[FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)

Renato Martins renato em redenetworks.com.br
Quarta Junho 13 08:57:18 BRT 2007 

Então se vc já fez um pipe somente para porta 80 as outras portas devem 
estar liberada a menos que vc esteja com uma politica fechada, se for isso 
libere as portas ou libere tudo depois dessa sua regra porque oque for para 
a porta 80 ja deu match e nao vai decer para as regras abaixo dela

outra coisa vc so ta fazendo de um lado so download
e do ip to any , e a interface que ele vai sair ?

----- Original Message ----- 
From: "Welkson Renny de Medeiros" <welkson at focusautomacao.com.br>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
<freebsd at fug.com.br>
Sent: Tuesday, June 12, 2007 6:00 PM
Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)


Renato,


Exatamente, o samba está no mesmo servidor que controla a banda (na verdade
é TUDO em um só servidor)...

Consegui resolver limitando somente a porta 80 (eu tinha tentado, mas devo
ter errado algo, pois não funcionava), agora ficou assim:

# Controle de banda (corrigido problema do SAMBA)
ipfw add pipe 2 ip from any to 192.168.0.200 src-port 80
ipfw pipe 2 config bw 200Kbit/s queue 20 mask dst-ip 0x000000ff

Estou vendo aqui se consigo fazer o seguinte, limitar todo o tráfego, EXCETO
ssh e samba... se alguém puder sugerir... ainda estou meio "enrolado" com
essse negócio de in/out src/dst... no caso vou ter que usar um NOT SRC-PORT
ou NOT DST-PORT, não sei :(

Renato e Mário, valeu pelas dicas.

Abraço,


-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson at focusautomacao.com.br



                      Powered by ....

                                           (__)
                                        \\\'',)
                                          \/  \ ^
                                          .\._/_)

                                      www.FreeBSD.org




----- Original Message ----- 
From: "Renato Martins" <renato at redenetworks.com.br>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd at fug.com.br>
Sent: Tuesday, June 12, 2007 5:22 PM
Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)


Não sei se é isso mas acredito que seu samba deve estar na mesma maquina que
esta fazendo o controle de banda
entao libere antes as portas do samba +- assim

# libera as portas dos samba
/sbin/ipfw add 120 allow ip from 10.250.1.1 to me dst-port 134-139
/sbin/ipfw add 130 allow ip from me to 10.250.1.1 src-port 134-139


# controle do meu ip
/sbin/ipfw add 576 pipe 576 all from any to 100.250.1.1 in via xl0
/sbin/ipfw add 577 pipe 577 all from 10.250.1.1 to any out via xl0
/sbin/ipfw pipe 576 config bw 256Kbit/s queue 36KBytes
/sbin/ipfw pipe 577 config bw 256Kbit/s queue 36KBytes

----- Original Message ----- 
From: "Mario Augusto Mania" <m3.bsd.mania at gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd at fug.com.br>
Sent: Tuesday, June 12, 2007 4:54 PM
Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)


Cara, veja bem, no caso, o q vc poderia fazer eh limitar a banda de
determinados servicos e nao do ip entende?

Imagine assim:

ipfw add 10 deny all from 10.0.0.2 to any

vai bloquear (deny) tudo (all) de (from) 10.0.0.2 para (to) qualquer
outro host (any)

agora, se vc fizer o seguinte:

ipfw add 10 deny tcp from 10.0.0.2 to www.uol.com.br dst-port 80

vai bloquear (deny) as conexoes tcp (tcp) de (from) 10.0.0.2 para (to)
www.uol.com.br na porta 80 do www.uol.com.br

qualquer outro pacote nao vai casar com essa regra, e portanto, vai
pular pra proxima, ate chegar a ultima que vai ser allow all from any
to any ou deny all from any to any dependendo da politica de seu
firewall. O mesmo se aplica ao controle de banda.

Em 12/06/07, Welkson Renny de Medeiros<welkson at focusautomacao.com.br>
escreveu:
> Nenhuma sugestão amigos?
>
>
> --
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> welkson at focusautomacao.com.br
>
>
>
>                       Powered by ....
>
>                                            (__)
>                                         \\\'',)
>                                           \/  \ ^
>                                           .\._/_)
>
>                                       www.FreeBSD.org
>
> ----- Original Message -----
> From: "Welkson Renny de Medeiros" <welkson at focusautomacao.com.br>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd at fug.com.br>
> Sent: Monday, June 11, 2007 3:51 PM
> Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)
>
>
> Pessoal,
>
> Procurando aqui nas documentações e exemplos da net achei um que funciona
> muito bem, com um porém, também limita a rede local, ou seja, quando tento
> copiar um arquivo de uma unidade mapeada pelo samba demora um século...
>
> # Controle de banda (funciona mais tbm limita rede local/samba)
> ipfw add pipe 2 ip from any to 192.168.0.200
> ipfw pipe 2 config bw 200Kbit/s queue 20 mask dst-ip 0x000000ff
>
> Fiz os testes pelo RJNET.COM.BR e deu os 200kbps direitinho (minha banda é
> 1MB)... alterei para outros valores e fiz testes e funciona blz... a
> bronca
> é que tá limitando acesso interno (samba, etc)... tentei limitar por porta
> de destino (dst-port 80 por exemplo), mas não consegui... tentei usar
> aqueles out recv xmit da vida... também não soube usar... alguém pode dar
> uma sugestão?
>
> Interface interna: rl0
> Interface externa: sis0
>
> Abraço a todos.
>
>
> --
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> welkson at focusautomacao.com.br
>
>
>
>                       Powered by ....
>
>                                            (__)
>                                         \\\'',)
>                                           \/  \ ^
>                                           .\._/_)
>
>                                       www.FreeBSD.org
>
> ----- Original Message -----
> From: "Welkson Renny de Medeiros" <welkson at focusautomacao.com.br>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd at fug.com.br>
> Sent: Monday, June 11, 2007 11:40 AM
> Subject: Re: [FUG-BR] PF NAT e IPFW PIPE
>
>
> Blz Irado!
>
> Então, eu sei que é melhor o ALTQ... mas já perguntei várias vezes e até
> agora ninguém me respondeu uma maneira que funcione: "como faço para
> limitar
> SOMENTE 1 ip a 300 KBPS usando ALTQ?"... isso é tranquilo para fazer com
> pipe no IPFW... mas pelo que leio o ALTQ é mais recomendado para QoS...
> exemplo 80% da banda para web, 20% email, etc... se eu estiver errado me
> corrijam por favor.
>
> Como você mesmo diz: flames > /dev/null
>
> Abraço!
>
>
> --
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> welkson at focusautomacao.com.br
>
>
>
>                       Powered by ....
>
>                                            (__)
>                                         \\\'',)
>                                           \/  \ ^
>                                           .\._/_)
>
>                                       www.FreeBSD.org
>
>
>
> ----- Original Message -----
> From: "irado furioso com tudo" <irado at hotpop.com>
> To: <freebsd at fug.com.br>
> Sent: Monday, June 11, 2007 11:14 AM
> Subject: Re: [FUG-BR] PF NAT e IPFW PIPE
>
>
> Em Sat, 9 Jun 2007 12:11:50 -0300
> "Welkson Renny de Medeiros" <welkson at focusautomacao.com.br> escreveu:
>
> > recentemente precisei limitar a banda de um único
> > usuário e utilizei uma antiga regra que eu tinha guardado (e
> > funcionava),
>
> o pf usa melhor o ALTQ, embora (parece-me) não ser impossível a
> utilização do outro. Me parece que o problema é quem vem primeiro, se o
> pf ou ipfw/pipe. Aqui estão alguns links que podem ser úteis; já que
> tem proficiência com o pf tudo indica que vai ficar tranquilo no ALTQ.
>
>
> http://www.google.com/search?q=+freebsd+pf+altq&btnG=Pesquisar&hl=pt-BR&client=opera&rls=en&hs=W0j
>
> divirta-se :)
>
> flames > /dev/null
> --
> saudações,
> irado furioso com tudo
> Linux User 179402/FreeBSD BSD50853/FUG-BR 154
> Não uso drogas - 100% Miko$hit-free
> "o homem criou Deus à sua imagem e semelhança" [Nietzshe]
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


-- 
Atenciosmente

Mario Augusto Mania <m3BSD>
-----------------------------------------------
m3.bsd.mania at gmail.com
Cel.: (43) 9938-9629
Msn: mario at oquei.com
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd