IPFW count a shaping

Milan Cizek cizek.milan at seznam.cz
Sun Aug 27 14:23:06 CEST 2006

Previous message: IPFW count a shaping
Next message: IPFW count a shaping
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Ahoj
aha :) odpovedel jsi mi i na muj pristi dotaz (procpak mi nefunguje shaping
tak jak je nastaveny :)). Nicmene potrebuji ještě poradit s nasledujicim...

IPFW dela NAT na rozhrani ste0. Vzhledem k tomu, ze pravidla generuji
automaticky z databaze (dost slozite) a tedy nevim, na jakem interface který
klient funguje (musel bych to cele prekopat, abych mel tento udaj), lze
nejak postavit ta pravidla tak, aniz bych tam musel jmenovat jiny interface
nez nat?

Pro "download ke klientovi" jsem to udelal takto
  ipfw add 3400 count ip from not 10.0.0.0/8 to 10.0.3.20 in recv ste0

Ale jak zjistit odchozi provoz, něco jako?
  ipfw add 3400 count ip from 10.0.3.20 to not 10.0.0.0/8 out xmit ste0

Milan


> -----Original Message-----
> From: users-l-bounces at freebsd.cz 
> [mailto:users-l-bounces at freebsd.cz] On Behalf Of Dan Lukes
> Sent: Sunday, August 27, 2006 1:15 PM
> To: FreeBSD mailing list
> Subject: Re: IPFW count a shaping
> 
> Milan Cizek napsal/wrote, On 08/27/06 13:03:
> > rad bych se zeptal na pocitani traficu přes count v IPFW. Pokud 
> > porovnam realne stazena data na PC a hodnotu z count, count je 
> > vetsinou minimalne 2x tolik. Jiste chapu, ze TCP/IP ma také nejakou 
> > rezii at., ale nechce se mi uverit, ze by to bylo o 150% 
> vice. Mam k tomuto 2 konkretni otazky:
> > 
> > 1) pouzivam:
> > sysctl net.inet.ip.fw.one_pass=0
> > 
> > 04950      0        0 count ip from not 10.0.0.0/8 to 10.0.7.20
> > 04950      0        0 count ip from 10.0.7.20 to not 10.0.0.0/8
> > 
> > - nemuze toto byt pricina? Ze by paket kazdym countem 
> prosel vicekrat? 
> > Pokud ano, jak zaridim, aby prosel jen 1x? (pokud to nelze, tak si 
> > vysledek muzu pripadne podelit - /2?)
> 
> 	;-)
> 
> 	Ano, paket kazdym countem prochazi dvakrtat. Ale "toto" 
> neni pricina (at uz se "totem" mysli cokoliv z toho, co bylo 
> uvedeno). Ani hodnota one_pass ne - ta ve skutecnosti nema 
> zadny vliv na pocet pruchodu paketu jednim pravidlem.
> 
> 	Vtim je v tom, ze kazdy paket prochazi firewallem 
> nekolikrat - typicky dvakrat, za urcitych konfiguraci az ctyrikrat.
> 
> 	A pokud pravidlo nerika, ktery pruchod ma pocitat, pak 
> pocita vsechny. 
> "Meri mi to dvojnasobek" je, abych tak rekl, tradicni chyba ... ;-).
> 
> 	Doporucuju pridat neco jako "in recv <interface>" nebo 
> "out xmit <interface>"
> 
> > 2) pokud je danemu klientu delan shaping, predpokladam, ze se do 
> > countu zapocitaji i data, která se treba zahodi. Zkousel jsem count 
> > pravidlo umistit az za allow, ale hodnota je stejna. Jak 
> pocitat data 
> > před a za shapingem? Diky
> > 
> > 04950      0        0 pipe 720 ip from not 10.0.0.0/8 to 10.0.7.20
> > 04950      0        0 allow ip from any to 10.0.7.20 in via ste0
> 
> 	Zaprve - takhle napsany shaping bude uzivateli 
> dovolovat ve skutecnosti polovicni hodnotu toku, nez je 
> nakonfigurovano - ze stejneho duvodu, proc count shora meri 
> dvojnasobek. I toto je "tradicni" problem ;-)
> 
> 
> 	A az vyresis tenhle a tak pujde vyresit i ten druhy - 
> kdyz budes shaping delat na vstupnim interface a pocitat na 
> vystupnim, pak budou hodnoty zcela jasne. Nicmene, pocitat 
> lze i na stejnem interface, pak zalezi na poradi.
> 
> 					Dan

Previous message: IPFW count a shaping
Next message: IPFW count a shaping
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list