ipfw + nat + dummynet (+ bridge)

Zbyněk Burget zburget at miastudio.cz
Fri Mar 5 10:15:41 CET 2004


...opravdu se tady ted nevyskytuje nikdo, kdo by k tomu aspon neco malo
napsal nebo aspon odkazal na dalsi literaturu? Porad mi to vrta hlavou :-(

Zbynek

----- Original Message -----
From: "Zbyněk Burget" <zburget at miastudio.cz>
To: "FreeBSD mailing list" <users-l at freebsd.cz>
Sent: Thursday, March 04, 2004 8:31 AM
Subject: ipfw + nat + dummynet (+ bridge)


> Zdravim vespolek,
>
> precetl jsem si o dane problematice, co jsem nasel (many, handbook a
> prislusne state v obou knihach, ktere u nas vysly), nicmene mam stale
> nekolik nejasnosti... Nejde mi o to, mit to jen nastavene tak, aby to
nejak
> fungovalo (co je soucasny stav), ale taky bych rad vedel, jak to vlastne
> funguje. Pokud jsou me otazky popsano jeste nekde jinde, staci mi odkaz.
>
> V ipfw(8) jsem se docetl, ze po pruchodu paketu pres pravidlo dummynet se
> paket vraci do firewallu, pokud neni nastaveny jednopruchodovy ipfw. Jak
je
> to v pripade pravidla divert natd ... ? Taky by se pri jednopruchodovem
ipfw
> uz nevratil?
>
> Pokud nemam jednopruchodove ipfw a povolim prichozimu paketu pruchod pres
> ipfw (pravidlo allow), kam ten paket potom jde? Uz rovnou na odchozi
adapter
> (tedy skrz prislusne komunikacni vrstvy) nebo je jeste nejaka sance
> (nebezbeci) ze se do ipfw vrati?
>
> K cemu jsou dobra pravidla zpracovavajici pakety v layer 2? Jde s nimi
> udelat vsechno to, co s normalnimi pravidly nebo jsou tam nejaka omezeni?
To
> jsem z zadneho textu oprvadu nepochopil. Asi by pruchod takoveho paketu
> firewallem mel byt rychlejsi (jak potom funguje nat a dummynet).
>
> K cemu je bridge(4)? Urychleni pruchodu paketu routerem? Paket se v tomhle
> pripade nijak nezmeni? Paket se nejak zmeni, pokud bridge neni aktivovany?
> Jsou v pripade pouziti bridge nejake omezene moznosti ipfw (resp.
dummynetu
> a natu)?
>
> Jak dalece je pouzitelny dummynet pro nastaveni spravedlnosti pri
rozdeleni
> pasma pri prichozi traffic? Pokud budu mit napr. linku 256 a budu ji delit
> mezi 4 stroje tak, ze bude mit kazdy 64, nastavim 4 pipe po 64 - no
problem.
> Ale - pokud budu chtit, aby ty stroje sdilely 256 tak, aby se delily
rovnym
> dilem. Rekneme ze budou mit stejne podminky - ctyri stroje v podsiti pred
> routerem A, B, C, D a ctyri stroje v podsiti za routerem W, X, Y, Z. Stroj
A
> taha z W, B z X, C z Y, D ze Z obe podsite jsou propojeny linkou, ktera ma
> fyzicky 256. I kdyz nastavim pipe 256 se 4 queue s vahami po 25 %, zacne
> tahat prvni stroj, obsadi celou sirku linky, pak zacnou tahat ostatni tri
> stroje, rozdeli dummynet pasmo spravedlive? Myslim si ze ne. Protoze pres
tu
> fyzickou linku proste vic neproleze a dummynet nebude mit duvod zahazovat
> pakety. Jak by se to dalo resit? Umyslne nahodne zahazovat nejakou cast
> trafficu? Jestli je tohle cesta, kolik procent trafficu je potreba
zahodit?
> Co se stane, kdybych nadefinoval 4 pipe po 256? Pripada mi to jako
nesmysl,
> ale reseni nekterych problemu ne vzdy vypadaji logicky.
> Bude trafic shaping obecne fungovat v pripade fyzicke linky 512 a dvou
pipe
> 256? Porad se bavim o prichozim trafficu - predpokladam ze shaping pro
> odchozi traffic je bez problemu...
>
> Za jakekoliv vysvetleni nebo odkaz na dalsi literaturu predem velice
dekuji
>
> Zbynek
>
>
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
>





More information about the Users-l mailing list