https://www.opennet.me/openforum/vsluhforumID15/1812.html Доброго времени суток. Задача такая: есть локальная сеть: 10.10.16.0, есть сеть провайдера: 192.168.7.0. стоит сервер маршрутизации на FreeBSD c mpd5. Все подключается. NAT работает. но вот только скорость не режет. надо на каждого пользователя резать скорость. у всех скорость должна соответствовать тарифному плану. В конфиге вписан только один пользователь для теста.<br><br>в ipfw пишу вот так:<br><br>#!/bin/sh<br>ipfw='/sbin/ipfw -q'<br><br>VPN="172.146.16.0" #Виртуальная внп-сеть<br>NetIn="10.10.16.0" # Внутренняя сеть<br>NetMask="24" # маска сети<br>IpOut="192.168.7.217" # внешний IP адрес машины<br>LanOut="rl0" # внешний интерфейс<br>LanIn="rl1" # внутренний интерфейс<br><br>${ipfw} -f flush<br>${ipfw} add check-state<br><br>${ipfw} add divert natd ip from ${VPN}/${NetMask} to any out via ${LanOut}<br>${ipfw} add divert natd ip from any to ${IpOut} in via ${LanOut}<br>${ipfw} add allow udp from any 53 to any via ${LanOut}<br>${ipfw} add allow tcp from any to any established<br>${ipfw} add allow udp from any 5 https://www.opennet.me/openforum/vsluhforumID15/1812.html#15 Thu, 27 Mar 2008 07:14:55 GMT Не мучайся! <br>Я так понимаю биллинг стоит?<br><br>1.Научи свой радиус, чтоб мог понимать mpd <br># cat dictionary<br>ATTRIBUTE mpd-rule 1 string mpd<br>ATTRIBUTE mpd-pipe 2 string mpd<br>ATTRIBUTE mpd-queue 3 string mpd<br><br>2.После укажи в базе своих тарифов, в соответствии со скоростью <br>(mpd может передавать правила ipwf)<br><br>Acct-Interim-Interval = 60, Service-Type = Framed-User, mpd-pipe += '1=bw 526Kbit/s', mpd-pipe += '5=bw 526Kbit/s', mpd-rule += '1=pipe %p1 tcp from any to any in', mpd-rule += '2=pipe %p5 tcp from any to any out'<br><br><br>3.После этого должно получится <br>ipfw list &#124; grep pipe<br>10000 pipe 10000 tcp from any to any in via ng1<br>10001 pipe 10001 tcp from any to any out via ng1<br>10002 pipe 10002 tcp from any to any in via ng8<br>10003 pipe 10003 tcp from any to any out via ng8<br>10004 pipe 10004 tcp from any to any in via ng10<br>10005 pipe 10005 tcp from any to any out via ng10<br>10006 pipe 10006 tcp from any to any in via ng https://www.opennet.me/openforum/vsluhforumID15/1812.html#14 Thu, 06 Mar 2008 11:25:46 GMT &gt;&gt;В общем резать начал, но не верно. ставлю 1 мбит, а режет <br>&gt;&gt;на 2, ставлю 256 кбит, а режет на 500. Помогите разобраться. <br>&gt;&gt;Спасибо. <br>&gt;<br>&gt;Хелп, проблема существует! :( <br><br>http://ipfw.ism.kiev.ua/<br> https://www.opennet.me/openforum/vsluhforumID15/1812.html#13 Thu, 06 Mar 2008 10:25:44 GMT &gt;В общем резать начал, но не верно. ставлю 1 мбит, а режет <br>&gt;на 2, ставлю 256 кбит, а режет на 500. Помогите разобраться. <br>&gt;Спасибо. <br><br>Хелп, проблема существует! :(<br> https://www.opennet.me/openforum/vsluhforumID15/1812.html#12 Tue, 04 Mar 2008 13:10:54 GMT В общем резать начал, но не верно. ставлю 1 мбит, а режет на 2, ставлю 256 кбит, а режет на 500. Помогите разобраться. Спасибо.<br> https://www.opennet.me/openforum/vsluhforumID15/1812.html#11 Tue, 04 Mar 2008 11:58:07 GMT нет, все таки проблема не решилась... :( поставил пайпы до диверта. и нифига.. не режет :(<br> https://www.opennet.me/openforum/vsluhforumID15/1812.html#10 Tue, 04 Mar 2008 10:29:01 GMT &gt;[оверквотинг удален]<br>&gt;делом <br>&gt;&gt;${ipfw} add allow ip from any to any<br>&gt;<br>&gt;и все остальные правила были бы не задействованными. <br>&gt;А, т.к. у ipfw последним правилом всегда стоит или allow ip from <br>&gt;any to any или deny ip from any to any (смотря <br>&gt;с какими опциями ядро собрано), а оба эти правила (allow, deny) <br>&gt;являются терминирующими, то, если исходить из Вашего предположения, то смысла в <br>&gt;фаерволе нет вообще никакого. И nat бы не работал в том <br>&gt;числе. <br><br>тоже верно ;)<br> https://www.opennet.me/openforum/vsluhforumID15/1812.html#9 Tue, 04 Mar 2008 10:17:18 GMT Пожалуйста :)<br><br><br>&gt;Хм... если я не ошибаюсь - правила читаются с конца. <br><br>Забыл отписаться - ошибаетесь. В противном случае у Вас срабатывало бы первым делом <br>&gt;${ipfw} add allow ip from any to any<br><br>и все остальные правила были бы не задействованными.<br>А, т.к. у ipfw последним правилом всегда стоит или allow ip from any to any или deny ip from any to any (смотря с какими опциями ядро собрано), а оба эти правила (allow, deny) являются терминирующими, то, если исходить из Вашего предположения, то смысла в фаерволе нет вообще никакого. И nat бы не работал в том числе.<br><br> https://www.opennet.me/openforum/vsluhforumID15/1812.html#8 Tue, 04 Mar 2008 10:12:34 GMT &gt;Вообще, man sysctl, конечно :) <br>&gt;<br>&gt;sysctl net.inet.ip.fw.one_pass=0 от рута. <br><br>спасибо :) Проблема вроде решилась!<br> https://www.opennet.me/openforum/vsluhforumID15/1812.html#7 Tue, 04 Mar 2008 10:03:02 GMT Вообще, man sysctl, конечно :)<br><br>sysctl net.inet.ip.fw.one_pass=0 от рута.<br>