[FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address
Márcio Elias
marcioelias em gmail.com
Terça Fevereiro 11 00:13:20 BRST 2014
2014-02-10 22:10 GMT-02:00 Renato Frederick <renato em frederick.eti.br>:
> Em 10/02/14 12:04, Márcio Elias escreveu:
> > Abaixo seguem as regras (mínimo para facilitar o entendimento) para um
> > cliente, que funcionavam em versoes anteriores e não estão funcionando na
> > versão 10.
> >
> > ipfw add 50 divert natd ip from any to me in recv ${natd_interface}
> > ipfw add 50 divert natd ip from 192.168.0.0/16 to any out xmit
> > ${natd_interface}
> > ipfw add 1000 pipe 150 ip from any to 192.168.5.18 MAC XX:XX:XX:XX:XX:XX
> any
> > ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC any
> XX:XX:XX:XX:XX:XX
> > ipfw add 65535 allow ip from any to any
> Opa
>
> olha aqui[1]...
>
> Sempre coloco um not layer2, isto já me deu lentidão ou tráfego que
> não alcançava o que eu mandava, assim eu sempre faço agora:
>
> 11 2945525 398239003 pipe 1234 ip from 11.2.3.4 to any in via xl0
> not layer2
> 12 4257997 4135972152 pipe 4567 ip from any to 11.2.3.4 out via
> xl0 not layer2
>
>
> Pela sua saída do pipe, acho que não mudou nada do free antigo, tá igual
> a minha
>
> pipe 1234 show
> 1234: 256.000 Kbit/s 0 ms burst 0
> q135100 50 sl. 0 flows (1 buckets) sched 69564 weight 0 lmax 0 pri 0
> droptail
> sched 69564 type FIFO flags 0x0 0 buckets 0 active
>
>
> Sobre a sysctl, tá igual aqui tb
>
> net.link.ether.ipfw=1
>
>
> [1]http://www.fug.com.br/historico/html/freebsd/2010-01/msg00099.html
> -------------------------
>
Então, como havia respondido anteriormente, já ví que o problema não é com
o controle de mac, se eu colocar a mesma regra jogando o tráfego de saída
para um determinado pipe, sem considerar o mac, também não funciona.
Já tinha virtualizado a versão 9, mais a performance no Xen não ficou tão
boa quanto eu esperava, usei as mesmas regras e funcionava.
Até cheguei a pensar em algum erro na configuração das VLANs entre o Server
rodando do Xen e o Switch Dell onde o mesmo está conectado, mais está tudo
certo, fiz e refiz, tanto é que sem a regra que joga o tráfego de saída
para o pipe, o nat funciona passando pela máquina virtual como gateway.
Não sei muito bem o que fazer, acho que vou reinstalar o 9 em outra máquina
virtual no mesmo servidor físico, fazer a mesma configuração e ver se
funciona, depois vou instalar o 10 em um servidor físico dedicado e fazer o
mesmo teste.
Pode ser que assim eu encontre alguma coisa.
Tá certo que o 10-RELEASE é recente, mais a documentação mais rica que
achei foi o RELEASE NOTES.
Por exemplo IPFIREWALL_NAT tem um texto minúsculo no man page do IPFW.
Espero que com o passar do tempo essas documentações sejam atualizadas.
--
Att.
__________________________________
Márcio Elias Hahn do Nascimento
Araranguá - SC
Cel: (55) 48-9661-0233
msn: marcioeliashahn em hotmail.com
Mais detalhes sobre a lista de discussão freebsd