Bom eu tenho uma bridge com controle de banda de IPs validos e funciona muito bem
#Cliente /sbin/ipfw add 190 pipe 190 ip from any to 200.200.200.12 /sbin/ipfw add 191 pipe 191 ip from 200.200.200.12 to any /sbin/ipfw pipe 190 config bw 128kbit/s delay 5ms queue 8kbytes /sbin/ipfw pipe 191 config bw 128kbit/s delay 5ms queue 8kbytes /sbin/ipfw add 65534 deny all from 200.200.200.0/24 to any Veja que no final eu bloqueio toda a rede isso permite que so os IPs do controle de banda funcionem Em 14/12/07, Renato de Oliveira Diogo <[EMAIL PROTECTED]> escreveu: > > Olá senhores > > estou tentando fazer uma bridge para controle de banda, porém estou > com problemas nas regras do meu script do ipfw: > > Obs.: re0 é uma interface para adm. > rl0 é a interface da bridge voltada para a internet > rl1 é a interface da bridge voltada para rede interna > > === > #!/sbin/sh > ###### > ## Regras basicas > # > # Entrada E/OU saida do host "br" > ###### > IPFW=/sbin/ipfw > > $IPFW -f flush > > $IPFW add 1 allow ip from any to any via lo0 > $IPFW add 2 deny ip from any to 127.0.0.0/8 > $IPFW add 3 deny ip from 127.0.0.0/8 to any > $IPFW add 4 check-state > $IPFW add 5 allow src-ip 192.168.10.0/24 dst-ip me dst-port 22 via re0 > keep-state > $IPFW add 6 allow src-ip 192.168.10.0/24 dst-ip me icmptypes 0,8 via > re0 keep-state > $IPFW add 6 allow src-ip me dst-ip any icmptypes 0,8 via re0 keep-state > $IPFW add 7 allow src-ip 192.168.10.0/24 dst-ip me proto udp dst-port > 161,162 via re0 keep-state > > ###### > ## Controle de banda > # > # > ###### > > # Bloco1 - UP: 1024Kbit/s DOWN: 1024Kbit/s > $IPFW add 1001 pipe 1 src-ip 192.168.0.0/24 xmit rl0 out > $IPFW add 1002 pipe 2 dst-ip 192.168.0.0/24 xmit rl1 out > $IPFW pipe 1 config bw 1024Kbit/s queue 10KBytes > $IPFW pipe 2 config bw 1024Kbit/s queue 10KBytes > $IPFW add 2001 allow src-ip 192.168.0.0/24 recv rl1 keep-state > $IPFW add 2002 allow dst-ip 192.168.0.0/24 recv rl0 keep-state > === > > Desta forma, a bridge não está funcionando. Pelo q percebi os pacotes > não estão batendo na regra 1001 e 1002... Agora se eu coloco uma regra > pra abrir o firewall, aí a dridge funciona, porém meu PC fica aberto. > > Já tentei dessa forma, mas um hora funcionou, mas de nada parou: > > ==== > #!/sbin/sh > ###### > ## Regras basicas > # > # Entrada E/OU saida do host "br" > ###### > IPFW=/sbin/ipfw > > $IPFW -f flush > > $IPFW add 1 allow ip from any to any via lo0 > $IPFW add 2 deny ip from any to 127.0.0.0/8 > $IPFW add 3 deny ip from 127.0.0.0/8 to any > $IPFW add 5 allow src-ip 192.168.10.0/24 dst-ip me dst-port 22 via re0 > $IPFW add 5 allow dst-ip me src-ip any src-port 22 via re0 > $IPFW add 6 allow src-ip 192.168.10.0/24 dst-ip me icmptypes 0,8 via re0 > $IPFW add 6 allow src-ip me dst-ip any icmptypes 0,8 via re0 > $IPFW add 7 allow src-ip 192.168.10.0/24 dst-ip me proto udp dst-port > 161,162 via re0 > $IPFW add 7 allow dst-ip me src-ip any proto udp src-port 161,162 via re0 > > ###### > ## Controle de banda > # > # > ###### > > # Bloco1 - UP: 1024Kbit/s DOWN: 1024Kbit/s > $IPFW add 1001 pipe 1 src-ip 192.168.0.0/24 xmit rl0 out > $IPFW add 1002 pipe 2 dst-ip 192.168.0.0/24 xmit rl1 out > $IPFW pipe 1 config bw 1024Kbit/s queue 10KBytes > $IPFW pipe 2 config bw 1024Kbit/s queue 10KBytes > $IPFW add 2001 allow src-ip 192.168.0.0/24 via rl0,rl1 > $IPFW add 2002 allow dst-ip 192.168.0.0/24 via rl0,rl1 > ==== > > Neste segundo não trabalhei com state-full. > > > Alguem tem alguma ideia onde está o problema? > -- > ________________________________________________ > Renato de Oliveira Diogo > > Bacharel em Ciência da Computação > UNESP - Bauru > > [EMAIL PROTECTED] > [EMAIL PROTECTED] > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
