Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)
Então se vc já fez um pipe somente para porta 80 as outras portas devem estar liberada a menos que vc esteja com uma politica fechada, se for isso libere as portas ou libere tudo depois dessa sua regra porque oque for para a porta 80 ja deu match e nao vai decer para as regras abaixo dela outra coisa vc so ta fazendo de um lado so download e do ip to any , e a interface que ele vai sair ? - Original Message - From: Welkson Renny de Medeiros [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, June 12, 2007 6:00 PM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO) Renato, Exatamente, o samba está no mesmo servidor que controla a banda (na verdade é TUDO em um só servidor)... Consegui resolver limitando somente a porta 80 (eu tinha tentado, mas devo ter errado algo, pois não funcionava), agora ficou assim: # Controle de banda (corrigido problema do SAMBA) ipfw add pipe 2 ip from any to 192.168.0.200 src-port 80 ipfw pipe 2 config bw 200Kbit/s queue 20 mask dst-ip 0x00ff Estou vendo aqui se consigo fazer o seguinte, limitar todo o tráfego, EXCETO ssh e samba... se alguém puder sugerir... ainda estou meio enrolado com essse negócio de in/out src/dst... no caso vou ter que usar um NOT SRC-PORT ou NOT DST-PORT, não sei :( Renato e Mário, valeu pelas dicas. Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Renato Martins [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, June 12, 2007 5:22 PM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO) Não sei se é isso mas acredito que seu samba deve estar na mesma maquina que esta fazendo o controle de banda entao libere antes as portas do samba +- assim # libera as portas dos samba /sbin/ipfw add 120 allow ip from 10.250.1.1 to me dst-port 134-139 /sbin/ipfw add 130 allow ip from me to 10.250.1.1 src-port 134-139 # controle do meu ip /sbin/ipfw add 576 pipe 576 all from any to 100.250.1.1 in via xl0 /sbin/ipfw add 577 pipe 577 all from 10.250.1.1 to any out via xl0 /sbin/ipfw pipe 576 config bw 256Kbit/s queue 36KBytes /sbin/ipfw pipe 577 config bw 256Kbit/s queue 36KBytes - Original Message - From: Mario Augusto Mania [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, June 12, 2007 4:54 PM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO) Cara, veja bem, no caso, o q vc poderia fazer eh limitar a banda de determinados servicos e nao do ip entende? Imagine assim: ipfw add 10 deny all from 10.0.0.2 to any vai bloquear (deny) tudo (all) de (from) 10.0.0.2 para (to) qualquer outro host (any) agora, se vc fizer o seguinte: ipfw add 10 deny tcp from 10.0.0.2 to www.uol.com.br dst-port 80 vai bloquear (deny) as conexoes tcp (tcp) de (from) 10.0.0.2 para (to) www.uol.com.br na porta 80 do www.uol.com.br qualquer outro pacote nao vai casar com essa regra, e portanto, vai pular pra proxima, ate chegar a ultima que vai ser allow all from any to any ou deny all from any to any dependendo da politica de seu firewall. O mesmo se aplica ao controle de banda. Em 12/06/07, Welkson Renny de Medeiros[EMAIL PROTECTED] escreveu: Nenhuma sugestão amigos? -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Welkson Renny de Medeiros [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, June 11, 2007 3:51 PM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO) Pessoal, Procurando aqui nas documentações e exemplos da net achei um que funciona muito bem, com um porém, também limita a rede local, ou seja, quando tento copiar um arquivo de uma unidade mapeada pelo samba demora um século... # Controle de banda (funciona mais tbm limita rede local/samba) ipfw add pipe 2 ip from any to 192.168.0.200 ipfw pipe 2 config bw 200Kbit/s queue 20 mask dst-ip 0x00ff Fiz os testes pelo RJNET.COM.BR e deu os 200kbps direitinho (minha banda é 1MB)... alterei para outros valores e fiz testes e funciona blz... a bronca é que tá limitando acesso interno (samba, etc)... tentei limitar por porta de destino
Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)
Bom dia Renato! Então, trabalho com política aberta (antes do bsd tem um roteador)... no caso essa limitação está funcionando somente para porta 80... eu queria limitar tudo, exceto samba, ssh. As regras por enquanto são somente de download, depois de ok começo a trabalhar no upload. Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Wed, 13 Jun 2007 08:57:18 -0300, Renato Martins [EMAIL PROTECTED] escreveu: Então se vc já fez um pipe somente para porta 80 as outras portas devem estar liberada a menos que vc esteja com uma politica fechada, se for isso libere as portas ou libere tudo depois dessa sua regra porque oque for para a porta 80 ja deu match e nao vai decer para as regras abaixo dela outra coisa vc so ta fazendo de um lado so download e do ip to any , e a interface que ele vai sair ? - Original Message - From: Welkson Renny de Medeiros [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, June 12, 2007 6:00 PM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO) Renato, Exatamente, o samba está no mesmo servidor que controla a banda (na verdade é TUDO em um só servidor)... Consegui resolver limitando somente a porta 80 (eu tinha tentado, mas devo ter errado algo, pois não funcionava), agora ficou assim: # Controle de banda (corrigido problema do SAMBA) ipfw add pipe 2 ip from any to 192.168.0.200 src-port 80 ipfw pipe 2 config bw 200Kbit/s queue 20 mask dst-ip 0x00ff Estou vendo aqui se consigo fazer o seguinte, limitar todo o tráfego, EXCETO ssh e samba... se alguém puder sugerir... ainda estou meio enrolado com essse negócio de in/out src/dst... no caso vou ter que usar um NOT SRC-PORT ou NOT DST-PORT, não sei :( Renato e Mário, valeu pelas dicas. Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Renato Martins [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, June 12, 2007 5:22 PM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO) Não sei se é isso mas acredito que seu samba deve estar na mesma maquina que esta fazendo o controle de banda entao libere antes as portas do samba +- assim # libera as portas dos samba /sbin/ipfw add 120 allow ip from 10.250.1.1 to me dst-port 134-139 /sbin/ipfw add 130 allow ip from me to 10.250.1.1 src-port 134-139 # controle do meu ip /sbin/ipfw add 576 pipe 576 all from any to 100.250.1.1 in via xl0 /sbin/ipfw add 577 pipe 577 all from 10.250.1.1 to any out via xl0 /sbin/ipfw pipe 576 config bw 256Kbit/s queue 36KBytes /sbin/ipfw pipe 577 config bw 256Kbit/s queue 36KBytes - Original Message - From: Mario Augusto Mania [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, June 12, 2007 4:54 PM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO) Cara, veja bem, no caso, o q vc poderia fazer eh limitar a banda de determinados servicos e nao do ip entende? Imagine assim: ipfw add 10 deny all from 10.0.0.2 to any vai bloquear (deny) tudo (all) de (from) 10.0.0.2 para (to) qualquer outro host (any) agora, se vc fizer o seguinte: ipfw add 10 deny tcp from 10.0.0.2 to www.uol.com.br dst-port 80 vai bloquear (deny) as conexoes tcp (tcp) de (from) 10.0.0.2 para (to) www.uol.com.br na porta 80 do www.uol.com.br qualquer outro pacote nao vai casar com essa regra, e portanto, vai pular pra proxima, ate chegar a ultima que vai ser allow all from any to any ou deny all from any to any dependendo da politica de seu firewall. O mesmo se aplica ao controle de banda. Em 12/06/07, Welkson Renny de Medeiros[EMAIL PROTECTED] escreveu: Nenhuma sugestão amigos? -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Welkson Renny de Medeiros [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, June 11, 2007 3:51 PM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO) Pessoal
Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)
bom dia a ta entao libere essas portas antes da regras dos pipe pois assim o trafego para essa portas casa(match) com as regras de allow e ai não passa para as regras de controle de banda podemos criar as regras de varias formas tb vc pode colocar os pipes so na interface externar ai tudo que for para sua maquina local não vai ter controle e so oque sai do seu gw assim: no exemplo xl0 é a interface externa # Controle de banda (corrigido problema do SAMBA) ipfw add pipe 2 ip from any to 192.168.0.200 in via xl0 ipfw add pipe 3 ip from 192.168.0.200 to any out via xl0 ipfw pipe 2 config bw 200Kbit/s queue 20 mask dst-ip 0x00ff ou vc pode usar o 'not me' para inverter para que ela nao funcione para ' me' onde me o ipfw entende que seja qualquer ip do seu gw - Original Message - From: Welkson Renny de Medeiros [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Wednesday, June 13, 2007 9:33 AM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO) Bom dia Renato! Então, trabalho com política aberta (antes do bsd tem um roteador)... no caso essa limitação está funcionando somente para porta 80... eu queria limitar tudo, exceto samba, ssh. As regras por enquanto são somente de download, depois de ok começo a trabalhar no upload. Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Wed, 13 Jun 2007 08:57:18 -0300, Renato Martins [EMAIL PROTECTED] escreveu: Então se vc já fez um pipe somente para porta 80 as outras portas devem estar liberada a menos que vc esteja com uma politica fechada, se for isso libere as portas ou libere tudo depois dessa sua regra porque oque for para a porta 80 ja deu match e nao vai decer para as regras abaixo dela outra coisa vc so ta fazendo de um lado so download e do ip to any , e a interface que ele vai sair ? - Original Message - From: Welkson Renny de Medeiros [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, June 12, 2007 6:00 PM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO) Renato, Exatamente, o samba está no mesmo servidor que controla a banda (na verdade é TUDO em um só servidor)... Consegui resolver limitando somente a porta 80 (eu tinha tentado, mas devo ter errado algo, pois não funcionava), agora ficou assim: # Controle de banda (corrigido problema do SAMBA) ipfw add pipe 2 ip from any to 192.168.0.200 src-port 80 ipfw pipe 2 config bw 200Kbit/s queue 20 mask dst-ip 0x00ff Estou vendo aqui se consigo fazer o seguinte, limitar todo o tráfego, EXCETO ssh e samba... se alguém puder sugerir... ainda estou meio enrolado com essse negócio de in/out src/dst... no caso vou ter que usar um NOT SRC-PORT ou NOT DST-PORT, não sei :( Renato e Mário, valeu pelas dicas. Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Renato Martins [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, June 12, 2007 5:22 PM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO) Não sei se é isso mas acredito que seu samba deve estar na mesma maquina que esta fazendo o controle de banda entao libere antes as portas do samba +- assim # libera as portas dos samba /sbin/ipfw add 120 allow ip from 10.250.1.1 to me dst-port 134-139 /sbin/ipfw add 130 allow ip from me to 10.250.1.1 src-port 134-139 # controle do meu ip /sbin/ipfw add 576 pipe 576 all from any to 100.250.1.1 in via xl0 /sbin/ipfw add 577 pipe 577 all from 10.250.1.1 to any out via xl0 /sbin/ipfw pipe 576 config bw 256Kbit/s queue 36KBytes /sbin/ipfw pipe 577 config bw 256Kbit/s queue 36KBytes - Original Message - From: Mario Augusto Mania [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, June 12, 2007 4:54 PM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO) Cara, veja bem, no caso, o q vc poderia fazer eh limitar a banda de determinados servicos e nao do ip entende? Imagine assim: ipfw add 10 deny all from 10.0.0.2 to any vai bloquear (deny) tudo (all) de (from) 10.0.0.2 para (to) qualquer outro host (any) agora, se vc fizer o seguinte: ipfw add 10 deny tcp from 10.0.0.2 to www.uol.com.br dst-port 80 vai bloquear (deny) as conexoes tcp (tcp) de (from) 10.0.0.2 para (to) www.uol.com.br na porta 80 do www.uol.com.br qualquer outro pacote nao vai casar com essa regra, e portanto
Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)
Nenhuma sugestão amigos? -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Welkson Renny de Medeiros [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, June 11, 2007 3:51 PM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO) Pessoal, Procurando aqui nas documentações e exemplos da net achei um que funciona muito bem, com um porém, também limita a rede local, ou seja, quando tento copiar um arquivo de uma unidade mapeada pelo samba demora um século... # Controle de banda (funciona mais tbm limita rede local/samba) ipfw add pipe 2 ip from any to 192.168.0.200 ipfw pipe 2 config bw 200Kbit/s queue 20 mask dst-ip 0x00ff Fiz os testes pelo RJNET.COM.BR e deu os 200kbps direitinho (minha banda é 1MB)... alterei para outros valores e fiz testes e funciona blz... a bronca é que tá limitando acesso interno (samba, etc)... tentei limitar por porta de destino (dst-port 80 por exemplo), mas não consegui... tentei usar aqueles out recv xmit da vida... também não soube usar... alguém pode dar uma sugestão? Interface interna: rl0 Interface externa: sis0 Abraço a todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Welkson Renny de Medeiros [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, June 11, 2007 11:40 AM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE Blz Irado! Então, eu sei que é melhor o ALTQ... mas já perguntei várias vezes e até agora ninguém me respondeu uma maneira que funcione: como faço para limitar SOMENTE 1 ip a 300 KBPS usando ALTQ?... isso é tranquilo para fazer com pipe no IPFW... mas pelo que leio o ALTQ é mais recomendado para QoS... exemplo 80% da banda para web, 20% email, etc... se eu estiver errado me corrijam por favor. Como você mesmo diz: flames /dev/null Abraço! -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: irado furioso com tudo [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Monday, June 11, 2007 11:14 AM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE Em Sat, 9 Jun 2007 12:11:50 -0300 Welkson Renny de Medeiros [EMAIL PROTECTED] escreveu: recentemente precisei limitar a banda de um único usuário e utilizei uma antiga regra que eu tinha guardado (e funcionava), o pf usa melhor o ALTQ, embora (parece-me) não ser impossível a utilização do outro. Me parece que o problema é quem vem primeiro, se o pf ou ipfw/pipe. Aqui estão alguns links que podem ser úteis; já que tem proficiência com o pf tudo indica que vai ficar tranquilo no ALTQ. http://www.google.com/search?q=+freebsd+pf+altqbtnG=Pesquisarhl=pt-BRclient=operarls=enhs=W0j divirta-se :) flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free o homem criou Deus à sua imagem e semelhança [Nietzshe] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)
Cara, veja bem, no caso, o q vc poderia fazer eh limitar a banda de determinados servicos e nao do ip entende? Imagine assim: ipfw add 10 deny all from 10.0.0.2 to any vai bloquear (deny) tudo (all) de (from) 10.0.0.2 para (to) qualquer outro host (any) agora, se vc fizer o seguinte: ipfw add 10 deny tcp from 10.0.0.2 to www.uol.com.br dst-port 80 vai bloquear (deny) as conexoes tcp (tcp) de (from) 10.0.0.2 para (to) www.uol.com.br na porta 80 do www.uol.com.br qualquer outro pacote nao vai casar com essa regra, e portanto, vai pular pra proxima, ate chegar a ultima que vai ser allow all from any to any ou deny all from any to any dependendo da politica de seu firewall. O mesmo se aplica ao controle de banda. Em 12/06/07, Welkson Renny de Medeiros[EMAIL PROTECTED] escreveu: Nenhuma sugestão amigos? -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Welkson Renny de Medeiros [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, June 11, 2007 3:51 PM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO) Pessoal, Procurando aqui nas documentações e exemplos da net achei um que funciona muito bem, com um porém, também limita a rede local, ou seja, quando tento copiar um arquivo de uma unidade mapeada pelo samba demora um século... # Controle de banda (funciona mais tbm limita rede local/samba) ipfw add pipe 2 ip from any to 192.168.0.200 ipfw pipe 2 config bw 200Kbit/s queue 20 mask dst-ip 0x00ff Fiz os testes pelo RJNET.COM.BR e deu os 200kbps direitinho (minha banda é 1MB)... alterei para outros valores e fiz testes e funciona blz... a bronca é que tá limitando acesso interno (samba, etc)... tentei limitar por porta de destino (dst-port 80 por exemplo), mas não consegui... tentei usar aqueles out recv xmit da vida... também não soube usar... alguém pode dar uma sugestão? Interface interna: rl0 Interface externa: sis0 Abraço a todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Welkson Renny de Medeiros [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, June 11, 2007 11:40 AM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE Blz Irado! Então, eu sei que é melhor o ALTQ... mas já perguntei várias vezes e até agora ninguém me respondeu uma maneira que funcione: como faço para limitar SOMENTE 1 ip a 300 KBPS usando ALTQ?... isso é tranquilo para fazer com pipe no IPFW... mas pelo que leio o ALTQ é mais recomendado para QoS... exemplo 80% da banda para web, 20% email, etc... se eu estiver errado me corrijam por favor. Como você mesmo diz: flames /dev/null Abraço! -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: irado furioso com tudo [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Monday, June 11, 2007 11:14 AM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE Em Sat, 9 Jun 2007 12:11:50 -0300 Welkson Renny de Medeiros [EMAIL PROTECTED] escreveu: recentemente precisei limitar a banda de um único usuário e utilizei uma antiga regra que eu tinha guardado (e funcionava), o pf usa melhor o ALTQ, embora (parece-me) não ser impossível a utilização do outro. Me parece que o problema é quem vem primeiro, se o pf ou ipfw/pipe. Aqui estão alguns links que podem ser úteis; já que tem proficiência com o pf tudo indica que vai ficar tranquilo no ALTQ. http://www.google.com/search?q=+freebsd+pf+altqbtnG=Pesquisarhl=pt-BRclient=operarls=enhs=W0j divirta-se :) flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free o homem criou Deus à sua imagem e semelhança [Nietzshe] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https
Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)
Não sei se é isso mas acredito que seu samba deve estar na mesma maquina que esta fazendo o controle de banda entao libere antes as portas do samba +- assim # libera as portas dos samba /sbin/ipfw add 120 allow ip from 10.250.1.1 to me dst-port 134-139 /sbin/ipfw add 130 allow ip from me to 10.250.1.1 src-port 134-139 # controle do meu ip /sbin/ipfw add 576 pipe 576 all from any to 100.250.1.1 in via xl0 /sbin/ipfw add 577 pipe 577 all from 10.250.1.1 to any out via xl0 /sbin/ipfw pipe 576 config bw 256Kbit/s queue 36KBytes /sbin/ipfw pipe 577 config bw 256Kbit/s queue 36KBytes - Original Message - From: Mario Augusto Mania [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, June 12, 2007 4:54 PM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO) Cara, veja bem, no caso, o q vc poderia fazer eh limitar a banda de determinados servicos e nao do ip entende? Imagine assim: ipfw add 10 deny all from 10.0.0.2 to any vai bloquear (deny) tudo (all) de (from) 10.0.0.2 para (to) qualquer outro host (any) agora, se vc fizer o seguinte: ipfw add 10 deny tcp from 10.0.0.2 to www.uol.com.br dst-port 80 vai bloquear (deny) as conexoes tcp (tcp) de (from) 10.0.0.2 para (to) www.uol.com.br na porta 80 do www.uol.com.br qualquer outro pacote nao vai casar com essa regra, e portanto, vai pular pra proxima, ate chegar a ultima que vai ser allow all from any to any ou deny all from any to any dependendo da politica de seu firewall. O mesmo se aplica ao controle de banda. Em 12/06/07, Welkson Renny de Medeiros[EMAIL PROTECTED] escreveu: Nenhuma sugestão amigos? -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Welkson Renny de Medeiros [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, June 11, 2007 3:51 PM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO) Pessoal, Procurando aqui nas documentações e exemplos da net achei um que funciona muito bem, com um porém, também limita a rede local, ou seja, quando tento copiar um arquivo de uma unidade mapeada pelo samba demora um século... # Controle de banda (funciona mais tbm limita rede local/samba) ipfw add pipe 2 ip from any to 192.168.0.200 ipfw pipe 2 config bw 200Kbit/s queue 20 mask dst-ip 0x00ff Fiz os testes pelo RJNET.COM.BR e deu os 200kbps direitinho (minha banda é 1MB)... alterei para outros valores e fiz testes e funciona blz... a bronca é que tá limitando acesso interno (samba, etc)... tentei limitar por porta de destino (dst-port 80 por exemplo), mas não consegui... tentei usar aqueles out recv xmit da vida... também não soube usar... alguém pode dar uma sugestão? Interface interna: rl0 Interface externa: sis0 Abraço a todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Welkson Renny de Medeiros [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, June 11, 2007 11:40 AM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE Blz Irado! Então, eu sei que é melhor o ALTQ... mas já perguntei várias vezes e até agora ninguém me respondeu uma maneira que funcione: como faço para limitar SOMENTE 1 ip a 300 KBPS usando ALTQ?... isso é tranquilo para fazer com pipe no IPFW... mas pelo que leio o ALTQ é mais recomendado para QoS... exemplo 80% da banda para web, 20% email, etc... se eu estiver errado me corrijam por favor. Como você mesmo diz: flames /dev/null Abraço! -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: irado furioso com tudo [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Monday, June 11, 2007 11:14 AM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE Em Sat, 9 Jun 2007 12:11:50 -0300 Welkson Renny de Medeiros [EMAIL PROTECTED
Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)
Renato, Exatamente, o samba está no mesmo servidor que controla a banda (na verdade é TUDO em um só servidor)... Consegui resolver limitando somente a porta 80 (eu tinha tentado, mas devo ter errado algo, pois não funcionava), agora ficou assim: # Controle de banda (corrigido problema do SAMBA) ipfw add pipe 2 ip from any to 192.168.0.200 src-port 80 ipfw pipe 2 config bw 200Kbit/s queue 20 mask dst-ip 0x00ff Estou vendo aqui se consigo fazer o seguinte, limitar todo o tráfego, EXCETO ssh e samba... se alguém puder sugerir... ainda estou meio enrolado com essse negócio de in/out src/dst... no caso vou ter que usar um NOT SRC-PORT ou NOT DST-PORT, não sei :( Renato e Mário, valeu pelas dicas. Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Renato Martins [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, June 12, 2007 5:22 PM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO) Não sei se é isso mas acredito que seu samba deve estar na mesma maquina que esta fazendo o controle de banda entao libere antes as portas do samba +- assim # libera as portas dos samba /sbin/ipfw add 120 allow ip from 10.250.1.1 to me dst-port 134-139 /sbin/ipfw add 130 allow ip from me to 10.250.1.1 src-port 134-139 # controle do meu ip /sbin/ipfw add 576 pipe 576 all from any to 100.250.1.1 in via xl0 /sbin/ipfw add 577 pipe 577 all from 10.250.1.1 to any out via xl0 /sbin/ipfw pipe 576 config bw 256Kbit/s queue 36KBytes /sbin/ipfw pipe 577 config bw 256Kbit/s queue 36KBytes - Original Message - From: Mario Augusto Mania [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, June 12, 2007 4:54 PM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO) Cara, veja bem, no caso, o q vc poderia fazer eh limitar a banda de determinados servicos e nao do ip entende? Imagine assim: ipfw add 10 deny all from 10.0.0.2 to any vai bloquear (deny) tudo (all) de (from) 10.0.0.2 para (to) qualquer outro host (any) agora, se vc fizer o seguinte: ipfw add 10 deny tcp from 10.0.0.2 to www.uol.com.br dst-port 80 vai bloquear (deny) as conexoes tcp (tcp) de (from) 10.0.0.2 para (to) www.uol.com.br na porta 80 do www.uol.com.br qualquer outro pacote nao vai casar com essa regra, e portanto, vai pular pra proxima, ate chegar a ultima que vai ser allow all from any to any ou deny all from any to any dependendo da politica de seu firewall. O mesmo se aplica ao controle de banda. Em 12/06/07, Welkson Renny de Medeiros[EMAIL PROTECTED] escreveu: Nenhuma sugestão amigos? -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Welkson Renny de Medeiros [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, June 11, 2007 3:51 PM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO) Pessoal, Procurando aqui nas documentações e exemplos da net achei um que funciona muito bem, com um porém, também limita a rede local, ou seja, quando tento copiar um arquivo de uma unidade mapeada pelo samba demora um século... # Controle de banda (funciona mais tbm limita rede local/samba) ipfw add pipe 2 ip from any to 192.168.0.200 ipfw pipe 2 config bw 200Kbit/s queue 20 mask dst-ip 0x00ff Fiz os testes pelo RJNET.COM.BR e deu os 200kbps direitinho (minha banda é 1MB)... alterei para outros valores e fiz testes e funciona blz... a bronca é que tá limitando acesso interno (samba, etc)... tentei limitar por porta de destino (dst-port 80 por exemplo), mas não consegui... tentei usar aqueles out recv xmit da vida... também não soube usar... alguém pode dar uma sugestão? Interface interna: rl0 Interface externa: sis0 Abraço a todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org
Re: [FUG-BR] PF NAT e IPFW PIPE (+- RESOLVIDO)
Pessoal, Procurando aqui nas documentações e exemplos da net achei um que funciona muito bem, com um porém, também limita a rede local, ou seja, quando tento copiar um arquivo de uma unidade mapeada pelo samba demora um século... # Controle de banda (funciona mais tbm limita rede local/samba) ipfw add pipe 2 ip from any to 192.168.0.200 ipfw pipe 2 config bw 200Kbit/s queue 20 mask dst-ip 0x00ff Fiz os testes pelo RJNET.COM.BR e deu os 200kbps direitinho (minha banda é 1MB)... alterei para outros valores e fiz testes e funciona blz... a bronca é que tá limitando acesso interno (samba, etc)... tentei limitar por porta de destino (dst-port 80 por exemplo), mas não consegui... tentei usar aqueles out recv xmit da vida... também não soube usar... alguém pode dar uma sugestão? Interface interna: rl0 Interface externa: sis0 Abraço a todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Welkson Renny de Medeiros [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, June 11, 2007 11:40 AM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE Blz Irado! Então, eu sei que é melhor o ALTQ... mas já perguntei várias vezes e até agora ninguém me respondeu uma maneira que funcione: como faço para limitar SOMENTE 1 ip a 300 KBPS usando ALTQ?... isso é tranquilo para fazer com pipe no IPFW... mas pelo que leio o ALTQ é mais recomendado para QoS... exemplo 80% da banda para web, 20% email, etc... se eu estiver errado me corrijam por favor. Como você mesmo diz: flames /dev/null Abraço! -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: irado furioso com tudo [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Monday, June 11, 2007 11:14 AM Subject: Re: [FUG-BR] PF NAT e IPFW PIPE Em Sat, 9 Jun 2007 12:11:50 -0300 Welkson Renny de Medeiros [EMAIL PROTECTED] escreveu: recentemente precisei limitar a banda de um único usuário e utilizei uma antiga regra que eu tinha guardado (e funcionava), o pf usa melhor o ALTQ, embora (parece-me) não ser impossível a utilização do outro. Me parece que o problema é quem vem primeiro, se o pf ou ipfw/pipe. Aqui estão alguns links que podem ser úteis; já que tem proficiência com o pf tudo indica que vai ficar tranquilo no ALTQ. http://www.google.com/search?q=+freebsd+pf+altqbtnG=Pesquisarhl=pt-BRclient=operarls=enhs=W0j divirta-se :) flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free o homem criou Deus à sua imagem e semelhança [Nietzshe] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd