ipfw versus ipf

[Ivo Hazmuk]

Dobre odpoledne,

> co se tyce toho traffic shapingu tak je tady ALTQ.
> http://www.csl.sony.co.jp/person/kjc/kjc/software.html

kdysi jsme ho pouzivali ve versi 1.2 na FreeBSD 2.2.7, tedy davno.
Nase zkusenost byla rozpacita. Clovek musi opatchovat kernel. To neni
problem. Problem muze vzniknout, kdyz chci patchovat tento kernel
bezpecnostnimi patchy.
Dale jsme v tehdejsi versi narazili na prusvih. Kdyz jsme chteli
omezovat pres cele rozhrani, ALTQ fungovalo skvele. Rekl bych, ze lepe,
nez veskere IOSy. Ale prusvih nastaval, kdyz jsme chteli omezovani pres
rozsah IP adres. Tam se obcas stalo, ze po pretizeni ALTQ prestalo
fungovat pro danou frontu. V nasi konfiguraci jsme oddelili ICMP od
ostatniho provozu a potom to vypadalo, ze vse funguje. Ve skutecnosti
neprosel ani paket.

Ovsem byla to stara verse, dnes to muze byt a asi bude jinak.

> - Pro Traffic shaping je nutno implementovat na rozhrani smerem ven

To je bezne. Na vstupu se omezuje spatne.

> - konfigurace je easy (v distribuci je hodne examplu kdyz tak zaslu svoje)

Souhlasim. Na rozdil od ipfw tam byla krasna vlastnost, sdileni volneho
pasma. Sit ma dostat 10 Mb/s, 5% dam ICMP (lepsi nez ICMP_BANDLIM),
95% ostatni provoz. Z toho DNS dam 5%, SMTP 40% a ostatnimu 80% kdyz je
volno u SMTP.

Ale v okamziku, kdy se objevilo omezovani provozu v ipfw, radi jsme na
ALTQ zapomneli. Bohate nam staci, kdyz mame upravit FreeBSD k obrazu
svemu. Vlozit tam dalsi stupen volnosti se nam nechce.

	S pozdravem
						Ivosh Hazmuk