стоит серв на фриБСД. суть в том. что никак не могу разобраться с тем, как и при помощи чего создать правила для нарезки скорости. Поясню:
есть сеть, есть серв, есть юзера. инет не ризиновый в канторе, по этому нужно сделать так, чтобы юзер при достижении допустимого лимита получал ограниченную скорость, например 32килабита. для почты хватит. на работе работать нада. а не по порнухе шарить ))) потому. для связи с клиентами ему почты за глаза этому юзеру. а странички, да и фиг с ним. На следующий день правило должно обновляться. Т.е. например, вчера Вася достиг предела в 10 мегабайт, ему был ограничен канал согласно правил. сёдня новый день, у него снова есть 10мегабайт, т.е. история вероятно повторится. что посоветуте, господа специалисты?

может быть вам сюда (http://www.lissyara.su/?id=1071)

может быть вам сюда »
Ссылка в мемориз, но к сожалению не то. Очень полезно, но не то. Я говорил о том, чтобы ограничивать пользователей согласно правил. Изначально для них выдайтся нормальный канал, потом, когда кто-то потратил сколько то мегабайт, ему канал уменьшается. Если юзер лимит не исчерпал, то канал остаётся прежний. А по указаной ссылке речь идёт о полном обрезании канала для юзеров, с проверкой на адрес (проверка, не я ли это). Независимо от того, кто и сколько потратил. С другой стороны при отстутствии других идей. прибегну именно к этой теме. Но до понедельника мне нада найти нормальное решение с отслеживанием трафика и обрубание канала по правилам этого трафика...

самое первое, что приходит в голову, это вести учет трафика (либо просто по правилу count, если Вы не мегапровайдер :), либо используя всякие считалки (http://www.opennet.ru/prog/sml/47.shtml)), затем сделать простейшй скрипт-анализатор и в случае, если чей-то трафк превышает норму, динамически добавлять правило по урезанию канала. Скрипт, опять-таки, поскольку ситуация, если я правильно поняла, не очень критичная, можно поставить под крон

Всем снова доброго времени...новая проблема. я пока временно забил на все эти трафики. просто пока я углублялся в суть, пришлось переустановить систему полностью. настроил вроде всё как и в первый раз. но в этот раз инета нету почему то.
и так...
проблема следующая:
поставил фрюху, откомпилил ядро со следующими строками в файле конфига:
IPFIREWALL
IPFIREWALL_VERBOSE
IPFIREWALL_VERBOSE_LIMIT=10
IPFIREWALL_DROP_SYNFIN
IPFIREWALL_DEFAULT_TO_ACCEPT
IPDIVERT
компилил строками типа
make
make install
make depend
make clean
reboot now

после перезагруза в файле рцюсонфиг сделал следующие строки:

hostname="freebsd"
defaultrouter="192.168.1.1" (это айпи самого модема АДСЛ - ZyXel P660RU)
ifconfig_xl0="DHCP"
ifconfig_xl1="inet 192.168.0.1 netmask 255.255.255.0"
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
natd_enable="YES"
natd_interface="xl0"
natd_flags=""
gateway_enable="YES"
sshd_enable="YES"
и прочие настройки которые к сетям не относятся.

предварительно, для проверки фаера сделал правила открытыми:

#!/bin/sh
fwcmd="/sbin/ipfw -q"

#Flushing all rules
${fwcmd} -f flush

#Enabling NAT
${fwcmd} add 50 divert natd all from any to any via xl0

#Inside packets
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any

${fwcmd} add 400 pass log all from any to any

приминяю правила. выставляю на своём раболтчем компе настройки сети:
айпи 192.168.0.2, масска 255.255.255.0, шлюз 192.168.0.1, днс тотже что и шлюз...

