https://mobile.opennet.me/openforum/vsluhforumID1/84002.html Здравствуйте<br>Подключился к местной сети и с собой подключил своих соседей (ранее была сеть для игр). Купил материнку, установил FreeBSD. Инет у всех работает, но есть некоторые неудобства.<br>Полазил по этому форуму и в силу своего понимания написал следующий конфиг ipfw (некоторое вырезано):<br>[code]<br> # set these to your outside interface network and netmask and ip <br> cn_if="cn_net"<br><br> # set these to your inside interface network and netmask and ip <br> kv_net="192.168.114.0/26"<br> kv_mask="0xffffffc0"<br> kvXXX_mask="0xfffffff8"<br> kv143_if="kv143"<br> kv143_net="192.168.114.24/29"<br> kv144_if="kv144"<br> kv144_net="192.168.114.32/29"<br> kv140_if="kv140"<br> kv140_net="192.168.114.40/29"<br> kv139_if="kv139"<br> kv139_net="192.168.114.48/29"<br> kvNNN_if="kvNNN"<br> kvNNN_net="192.168.114.56/29"<br><br> ${fwcmd} disable one_pass<br><br> ${fwcmd} add 100 check-state<br><br># setup_loopback<br> ${fwcmd} add https://mobile.opennet.me/openforum/vsluhforumID1/84002.html#5 Mon, 09 Feb 2009 02:11:13 GMT Переписал часть конфига иначе, заменив table списком адресов, не помогло:<br>[code]<br> # set these to your outside interface network and netmask and ip <br> cn_if="cn_net"<br> home_if="home_net"<br> home_net="10.10.0.0/16"<br><br> # set these to your inside interface network and netmask and ip <br> kv_nets="192.168.114.0/26"<br> kv_mask="0xffffffc0"<br> kvXXX_mask="0xfffffff8"<br> kv143_if="kv143"<br> kv143_net="192.168.114.24/29"<br> kv144_if="kv144"<br> kv144_net="192.168.114.32/29"<br> kv140_if="kv140"<br> kv140_net="192.168.114.40/29"<br> kv139_if="kv139"<br> kv139_net="192.168.114.48/29"<br> kvNNN_if="kvNNN"<br> kvNNN_net="192.168.114.56/29"<br><br> ...<br><br> bad_nets="0.0.0.0/8,169.254.0.0/16,192.0.2.0/24,224.0.0.0/4,240.0.0.0/4"<br> ${fwcmd} add 500 deny all from any to ${bad_nets}<br> ${fwcmd} add 501 deny all from ${bad_nets} to any<br><br> ...<br><br> # Пространство адресов сети<br> cn https://mobile.opennet.me/openforum/vsluhforumID1/84002.html#4 Sat, 07 Feb 2009 13:39:40 GMT &gt;[оверквотинг удален]<br>&gt;всех шейпов идет правило денай. <br>&gt;т.е. все пакеты проходят шейпы, и далее попадают на результирующее правило - <br>&gt;денай, оно и дропает все. <br>&gt;3 - может статические адреса раздать и arp static запустить? либо можно <br>&gt;поднять впн и через него пускать все, и вам нагляднее как <br>&gt;резать и ограничивать и проблем с подменой адреса не будет. <br>&gt;4 - вам не нужно испрользовать table в данном случае. т.к. при <br>&gt;добавлении 192.168.100.1/28 - вы добавляет весь этот блок адресов. т.е. в <br>&gt;данном случае оно видимо ругается на то, что уже существуют эти <br>&gt;адреса. лучше использовать /32 <br><br>В table(11) я перечислил все серые адреса той, сети, через которую я хожу в инет, т.к. не придумал другого способа описать диапазон белых адресов. Т.е. мне тут нужно отделить серый трафик от белого. И для подсчета трафика и для определения приоритетов доступа. И для введения ограничения на скорость доступа (на инете анлим 3Мбит/сек, а в локальной сети лимит 100Мбит/сек). Чтобы можно было качать одновременно https://mobile.opennet.me/openforum/vsluhforumID1/84002.html#3 Sat, 07 Feb 2009 13:27:27 GMT &gt;http://ipfw.ism.kiev.ua/ - для введения в ipfw <br><br>Когда писал свой конфиг, в основном, опирался на материал именно этого сайта. Спасибо, сайт отличный, но мне не во всем помог. Похоже есть некоторая узкая грань недопонимания, которую можно уже стереть лишь показав чего достиг и спросив то, что непонятно, что и пытаюсь сделать.<br> https://mobile.opennet.me/openforum/vsluhforumID1/84002.html#2 Sat, 07 Feb 2009 13:22:56 GMT http://ipfw.ism.kiev.ua/ - для введения в ipfw<br> https://mobile.opennet.me/openforum/vsluhforumID1/84002.html#1 Sat, 07 Feb 2009 13:21:48 GMT отвечу на пару вопросов. <br>1 - советы одно, на практике нужно понять что в данном случае для вас есть естеблишед. по этому лучше забудьте на какое то время про оное.<br>2 - пасс нужен,т.к. у вас идут просто шейпы, а по проходу всех шейпов идет правило денай.<br>т.е. все пакеты проходят шейпы, и далее попадают на результирующее правило - денай, оно и дропает все. <br>3 - может статические адреса раздать и arp static запустить? либо можно поднять впн и через него пускать все, и вам нагляднее как резать и ограничивать и проблем с подменой адреса не будет.<br>4 - вам не нужно испрользовать table в данном случае. т.к. при добавлении 192.168.100.1/28 - вы добавляет весь этот блок адресов. т.е. в данном случае оно видимо ругается на то, что уже существуют эти адреса. лучше использовать /32<br>