[FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address

Edinilson - ATINET edinilson em atinet.com.br
Segunda Fevereiro 10 17:22:05 BRST 2014 

----- Mensagem original -----
> De: "Márcio Elias" <marcioelias at gmail.com>
> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
> <freebsd at fug.com.br>
> Enviadas: Segunda-feira, 10 de fevereiro de 2014 12:04:24
> Assunto: [FUG-BR]  FreeBSD 10-RELEASE + IPFW + MAC Address
>
> Bom dia pessoal da lista,
>
> eu tenho diversos servidores FreeBSD rodando (versões 8.x e 9.x) como
> routers para subredes de meus clientes (trabalho em um ISP).
>
> Pois bem, agora com o lançamento do FreeBSD 10 e seus aperfeiçoamentos 
> para
> virtualização estou virtualizando meus servidores, mais estou tento um
> problema que não tinha nas versões anteriores do Free.
>
> Basicamente eu controlo o acesso de meus clientes por MAC, com IPs fixados
> no DHCP e jogo cada cliente em um pipe para Upload e outro para Download.
>
> Cada servidor tem 2 interfaces de rede e estou utilizando o Natd (divert,
> ainda não tentei o IPFIREWALL_NAT).
>
> Abaixo seguem as regras (mínimo para facilitar o entendimento) para um
> cliente, que funcionavam em versoes anteriores e não estão funcionando na
> versão 10.
>
> ipfw add 50 divert natd ip from any to me in recv ${natd_interface}
> ipfw add 50 divert natd ip from 192.168.0.0/16 to any out xmit
> ${natd_interface}
> ipfw add 1000 pipe 150 ip from any to 192.168.5.18 MAC XX:XX:XX:XX:XX:XX 
> any
> ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC any 
> XX:XX:XX:XX:XX:XX
> ipfw add 65535 allow ip from any to any
>
> os pipes:
>
> 00155:   1.000 Mbit/s    0 ms burst 0
> q131227  50 sl. 0 flows (1 buckets) sched 65691 weight 0 lmax 0 pri 0
> droptail
>  sched 65691 type FIFO flags 0x0 0 buckets 0 active
>
> 00150:   4.000 Mbit/s    0 ms burst 0
> q131222  50 sl. 0 flows (1 buckets) sched 65686 weight 0 lmax 0 pri 0
> droptail
>  sched 65686 type FIFO flags 0x0 0 buckets 0 active
>
> dentro do dhcpd.conf tenho essa configuração para este cliente:
>
> host 1570 {  hardware ethernet XX:XX:XX:XX:XX:XX;   fixed-address
> 192.168.5.18;   }
>
> O cliente pega o IP esperado, vejo tráfego normal em todas as regras, mais
> um tráfego muito baixo na regra 1010, consigo pingar pra qq lugar, (pq não
> estou colocando ICMP nas regras de restrição) mais não consigo ter
> navegação no cliente.
>
> Se eu deixo tudo como está e retiro a regra 1010, a navegação ocorre
> normalmente, o único problema é que o upload não estará restrito ao mac
> address do cliente.
>
> Alguém pode me dar alguma ideia de o que pode estar acontecendo? Sabem se
> teve alguma alteração no IPFW ou no Free na versão 10 que alterou esse
> comportamento?
>
> O estranho é que a mesma regra de firewall para tráfego de fora para o
> cliente funciona, mais do cliente pra fora não.
>
> Agradeço qualquer ideia.
>
> --
> Att.
> __________________________________
> Márcio Elias Hahn do Nascimento
>
> Araranguá - SC
> Cel:   (55) 48-9661-0233
> msn: marcioeliashahn at hotmail.com
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

A regra
ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC any XX:XX:XX:XX:XX:XX

está correta?


Nao seria:
ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC XX:XX:XX:XX:XX:XX

Edinilson
------------------------------------------
ATINET
Tel Voz: (0xx11) 4412-0876
http://www.atinet.com.br

Mais detalhes sobre a lista de discussão freebsd