Re: [FUG-BR] Controle de banda, script errado
Ola Pela ordem mais esquisita ainda. Pois primeiramente dou um flush no inicio do script (caso eu precise modificar algumas regras, eliminar algumas outras, essas coisas). e Abaixo disso venho criando as regras: 1. regras para liberação de algumas coisas na interface de gerenciamento (que não faz parte da bridge). Em segundo venho criando os pipes para o bloco de IP. Por ultimo a regra padrão do firewall. Mas quando eu coloco a bride entre duas máquinas (da mesma rede) que estão fazendo ping entre elas, as regras caem na regra padrão. Aí, quando dou um libera tudo antes da regra padrão (e depois do pipe), aí entra nos pipes. Em relação a bridge, está exatamente como dito no artigo abaixo indicado. Para especificar mais, meu rc.conf está assim: ifconfig_rl0=up ifconfig_rl1=up cloned_interfaces=bridge0 ifconfig_bridge0=addm rl0 addm rl1 up O /boot/loader.conf if_bridge_load=YES dummynet_load=YES O /etc/sysctl.conf net.link.bridge.pfil_onlyip=1 net.link.bridge.ipfw=1 net.link.bridge.ipfw_arp=1 Agora meu teste estou fazendo da seguinte forma: as duas maquinas estão na mesma rede (host 1: 192.168.0.1, host2: 192.168.0.2)... no ambiente real, a bridge vai ficar exatamente entre o roteador e a rede do cliente será q o jeito q estou testando está errado? Pois vai ficar em uma rede diferente []s On Dec 17, 2007 1:19 PM, Márcio Luciano Donada [EMAIL PROTECTED] wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Em 14/12/07, Renato de Oliveira Diogo [EMAIL PROTECTED] escreveu: Olá senhores estou tentando fazer uma bridge para controle de banda, porém estou com problemas nas regras do meu script do ipfw: Obs.: re0 é uma interface para adm. rl0 é a interface da bridge voltada para a internet rl1 é a interface da bridge voltada para rede interna Boa tarde, Você já criou a interface brigde0?http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/network-bridging.html Lembre-se de que terá que haver uma junção do meio fisico The bridge works by learning the MAC layer addresses (Ethernet addresses) of the devices on each of its network interfaces Abraço, - -- Márcio Luciano Donada mdonada at auroraalimentos dot com dot br Aurora Alimentos - Cooperativa Central Oeste Catarinense Departamento de T.I. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (MingW32) iD8DBQFHZpNxbjyCr4Ixg0wRAnGLAJ9DC+TBTrlc5+dnM569Gv0QqkvZQgCgp6Cc DPDJ/it56/ju4deF5msevsI= =5UqO -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Controle de banda, script errado
Bom eu tenho uma bridge com controle de banda de IPs validos e funciona muito bem #Cliente /sbin/ipfw add 190 pipe 190 ip from any to 200.200.200.12 /sbin/ipfw add 191 pipe 191 ip from 200.200.200.12 to any /sbin/ipfw pipe 190 config bw 128kbit/s delay 5ms queue 8kbytes /sbin/ipfw pipe 191 config bw 128kbit/s delay 5ms queue 8kbytes /sbin/ipfw add 65534 deny all from 200.200.200.0/24 to any Veja que no final eu bloqueio toda a rede isso permite que so os IPs do controle de banda funcionem Em 14/12/07, Renato de Oliveira Diogo [EMAIL PROTECTED] escreveu: Olá senhores estou tentando fazer uma bridge para controle de banda, porém estou com problemas nas regras do meu script do ipfw: Obs.: re0 é uma interface para adm. rl0 é a interface da bridge voltada para a internet rl1 é a interface da bridge voltada para rede interna === #!/sbin/sh ## ## Regras basicas # # Entrada E/OU saida do host br ## IPFW=/sbin/ipfw $IPFW -f flush $IPFW add 1 allow ip from any to any via lo0 $IPFW add 2 deny ip from any to 127.0.0.0/8 $IPFW add 3 deny ip from 127.0.0.0/8 to any $IPFW add 4 check-state $IPFW add 5 allow src-ip 192.168.10.0/24 dst-ip me dst-port 22 via re0 keep-state $IPFW add 6 allow src-ip 192.168.10.0/24 dst-ip me icmptypes 0,8 via re0 keep-state $IPFW add 6 allow src-ip me dst-ip any icmptypes 0,8 via re0 keep-state $IPFW add 7 allow src-ip 192.168.10.0/24 dst-ip me proto udp dst-port 161,162 via re0 keep-state ## ## Controle de banda # # ## # Bloco1 - UP: 1024Kbit/s DOWN: 1024Kbit/s $IPFW add 1001 pipe 1 src-ip 192.168.0.0/24 xmit rl0 out $IPFW add 1002 pipe 2 dst-ip 192.168.0.0/24 xmit rl1 out $IPFW pipe 1 config bw 1024Kbit/s queue 10KBytes $IPFW pipe 2 config bw 1024Kbit/s queue 10KBytes $IPFW add 2001 allow src-ip 192.168.0.0/24 recv rl1 keep-state $IPFW add 2002 allow dst-ip 192.168.0.0/24 recv rl0 keep-state === Desta forma, a bridge não está funcionando. Pelo q percebi os pacotes não estão batendo na regra 1001 e 1002... Agora se eu coloco uma regra pra abrir o firewall, aí a dridge funciona, porém meu PC fica aberto. Já tentei dessa forma, mas um hora funcionou, mas de nada parou: #!/sbin/sh ## ## Regras basicas # # Entrada E/OU saida do host br ## IPFW=/sbin/ipfw $IPFW -f flush $IPFW add 1 allow ip from any to any via lo0 $IPFW add 2 deny ip from any to 127.0.0.0/8 $IPFW add 3 deny ip from 127.0.0.0/8 to any $IPFW add 5 allow src-ip 192.168.10.0/24 dst-ip me dst-port 22 via re0 $IPFW add 5 allow dst-ip me src-ip any src-port 22 via re0 $IPFW add 6 allow src-ip 192.168.10.0/24 dst-ip me icmptypes 0,8 via re0 $IPFW add 6 allow src-ip me dst-ip any icmptypes 0,8 via re0 $IPFW add 7 allow src-ip 192.168.10.0/24 dst-ip me proto udp dst-port 161,162 via re0 $IPFW add 7 allow dst-ip me src-ip any proto udp src-port 161,162 via re0 ## ## Controle de banda # # ## # Bloco1 - UP: 1024Kbit/s DOWN: 1024Kbit/s $IPFW add 1001 pipe 1 src-ip 192.168.0.0/24 xmit rl0 out $IPFW add 1002 pipe 2 dst-ip 192.168.0.0/24 xmit rl1 out $IPFW pipe 1 config bw 1024Kbit/s queue 10KBytes $IPFW pipe 2 config bw 1024Kbit/s queue 10KBytes $IPFW add 2001 allow src-ip 192.168.0.0/24 via rl0,rl1 $IPFW add 2002 allow dst-ip 192.168.0.0/24 via rl0,rl1 Neste segundo não trabalhei com state-full. Alguem tem alguma ideia onde está o problema? -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Controle de banda, script errado
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Em 14/12/07, Renato de Oliveira Diogo [EMAIL PROTECTED] escreveu: Olá senhores estou tentando fazer uma bridge para controle de banda, porém estou com problemas nas regras do meu script do ipfw: Obs.: re0 é uma interface para adm. rl0 é a interface da bridge voltada para a internet rl1 é a interface da bridge voltada para rede interna Boa tarde, Você já criou a interface brigde0?http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/network-bridging.html Lembre-se de que terá que haver uma junção do meio fisico The bridge works by learning the MAC layer addresses (Ethernet addresses) of the devices on each of its network interfaces Abraço, - -- Márcio Luciano Donada mdonada at auroraalimentos dot com dot br Aurora Alimentos - Cooperativa Central Oeste Catarinense Departamento de T.I. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (MingW32) iD8DBQFHZpNxbjyCr4Ixg0wRAnGLAJ9DC+TBTrlc5+dnM569Gv0QqkvZQgCgp6Cc DPDJ/it56/ju4deF5msevsI= =5UqO -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Controle de banda, script errado
Olá senhores estou tentando fazer uma bridge para controle de banda, porém estou com problemas nas regras do meu script do ipfw: Obs.: re0 é uma interface para adm. rl0 é a interface da bridge voltada para a internet rl1 é a interface da bridge voltada para rede interna === #!/sbin/sh ## ## Regras basicas # # Entrada E/OU saida do host br ## IPFW=/sbin/ipfw $IPFW -f flush $IPFW add 1 allow ip from any to any via lo0 $IPFW add 2 deny ip from any to 127.0.0.0/8 $IPFW add 3 deny ip from 127.0.0.0/8 to any $IPFW add 4 check-state $IPFW add 5 allow src-ip 192.168.10.0/24 dst-ip me dst-port 22 via re0 keep-state $IPFW add 6 allow src-ip 192.168.10.0/24 dst-ip me icmptypes 0,8 via re0 keep-state $IPFW add 6 allow src-ip me dst-ip any icmptypes 0,8 via re0 keep-state $IPFW add 7 allow src-ip 192.168.10.0/24 dst-ip me proto udp dst-port 161,162 via re0 keep-state ## ## Controle de banda # # ## # Bloco1 - UP: 1024Kbit/s DOWN: 1024Kbit/s $IPFW add 1001 pipe 1 src-ip 192.168.0.0/24 xmit rl0 out $IPFW add 1002 pipe 2 dst-ip 192.168.0.0/24 xmit rl1 out $IPFW pipe 1 config bw 1024Kbit/s queue 10KBytes $IPFW pipe 2 config bw 1024Kbit/s queue 10KBytes $IPFW add 2001 allow src-ip 192.168.0.0/24 recv rl1 keep-state $IPFW add 2002 allow dst-ip 192.168.0.0/24 recv rl0 keep-state === Desta forma, a bridge não está funcionando. Pelo q percebi os pacotes não estão batendo na regra 1001 e 1002... Agora se eu coloco uma regra pra abrir o firewall, aí a dridge funciona, porém meu PC fica aberto. Já tentei dessa forma, mas um hora funcionou, mas de nada parou: #!/sbin/sh ## ## Regras basicas # # Entrada E/OU saida do host br ## IPFW=/sbin/ipfw $IPFW -f flush $IPFW add 1 allow ip from any to any via lo0 $IPFW add 2 deny ip from any to 127.0.0.0/8 $IPFW add 3 deny ip from 127.0.0.0/8 to any $IPFW add 5 allow src-ip 192.168.10.0/24 dst-ip me dst-port 22 via re0 $IPFW add 5 allow dst-ip me src-ip any src-port 22 via re0 $IPFW add 6 allow src-ip 192.168.10.0/24 dst-ip me icmptypes 0,8 via re0 $IPFW add 6 allow src-ip me dst-ip any icmptypes 0,8 via re0 $IPFW add 7 allow src-ip 192.168.10.0/24 dst-ip me proto udp dst-port 161,162 via re0 $IPFW add 7 allow dst-ip me src-ip any proto udp src-port 161,162 via re0 ## ## Controle de banda # # ## # Bloco1 - UP: 1024Kbit/s DOWN: 1024Kbit/s $IPFW add 1001 pipe 1 src-ip 192.168.0.0/24 xmit rl0 out $IPFW add 1002 pipe 2 dst-ip 192.168.0.0/24 xmit rl1 out $IPFW pipe 1 config bw 1024Kbit/s queue 10KBytes $IPFW pipe 2 config bw 1024Kbit/s queue 10KBytes $IPFW add 2001 allow src-ip 192.168.0.0/24 via rl0,rl1 $IPFW add 2002 allow dst-ip 192.168.0.0/24 via rl0,rl1 Neste segundo não trabalhei com state-full. Alguem tem alguma ideia onde está o problema? -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd