DiffServ in Firewall Regeln

[SunSeb]

Moin,

ich möchte die PMTU reduzieren, wenn Packete mit einem Wert von 0x18 im DSCP-Feld übertragen werden.
Dazu habe ich folgende Regel erstellt

Code: Alles auswählen

Name                              Prot.       Quelle
        Ziel                                      Aktion
            verknu  Prio   Aktiv      Stateful  Rtg-Tag  Kommentar

--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
-----------------------------------------
RTP                               UDP         ANYHOST
        ANYHOST                                   %Fp256 @d0x18
            nein    1      ja         nein      0

Es werden aber auch Packete erkannt, die diese Kennung nicht haben (mit 0x10):

Code: Alles auswählen

[Firewall] 2005/08/05 08:43:20,450
Packet matched rule RTP
DstIP: 10.1.1.101, SrcIP: 217.6.167.80  DSCP/TOS: 0x10
Prot.: UDP (17)  DstPort: 5060, SrcPort: 5060

Warum werden auch die anderen Packete "getriggert"?

Gruß,
SEBastian

[maikel_b]

Hi SunSeb,

Es werden aber auch Packete erkannt, die diese Kennung nicht haben (mit 0x10):

Warum werden auch die anderen Packete "getriggert"?

naja ich sag mal ganz vorsichtig, dass nicht die Pakete die du fragmentieren möchtest fragmentiert werden sondern alle anderen.
So konfiguriert man das nämlich innerhalb einer firewall-regel.

Wenn man VoIP Pakete bevorzugt behandeln will und die sprachqualität verbessern möchte ist das ne ganz gute sache. Man geht hin und priorisiert alle Pakete und fragmentiert alle anderen. Somit erhält man eine deutlich bessere Sprachqualität. Die Pakete die jedoch mit dieser Regel priorisiert werden, werden jedoch nicht fragmentiert.

Laut IP-Router Trace sieht das so aus, dass du gerne VoIP machen möchstes.
Warum willst du denn genau diese Pakete fragmentieren ?

Gruß
maikel_b

[SunSeb]

N'Abend,

Es werden aber auch Packete erkannt, die diese Kennung nicht haben (mit 0x10):

Warum werden auch die anderen Packete "getriggert"?

naja ich sag mal ganz vorsichtig, dass nicht die Pakete die du fragmentieren möchtest fragmentiert werden sondern alle anderen.
So konfiguriert man das nämlich innerhalb einer firewall-regel.

Danke für deine Antwort. Eigentlich ist mir dieser Zusammenhang auch klar.

Aber: Die Packete des VOIP-Telefones haben im DSCP-Feld die Kennung 0x18. Daher habe ich mir die Regel RTP erstellt, die bei der Kennung 0x18 die anderen Packete fragmentiert. Also müsste die Firewall-Regel doch bei Packeten mit DSCP 0x18 matchen und die anderen Packete framentieren. Im Firewall Trace "matcht" die Regel aber bei Packeten mit DSCP 0x10. (s.o.)
Oder verstehe ich das falsch

Danke,
SEBastian

[backslash]

Hi SunSeb

Aber: Die Packete des VOIP-Telefones haben im DSCP-Feld die Kennung 0x18. Daher habe ich mir die Regel RTP erstellt, die bei der Kennung 0x18 die anderen Packete fragmentiert. Also müsste die Firewall-Regel doch bei Packeten mit DSCP 0x18 matchen und die anderen Packete framentieren. Im Firewall Trace "matcht" die Regel aber bei Packeten mit DSCP 0x10. (s.o.)
Oder verstehe ich das falsch

Die Regel matcht erstmal aufgrund der Adressen. Nach einem Match werden die Aktionen ausgeführt, an die zusätzliche Bedingungen gehängt werden können. In deinem Fall hast du nur Aktionen für DSCP 0x18 eingetragen, weshalb es für das Paket keine passende Aktion gibt. Daher müßte eigentlich im Firewall-Trace weiterhin gestanden haben, daß er den nächsten Filter ausprobiert ("test next filter (no matching condition)")

Gruß
Backslach

[SunSeb]

Hallo Backslash,

danke - jetzt interpretiere ich den Firewall-Trace richtig und die Ausgaben machen Sinn. Die Zeile "test next filter (no matching condition)" wurde auch ausgegeben, hatte ich aber nicht "gequotet", da ich sie nicht richtig zugeordnet hatte...

Was wäre man ohne dieses Forum...

Danke und schönen Tag,
SEBastian