[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [openbsd] Re: [openbsd] Re: [openbsd] pflow и altq на одном интерфейсе

To: irix@ukr.net, openbsd@uaoug.org.ua
Subject: Re: [openbsd] Re: [openbsd] Re: [openbsd] pflow и altq на одном интерфейсе
From: Alexander Shikoff <minotaur@crete.org.ua>
Date: Mon, 2 Nov 2009 09:31:31 +0200
Delivered-to: <openbsd@uaoug.org.ua>
In-reply-to: <1959280269.20091102004249@ukr.net>
References: <20091101093044.GA86129@crete.org.ua> <1109589617.20091101132648@ukr.net> <20091101151705.GA23233@crete.org.ua> <1859887513.20091101201139@ukr.net> <20091101215127.GA64925@crete.org.ua> <1959280269.20091102004249@ukr.net>
Reply-to: Alexander Shikoff <minotaur@crete.org.ua>
Reply-to: openbsd@uaoug.org.ua
Sender: Alexander Shikoff <minotaur@padonki.org.ua>
User-agent: Mutt/1.5.18 (2008-05-17)

On Mon, Nov 02, 2009 at 12:42:49AM +0200, irix wrote:
> Hello Alexander,
> 
> Ё   маё,  не  тупите. И послушайте. Не циклитесь на том что есть вы не
> понимаете как работает фаер.
>
> С помощью тега вы сможете и посчитать нормально трафик по pflow и отправить его
> в  queue  (для  входа  и выхода) при наличии ната (сможете увидеть уже
> отначенные серые адреса) и всё это делать со стейтами.
Мне пока не нужно видеть отначенные серые адреса. И не нужно резать исход.
Мне нужно пораскладывать по разным очередям вход к пользователю. И посчитать
его трафик.

> Сейчас  всё  упёрлось  в  вас,  когда  вы отбросите своё всезнайство и
> прислушаетесь. А ещё и ман наконец прочтёте то всё увидите.
> Хотя  знаю  что вы сейчас начнёте со мной спорить и доказывать что так
> как я говорю сделать нельзя и у вас всё правильно.
Я верю, что Вы pf знаете лучше меня. Так объясните мне, как tagged может 
повлиять на порядок обработки пакетов на примере трех правил:

nat on vlan2 proto { tcp, udp, icmp } from vlan621:network to any -> 193.200.84.226
pass in quick on vlan621 inet from 10.51.109.40/29 to any flags S/SA keep state (if-bound, pflow)
pass out quick on vlan621 inet from any to 10.51.109.40/29 no state queue to_Gonta

А на самом деле оно никак не влияет:
pass in quick on vlan621 inet from 10.51.109.40/29 to any flags S/SA keep state (if-bound, pflow)
  [ Evaluations: 3650      Packets: 12846     Bytes: 6149755     States: 3392  ]
  [ Inserted: uid 0 pid 31257 State Creations: 3650  ]
pass out quick on vlan621 inet from any to 10.51.109.40/29 no state queue to_Gonta 
  [ Evaluations: 0         Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 31257 State Creations: 0     ]

Потому что первое правило создает state, и ответный трафик уже проверяется
не по правилам, а по state. Следовательно, в очередь он не попадет, и tag
НИКАК не повлияет на это.

Если на первом правиле убрать state, то все будет отлично работать. Но в таком
случае нельзя посчитать трафик на внутреннем (vlan621) интерфейсе.

Прежде чем упрекать кого-то в несостоятельности или неумении читать мануалы, 
попробуйте сами решить эту задачу. А то очень много слов ни о чем.

-- 
MINO-RIPE

-- 
To unsubscribe send an e-mail to openbsd+unsubscribe@uaoug.org.ua
For retrieval in messages archive http://www.uaoug.org.ua/archive

References:
- [openbsd] pflow и altq на одном интерфейсе
  - From: Alexander Shikoff <minotaur@crete.org.ua>
- [openbsd] Re: [openbsd] pflow и altq на одном интерфейсе
  - From: irix <irix@ukr.net>
- Re: [openbsd] Re: [openbsd] pflow и altq на одном интерфейсе
  - From: Alexander Shikoff <minotaur@crete.org.ua>
- [openbsd] Re: [openbsd] Re: [openbsd] pflow и altq на одном интерфейсе
  - From: irix <irix@ukr.net>
- Re: [openbsd] Re: [openbsd] pflow и altq на одном интерфейсе
  - From: Alexander Shikoff <minotaur@crete.org.ua>
- [openbsd] Re: [openbsd] Re: [openbsd] pflow и altq на одном интерфейсе
  - From: irix <irix@ukr.net>

Prev by Date: [openbsd] Re: [openbsd] Re: [openbsd] pflow и altq на одном интерфейсе
Next by Date: [openbsd] ipsec
Previous by thread: [openbsd] Re: [openbsd] Re: [openbsd] pflow и altq на одном интерфейсе
Next by thread: [openbsd] Хороший pf-post. fwd: [mcbride@openbsd.org: Re: pf n00b]
Index(es):
- Date
- Thread