[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[openbsd] Re: [openbsd] Re: [openbsd] pflow и altq на одном интерфейсе

To: Alexander Shikoff <minotaur@crete.org.ua>
Subject: [openbsd] Re: [openbsd] Re: [openbsd] pflow и altq на одном интерфейсе
From: irix <irix@ukr.net>
Date: Mon, 2 Nov 2009 00:42:49 +0200
Cc: openbsd@uaoug.org.ua
Delivered-to: <openbsd@uaoug.org.ua>
In-reply-to: <20091101215127.GA64925@crete.org.ua>
References: <20091101093044.GA86129@crete.org.ua> <1109589617.20091101132648@ukr.net> <20091101151705.GA23233@crete.org.ua> <1859887513.20091101201139@ukr.net> <20091101215127.GA64925@crete.org.ua>
Reply-to: irix@ukr.net
Reply-to: openbsd@uaoug.org.ua

Hello Alexander,

Ё   маё,  не  тупите. И послушайте. Не циклитесь на том что есть вы не
понимаете как работает фаер.
С помощью тега вы сможете и посчитать нормально трафик по pflow и отправить его
в  queue  (для  входа  и выхода) при наличии ната (сможете увидеть уже
отначенные серые адреса) и всё это делать со стейтами.

Сейчас  всё  упёрлось  в  вас,  когда  вы отбросите своё всезнайство и
прислушаетесь. А ещё и ман наконец прочтёте то всё увидите.

Хотя  знаю  что вы сейчас начнёте со мной спорить и доказывать что так
как я говорю сделать нельзя и у вас всё правильно.


Sunday, November 1, 2009, 11:51:27 PM, you wrote:

AS> On Sun, Nov 01, 2009 at 08:11:39PM +0200, irix wrote:
>> Hello Alexander,
>> 
>> Метки позволяют вам уже отначенные пакеты вылавливать в общем потоке
AS> Ну и что? Если есть состояние, то метки не помогут.
AS>  
>> 
>>
>> Sunday, November 1, 2009, 5:17:05 PM, you wrote:
>> 
>> AS> On Sun, Nov 01, 2009 at 01:26:48PM +0200, irix wrote:
>> >> Hello Alexander,
>> >> 
>> >> Чтобы  всё  нормально  работало,  вам  необходимо использовать в своих
>> >> правилах  конструкцию  TAG и TAGGED. Тогда с натом и остальным проблем
>> >> не будет.
>> AS> Не вижу совершенно, как tag и tagged может помочь.
>> AS> Метки как-то влияют на проверку состояний?
>> AS>  
>> >> 
>> >> 
>> >> Sunday, November 1, 2009, 11:30:44 AM, you wrote:
>> >> 
>> >> AS> Приветствую!
>> >> 
>> >> AS> Прошу помощи в решении одной задачи. Проблема в следующем.
>> >> 
>> >> AS> Eсть OpenBSD 4.6 в качестве роутера + NAT для локальной сети.
>> >> AS> Чтобы посчитать трафик с помощью pflow, его нужно прикрутить
>> >> AS> к внутреннему интерфейсу, иначе в статистике будет внешний адрес.
>> >> AS> pflow работает исключительно с правилами keep state.
>> >> AS> В то же время, чтобы на внутреннем интерфейсе отправить трафик
>> >> AS> _к пользователю_ в ту или иную очередь - не должно быть состояния,
>> >> AS> иначе правило с queue не срабатывает.
>> >> 
>> >> AS> Вот пример:
>> >> 
>> >> AS> TRANSLATION RULES:
>> >> AS> nat on vlan2 inet proto tcp from 10.51.109.40/29 to any -> 193.200.84.226
>> >> AS> nat on vlan2 inet proto udp from 10.51.109.40/29 to any -> 193.200.84.226
>> >> AS> nat on vlan2 inet proto icmp from 10.51.109.40/29 to any -> 193.200.84.226
>> >> 
>> >> AS> FILTER RULES:
>> >> AS> block drop in all
>> >> AS> pass in quick on vlan2 proto tcp from any to (vlan2) port = ssh flags S/SA keep state (if-bound)
>> >> AS> pass out quick on vlan2 all flags S/SA keep state (if-bound)
>> >> AS> pass in quick on vlan2 all no state
>> >> AS> * pass in quick on vlan621 inet from 10.51.109.40/29 to any flags
>> >> AS> S/SA keep state (if-bound, pflow)
>> >> AS> * pass out quick on vlan621 inet from any to 10.51.109.40/29 no state queue to_Gonta
>> >> 
>> >> AS> ALTQ:
>> >> AS> queue root_em0 on em0 bandwidth 1Gb priority 0 {DEFQ, to_Customers}
>> >> AS> queue  DEFQ on em0 bandwidth 100Mb hfsc( default )
>> >> AS> queue  to_Customers on em0 bandwidth 10Mb {to_Akim, to_Gonta}
>> >> AS> queue   to_Akim on em0 bandwidth 512Kb hfsc( upperlimit 512Kb )
>> >> AS> queue   to_Gonta on em0 bandwidth 512Kb hfsc( upperlimit 512Kb )
>> >> 
>> >> AS> Правила, помеченные звездочкой - будет срабатывать только первое правило.
>> >> AS> Второе на сработает для ответного трафика никогда, следовательно
>> >> AS> очередь - не работает. Если же сделать первое правило с no state,
>> >> AS> то очередь работает, но при этом становится невозможным использование
>> >> AS> pflow. Если же pflow перенести на внешний интерфейс, то в статистике 
>> >> AS> не будет внутренних адресов.
>> >> 
>> >> AS> Так как быть? Как одновременно использовать pflow, nat и altq? 
>> >> AS> Заранее спасибо.
>> >> 
>> >> AS> -- 
>> >> AS> MINO-RIPE
>> >> 
>> >> 
>> >> 
>> >> 
>> >> -- 
>> >> Best regards,
>> >>  irix                            mailto:irix@ukr.net
>> >> 
>> >> 
>> >> -- 
>> >> To unsubscribe send an e-mail to openbsd+unsubscribe@uaoug.org.ua
>> >> For retrieval in messages archive http://www.uaoug.org.ua/archive
>> >> 
>> 
>> AS> -- 
>> AS> MINO-RIPE
>> 
>> 
>> 
>> 
>> -- 
>> Best regards,
>>  irix                            mailto:irix@ukr.net
>> 




-- 
Best regards,
 irix                            mailto:irix@ukr.net


-- 
To unsubscribe send an e-mail to openbsd+unsubscribe@uaoug.org.ua
For retrieval in messages archive http://www.uaoug.org.ua/archive

Follow-Ups:
- Re: [openbsd] Re: [openbsd] Re: [openbsd] pflow и altq на одном интерфейсе
  - From: Alexander Shikoff <minotaur@crete.org.ua>

References:
- [openbsd] pflow и altq на одном интерфейсе
  - From: Alexander Shikoff <minotaur@crete.org.ua>
- [openbsd] Re: [openbsd] pflow и altq на одном интерфейсе
  - From: irix <irix@ukr.net>
- Re: [openbsd] Re: [openbsd] pflow и altq на одном интерфейсе
  - From: Alexander Shikoff <minotaur@crete.org.ua>
- [openbsd] Re: [openbsd] Re: [openbsd] pflow и altq на одном интерфейсе
  - From: irix <irix@ukr.net>
- Re: [openbsd] Re: [openbsd] pflow и altq на одном интерфейсе
  - From: Alexander Shikoff <minotaur@crete.org.ua>

Prev by Date: Re: [openbsd] Re: [openbsd] pflow и altq на одном интерфейсе
Next by Date: Re: [openbsd] Re: [openbsd] Re: [openbsd] pflow и altq на одном интерфейсе
Previous by thread: Re: [openbsd] Re: [openbsd] pflow и altq на одном интерфейсе
Next by thread: Re: [openbsd] Re: [openbsd] Re: [openbsd] pflow и altq на одном интерфейсе
Index(es):
- Date
- Thread