On Tue, 2 Jun 2009 06:41:45 -0400 Renato Frederick <freder...@dahype.org> wrote:
> Matheus, > > Uma dúvida, que ainda não me ficou clara até hoje. > > Como você mesmo falou, eu posso criar no ipfw um pipe de 1MB para SSH e 30MB > para web, mesmo que o link seja de 5MB. Não tem que ter nada próximo com a > realidade, a não ser que você vá colocar pesos. bem, é criar um pipe de 1Mbps para cada cliente por ex. assim ninguém passa disso. se tiver 200 clientes, o link sendo de 100Mbps mas se todos tentarem topar a rede não chegarão nos 1Mbps de cada. > No PF isto não é válido, eu tenho que criar uma classe com meu link total e > ir divindo de forma que a soma não ultrapsse o total. Tem alguma outra > maneira de fazer isto? limitando eu não sei. por um tempo usei pf com altq e com ipfw para limites hard. mas tem ainda como definir prioridades com priq. só diz a banda total, mas não aloca nada para cada classe. pode ter até 16 classes. o que lembro de ter lido é que priq não evita starvation. assim uma fila com mais prioridade mata uma de menos de fome. > Por exemplo, se você é um ISP e tem 100 usuários comprando 500K, não indica > necessariamente que você tem um link de 5MB. E por aí vai. nesse caso eu usaria ipfw para limite superior e priq para controlar quais pacotes vão antes. > Ou outro exemplo, se eu tenho o PF em meu gateway e eu tenho a DMZ e quero > limitar um PC a fazer downloads a 100K na internet, mas não limitar a DMZ, no > PF eu teria que criar uma declaração para a DMZ, presumindo que o link seja a > 100MB, outra para a internet e por ai vai. voce faz altq em cada $if, e define como quer. cria regra: pass in on $int_if from $clientes to $dmz queue pode_botar_pra_rasgar pass in on $int_if from $clientes to $internet queue limite_100k faço isso aqui tb, quando digo que a $int_if tem banda de 100Mbps (FastEthernet), e divido a parte interna em quem vem da internet (1Mbps) e quem não (99Mbps). senão até meu ssh para ele estaria dependendo dos downloads atuais. no fim das contas, não tem um perfeito. o pf no OpenBSD é mais completo por está sempre na vanguarda. o do FreeBSD fica atualizando tempos em tempos. mas em contrapartida o FreeBSD tem ipfw junto. e pode-se usar os dois. assim eu acho o FreeBSD mais versátil. se vai ser só um roteador puro, OpenBSD é massa, bem fechado seguro etc. se tem mais coisa, FreeBSD na cabeça ;) matheus > No ipfw eu faria um 'pipe X all from $pc_interno to $dmz out via XXXX' e por > ai vai. > > > > > -----Mensagem original----- > > De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em > > nome de Nenhum_de_Nos > > Enviada em: segunda-feira, 1 de junho de 2009 22:34 > > Para: freebsd@fug.com.br > > Assunto: Re: [FUG-BR] (não sei se é off) Priorização de tráfego para > > dois hosts em PFSENSE > > > > On Mon, 1 Jun 2009 21:50:27 -0300 > > Wanderson Tinti <wander...@bsd.com.br> wrote: > > > > > 2009/6/1 Nenhum_de_Nos <math...@eternamente.info>: > > > > On Mon, 1 Jun 2009 13:37:41 -0300 > > > > Mateus Menezes <mat...@gmail.com> wrote: > > > > > > > >> -----BEGIN PGP SIGNED MESSAGE----- > > > >> Hash: SHA1 > > > >> > > > >> Bom dia, > > > >> > > > >> > > > >> Estou com o seguinte cenário: > > > >> > > > >> Tenho uma rede com um pfsense funcionando como gateway de internet > > > >> (compartilhando a conexão e firewall). > > > >> Preciso fazer que quando (e somente quando) duas máquinas > > específicas > > > >> entrarem na rede, estas terão prioridade de tráfego (alocar 50% da > > banda pra > > > >> elas). > > > > > > > > hfsc nao resolve ? > > > > > > > > tu diz que a fila tem 50% e realtime tb 50% > > > > > > > > se elas nao usarem, as demais podem usar. se nao quiser isso, > > coloca que o resto tem upperlimit dos outros 50% > > > > > > > > matheus > > > > > > > > antes de mais nada digo que não sou expert nisso, só fiz até onde > > precisava por aqui, com muita pesquisa e dor de cabeça. mas no que > > puder ajuda, tranquilo. > > > > > Rapaz andei fazendo uns testes com hfsc e fiquei de cabelo em pé. Não > > > entendi essas três opções (realtime, upperlimit e linkshare), quando > > > > é meio louco isso mesmo. AFAIK, realtime e linkshare são quase a mesma > > coisa. uso o primeiro. são usados quando o link tá saturado, para > > garantir à esta fila a banda que você quer. o link satura para ele qd > > usa 85% do definido (a soma de realtime dó pode dar isso, ou é 80%) > > > > > tudo parecia caminhar ai que eu menos entendia o que estava > > > acontecendo. Larguei de lado e usei pf + dummynet. Na verdade queria > > > > mas o dummynet + ipfw é muito massa, pois em pf não posso limitar o > > mundo por ex à 100kbps. a soma sempre tem que ser <= banda declarada. > > > > > usar openbsd com pf e hfsc, não teve jeito pulei para freeba. > > > > o OpenBSD é massa. seguro e carrancudo. mas ainda prefiro o FreeBSD. só > > não uso pq no meu hardware o FreeBSD não acha meu disco microdrive da > > seagate com minha controladora ata. o OpenBSD usa sem problemas. > > > > mas prefiro a facilidade de atualização do FreeBSD. e o 8-CURRENT tá > > sem noção de massa :) > > > > > Nenhum_de_nos por acaso você tem algo para compartilhar sobre o > > > funcionamento do hfsc, alguma regra, exemplo para que possa testar > > > trocar algumas figurinhas? > > > > tranquilo. o que eu souber. > > > > deixe-me colocar o que está aqui. é um FW simples, ainda preciso ler > > sobre muita coisa. mas controla meu dsl ok. :) > > > > tenho pcs em casa, onde posso dividir em duas classes, meu pc que roda > > ed2k e fold...@home, e demais. não preciso controlar ninguém aqui (não > > há usuários escrotos), mas quero que o fah (folding) quando mande seus > > WU's não atole meu upload, mas tenha o max de banda para mandar logo. > > quero o max de upload para meu ed2k, sem tb atolar a rede. qd o fah > > tiver mandando, o ed2k perde banda pq fah não fica 24h como o ed2k. > > > > pfTop: Up Queue 1-21/21, View: queue, Cache: 10000 > > 22:21:53 > > > > QUEUE BW SCH PR PKTS BYTES DROP_P DROP_B QLEN BORR SUSP > > P/S B/S > > root_tun0 300K hfsc 0 0 0 0 0 0 > > 0 0 > > out_ack 30000 hfsc 8 299 23780 0 0 0 > > 0 0 > > out_dns 15000 hfsc 7 23923 2149K 269 18885 0 > > 1 114 > > out_ssh 30000 hfsc 6 9166 3281K 0 0 0 > > 0.2 11 > > out_jogos 45000 hfsc 5 1269 103K 0 0 0 > > 0 0 > > out_web 30000 hfsc 4 1621K 144M 236 31680 0 > > 7 2600 > > out_smtp 15000 hfsc 3 7266 784K 0 0 0 > > 0 0 > > out_bolo 15000 hfsc 2 735K 45M 0 0 0 > > 12 738 > > out_p2pFah 15000 hfsc 0 0 0 0 0 > > 0 0 > > out_fah 12000 hfsc 7 99768 126M 130 192920 0 > > 0 0 > > out_p2p 3000 hfsc 2 6188K 2300M 986184 279M 49 > > 63 20K > > root_vr0 100M hfsc 0 0 0 0 0 0 > > 0 0 > > in_inet 1000K hfsc 8 0 0 0 0 0 > > 0 0 > > in_dns 10000 hfsc 8 0 0 0 0 0 > > 0 0 > > in_ssh 100K hfsc 7 2217 246K 0 0 0 > > 0.2 35 > > in_jogos 150K hfsc 6 0 0 0 0 0 > > 0 0 > > in_web 300K hfsc 5 1849K 2579M 0 0 0 > > 2 2198 > > in_p2pFah 100K hfsc 0 0 0 0 0 > > 0 0 > > in_fah 80000 hfsc 7 59317 22M 0 0 0 > > 0 0 > > in_p2p 20000 hfsc 2 7384K 4013M 1312 407082 0 > > 96 61K > > lan 99M hfsc 26641 11M 0 0 0 > > 1 453 > > > > tem mais algumas classes que quero dar prioridade. a que mais apanho é > > mandar ACK's logo. falta estudar isso :) > > > > as regras para isso são: > > > > # cat regras.pf > > ext_if="tun0" > > modem_if="fxp0" > > int_if="vr0" > > lan="10.1.1.0/24" > > > > # Maquinas > > > > p = "10.1.1.1" > > m = "10.1.1.2" > > lamneth = "10.1.1.10" > > mo = "10.1.1.12" > > arroway = "10.1.1.80" > > darkside = "10.1.1.100" > > > > portas_arroway = "5910" > > portas_p2p = "{ 5000:5100 5900 }" > > portas_m = "5000:5100" > > portas_jogos = "{ 2009 2106 7777 }" > > portas_servicos = "22 25 80 443" > > portas_ssh = "{ 22 443 }" > > > > scrub in > > set skip on lo0 > > > > altq on $ext_if hfsc bandwidth 300Kb queue { out_ack, out_dns, out_ssh, > > out_web, out_jogos, out_p2pFah, out_smtp, out_bolo } > > queue out_ack bandwidth 10% priority 8 hfsc (realtime 20%) > > queue out_dns bandwidth 5% priority 7 hfsc (realtime 5%) > > queue out_ssh bandwidth 10% priority 6 hfsc (realtime 10%) > > queue out_jogos bandwidth 15% priority 5 hfsc (realtime 15%) > > queue out_web bandwidth 10% priority 4 hfsc (realtime 10%) > > queue out_smtp bandwidth 5% priority 3 hfsc (realtime 15%) > > queue out_bolo bandwidth 5% priority 2 hfsc (default) > > queue out_p2pFah bandwidth 5% priority 1 hfsc (upperlimit > > 160Kb) { out_fah, out_p2p } > > queue out_fah bandwidth 80% priority 7 hfsc > > queue out_p2p bandwidth 20% priority 2 hfsc > > > > altq on $int_if hfsc bandwidth 100Mb queue {in_inet, lan } > > queue in_inet bandwidth 1% priority 8 hfsc (realtime 1%) { > > in_dns, in_ssh, in_jogos, in_web, in_p2pFah } > > queue in_dns bandwidth 5% priority 8 hfsc (realtime 5%) > > queue in_ssh bandwidth 10% priority 7 hfsc (realtime 10%) > > queue in_jogos bandwidth 15% priority 6 hfsc (realtime 15%) > > queue in_web bandwidth 30% priority 5 hfsc (realtime 10%) > > queue in_p2pFah bandwidth 10% priority 1 hfsc (upperlimit > > 80%) { in_fah, in_p2p } > > queue in_fah bandwidth 80% priority 7 hfsc > > queue in_p2p bandwidth 20% priority 2 hfsc (default) > > queue lan bandwidth 99% priority 1 hfsc (upperlimit > > 98%) > > > > table <chatos_ssh> persist > > table <ips_fah> persist file "/root/ips_fah" > > > > nat on $ext_if from $lan to any -> ($ext_if) > > nat on $modem_if from $lan to any -> ($modem_if) > > > > # m > > rdr on $ext_if proto { tcp, udp } from any to any port $portas_m tag > > in_p2p -> $m > > > > # lamneth > > #rdr pass inet proto tcp from !<spamd-white> to > > any port smtp -> 127.0.0.1 port spamd > > #rdr pass inet proto tcp from <spamd> to any port smtp -> 127.0.0.1 > > port spamd > > rdr on $ext_if proto tcp from any to any port 80 tag > > in_web -> $lamneth > > rdr on $ext_if proto tcp from any to any port 443 tag > > in_ssh -> $lamneth port 22 > > > > # arroway > > rdr on $ext_if proto tcp from any to any port 2222 tag > > in_ssh -> $arroway port 22 > > rdr on $ext_if proto tcp from any to any port 10101 tag > > in_web -> $arroway > > rdr on $ext_if proto { tcp, udp } from any to any port > > $portas_arroway tag in_p2p -> $arroway > > > > # Servicos > > #rdr on $ext_if proto tcp from any to any port 25 > > -> $lamneth > > rdr on $ext_if proto tcp from any to any port 25 tag > > in_email -> 127.0.0.1 > > > > # RDP > > rdr on $ext_if proto { tcp, udp } from any to any port 3389 tag > > in_rdp -> $mainha > > > > # Geral > > > > block log quick from <chatos_ssh> > > block in on $ext_if all > > block in on $int_if all > > antispoof for $ext_if > > > > # DSL in > > pass in log on $ext_if tagged in_ssh keep state (max-src-conn-rate 4/60 > > overload <chatos_ssh> flush global) queue (out_bolo, out_ssh) > > pass in on $ext_if tagged in_email modulate state queue (out_bolo, > > out_smtp) > > pass in on $ext_if tagged in_p2p keep state queue (out_p2p) > > pass in on $ext_if tagged in_ssh keep state queue (out_bolo, out_ssh) > > pass in on $ext_if tagged in_web keep state queue (out_bolo, out_web) > > pass in on $ext_if inet proto tcp from any to any port 22 > > modulate state queue (out_bolo, out_ssh) > > > > # DSL out > > pass out quick on $ext_if proto tcp from any to any flags A/A > > keep state queue (out_ack) > > pass out on $ext_if inet proto { tcp, udp } from any to any port 53 > > keep state queue (out_dns) > > pass out on $ext_if proto tcp from any to any port { 22, > > 2222, 23456 } keep state queue (out_ssh) > > pass out on $ext_if proto tcp from any to any port { 21, 80, > > 443, 8080 } keep state queue (out_web) > > pass out on $ext_if proto tcp from any to any port { 80, 443, > > 8080 } modulate state queue (out_web) > > pass out quick on $ext_if from any to <ips_fah> > > keep state queue (out_fah) > > pass in on $ext_if proto tcp from $arroway port 5900 to any > > modulate state queue (out_p2p) > > pass in on $ext_if proto udp from $arroway port 5900 to any > > keep state queue (out_p2p) > > pass out on $ext_if proto { tcp, udp } from any to any port ntp > > keep state queue (out_ack) > > pass out on $ext_if proto tcp from any to any port { 25, 465, > > 587 } keep state queue (out_smtp) > > pass out on $ext_if proto { tcp, udp } from any to any port 7777 > > keep state queue (out_jogos) > > pass out on $ext_if proto tcp from any to any port 1683 > > keep state queue (out_bolo) > > > > # LAN in > > > > pass in on $int_if from $arroway to any > > keep state queue (out_p2p, in_p2p) > > pass in on $int_if proto tcp from any to any port 1683 > > keep state queue (in_bolo) > > pass in on $int_if proto tcp from $arroway port 5900 to any > > modulate state queue (in_p2p) > > pass in on $int_if proto udp from $arroway port 5900 to any > > keep state queue (in_p2p) > > pass in on $int_if proto tcp from any to any port { 22, > > 2222, 23456 } keep state queue (in_ssh) > > pass in on $int_if proto { tcp, udp } from $lamneth to any port 53 > > keep state > > pass in on $int_if proto tcp from any to any port { 80, 443, > > 8080 } modulate state queue (in_web, out_web) > > pass in on $int_if proto tcp from any to any port { 25, 465, > > 587 } modulate state queue (out_smtp) > > pass in on $int_if proto { tcp, udp } from any to any port ntp > > keep state > > pass in on $int_if from $arroway to <ips_fah> > > keep state queue (in_fah) > > pass in on $int_if from $int_if:network to $int_if > > keep state queue (lan) > > > > # LAN out > > pass out on $int_if from any to any > > keep state > > pass out on $int_if from $int_if to $int_if:network > > keep state queue (lan) > > > > tem coisa para melhorar (sempre), mas cada pedaço de tempo arrumo uma > > coisa. aqui, o amule fica sempre colado nos 20k. se o fah vai mandar, > > ele manda na casa dos 16k e o amule cai para 4k. ainda apanho um pouco > > com outros protocolos (nem tudo funciona 100%, mas não sei se é culpa > > minha, do hfsc ou protocolo). já fiz teste e tem fluxo que não toma > > toda a banda alocada para ele, aí novamente não sei se é culpa do hfsc > > ou protocolo ou minha. neste caso que tem dois ip's para reservar > > banda, tenho tido exp boa aqui em limites, seja com PRIQ ou HFSC. > > > > espero que tenha ajudado mais que complicado, qquer coisa é só falar :) > > > > uma fonte que usei (muito) para ter info sobre pf+hfsc foi o site do > > calomel https://calomel.org/ e o livro do Jacek Artymiak de pf e > > openbsd. e muita tentativa :) > > > > matheus > > > > > Boa noite moçada. > > > ------------------------- > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > -- > > We will call you cygnus, > > The God of balance you shall be > > > > A: Because it messes up the order in which people normally read text. > > Q: Why is top-posting such a bad thing? > > > > http://en.wikipedia.org/wiki/Posting_style > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- We will call you cygnus, The God of balance you shall be A: Because it messes up the order in which people normally read text. Q: Why is top-posting such a bad thing? http://en.wikipedia.org/wiki/Posting_style ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
