Адреса групп в таблицы ipfw

[elite]

elite, можно пример по первому пункту?
по второму я бы сказал это хорошо, но вот какие в сумме задержки будут?
к примеру у меня сейчас 15-30 мс до яндекса, с таким линком примерно 40-50 будет, это как бы не очень хорошо в моем случае, ибо народ в CS'ы играет, спложной трезвон начнется изза увеличения...

по первому пункту:

Код:

nat pass on vlan4 inet from <allusers> to any -> 10.11.10.202/31 source-hash sticky-address

что-то типа такого
10.11.10.201 - машинка на линухе, на которой поднимается несколько пппое-соединений ОГО (правда, у меня не ого, но все равно ), и эта машинка с линуксом маршрутизирует пакеты от 10.11.10.202 в один канал, от 10.11.10.203 - в другой
за счет применения source-hash sticky-address (можно наверно что-то одно из них ) весь трафик пользователя идет только через одного внешнего аплинка, а не скачет из канала в канал

а насчет задержек - ну да, фактически вырастает на пинг до сервера

[elite]

Только интересна примерная цена аренды такого сервера?

читай мыло ))

[dark]

Так занялся модификацией чего сам хотел в первом посте и наткнулся на грабли: как правильно передать поле grp из таблицы users в подпрограмму sub Allow{} в nofire.pl?

пробовал так $grp=$p->{grp};
возвращает почему-то всегда еденицу 

я так понимаю что гдето в sql запросе надо добавить выборку по этому полю?

[dark]

Вобщем доделал что пожелал, юзеры в разных таблицах

Код:

ipfw table 41 list
172.2.2.4/32 0
172.2.2.7/32 0
172.2.2.10/32 0

ipfw table 42 list
172.2.2.6/32 0
172.2.2.9/32 0
172.2.2.12/32 0

теперь они разруливаются исходя из таблиц, а не на основании подсетей

Код:

ipfw add 300 setfib 1 ip from "table(41)" to not "table(30)" in
ipfw add 310 setfib 2 ip from "table(42)" to not "table(30)" in
ipfw add 320 setfib 3 ip from "table(43)" to not "table(30)" in

Памятка: table(30) - отдельное направление локалки , сформированное биллингом.

кому нужно выложу диффы noserver.pl и nofire.pl

[blackjack]

конечно выложи
тоже надо группы забивать в разные таблицы

[lans999]

конечно выложи
тоже надо группы забивать в разные таблицы

Тоже интересует как это сделать. Или подскажите как одного клиента из локалки пускать по второму маршруту.
При ipfw add 60 setfib 1 all from 172.16.0.1 to any ни  чего не происходит
rc.firewall

Код:

#!/bin/sh -
f='/sbin/ipfw'

ifOut='vr1'

${f} -f flush



${f} add 10 allow gre from any to any via vr0
${f} add 40 allow tcp from any to me 1723
${f} add 41 allow tcp from me 1723 to any

${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 500 ip from any to any via ${ifOut}

${f} add 300 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 divert 1 ip from any to any
${f} add 450 divert 2 ip from any to any
${f} add 490 allow ip from any to any

${f} add 500 skipto 32500 ip from any to any in
${f} add 510 divert 1 ip from any to any
${f} add 540 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723

${f} add 2100 deny ip from any to any

${f} add 32490 deny ip from any to any
${f} add 32490 deny ip from any to any

При удалении всех правил кроме ipfw add 60 setfib 1 all from 172.16.0.1 to any, все работает, клиент 172.16.0.1 ходит через шлюз указанный в setfib 1

[lans999]

У меня немного другая ситуация.
vr0 (ip 192.168.2.254) - смотрит в локалку
vr1 (ip 10.0.0.4) - смотрит на два роутера 10.0.0.1 и 10.0.0.6 (все в одной подсети)
defaultrouter="10.0.0.6"
192.168.254.2 клиент, которого нужно пускать через 10.0.0.1
setfib -0 route add default 10.0.0.6
setfib -1 route add default 10.0.0.1

Как при этом должен выглядеть rc.firewall?

[dark]

долго не было меня, вобщем: фаервол примерно настроен так, как из второго примера how-to

ipfw add 300 setfib 1 ip from "table(41)" to any in
ipfw add 310 setfib 2 ip from "table(42)" to any in
ipfw add 320 setfib 3 ip from "table(43)" to not "table(30)" in

добавим маршруты по дефолту:

setfib -1 route add default 0.0.0.1
setfib -2 route add default 0.0.0.2
setfib -3 route add default 0.0.0.3

и т.д.

в таблицах 41,42,43 - юзеры, которым присвоен свой канал. (можно изменить, найдя соответствующую функцию в коде)

вобщем вот диффы изменений, в итоге получится вот так:
http://www.img15.4picture.ru/pictures/b30ab8005ae18bb37440a9181e62d9a3.jpg

[PulsarK]

В начале темы говорилось об изменениях конфига IPCADа при смене "divert" на "tee" в IPFW. Можете поподробней рассказать об этих изменениях?

[dark]

Elite, покажи пожалуйста пример,  и удалось ли такое сделать на практике?

2) сервер в инете - до него стоим впн и объединяем все
второй вариант очень красивый, позволяет получить скорость практически Nx8 (для N-адсл ого по 8 мбит) и, что очень немаловажно, суммирует аплоад, что особенно важно при использовании нескольких ого
ну и еще реальный статический ип получаем бонусом

PulsarK, ничего сложного, меняешь divert на tee в правилах ipfw и ipcad.conf

[elite]

Elite, покажи пожалуйста пример,  и удалось ли такое сделать на практике?

2) сервер в инете - до него стоим впн и объединяем все
второй вариант очень красивый, позволяет получить скорость практически Nx8 (для N-адсл ого по 8 мбит) и, что очень немаловажно, суммирует аплоад, что особенно важно при использовании нескольких ого
ну и еще реальный статический ип получаем бонусом

PulsarK, ничего сложного, меняешь divert на tee в правилах ipfw и ipcad.conf

мм.. да, даже все работало

[dark]

Elite, так вы покажете пример? интересует как добились суммирования аплоада.

У меня сейчас похожее решение работает, но без промежуточного сервера, проблема в том, что аплоад суммируется только в качалках типа download master, торренты.

[smallcms]

Elite, так вы покажете пример? интересует как добились суммирования аплоада.

У меня сейчас похожее решение работает, но без промежуточного сервера, проблема в том, что аплоад суммируется только в качалках типа download master, торренты.

О BGP с провом договоритесь и будет Вам суммирование каналов

[dark]

Провайдеры все разные...

[elite]

Elite, так вы покажете пример? интересует как добились суммирования аплоада.

У меня сейчас похожее решение работает, но без промежуточного сервера, проблема в том, что аплоад суммируется только в качалках типа download master, торренты.

суммирование аплоада промежуточным сервером добились...