https://www.opennet.me/openforum/vsluhforumID1/93473.html Имеется два интернет-канала: основной и резервный. На FreeBSD-сервере накручены скрипты, которые пингуют корневые DNS с обоих каналов и на основе ответов определяют дохлый канал и в случает такового переключают основной маршрут на другой канал. <br>Чтобы это работало в pf.conf прописаны правила:<br><br>pass out route-to ($ext3_if $ext3_gw) inet from $ext3_if<br>pass out route-to ($ext_if &lt;ext_gw&gt;) inet from ($ext_if)<br>pass out inet from { ($ext_if) $ext3_if } to (self:network)<br><br>Средствами ALTQ для некоторых пользователей ограничивается входящий трафик. Теперь же нужно ограничить исходящий трафик некоторым пользователям (которые обнаглели и стали его забивать). Но я не знаю, как это сделать, сохранив маршрутизацию пакетов через оба канала.<br><br>Если бы был один активный канал, то проблем нету:<br><br>pass out on $ext_if from 192.168.1.0/24 to any queue q_out<br>pass out on $ext3_if from 192.168.1.0/24 to any queue q_out<br><br>Прошу помощи в поиске нужного синтаксиса.<br> https://www.opennet.me/openforum/vsluhforumID1/93473.html#19 Fri, 15 Jun 2012 10:20:34 GMT &gt;&gt;&gt;[оверквотинг удален] <br>&gt;&gt; А можно подробней про направление трафика через виртуальный интерфейс? Не совсем понимаю <br>&gt;&gt; схему. Ведь получается, что мне нужно шейпить исходящий трафик на некоем <br>&gt;&gt; виртуальном интерфейсе, тогда эти пакеты потом должны каким-то образом выходить из <br>&gt;&gt; реального внешнего интерфейса. Или я чего-то не понимаю?<br>&gt; IMQ для Linux например. пакеты прямо из сетевого фильтра специальным правилом заворачиваются <br>&gt; на псевдо-девайс, который для системы выглядит, как обычный физический сетевой интерфейс. <br>&gt; там трафик режется тем же tc например и после обработки опять <br>&gt; попадает в сетевой фильтр и продолжает свое путешествие по цепочкам правил. <br>&gt; наверняка подобные механизмы и во Free есть.<br><br>Интересно. Да, я уже нарисовал схему, действительно интересный способ. Спасибо за информацию к размышлению!<br> https://www.opennet.me/openforum/vsluhforumID1/93473.html#18 Fri, 15 Jun 2012 10:05:40 GMT &gt;&gt;[оверквотинг удален] <br>&gt; А можно подробней про направление трафика через виртуальный интерфейс? Не совсем понимаю <br>&gt; схему. Ведь получается, что мне нужно шейпить исходящий трафик на некоем <br>&gt; виртуальном интерфейсе, тогда эти пакеты потом должны каким-то образом выходить из <br>&gt; реального внешнего интерфейса. Или я чего-то не понимаю?<br><br>IMQ для Linux например. пакеты прямо из сетевого фильтра специальным правилом заворачиваются на псевдо-девайс, который для системы выглядит, как обычный физический сетевой интерфейс. там трафик режется тем же tc например и после обработки опять попадает в сетевой фильтр и продолжает свое путешествие по цепочкам правил.<br><br>наверняка подобные механизмы и во Free есть.<br><br><br> https://www.opennet.me/openforum/vsluhforumID1/93473.html#17 Fri, 15 Jun 2012 06:48:02 GMT &gt;[оверквотинг удален]<br>&gt; nat on $ext_if from $lan1 to any -&gt; ($ext_if) <br>&gt; nat on $ext3_if from $lan1 to any -&gt; $ext3_if <br>&gt; nat on $ext_if from $lan2 to any tag Limited -&gt; ($ext_if) <br>&gt; nat on $ext3_if from $lan2 to any tag Limited -&gt; $ext3_if <br>&gt; pass out route-to ($ext_if &lt;ext_gw&gt;) inet from ($ext_if) <br>&gt; pass out route-to ($ext3_if $ext3_gw) inet from $ext3_if <br>&gt; pass out inet from { ($ext_if) $ext3_if } to (self:network) <br>&gt; pass out route-to ($ext_if &lt;ext_gw&gt;) inet from ($ext_if) tagged Limited queue q_out <br>&gt; pass out route-to ($ext3_if $ext3_gw) inet from $ext3_if tagged Limited queue q3_out <br>&gt; По-идее должно работать. Или нет?