[FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)
Renato Martins
renato em redenetworks.com.br
Quarta Junho 13 10:23:07 BRT 2007
bom dia
a ta entao libere essas portas antes da regras dos pipe
pois assim o trafego para essa portas casa(match) com as regras de allow e
ai não passa para as regras de controle de banda
podemos criar as regras de varias formas tb
vc pode colocar os pipes so na interface externar ai tudo que for para sua
maquina local não vai ter controle e so oque sai do seu gw assim:
no exemplo xl0 é a interface externa
# Controle de banda (corrigido problema do SAMBA)
ipfw add pipe 2 ip from any to 192.168.0.200 in via xl0
ipfw add pipe 3 ip from 192.168.0.200 to any out via xl0
ipfw pipe 2 config bw 200Kbit/s queue 20 mask dst-ip 0x000000ff
ou vc pode usar o 'not me' para inverter para que ela nao funcione para '
me' onde me o ipfw entende que seja qualquer ip do seu gw
----- Original Message -----
From: "Welkson Renny de Medeiros" <welkson at focusautomacao.com.br>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd at fug.com.br>
Sent: Wednesday, June 13, 2007 9:33 AM
Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)
Bom dia Renato!
Então, trabalho com política aberta (antes do bsd tem um roteador)... no
caso essa limitação está funcionando somente para porta 80... eu queria
limitar tudo, exceto samba, ssh.
As regras por enquanto são somente de download, depois de ok começo a
trabalhar no upload.
Abraço,
--
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson at focusautomacao.com.br
Wed, 13 Jun 2007 08:57:18 -0300, "Renato Martins"
<renato at redenetworks.com.br> escreveu:
> Então se vc já fez um pipe somente para porta 80 as outras portas devem
> estar liberada a menos que vc esteja com uma politica fechada, se for isso
> libere as portas ou libere tudo depois dessa sua regra porque oque for
> para
> a porta 80 ja deu match e nao vai decer para as regras abaixo dela
>
> outra coisa vc so ta fazendo de um lado so download
> e do ip to any , e a interface que ele vai sair ?
>
> ----- Original Message -----
> From: "Welkson Renny de Medeiros" <welkson at focusautomacao.com.br>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd at fug.com.br>
> Sent: Tuesday, June 12, 2007 6:00 PM
> Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)
>
>
> Renato,
>
>
> Exatamente, o samba está no mesmo servidor que controla a banda (na
> verdade
> é TUDO em um só servidor)...
>
> Consegui resolver limitando somente a porta 80 (eu tinha tentado, mas devo
> ter errado algo, pois não funcionava), agora ficou assim:
>
> # Controle de banda (corrigido problema do SAMBA)
> ipfw add pipe 2 ip from any to 192.168.0.200 src-port 80
> ipfw pipe 2 config bw 200Kbit/s queue 20 mask dst-ip 0x000000ff
>
> Estou vendo aqui se consigo fazer o seguinte, limitar todo o tráfego,
> EXCETO
> ssh e samba... se alguém puder sugerir... ainda estou meio "enrolado" com
> essse negócio de in/out src/dst... no caso vou ter que usar um NOT
> SRC-PORT
> ou NOT DST-PORT, não sei :(
>
> Renato e Mário, valeu pelas dicas.
>
> Abraço,
>
>
> --
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> welkson at focusautomacao.com.br
>
>
>
> Powered by ....
>
> (__)
> \\\'',)
> \/ \ ^
> .\._/_)
>
> www.FreeBSD.org
>
>
>
>
> ----- Original Message -----
> From: "Renato Martins" <renato at redenetworks.com.br>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd at fug.com.br>
> Sent: Tuesday, June 12, 2007 5:22 PM
> Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)
>
>
> Não sei se é isso mas acredito que seu samba deve estar na mesma maquina
> que
> esta fazendo o controle de banda
> entao libere antes as portas do samba +- assim
>
> # libera as portas dos samba
> /sbin/ipfw add 120 allow ip from 10.250.1.1 to me dst-port 134-139
> /sbin/ipfw add 130 allow ip from me to 10.250.1.1 src-port 134-139
>
>
> # controle do meu ip
> /sbin/ipfw add 576 pipe 576 all from any to 100.250.1.1 in via xl0
> /sbin/ipfw add 577 pipe 577 all from 10.250.1.1 to any out via xl0
> /sbin/ipfw pipe 576 config bw 256Kbit/s queue 36KBytes
> /sbin/ipfw pipe 577 config bw 256Kbit/s queue 36KBytes
>
> ----- Original Message -----
> From: "Mario Augusto Mania" <m3.bsd.mania at gmail.com>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd at fug.com.br>
> Sent: Tuesday, June 12, 2007 4:54 PM
> Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)
>
>
> Cara, veja bem, no caso, o q vc poderia fazer eh limitar a banda de
> determinados servicos e nao do ip entende?
>
> Imagine assim:
>
> ipfw add 10 deny all from 10.0.0.2 to any
>
> vai bloquear (deny) tudo (all) de (from) 10.0.0.2 para (to) qualquer
> outro host (any)
>
> agora, se vc fizer o seguinte:
>
> ipfw add 10 deny tcp from 10.0.0.2 to www.uol.com.br dst-port 80
>
> vai bloquear (deny) as conexoes tcp (tcp) de (from) 10.0.0.2 para (to)
> www.uol.com.br na porta 80 do www.uol.com.br
>
> qualquer outro pacote nao vai casar com essa regra, e portanto, vai
> pular pra proxima, ate chegar a ultima que vai ser allow all from any
> to any ou deny all from any to any dependendo da politica de seu
> firewall. O mesmo se aplica ao controle de banda.
>
> Em 12/06/07, Welkson Renny de Medeiros<welkson at focusautomacao.com.br>
> escreveu:
> > Nenhuma sugestão amigos?
> >
> >
> > --
> > Welkson Renny de Medeiros
> > Focus Automação Comercial
> > Desenvolvimento / Gerência de Redes
> > welkson at focusautomacao.com.br
> >
> >
> >
> > Powered by ....
> >
> > (__)
> > \\\'',)
> > \/ \ ^
> > .\._/_)
> >
> > www.FreeBSD.org
> >
> > ----- Original Message -----
> > From: "Welkson Renny de Medeiros" <welkson at focusautomacao.com.br>
> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > <freebsd at fug.com.br>
> > Sent: Monday, June 11, 2007 3:51 PM
> > Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)
> >
> >
> > Pessoal,
> >
> > Procurando aqui nas documentações e exemplos da net achei um que
> > funciona
> > muito bem, com um porém, também limita a rede local, ou seja, quando
> > tento
> > copiar um arquivo de uma unidade mapeada pelo samba demora um século...
> >
> > # Controle de banda (funciona mais tbm limita rede local/samba)
> > ipfw add pipe 2 ip from any to 192.168.0.200
> > ipfw pipe 2 config bw 200Kbit/s queue 20 mask dst-ip 0x000000ff
> >
> > Fiz os testes pelo RJNET.COM.BR e deu os 200kbps direitinho (minha banda
> > é
> > 1MB)... alterei para outros valores e fiz testes e funciona blz... a
> > bronca
> > é que tá limitando acesso interno (samba, etc)... tentei limitar por
> > porta
> > de destino (dst-port 80 por exemplo), mas não consegui... tentei usar
> > aqueles out recv xmit da vida... também não soube usar... alguém pode
> > dar
> > uma sugestão?
> >
> > Interface interna: rl0
> > Interface externa: sis0
> >
> > Abraço a todos.
> >
> >
> > --
> > Welkson Renny de Medeiros
> > Focus Automação Comercial
> > Desenvolvimento / Gerência de Redes
> > welkson at focusautomacao.com.br
> >
> >
> >
> > Powered by ....
> >
> > (__)
> > \\\'',)
> > \/ \ ^
> > .\._/_)
> >
> > www.FreeBSD.org
> >
> > ----- Original Message -----
> > From: "Welkson Renny de Medeiros" <welkson at focusautomacao.com.br>
> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > <freebsd at fug.com.br>
> > Sent: Monday, June 11, 2007 11:40 AM
> > Subject: Re: [FUG-BR] PF NAT e IPFW PIPE
> >
> >
> > Blz Irado!
> >
> > Então, eu sei que é melhor o ALTQ... mas já perguntei várias vezes e até
> > agora ninguém me respondeu uma maneira que funcione: "como faço para
> > limitar
> > SOMENTE 1 ip a 300 KBPS usando ALTQ?"... isso é tranquilo para fazer com
> > pipe no IPFW... mas pelo que leio o ALTQ é mais recomendado para QoS...
> > exemplo 80% da banda para web, 20% email, etc... se eu estiver errado me
> > corrijam por favor.
> >
> > Como você mesmo diz: flames > /dev/null
> >
> > Abraço!
> >
> >
> > --
> > Welkson Renny de Medeiros
> > Focus Automação Comercial
> > Desenvolvimento / Gerência de Redes
> > welkson at focusautomacao.com.br
> >
> >
> >
> > Powered by ....
> >
> > (__)
> > \\\'',)
> > \/ \ ^
> > .\._/_)
> >
> > www.FreeBSD.org
> >
> >
> >
> > ----- Original Message -----
> > From: "irado furioso com tudo" <irado at hotpop.com>
> > To: <freebsd at fug.com.br>
> > Sent: Monday, June 11, 2007 11:14 AM
> > Subject: Re: [FUG-BR] PF NAT e IPFW PIPE
> >
> >
> > Em Sat, 9 Jun 2007 12:11:50 -0300
> > "Welkson Renny de Medeiros" <welkson at focusautomacao.com.br> escreveu:
> >
> > > recentemente precisei limitar a banda de um único
> > > usuário e utilizei uma antiga regra que eu tinha guardado (e
> > > funcionava),
> >
> > o pf usa melhor o ALTQ, embora (parece-me) não ser impossível a
> > utilização do outro. Me parece que o problema é quem vem primeiro, se o
> > pf ou ipfw/pipe. Aqui estão alguns links que podem ser úteis; já que
> > tem proficiência com o pf tudo indica que vai ficar tranquilo no ALTQ.
> >
> >
> > http://www.google.com/search?q=+freebsd+pf+altq&btnG=Pesquisar&hl=pt-BR&client=opera&rls=en&hs=W0j
> >
> > divirta-se :)
> >
> > flames > /dev/null
> > --
> > saudações,
> > irado furioso com tudo
> > Linux User 179402/FreeBSD BSD50853/FUG-BR 154
> > Não uso drogas - 100% Miko$hit-free
> > "o homem criou Deus à sua imagem e semelhança" [Nietzshe]
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
> --
> Atenciosmente
>
> Mario Augusto Mania <m3BSD>
> -----------------------------------------------
> m3.bsd.mania at gmail.com
> Cel.: (43) 9938-9629
> Msn: mario at oquei.com
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
>
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd