ipfw/dummynet - FreeBSD 8.3

[Lubomir Majersky]

Dňa 25. 6. 2012 19:05, Dan Lukes  wrote / napísal(a):
> Zadne konkretni rady. Nevim zadnych problemech (na vlastnich strojich,
> nebo ze bych o tom slysel od nekoho jineho).
>
> Ktera pravidla se realne pouzivaji se da zjistit pomoci counteru, ktere
> jsou s kazdym pravidlem spjaty.
>
> Takze ja bych zacal kontrolou, zda konkretni problematicke toky tecou
> pres ta pravidla, pres ktera ocekavas.
>
Problemy mi evidentne sposobovali queue (ako parameter), odstranil som 
ich zo vsetkych pravidiel, kde som ich mal zadefinovane... Ako vzdy, uz 
niet casu robit hlbkovu a dlhu analyzu. Vyzera to, ze vsetko slape.

>> ... out via ${pubif}
>
> Jen na okraj - tenhle konstrukt podle vseho pouzivas pro "pakety
> odchazejici ven". Pak by to ale melo byt 'out xmit ${pubif}'
>
> Tak jak to mas se to uplatni i na pakety ktere prisly pres ${pubif}
> (tedy "z venku") a konci vevnitr na jinem interface.
>
Pozrel som si po case opatovne man ...niekedy sa mi stava, ze cim viac 
to citam, tak sa viac zamotavam, takze:

out via ${pubif}

paket prechadzajuci CEZ rozhranie je 'ODCHODZI' aj smerom do internetu, 
ale aj smerom na privatny (druhy) interface. No, ak to teda chapem 
spravne, zmenu by som mal previest len u tychto pravidiel:

${fwcmd} add 1030 pipe 50 tcp from any to any 25,465 out via ${pubif}
${fwcmd} add 1040 pipe 60 tcp from any to not X.X.X.163 20,49152-65535 
out via ${pubif}

pretoze 'from' je 'any'. Pravidla 1049/1050/1149 by mali byt OK, pretoze 
zdroj je jedinecny (aspon dufam). Rozmyslam vsak este nad pravidlom 
1150, kde 'from' je 'not X.X.X.163' a tym padom moze byt from aj 
privatny (druhy) interface

Lubo M.
-- 
~~~~~~~~~~~~~~~~~~~~
http://LuMaX.acom.sk
~~~~~~~~~~~~~~~~~~~~