簡單來說我的iPhone己設為194,但連上網路一定會另跑一個D的rule,且固定在203,在ARP List中也會新增一條出來,若我手動Make Stratic且改為194,儲存後自動又新增一條同一MAC且IP在203,怎麼搞就是要去203,為什麼呢?搞好久搞不定,請教可能是何問題呢?
目前就二支iPhone及一台PC固定如此,偶爾我的MACBook也會如此.
應該跟我最近新裝的UBNT Unifi無關吧~那邊沒有ARP綁定,只是設MAC Filter而己.
目前看起來都還能正常工作,請高手幫我看看這些 port forwarding 的 rule 有沒有什麼問題
0 chain=dstnat action=dst-nat to-addresses=192.168.54.211 to-ports=5010 protocol=tcp dst-port=5010 log=no log-prefix=""
1 chain=dstnat action=dst-nat to-addresses=192.168.54.210 to-ports=5000 protocol=tcp dst-address-type=local dst-port=5000 log=no log-prefix=""
2 chain=dstnat action=dst-nat to-addresses=192.168.54.210 to-ports=6690 protocol=tcp dst-port=6690 log=no log-prefix=""
3 chain=dstnat action=dst-nat to-addresses=192.168.54.211 to-ports=51415 connection-limit=5000,32 protocol=tcp src-port="" dst-port=51415 port="" log=no log-prefix=""
4 chain=dstnat action=dst-nat to-addresses=192.168.54.211 to-ports=9091 connection-limit=500,32 protocol=tcp dst-port=9091 log=no log-prefix=""
5 ;;; NAT Lookback
chain=srcnat action=masquerade protocol=tcp src-address=192.168.54.0/24 dst-address=192.168.54.210 out-interface=bridge
6 ;;; NAT Lookback
chain=srcnat action=masquerade protocol=tcp src-address=192.168.54.0/24 dst-address=192.168.54.211 out-interface=bridge
7 ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface-list=WAN ipsec-policy=out,none
另外小弟最近在學習簡單的 QoS 想請問一下裡面有幾個讓我覺得很奇怪的 Queue 應該default 就設好的
一個是 interface Queues 跟 queue type 這兩個分類下的設定我都還是搞不太懂,而且也刪不掉
請問有高手知道這兩個下面的設定是什麼嗎?
interface queues
# INTERFACE QUEUE ACTIVE-QUEUE
0 ether1 only-hardware-queue only-hardware-queue
1 ether2 only-hardware-queue only-hardware-queue
2 ether3 only-hardware-queue only-hardware-queue
3 ether4 only-hardware-queue only-hardware-queue
4 ether5 only-hardware-queue only-hardware-queue
5 wlan1 wireless-default wireless-default
6 wlan2 wireless-default wireless-default
7 ;;; defconf
bridge no-queue no-queue
8 pppoe-out1 no-queue no-queue
Queue type
0 * name="default" kind=pfifo pfifo-limit=50
1 * name="ethernet-default" kind=pfifo pfifo-limit=50
2 * name="wireless-default" kind=sfq sfq-perturb=5 sfq-allot=1514
3 * name="synchronous-default" kind=red red-limit=60 red-min-threshold=10 red-max-threshold=50 red-burst=20 red-avg-packet=1000
4 * name="hotspot-default" kind=sfq sfq-perturb=5 sfq-allot=1514
5 * name="pcq-upload-default" kind=pcq pcq-rate=0 pcq-limit=50KiB pcq-classifier=src-address pcq-total-limit=2000KiB pcq-burst-rate=0 pcq-burst-threshold=0 pcq-burst-time=10s pcq-src-address-mask=32
pcq-dst-address-mask=32 pcq-src-address6-mask=128 pcq-dst-address6-mask=128
6 * name="pcq-download-default" kind=pcq pcq-rate=0 pcq-limit=50KiB pcq-classifier=dst-address pcq-total-limit=2000KiB pcq-burst-rate=0 pcq-burst-threshold=0 pcq-burst-time=10s pcq-src-address-mask=32
pcq-dst-address-mask=32 pcq-src-address6-mask=128 pcq-dst-address6-mask=128
7 * name="only-hardware-queue" kind=none
8 * name="multi-queue-ethernet-default" kind=mq-pfifo mq-pfifo-limit=50
9 * name="default-small" kind=pfifo pfifo-limit=10
敗家是種美德~~
chuhao wrote:
不知道這邊有沒有熟...(恕刪)
NAT port forwarding:
3設onnection-limit=5000,32 是設置映射同一來源連線數量最多只能有5000筆...
