Re: [FUG-BR] [OFF-TOPIC] Vaga analista de suporte/bsd rio de janeiro, 2k5 salario
Nas suas viagens, só tome cuidado com a nova onda eihn, ops, a nova gripe. rs []s Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru LPIC1 - Linux Professional Institute Certification - Nível 1 renato.di...@gmail.com renato.di...@yahoo.com.br 2009/5/15 irado furioso com tudo ir...@bsd.com.br: Em Fri, 15 May 2009 04:18:12 -0300 Joao Rocha Braga Filho goffr...@gmail.com, conhecido consumidor de drogas (BigMac's com Coke) escreveu: Ou seja, estou ou não qualificado para a vaga? acima da qualificação; contudo, entendo também a diatribe do fernando: é duro a gente se preparar, estudar, ralar pra kct, GASTAR para isso (nem tudo é free por aí) e depois sentirmo-nos explorados até a alma. Nesse anuncio ainda não veio o famigerado disposto a trabalhar sob pressão, que indica: será chamado no meio da noite para resolver alguma coisa em menos de 10 minutos, sem hora extra e sem pagamento do transporte, seja publico ou próprio. vida complicada.. mas amanhã (já que estamos off mesmo) eu pretendo que minha vida mude: vou ganhar na mega-sena e deixo de me preocupar com essas questíunculas e vou analisar se passo o próximo fim de semana em Atacama ou no Caribe. Na dúvida, vou pegar alguns folhetos sobre o mediterrâneo e ilhas gregas. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Uma mulher no passado da gente doi muito mais do que duas. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Documentação sobre como o squid remon ta os pacotes
Senhores bom dia estou precisando da seguinte informação: quando o squid faz a consulta ou envia arquivos para um servidor externo, como que ele monta esse pacote. Pois na verdade preciso de confirmar a que o squid, nessa informação, repassa o IP do cliente que fez a consulta. Se alguem puder me ajudar. []s Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru LPIC1 - Linux Professional Institute Certification - Nível 1 [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Documentação sobre como o squid remon ta os pacotes
Então, deixa eu explicar um pouco mais minhas necessidades. Onde trabalho, temos um squid onde sai nossos clientes por ele. Este servidor não é mantido por nós, e sim por uma empresa contratada que implantou o sistema. Ele funciona como proxy transparente para os nossos clientes. Esses dias, algum cliente nosso que não sabemos quem postou um vídeo no youtube. Uma pessoa na região entrou na justiça contra esse video, e o google passou o IP que seria a origem desse video. Como temos proxy externo, o google passou o IP do servidor squid. Como é uma ordem judicial, precisamos passar o IP correto do cliente. Entrando em contato com a empresa que mantem o squid, ele disse que quem tem que passar a informação correta do IP é o google, e não nós. Ou seja, ele alega que o squid passa para frente o IP do cliente e o google teria que passar a informação correta. Agora estou a procura da documentação para ter certeza se o squid realmente passa essa informação (o IP do cliente) para frente ou não, em algum lugar na montagem do pacote. []s Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru LPIC1 - Linux Professional Institute Certification - Nível 1 [EMAIL PROTECTED] [EMAIL PROTECTED] 2008/11/25 irado furioso com tudo [EMAIL PROTECTED]: Em Tue, 25 Nov 2008 09:24:47 -0200 Renato de Oliveira Diogo [EMAIL PROTECTED], conhecido consumidor de drogas (BigMac's com Coke) escreveu: Pois na verdade preciso de confirmar a que o squid, nessa informação, repassa o IP do cliente que fez a consulta. acho que o que vc quer, de verdade, é isto aqui: http://www.howtoforge.com/anonymous-proxy-using-squid-3-centos-5.x ignore o SO indicado, pq squid é squid. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free (notar que eu sou um completo irresponsável em atos e palavras, completamente sem-noção e bom senso, portanto, MINHA OPINIÃO não deve ser compartilhada por ninguém sob pena de eu me julgar, no mínimo, errado.) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Documentação sobre como o squid remon ta os pacotes
Em relação o IP, os IPs de todos os nossos clientes são publicos, mas aqui eles usam para cache o proxy. []s Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru LPIC1 - Linux Professional Institute Certification - Nível 1 [EMAIL PROTECTED] [EMAIL PROTECTED] 2008/11/25 Cleyton Bertolim [EMAIL PROTECTED]: Provavelmente o Google tem, além do IP, a data e a hora que esse vídeo foi colocado no ar, sendo assim, com essas informações, você pode verificar os logs do seu squid, no mesmo dia e horário e descobrir de qual máquina da sua rede interna saiu esse vídeo. A não ser que vocês não tenham mais esses logs. 2008/11/25 Cristina Fernandes Silva [EMAIL PROTECTED]: Se eu entendi direito. O seu cliente passa pelo seu proxy transparente, é isso ? ou seja, ele tem IP privado ? Neste caso Google recebe o IP do teu servidor proxy, é esse IP que esta identificado pelo Google. Porem vc pode analisar o log do squid para saber o IP do cliente ao postar esse video. Creio uma solução para isso é usar o Tproxy, porem não consegui implementar no FreeBSD e alguns estão com dificuldades no linux. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Documentação sobre como o squid remon ta os pacotes
Opa Irado vou averiguar sua sugestão, é muito boa sim... e imagina que ficaria chateado pela sua iniciativa, inclusive agradeço pela atitude e a postagem da discussão. Bom, com isso já deu pra dar uma boa ideia da encrenca que estamos, rs, pois nosso proxy está no freebsd (ou seja, sem esse patch do tproxy). Em relação aos logs, preciso ver como se comporta, pois como disse, essa administração não está em nosso poder, e é difícil conversar com eles. Mas para confirmar vou fazer o que vc falou e também analisar pelo site que o Flavio passou também, já vai dar uma boa ideia. Pessoal agradeço a todos pela colaboração. []s Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru LPIC1 - Linux Professional Institute Certification - Nível 1 [EMAIL PROTECTED] [EMAIL PROTECTED] 2008/11/25 Flavio Junior [EMAIL PROTECTED]: Eu acho que esse site responde tua pergunta... http://my-i-p.com/ Da uma conferida no campo 8 HTTP_X_FORWARDED_FOR -- Flávio do Carmo Júnior aka waKKu 2008/11/25 Renato de Oliveira Diogo [EMAIL PROTECTED] Em relação o IP, os IPs de todos os nossos clientes são publicos, mas aqui eles usam para cache o proxy. []s Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru LPIC1 - Linux Professional Institute Certification - Nível 1 [EMAIL PROTECTED] [EMAIL PROTECTED] 2008/11/25 Cleyton Bertolim [EMAIL PROTECTED]: Provavelmente o Google tem, além do IP, a data e a hora que esse vídeo foi colocado no ar, sendo assim, com essas informações, você pode verificar os logs do seu squid, no mesmo dia e horário e descobrir de qual máquina da sua rede interna saiu esse vídeo. A não ser que vocês não tenham mais esses logs. 2008/11/25 Cristina Fernandes Silva [EMAIL PROTECTED]: Se eu entendi direito. O seu cliente passa pelo seu proxy transparente, é isso ? ou seja, ele tem IP privado ? Neste caso Google recebe o IP do teu servidor proxy, é esse IP que esta identificado pelo Google. Porem vc pode analisar o log do squid para saber o IP do cliente ao postar esse video. Creio uma solução para isso é usar o Tproxy, porem não consegui implementar no FreeBSD e alguns estão com dificuldades no linux. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Dois blocos de IP em mesma Rede
Cara, fora o nat como está configurado no freebsd para passar os IPs válidos? Bridge? []s On Feb 19, 2008 8:04 PM, Nenhum_de_Nos [EMAIL PROTECTED] wrote: me veio a cabeça usar binat. já que ele vai ter mesmo o FreeBSD com pf lá ... quem sabe num deixa as coisas mais simples e seguras ;) -- We will call you cygnus, The God of balance you shall be - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] (qmail) - controle mais aprimorado de spam - usando as caracteristicas do q está isnta lado
Ola pessoal tenho um servdor de e-mail que está rodando legal, com um certo nível de proteção anti-spam legal. Uso o qmail+spamcontrol+empf+vpopmail+qmail-scan+spamassassin+antivirus. Porém quero aprimorar um pouco mais a questão do spam, porem não consegui ainda entender exatamente onde se aplica as seguintes características: badhelo badmailfrom tcpserver sem a opção (-H) com o smtp.tcp mav O que não entendo em que parte do processo cada característica dessa se aplica. E quais as vantagens e desvantagens. Exemplo: tenho um 2 ips aqui que sei que se destina de usuários de speedy, velox. Ou seja, não tenho o porque aceitar mensagens desses servidores ou openrelay, a não ser que seja realmente cliente meu (tem uma conta de email) ou em casos específicos. Porém, uso o mesmo smtpd para mx e para os meus clientes. Alguem poderia me indicar uma documentação mais detalhada desses processos todos? []s -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Script para ipfw (possível problema e m execução através de acesso remoto)
Olá pessoal fiz o teste utilizando o (para background) e funcionou corretamente, muito obrigado a todos, Agora tem alguma forma de colocar a regra padrão para OPEN sem a necessidade de recompilação do kernel? []s On Jan 5, 2008 10:10 AM, Renato de Oliveira Diogo [EMAIL PROTECTED] wrote: Existe alguma forma de fazer com q o padrão do firewall seja OPEN sem a necessidade de recompilar o kernel? Bom, as minhas regras estão da seguinte forma: === IPFW=/sbin/ipfw $IPFW -f flush $IPFW add 1 allow ip from any to any via lo0 $IPFW add 2 deny ip from any to 127.0.0.0/8 $IPFW add 3 deny ip from 127.0.0.0/8 to any $IPFW add 5 allow src-ip 192.168.10.0/24 dst-ip me dst-port 22 via re0 $IPFW add 5 allow src-ip me dst-ip any src-port 22 via re0 $IPFW add 6 allow src-ip 192.168.10.0/24 dst-ip me icmptypes 0,8 via re0 $IPFW add 6 allow src-ip me dst-ip any icmptypes 0,8 via re0 $IPFW add 7 allow src-ip 192.168.10.0/24 dst-ip me proto udp dst-port 161,162 via re0 $IPFW add 7 allow src-ip me dst-ip any proto udp src-port 161,162 via re0 === Não me lembro se cheguei a testar com para colocá-lo em background, porém se tiver uma alternativa fora isso facilitaria, pois não sou somente eu que vou administrar esse host e ele (como eu tb) pode esquecer alguma vez de colocar, o que faria essa máquina travar, e ela será importantíssima para o funcionamento de uma grande rede (será um bridge ou um router) []s On Jan 5, 2008 1:35 AM, Gelsimauro Batista dos Santos [EMAIL PROTECTED] wrote: Meu caro deixe o default allow e coloque a regra abaixo como o ultimo nome da regra tenho um servidor assim e não tive problemas, ele vai negar tudo do mesmo jeito. Não vou dizer o porque ta dando esse problema no seu pois quando utilizo a politica de firewall mantenho somente aberto, e bloqueio tudo com regra abaixo. ipfw 2000 deny ip from any to any ipfw 65535 allow ip from any to any Em 04/01/08, Tiago N. Sampaio [EMAIL PROTECTED] escreveu: Sua regra padrão está deny? se estiver é isso, no momento que vc dá o flush ele nega a troca de pacotes de seu terminal remoto e ai cai tudo... tenta colocar default allow... ou tenta assim #sh /etc/rc.firewall que mesmo que sua shell caia ele continua executando o script. Abraços Tiago N. Sampaio Márcio Elias escreveu: Tecnicamente não, mais porque vc não coloca as suas regras aqui pra gente poder ver melhor a situação, melhor colovca o script mesmo... On Jan 4, 2008 10:11 PM, Renato de Oliveira Diogo [EMAIL PROTECTED] wrote: Olá pessoal estou montando um script para gerenciar meu ipfw... porém me deparei com uma situação bem incomum a ordem de montagem é: flush para eliminar qq regra (ipfw -f flush) tratamento de loopback (baseado no que o rc.conf firewall=OPEN monta) liberação de ssh para determinados IPs liberação de ping para determinados IPs O problema é que quando executo através de acesso remoto, trava o acesso remoto e perco a conexão. Colocando o monitor direto no host, vejo que não conseguiu levantar todas as regras (que se carregado no boot do sistema, carrega normal) será que é algum problema com o flush, já q tenho as regras do ssh logo em seguida. []s -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Controle de banda em bridge
Bom, em relação ao controle de banda funcionou perfeitamente. Não está identico ao que vc me passou, mas está ok. A questão agora é o seguinte... minhas regras estão dessa forma: === $IPFW add 1001 pipe 1 src-ip 192.168.1.0/24 $IPFW add 1002 pipe 2 dst-ip 192.168.1.0/24 $IPFW pipe 1 config bw 1024Kbit/s queue 10KBytes $IPFW pipe 2 config bw 1024Kbit/s queue 10KBytes === O que acontece é que não está especificado em quais interfaces este controle se valerá. Neste host terá uma placa de rede fora da bridge para administração. E em caso de um dos IPs forem do bloco acima estará restringido. Se eu tento especificar qq regra para que funcione especificamente nas interfaces da bridge ou na propria bridge, os pacotes não bate com as regras (exemplo de regras que tentei e nao funcionou). === $IPFW add 1001 pipe 1 src-ip 192.168.1.0/24 via bridge0 ou $IPFW add 1002 pipe 2 dst-ip 192.168.1.0/24 via rl0,rl1 ou $IPFW add 1001 pipe 1 src-ip 192.168.1.0/24 via rl0,rl1,bridge0 === a bridge0 tem somente as interfaces rl0 e rl1 O que pode estar de errado nisso? On Jan 5, 2008 1:41 AM, Gelsimauro Batista dos Santos [EMAIL PROTECTED] wrote: Para fazer uma bridge funcionar com controle de banda a única coisa que fiz foi adicionar no systctl.conf as linhas abaixo. net.link.ether.bridge.enable=1 net.link.ether.bridge_cfg=xl0,rl0 net.link.ether.bridge_ipfw=1 net.inet.ip.ttl=100 Um exemplo que meu controle de banda. #Download 128kbit/s Upload 64kbit/s /sbin/ipfw add 140 pipe 140 ip from any to 200.200.200.3 /sbin/ipfw add 141 pipe 141 ip from 200.200.200.3 to any /sbin/ipfw pipe 140 config bw 128kbit/s delay 5ms queue 8kbytes /sbin/ipfw pipe 141 config bw 64kbit/s delay 5ms queue 8kbytes Em 04/01/08, Renato de Oliveira Diogo [EMAIL PROTECTED] escreveu: Olá pessoal em testes meus aqui descobri q o problema de ele não estar deixando os pipe funcionar é as seguintes opções que coloquei o /etc/sysctl.conf net.link.bridge.pfil_onlyip=1 net.link.bridge.ipfw_arp=1 Não setando essas opções os pipes funcionam perfeitamente. Alguem sabe me dizer o pq isso está ocorrendo. Não é interessante manter elas setadas? Obs.: o controle de banda é feita através de uma bridge nesta maquina. Outra coisa, não consigo especificar tratamento dos pipes via bridge0 ou via rl0,rl1. Ou seja, se quero tratar algo q seja especifico na bridge, não funciona se estipulo via... alguem ja passou por uma situação dessa? []s On Dec 18, 2007 11:23 AM, Renato de Oliveira Diogo [EMAIL PROTECTED] wrote: Ola Pela ordem mais esquisita ainda. Pois primeiramente dou um flush no inicio do script (caso eu precise modificar algumas regras, eliminar algumas outras, essas coisas). e Abaixo disso venho criando as regras: 1. regras para liberação de algumas coisas na interface de gerenciamento (que não faz parte da bridge). Em segundo venho criando os pipes para o bloco de IP. Por ultimo a regra padrão do firewall. Mas quando eu coloco a bride entre duas máquinas (da mesma rede) que estão fazendo ping entre elas, as regras caem na regra padrão. Aí, quando dou um libera tudo antes da regra padrão (e depois do pipe), aí entra nos pipes. Em relação a bridge, está exatamente como dito no artigo abaixo indicado. Para especificar mais, meu rc.conf está assim: ifconfig_rl0=up ifconfig_rl1=up cloned_interfaces=bridge0 ifconfig_bridge0=addm rl0 addm rl1 up O /boot/loader.conf if_bridge_load=YES dummynet_load=YES O /etc/sysctl.conf net.link.bridge.pfil_onlyip=1 net.link.bridge.ipfw=1 net.link.bridge.ipfw_arp=1 Agora meu teste estou fazendo da seguinte forma: as duas maquinas estão na mesma rede (host 1: 192.168.0.1, host2: 192.168.0.2)... no ambiente real, a bridge vai ficar exatamente entre o roteador e a rede do cliente será q o jeito q estou testando está errado? Pois vai ficar em uma rede diferente []s On Dec 17, 2007 1:19 PM, Márcio Luciano Donada [EMAIL PROTECTED] wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Em 14/12/07, Renato de Oliveira Diogo [EMAIL PROTECTED] escreveu: Olá senhores estou tentando fazer uma bridge para controle de banda, porém estou com problemas nas regras do meu script do ipfw: Obs.: re0 é uma interface para adm. rl0 é a interface da bridge voltada para a internet rl1 é a interface da bridge voltada para rede interna Boa tarde, Você já criou a interface brigde0?http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/network- bridging.html Lembre-se de que terá que haver uma junção do meio fisico The bridge works by learning the MAC layer addresses (Ethernet addresses) of the devices on each of its network interfaces Abraço, - -- Márcio Luciano Donada mdonada at auroraalimentos dot com dot br Aurora Alimentos
Re: [FUG-BR] Script para ipfw (possível problema e m execução através de acesso remoto)
Existe alguma forma de fazer com q o padrão do firewall seja OPEN sem a necessidade de recompilar o kernel? Bom, as minhas regras estão da seguinte forma: === IPFW=/sbin/ipfw $IPFW -f flush $IPFW add 1 allow ip from any to any via lo0 $IPFW add 2 deny ip from any to 127.0.0.0/8 $IPFW add 3 deny ip from 127.0.0.0/8 to any $IPFW add 5 allow src-ip 192.168.10.0/24 dst-ip me dst-port 22 via re0 $IPFW add 5 allow src-ip me dst-ip any src-port 22 via re0 $IPFW add 6 allow src-ip 192.168.10.0/24 dst-ip me icmptypes 0,8 via re0 $IPFW add 6 allow src-ip me dst-ip any icmptypes 0,8 via re0 $IPFW add 7 allow src-ip 192.168.10.0/24 dst-ip me proto udp dst-port 161,162 via re0 $IPFW add 7 allow src-ip me dst-ip any proto udp src-port 161,162 via re0 === Não me lembro se cheguei a testar com para colocá-lo em background, porém se tiver uma alternativa fora isso facilitaria, pois não sou somente eu que vou administrar esse host e ele (como eu tb) pode esquecer alguma vez de colocar, o que faria essa máquina travar, e ela será importantíssima para o funcionamento de uma grande rede (será um bridge ou um router) []s On Jan 5, 2008 1:35 AM, Gelsimauro Batista dos Santos [EMAIL PROTECTED] wrote: Meu caro deixe o default allow e coloque a regra abaixo como o ultimo nome da regra tenho um servidor assim e não tive problemas, ele vai negar tudo do mesmo jeito. Não vou dizer o porque ta dando esse problema no seu pois quando utilizo a politica de firewall mantenho somente aberto, e bloqueio tudo com regra abaixo. ipfw 2000 deny ip from any to any ipfw 65535 allow ip from any to any Em 04/01/08, Tiago N. Sampaio [EMAIL PROTECTED] escreveu: Sua regra padrão está deny? se estiver é isso, no momento que vc dá o flush ele nega a troca de pacotes de seu terminal remoto e ai cai tudo... tenta colocar default allow... ou tenta assim #sh /etc/rc.firewall que mesmo que sua shell caia ele continua executando o script. Abraços Tiago N. Sampaio Márcio Elias escreveu: Tecnicamente não, mais porque vc não coloca as suas regras aqui pra gente poder ver melhor a situação, melhor colovca o script mesmo... On Jan 4, 2008 10:11 PM, Renato de Oliveira Diogo [EMAIL PROTECTED] wrote: Olá pessoal estou montando um script para gerenciar meu ipfw... porém me deparei com uma situação bem incomum a ordem de montagem é: flush para eliminar qq regra (ipfw -f flush) tratamento de loopback (baseado no que o rc.conf firewall=OPEN monta) liberação de ssh para determinados IPs liberação de ping para determinados IPs O problema é que quando executo através de acesso remoto, trava o acesso remoto e perco a conexão. Colocando o monitor direto no host, vejo que não conseguiu levantar todas as regras (que se carregado no boot do sistema, carrega normal) será que é algum problema com o flush, já q tenho as regras do ssh logo em seguida. []s -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Deleção de regras do ipfw (uma unic a regra de um conjunto com o mesmo numero)
Olá pessoas pesquisei e não achei o q eu realmente esta precisando em testes meus aqui, eu acabo adicionando várias regras no ipfw com o mesmo número. Porém quando vou apagar, elas apagas todas as regras com o mesmo número. Existe alguma forma de eu apagar uma única regra se apagar as demais de mesmo numero? Ex.: ipfw add 100 allow src-ip 192.168.0.1 dst-ip any ipfw add 100 allow src-ip 192.168.0.2 dst-ip 192.168.0.1 ipfw add 100 allow src-ip 192.168.0.0/24 dst-ip any Queria remover somente a 2ª regra. []s -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Deleção de regras do ipfw (uma unic a regra de um conjunto com o mesmo numero)
Olá pessoal grato a atenção e respostas de todos... o uso de mais de uma regra no mesmo numero é em casos rapidos de testes meus, não é algo que costumo colocar em produção. Para produção eu prefiro script mesmo, e neste caso tendo a deixar mais organizado. Vou verificar a opção set e table, para entender melhor. Bom, resumindo meu entendimento, do jeito q faço não tem como mesmo. Tenho outra dúvida, mas isso é em script mesmo e prefiro abrir outro topico, até lá e grato a todos. []s On Jan 4, 2008 12:42 PM, Diego Queiroz dos Santos [EMAIL PROTECTED] wrote: por que voce poe todas com os mesmos numeros? vc tem 65535 regras para poder adicionar, alem de poder usar regras em blocos com a opcao table ipfw table numero da table add endereco [/mascara] [valor] ipfw table numero da table del ipfw table numero da table flush ipfw table numero da table list voce pode fazer o seguinte: ipfw table 1 add 192.168.0.1/32 ipfw table 1 add 192.168.0.2/32 e dai: ipfw add 100 allow tcp from table to x.x.x.x/x in via xl0 sei que nao respondi sua pergunta, mas espero ter ajudado.. abraco.! Em 04/01/08, Renato de Oliveira Diogo[EMAIL PROTECTED] escreveu: Olá pessoas pesquisei e não achei o q eu realmente esta precisando em testes meus aqui, eu acabo adicionando várias regras no ipfw com o mesmo número. Porém quando vou apagar, elas apagas todas as regras com o mesmo número. Existe alguma forma de eu apagar uma única regra se apagar as demais de mesmo numero? Ex.: ipfw add 100 allow src-ip 192.168.0.1 dst-ip any ipfw add 100 allow src-ip 192.168.0.2 dst-ip 192.168.0.1 ipfw add 100 allow src-ip 192.168.0.0/24 dst-ip any Queria remover somente a 2ª regra. []s -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Diego Queiroz dos Santos Iate Clube de Brasília +55 61 9274 9832 LEGAL ADVICE This message is exclusively destined for the people to whom it is directed, and it can bear private and/or legally exceptional information. If you are not addressee of this message, since now you are advised to not release, copy, distribute, check or, otherwise, use the information contained in this message, because it is illegal. If you received this message by mistake, we ask you to return this email, making possible, as soon as possible, the elimination of its contents of your database, registrations or controls system. The message that bears any mandatory links, issued by someone who has no representation powers, shall be null or void. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Script para ipfw (possível problema e m execução através de acesso remoto)
Olá pessoal estou montando um script para gerenciar meu ipfw... porém me deparei com uma situação bem incomum a ordem de montagem é: flush para eliminar qq regra (ipfw -f flush) tratamento de loopback (baseado no que o rc.conf firewall=OPEN monta) liberação de ssh para determinados IPs liberação de ping para determinados IPs O problema é que quando executo através de acesso remoto, trava o acesso remoto e perco a conexão. Colocando o monitor direto no host, vejo que não conseguiu levantar todas as regras (que se carregado no boot do sistema, carrega normal) será que é algum problema com o flush, já q tenho as regras do ssh logo em seguida. []s -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Controle de banda em bridge
Olá pessoal em testes meus aqui descobri q o problema de ele não estar deixando os pipe funcionar é as seguintes opções que coloquei o /etc/sysctl.conf net.link.bridge.pfil_onlyip=1 net.link.bridge.ipfw_arp=1 Não setando essas opções os pipes funcionam perfeitamente. Alguem sabe me dizer o pq isso está ocorrendo. Não é interessante manter elas setadas? Obs.: o controle de banda é feita através de uma bridge nesta maquina. Outra coisa, não consigo especificar tratamento dos pipes via bridge0 ou via rl0,rl1. Ou seja, se quero tratar algo q seja especifico na bridge, não funciona se estipulo via... alguem ja passou por uma situação dessa? []s On Dec 18, 2007 11:23 AM, Renato de Oliveira Diogo [EMAIL PROTECTED] wrote: Ola Pela ordem mais esquisita ainda. Pois primeiramente dou um flush no inicio do script (caso eu precise modificar algumas regras, eliminar algumas outras, essas coisas). e Abaixo disso venho criando as regras: 1. regras para liberação de algumas coisas na interface de gerenciamento (que não faz parte da bridge). Em segundo venho criando os pipes para o bloco de IP. Por ultimo a regra padrão do firewall. Mas quando eu coloco a bride entre duas máquinas (da mesma rede) que estão fazendo ping entre elas, as regras caem na regra padrão. Aí, quando dou um libera tudo antes da regra padrão (e depois do pipe), aí entra nos pipes. Em relação a bridge, está exatamente como dito no artigo abaixo indicado. Para especificar mais, meu rc.conf está assim: ifconfig_rl0=up ifconfig_rl1=up cloned_interfaces=bridge0 ifconfig_bridge0=addm rl0 addm rl1 up O /boot/loader.conf if_bridge_load=YES dummynet_load=YES O /etc/sysctl.conf net.link.bridge.pfil_onlyip=1 net.link.bridge.ipfw=1 net.link.bridge.ipfw_arp=1 Agora meu teste estou fazendo da seguinte forma: as duas maquinas estão na mesma rede (host 1: 192.168.0.1, host2: 192.168.0.2)... no ambiente real, a bridge vai ficar exatamente entre o roteador e a rede do cliente será q o jeito q estou testando está errado? Pois vai ficar em uma rede diferente []s On Dec 17, 2007 1:19 PM, Márcio Luciano Donada [EMAIL PROTECTED] wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Em 14/12/07, Renato de Oliveira Diogo [EMAIL PROTECTED] escreveu: Olá senhores estou tentando fazer uma bridge para controle de banda, porém estou com problemas nas regras do meu script do ipfw: Obs.: re0 é uma interface para adm. rl0 é a interface da bridge voltada para a internet rl1 é a interface da bridge voltada para rede interna Boa tarde, Você já criou a interface brigde0?http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/network-bridging.html Lembre-se de que terá que haver uma junção do meio fisico The bridge works by learning the MAC layer addresses (Ethernet addresses) of the devices on each of its network interfaces Abraço, - -- Márcio Luciano Donada mdonada at auroraalimentos dot com dot br Aurora Alimentos - Cooperativa Central Oeste Catarinense Departamento de T.I. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (MingW32) iD8DBQFHZpNxbjyCr4Ixg0wRAnGLAJ9DC+TBTrlc5+dnM569Gv0QqkvZQgCgp6Cc DPDJ/it56/ju4deF5msevsI= =5UqO -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Controle de banda, script errado
Ola Pela ordem mais esquisita ainda. Pois primeiramente dou um flush no inicio do script (caso eu precise modificar algumas regras, eliminar algumas outras, essas coisas). e Abaixo disso venho criando as regras: 1. regras para liberação de algumas coisas na interface de gerenciamento (que não faz parte da bridge). Em segundo venho criando os pipes para o bloco de IP. Por ultimo a regra padrão do firewall. Mas quando eu coloco a bride entre duas máquinas (da mesma rede) que estão fazendo ping entre elas, as regras caem na regra padrão. Aí, quando dou um libera tudo antes da regra padrão (e depois do pipe), aí entra nos pipes. Em relação a bridge, está exatamente como dito no artigo abaixo indicado. Para especificar mais, meu rc.conf está assim: ifconfig_rl0=up ifconfig_rl1=up cloned_interfaces=bridge0 ifconfig_bridge0=addm rl0 addm rl1 up O /boot/loader.conf if_bridge_load=YES dummynet_load=YES O /etc/sysctl.conf net.link.bridge.pfil_onlyip=1 net.link.bridge.ipfw=1 net.link.bridge.ipfw_arp=1 Agora meu teste estou fazendo da seguinte forma: as duas maquinas estão na mesma rede (host 1: 192.168.0.1, host2: 192.168.0.2)... no ambiente real, a bridge vai ficar exatamente entre o roteador e a rede do cliente será q o jeito q estou testando está errado? Pois vai ficar em uma rede diferente []s On Dec 17, 2007 1:19 PM, Márcio Luciano Donada [EMAIL PROTECTED] wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Em 14/12/07, Renato de Oliveira Diogo [EMAIL PROTECTED] escreveu: Olá senhores estou tentando fazer uma bridge para controle de banda, porém estou com problemas nas regras do meu script do ipfw: Obs.: re0 é uma interface para adm. rl0 é a interface da bridge voltada para a internet rl1 é a interface da bridge voltada para rede interna Boa tarde, Você já criou a interface brigde0?http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/network-bridging.html Lembre-se de que terá que haver uma junção do meio fisico The bridge works by learning the MAC layer addresses (Ethernet addresses) of the devices on each of its network interfaces Abraço, - -- Márcio Luciano Donada mdonada at auroraalimentos dot com dot br Aurora Alimentos - Cooperativa Central Oeste Catarinense Departamento de T.I. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (MingW32) iD8DBQFHZpNxbjyCr4Ixg0wRAnGLAJ9DC+TBTrlc5+dnM569Gv0QqkvZQgCgp6Cc DPDJ/it56/ju4deF5msevsI= =5UqO -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Controle de banda, script errado
Olá senhores estou tentando fazer uma bridge para controle de banda, porém estou com problemas nas regras do meu script do ipfw: Obs.: re0 é uma interface para adm. rl0 é a interface da bridge voltada para a internet rl1 é a interface da bridge voltada para rede interna === #!/sbin/sh ## ## Regras basicas # # Entrada E/OU saida do host br ## IPFW=/sbin/ipfw $IPFW -f flush $IPFW add 1 allow ip from any to any via lo0 $IPFW add 2 deny ip from any to 127.0.0.0/8 $IPFW add 3 deny ip from 127.0.0.0/8 to any $IPFW add 4 check-state $IPFW add 5 allow src-ip 192.168.10.0/24 dst-ip me dst-port 22 via re0 keep-state $IPFW add 6 allow src-ip 192.168.10.0/24 dst-ip me icmptypes 0,8 via re0 keep-state $IPFW add 6 allow src-ip me dst-ip any icmptypes 0,8 via re0 keep-state $IPFW add 7 allow src-ip 192.168.10.0/24 dst-ip me proto udp dst-port 161,162 via re0 keep-state ## ## Controle de banda # # ## # Bloco1 - UP: 1024Kbit/s DOWN: 1024Kbit/s $IPFW add 1001 pipe 1 src-ip 192.168.0.0/24 xmit rl0 out $IPFW add 1002 pipe 2 dst-ip 192.168.0.0/24 xmit rl1 out $IPFW pipe 1 config bw 1024Kbit/s queue 10KBytes $IPFW pipe 2 config bw 1024Kbit/s queue 10KBytes $IPFW add 2001 allow src-ip 192.168.0.0/24 recv rl1 keep-state $IPFW add 2002 allow dst-ip 192.168.0.0/24 recv rl0 keep-state === Desta forma, a bridge não está funcionando. Pelo q percebi os pacotes não estão batendo na regra 1001 e 1002... Agora se eu coloco uma regra pra abrir o firewall, aí a dridge funciona, porém meu PC fica aberto. Já tentei dessa forma, mas um hora funcionou, mas de nada parou: #!/sbin/sh ## ## Regras basicas # # Entrada E/OU saida do host br ## IPFW=/sbin/ipfw $IPFW -f flush $IPFW add 1 allow ip from any to any via lo0 $IPFW add 2 deny ip from any to 127.0.0.0/8 $IPFW add 3 deny ip from 127.0.0.0/8 to any $IPFW add 5 allow src-ip 192.168.10.0/24 dst-ip me dst-port 22 via re0 $IPFW add 5 allow dst-ip me src-ip any src-port 22 via re0 $IPFW add 6 allow src-ip 192.168.10.0/24 dst-ip me icmptypes 0,8 via re0 $IPFW add 6 allow src-ip me dst-ip any icmptypes 0,8 via re0 $IPFW add 7 allow src-ip 192.168.10.0/24 dst-ip me proto udp dst-port 161,162 via re0 $IPFW add 7 allow dst-ip me src-ip any proto udp src-port 161,162 via re0 ## ## Controle de banda # # ## # Bloco1 - UP: 1024Kbit/s DOWN: 1024Kbit/s $IPFW add 1001 pipe 1 src-ip 192.168.0.0/24 xmit rl0 out $IPFW add 1002 pipe 2 dst-ip 192.168.0.0/24 xmit rl1 out $IPFW pipe 1 config bw 1024Kbit/s queue 10KBytes $IPFW pipe 2 config bw 1024Kbit/s queue 10KBytes $IPFW add 2001 allow src-ip 192.168.0.0/24 via rl0,rl1 $IPFW add 2002 allow dst-ip 192.168.0.0/24 via rl0,rl1 Neste segundo não trabalhei com state-full. Alguem tem alguma ideia onde está o problema? -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] [RESOLVIDO] Re: RES: RES: Controle de banda de sub-blocos dentro de um bloco grande
Grato a todos por me ajudar esclarecer minhas dúvidas Olá jaitonys até este momento ainda não teríamos a necessidade disso, mas caso queira passar seus contatos para conversarmos, podemos ver com o que vc exatamente trabalha e caso haja algum interesse. Meu e-mail é: [EMAIL PROTECTED], que passarei para a parte administrativa. Grato On Dec 7, 2007 1:26 PM, jaitony gmail [EMAIL PROTECTED] wrote: Sequizer nos locamos para vc entre em contato Renato de Oliveira Diogo escreveu: On Dec 7, 2007 10:26 AM, Renato Frederick [EMAIL PROTECTED] wrote: Interessante saber q não precisarei fazer a divisão dos blocos antes do bridge para o controle. Vai me poupar uma sobrecarga de controle. E ainda não tinha me atentado da questão de passar dois blocos diferentes para o mesmo cliente na mesma faixa de banda, foi um exemplo seu que já me atentou neste detalhe q eu tinha deixado passar. Vlw. Por isto você usa bridge ao invés de subnet :) Muito bom, agori fixo esse conceito. Vou verificar a questão de bloqueios dos blocos quando não utilizados. Mas normalmente os blocos não utilizados não estão roteados (salvo raríssimas excessões). Realmente entre os clientes não entraria neste controle. De inicio isto não seria um problema (poderia ser até uma vantagem), porém num futuro o meu meio pode saturar acarretando problemas nisto. Mas esses roteadores tem um controle de banda dele, o ruim deste controle de banda é que eu não posso estipular UP e DOWN separadamente, por exemplo 1024K de UP e 1024K de DOWN, a única coisa que eu posso especificar é que o meio é controlado por 2048K total (soma do UP e DOWN). É cisco? Com rate limit você pode limitar input e output das interfaces: http://www.cisco.com/en/US/docs/ios/12_2/qos/command/reference/qrfcmd8.html só observe o consumo de CPU! Não são CISCOs, a minha própria estrutura wireless tem seu roteamento, e estamos utilizando ela para este roteamento. Aumentando a carga aí sim avaliamos em colocar um dispositivo somente para isto, mas ainda seria um investimento desnecessário e impossível no momento. (Já respondendo o email do jaitony :) ) Mas para amenizar isso, faço o controle de UP separado de DOWN no bridge para o link com a telecom (o que nosso gargalo hoje) e faço o controle da soma do UP e DOWN contratado no router na ponta do cliente. Caso contrario eu teria que colocar um bridge em cada cliente e ficaria muitas máquinas a ser gerenciada. Isto seria impraticável... O meio de enlace meu entre os roteadores é wireless, creio que é por isso o problema de controle de banda nos routers. Com certeza, rádios wireless não irão informar às interfaces do roteadores conectados à nuvem quando o meio está congestionado ou priorizar tráfego, você terá que fazer isto na mão :) O controle de MAC na verdade não seria para estes clientes, com certeza o cliente é o responsável pela sua rede. Na verdade esse controle de MAC será uma funcionalidade que estaria agregando na mesma estrutura para fazer um controle de clientes de acesso (que são clientes residenciais, algumas empresas que não necessitam/querem um acesso mais garantido), e estes entraria em uma banda compartilhada, com ou sem IPs dinâmicos, essas coisas. Mas esta estrutura seria uma outra máquina, como exemplo na posição do Router cliente acesso. Você pode colocar um freebsd como AP em um PC montado na torre ou usar uma mini distribuição(tinybsd) em placas próprias(wrap). Tem soluções vendidas em caixas no mercado também como staros/mikrotik/routeros... houve uma discussão sobre isto aqui a alguns dias A sim, esta é a ideia. Hoje já trabalhamos com uma estrutura, porém estamos vendo a possibilidade de procurar alternativas dentre as que resolvem alguns problemas que estamos tendo, ou substituição ou a criação de uma nossa própria. []s []s On Dec 7, 2007 7:27 AM, Renato Frederick [EMAIL PROTECTED] wrote: Você pode colocar a bridge neste ponto (*) sem problema algum, não precisa dividir blocos, afinal a bridge está aí exatamente para não precisar de subrede. Talvez seja interessante ativar algum tipo de filtro para que blocos IP não utilizados não sejam roteados, é uma proteção a mais, mas dependendo do tamanho da sua rede isto pode se tornar inviável. Daí na bridge coloque o DUMMYNET criando um pipe limitando a /29 com a velocidade total contratada. Se o cliente adquirir mais blocos altere a máscara ou faça um {bloco_1/24 or bloco2/28} para agregar as regras, bem simples. Só que neste cenário o controle de banda só irá ocorrer para a Internet afora, se o cliente1 acessar o cliente5, como a bridge está em outro segmento, eles usarão toda a banda disponível de um até o outro. Como você está ligando o router1 até o cliente1 e cliente2? Como é o protocolo de enlace
[FUG-BR] Controle de banda fixo para blocos de IP
Olá a todos novamente bom, estou montando meu script para o controle de banda, como tinha comentado a um topico anterior. Será feito na forma de bridge em cima de um FreeBSD 6.2. Tenho 3 interfaces: rl0 (ponta da bridge voltada para internet), rl1 (ponta da bridge voltada para rede de meus clientes) e re0 (com IP válido para eu ter acesso remoto). Eu configurei a bridge para filtro de pacote tb (obvio, controle de banda :). Gostaria que vcs comentassem do meu script para ver se está legal, ou se sugerem alguma coisa: ## ## Regras basicas # # Entrada E/OU saida do host br-ssp ## add 1 allow ip from any to any via lo0 add 2 deny ip from any to 127.0.0.0/8 add 3 deny ip from 127.0.0.0/8 to any add 4 check-state add 5 allow src-ip 192.168.10.0/24 dst-ip me dst-port 22 via re0 keep-state add 6 allow src-ip 192.168.10.0/24 dst-ip me icmptypes 0,8 via re0 keep-state add 6 allow src-ip me dst-ip any icmptypes 0,8 via re0 keep-state ## ## Controle de banda # # ## # CLIENTE 1 - UP: 1024Kbit/s DOWN: 1024Kbit/s add 500 allow src-ip 192.168.1.0/24 recv rl1 keep-state add 500 allow dst-ip 192.168.1.0/24 recv rl0 keep-state add 1000 pipe 1 src-ip 192.168.1.0/24 xmit rl0 out add 1001 pipe 2 dst-ip 192.168.1.0/24 xmit rl1 out pipe 1 config bw 1024Kbit/s queue 10KBytes pipe 2 config bw 1024Kbit/s queue 10KBytes # CLIENTE 2 - UP: 2048Kbit/s DOWN: 2048Kbit/s add 500 allow src-ip 192.168.2.0/28 recv rl1 keep-state add 500 allow dst-ip 192.168.2.0/28 recv rl0 keep-state add 1000 pipe 3 src-ip 192.168.2.0/28 xmit rl0 out add 1001 pipe 4 dst-ip 192.168.2.0/28 xmit rl1 out pipe 3 config bw 2048Kbit/s queue 10KBytes pipe 4 config bw 2048Kbit/s queue 10KBytes Este script está sendo montado para ser chamado no rc.conf, em firewall_type=/usr/local/bin/ipfirewall.sh []s -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: RES: Controle de banda de sub-blocos dentro de um bloco grande
de chegar na rede final onde fica o cliente. Vou tentar montar +/- como está minha rede: === Router com telecom | |* | |--Router 1 | | - Router cliente 1 | | | | - Router cliente 2 | | | | - Router 1.1 || - Router cliente 5 || || - Router clientes acesso | | - Bridge 1 | | | - clientes de acesso | | | | - Bridge 2 | | | - clientes de acesso | | . | | - Bridge N | | - clientes de acesso | |--Router 2 | | - Router cliente 3 | |--Router 3 | | - Router cliente 4 | |... |--Router N | |- Router cliente N = Bom, seguindo o desenho acima, o Router com telecom vai repassar os blocos de acordo com as necessidades de cada segmento de rede meu. Exemplo: o cliente 4 precisa de um bloco /25, então o Router com telecom passará esse bloco para o Roteador 4. O cliente 3 precisa de um bloco /29, então o Router com telecom passará esse bloco para o Roteador 3. Agora no caso do cliente 1 e 2, recebe um bloco de acordo com as necessidades/contrato, e pode haver expansão de mais clientes. Então designei um bloco /24 do Router com telecom para o Roteador 1, e o roteador 1 faz a divisão do bloco /24, dando um /29 para o cliente 1 e /28 para o cliente 2, assim por diante. A maioria destes roteadores não tem algumas das funções que preciso, como controle de banda (efetivo), controle de MAC, em alguns dos casos... Então eu precisaria, de inicio um controle de banda mais efetivo, controlando 1024K para o cliente 4, 2048K para o cliente 1, 6144K para o cliente 3, assim por diante... 10240K para o Router cliente acesso (este sim faz a redivisão de banda para os clientes de acesso). Observe, mesmo eu ter citado o contole de MAC, a minha preocupação no momento é o controle de banda para blocos de rede. Então pensei em colocar um bridge (marcado com *) para controle de banda entre o Router com telecom e os Router N. Então aí fica a questão no roteamento de um bloco /24 para um roteador de nivel mais baixo (Router 1) e este fazer a divisão (/29, /28...), sendo que o controle de banda é antes deste ponto na estrutura. Ou seja, para um controle total e efetivo, é necessário o bloco já estar divido exatamente, ou posso tratar o controle de banda para um bloco /29 (cliente 1) no bridge que está num segmento que o bloco roteado ainda é /24. Caso isto não seja possivel, terei que fazer a divisão de blocos no Router com telecom e gerar muitas entradas de roteamentos nos Routers... []s -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Controle de banda de sub-blocos dentro de um bloco grande
roteador 1 faz a divisão do bloco /24, dando um /29 para o cliente 1 e /28 para o cliente 2, assim por diante. A maioria destes roteadores não tem algumas das funções que preciso, como controle de banda (efetivo), controle de MAC, em alguns dos casos... Então eu precisaria, de inicio um controle de banda mais efetivo, controlando 1024K para o cliente 4, 2048K para o cliente 1, 6144K para o cliente 3, assim por diante... 10240K para o Router cliente acesso (este sim faz a redivisão de banda para os clientes de acesso). Observe, mesmo eu ter citado o contole de MAC, a minha preocupação no momento é o controle de banda para blocos de rede. Então pensei em colocar um bridge (marcado com *) para controle de banda entre o Router com telecom e os Router N. Então aí fica a questão no roteamento de um bloco /24 para um roteador de nivel mais baixo (Router 1) e este fazer a divisão (/29, /28...), sendo que o controle de banda é antes deste ponto na estrutura. Ou seja, para um controle total e efetivo, é necessário o bloco já estar divido exatamente, ou posso tratar o controle de banda para um bloco /29 (cliente 1) no bridge que está num segmento que o bloco roteado ainda é /24. Caso isto não seja possivel, terei que fazer a divisão de blocos no Router com telecom e gerar muitas entradas de roteamentos nos Routers... []s -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Controle de banda de sub-blocos dentro de um bloco grande
Boa tarde senhores sou novo na lista, e também iniciando com FreeBSD (tenho alguma experiencia em Linux), mas de vez enquanto vejo algumas das discussões interessantes na lista, parabéns a todos. Estou iincumbido de montar uma bridge entre um roteador e uma rede de provedor de acesso a internet, para controle de banda sem a reorganização de todos os blocos/divisões do grande bloco que a provedora possui. Tenho alguns clientes que receberão link puro cujo passamos a eles blocos /29. O meu roteador (com a telecom) hoje está roteando um bloco /24 para um segundo roteador interno e este segundo que divide em blocos de /29 para entregar para clientes diferentes. Estou pensando em colocar meu bridge entre o roteador principal (com a telecom) e meus roteadores internos. Para eu controlar, com velocidades diferentes para cada bloco /29, é necessário estes blocos estar dividido antes da bridge (no caso teria q fazer no roteador principal) ou posso limitar um bloco /29 dentro de um bloco /24 (no caso eu não necessitaria quebrar os blocos no roteador principal) ? []s -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Controle de banda de sub-blocos dentro de um bloco grande
On Dec 6, 2007 4:44 PM, jaitony gmail [EMAIL PROTECTED] wrote: Use cisco tem um switch que faz isso tudo para vc e ja sai em que vc quiser controle de banda é feito pala porta e faz vlan para vc nao tem melhor que CISCO Então, ainda fica um pouco complicado a utilização desses equipamentos por vários motivos. Primeiro que depois do primeiro roteador, tenho diversos outros roteadores (imagine uma arvore), até aí tudo bem, mas exemplo: em um segmento da árvore terei diversos clientes com velocidades diferentes. Outra questão é que esta máquina será uma base para uma tipo de servidor que terá muito mais funcionalidade: controle de mac por cliente, monitoramento por IP, poderá ter serviços DHCP, controle de protocolos não IP, como o NetBIOS, controle de banda dedicado e compartilhado... []s Renato de Oliveira Diogo escreveu: Boa tarde senhores sou novo na lista, e também iniciando com FreeBSD (tenho alguma experiencia em Linux), mas de vez enquanto vejo algumas das discussões interessantes na lista, parabéns a todos. Estou iincumbido de montar uma bridge entre um roteador e uma rede de provedor de acesso a internet, para controle de banda sem a reorganização de todos os blocos/divisões do grande bloco que a provedora possui. Tenho alguns clientes que receberão link puro cujo passamos a eles blocos /29. O meu roteador (com a telecom) hoje está roteando um bloco /24 para um segundo roteador interno e este segundo que divide em blocos de /29 para entregar para clientes diferentes. Estou pensando em colocar meu bridge entre o roteador principal (com a telecom) e meus roteadores internos. Para eu controlar, com velocidades diferentes para cada bloco /29, é necessário estes blocos estar dividido antes da bridge (no caso teria q fazer no roteador principal) ou posso limitar um bloco /29 dentro de um bloco /24 (no caso eu não necessitaria quebrar os blocos no roteador principal) ? []s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Controle de banda de sub-blocos dentro de um bloco grande
On Dec 6, 2007 9:55 PM, Alessandro de Souza Rocha [EMAIL PROTECTED] wrote: Em 06/12/07, Alessandro de Souza Rocha[EMAIL PROTECTED] escreveu: Em 06/12/07, Renato de Oliveira Diogo[EMAIL PROTECTED] escreveu: On Dec 6, 2007 4:44 PM, jaitony gmail [EMAIL PROTECTED] wrote: Use cisco tem um switch que faz isso tudo para vc e ja sai em que vc quiser controle de banda é feito pala porta e faz vlan para vc nao tem melhor que CISCO Então, ainda fica um pouco complicado a utilização desses equipamentos por vários motivos. Primeiro que depois do primeiro roteador, tenho diversos outros roteadores (imagine uma arvore), até aí tudo bem, mas exemplo: em um segmento da árvore terei diversos clientes com velocidades diferentes. Outra questão é que esta máquina será uma base para uma tipo de servidor que terá muito mais funcionalidade: controle de mac por cliente, monitoramento por IP, poderá ter serviços DHCP, controle de protocolos não IP, como o NetBIOS, controle de banda dedicado e compartilhado... []s Renato de Oliveira Diogo escreveu: Boa tarde senhores sou novo na lista, e também iniciando com FreeBSD (tenho alguma experiencia em Linux), mas de vez enquanto vejo algumas das discussões interessantes na lista, parabéns a todos. Estou iincumbido de montar uma bridge entre um roteador e uma rede de provedor de acesso a internet, para controle de banda sem a reorganização de todos os blocos/divisões do grande bloco que a provedora possui. Tenho alguns clientes que receberão link puro cujo passamos a eles blocos /29. O meu roteador (com a telecom) hoje está roteando um bloco /24 para um segundo roteador interno e este segundo que divide em blocos de /29 para entregar para clientes diferentes. Estou pensando em colocar meu bridge entre o roteador principal (com a telecom) e meus roteadores internos. Para eu controlar, com velocidades diferentes para cada bloco /29, é necessário estes blocos estar dividido antes da bridge (no caso teria q fazer no roteador principal) ou posso limitar um bloco /29 dentro de um bloco /24 (no caso eu não necessitaria quebrar os blocos no roteador principal) ? []s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renato de Oliveira Diogo Bacharel em Ciência da Computação UNESP - Bauru [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd aki no provedor liberamos ip com subrede /30 a nao ser quando um clientes quer outro acesso dai vem /29 agora como vc falow criar /24 dentro deste cria um /29 fica meio complicado mesmo. -- Alessandro de Souza Rocha Administrador de Redes e Sistemas Freebsd-BR User #117 olha so uma base como é., /sbin/ifconfig eth1 192.168.12.1 netmask 255.255.255.252 broadcast 192.168.12.3 /sbin/ifconfig eth1:0 192.168.13.1 netmask 255.255.255.252 broadcast 192.168.13.3 /sbin/ifconfig eth1:1 192.168.15.1 netmask 255.255.255.252 broadcast 192.168.15.3 /sbin/ifconfig eth1:2 192.168.17.1 netmask 255.255.255.252 broadcast 192.168.17.3 /sbin/ifconfig eth1:3 192.168.18.1 netmask 255.255.255.252 broadcast 192.168.18.3 /sbin/ifconfig eth1:4 192.168.19.1 netmask 255.255.255.248 broadcast 192.168.19.7 /sbin/ifconfig eth1:5 192.168.20.1 netmask 255.255.255.252 broadcast 192.168.20.3 /sbin/ifconfig eth1:6 192.168.24.1 netmask 255.255.255.252 broadcast 192.168.24.3 /sbin/ifconfig eth1:27 192.168.72.1 netmask 255.255.255.248 broadcast 192.168.72.7 /sbin/ifconfig eth1:28 192.168.73.1 netmask 255.255.255.248 broadcast 192.168.73.7 -- Alessandro de Souza Rocha Administrador de Redes e Sistemas Freebsd-BR User #117 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Bom, entendi seu esquema, mas estou tentando tratar algumas coisas antes de chegar na rede final onde fica o cliente. Vou tentar montar +/- como está minha rede: === Router com telecom | |* | |--Router 1 | | - Router cliente 1 | | | | - Router cliente 2 | | | | - Router 1.1 || - Router cliente 5 || || - Router clientes acesso | | - Bridge 1 | | | - clientes de acesso | | | | - Bridge 2 | | | - clientes de acesso