» MikroTik RouterOS (часть 2)

delitoff
может блок питания... не хороший.
aKdidas
если прокси не используется, то точно не винт. И можно попробовать наоборот: если все еще не используется прокси - то использовать его

я даже не вкурсах что такое прокси, походу его на Мт нету =)

aKdidas
ip web-proxy
or
ip proxy
что то должно быть.

Подскажите, плз, как порешать вопрос.
Есть роутер, который раздаёт клиентам интернет по PPTP.
Сделал Queue Tree для дележки траффика по примеру, приведенному в документе QoS Megis 09. Но потом озадачился: там две главных очереди на upload/download и они базируются (parent) на Interface Queues, а те в свою очередь привязаны к существующим статическим (физ.) интерфейсам. А PPTP-интерфейсы - динамические.
Как бы сделать, чтобы корневые очереди ориентировались на PPTP.

Или можно просто использовать Global Input и Global Output вместо указания статических (физ.) интерфейсов, т.к. внутренние подочериди upload/download ориентируются по source-address-list клиентов ?

з.ы. Хотя, правильнее, пожалуй, использовать в обоих случаях Global-Total ?

gamespb спасибо за помощь, зашол в IP - WEB PROXY абсолютно ничего нету - ничё не стоит в настройках.

aKdidas
пинг, трасировка, патчпинг?

Может в свиче дело?

Добавлено:
delitoff
пинг, трасировка, патчпинг?

Может в свиче дело?
)

Iliasla
global-in и global-out вполне подойдут. главное - метить только нужные пакеты (т.е., в частности, разделять аплоад и даунлоад)

Chupaka
Еще пару вопросов: немного не понял что значит обработать limit'ом?
И второе как просто включить роутинг между сетевыми картами что бы весь трафик не маскарадился а просто транслировался в другую подсеть?

Подскажите, что делаю не так?
Поставил с нуля микротик на тестовый комп.
Нужен web-proxy.
2 интерфейса, ether1 и ether2
На ether1 поднят рррое-клиент и смотрит на адсл модем в режиме бриджа.
К ether2 подключен хост-клиент.
/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1
С микротика icmp - ping,tracert проходят
В Access List хост-клиент добавлен.
Основным шлюзом автоматом прописывается шлюз через рррое.
Но хосте-клиенте ничего не работает даже icmp.
Остальной конфиг по дефолту.

Цитата:

что значит обработать limit'ом?

использовать правило 'limit' в файрволе


Цитата:

как просто включить роутинг между сетевыми картами что бы весь трафик не маскарадился а просто транслировался

надо не добавлять правило для маскарада, просто навесить адреса на интерфейсы

з.ы. за "не маскарадился а просто транслировался" отдельное спасибо... надеюсь, это не та трансляция, которая NAT (Network Address Translation), а просто пересылка

muk as

Цитата:

Mikrotik Adapter In/g44v(rb44g)
кто использовал? ваши мнения. в системе отображаются как 4 независимые четрые сетевки?

Адаптеры интересные, но неоправданно дорогие...
Состоит из чипа PCI-моста, расширяющего PCI (по стандарту PCI держит 4 слота, но Вы помните, что на многих мамках было и больше) и подключенных к нему дешевых сетевух.
VIA Rhine III Микротиком используются как простые софтовые, типа Realtek 8139, ну а гигабитные RTL8169 - почти в полной мере. Кстати 8169 при подключении гигабитных линков прилично начинают греться, даже вхолостую.
Пропускной способности PCI (133 MB/s теоретический максимум, реально 110-125 MB/s) хватит на 4 100-мегабитных чипа, ну а гигабитные сетевухи пропускную способность не сильно повысят, зато разгрузят процессор от обработки пакетов.
В Микротике эти сетевухи видятся как 4 независимые.

aKdidas
У микротика два прокси - один просто Proxy, другой Web-Proxy. Если прокси использует этот винт - однозначно проблема в нём. Впрочем. по шуму (треску) можно услышать. Надо ставить современный винт с малым временем доступа (WD VelociRaptor или вообще SSD), если использовать недорогие бытовые винты, то хорошим способом будет установить HPA-ограничение на внутренние дорожки винта http://www.thg.ru/storage/short_stroking/index.html для повышения производительности.
Но при высокой нагрузке лучше использовать отдельную машину со Squid-ом.
Если прокси не используется - смотрите сколько сессий установлено, не забивает ли торрент-траффик. Поменяйте временно сетевухи пока на простые Realtek 8139 (самые беспроблемные) или 8169, т.к. с некоторыми интелевскими Микротик может работать некорректно.

Цитата:

вынимаю кабло с Мт вставляю на прямую в 1 пк всё норм то есть провайдер в норме

Это ничего не доказывает, т.к. Вы при этом отключаете остальных потребителей.

JackNE

Цитата:

/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1

Надо натить PPPoE интерфейс, ведь интернет-траффик идёт по нему. Добавьте его, пока он включён.
А ether1 служит только для связи с модемом и работы PPPoE поверх него.

Chupaka
Mangle по адресу потребителя (исх./вход) плюс Srs/Dst Address в правилах Queue Tree - же вроде позволяет правильно обрабатывать Upload/Download? В QoS Megis создаваемые правила так и поименованы up/down..
Просто я пока в QoS - нуб..
Ещё поразмышлял, судя по QoS Megis, правильнее для ограничения юзверей использовать Global-Out, а вот Global-In нужно использовать для управления приоритезацией траффика.

Кстати QoS Megis - очень полезное руководство. Можно сказать, букварь QoS на Миткротике. Правда недосказанное до конца (где рассматривается приоритезация).
http://mum.mikrotik.com/presentations/CZ09/QoS_Megis.pdf

а можно примеры? Просто по словам довольно сложно понять что конкрнетно нужно сделать - на словах вроде все понятно а вот на деле как сделать? так и в лужу сразу.
Да просто пересылался, если можно то на примере двух сетей 192,168,0,254/24 и 10,0,1,254/24

JackNE

Цитата:

out-interface=ether1

непрвильно, надо out-interface=pppoe-out1


Добавлено:

Цитата:

У микротика два прокси - один просто Proxy, другой Web-Proxy

как давно это было %) сейчас уже только один )))


Цитата:

если можно то на примере двух сетей 192,168,0,254/24 и 10,0,1,254/24

/ip address add address=192.168.0.254/24 interface=ether1
/ip address add address=192.168.1.254/24 interface=ether2
всё, поздравляю, машинка маршрутизирует две подсети

главное - не забыть указать эти адреса шлюзами на компах пользователей

Vedmich
Микротик по-умолчанию роутит пакеты между всеми интерфейсами.
Помешать роутингу могут правила файрволла или создание бриджа.

Вот это я как раз-таки и прочитал в инструкции по микротику на сайте, но пока не создав NAT трансляцию маскорадинг не мог пропинговать подсети между собой.

Цитата:

/ip address add address=192.168.0.254/24 interface=ether1

Это я все прекрасно понимаю - и без этой строчки не работала бы в принципе сеть.
Как отметил Iliasla - правил в файрволе нету, делаю можно сказать по step-by-step http://www.mikrotik.com/testdocs/ros/2.9/guide/basic.php дохожу до шага Testing the Network Connectivity как там и написано не могу пинговать подсети. Пока как после описано не сделаю NAT, и только после этого идет коннект между подсетями.

Vedmich
У тебя в сетях маршрутизатором является этот узел?
У тебя в таблице маршрутизации на микротике какие записи?
У тебя в таблице файрвола на микротике какие правила?
У Тебя адреса на интерфейсах и маски какие?

Цитата:

У тебя в сетях маршрутизатором является этот узел?

Тут наверное вопрос немного не правильно задан - для сетей основным шлюзом служит маршрутизатор.
Наверное опишу немного по другому.
для этой схемы: http://www.mikrotik.com/testdocs/ros/2.9/img/basic3.jpg
На машине из сети Public c именем server у меня следующие параметры:
10,0,0,4
255,255,255,0
10,0,0,217
Для машины из другой подсети у меня следующие параметры:
192,168,0,1
255,255,255,0
192,168,0,254
Естественно для микротика была назначена следующие параметры:
ip address> add address 10.0.0.217/24 interface Public
ip address> add address 192.168.0.254/24 interface Local
В таблице файрвола как я уже говорил выше никаких правил не создавал, микротик с нуля.
Там же в Basic Guide тоже написано что не пингуется а потом типа если хотите то они вводят маскорадинг или же добавить стастический маршрут.

Цитата:

You cannot access anything beyond the router (network 10.0.0.0/24 and the Internet), unless you do the one of the following:
- Use source network address translation (masquerading) on the MikroTik router to 'hide' your private LAN 192.168.0.0/24 (see the information below), or
- Add a static route on the ISP's gateway 10.0.0.1, which specifies the host 10.0.0.217 as the gateway to network 192.168.0.0/24. Then all hosts on the ISP's network, including the server, will be able to communicate with the hosts on the LAN

Как сделать последнее???Наверное это и будет ответом на мой вопрос.
Только надеюсь не нужно каждому пользователю сети прописывать route add и т.д.?? Важно не вмешиваться в функционирование пользовательских машин для них это должно быть не заметно и прозрано, вот как NAT.

Из Public пингуется 192.168.0.254 а из Local 10.0.0.217 ?
Лишних маршрутов нет?

Цитата:

микротик с нуля

А команда /system reset была выполнена до начала настроек?

Цитата:

А команда /system reset была выполнена до начала настроек?

Черт получилось, да действительно после сброса всех настроек подсети начали пинговаться без NAT, но одна довольно большая проблема у меня уже стоит сервер настроены и работает именно с помощью NAT, в нем внесено более 500 IP вв адрес лист и теперь стоит задача как импортировать этот адрес лист не импортируя другие настройки, или же какие настройки по дефолту нужно изменить что бы заработала маршрутизация без NAT.

Прошу Вас помочь натолкнуть меня на правильное решение нижеследующей задачи:
Есть три подсети за MikroTik RouterOS 3.9:
HotSpot---192.168.20.0/24 GW 192.168.20.1
Nord-------192.168.30.0/24 GW 192.168.30.1
Zavod-----192.168.50.0/24 GW 192.168.50.1
Получают настройки сети по DHCP и после NAT уходят на провайдера
Out---------192.168.88.10/24 GW 192.168.88.1
Firewall и SrcNat работают с Address-list
Дополнительно интерфейсы Nord и Out объединены в Bridge для реальных IP
Скорость режется в Simple Queues (512k 1m 2m 3m 4m 5m) в общей сложности порядка 40 абонентов, многие пользуются P2P
Необходимо настроить шейпер с приоритетом Voce и HTTP трафика и привязать все через Address-list например:
192.168.20.10-----512k
192.168.20.17---- 4m
192.168.20.100--- 1m
192.168.30.19----- 5m
192.168.50.33------4m
То есть при добавлении клиента ограничиваться только добавлением его в Address-list и выбирать Name соответственно его договорной скорости
Если где-то ранее с разжевыванием описывалась схема, подобная моей прошу Вас дать мне ссылку.
У меня затык произошел после маркировки соединений и пакетов не понимаю, как к очередям привязать Address-list с учетом скорости абонента

Vedmich
Пропишите на серваке шлюзом провайдера и добавьте маршрут для доступа через микротик во внутреннюю сеть. А на микротике сделайте обычный SNAT (маскарадинг) для доступа внутренней сети во внешнюю/интернет.
/ip firewall address-list export file=myaddrlist
/import myaddrlist

voki2009
Чуть выше я давал ссылку на QoS (Megis) - посмотрите, может лучше сделать QoS через Queue Trees, чем через Simple Queues.
В wiki.mikrotik.com посмотрите по скриптам (Load Balance/Multiple Gateways) - что-то подходящее я там видел, по добавлению IP в Address lists.

Цитата:

Iliasla

Цитата:

лучше сделать QoS через Queue Trees, чем через Simple Queues

Так я и хочу сделать QoS через Queue Trees с pcq,
но потом чтобы оператор только добавлял пользователей в Address-list и выбирал скорость
Спасибо за ссылку очень подробно описано и схематично представлено

Iliasla когда конектятся юзеры на винту слышно как бы щёлк а так работает как простой винт поставил IDE FLASH картина не изменилась, днём всё работает нормально а это 40 - 80 активов а с 120 - 140 активов начинается...пишешь к примеру www.urod.ru оно стоит в режимы ожидание, быстро делаешь ПУСК-ВЫПОЛНИТЬ-ping ya.ru -t и страница мгновенно грузится...будто я пингом пробиваю канал.

faust72rus пинги абсолютно нормальные как с клиент машины так и с Мт без потерь а трасировка, патчпинг я такого ещё делать не умею...

aKdidas
IP - FireWal - Mangle: пусто? или что то есть?

да на кажного клиента change MSS - forward - 6 (tcp) - in + out interface правельно?

aKdidas
В принципе правильно, но куча правил MSS грузит процессор роутера.
Лучше сделать общую для всех пару правил (пример с адресами PPP пула):

/ip firewall mangle
add action=change-mss chain=forward comment="change MSS out" disabled=no new-mss=1360 protocol=tcp src-address=10.209.0.0/16 tcp-flags=syn tcp-mss=1361-65535
add action=change-mss chain=forward comment="change MSS in" disabled=no dst-address=10.209.0.0/16 new-mss=1360 protocol=tcp tcp-flags=syn tcp-mss=1361-65535

А в /ppp profiles в нужном профиле отключить Change TCP MSS

Ну и шейпер надо уже настраивать при таком количестве юзверей. Выше я дал ссылку на QoS (Megis).

Iliasla и Chupaka
вам спасибо, со всем разобрался теперь работает маршрутизация, и лист
импортировал-экспортировал это все до безумия просто. Но вопрос все равно остается в голове какие настройки после установки не дают работать маршрутизации?

Iliasla ты б не мог помочь мне удалённо настроить за отдельную плату за твою работу.

Цитата:

Но вопрос все равно остается в голове какие настройки после установки не дают работать маршрутизации?

телепатов нет =) "неработающий" конфиг в студию - и ответы не заставят себя долго ждать

После ознакомления с предложенной инструкцией
http://mum.mikrotik.com/presentations/CZ09/QoS_Megis.pdf
прошу Вас помочь разобраться, правильно ли я все понял
с написанием шейпера при выделении скорости
Очень не понятно с queue tree к каким интерфейсам привязывать
при использовании src-nat и как потом к этому добавить
правила приоритет по виду трафика
MikroTik RouterOS 3.9

interface print
Flags: X - disabled, R - running, D - dynamic, S - slave
# NAME TYPE MTU
0 R OUT ether 1500
1 R HotSpot ether 1500
2 R Nord ether 1500
3 R Zavod3 ether 1500

ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.20.1/24 192.168.20.0 192.168.20.255 HotSpot
1 192.168.30.1/24 192.168.30.0 192.168.30.255 Nord
2 192.168.50.1/24 192.168.50.0 192.168.50.255 Zavod3
5 192.168.88.10/24 192.168.88.0 192.168.88.255 OUT

ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; 512k
chain=srcnat action=src-nat to-addresses=192.168.88.10 to-ports=0-65535
src-address-list=512k

1 ;;; 1M
chain=srcnat action=src-nat to-addresses=192.168.88.10 to-ports=0-65535
src-address-list=1M

2 ;;; 2M
chain=srcnat action=src-nat to-addresses=192.168.88.10 to-ports=0-65535
src-address-list=2M

3 ;;; 3M
chain=srcnat action=src-nat to-addresses=192.168.88.10 to-ports=0-65535
src-address-list=3M

4 ;;; 4M
chain=srcnat action=src-nat to-addresses=192.168.88.10 to-ports=0-65535
src-address-list=4M

5 ;;; 5M
chain=srcnat action=src-nat to-addresses=192.168.88.10 to-ports=0-65535
src-address-list=5M

ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; con-src-512k
chain=forward action=mark-connection new-connection-mark=con-src-512k passthrough=yes src-address-list=512k

1 ;;; pac-src-512k
chain=forward action=mark-packet new-packet-mark=pac-src-512k passthrough=no connection-mark=con-src-512k

2 ;;; con-dst-512k
chain=forward action=mark-connection new-connection-mark=con-dst-512k passthrough=yes dst-address-list=512k

3 ;;; pac-dst-512k
chain=forward action=mark-packet new-packet-mark=pac-dst-512k passthrough=no connection-mark=con-dst-512k

4 ;;; con-src-1M
chain=forward action=mark-connection new-connection-mark=con-src-1M passthrough=yes src-address-list=1M

5 ;;; pac-src-1M
chain=forward action=mark-packet new-packet-mark=pac-src-1M passthrough=no connection-mark=con-src-1M

6 ;;; con-dst-1M
chain=forward action=mark-connection new-connection-mark=con-dst-1M passthrough=yes dst-address-list=1M

7 ;;; pac-dst-1M
chain=forward action=mark-packet new-packet-mark=pac-dst-1M passthrough=no connection-mark=con-dst-1M

8 ;;; con-src-2M
chain=forward action=mark-connection new-connection-mark=con-src-2M passthrough=yes src-address-list=2M

9 ;;; pac-src-2M
chain=forward action=mark-packet new-packet-mark=pac-src-2M passthrough=no connection-mark=con-src-2M

10 ;;; con-dst-2M
chain=forward action=mark-connection new-connection-mark=con-dst-2M passthrough=yes dst-address-list=2M

11 ;;; pac-dst-2M
chain=forward action=mark-packet new-packet-mark=pac-dst-2M passthrough=no connection-mark=con-dst-2M

12 ;;; con-src-3M
chain=forward action=mark-connection new-connection-mark=con-src-3M passthrough=yes src-address-list=3M

13 ;;; pac-src-3M
chain=forward action=mark-packet new-packet-mark=pac-src-3M passthrough=no connection-mark=con-src-3M

14 ;;; con-dst-3M
chain=forward action=mark-connection new-connection-mark=con-dst-3M passthrough=yes dst-address-list=3M

15 ;;; pac-dst-3M
chain=forward action=mark-packet new-packet-mark=pac-dst-3M passthrough=no connection-mark=con-dst-3M

16 ;;; con-src-4M
chain=forward action=mark-connection new-connection-mark=con-src-4M passthrough=yes src-address-list=4M

17 ;;; pac-src-4M
chain=forward action=mark-packet new-packet-mark=pac-src-4M passthrough=no connection-mark=con-src-4M

18 ;;; con-dst-4M
chain=forward action=mark-connection new-connection-mark=con-dst-4M passthrough=yes dst-address-list=4M

19 ;;; pac-dst-4M
chain=forward action=mark-packet new-packet-mark=pac-dst-4M passthrough=no connection-mark=con-dst-4M

20 ;;; con-src-5M
chain=forward action=mark-connection new-connection-mark=con-src-5M passthrough=yes src-address-list=5M

21 ;;; pac-src-5M
chain=forward action=mark-packet new-packet-mark=pac-src-5M passthrough=no connection-mark=con-src-5M

22 ;;; con-dst-5M
chain=forward action=mark-connection new-connection-mark=con-dst-5M passthrough=yes dst-address-list=5M

23 ;;; pac-dst-5M
chain=forward action=mark-packet new-packet-mark=pac-dst-5M passthrough=no connection-mark=con-dst-5M

24 X ;;; unmarked traffic
chain=forward action=log log-prefix=""""


queue tree print
Flags: X - disabled, I - invalid
0 name="ALL-DST" parent=OUT packet-mark="" limit-at=0 queue=default
priority=1 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s

1 name="ALL-SRC" parent=global-in packet-mark="" limit-at=0 queue=default
priority=1 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s

2 name="dst-512k" parent=ALL-DST packet-mark=pac-dst-512k limit-at=0
queue=dst-512k priority=8 max-limit=512000 burst-limit=0
burst-threshold=0 burst-time=0s

3 name="dst-1M" parent=ALL-DST packet-mark=pac-dst-1M limit-at=0
queue=dst-1M priority=8 max-limit=1000000 burst-limit=0
burst-threshold=0 burst-time=0s

4 name="dst-2M" parent=ALL-DST packet-mark=pac-dst-2M limit-at=0
queue=dst-2M priority=8 max-limit=2000000 burst-limit=0
burst-threshold=0 burst-time=0s

5 name="dst-3M" parent=ALL-DST packet-mark=pac-dst-3M limit-at=0
queue=dst-3M priority=8 max-limit=3000000 burst-limit=0
burst-threshold=0 burst-time=0s

6 name="dst-4M" parent=ALL-DST packet-mark=pac-dst-4M limit-at=0
queue=dst-4M priority=8 max-limit=4000000 burst-limit=0
burst-threshold=0 burst-time=0s

7 name="dst-5M" parent=ALL-DST packet-mark=pac-dst-5M limit-at=0
queue=dst-5M priority=8 max-limit=5000000 burst-limit=0
burst-threshold=0 burst-time=0s

8 name="src-512k" parent=ALL-SRC packet-mark=pac-src-512k limit-at=0
queue=src-512k priority=8 max-limit=512000 burst-limit=0
burst-threshold=0 burst-time=0s

9 name="src-1M" parent=ALL-SRC packet-mark=pac-src-1M limit-at=0
queue=src-1M priority=8 max-limit=1000000 burst-limit=0
burst-threshold=0 burst-time=0s

10 name="src-2M" parent=ALL-SRC packet-mark=pac-src-2M limit-at=0
queue=src-2M priority=8 max-limit=2000000 burst-limit=0
burst-threshold=0 burst-time=0s

11 name="src-3M" parent=ALL-SRC packet-mark=pac-src-3M limit-at=0
queue=src-3M priority=8 max-limit=3000000 burst-limit=0
burst-threshold=0 burst-time=0s

12 name="src-4M" parent=ALL-SRC packet-mark=pac-src-4M limit-at=0
queue=src-4M priority=8 max-limit=4000000 burst-limit=0
burst-threshold=0 burst-time=0s

13 name="src-5M" parent=ALL-SRC packet-mark=pac-src-5M limit-at=0
queue=src-5M priority=8 max-limit=5000000 burst-limit=0
burst-threshold=0 burst-time=0s


queue type print
0 name="default" kind=pfifo pfifo-limit=50

1 name="ethernet-default" kind=pfifo pfifo-limit=50

2 name="wireless-default" kind=sfq sfq-perturb=5 sfq-allot=1514

3 name="synchronous-default" kind=red red-limit=60 red-min-threshold=10
red-max-threshold=50 red-burst=20 red-avg-packet=1000

4 name="hotspot-default" kind=sfq sfq-perturb=5 sfq-allot=1514

5 name="ALL-SRC" kind=pcq pcq-rate=0 pcq-limit=50
pcq-classifier=src-address,src-port pcq-total-limit=2000

6 name="ALL-DST" kind=pcq pcq-rate=0 pcq-limit=50
pcq-classifier=dst-address,dst-port pcq-total-limit=2000

7 name="src-512k" kind=pcq pcq-rate=512000 pcq-limit=50
pcq-classifier=src-address pcq-total-limit=2000

8 name="dst-512k" kind=pcq pcq-rate=512000 pcq-limit=50
pcq-classifier=dst-address pcq-total-limit=2000

9 name="dst-1M" kind=pcq pcq-rate=1000000 pcq-limit=50
pcq-classifier=dst-address pcq-total-limit=2000

10 name="dst-2M" kind=pcq pcq-rate=2000000 pcq-limit=50
pcq-classifier=dst-address pcq-total-limit=2000

11 name="dst-3M" kind=pcq pcq-rate=3000000 pcq-limit=50
pcq-classifier=dst-address pcq-total-limit=2000

12 name="dst-4M" kind=pcq pcq-rate=4000000 pcq-limit=50
pcq-classifier=dst-address pcq-total-limit=2000

13 name="dst-5M" kind=pcq pcq-rate=5000000 pcq-limit=50
pcq-classifier=dst-address pcq-total-limit=2000

14 name="src-1M" kind=pcq pcq-rate=1000000 pcq-limit=50
pcq-classifier=src-address pcq-total-limit=2000

15 name="src-2M" kind=pcq pcq-rate=2000000 pcq-limit=50
pcq-classifier=src-address pcq-total-limit=2000

16 name="src-3M" kind=pcq pcq-rate=3000000 pcq-limit=50
pcq-classifier=src-address pcq-total-limit=2000

17 name="src-4M" kind=pcq pcq-rate=4000000 pcq-limit=50
pcq-classifier=src-address pcq-total-limit=2000

18 name="src-5M" kind=pcq pcq-rate=5000000 pcq-limit=50
pcq-classifier=src-address pcq-total-limit=2000

19 name="default-small" kind=pfifo pfifo-limit=10

Прошу прощения за большой объем информации, надеюсь, все отнесутся с пониманием