[FUG-BR] Entendimento sobre controle de banda com PF + ALTQ

Edival Mittelstad edivalmittelstad em gmail.com
Quarta Janeiro 27 15:52:32 BRST 2010 

Ola a todos,

Sou novo na lista e não havia realizado nenhum post ainda.

Estou precisando de uma ajuda em uma questão de entendimento.

Estou implementando um servidor apenas para controle de banda sem regras
de negações de acesso.

Anteriormente eu tinha o seguinte conceito quanto a entrada e saída de
pacotes em
um firewall de passagem para internet.

IN  --> [INTERFACE A][PROCESSAMENTO][INTERFACE B] --> OUT
OUT <-- [INTERFACE A][PROCESSAMENTO][INTERFACE B] <-- IN

Estou tentando implementar em PF + ALTQ e conversando com um amigo ele me
falou
que o PF utiliza o seguinte conceito.


IN  --> [INTERFACE A] --> OUT [PROCESSAMENTO] IN  --> [INTERFACE B] --> OUT
OUT <-- [INTERFACE A] <-- IN  [PROCESSAMENTO] OUT <-- [INTERFACE B] <--
INPUT

É isto mesmo?

Se pensar desta forma a [INTERFACE A] tem INPUT vindo dos dois sentidos.

Como o ALTQ trabalha com apenas tráfego de saída eu não posso colocar filtro
de fila
na [INTERFACE B] que seria de Internet onde todos os IP são Convertidos
(NAT), imaginei
que poderia implementar tudo na interface Interna apenas alternando entre
from e to.

--------------------
REGRA 1: pass out quick on $if_int inet proto tcp from $rede_a to any
modulate state label rede_a queue urede_a
REGRA 2: pass out quick on $if_int inet proto tcp from any to $rede_a
modulate state label rede_a queue drede_a

REGRA 3: pass out quick on $if_int inet proto {udp icmp} from $rede_a to any
label rede_a queue urede_a
REGRA 4: pass out quick on $if_int inet proto {udp icmp} from any to $rede_a
label rede_a queue drede_a
--------------------

Com relação a estas regras meu amigo me falou que em um acesso TCP a
internet partindo da rede_a "REGRA 1"
o tráfico de volta já seria automaticamente aceito pela "REGRA 1" sem chegar
na "REGRA 2".

Quer dizer quando liberamos o tráfego de ida ele aceita a volta dos pacotes
automaticamente.

Então eu teria contabilizado tudo na fila "urede_a" e não o download na
"drede_a".

Então como fazer?

-- 
Edival Mittelstad

Mais detalhes sobre a lista de discussão freebsd