2014-02-10 17:22 GMT-02:00 Edinilson - ATINET <[email protected]>:
> ----- Mensagem original ----- > > De: "Márcio Elias" <[email protected]> > > Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > <[email protected]> > > Enviadas: Segunda-feira, 10 de fevereiro de 2014 12:04:24 > > Assunto: [FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address > > > > Bom dia pessoal da lista, > > > > eu tenho diversos servidores FreeBSD rodando (versões 8.x e 9.x) como > > routers para subredes de meus clientes (trabalho em um ISP). > > > > Pois bem, agora com o lançamento do FreeBSD 10 e seus aperfeiçoamentos > > para > > virtualização estou virtualizando meus servidores, mais estou tento um > > problema que não tinha nas versões anteriores do Free. > > > > Basicamente eu controlo o acesso de meus clientes por MAC, com IPs > fixados > > no DHCP e jogo cada cliente em um pipe para Upload e outro para Download. > > > > Cada servidor tem 2 interfaces de rede e estou utilizando o Natd (divert, > > ainda não tentei o IPFIREWALL_NAT). > > > > Abaixo seguem as regras (mínimo para facilitar o entendimento) para um > > cliente, que funcionavam em versoes anteriores e não estão funcionando na > > versão 10. > > > > ipfw add 50 divert natd ip from any to me in recv ${natd_interface} > > ipfw add 50 divert natd ip from 192.168.0.0/16 to any out xmit > > ${natd_interface} > > ipfw add 1000 pipe 150 ip from any to 192.168.5.18 MAC XX:XX:XX:XX:XX:XX > > any > > ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC any > > XX:XX:XX:XX:XX:XX > > ipfw add 65535 allow ip from any to any > > > > os pipes: > > > > 00155: 1.000 Mbit/s 0 ms burst 0 > > q131227 50 sl. 0 flows (1 buckets) sched 65691 weight 0 lmax 0 pri 0 > > droptail > > sched 65691 type FIFO flags 0x0 0 buckets 0 active > > > > 00150: 4.000 Mbit/s 0 ms burst 0 > > q131222 50 sl. 0 flows (1 buckets) sched 65686 weight 0 lmax 0 pri 0 > > droptail > > sched 65686 type FIFO flags 0x0 0 buckets 0 active > > > > dentro do dhcpd.conf tenho essa configuração para este cliente: > > > > host 1570 { hardware ethernet XX:XX:XX:XX:XX:XX; fixed-address > > 192.168.5.18; } > > > > O cliente pega o IP esperado, vejo tráfego normal em todas as regras, > mais > > um tráfego muito baixo na regra 1010, consigo pingar pra qq lugar, (pq > não > > estou colocando ICMP nas regras de restrição) mais não consigo ter > > navegação no cliente. > > > > Se eu deixo tudo como está e retiro a regra 1010, a navegação ocorre > > normalmente, o único problema é que o upload não estará restrito ao mac > > address do cliente. > > > > Alguém pode me dar alguma ideia de o que pode estar acontecendo? Sabem se > > teve alguma alteração no IPFW ou no Free na versão 10 que alterou esse > > comportamento? > > > > O estranho é que a mesma regra de firewall para tráfego de fora para o > > cliente funciona, mais do cliente pra fora não. > > > > Agradeço qualquer ideia. > > > > -- > > Att. > > __________________________________ > > Márcio Elias Hahn do Nascimento > > > > Araranguá - SC > > Cel: (55) 48-9661-0233 > > msn: [email protected] > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > A regra > ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC any > XX:XX:XX:XX:XX:XX > > está correta? > > > Nao seria: > ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC XX:XX:XX:XX:XX:XX > > Edinilson > ------------------------------------------ > ATINET > Tel Voz: (0xx11) 4412-0876 > http://www.atinet.com.br > > > > Não, ao contrário do IP, a sintaxe do MAC é destino, origem... ai está a explicação do man page do IPFW { MAC | mac } dst-mac src-mac Match packets with a given dst-mac and src-mac addresses, speci- fied as the any keyword (matching any MAC address), or six groups of hex digits separated by colons, and optionally followed by a mask indicating the significant bits. Ou seja esta regra era supostamente para adicionar ao pipe 155 todo o tráfego vindo do IP 192.168.5.18 com MAC XX:XX:XX:XX:XX:XX e indo a qualquer lugar (any) com qualquer MAC (any). Funciona perfeitamente nas versões anteriores... -- Att. __________________________________ Márcio Elias Hahn do Nascimento Araranguá - SC Cel: (55) 48-9661-0233 msn: [email protected] ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
