[FUG-BR] Misturar IPFW e PF

[Evandro Nunes]

irmão pode usar sem problemas

so se lembre que o pf é processado primeiro e depois o ipfw entao por
exemplo se bloqueou no ipfw nao adianta ter liberado no pf

outra coisa que voce tem que lembra irmão é que pelo motivo do pf ser
processado primeiro quando voce chegar no ipfw o nat do pf ja vai ter
acontecido, então os IPs ja vao tar traduzido, beleza?

no mais pode usar os dois sem problema

eu uso motivado pela mesma coisa que voce, porque o altq é muito
bonzinho pra quem meche com poucas filas, pra ter dezenas, centenas de
filhas tem q configurar uma por uma na mão, com ipfw tem pipe e queue
dinamico que é uma maravilha do outro mundo (ha ha exagero? sai de um
background com Linux e TC onde voce tem 4 arquivos de configuracao por
HOST pra fazer o que no ipfw agora eu faco "dinamico" com mask e voce
vai ve que nao eh exagero nao)

alias irmao ve direito pra que voce precisa de pf

pf so vale a pena se voce tem que fazer balanceamento de saida com
multiplos links, que no ipfw ate faz mas nao tem stick address entao
fode o esquema, alem disso no ipfw e muito dificil e confuso, no pf
faz sozinho

se nao for isso, ou se nao for a necessidade nat-pool que o natd
tambem nao faz, se for um nat normal ou so saida por multiplos links
sem balancear dai o PF e so pra criar confusao ele e dispensavel
totalmente

ah e pf tambem nao filtra metade dos ipoptions e tcpoptions que o ipfw
filtra entao como firewall propriamente dito pf eh mediocre perto do
ipfw

mas tem umas feature mo bacana como nao matar state no reload das
regras, poder adicionar e remover um ip do pool, essas coisas. ah mas
pool volta no nat, e nisso, pf é impecavel, se voce precisa de coisa
avancada no nat

On 10/15/07, João Paulo Just <jpjust em justsoft.com.br> wrote:
> Olá, pessoal.
>
> Gostaria de misturar o IPFW com o PF da seguinte forma: IPFW fazendo
> controle de banda e PF fazendo NAT.
>
> Porque isso? Porque não fazer tudo no PF?
>
> O problema é que uso controle de banda dinâmico no IPFW da seguinte forma:
>
> -- ipfw.rules --
> # Download
> ipfw pipe 1 config bw 150Kbit/s mask dst-ip 0xffffffff
> # Upload
> ipfw pipe 2 config bw 150Kbit/s mask src-ip 0xffffffff
>
> ipfw add pipe 1 ip from not me to 172.16.16.0/20 in via rl0
> ipfw add pipe 2 ip from 172.16.16.0/20 to not me in via tun*
> ----------------
>
> E não sei como fazer isso no PF, não consegui achar como fazer, e até já
> pedi auxílio à lista há um tempo atrás e ninguém pôde me ajudar (se
> alguém tiver a solução, me ajude).
>
> Então, pra continuar com o controle de banda do IPFW, qual seria a
> melhor forma de misturar os dois? Se eu tirar a NAT do IPFW e botar no
> PF direto vai funcionar tranquilo?
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>