резал траф..."
	Сообщение от Mikka on 06-Фев-02, 14:18  (MSK)
	у меня сначала идут правила pipe, затем firewall (т.е. как написано - пакет после пипы выходит и попадает на следующее правило) насчет коментариев - man sysctl. sysctl -w - устанавливает значение указанной системной переменной. Посмотреть переменные  - sysctl -a.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "RE: Отцы! Похелпите! как сделать так, что бы ipfw резал траф..."
	Сообщение от Mikka on 06-Фев-02, 14:20  (MSK)
	Да, насчет подсчета - не проше ли использовать ipfm?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "2 mikka, можно ли тебя немножко потерзать в мыле? кинь мне т..."
	Сообщение от kitkat on 06-Фев-02, 14:22  (MSK)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь м..."
	Сообщение от kitkat on 06-Фев-02, 14:30  (MSK)
	т.е. ты хочешь сказать, типа что на pipe оно показывает подсчет, а потом проходя через правило типа ipfw add pass tcp from any 80 to 192.168.0.1/24 оно тоже работает только по команде ipfw show - каунтиг не показывает, так что ли? И вообще как посмотреть работает ли правило или нет ? Я всегда смотрел по тому, что и через чего идет по кол-ву переданных пакетиков. Вот. ipfm не робит что то, я его и так и сяк, не удалось =( и я забил на него =(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь м..."
	Сообщение от Mikka on 06-Фев-02, 14:48  (MSK)
	Это не я хочу сказать, это в мане написано, что если не установлена переменная, то пакет идет на следующее правило. Насчет подсчета не знаю, но по субъективнывм оценкам у меня живет и pipe и фильтрация. Насчет считалки - не знаю. Переменную переставь и посмотри как подсчет идет.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь м..."
	Сообщение от kitkat on 06-Фев-02, 15:18  (MSK)
	не работает pipe_nr ... у меня freebsd 4.2 может быть в ней нет ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь м..."
	Сообщение от Mikka on 06-Фев-02, 16:05  (MSK)
	Чего не работает-то? Какое значение у net.inet.ip.fw.one_pass ? (посмотреть можно sysctl net.inet.ip.fw.one_pass) Ядро собрал с поддержкой dummynet?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь м..."
	Сообщение от kitkat on 06-Фев-02, 17:58  (MSK)
	>Чего не работает-то? >Какое значение у net.inet.ip.fw.one_pass ? (посмотреть >можно sysctl net.inet.ip.fw.one_pass) во, ядрёна мать, с правилом разобрался, действительно если в ноль его то все работает, вот только вопрос, правильно ли пакетики рулят? выполняются ли правила? И где можно в автомате поставить что бы в 0 она была при загрузке ФРИ. >Ядро собрал с поддержкой dummynet? ну дык жеж, а як жеж, может я и немного туповат, но до этого дошёль сам =))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь м..."
	Сообщение от MF_FLIP on 06-Фев-02, 19:30  (MSK)
	>И где можно >в автомате поставить что бы >в 0 она была при >загрузке ФРИ. /etc/sysctl.conf
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь м..."
	Сообщение от kitkat on 06-Фев-02, 19:38  (MSK)
	>/etc/sysctl.conf нет такого файла =(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь м..."
	Сообщение от Mikka on 07-Фев-02, 12:36  (MSK)
	Вообщем, у тебя правда мыл с восклицательным знаком???;-)) А тоя послал не глядя, получил: This is an automatically generated Delivery Status Notification. Delivery to the following recipients failed.        !cat@nipbm.rtsnet.ru /etc/sysctl.conf нету - создай его сам ;-))) И пропиши туда net.inet.ip.fw.one_pass=0 Все должно заработать при загрузке.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.