<br><br>По внешнему виду должно...<br><br> https://www.opennet.me/openforum/vsluhforumID1/93473.html#16 Fri, 15 Jun 2012 05:46:40 GMT &gt;[оверквотинг удален]<br>&gt;&gt; а скрипты отлажены и долгое время исправно работают. Они выполняют следующие <br>&gt;&gt; функции: <br>&gt;&gt; 1) Быстро (в течении 15-30 секунд) реагируют на падение активного канала и <br>&gt;&gt; переключают на другой канал <br>&gt;&gt; 2) Резервный канал - платный, по-этому скрипты отслеживают восстановление основного канала <br>&gt;&gt; и в таком случае переключают маршрутизацию обратно на него (перед этим <br>&gt;&gt; делая выдержку 15 минут, чтобы маршрутизация не прыгала туда-сюда) <br>&gt;&gt; 3) При переключении маршрутизации переключается также relay-host в postfix <br>&gt;&gt; 4) Пишут логи о недоступности каждого из каналов, переключениях и т.д.<br>&gt; Кто мешает иметь два конфига pf и переключать их тем же скриптом? <br><br>Проблема не с переключением, а с тем, чтобы совместить две функции одновременно:<br>1) Возможность пинговать через оба канала одновременно<br>2) Нарезка исходящего трафика на активном канале<br> https://www.opennet.me/openforum/vsluhforumID1/93473.html#15 Fri, 15 Jun 2012 05:41:17 GMT &gt;[оверквотинг удален]<br>&gt; Это плохо для меня: стабильность интеренета в том офисе - больная тема, <br>&gt; а скрипты отлажены и долгое время исправно работают. Они выполняют следующие <br>&gt; функции: <br>&gt; 1) Быстро (в течении 15-30 секунд) реагируют на падение активного канала и <br>&gt; переключают на другой канал <br>&gt; 2) Резервный канал - платный, по-этому скрипты отслеживают восстановление основного канала <br>&gt; и в таком случае переключают маршрутизацию обратно на него (перед этим <br>&gt; делая выдержку 15 минут, чтобы маршрутизация не прыгала туда-сюда) <br>&gt; 3) При переключении маршрутизации переключается также relay-host в postfix <br>&gt; 4) Пишут логи о недоступности каждого из каналов, переключениях и т.д.<br><br>Кто мешает иметь два конфига pf и переключать их тем же скриптом?<br> https://www.opennet.me/openforum/vsluhforumID1/93473.html#14 Thu, 14 Jun 2012 08:50:40 GMT В Вашем примере нарезка исходящего трафика по портам, а мне нужно по ай-пи адресам локальной сети. <br>Однако крайне заинтересовали строки:<br>nat on $ext_if_a inet from !(self) tag TR !tagged TR -&gt; $ext_if_a<br>nat on $ext_if_b inet from !(self) tag TR !tagged TR -&gt; $ext_if_b<br><br>Возникла мысль назначать тег в правилах трансляции, и потом работать с ним в правилах pass out on ext_if. Например, так:<br><br>nat on $ext_if from $lan1 to any -&gt; ($ext_if)<br>nat on $ext3_if from $lan1 to any -&gt; $ext3_if<br>nat on $ext_if from $lan2 to any tag Limited -&gt; ($ext_if)<br>nat on $ext3_if from $lan2 to any tag Limited -&gt; $ext3_if<br><br>pass out route-to ($ext_if &lt;ext_gw&gt;) inet from ($ext_if)<br>pass out route-to ($ext3_if $ext3_gw) inet from $ext3_if<br>pass out inet from { ($ext_if) $ext3_if } to (self:network)<br>pass out route-to ($ext_if &lt;ext_gw&gt;) inet from ($ext_if) tagged Limited queue q_out<br>pass out route-to ($ext3_if $ext3_gw) inet from $ext3_if tagged Limited queue q3_out<br><br>По-идее должно работать. Или нет?<br> https://www.opennet.me/openforum/vsluhforumID1/93473.html#13 Thu, 14 Jun 2012 08:25:22 GMT У меня в архиве валялось <br><br># Включить трансляцию адресов на внешних интерфейсах.#<br>#nat on $ext_if_a inet from !(self) -&gt; $ext_if_a<br>#nat on $ext_if_b inet from !(self) -&gt; $ext_if_b<br>nat on $ext_if_a inet from !(self) tag TR !tagged TR -&gt; $ext_if_a<br>nat on $ext_if_b inet from !(self) tag TR !tagged TR -&gt; $ext_if_b<br><br># FTP-PROXY<br>#no rdr on lo0 from any to any<br>rdr proto tcp from { $int_if:network, 192.168.4.0/24 } to !(self) port ftp -&gt; lo0 port 8021<br>#rdr pass on $int_if proto tcp from 192.168.0.129 to any port {ftp} -&gt; 192.168.0.4 port 2121<br><br>#HTTP всех на переадресовываем на Squid<br>#rdr pass on $int_if proto tcp from any to any port http -&gt; $int_if port 3128<br>rdr on $int_if proto tcp from any to !&lt;nosquid-list&gt; port http -&gt; $int_if port 3128<br>rdr on $int_if proto tcp from !&lt;white-list&gt; to any port $ext_proxy -&gt; $int_if port 3128<br>#rdr pass on $int_if proto tcp from !&lt;nosquid-list&gt; to any port http -&gt; $int_if port http<br>#rdr on $int_if proto tcp from any to any port $ext_proxy -&gt; $int_if port 3128 https://www.opennet.me/openforum/vsluhforumID1/93473.html#12 Thu, 14 Jun 2012 07:45:35 GMT &gt;[оверквотинг удален]<br>&gt; Если у вас НАТ, то приведенные правила не будут работать. <br>&gt; pass in quick on $int_if from 192.168.1.0/24 to any tag LAN1 <br>&gt; #назначаем тег <br>&gt; pass out route-to ($ext3_if $ext3_gw) inet from $ext3_if to any queue q_out <br>&gt; tagged LAN1 #это будет ограничение от клиенту в мир <br>&gt; pass out route-to ($ext_if &lt;ext_gw&gt;) inet from ($ext_if) to any queue q_out <br>&gt; tagged LAN1 # тоже <br>&gt; а потом уже теже правила, но без тега.<br>&gt; И да. Рутовую очередь нужно настроить на обеих внешних.<br>&gt; Вроде все.<br><br>Не нашел информации о том, как ведёт себя тегированный пакет после НАТ. Насколько я понял из Ваших слов, тег удаляется после трансляции, и его нельзя использовать в правилах pass out on ext_if?<br> https://www.opennet.me/openforum/vsluhforumID1/93473.html#11 Thu, 14 Jun 2012 07:05:29 GMT &gt;[оверквотинг удален]<br>&gt;&gt; чтобы определять, какой из них живой, а какой - мёртвый.<br>&gt; не спец во Фре, но: <br>&gt; - если юзеры одномоментно ч/з один из двух каналов идут в инет, <br>&gt; то почему бы просто не поставить одинаковые ограничение исходящего трафика на <br>&gt; обоих каналах для этих юзеров? для нормальных все останется по прежнему, <br>&gt; а "исходяки" пусть плачут при переключении - их проблема <br>&gt; - давно отработанный подход: фигачить весь нужный трафик на виртуальный интерфейс (для <br>&gt; централизованной обработки), рулить там им по своему усмотрению (урезать, оттегировать <br>&gt; для дальнейшей обработки, итд) и выплевывать дальше. механизмы OS depended, но <br>&gt; не думаю, что будут проблемы в реализации для данной ОС.<br><br>А можно подробней про направление трафика через виртуальный интерфейс? Не совсем понимаю схему. Ведь получается, что мне нужно шейпить исходящий трафик на некоем виртуальном интерфейсе, тогда эти пакеты потом должны каким-то образом выходить из реального внешнего интерфейса. Или я чего-то не понимаю