Re: [FUG-BR] Firewall com prioridade para Navegaçã o
pessoal,
fiz o teste e não funcionou.. utilizei o seguintes links
http://na.mirror.garr.it/mirrors/zeroshell/kernel-2.6.19.7-source-compiled.tar.bz2
ftp://na.mirror.garr.it/mirrors/zeroshell/
A velocidade ficou a mesma..
Adicionei a regra abaixo e nada..
pass in quick on $ext_if proto tcp from any to any flags S/SA \
keep state queue def
Em 8 de novembro de 2010 13:04, Mario Augusto Mania
escreveu:
> Entao você nao testou heheheh, já que vc mesmo disse que nao sabe se
> esta funcionando :)
>
> Como vc pode testar:
>
> Coloca outro freebsd na outra ponta do cabo com ftp e apache.
> Gere um arquivo com dd de uns 50Gbs.
> Comece a baixar o arquivo por ftp, e veja a velocidade.
> Monitore por 1 minuto mais ou menos, e entao comece a baixar o mesmo
> arquivo, mas agora por http.
> Voce vai testar baixando os dois ao mesmo tempo, 1 por ftp e outro por http.
> Se suas regras funcionarem, a velocidade do ftp vai cair para 20% e a
> do http sera equivalente a 80%.
>
> m3
>
> Em 8 de novembro de 2010 13:31, Gustavo Freitas
> escreveu:
>> sim testei.. estou navegando com ele e enviando esta msg... já baixei
>> arquivos
>> o que eu gostaria de saber opinião de vocês principamente com relação
>> a prioridade
>> para navegação..
>>
>> não sei esta funcionado .. tem como saber ?? outro detalhe é o consumo de
>> banda
>> por p2p.. o que eu quero não é bloquear é fazer que eles não tenha
>> prioridade.
>>
>>
>>
>>
>> Em 8 de novembro de 2010 12:13, Mario Augusto Mania
>> escreveu:
>>> Voce testou essas regras antes de postar?
>>> Simulou o ambiente?
>>>
>>> m3
>>>
>>> Em 8 de novembro de 2010 12:50, Gustavo Freitas
>>> escreveu:
Pessoal,
Estou com iniciando no BSD e implementei um firewall usando PF, objetivo
dele é
somente controlar e dar prioridade para navegação na internet com uma
reserva de banda
de 80%, sem controle de trafego e nem bloqueio de portas.
Gostaria da opinião de você e se esta correto..
int_if = "rl0"
ext_if = "vr0"
unsafe = "{ rl0, vr0 }"
int_net = "10.0.0.0/8"
int_alias = "10.10.0.0/16"
set loginterface $int_if
set skip on lo
match in all scrub (no-df)
nat on $ext_if from !($ext_if) -> ($ext_if:0)
antispoof quick for { lo $int_if }
set block-policy return
block in log quick proto tcp flags FUP/WEUAPRSF
block in log quick proto tcp flags WEUAPRSF/WEUAPRSF
block in log quick proto tcp flags SRAFU/WEUAPRSF
block in log quick proto tcp flags /WEUAPRSF
block in log quick proto tcp flags SR/SR
block in log quick proto tcp flags SF/SF
altq on $ext_if cbq bandwidth 512Kb queue { def, http }
queue def bandwidth 20% cbq(default borrow red)
queue http bandwidth 80% cbq(borrow red)
pass in quick on $ext_if proto tcp from any to any port { 80, 443 } flags
S/SA \
keep state queue http
# block in traffic from private networks on external interface
block drop in quick on $ext_if from $int_alias to any
# block out traffic to private networks on external interface
block drop out quick on $ext_if from any to $int_alias
antispoof quick for { lo $int_if }
block in quick on $ext_if proto tcp from to any port 22
label "ssh bruteforce"
# SSH connection
pass in log on $int_if inet proto tcp from $int_net to { $int_if
$ext_if } port ssh
pass out log on $int_if inet proto tcp from $int_if to any port ssh
# DNS queries
pass in log on $int_if proto { tcp udp } from $int_net to $ext_if port
{ domain bootps }
# ping
block in log on $int_if proto icmp from $int_alias to $int_alias
# File sharing applications
pass in log on $int_if proto { tcp udp } from $int_net to any port socks
--
Gustavo Freitas
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>
>>>
>>> --
>>> Atenciosmente
>>>
>>> Mario Augusto Mania
>>> ---
>>> m3.bsd.ma...@gmail.com
>>> Cel.: (43) 9938-9629
>>> Msn: ma...@oquei.com
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>>
>>
>> --
>> Gustavo Freitas
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
>
> --
> Atenciosmente
>
> Mario Augusto Mania
> ---
> m3.bsd.ma...@gmail.com
> Cel.: (43) 9938-9629
> Msn: ma...@oquei.com
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Gustavo Freitas
Re: [FUG-BR] Firewall com prioridade para Navegaçã o
Entao você nao testou heheheh, já que vc mesmo disse que nao sabe se
esta funcionando :)
Como vc pode testar:
Coloca outro freebsd na outra ponta do cabo com ftp e apache.
Gere um arquivo com dd de uns 50Gbs.
Comece a baixar o arquivo por ftp, e veja a velocidade.
Monitore por 1 minuto mais ou menos, e entao comece a baixar o mesmo
arquivo, mas agora por http.
Voce vai testar baixando os dois ao mesmo tempo, 1 por ftp e outro por http.
Se suas regras funcionarem, a velocidade do ftp vai cair para 20% e a
do http sera equivalente a 80%.
m3
Em 8 de novembro de 2010 13:31, Gustavo Freitas
escreveu:
> sim testei.. estou navegando com ele e enviando esta msg... já baixei arquivos
> o que eu gostaria de saber opinião de vocês principamente com relação
> a prioridade
> para navegação..
>
> não sei esta funcionado .. tem como saber ?? outro detalhe é o consumo de
> banda
> por p2p.. o que eu quero não é bloquear é fazer que eles não tenha prioridade.
>
>
>
>
> Em 8 de novembro de 2010 12:13, Mario Augusto Mania
> escreveu:
>> Voce testou essas regras antes de postar?
>> Simulou o ambiente?
>>
>> m3
>>
>> Em 8 de novembro de 2010 12:50, Gustavo Freitas
>> escreveu:
>>> Pessoal,
>>>
>>> Estou com iniciando no BSD e implementei um firewall usando PF, objetivo
>>> dele é
>>> somente controlar e dar prioridade para navegação na internet com uma
>>> reserva de banda
>>> de 80%, sem controle de trafego e nem bloqueio de portas.
>>>
>>> Gostaria da opinião de você e se esta correto..
>>>
>>> int_if = "rl0"
>>> ext_if = "vr0"
>>> unsafe = "{ rl0, vr0 }"
>>> int_net = "10.0.0.0/8"
>>> int_alias = "10.10.0.0/16"
>>>
>>>
>>> set loginterface $int_if
>>> set skip on lo
>>>
>>> match in all scrub (no-df)
>>>
>>> nat on $ext_if from !($ext_if) -> ($ext_if:0)
>>>
>>> antispoof quick for { lo $int_if }
>>>
>>> set block-policy return
>>>
>>> block in log quick proto tcp flags FUP/WEUAPRSF
>>> block in log quick proto tcp flags WEUAPRSF/WEUAPRSF
>>> block in log quick proto tcp flags SRAFU/WEUAPRSF
>>> block in log quick proto tcp flags /WEUAPRSF
>>> block in log quick proto tcp flags SR/SR
>>> block in log quick proto tcp flags SF/SF
>>>
>>> altq on $ext_if cbq bandwidth 512Kb queue { def, http }
>>> queue def bandwidth 20% cbq(default borrow red)
>>> queue http bandwidth 80% cbq(borrow red)
>>>
>>> pass in quick on $ext_if proto tcp from any to any port { 80, 443 } flags
>>> S/SA \
>>> keep state queue http
>>>
>>> # block in traffic from private networks on external interface
>>> block drop in quick on $ext_if from $int_alias to any
>>>
>>> # block out traffic to private networks on external interface
>>> block drop out quick on $ext_if from any to $int_alias
>>>
>>> antispoof quick for { lo $int_if }
>>> block in quick on $ext_if proto tcp from to any port 22
>>> label "ssh bruteforce"
>>>
>>> # SSH connection
>>> pass in log on $int_if inet proto tcp from $int_net to { $int_if
>>> $ext_if } port ssh
>>> pass out log on $int_if inet proto tcp from $int_if to any port ssh
>>>
>>> # DNS queries
>>> pass in log on $int_if proto { tcp udp } from $int_net to $ext_if port
>>> { domain bootps }
>>>
>>> # ping
>>> block in log on $int_if proto icmp from $int_alias to $int_alias
>>>
>>> # File sharing applications
>>> pass in log on $int_if proto { tcp udp } from $int_net to any port socks
>>>
>>>
>>>
>>> --
>>> Gustavo Freitas
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>>
>>
>> --
>> Atenciosmente
>>
>> Mario Augusto Mania
>> ---
>> m3.bsd.ma...@gmail.com
>> Cel.: (43) 9938-9629
>> Msn: ma...@oquei.com
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
>
> --
> Gustavo Freitas
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Atenciosmente
Mario Augusto Mania
---
m3.bsd.ma...@gmail.com
Cel.: (43) 9938-9629
Msn: ma...@oquei.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall com prioridade para Navegaçã o
sim testei.. estou navegando com ele e enviando esta msg... já baixei arquivos
o que eu gostaria de saber opinião de vocês principamente com relação
a prioridade
para navegação..
não sei esta funcionado .. tem como saber ?? outro detalhe é o consumo de banda
por p2p.. o que eu quero não é bloquear é fazer que eles não tenha prioridade.
Em 8 de novembro de 2010 12:13, Mario Augusto Mania
escreveu:
> Voce testou essas regras antes de postar?
> Simulou o ambiente?
>
> m3
>
> Em 8 de novembro de 2010 12:50, Gustavo Freitas
> escreveu:
>> Pessoal,
>>
>> Estou com iniciando no BSD e implementei um firewall usando PF, objetivo
>> dele é
>> somente controlar e dar prioridade para navegação na internet com uma
>> reserva de banda
>> de 80%, sem controle de trafego e nem bloqueio de portas.
>>
>> Gostaria da opinião de você e se esta correto..
>>
>> int_if = "rl0"
>> ext_if = "vr0"
>> unsafe = "{ rl0, vr0 }"
>> int_net = "10.0.0.0/8"
>> int_alias = "10.10.0.0/16"
>>
>>
>> set loginterface $int_if
>> set skip on lo
>>
>> match in all scrub (no-df)
>>
>> nat on $ext_if from !($ext_if) -> ($ext_if:0)
>>
>> antispoof quick for { lo $int_if }
>>
>> set block-policy return
>>
>> block in log quick proto tcp flags FUP/WEUAPRSF
>> block in log quick proto tcp flags WEUAPRSF/WEUAPRSF
>> block in log quick proto tcp flags SRAFU/WEUAPRSF
>> block in log quick proto tcp flags /WEUAPRSF
>> block in log quick proto tcp flags SR/SR
>> block in log quick proto tcp flags SF/SF
>>
>> altq on $ext_if cbq bandwidth 512Kb queue { def, http }
>> queue def bandwidth 20% cbq(default borrow red)
>> queue http bandwidth 80% cbq(borrow red)
>>
>> pass in quick on $ext_if proto tcp from any to any port { 80, 443 } flags
>> S/SA \
>> keep state queue http
>>
>> # block in traffic from private networks on external interface
>> block drop in quick on $ext_if from $int_alias to any
>>
>> # block out traffic to private networks on external interface
>> block drop out quick on $ext_if from any to $int_alias
>>
>> antispoof quick for { lo $int_if }
>> block in quick on $ext_if proto tcp from to any port 22
>> label "ssh bruteforce"
>>
>> # SSH connection
>> pass in log on $int_if inet proto tcp from $int_net to { $int_if
>> $ext_if } port ssh
>> pass out log on $int_if inet proto tcp from $int_if to any port ssh
>>
>> # DNS queries
>> pass in log on $int_if proto { tcp udp } from $int_net to $ext_if port
>> { domain bootps }
>>
>> # ping
>> block in log on $int_if proto icmp from $int_alias to $int_alias
>>
>> # File sharing applications
>> pass in log on $int_if proto { tcp udp } from $int_net to any port socks
>>
>>
>>
>> --
>> Gustavo Freitas
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
>
> --
> Atenciosmente
>
> Mario Augusto Mania
> ---
> m3.bsd.ma...@gmail.com
> Cel.: (43) 9938-9629
> Msn: ma...@oquei.com
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Gustavo Freitas
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall com prioridade para Navegaçã o
Voce testou essas regras antes de postar?
Simulou o ambiente?
m3
Em 8 de novembro de 2010 12:50, Gustavo Freitas
escreveu:
> Pessoal,
>
> Estou com iniciando no BSD e implementei um firewall usando PF, objetivo dele
> é
> somente controlar e dar prioridade para navegação na internet com uma
> reserva de banda
> de 80%, sem controle de trafego e nem bloqueio de portas.
>
> Gostaria da opinião de você e se esta correto..
>
> int_if = "rl0"
> ext_if = "vr0"
> unsafe = "{ rl0, vr0 }"
> int_net = "10.0.0.0/8"
> int_alias = "10.10.0.0/16"
>
>
> set loginterface $int_if
> set skip on lo
>
> match in all scrub (no-df)
>
> nat on $ext_if from !($ext_if) -> ($ext_if:0)
>
> antispoof quick for { lo $int_if }
>
> set block-policy return
>
> block in log quick proto tcp flags FUP/WEUAPRSF
> block in log quick proto tcp flags WEUAPRSF/WEUAPRSF
> block in log quick proto tcp flags SRAFU/WEUAPRSF
> block in log quick proto tcp flags /WEUAPRSF
> block in log quick proto tcp flags SR/SR
> block in log quick proto tcp flags SF/SF
>
> altq on $ext_if cbq bandwidth 512Kb queue { def, http }
> queue def bandwidth 20% cbq(default borrow red)
> queue http bandwidth 80% cbq(borrow red)
>
> pass in quick on $ext_if proto tcp from any to any port { 80, 443 } flags
> S/SA \
> keep state queue http
>
> # block in traffic from private networks on external interface
> block drop in quick on $ext_if from $int_alias to any
>
> # block out traffic to private networks on external interface
> block drop out quick on $ext_if from any to $int_alias
>
> antispoof quick for { lo $int_if }
> block in quick on $ext_if proto tcp from to any port 22
> label "ssh bruteforce"
>
> # SSH connection
> pass in log on $int_if inet proto tcp from $int_net to { $int_if
> $ext_if } port ssh
> pass out log on $int_if inet proto tcp from $int_if to any port ssh
>
> # DNS queries
> pass in log on $int_if proto { tcp udp } from $int_net to $ext_if port
> { domain bootps }
>
> # ping
> block in log on $int_if proto icmp from $int_alias to $int_alias
>
> # File sharing applications
> pass in log on $int_if proto { tcp udp } from $int_net to any port socks
>
>
>
> --
> Gustavo Freitas
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Atenciosmente
Mario Augusto Mania
---
m3.bsd.ma...@gmail.com
Cel.: (43) 9938-9629
Msn: ma...@oquei.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Firewall com prioridade para Navegaçã o
Pessoal,
Estou com iniciando no BSD e implementei um firewall usando PF, objetivo dele é
somente controlar e dar prioridade para navegação na internet com uma
reserva de banda
de 80%, sem controle de trafego e nem bloqueio de portas.
Gostaria da opinião de você e se esta correto..
int_if = "rl0"
ext_if = "vr0"
unsafe = "{ rl0, vr0 }"
int_net = "10.0.0.0/8"
int_alias = "10.10.0.0/16"
set loginterface $int_if
set skip on lo
match in all scrub (no-df)
nat on $ext_if from !($ext_if) -> ($ext_if:0)
antispoof quick for { lo $int_if }
set block-policy return
block in log quick proto tcp flags FUP/WEUAPRSF
block in log quick proto tcp flags WEUAPRSF/WEUAPRSF
block in log quick proto tcp flags SRAFU/WEUAPRSF
block in log quick proto tcp flags /WEUAPRSF
block in log quick proto tcp flags SR/SR
block in log quick proto tcp flags SF/SF
altq on $ext_if cbq bandwidth 512Kb queue { def, http }
queue def bandwidth 20% cbq(default borrow red)
queue http bandwidth 80% cbq(borrow red)
pass in quick on $ext_if proto tcp from any to any port { 80, 443 } flags S/SA \
keep state queue http
# block in traffic from private networks on external interface
block drop in quick on $ext_if from $int_alias to any
# block out traffic to private networks on external interface
block drop out quick on $ext_if from any to $int_alias
antispoof quick for { lo $int_if }
block in quick on $ext_if proto tcp from to any port 22
label "ssh bruteforce"
# SSH connection
pass in log on $int_if inet proto tcp from $int_net to { $int_if
$ext_if } port ssh
pass out log on $int_if inet proto tcp from $int_if to any port ssh
# DNS queries
pass in log on $int_if proto { tcp udp } from $int_net to $ext_if port
{ domain bootps }
# ping
block in log on $int_if proto icmp from $int_alias to $int_alias
# File sharing applications
pass in log on $int_if proto { tcp udp } from $int_net to any port socks
--
Gustavo Freitas
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
