Nilton Jose Rizzo wrote:

>On Fri, 24 Mar 2006 05:20:52 +0000 (GMT), Gustavo Gomes wrote
>
>Gustavo,
>
>  
>
>>Pessoal, são sei pq o controle de banda abaixo nao funciona com a 
>>regra do squid.
>>
>># limpando as chains existentes
>>$ipfw -f flush
>>
>>#Direcionando para o Squid
>>$ipfw add 3 fwd 127.0.0.1,3128 dst-port 80 src-ip 10.10.50.0/24
>>$ipfw add 4 allow dst-port 3128 dst-ip 10.10.50.1 src-ip 
>>10.10.50.0/24 $ipfw add 5 deny dst-port 3128
>>
>>#Regra para o NAT
>>$ipfw add 6 divert natd via rl0
>>
>># LOOPBACK
>>$ipfw add 7 allow ip from any to any via lo0
>>$ipfw add 8 deny ip from any to 127.0.0.0/8
>>$ipfw add 9 deny ip from 127.0.0.0/8 to any
>>
>>#Bloqueando NetBios
>>$ipfw add 10 deny log all from any 135-139,445 to any
>>$ipfw add 11 deny log all from any to any 135-139,445
>>
>>#Liberando o SSH
>>$ipfw add 22 allow proto tcp dst-port ssh recv rl0
>>
>>##10.10.50.5
>>$ipfw add 100 pipe 1 src-ip 10.10.50.5 out
>>$ipfw add 101 pipe 2 dst-ip 10.10.50.5 in
>>$ipfw pipe 1 config mask src-ip 0x000000ff bw 64Kbit/s queue 8KBytes
>>$ipfw pipe 2 config mask dst-ip 0x000000ff bw 64Kbit/s queue 8KBytes
>>
>>Alguem pode me ajudar.
>>
>>Gustavo
>>
>>    
>>
>Pelo que sei e entendi quando li as definicoes de controle de banda,
>esse controle TEM que ser feito antes de qualquer coisa (squid, nat)
>pois depois que passar para outro nivel (squid,nat) voce "perde" a origem
>real, apenas teria o controle do IP de saida, uma vez que ambos (squid,nat)
>saem atravez o IP da plaac de saida.
>Para ando é aconselhavel colocar a variável 
>net.inet.ip.forwarding = 1
>Para que o firewal (ipfw) não pare na regra do pipe, seguindo as demias
>regras para squid/nat.
>Por favor confirmem se é isso mesmo!
>
>        Rizzo
>
>  
>
Gustavo,

se o controle de banda é feito na mesma máquina que o NAT ele pode vir 
antes ou depois, dependendo da sysctl net.inet.ip.fw.one_pass.

net.inet.ip.fw.one_pass: 1
Forces a single pass through the firewall. If set to 0,
packets coming out of a pipe will be reinjected into the
firewall starting with the rule after the matching one.
NOTE: there is always one pass for bridged packets.

net.inet.ip.fw.one_pass: 1
When set, the packet exiting from the dummynet(4) pipe or from
ng_ipfw(4) node is not passed though the firewall again.  Other-
wise, after an action, the packet is reinjected into the firewall
at the next rule.

Este último tirado do manual do ipfw (man ipfw).

Dependendo de como estiver o seu cenário, você poderia colocar a 
sequencia das regras como sendo: NAT, CONTROLE DE BANDA e SQUID.

Espero ter ajudado.

-- 
Atenciosamente,
Mario Sergio Candian
FreeBSD Brasil LTDA.
-
"Dreams as if you'll live forever. Live as if you'll die today" -- James Dean

_______________________________________________
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br

Responder a