但同一來源5000筆連線數個人覺得不可能,又不是被ddos攻擊的情況,所以意義不大.
0,1,2,3,4的映射設置,個人覺得還需加設dst-address-type=local比較恰當.
限制映射的來源在Router,不含內網內的電腦
5,6為NAT Loopbak:
指定"目的地址"在192.168.54.210裡已達到Loopback目的,
非要再強調192.168.54.210在bridge網域嗎? 所以out-interface=bridge可以拿掉
7偽裝:
您有使用ipsec vpn嗎? 不然怎會去設置ipsec-policy=out,none
這開關是用來針對ipsec封包:
in:在chain=prerouting/input/forward生效
out:在chain=postrouting/output/forward生效
不曉得用途請把它關閉吧...
----------------------------------------
Queue type(Queue演算法):
PFIFO/BFIFO:
PFIFO和BFIFO的區別在於一個是以資料包為單位,另一個是以位元組為單位.
用來定義一個FIFO佇列可以容納多少資料的,當該佇列容納資料滿後,
不能再加入排隊,包/位元組會被丟棄,佇列長度可以增加,但過大會增加處理時間.
SFQ:
隨機公平排序(SFQ)不會一開始就對流量限制.
它的主旨是當你的連接完全滿的時候均衡業務流(TCP會話或UDP流).
SFQ的公平性是由散列法和round-robin演算法保證的.
散列演算法把會話流分成一個有限數量的子佇列.
在sfq-perturb時間之後散列演算法改變並劃分會話流為其他子佇列,
Round-robin演算法把從每個子佇列的pcq-allot位元組按照順序出佇列.
PCQ:
為了解決SFQ的不完美,每次連接排序Per Connection Queuing(PCQ)便產生了.
它是唯一一種能限流的無等級排序類型.它是一種去掉了隨機特性的進化版SFQ.
PCQ 也會根據pcq-classifier參數產生子佇列.
每個子佇列都有一個pcq-rate的資料率限制和pcq-limit大小的資料包.
PCQ 佇列的總大小不能大於pcq-total-limit包.
RED:
隨機早先探測(RED)是一種通過控制平均佇列長度避免網路擁塞的排序機制.
當平均佇列長度達到red-min-threshold時,RED 隨機選擇該丟棄哪個包.
當平均佇列長度變長時,堆砌多少包數的可能性會增加.
如果平均佇列長度達到red-max-threshold,則丟棄該包.
儘管如此,也存在真實佇列長度(非平均的)遠大於red-max-threshold時,
丟棄所有超過red-limit的資料包的情況.
Burst:
脈衝串用來在一段很短的時間允許更高資料率.
每1/16 burst-time時間,
路由器都會計算每個類在上一個burst-time時間的平均數據率.
如果這個平均數據率小於burst-threshold,
脈衝串就會被啟用且實際資料率達到burst-limit bps,
否則實際資料率將跌至max-limit或 limit-at.
讓我們考慮如果我們有個 max-limit=256000, burst-time=8,
burst-threshold=192000 以及burst-limit=512000 的設置情況.
當一個用戶通過 HTTP 下載一個檔,我們可以觀察到這樣的現象:
內文搜尋
從 APP 打開
X