а провайдер больше ничего и не может пообещать. интернет большой и гарантировать какое-то значение скорости до каждого из хостов в интернете невозможно
видимо авторы отчета не в курсе, что максимальная скорость — это вообще конь в вакууме. К примеру с хоста в каком-нибудь Перу никогда скорость не будет больше 200 килобит, хоть какой у вас тариф будет. Провайдер просто выставляет шейпинг на бордере, а дальше он не может отвечать за конечный результат., ибо целая куча факторов влияет на прохождение информации по сети.
И что подразумевается под понятием «средняя скорость»? Если я скачаю за месяц 0 байт, то средняя скорость за месяц у меня будет 0 Мб/с, что явно меньше тарифной 10 Мб/с. Мне идти жаловаться?
быстродействие действительно поражает. тот же shortbook теперь кажется неповоротливым монстром. и поиск кинг в приложении организован очень удобно.
спасибо, буду пользоваться вашим сервисом.
ну и natd — это аццкая жесть.
kernel nat не пробовал, когда я натил, его еще не было.
но вот нат в pf — это супер-пупер, проц грузит гораздо меньше natd и работает на уровне ядра, а не в юзерспейсе.
ipnat же сцуко утекал памятью и вешал ядро при больших нагрузках (3000-4000 юзеров)
но самый кайф — это вообще избавиться от серых айпишников, раздать всем паблики и торжественно вырубить нат! что я и проделал года 3 назад, до сих пор блаженствую )
как-то у вас странно шейпинг реализован
как минимум эти 6 правил
${fwcmd} add `expr $ID '*' 10 + 10001` allow icmp from $IP to me
${fwcmd} add `expr $ID '*' 10 + 10001` allow icmp from me to $IP
${fwcmd} add `expr $ID '*' 10 + 10002` pipe `expr $ID + 101` ip from $IP to any via $IFACE in
${fwcmd} add `expr $ID '*' 10 + 10003` pipe `expr $ID + 901` ip from any to $IP via $IFACE out
${fwcmd} add `expr $ID '*' 10 + 10004` allow ip from $IP to any
${fwcmd} add `expr $ID '*' 10 + 10005` allow ip from any to $IP
можно заменить двумя
${fwcmd} add `expr $ID '*' 10 + 10002` pipe `expr $ID + 101` ip from $IP to any via $IFACE in
${fwcmd} add `expr $ID '*' 10 + 10003` pipe `expr $ID + 901` ip from any to $IP via $IFACE out
установив net.inet.ip.fw.one_pass=1, тогда pipe будет работать как allow, т.е. пакет будет выбрасываться из ipfw при выполнении действия pipe.
в таком случае 2 нижних правила не нужны.
также icmp можно разрешить проще
${fwcmd} add 100 allow icmp from $local_net to me
${fwcmd} add 101 allow icmp from me to $local_net
как-то так.
в таком случае будет достаточно при онлайне абонента добавить правила
${fwcmd} add `expr $ID '*' 10 + 10002` pipe `expr $ID + 101` ip from $IP to any via $IFACE in
${fwcmd} add `expr $ID '*' 10 + 10003` pipe `expr $ID + 901` ip from any to $IP via $IFACE out
что сразу уменьшит общее число правил в 3 раза.
но все равно количество правил в ipfw будет зашкаливать. субъективно году в 2006-м на тогдашнем железе 1000 правил в ipfw добавляло 6-10 мс при прохождении пакета, т.е. пинг у людей зверски вырастал.
но можно пойти и дальше и ограничиться вообще двумя правилами для шейпинга любого количества абонентов, а именно использовать таблицы
вот простенький пример
входящие пайпы
/sbin/ipfw pipe 1 config mask dst-ip 0xffffffff bw 88Kbit/s
/sbin/ipfw pipe 2 config mask dst-ip 0xffffffff bw 1100Kbit/s
и всего 2 правила
/sbin/ipfw add 2000 pipe tablearg ip from any to «table(1)» via $IFACE out
/sbin/ipfw add 2100 pipe tablearg ip from «table(2)» to any via $IFACE in
шейпинг производится в этом случае на внутреннем интерфейсе
и все(!!)
включить инет юзеру можно добавив его айпишник в таблицы
в таком формате:
/sbin/ipfw table 1 add 192.168.100.1 1
/sbin/ipfw table 2 add 192.168.100.1 101
, где таблица 1 — для включения шейпинга входящего трафика, таблица 2 — для исходящего трафика, 192.168.100.1 — айпи юзера, 1 и 101 номера входящего и исходящего пайпа соответственно.
т.е. мы 2-мя правилами в фаере зашейпили всех наших юзеров. когда я это сделал в 2006-м нагрузка на машину уменьшилась раз в 5-7 (тогда я резко перешел от примерно 2000 правил к 15)
вы если что, обращайтесь в личку, с удовольствием поделюсь опытом.
например про бгп, про шейпинг на layer2, про сегментацию сети на вланы и т.п.
вот на одном из аплинков
5 minute input rate 201770000 bits/sec, 39021 packets/sec
5 minute output rate 411565000 bits/sec, 59521 packets/sec
И что подразумевается под понятием «средняя скорость»? Если я скачаю за месяц 0 байт, то средняя скорость за месяц у меня будет 0 Мб/с, что явно меньше тарифной 10 Мб/с. Мне идти жаловаться?
спасибо, буду пользоваться вашим сервисом.
каждый день на главной вижу очередной высер на тему Apple|iPhone|Антенна|Flash
вам яблоки жить мешают??
5 дополнительных secondary серверов — это круто.
а то пришлось искать в логах айпишник, с которого ваш днс ломился за зоной
kernel nat не пробовал, когда я натил, его еще не было.
но вот нат в pf — это супер-пупер, проц грузит гораздо меньше natd и работает на уровне ядра, а не в юзерспейсе.
ipnat же сцуко утекал памятью и вешал ядро при больших нагрузках (3000-4000 юзеров)
но самый кайф — это вообще избавиться от серых айпишников, раздать всем паблики и торжественно вырубить нат! что я и проделал года 3 назад, до сих пор блаженствую )
как минимум эти 6 правил
${fwcmd} add `expr $ID '*' 10 + 10001` allow icmp from $IP to me
${fwcmd} add `expr $ID '*' 10 + 10001` allow icmp from me to $IP
${fwcmd} add `expr $ID '*' 10 + 10002` pipe `expr $ID + 101` ip from $IP to any via $IFACE in
${fwcmd} add `expr $ID '*' 10 + 10003` pipe `expr $ID + 901` ip from any to $IP via $IFACE out
${fwcmd} add `expr $ID '*' 10 + 10004` allow ip from $IP to any
${fwcmd} add `expr $ID '*' 10 + 10005` allow ip from any to $IP
можно заменить двумя
${fwcmd} add `expr $ID '*' 10 + 10002` pipe `expr $ID + 101` ip from $IP to any via $IFACE in
${fwcmd} add `expr $ID '*' 10 + 10003` pipe `expr $ID + 901` ip from any to $IP via $IFACE out
установив net.inet.ip.fw.one_pass=1, тогда pipe будет работать как allow, т.е. пакет будет выбрасываться из ipfw при выполнении действия pipe.
в таком случае 2 нижних правила не нужны.
также icmp можно разрешить проще
${fwcmd} add 100 allow icmp from $local_net to me
${fwcmd} add 101 allow icmp from me to $local_net
как-то так.
в таком случае будет достаточно при онлайне абонента добавить правила
${fwcmd} add `expr $ID '*' 10 + 10002` pipe `expr $ID + 101` ip from $IP to any via $IFACE in
${fwcmd} add `expr $ID '*' 10 + 10003` pipe `expr $ID + 901` ip from any to $IP via $IFACE out
что сразу уменьшит общее число правил в 3 раза.
но все равно количество правил в ipfw будет зашкаливать. субъективно году в 2006-м на тогдашнем железе 1000 правил в ipfw добавляло 6-10 мс при прохождении пакета, т.е. пинг у людей зверски вырастал.
но можно пойти и дальше и ограничиться вообще двумя правилами для шейпинга любого количества абонентов, а именно использовать таблицы
вот простенький пример
входящие пайпы
/sbin/ipfw pipe 1 config mask dst-ip 0xffffffff bw 88Kbit/s
/sbin/ipfw pipe 2 config mask dst-ip 0xffffffff bw 1100Kbit/s
исходящие пайпы
/sbin/ipfw pipe 101 config mask src-ip 0xffffffff bw 88Kbit/s
/sbin/ipfw pipe 102 config mask src-ip 0xffffffff bw 1100Kbit/s
и всего 2 правила
/sbin/ipfw add 2000 pipe tablearg ip from any to «table(1)» via $IFACE out
/sbin/ipfw add 2100 pipe tablearg ip from «table(2)» to any via $IFACE in
шейпинг производится в этом случае на внутреннем интерфейсе
и все(!!)
включить инет юзеру можно добавив его айпишник в таблицы
в таком формате:
/sbin/ipfw table 1 add 192.168.100.1 1
/sbin/ipfw table 2 add 192.168.100.1 101
, где таблица 1 — для включения шейпинга входящего трафика, таблица 2 — для исходящего трафика, 192.168.100.1 — айпи юзера, 1 и 101 номера входящего и исходящего пайпа соответственно.
т.е. мы 2-мя правилами в фаере зашейпили всех наших юзеров. когда я это сделал в 2006-м нагрузка на машину уменьшилась раз в 5-7 (тогда я резко перешел от примерно 2000 правил к 15)
вы если что, обращайтесь в личку, с удовольствием поделюсь опытом.
например про бгп, про шейпинг на layer2, про сегментацию сети на вланы и т.п.