Спасибо, уже нашел.

Нагрузка на процессор 100%.
icq 304399731

Нет, просто убрал 44,45.
Работают, но уже не помню что было не так, то ли после перезагрузки сервака клиентов не пускало в инет то ли передергивать файр надо было

Я наверное не правильно выразился, работают ли у вас в данный момент правила приоритета, онлайн шттп, и т.д.
Вернули ли вы их назад в конфиг, после того как убрали 44,44.

Может кто знающий подскажет куда добавить эти правила:

Код:

${f} add 32540 queue 1 tcp from any 80 to any via fxp0 in
${f} add 32540 queue 1 icmp from any to any via fxp0 in
${f} add 32541 queue 2 udp from any 53,2106,3724,7777,8085,27005,27010,27015,27016 to any via fxp0 in
${f} add 32542 queue 3 tcp from any to any via fxp0 in
${f} add 32543 queue 4 udp from any to any via fxp0 in

чтобы не передергивать файрвол
?

После того как убрал 44,45 правила, эти вернул назад?
Работают они вообще?

Вроде все понял, спасибо. Только еще пару вопросов.
Кольца хорошо тем что не нужно замарачиваться на бесперебойники? Если есть возможность колцануть?

не лучше)

В плане безопасности или защиты l2?

т.е. вы считаете что мыльницы вас спасут? )

Ну я думаю это лучше чем втыкать напрямую в l2

другим позвоните, повторюсь: сейчас много кто этим занимается.

У нас город 120 тыс. Поэтому паяльников не много, а конкуренты я думаю не захотят варить, хоты мы дружим неплохо.

Именно, все конечные (логически). А физически будет проходить 1 кабель по всем домам. Есс-но оптика.

Сразу брать оптику 96 жильную?)

Мыльницы на доступе режут половину функционала L2-свитча, ну разве что на каждого клиента по личной мыльнице ) а вообще есть готовые решения в виде грозозащит, погуглите.

Лежат грозы, набрал когда то на 5к грн эквикомовских. лежа в пакете пылятся, так как земли нет, а на нуле не сильно спасает.

Если нет возможности купить свой сварочник то покупайте услуги сварки, благо много кто этим сейчас занимается. А про всякие клеи забудьте.

Да но если что то случится, типа резанут, у нас такое бывает, а мне скажут люди со сваркой "будем через 3 дня" и что тогда?

Магистральный дом? Гирлянда? Делайте звезду ну или хотя-бы кольцо и не занимайтесь фигней. Мой вам совет.

Кольцо еще рано, так как нужно хотя бы на оптику перейти.
А вот про звезду не понял, как это? Как можно обойтись без магистральных домов, все конечные?

Сразу хочу сказать спасибо, за дискуссию, мне действительно нужны умные советы, но:

И никто вам их не спалит если витуха не висит снаружи здания.

У конкурентов витай только чердак, эти D-link по 200 баксов горят на ура, поэтому я и думаю делать только оптику в него, в rg45 Обычную мыльницу и в них уже клиентов.

При сети в 500 абонов вам дорого купить L2 свитч за 200 баксов для установки на 144-квартирный дом?

Нет не дорого, я больше думаю где взять сварку, вот в интернете есть инфа, что можно клеить, вот буду скалыватель покупать. К тому же я говорил что 3 кредита(которые брались на помещение) жрут львиную долю+инет+работники.

По поводу питания: давайте подумаем, если в доме нету света больше 2-х часов, кому там нужен ваш инет? Юзерам с ноутбуками и мегобатареями?

Имел введу магистральный дом, через который сеть должна идти дальше, а из-за света она пропадет как только сдохнет бесперебойник, ясное дело что на конечную точку нет смысла ставить бесперебойник, максимум сбрасыватель.

я имел ввиду что в прямом смысле пришел до соседа в инет.

з.ы. сам так делал года 2 назад, когда еще через dial-up работал.....

Ну придет к соседу, и пусть, это не мое дело, хоть десять человек пусть у него сидит, главное что бы за пределы его квартиры мой интернет не гулял.

Я имел введу это высказывание.

Это все хорошо, но при такой схеме остается работать локалка, поэтому сосед с положительным балансом без проблем натянет файлов (настроит прокси) для соседа с отрицательным балансом.

Имеете введу, что какой нибудь товарищ поставит днс и шлюз, ip своего друга, тот даст доступ и они будут работать через него вдвоем? И что много вы таких встречали?
А вообще я не совсем понимаю для чего в умный свич вставлять клиентов, они же его спалят во время грозы, по крайней мере так происходит в одной крупной сети нашего города. Или вы делаете это для того что бы клиенты не могли друг другу интернет раздавать?
Я вот думал делать так, приходит оптика на дом в какой нибудь умный l2, от него пачкорд в мыльницу и в нее же клиентов.
Еще вопрос как вы решаете проблему пропадания света. У нас бесперебойники эквикомовские рулят обычную мыльницу полтора суток без электричества, а крупный конкурент о котором я говорил ставит длинки л2 и обычный бесперебойник которого хватает максимум на пол часа.

Ну вот подумай сам, как можно управлять трафиком который идет через мыльницы в обход сервера доступа?

А 100 мыльниц и 500 клиентов это сильно....  

Почему в обход?
Мне не нужно контролировать трафик внутри сети, мне нужно только что бы доступ к фтп серверу и торренту закрывался когда у человека не оплачен интернет. А 500 клиентов на 100 мылницах) так это потому что кредиты тянут много денег.
Только начинаем переход на оптику. Но нужно сначала с нодени разобраться что бы инет нормально работал.

Немного по другому задам вопрос.
У меня в данный момент 100 мыльниц, на них примерно 500 клиентов.
В сети стоит торрент и ftp. Которые после установки сервера нодени планирую убрать за него.
То есть пока не авторизировался на Nodeny не могу зайти на фтп или торрент, и весь трафик фтп будет ходить через севрер нодени. Но мне не нужно что бы весь трафик торрентов ходил через нодени, то есть получается что мне pppoe не пойдет? Я смогу сделать когда в сети появится умная железка и Pppoe авторизация будет не на сервера нодени, а на эту умную железку? А если сделаю Pppoe авторизацию на нодени, то весь торрент трафик будет ходить через нодени?

авторизатор просто будет менять цвет.....
удали правило 2050

Спасибо, соединилось, что делала эта строка?
И все таки, лучше mpd5 pppoe?

Тоже самое дает.

galaxy# tcpdump -irl0 -p -n udp port 7723
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes

galaxy# ipfw show
00050  1090   83912 allow tcp from any to me dst-port 22
00051   798   88036 allow tcp from me 22 to any
00110  3056  153420 allow ip from any to any via lo0
00120   120   37106 skipto 1000 ip from me to any
00130     0       0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160   255   23657 skipto 2000 ip from any to me
00200 84376 7410641 skipto 500 ip from any to any via rl0
00300     0       0 skipto 4500 ip from any to any in
00400     0       0 skipto 450 ip from any to any recv rl0
00490     0       0 allow ip from any to any
00500 84376 7410641 skipto 32500 ip from any to any in
00540     0       0 allow ip from any to any
01000     0       0 allow udp from any 53,7723 to any
01010     0       0 allow tcp from any to any setup keep-state
01020    75    8092 allow udp from any to any keep-state
01100    99   35755 allow ip from any to any
02000     0       0 check-state
02010     1      60 allow icmp from any to any
02020    70   12060 allow tcp from any to any dst-port 80,443
02050   130    4796 deny ip from any to any via rl0
02060     0       0 allow udp from any to any dst-port 53,7723
02100     0       0 deny ip from any to any
32490     0       0 deny ip from any to any
65535 84376 7410641 deny ip from any to any
galaxy#

И еще, может я не правильно рассуждаю.
У меня сейчас сетевая только одна, то есть она инет берет, к ней хочу подключить L2.
В будущем будет 3 сетевые. Одна в сторону инета, вторая на клиетов, а третья на ТИ, что бы плавно переводить клиентов на nodeny, а то ТИ 500 клиентов уже не выдерживает.
И еще вопрос, что лучше использовать, L2 или pppoe. Читал на форуме что на l2 последнее время антивирусы жалуются, а клиенты у нас сами знаете какие, антивирус скажет удалить, клиент нажмет удалить, а потом звонит и говорит, я ничего не делал, она сам пропал.
+ интересует, как себя ведет агент в случае с пропаданием сети. К примеру падает линк к серверу на минуту, pppoe я так понял будет релогиниться пока не добьется сервера, а как в этом случае ведет себя l2.