Ограничение торрентов

[Efendy]

а оно в несколько потоков смотрится? Не знаю, не жаловались. В любом случае, все ограничения нужно самому проверять, запустить скайп, даунлоуд менеджер, запустить музло во вконтакте, видео и параллельно посерфить. Будет время я и сам протещу это

Просто как-то пробовал в настройках групп в админке поставить количество потоков до 200, и как только клиент начинает смотреть онлайн фильм, биллинг его сразу отрубает, вот и пришлось увеличить.

это совершенно иное! в pf настраивается количество одновременных потоков. А в админке настраивается общий лимит за весть период среза трафика. 200 потоков это катастрофически мало. Несколько тысяч надо ставить.

[kuhar]

а оно в несколько потоков смотрится? Не знаю, не жаловались. В любом случае, все ограничения нужно самому проверять, запустить скайп, даунлоуд менеджер, запустить музло во вконтакте, видео и параллельно посерфить. Будет время я и сам протещу это

Просто как-то пробовал в настройках групп в админке поставить количество потоков до 200, и как только клиент начинает смотреть онлайн фильм, биллинг его сразу отрубает, вот и пришлось увеличить.

это совершенно иное! в pf настраивается количество одновременных потоков. А в админке настраивается общий лимит за весть период среза трафика. 200 потоков это катастрофически мало. Несколько тысяч надо ставить.

Ага, я понял, спасибо.
А можете подсказать, как проверить срабатывает ли это ограничение потоков установленное через pf?

[Efendy]

а оно в несколько потоков смотрится? Не знаю, не жаловались. В любом случае, все ограничения нужно самому проверять, запустить скайп, даунлоуд менеджер, запустить музло во вконтакте, видео и параллельно посерфить. Будет время я и сам протещу это

Просто как-то пробовал в настройках групп в админке поставить количество потоков до 200, и как только клиент начинает смотреть онлайн фильм, биллинг его сразу отрубает, вот и пришлось увеличить.

это совершенно иное! в pf настраивается количество одновременных потоков. А в админке настраивается общий лимит за весть период среза трафика. 200 потоков это катастрофически мало. Несколько тысяч надо ставить.

Ага, я понял, спасибо.
А можете подсказать, как проверить срабатывает ли это ограничение потоков установленное через pf?

в онлайне по trafshow, по итогу - смотри детальную статистику за срез

[Sis]

Код:

set limit states 128000
set optimization aggressive
nat pass on sk0 from 10.0.0.0/8 to any -> sk0
nat pass on sk0 from 192.168.0.0/16 to any -> sk0
table <me> { self }
table <users_bad> { 10.0.0.0/8 }
pass quick on lo0 all

pass in quick on { $int_if ng } proto { tcp udp } from any to <me> keep state
pass in quick proto tcp from any to <me> port { 22 80 443 } keep state
pass in quick on { $int_if ng } proto tcp from <users_bad> to any port 80 keep state (source-track rule, max-src-states 200)
pass in quick on { $int_if ng } proto { tcp udp } from <users_bad> to any keep state (source-track rule, max-src-states 100)

Вот создал такие правила по образу и подобию предложенного Efendy варианта. Внес их в pf.conf
но что-то не работает, где я ошибся?

[smallcms]

Вот создал такие правила по образу и подобию предложенного Efendy варианта. Внес их в pf.conf
но что-то не работает, где я ошибся?

$int_if у вас определён в конфиге? ng?
вместо $int_if ng пишите свой интерфейс или определите его переменной.

[Sis]

[/quote]
$int_if у вас определён в конфиге? ng?
вместо $int_if ng пишите свой интерфейс или определите его переменной.
[/quote]
Да определил указал адрес внутреннего интерфейса.
а теперь как проверить что он работает?

[Sis]

Работает...спасибо

[k291]

а как ограничить торренты на реальных IP, которые проброшены с внешнего на внутренний интерфейс путем bridge ?
Я заметил, что и трафик с реальных IP не считается((

ifconfig_igb0="inet 10.0.0.1 netmask 0xffffff00"
ifconfig_igb1="inet 217.1.1.242 netmask 255.255.255.240"      # real IP
defaultrouter="217.1.1.241"
fconfig_lo0_alias0="inet 1.1.1.1 netmask 255.255.255.255"
#Dlya probrosa real-IP v set
cloned_interfaces="bridge0"
ifconfig_bridge0="addm igb1 addm igb0 up"

В итоге, абоненты с реальными IP отдаю трафика под 90Мбит

[k291]

а как ограничить торренты на реальных IP, которые проброшены с внешнего на внутренний интерфейс путем bridge ?
Я заметил, что и трафик с реальных IP не считается((

ifconfig_igb0="inet 10.0.0.1 netmask 0xffffff00"
ifconfig_igb1="inet 217.1.1.242 netmask 255.255.255.240"      # real IP
defaultrouter="217.1.1.241"
fconfig_lo0_alias0="inet 1.1.1.1 netmask 255.255.255.255"
#Dlya probrosa real-IP v set
cloned_interfaces="bridge0"
ifconfig_bridge0="addm igb1 addm igb0 up"

В итоге, абоненты с реальными IP отдаю трафика под 90Мбит

Сделал так, смотрю трафик через Nload:

#Mir
ext_if = "igb1"
#Lan
lan_if2 = "igb0"
#Most
bri_if = "brodge0"

set limit states 128000
set optimization aggressive

nat pass on $ext_if from 10.0.0.0/24 to any -> ($ext_if)
#nat pass on $lan_if2 from 10.77.0.0/24 to any -> ($lan_if2)
#nat pass on $ext_if from 217.66.99.240/28 to any -> ($ext_if)

table <me> { self }
table <users_bad> { 10.0.0.0/24 }
pass quick on lo0 all

pass in quick on { $lan_if2 ng } proto { tcp udp } from any to <me> keep state
pass in quick proto tcp from any to <me> port { 22 80 443 } keep state
pass in quick on { $lan_if2 ng } proto tcp from <users_bad> to any port 80 keep state (source-track rule, max-src-states 200)
pass in quick on { $lan_if2 ng } proto { tcp udp } from <users_bad> to any keep state (source-track rule, max-src-states 100)

pass in quick on { $bri_if ng } proto tcp from <users_bad> to any port 80 keep state (source-track rule, max-src-states 200)
pass in quick on { $bri_if ng } proto { tcp udp } from <users_bad> to any keep state (source-track rule, max-src-states 100)

#IPTV igmp
pass on $ext_if inet proto igmp to any allow-opts
pass in on $ext_if inet proto udp to any port {4001, 7788}
pass on $lan_if2 inet proto igmp to any allow-opts
pass in on $lan_if2 proto udp to any port {4001, 7788}

Может есть, что дополнить?

[k291]

а как ограничить торренты на реальных IP, которые проброшены с внешнего на внутренний интерфейс путем bridge ?
Я заметил, что и трафик с реальных IP не считается((

ifconfig_igb0="inet 10.0.0.1 netmask 0xffffff00"
ifconfig_igb1="inet 217.1.1.242 netmask 255.255.255.240"      # real IP
defaultrouter="217.1.1.241"
fconfig_lo0_alias0="inet 1.1.1.1 netmask 255.255.255.255"
#Dlya probrosa real-IP v set
cloned_interfaces="bridge0"
ifconfig_bridge0="addm igb1 addm igb0 up"

В итоге, абоненты с реальными IP отдаю трафика под 90Мбит

Сделал так, смотрю трафик через Nload:

#Mir
ext_if = "igb1"
#Lan
lan_if2 = "igb0"
#Most
bri_if = "bridge0"

set limit states 128000
set optimization aggressive

nat pass on $ext_if from 10.0.0.0/24 to any -> ($ext_if)
#nat pass on $lan_if2 from 10.77.0.0/24 to any -> ($lan_if2)
#nat pass on $ext_if from 217.66.99.240/28 to any -> ($ext_if)

table <me> { self }
table <users_bad> { 10.0.0.0/24 }
pass quick on lo0 all

pass in quick on { $lan_if2 ng } proto { tcp udp } from any to <me> keep state
pass in quick proto tcp from any to <me> port { 22 80 443 } keep state
pass in quick on { $lan_if2 ng } proto tcp from <users_bad> to any port 80 keep state (source-track rule, max-src-states 200)
pass in quick on { $lan_if2 ng } proto { tcp udp } from <users_bad> to any keep state (source-track rule, max-src-states 100)

pass in quick on { $bri_if ng } proto tcp from <users_bad> to any port 80 keep state (source-track rule, max-src-states 200)
pass in quick on { $bri_if ng } proto { tcp udp } from <users_bad> to any keep state (source-track rule, max-src-states 100)

#IPTV igmp
pass on $ext_if inet proto igmp to any allow-opts
pass in on $ext_if inet proto udp to any port {4001, 7788}
pass on $lan_if2 inet proto igmp to any allow-opts
pass in on $lan_if2 proto udp to any port {4001, 7788}

Может есть, что дополнить?