Re: [FUG-BR] Firewall com prioridade para Navegaçã o
pessoal, fiz o teste e não funcionou.. utilizei o seguintes links http://na.mirror.garr.it/mirrors/zeroshell/kernel-2.6.19.7-source-compiled.tar.bz2 ftp://na.mirror.garr.it/mirrors/zeroshell/ A velocidade ficou a mesma.. Adicionei a regra abaixo e nada.. pass in quick on $ext_if proto tcp from any to any flags S/SA \ keep state queue def Em 8 de novembro de 2010 13:04, Mario Augusto Mania escreveu: > Entao você nao testou heheheh, já que vc mesmo disse que nao sabe se > esta funcionando :) > > Como vc pode testar: > > Coloca outro freebsd na outra ponta do cabo com ftp e apache. > Gere um arquivo com dd de uns 50Gbs. > Comece a baixar o arquivo por ftp, e veja a velocidade. > Monitore por 1 minuto mais ou menos, e entao comece a baixar o mesmo > arquivo, mas agora por http. > Voce vai testar baixando os dois ao mesmo tempo, 1 por ftp e outro por http. > Se suas regras funcionarem, a velocidade do ftp vai cair para 20% e a > do http sera equivalente a 80%. > > m3 > > Em 8 de novembro de 2010 13:31, Gustavo Freitas > escreveu: >> sim testei.. estou navegando com ele e enviando esta msg... já baixei >> arquivos >> o que eu gostaria de saber opinião de vocês principamente com relação >> a prioridade >> para navegação.. >> >> não sei esta funcionado .. tem como saber ?? outro detalhe é o consumo de >> banda >> por p2p.. o que eu quero não é bloquear é fazer que eles não tenha >> prioridade. >> >> >> >> >> Em 8 de novembro de 2010 12:13, Mario Augusto Mania >> escreveu: >>> Voce testou essas regras antes de postar? >>> Simulou o ambiente? >>> >>> m3 >>> >>> Em 8 de novembro de 2010 12:50, Gustavo Freitas >>> escreveu: Pessoal, Estou com iniciando no BSD e implementei um firewall usando PF, objetivo dele é somente controlar e dar prioridade para navegação na internet com uma reserva de banda de 80%, sem controle de trafego e nem bloqueio de portas. Gostaria da opinião de você e se esta correto.. int_if = "rl0" ext_if = "vr0" unsafe = "{ rl0, vr0 }" int_net = "10.0.0.0/8" int_alias = "10.10.0.0/16" set loginterface $int_if set skip on lo match in all scrub (no-df) nat on $ext_if from !($ext_if) -> ($ext_if:0) antispoof quick for { lo $int_if } set block-policy return block in log quick proto tcp flags FUP/WEUAPRSF block in log quick proto tcp flags WEUAPRSF/WEUAPRSF block in log quick proto tcp flags SRAFU/WEUAPRSF block in log quick proto tcp flags /WEUAPRSF block in log quick proto tcp flags SR/SR block in log quick proto tcp flags SF/SF altq on $ext_if cbq bandwidth 512Kb queue { def, http } queue def bandwidth 20% cbq(default borrow red) queue http bandwidth 80% cbq(borrow red) pass in quick on $ext_if proto tcp from any to any port { 80, 443 } flags S/SA \ keep state queue http # block in traffic from private networks on external interface block drop in quick on $ext_if from $int_alias to any # block out traffic to private networks on external interface block drop out quick on $ext_if from any to $int_alias antispoof quick for { lo $int_if } block in quick on $ext_if proto tcp from to any port 22 label "ssh bruteforce" # SSH connection pass in log on $int_if inet proto tcp from $int_net to { $int_if $ext_if } port ssh pass out log on $int_if inet proto tcp from $int_if to any port ssh # DNS queries pass in log on $int_if proto { tcp udp } from $int_net to $ext_if port { domain bootps } # ping block in log on $int_if proto icmp from $int_alias to $int_alias # File sharing applications pass in log on $int_if proto { tcp udp } from $int_net to any port socks -- Gustavo Freitas - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >>> >>> >>> -- >>> Atenciosmente >>> >>> Mario Augusto Mania >>> --- >>> m3.bsd.ma...@gmail.com >>> Cel.: (43) 9938-9629 >>> Msn: ma...@oquei.com >>> - >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >> >> >> >> -- >> Gustavo Freitas >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > > > -- > Atenciosmente > > Mario Augusto Mania > --- > m3.bsd.ma...@gmail.com > Cel.: (43) 9938-9629 > Msn: ma...@oquei.com > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Gustavo Freitas
Re: [FUG-BR] Firewall com prioridade para Navegaçã o
Entao você nao testou heheheh, já que vc mesmo disse que nao sabe se esta funcionando :) Como vc pode testar: Coloca outro freebsd na outra ponta do cabo com ftp e apache. Gere um arquivo com dd de uns 50Gbs. Comece a baixar o arquivo por ftp, e veja a velocidade. Monitore por 1 minuto mais ou menos, e entao comece a baixar o mesmo arquivo, mas agora por http. Voce vai testar baixando os dois ao mesmo tempo, 1 por ftp e outro por http. Se suas regras funcionarem, a velocidade do ftp vai cair para 20% e a do http sera equivalente a 80%. m3 Em 8 de novembro de 2010 13:31, Gustavo Freitas escreveu: > sim testei.. estou navegando com ele e enviando esta msg... já baixei arquivos > o que eu gostaria de saber opinião de vocês principamente com relação > a prioridade > para navegação.. > > não sei esta funcionado .. tem como saber ?? outro detalhe é o consumo de > banda > por p2p.. o que eu quero não é bloquear é fazer que eles não tenha prioridade. > > > > > Em 8 de novembro de 2010 12:13, Mario Augusto Mania > escreveu: >> Voce testou essas regras antes de postar? >> Simulou o ambiente? >> >> m3 >> >> Em 8 de novembro de 2010 12:50, Gustavo Freitas >> escreveu: >>> Pessoal, >>> >>> Estou com iniciando no BSD e implementei um firewall usando PF, objetivo >>> dele é >>> somente controlar e dar prioridade para navegação na internet com uma >>> reserva de banda >>> de 80%, sem controle de trafego e nem bloqueio de portas. >>> >>> Gostaria da opinião de você e se esta correto.. >>> >>> int_if = "rl0" >>> ext_if = "vr0" >>> unsafe = "{ rl0, vr0 }" >>> int_net = "10.0.0.0/8" >>> int_alias = "10.10.0.0/16" >>> >>> >>> set loginterface $int_if >>> set skip on lo >>> >>> match in all scrub (no-df) >>> >>> nat on $ext_if from !($ext_if) -> ($ext_if:0) >>> >>> antispoof quick for { lo $int_if } >>> >>> set block-policy return >>> >>> block in log quick proto tcp flags FUP/WEUAPRSF >>> block in log quick proto tcp flags WEUAPRSF/WEUAPRSF >>> block in log quick proto tcp flags SRAFU/WEUAPRSF >>> block in log quick proto tcp flags /WEUAPRSF >>> block in log quick proto tcp flags SR/SR >>> block in log quick proto tcp flags SF/SF >>> >>> altq on $ext_if cbq bandwidth 512Kb queue { def, http } >>> queue def bandwidth 20% cbq(default borrow red) >>> queue http bandwidth 80% cbq(borrow red) >>> >>> pass in quick on $ext_if proto tcp from any to any port { 80, 443 } flags >>> S/SA \ >>> keep state queue http >>> >>> # block in traffic from private networks on external interface >>> block drop in quick on $ext_if from $int_alias to any >>> >>> # block out traffic to private networks on external interface >>> block drop out quick on $ext_if from any to $int_alias >>> >>> antispoof quick for { lo $int_if } >>> block in quick on $ext_if proto tcp from to any port 22 >>> label "ssh bruteforce" >>> >>> # SSH connection >>> pass in log on $int_if inet proto tcp from $int_net to { $int_if >>> $ext_if } port ssh >>> pass out log on $int_if inet proto tcp from $int_if to any port ssh >>> >>> # DNS queries >>> pass in log on $int_if proto { tcp udp } from $int_net to $ext_if port >>> { domain bootps } >>> >>> # ping >>> block in log on $int_if proto icmp from $int_alias to $int_alias >>> >>> # File sharing applications >>> pass in log on $int_if proto { tcp udp } from $int_net to any port socks >>> >>> >>> >>> -- >>> Gustavo Freitas >>> - >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >> >> >> >> -- >> Atenciosmente >> >> Mario Augusto Mania >> --- >> m3.bsd.ma...@gmail.com >> Cel.: (43) 9938-9629 >> Msn: ma...@oquei.com >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > > > -- > Gustavo Freitas > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Atenciosmente Mario Augusto Mania --- m3.bsd.ma...@gmail.com Cel.: (43) 9938-9629 Msn: ma...@oquei.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall com prioridade para Navegaçã o
sim testei.. estou navegando com ele e enviando esta msg... já baixei arquivos o que eu gostaria de saber opinião de vocês principamente com relação a prioridade para navegação.. não sei esta funcionado .. tem como saber ?? outro detalhe é o consumo de banda por p2p.. o que eu quero não é bloquear é fazer que eles não tenha prioridade. Em 8 de novembro de 2010 12:13, Mario Augusto Mania escreveu: > Voce testou essas regras antes de postar? > Simulou o ambiente? > > m3 > > Em 8 de novembro de 2010 12:50, Gustavo Freitas > escreveu: >> Pessoal, >> >> Estou com iniciando no BSD e implementei um firewall usando PF, objetivo >> dele é >> somente controlar e dar prioridade para navegação na internet com uma >> reserva de banda >> de 80%, sem controle de trafego e nem bloqueio de portas. >> >> Gostaria da opinião de você e se esta correto.. >> >> int_if = "rl0" >> ext_if = "vr0" >> unsafe = "{ rl0, vr0 }" >> int_net = "10.0.0.0/8" >> int_alias = "10.10.0.0/16" >> >> >> set loginterface $int_if >> set skip on lo >> >> match in all scrub (no-df) >> >> nat on $ext_if from !($ext_if) -> ($ext_if:0) >> >> antispoof quick for { lo $int_if } >> >> set block-policy return >> >> block in log quick proto tcp flags FUP/WEUAPRSF >> block in log quick proto tcp flags WEUAPRSF/WEUAPRSF >> block in log quick proto tcp flags SRAFU/WEUAPRSF >> block in log quick proto tcp flags /WEUAPRSF >> block in log quick proto tcp flags SR/SR >> block in log quick proto tcp flags SF/SF >> >> altq on $ext_if cbq bandwidth 512Kb queue { def, http } >> queue def bandwidth 20% cbq(default borrow red) >> queue http bandwidth 80% cbq(borrow red) >> >> pass in quick on $ext_if proto tcp from any to any port { 80, 443 } flags >> S/SA \ >> keep state queue http >> >> # block in traffic from private networks on external interface >> block drop in quick on $ext_if from $int_alias to any >> >> # block out traffic to private networks on external interface >> block drop out quick on $ext_if from any to $int_alias >> >> antispoof quick for { lo $int_if } >> block in quick on $ext_if proto tcp from to any port 22 >> label "ssh bruteforce" >> >> # SSH connection >> pass in log on $int_if inet proto tcp from $int_net to { $int_if >> $ext_if } port ssh >> pass out log on $int_if inet proto tcp from $int_if to any port ssh >> >> # DNS queries >> pass in log on $int_if proto { tcp udp } from $int_net to $ext_if port >> { domain bootps } >> >> # ping >> block in log on $int_if proto icmp from $int_alias to $int_alias >> >> # File sharing applications >> pass in log on $int_if proto { tcp udp } from $int_net to any port socks >> >> >> >> -- >> Gustavo Freitas >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > > > -- > Atenciosmente > > Mario Augusto Mania > --- > m3.bsd.ma...@gmail.com > Cel.: (43) 9938-9629 > Msn: ma...@oquei.com > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Gustavo Freitas - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall com prioridade para Navegaçã o
Voce testou essas regras antes de postar? Simulou o ambiente? m3 Em 8 de novembro de 2010 12:50, Gustavo Freitas escreveu: > Pessoal, > > Estou com iniciando no BSD e implementei um firewall usando PF, objetivo dele > é > somente controlar e dar prioridade para navegação na internet com uma > reserva de banda > de 80%, sem controle de trafego e nem bloqueio de portas. > > Gostaria da opinião de você e se esta correto.. > > int_if = "rl0" > ext_if = "vr0" > unsafe = "{ rl0, vr0 }" > int_net = "10.0.0.0/8" > int_alias = "10.10.0.0/16" > > > set loginterface $int_if > set skip on lo > > match in all scrub (no-df) > > nat on $ext_if from !($ext_if) -> ($ext_if:0) > > antispoof quick for { lo $int_if } > > set block-policy return > > block in log quick proto tcp flags FUP/WEUAPRSF > block in log quick proto tcp flags WEUAPRSF/WEUAPRSF > block in log quick proto tcp flags SRAFU/WEUAPRSF > block in log quick proto tcp flags /WEUAPRSF > block in log quick proto tcp flags SR/SR > block in log quick proto tcp flags SF/SF > > altq on $ext_if cbq bandwidth 512Kb queue { def, http } > queue def bandwidth 20% cbq(default borrow red) > queue http bandwidth 80% cbq(borrow red) > > pass in quick on $ext_if proto tcp from any to any port { 80, 443 } flags > S/SA \ > keep state queue http > > # block in traffic from private networks on external interface > block drop in quick on $ext_if from $int_alias to any > > # block out traffic to private networks on external interface > block drop out quick on $ext_if from any to $int_alias > > antispoof quick for { lo $int_if } > block in quick on $ext_if proto tcp from to any port 22 > label "ssh bruteforce" > > # SSH connection > pass in log on $int_if inet proto tcp from $int_net to { $int_if > $ext_if } port ssh > pass out log on $int_if inet proto tcp from $int_if to any port ssh > > # DNS queries > pass in log on $int_if proto { tcp udp } from $int_net to $ext_if port > { domain bootps } > > # ping > block in log on $int_if proto icmp from $int_alias to $int_alias > > # File sharing applications > pass in log on $int_if proto { tcp udp } from $int_net to any port socks > > > > -- > Gustavo Freitas > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Atenciosmente Mario Augusto Mania --- m3.bsd.ma...@gmail.com Cel.: (43) 9938-9629 Msn: ma...@oquei.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Firewall com prioridade para Navegaçã o
Pessoal, Estou com iniciando no BSD e implementei um firewall usando PF, objetivo dele é somente controlar e dar prioridade para navegação na internet com uma reserva de banda de 80%, sem controle de trafego e nem bloqueio de portas. Gostaria da opinião de você e se esta correto.. int_if = "rl0" ext_if = "vr0" unsafe = "{ rl0, vr0 }" int_net = "10.0.0.0/8" int_alias = "10.10.0.0/16" set loginterface $int_if set skip on lo match in all scrub (no-df) nat on $ext_if from !($ext_if) -> ($ext_if:0) antispoof quick for { lo $int_if } set block-policy return block in log quick proto tcp flags FUP/WEUAPRSF block in log quick proto tcp flags WEUAPRSF/WEUAPRSF block in log quick proto tcp flags SRAFU/WEUAPRSF block in log quick proto tcp flags /WEUAPRSF block in log quick proto tcp flags SR/SR block in log quick proto tcp flags SF/SF altq on $ext_if cbq bandwidth 512Kb queue { def, http } queue def bandwidth 20% cbq(default borrow red) queue http bandwidth 80% cbq(borrow red) pass in quick on $ext_if proto tcp from any to any port { 80, 443 } flags S/SA \ keep state queue http # block in traffic from private networks on external interface block drop in quick on $ext_if from $int_alias to any # block out traffic to private networks on external interface block drop out quick on $ext_if from any to $int_alias antispoof quick for { lo $int_if } block in quick on $ext_if proto tcp from to any port 22 label "ssh bruteforce" # SSH connection pass in log on $int_if inet proto tcp from $int_net to { $int_if $ext_if } port ssh pass out log on $int_if inet proto tcp from $int_if to any port ssh # DNS queries pass in log on $int_if proto { tcp udp } from $int_net to $ext_if port { domain bootps } # ping block in log on $int_if proto icmp from $int_alias to $int_alias # File sharing applications pass in log on $int_if proto { tcp udp } from $int_net to any port socks -- Gustavo Freitas - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd