форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"Как дружить ipfw + pf?"	+/–
Сообщение от weldpua2008 (ok) on 25-Фев-07, 14:20
Привет Всем. Я пользуюсь связкой ipfw+natd - но натд Мне очень не нравится... - это все для предоставления Инета... Хочу использовать pf. Pf насколько Я понял не умеет ограничивать скорость входящего потока... Поэтому Я подумал и буду использовать ipfw (pipe) и pf (nat)... Теперь вопрос - как проходят покеты: ipfw -> pf или pf->ipfw? ...и как Нат ставить? В общем Мне не не ясно как строить в такой связке правила?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Как дружить ipfw + pf?"	+/–
Сообщение от sedfom (??) on 26-Фев-07, 13:03
>Теперь вопрос - как проходят покеты: ipfw -> pf или pf->ipfw? >...и как Нат ставить? >В общем Мне не не ясно как строить в такой связке правила? > У меня в конкретном случае :) оба этих фильтра работают одновременно. Кто первый перехватывает пакеты = ХЗ Я руководствовался при настройке PF статьей http://dreamcatcher.ru/index.php?option=com_content&task=vie... Кстати никто не курсе в этом движке форума каков формат тэга ссылок? Ато все некликабельно как-то поднимаю на PF NAT и разрешаю в нем все. А в Ipfw режу чего не надо. Пока работает только вот мне никто не смог сказать как PF настроить на максимальную длину пропускаемого пакета. У него по умолчанию что то около 1500 и выше все срезается. Если нужна скорость то natd тут выигрывает :) при техже настройках по умолчанию. Хотя может быть в новых версиях PF чего и поменялось, я использовал PF из пакетов для FreeBSD v5.4 Грызите гранит манов далее.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Как дружить ipfw + pf?"	+/–
	Сообщение от weldpua2008 (ok) on 26-Фев-07, 14:18
	>Пока работает только вот мне >никто не смог сказать как PF настроить на максимальную длину пропускаемого >пакета. У него по умолчанию что то около 1500 и выше >все срезается. Если нужна скорость то natd тут выигрывает :) при >техже настройках по умолчанию. Хотя может быть в новых версиях PF >чего и поменялось, я использовал PF из пакетов для FreeBSD v5.4 Вопрос: Поднимаю ipfw аллоу алл то алл пф нат На винде пинг идет - ОК Теперь тоже самое но только через ВПН-подключение к мпд пинг ~50%потерь... С натд такого вроде бы небыло...
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Как дружить ipfw + pf?"	+/–
	Сообщение от weldpua2008 (??) on 26-Фев-07, 15:38
	>Вопрос: >Поднимаю ipfw аллоу алл то алл >пф нат > >На винде пинг идет - ОК >Теперь тоже самое но только через ВПН-подключение к мпд >пинг ~50%потерь... >С натд такого вроде бы небыло... FreeBSD 6.2RC1 Может ipfw отключить? Но тогда чем шейпить траффик? Тобишь ккак Я смогу ограничивать скорость вх./исход.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Как дружить ipfw + pf?"	+/–
	Сообщение от uanic (ok) on 26-Фев-07, 17:33
	>>Теперь вопрос - как проходят покеты: ipfw -> pf или pf->ipfw? >>...и как Нат ставить? >>В общем Мне не не ясно как строить в такой связке правила? >> >У меня в конкретном случае :) оба этих фильтра работают одновременно. >Кто первый перехватывает пакеты = ХЗ Ставил себе и ipfw и pf. Первый пакеты фильтрует PF!!!
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	5. "ИМХО дело не в дружбе"	+/–
	Сообщение от sedfom (??) on 27-Фев-07, 12:28
	Чего то я не совсем понял что именно творит автор темы. А именно шейпится ли на данный момент канал средствами ipfw pipe ? VPN тут не причем. Попробую Вам более подобно описать мою ситуацию и мои выводы, а Вам уже делать Ваши :) Исходные данные общие для всех экспериментов: ОС FreeBSD 5.4, Ядро откомпилировано с поддержкой ipfw, bridge, pf. Эксперимент №1. через rc.conf включены ipfw, pf, natd. В pf.conf = пусто Делаю простой NAT через natd. Копирую файл 700 мегабайт из внешней сети во внутреннюю по netbios. Процесс занимает примерно 2-4 минуты. В ipfw руками добавлены разрешающие правила, без всяких режимов open. Эксперимент №2. через rc.conf включены ipfw, pf, natd. Делаю простой NAT через PF. Копирую файл 700 мегабайт из внешней сети во внутреннюю по netbios. Процесс занимает примерно 15 минут. Пробую пинг на сервер, откуда забираю файл с разной длиной пакета. Нашел примерное ограничение в 1500, как побороть не понял. Потребности: 1. Сделать скоростной NAT в сеть провайдера, для скачивания фильмов и т.п. 2. Сделать второй NAT для интернета. При этом создаю на шлюзе VPN подключение к тому же провайдеру. И соответственно завернуть трафик в интернет на второй NAT. Результаты: 1-ю свою потребность я сделал на natd с соответствующей настройкой ipfw. 2-ю свою потребность я сделал на pf - умный NAT для интернета. На работе интернета могу только заметить, что скачивание файлов с интернета по http протоколу максимальная скорость достигала 600 килоБайт в секунду. Выводы: Текущая связка меня пока устраивает, но хочется попробовать ipnat вместо pf . Ширину канала через ipfw я не резал.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Как дружить ipfw + pf?"	+/–
Сообщение от RSG (??) on 27-Фев-07, 14:33
>Привет Всем. >Я пользуюсь связкой ipfw+natd - но натд Мне очень не нравится... - >это все для предоставления Инета... >Хочу использовать pf. Pf насколько Я понял не умеет ограничивать скорость входящего >потока... >Поэтому Я подумал и буду использовать ipfw (pipe) и pf (nat)... >Теперь вопрос - как проходят покеты: ipfw -> pf или pf->ipfw? >...и как Нат ставить? >В общем Мне не не ясно как строить в такой связке правила? > По поводу прохождения пакетов через фаер, вроде так: ipfw -> ipf (in)-> pf(in) -> маршрутизация -> ipnat -> ipf (out) -> pf(nat) -> pf(out) -> ipfw По поводу ната: Теперь на счет ната. В pf для работы через нат с активным ftp используется ftp-proxy. При этом этот ftp-proxy и работает как прокси, т.е. возникают проблеммы с подсчетом такого тарфика. Как результат или не двать юзерам активный режим фтп или делать его средствами natd. На счет ограничений: Кстате, pf умеет ограничивать скорость см. ALTQ
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Как дружить ipfw + pf?"	+/–
Сообщение от netmaster on 13-Июн-11, 12:53
> Привет Всем. > Я пользуюсь связкой ipfw+natd - но натд Мне очень не нравится... - > это все для предоставления Инета... > Хочу использовать pf. Pf насколько Я понял не умеет ограничивать скорость входящего > потока... > Поэтому Я подумал и буду использовать ipfw (pipe) и pf (nat)... > Теперь вопрос - как проходят покеты: ipfw -> pf или pf->ipfw? > ...и как Нат ставить? > В общем Мне не не ясно как строить в такой связке правила? "Порядок прохождения пакетов по различным пакетным фильтрам в FreeBSD" http://paix.org.ua/freebsd/fwpackets.html Если не откроется, есть ещё страницы с таким текстом и заголовком.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема