Комментарии на: FreeBSD. Настраиваем PF ALTQ на VLAN интерфейсах.

От: woland

woland — Fri, 08 Jan 2010 17:42:04 +0000

В следующий раз обязательно проконсультируюсь с Вами ;)

От: Mak-Di

Mak-Di — Fri, 08 Jan 2010 16:48:18 +0000

>> запись не про то как написать правило, чтобы оно работало всегда, везде, у всех, во всех случаях и на всех версиях. Эта запись всего лишь про то, как устранить ошибку “pfctl: vlan0: driver does not support altq”.
Тогда и нужно было ограничить эту запись словами:
>> Как же быть? Всё просто. Нужно просто ALTQ повесить на родительский интерфейс

От: woland

woland — Fri, 08 Jan 2010 15:36:17 +0000

Если трудно, поясняю еще раз: запись не про то как написать правило, чтобы оно работало всегда, везде, у всех, во всех случаях и на всех версиях. Эта запись всего лишь про то, как устранить ошибку “pfctl: vlan0: driver does not support altq”. Именно данную, конкретную и именно эту ошибку. Всё. Больше ни о чем другом. Запись только об одной единственной ошибке и правила приведены исключительно как _пример_. При чем слово _пример_ не стоит путать с руководством к бездумному копипасту. Если это настолько принципиальный вопрос не читать документацию, то пожалуйста, добавил интерфейс. Мне не жалко :)

От: Mak-Di

Mak-Di — Fri, 08 Jan 2010 08:19:17 +0000

>> Почему на всех?
Потому что в правиле pass out quick from any to 192.168.0.0/24 queue local
не указан интерфейс, а следовательно это правило будет применино ко всем интерфейсам. Если сеть 192.168.0.0/24 находиться на vlan0, то зачем тогда это правило на fxp0? Или у Вас в направлении 192.168.0.0/24 черзе fxp0 тоже бегают пакеты?
>> Эта запись не претендует на полное справочное руководство по PF
Тяжело вообще судить, на что эти записи претендуют :(
>> Если у Вас возникли проблемы с составлением
Да, но к сожалению, не уменя

От: woland

woland — Thu, 07 Jan 2010 23:48:20 +0000

Почему на всех?
а) Шейпер на каком интерфейсе висит?
б) На всех интерфейсах будет _исходящий_ трафик в направлении 192.168.0.0/24?

P.S. Эта запись не претендует на полное справочное руководство по PF, она всего лишь образно иллюстрирует общую схему шейпинга на VLAN интерфейсе. Если у Вас возникли проблемы с составлением конкретного правила – обращайтесь к документации.

От: Mak-Di

Mak-Di — Thu, 07 Jan 2010 15:30:48 +0000

>> pass out quick from any to 192.168.0.0/24 queue local
Сразу на всех интерфейсах?

От: woland

woland — Thu, 07 Jan 2010 13:56:25 +0000

Невнимательно исправил. Конечно же out. Отредактировал.

От: Mak-Di

Mak-Di — Thu, 07 Jan 2010 11:58:20 +0000

1. Запись вида pass on interface_name можно смело разбивать на две (in/out), как это и делает pf, чтобы исключить ошибки.
2.
>> pass quick from any to 192.168.0.0/24 queue local
Смысл queue local на всех интерфейсах системы + in/out ?
>> pass in on vlan0 queue local
Только out
Исправляем пожалуйста, и если есть возможность проверяем все практически. Теория хорошо, но практика (c) …
3.
>> In OpenBSD 4.1 and later, the default flags S/SA are applied to all TCP filter rules. (http://www.openbsd.org/faq/pf/filter.html) и начиная с FreeBSD-7.0. Поэтому лучше указывать подобные детали, иначе на разных версиях будут разные результаты.

От: woland

woland — Wed, 06 Jan 2010 21:16:11 +0000

Хорошее замечание. Я совсем упустил из виду тот факт, что у меня интерфейс fxp0 был интерфейсом как внешним, так и внутренним (для чего, собственно, vlan’ы и понадобились), поэтому конкретно в моем случае это было справедливо. Приношу свои извинения за неточность, запись исправил. Спасибо за ценное замечание.

От: Mak-Di

Mak-Di — Wed, 06 Jan 2010 15:10:22 +0000

Уважаемый автор, покажите, пожалуйста, одну сточку из документации, в которой упоминается о “нарезка” трафика на вход (IN)
Спасибо.