[FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address

Márcio Elias marcioelias em gmail.com
Segunda Fevereiro 10 12:04:24 BRST 2014 

Bom dia pessoal da lista,

eu tenho diversos servidores FreeBSD rodando (versões 8.x e 9.x) como
routers para subredes de meus clientes (trabalho em um ISP).

Pois bem, agora com o lançamento do FreeBSD 10 e seus aperfeiçoamentos para
virtualização estou virtualizando meus servidores, mais estou tento um
problema que não tinha nas versões anteriores do Free.

Basicamente eu controlo o acesso de meus clientes por MAC, com IPs fixados
no DHCP e jogo cada cliente em um pipe para Upload e outro para Download.

Cada servidor tem 2 interfaces de rede e estou utilizando o Natd (divert,
ainda não tentei o IPFIREWALL_NAT).

Abaixo seguem as regras (mínimo para facilitar o entendimento) para um
cliente, que funcionavam em versoes anteriores e não estão funcionando na
versão 10.

ipfw add 50 divert natd ip from any to me in recv ${natd_interface}
ipfw add 50 divert natd ip from 192.168.0.0/16 to any out xmit
${natd_interface}
ipfw add 1000 pipe 150 ip from any to 192.168.5.18 MAC XX:XX:XX:XX:XX:XX any
ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC any XX:XX:XX:XX:XX:XX
ipfw add 65535 allow ip from any to any

os pipes:

00155:   1.000 Mbit/s    0 ms burst 0
q131227  50 sl. 0 flows (1 buckets) sched 65691 weight 0 lmax 0 pri 0
droptail
 sched 65691 type FIFO flags 0x0 0 buckets 0 active

00150:   4.000 Mbit/s    0 ms burst 0
q131222  50 sl. 0 flows (1 buckets) sched 65686 weight 0 lmax 0 pri 0
droptail
 sched 65686 type FIFO flags 0x0 0 buckets 0 active

dentro do dhcpd.conf tenho essa configuração para este cliente:

host 1570 {  hardware ethernet XX:XX:XX:XX:XX:XX;   fixed-address
192.168.5.18;   }

O cliente pega o IP esperado, vejo tráfego normal em todas as regras, mais
um tráfego muito baixo na regra 1010, consigo pingar pra qq lugar, (pq não
estou colocando ICMP nas regras de restrição) mais não consigo ter
navegação no cliente.

Se eu deixo tudo como está e retiro a regra 1010, a navegação ocorre
normalmente, o único problema é que o upload não estará restrito ao mac
address do cliente.

Alguém pode me dar alguma ideia de o que pode estar acontecendo? Sabem se
teve alguma alteração no IPFW ou no Free na versão 10 que alterou esse
comportamento?

O estranho é que a mesma regra de firewall para tráfego de fora para o
cliente funciona, mais do cliente pra fora não.

Agradeço qualquer ideia.

-- 
Att.
__________________________________
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliashahn em hotmail.com

Mais detalhes sobre a lista de discussão freebsd