[FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address

Márcio Elias marcioelias em gmail.com
Segunda Fevereiro 10 17:04:18 BRST 2014 

 Cara, as únicas variáveis que alterei foi:

net.link.ether.ipfw=1 ##habilitar checagens L2

net.link.ether.ipfw=1 ##habilita o roteamento

Mais nada, não cheguei a notar alguma variável nova na versão 10 para isso...

Ainda não consegui fazer funcionar.


-- 
Att.
__________________________________
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliashahn em hotmail.com


2014-02-10 13:50 GMT-02:00 Rafael Aquino <rafael em lk6.com.br>:

>
> ----- Mensagem original -----
> > De: "Márcio Elias" <marcioelias em gmail.com>
> > Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" <
> freebsd em fug.com.br>
> > Enviadas: Segunda-feira, 10 de fevereiro de 2014 12:04:24
> > Assunto: [FUG-BR]  FreeBSD 10-RELEASE + IPFW + MAC Address
> >
> > Bom dia pessoal da lista,
> >
> > eu tenho diversos servidores FreeBSD rodando (versões 8.x e 9.x) como
> > routers para subredes de meus clientes (trabalho em um ISP).
> >
> > Pois bem, agora com o lançamento do FreeBSD 10 e seus aperfeiçoamentos
> para
> > virtualização estou virtualizando meus servidores, mais estou tento um
> > problema que não tinha nas versões anteriores do Free.
> >
> > Basicamente eu controlo o acesso de meus clientes por MAC, com IPs
> fixados
> > no DHCP e jogo cada cliente em um pipe para Upload e outro para Download.
> >
> > Cada servidor tem 2 interfaces de rede e estou utilizando o Natd (divert,
> > ainda não tentei o IPFIREWALL_NAT).
> >
> > Abaixo seguem as regras (mínimo para facilitar o entendimento) para um
> > cliente, que funcionavam em versoes anteriores e não estão funcionando na
> > versão 10.
> >
> > ipfw add 50 divert natd ip from any to me in recv ${natd_interface}
> > ipfw add 50 divert natd ip from 192.168.0.0/16 to any out xmit
> > ${natd_interface}
> > ipfw add 1000 pipe 150 ip from any to 192.168.5.18 MAC XX:XX:XX:XX:XX:XX
> any
> > ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC any
> XX:XX:XX:XX:XX:XX
> > ipfw add 65535 allow ip from any to any
> >
> > os pipes:
> >
> > 00155:   1.000 Mbit/s    0 ms burst 0
> > q131227  50 sl. 0 flows (1 buckets) sched 65691 weight 0 lmax 0 pri 0
> > droptail
> >  sched 65691 type FIFO flags 0x0 0 buckets 0 active
> >
> > 00150:   4.000 Mbit/s    0 ms burst 0
> > q131222  50 sl. 0 flows (1 buckets) sched 65686 weight 0 lmax 0 pri 0
> > droptail
> >  sched 65686 type FIFO flags 0x0 0 buckets 0 active
> >
> > dentro do dhcpd.conf tenho essa configuração para este cliente:
> >
> > host 1570 {  hardware ethernet XX:XX:XX:XX:XX:XX;   fixed-address
> > 192.168.5.18;   }
> >
> > O cliente pega o IP esperado, vejo tráfego normal em todas as regras,
> mais
> > um tráfego muito baixo na regra 1010, consigo pingar pra qq lugar, (pq
> não
> > estou colocando ICMP nas regras de restrição) mais não consigo ter
> > navegação no cliente.
> >
> > Se eu deixo tudo como está e retiro a regra 1010, a navegação ocorre
> > normalmente, o único problema é que o upload não estará restrito ao mac
> > address do cliente.
> >
> > Alguém pode me dar alguma ideia de o que pode estar acontecendo? Sabem se
> > teve alguma alteração no IPFW ou no Free na versão 10 que alterou esse
> > comportamento?
> >
> > O estranho é que a mesma regra de firewall para tráfego de fora para o
> > cliente funciona, mais do cliente pra fora não.
> >
> > Agradeço qualquer ideia.
> >
> > --
> > Att.
> > __________________________________
> > Márcio Elias Hahn do Nascimento
> >
> > Araranguá - SC
> > Cel:   (55) 48-9661-0233
> > msn: marcioeliashahn em hotmail.com
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> Oi, Marcio,
>
> Chegaste a comparar variáveis com o sysctl, para ver se alguma variável
> default não mudou,
> ou nova variável surgiu?
>
> Rafael Mentz Aquino
> LK6 Soluções em TI
> Rua Domingos de Almeida, 135 sala 1102
> Centro - Novo Hamburgo - RS
> (51) 3035-6997 - 9999-7030
> www.lk6.com.br
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Mais detalhes sobre a lista de discussão freebsd