Nilton Jose Rizzo wrote: >On Fri, 24 Mar 2006 05:20:52 +0000 (GMT), Gustavo Gomes wrote > >Gustavo, > > > >>Pessoal, são sei pq o controle de banda abaixo nao funciona com a >>regra do squid. >> >># limpando as chains existentes >>$ipfw -f flush >> >>#Direcionando para o Squid >>$ipfw add 3 fwd 127.0.0.1,3128 dst-port 80 src-ip 10.10.50.0/24 >>$ipfw add 4 allow dst-port 3128 dst-ip 10.10.50.1 src-ip >>10.10.50.0/24 $ipfw add 5 deny dst-port 3128 >> >>#Regra para o NAT >>$ipfw add 6 divert natd via rl0 >> >># LOOPBACK >>$ipfw add 7 allow ip from any to any via lo0 >>$ipfw add 8 deny ip from any to 127.0.0.0/8 >>$ipfw add 9 deny ip from 127.0.0.0/8 to any >> >>#Bloqueando NetBios >>$ipfw add 10 deny log all from any 135-139,445 to any >>$ipfw add 11 deny log all from any to any 135-139,445 >> >>#Liberando o SSH >>$ipfw add 22 allow proto tcp dst-port ssh recv rl0 >> >>##10.10.50.5 >>$ipfw add 100 pipe 1 src-ip 10.10.50.5 out >>$ipfw add 101 pipe 2 dst-ip 10.10.50.5 in >>$ipfw pipe 1 config mask src-ip 0x000000ff bw 64Kbit/s queue 8KBytes >>$ipfw pipe 2 config mask dst-ip 0x000000ff bw 64Kbit/s queue 8KBytes >> >>Alguem pode me ajudar. >> >>Gustavo >> >> >> >Pelo que sei e entendi quando li as definicoes de controle de banda, >esse controle TEM que ser feito antes de qualquer coisa (squid, nat) >pois depois que passar para outro nivel (squid,nat) voce "perde" a origem >real, apenas teria o controle do IP de saida, uma vez que ambos (squid,nat) >saem atravez o IP da plaac de saida. >Para ando é aconselhavel colocar a variável >net.inet.ip.forwarding = 1 >Para que o firewal (ipfw) não pare na regra do pipe, seguindo as demias >regras para squid/nat. >Por favor confirmem se é isso mesmo! > > Rizzo > > > Gustavo,
se o controle de banda é feito na mesma máquina que o NAT ele pode vir antes ou depois, dependendo da sysctl net.inet.ip.fw.one_pass. net.inet.ip.fw.one_pass: 1 Forces a single pass through the firewall. If set to 0, packets coming out of a pipe will be reinjected into the firewall starting with the rule after the matching one. NOTE: there is always one pass for bridged packets. net.inet.ip.fw.one_pass: 1 When set, the packet exiting from the dummynet(4) pipe or from ng_ipfw(4) node is not passed though the firewall again. Other- wise, after an action, the packet is reinjected into the firewall at the next rule. Este último tirado do manual do ipfw (man ipfw). Dependendo de como estiver o seu cenário, você poderia colocar a sequencia das regras como sendo: NAT, CONTROLE DE BANDA e SQUID. Espero ter ajudado. -- Atenciosamente, Mario Sergio Candian FreeBSD Brasil LTDA. - "Dreams as if you'll live forever. Live as if you'll die today" -- James Dean _______________________________________________ freebsd mailing list [email protected] http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