запускаю бразуер, пишу любой адрес...и тиша...потом ошибка...почта не ходит, аська не ходит...но сам серв пингуется, есть к нему ссх. с самого серва я пингую модем, днс провайдера и любой адрес...он успешно преобразовывает его в айпи и даёт ответ на экране. делаю ipfw show и вижу, что есть какие то пакеты на правиле divert....есть пакеты на правиле pass from any to any. но клиентская машина в сети инета не получает. днс провайдера пингуется но дальше не идёт. в чём я мог ошибиться, помогите, я уже всю неделю бьюсь над этой проблемой...сроки горят...

клиентская машина в сети инета не получает. днс провайдера пингуется но дальше не идёт »
т.е. ДНС провайдера пингуется с клиентской машины?

совершенно верно. я могу пинговать провайдера и любой адрес в инете (даже используя имена вместо айпи реального) но с клиента, т.е. со своей машины (192.168.0.2), не дальше провайдре или...ток что тестанул ещё раз...с клиента могу пинговать в инете айпи адрсе...т.е. например яндекс. его айпи пингуется, но не ya.ru или yandex.ru. так же из браузера могу выйти на страничку, но только при использовании айпи, а не имени...такое ощущение, что затыкается гдето на преобразовании имени в адрес и наоборот причём гдето на серваке или на модеме...

А что с настройкой dns у клиентов?

Всё разобрался...проблема была в том. что сервак не резольвит имена...т.е. днс на нём работает не коректно. хотя должон. Есть подсказка у меня куда копать. сёдня ещё проверю. а так пока временно сделал настройку у клиентов на днс провайдера. Хотя по хорошему настройка должна указывать на сервак местный. Например, когда делал серваки на винде+КВР, такой проблемы небыло. В керио указывал форвард на провайдера, а у клиентов указывал днс местного серва. Всё работало на ура. Тут я вписал однако форвард онли в намед.конф....ему пофигу...странна...теперь говорят нада ковырять зоны в демоне имён...

Могу ошибаться, но, по-моему, даже для режима форвард-онли в named.conf должны быть корректно заданы loopback зоны (/etc/namedb/make-localhost).
Как простой форвердер - гляньте dnrd

вроде всё работает, но наблюдаются некоторые тормоза. Вычитал, что проблема связана именно с днсом. Но я думаю вот о чём. ведь есть в сети актив директори с поднятым днсом. для локальных адресов всёровно именно он используется. зачем мне на фряхе лишний геморой. могет есть способ перекидывать запросы какие нада на винду2003, а инетовые запросы форвардить на провайдера?! или нада всёровно на фряхе заморачиваться?

Sayman,
ну, в принципе никто и ничто не требует держать собственный dns на машине.

mar
дык это и так понятно. я просто понять немогу логику действий. если есть уже местный домен, почему тогда фря пытается узреть имена гдето ещё. Кроме того, где нада прописывать во Фряхе, что есть уже местный доенный сервер и обращаться к нему, а интернет запросы на провайдера перебрасывать...вот...

ещё косяк нашёл. толи сквид, толи сарг криво считают трафик. за послдение 3 - 4 дня ктото из них насчитали мне тут трафика по принцыпу сложения. Т.е. вчера был в понедельник было сачано всем народом примерно на 40мегов, во вторник весь эти40М перенеслись и к ним прибавился трафик вторника, потом этот весь трафик на следующий день и тоже + этот день. Щас смотрю, день только начался, я ничего не качал, а трафика уже 390мегов. Откуда? Смотрю на ссылки, а там, например по мне, висит старая ссылка за вторник - 59мегов (выкачивал мускул), 29 метров ещё старьё и т.д. Ктото из них весь старый трафик перекидывает на новый и сумирует к новому. Как такое могет быть? Что делать?

dig ya.ru - определить кто преобразует адреса.
если пусто попробуй дальше. Правда может быть 127.0.0.1 - тогда придумай имя сам.
dig @(сервер с днс) ya.ru
Тут я вписал однако форвард онли в намед.конф....ему пофигу...странна...теперь говорят нада ковырять зоны в демоне имён... »
А откуда брать форвард написал?