[FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)
Welkson Renny de Medeiros
welkson em focusautomacao.com.br
Quarta Junho 13 09:33:34 BRT 2007
Bom dia Renato!
Então, trabalho com política aberta (antes do bsd tem um roteador)... no caso essa limitação está funcionando somente para porta 80... eu queria limitar tudo, exceto samba, ssh.
As regras por enquanto são somente de download, depois de ok começo a trabalhar no upload.
Abraço,
--
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br
Wed, 13 Jun 2007 08:57:18 -0300, "Renato Martins" <renato em redenetworks.com.br> escreveu:
> Então se vc já fez um pipe somente para porta 80 as outras portas devem
> estar liberada a menos que vc esteja com uma politica fechada, se for isso
> libere as portas ou libere tudo depois dessa sua regra porque oque for para
> a porta 80 ja deu match e nao vai decer para as regras abaixo dela
>
> outra coisa vc so ta fazendo de um lado so download
> e do ip to any , e a interface que ele vai sair ?
>
> ----- Original Message -----
> From: "Welkson Renny de Medeiros" <welkson em focusautomacao.com.br>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Sent: Tuesday, June 12, 2007 6:00 PM
> Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)
>
>
> Renato,
>
>
> Exatamente, o samba está no mesmo servidor que controla a banda (na verdade
> é TUDO em um só servidor)...
>
> Consegui resolver limitando somente a porta 80 (eu tinha tentado, mas devo
> ter errado algo, pois não funcionava), agora ficou assim:
>
> # Controle de banda (corrigido problema do SAMBA)
> ipfw add pipe 2 ip from any to 192.168.0.200 src-port 80
> ipfw pipe 2 config bw 200Kbit/s queue 20 mask dst-ip 0x000000ff
>
> Estou vendo aqui se consigo fazer o seguinte, limitar todo o tráfego, EXCETO
> ssh e samba... se alguém puder sugerir... ainda estou meio "enrolado" com
> essse negócio de in/out src/dst... no caso vou ter que usar um NOT SRC-PORT
> ou NOT DST-PORT, não sei :(
>
> Renato e Mário, valeu pelas dicas.
>
> Abraço,
>
>
> --
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> welkson em focusautomacao.com.br
>
>
>
> Powered by ....
>
> (__)
> \\\'',)
> \/ \ ^
> .\._/_)
>
> www.FreeBSD.org
>
>
>
>
> ----- Original Message -----
> From: "Renato Martins" <renato em redenetworks.com.br>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Sent: Tuesday, June 12, 2007 5:22 PM
> Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)
>
>
> Não sei se é isso mas acredito que seu samba deve estar na mesma maquina que
> esta fazendo o controle de banda
> entao libere antes as portas do samba +- assim
>
> # libera as portas dos samba
> /sbin/ipfw add 120 allow ip from 10.250.1.1 to me dst-port 134-139
> /sbin/ipfw add 130 allow ip from me to 10.250.1.1 src-port 134-139
>
>
> # controle do meu ip
> /sbin/ipfw add 576 pipe 576 all from any to 100.250.1.1 in via xl0
> /sbin/ipfw add 577 pipe 577 all from 10.250.1.1 to any out via xl0
> /sbin/ipfw pipe 576 config bw 256Kbit/s queue 36KBytes
> /sbin/ipfw pipe 577 config bw 256Kbit/s queue 36KBytes
>
> ----- Original Message -----
> From: "Mario Augusto Mania" <m3.bsd.mania em gmail.com>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Sent: Tuesday, June 12, 2007 4:54 PM
> Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)
>
>
> Cara, veja bem, no caso, o q vc poderia fazer eh limitar a banda de
> determinados servicos e nao do ip entende?
>
> Imagine assim:
>
> ipfw add 10 deny all from 10.0.0.2 to any
>
> vai bloquear (deny) tudo (all) de (from) 10.0.0.2 para (to) qualquer
> outro host (any)
>
> agora, se vc fizer o seguinte:
>
> ipfw add 10 deny tcp from 10.0.0.2 to www.uol.com.br dst-port 80
>
> vai bloquear (deny) as conexoes tcp (tcp) de (from) 10.0.0.2 para (to)
> www.uol.com.br na porta 80 do www.uol.com.br
>
> qualquer outro pacote nao vai casar com essa regra, e portanto, vai
> pular pra proxima, ate chegar a ultima que vai ser allow all from any
> to any ou deny all from any to any dependendo da politica de seu
> firewall. O mesmo se aplica ao controle de banda.
>
> Em 12/06/07, Welkson Renny de Medeiros<welkson em focusautomacao.com.br>
> escreveu:
> > Nenhuma sugestão amigos?
> >
> >
> > --
> > Welkson Renny de Medeiros
> > Focus Automação Comercial
> > Desenvolvimento / Gerência de Redes
> > welkson em focusautomacao.com.br
> >
> >
> >
> > Powered by ....
> >
> > (__)
> > \\\'',)
> > \/ \ ^
> > .\._/_)
> >
> > www.FreeBSD.org
> >
> > ----- Original Message -----
> > From: "Welkson Renny de Medeiros" <welkson em focusautomacao.com.br>
> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > <freebsd em fug.com.br>
> > Sent: Monday, June 11, 2007 3:51 PM
> > Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)
> >
> >
> > Pessoal,
> >
> > Procurando aqui nas documentações e exemplos da net achei um que funciona
> > muito bem, com um porém, também limita a rede local, ou seja, quando tento
> > copiar um arquivo de uma unidade mapeada pelo samba demora um século...
> >
> > # Controle de banda (funciona mais tbm limita rede local/samba)
> > ipfw add pipe 2 ip from any to 192.168.0.200
> > ipfw pipe 2 config bw 200Kbit/s queue 20 mask dst-ip 0x000000ff
> >
> > Fiz os testes pelo RJNET.COM.BR e deu os 200kbps direitinho (minha banda é
> > 1MB)... alterei para outros valores e fiz testes e funciona blz... a
> > bronca
> > é que tá limitando acesso interno (samba, etc)... tentei limitar por porta
> > de destino (dst-port 80 por exemplo), mas não consegui... tentei usar
> > aqueles out recv xmit da vida... também não soube usar... alguém pode dar
> > uma sugestão?
> >
> > Interface interna: rl0
> > Interface externa: sis0
> >
> > Abraço a todos.
> >
> >
> > --
> > Welkson Renny de Medeiros
> > Focus Automação Comercial
> > Desenvolvimento / Gerência de Redes
> > welkson em focusautomacao.com.br
> >
> >
> >
> > Powered by ....
> >
> > (__)
> > \\\'',)
> > \/ \ ^
> > .\._/_)
> >
> > www.FreeBSD.org
> >
> > ----- Original Message -----
> > From: "Welkson Renny de Medeiros" <welkson em focusautomacao.com.br>
> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > <freebsd em fug.com.br>
> > Sent: Monday, June 11, 2007 11:40 AM
> > Subject: Re: [FUG-BR] PF NAT e IPFW PIPE
> >
> >
> > Blz Irado!
> >
> > Então, eu sei que é melhor o ALTQ... mas já perguntei várias vezes e até
> > agora ninguém me respondeu uma maneira que funcione: "como faço para
> > limitar
> > SOMENTE 1 ip a 300 KBPS usando ALTQ?"... isso é tranquilo para fazer com
> > pipe no IPFW... mas pelo que leio o ALTQ é mais recomendado para QoS...
> > exemplo 80% da banda para web, 20% email, etc... se eu estiver errado me
> > corrijam por favor.
> >
> > Como você mesmo diz: flames > /dev/null
> >
> > Abraço!
> >
> >
> > --
> > Welkson Renny de Medeiros
> > Focus Automação Comercial
> > Desenvolvimento / Gerência de Redes
> > welkson em focusautomacao.com.br
> >
> >
> >
> > Powered by ....
> >
> > (__)
> > \\\'',)
> > \/ \ ^
> > .\._/_)
> >
> > www.FreeBSD.org
> >
> >
> >
> > ----- Original Message -----
> > From: "irado furioso com tudo" <irado em hotpop.com>
> > To: <freebsd em fug.com.br>
> > Sent: Monday, June 11, 2007 11:14 AM
> > Subject: Re: [FUG-BR] PF NAT e IPFW PIPE
> >
> >
> > Em Sat, 9 Jun 2007 12:11:50 -0300
> > "Welkson Renny de Medeiros" <welkson em focusautomacao.com.br> escreveu:
> >
> > > recentemente precisei limitar a banda de um único
> > > usuário e utilizei uma antiga regra que eu tinha guardado (e
> > > funcionava),
> >
> > o pf usa melhor o ALTQ, embora (parece-me) não ser impossível a
> > utilização do outro. Me parece que o problema é quem vem primeiro, se o
> > pf ou ipfw/pipe. Aqui estão alguns links que podem ser úteis; já que
> > tem proficiência com o pf tudo indica que vai ficar tranquilo no ALTQ.
> >
> >
> > http://www.google.com/search?q=+freebsd+pf+altq&btnG=Pesquisar&hl=pt-BR&client=opera&rls=en&hs=W0j
> >
> > divirta-se :)
> >
> > flames > /dev/null
> > --
> > saudações,
> > irado furioso com tudo
> > Linux User 179402/FreeBSD BSD50853/FUG-BR 154
> > Não uso drogas - 100% Miko$hit-free
> > "o homem criou Deus à sua imagem e semelhança" [Nietzshe]
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
> --
> Atenciosmente
>
> Mario Augusto Mania <m3BSD>
> -----------------------------------------------
> m3.bsd.mania em gmail.com
> Cel.: (43) 9938-9629
> Msn: mario em oquei.com
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
>
Mais detalhes sobre a lista de discussão freebsd