freebsd ipfw+ipnat+dummynet 網(wǎng)速慢

robinzhao518

同學(xué)們幫我看看 我做的freebsd7.0 ipfw+ipnat+dummynet  

下面是IPFW的規(guī)則
#add deny log ip from any to any ipoptions rr
#add deny log ip from any to any ipoptions ts
#add deny log ip from any to any ipoptions ssrr
#add deny log ip from any to any ipoptions lsrr
#add deny tcp from any to any in tcpflags syn,fin
#########re1 == WAN
#########re0 == LAN
add divert 8668 ip from any to any via re1  #WAN PORT
#add allow tcp from any to me 80
#add allow tcp from any to me 443
#add allow tcp from any to me 25
#add allow tcp from any to me 110
#######dummynet
pipe 1 config bw 50KByte/s
pipe 2 config bw 50KByte/s
add pipe 1 ip from 192.168.1.191 to any out
add pipe 2 ip from any to 192.168.1.191 in

### 192.168.10.2 # 3-4#
pipe 3 config bw 50KByte/s
pipe 4 config bw 50KByte/s
add pipe 3 ip from 192.168.10.2 to any out
add pipe 4 ip from any to 192.168.10.2 in

### 192.168.10.3 # 5-6#
pipe 5 config bw 50KByte/s
pipe 6 config bw 50KByte/s
add pipe 5 ip from 192.168.10.3 to any out
add pipe 6 ip from any to 192.168.10.3 in
。。。。
。。。。
。。。。
#######private network
add allow all from any to any via lo0
############lan #############
############ dns ###########
add allow udp from any 53 to me in recv x10
add allow udp from any 53 to 124.193.200.70
add allow udp from any to any out
add allow udp from any to any in
############
add check-state
add allow tcp from any to any out setup keep-state
add allow tcp from any to any out
add allow udp from any to any out
add allow gre from any to any out setup keep-state
add allow gre from any to any out
add allow udp from any 53 to any
add allow icmp from any to any
add allow all from any to 192.168.10.0/24
add allow all from 192.168.10.0/24 to any
add 65534 deny all from any to any
#add allow icmp from any to any icmptypes 3,4
#add allow icmp from any to any icmptypes 8 out
#add allow icmp from any to any icmptypes 0,11 in
用公司其他機(jī)器測(cè)試，下載速度在50K左右，但打開某些網(wǎng)頁(yè)速度很慢，而且還有沒限制的機(jī)器上網(wǎng)也很慢，不知道是不是和規(guī)則有關(guān)，請(qǐng)高手指點(diǎn)

lsstarboy

1、都用ipfw了，為什么還要用ipnat？
2、divert natd的兩個(gè)方向最好分開。
3、192.168.10.3和192.168.10.4，192.168.1.191配置基本上差不多，為什么不合到一塊去？
4、限速時(shí)，最好指明xmit和recv。
5、內(nèi)網(wǎng)有點(diǎn)亂，估計(jì)65534規(guī)則沒什么用途。因?yàn)榛�本上都allow了。
6、內(nèi)網(wǎng)中，就別用keep-state了，對(duì)你的規(guī)則好像沒什么用途。

robinzhao518

用ipnat做內(nèi)網(wǎng)服務(wù)器的端口映射，用ipfw做流量控制和過(guò)濾，但是做了流量控制后延時(shí)增大到50ms左右，特別是當(dāng)打開網(wǎng)站的時(shí)候，網(wǎng)速特別慢，刪除策略后恢復(fù)正常，請(qǐng)問是什么原因?qū)е卵訒r(shí)增大？使用的策略是否有問題？
# ping www.sina.com
PING jupiter.sina.com.cn (202.108.33.32): 56 data bytes
64 bytes from 202.108.33.32: icmp_seq=0 ttl=241 time=45.074 ms
64 bytes from 202.108.33.32: icmp_seq=1 ttl=241 time=45.916 ms
64 bytes from 202.108.33.32: icmp_seq=2 ttl=241 time=47.338 ms
64 bytes from 202.108.33.32: icmp_seq=3 ttl=241 time=45.575 ms
64 bytes from 202.108.33.32: icmp_seq=4 ttl=241 time=45.087 ms

lsstarboy

限速增大延時(shí)正常，因?yàn)槊總�(gè)流量都要通過(guò)一個(gè)管道或隊(duì)列。

網(wǎng)速慢不正常。

看你的ipfw規(guī)則，也用ipfw做nat了，所以哪個(gè)地方肯定出問題。

現(xiàn)在的ipfw nat性能也不錯(cuò)，ipnat和ipfw沒有很大的優(yōu)勢(shì)，既然用了ipfw，可以考慮不用ipnat了。

robinzhao518

這是我做的NAT 請(qǐng)問在ipfw 里怎么做單獨(dú)的內(nèi)網(wǎng)IP端口映射呀？我不想把整個(gè)IP映射出去
# cat natd.conf
same_ports                      yes
use_sockets                     yes
redirect_port tcp 192.168.10.208:443 124.193.X.X:443
redirect_port tcp 192.168.10.208:25 124.193.X.X:25
redirect_port tcp 192.168.10.208:110 124.193.X.X:110
redirect_port tcp 192.168.10.250:53 124.193.X.X:53
redirect_port udp 192.168.10.250:53 124.193.X.X:53
redirect_port tcp 192.168.10.250:80 124.193.X.X:80
#

robinzhao518

你有MSN嗎？ 可以加MSN嗎？ robinzhao518@hotmail.com

lsstarboy

還是看看ipfw的man吧。

http://blog.chinaunix.net/u1/38866/showart_1149636.html

雖然現(xiàn)在流行pf，但是由于我一開始用ipfw，所以也不想換了。