Alessandro, Estou executando o ipfw disable one_pass, sim.
A minha regra: 01650 allow ip from any to any layer2 not mac-type 0x0800 É a mesma que a sua: ipfw add 10 allow layer2 not mac-type ip Essa regra para liberar tudo que não for do tipo IP. Quanto ao controle de MAC e IP eu não faço, utilizo o layer2 apenas para bloquear alguns MAC indesejaveis e em seguida as regras de PIPE para controle de banda dos clientes. Como não faço o controle de MAC eu não posso seguir o link que o Márcio me enviou, pois esse coloca um deny layer2 antes de adicionar as regras de PIPE. Se eu fizer isso irei bloquear todo o trafego dos clientes, pois o MAC deles não está pré definido. Nas regras de PIPE eu utilizo "not layer2" justamente para que o controle de banda seja feito somente no protocolo IP e dessa forma a banda de navegação não fique reduzida à metade do que for definido no PIPE. Alguma idéia do porque das perdas de pacote? Obrigada. 2010/1/6 Alessandro de Souza Rocha <etherlin...@gmail.com> > renata vc desativou a passagem unica outra coisa eu uso controle de > mac e ip desta forma. > > ipfw disable one_pass > #liberar a tabela arp > ipfw add 10 allow layer2 not mac-type ip > > > ############################################## > #Controle de mac e ip de cada Cliente # > ############################################## > # Cliente: Cliente 1 > ipfw add 1 allow layer2 src-ip 192.168.0.1 mac any 00:11:09:d9:3f:6b in via > rl0 > > # Cliente: Cliente 2 > ipfw add 104 allow layer2 src-ip 10.1.1.2 MAC any 00:0b:d0:fe:00:d1 in via > rl0 > > # Cliente: Cliente 3 > ipfw add 5 allow layer2 src-ip 100.1.1.2 MAC any 00:0A:52:00:88:2D in via > rl0 > > #fechando tudo que não tiver cadastro na tabela acima > ipfw add 65000 deny all from any to any layer2 in via rl0 > > 2010/1/6, Renata Dias <renatchi...@gmail.com>: > > Boa tarde! > > > > > > Tenho um FreeBSD 7.2 STABLE rodando como router da minha rede e o trafego > da > > rede é de 34Mbps. > > > > Servidor HP: > > > > Intel(R) Xeon(R) CPU E5520 @ 2.27GHz > > usable memory = 6424711168 (6127 MB) > > FreeBSD/SMP: Multiprocessor System Detected: 8 CPUs > > cpu0 (BSP): APIC ID: 0 > > cpu1 (AP/HT): APIC ID: 1 > > cpu2 (AP): APIC ID: 2 > > cpu3 (AP/HT): APIC ID: 3 > > cpu4 (AP): APIC ID: 4 > > cpu5 (AP/HT): APIC ID: 5 > > cpu6 (AP): APIC ID: 6 > > cpu7 (AP/HT): APIC ID: 7 > > Kernel AMD64 > > > > Opções adicionadas no kernel DEFAULT: > > > > options HZ=2000 > > maxusers 6121 > > > > options ACCEPT_FILTER_DATA > > options DEVICE_POLLING > > options ACCEPT_FILTER_HTTP > > options IPSTEALTH > > options IPFIREWALL > > options IPFIREWALL_FORWARD > > options IPFIREWALL_VERBOSE > > options IPFIREWALL_VERBOSE_LIMIT=100 > > options IPFIREWALL_DEFAULT_TO_ACCEPT > > options IPDIVERT > > options DUMMYNET > > > > > > Quando eu habilito a sysctl net.link.ether.ipfw=1 toda minha rede passa a > > apresentar tempo de latencia acima de 80ms (quando rede local deveria ser > 0 > > ou 1ms) e perdas de pacote acima de 10%. É só eu voltar a sysctl > > net.link.ether.ipfw para 0 (zero) e a rede volta a responder com 0ms e 0% > de > > perdas. > > > > No meu Firewall tenho algumas regras de bloqueio de MAC e em seguida > regras > > de controle de banda: > > > > 01608 deny log logamount 100 ip from any to any in via bge0 MAC any > > 00:12:0e:a1:38:47 layer2 > > 01609 deny log logamount 100 ip from any to any in via bge0 MAC any > > 00:e0:4c:fa:87:48 layer2 > > 01650 allow ip from any to any layer2 not mac-type 0x0800 > > > > # Cliente 1 > > 20040 pipe 20040 ip from any to 200.200.200.243 out via bge0 not layer2 > > 20041 pipe 20041 ip from 200.200.200.243 to any in via bge0 not layer2 > > 20045 allow ip from any to 200.200.200.243 > > 20046 allow ip from 200.200.200.243 to any > > # Cliente 2 > > 20060 pipe 20060 ip from any to 200.200.200.220 out via bge0 not layer2 > > 20061 pipe 20061 ip from 200.200.200.220 to any in via bge0 not layer2 > > 20065 allow ip from any to 200.200.200.220 > > 20066 allow ip from 200.200.200.220 to any > > > > Obrigada! > > > > -- > > Renata Dias > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > -- > Alessandro de Souza Rocha > Administrador de Redes e Sistemas > FreeBSD-BR User #117 > Long live FreeBSD > > Powered by .... > > (__) > \\\'',) > \/ \ ^ > .\._/_) > > www.FreeBSD.org<http://www.freebsd.org/> > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Renata Dias ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd