[FUG-BR] IPFW + Burst ?

[Mario Augusto Mania]

Renato... veja bem estou desenvolvendo uma solucao para gerenciamento
de acesso a internet (famoso captive portal :) ), e pretendo
contemplar a maiorias dos problemas que sao citados pelos meus
clientes, e essa é uma das questoes bastante discutidas.

Basicamente, o controle de banda eh feito:

ipfw pipe 250 config bw 128Kbit/s
ipfw add 250 pipe 250 ip from 172.16.0.17 to any in not layer2
ipfw add 250 pipe 250 ip from any to 172.16.0.17 out not layer2

ou seja: crio um pipe com id 250 com banda maxima de 128Kbps
e vinculo a trafego de up load e donwload a esse mesmo pipe.

Com isso, qualquer conexoa (ip) vai passar por esse mesmo pipe, porque
vai bater nessa regra.

No caso, a abordagem que estou usando, e de nao criar um unico pipe
estatico e vincular todo o up e download a ele, e sim, criar dois
pipes por clientes, tipo, um com 128Kbit/s e outro com 20% disso, ou
seja 24Kbit/s

Ae, tenho um script que monitora as conexoes do cliente, tanto tcp
quando udp, e quando um conexao eh estabelecida, meu script cria uma
regra dinamica atribuindo a conexao: (ip_orig, port_orig, ip_dest,
port_dest, proto ) ao pipe maior, a partir dae, ele abre uma sessao
criando um registro num banco de dados. A partir dae, a conexao vai
estar limitada as 128Kbps, porem, de minutos em minuto, o script
verifica se a conexao ainda esta "viva", e depois de um tempo limite,
digamos, 5 minutos, e a conexao continuando viva, o script apaga a
regra dinamica que associava a conexao ao pipe de 128 e cria novas
regras dinamicas associando a conexao ao pipe menor, com isso, pro
resto da "vida" da conexao, ela vai estar compartilhando o pipe de
24Kbps com as demais conexoes que "caducaram". Por outro lado,
conexoes que viverem menos de 5 minutos ( ou o tempo previamento
configurado) fluirao a 128Kbps. Ainda, eh possivel configurar algumas
portas especificas para nao passarem por essa regra, digamos, para
voip por exemplo, pra nao acontecer de cair no estrangulamento
garantindo uma certa QoS.
Veja, tudo isso esta funcionando em laboratorio, ateh se tornar maduro
para o produto que estou desenvolvendo (um appliance) baseado no
freebsd. Porem, esta funcional, e ainda, estou evitando ao maximo L7,
gerenciando tudo em L3.

Nada é perfeito :)... mas é uma abordagem...

Em 08/01/07, Renato Frederick<frederick em dahype.org> escreveu:
> Concordo, mas no caso é um provedor de internet, já usando ipfw com pipes,
> funcionando de acordo. O que acontece é que agora precisa-se limitar mais a
> banda(se é que é possível), pois a telemar não tem mais link prá vender(!)
> Daí surgiu essa hipótese do mikrotik suportar isto e cortar até 30% do
> tráfego(segundo o que falaram, não sei se é verdade)
>
>
>
> > -----Original Message-----
> > From: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] On
> > Behalf Of Guilherme M. O.
> > Sent: segunda-feira, 8 de janeiro de 2007 09:21
> > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > Subject: Re: [FUG-BR] IPFW + Burst ?
> >
> > porque não bloquear o p2p?
> > duvido que ele seja utilizado com propósitos empresariais.
> > provavelmente baixam musica e coisa do tipo. a meu ver isso não
> > deveria ser feito na empresa e poderia, sem problemas, ser bloqueado
> >
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


-- 
Atenciosmente

Mario Augusto Mania <m3BSD>
-----------------------------------------------
m3.bsd.mania em gmail.com
Cel.: (43) 9938-9629
Msn: mario em oquei.com