[FUG-BR] Controlar Banda para voip
Fabiano Carlos Heringer
bigu em grupoheringer.com.br
Quinta Janeiro 6 19:00:52 BRST 2011
Em 06/01/2011 09:54, Luiz Otavio O Souza escreveu:
> On Jan 6, 2011, at 1:29 AM, Fabiano Carlos Heringer wrote:
>
>> Cara, nao consigo entender...
>>
>> Voce poderia me dar um exemplo de um trafego http por exemplo, tendo a
>> regra para download/upload ...em uma rede com NAT.
>>
>> Obrigado!
>>
>> Em 05/01/2011 21:00, Nenhum_de_Nos escreveu:
>>> On Wed, January 5, 2011 10:26, Fabiano Carlos Heringer wrote:
>>>> Deixa ver se entendi hehehehe...
>>>>
>>>> Na verdade o meu download entra na interface externa, processa no
>>>> firewall e sai pela interface interna.
>>>> o upload entra na interface interna e sai pela interface externa, correto?
>>> correto
>>>
>>>> Eu nao poderia controlar somente o in/out da interface externa?
>>> não. só se pode fazer fila de saída.
>>>
>>> matheus
>
> Fabiano,
>
> Existe um pequeno detalhe na implementação do controle de banda que o Matheus tentou te explicar acima...
>
> Não há como você controlar a entrada do seu link (se amanhã a internet enlouquecer e achar que seu IP é o default gateway do mundo você pode filtrar o que quiser, mas nunca vai conseguir receber nada _util_ nesse link - você não tem controle do que enviam para você).
>
> Dessa maneira o openbsd implementou o controle apenas no envio (fila só na saída, como disse o matheus).
>
> Entao você trata o download na saída da interface interna e o upload na saída da interface externa, simples assim.
>
> O controle de entrada será feito com base nos próprios controles de congestionamento do TCP, você escala sua janela de recepção de forma a dizer: ei, você aí, não posso receber e processar esses dados tão rapidamente, por favor reduza sua taxa de envio. O que 'deve' funcionar bem quando todos os envolvidos aceitam e seguem essas sugestões.
>
> Já no caso de um ataque, você simplesmente ignora todas essas sugestões e ajustes automáticos do protocolo e continua empurrando tudo o que pode para o endereço alvo (que em outras palavras, quer dizer: você _não_ tem controle da entrada do seu link).
>
> Ou seja, com esse controle apenas razoável do seu link e, se o seu link esta muito pequeno para o VoIP + outros usos, não há controle de banda que resolva ;)
>
> Todo link precisa de uma pequena folga para lidar com essa parte 'fora do seu controle' (ao menos se você deseja garantir alguma qualidade - OU - você tem controle absoluto das duas pontas...)
>
> Att.,
> Luiz
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Ola Luiz, obrigado pelas informações...
So para fechar,
quais entao seriam as reais diferenças nas sintaxes do PF, pass in e
pass out? Como voce mesmo explicou, eu so controlo saida, entao qual o
sentido do pass in ?
Ja li varios topicos sobre o assunto, mas ainda nao consegui entender a
real diferenca...
Em casos onde existam o NAT, isso muda alguma coisa?
Desculpe a insistência..
Mais detalhes sobre a lista de discussão freebsd