Re: [FUG-BR] IPFW e controle de banda (newbie question :-)
Pessoal, sei que o topic está meio velho... mas vi um detalhe hoje e talvez eu tenha descobrido o porque da limitação não funcionar... não sei se tem algo haver, mas eu uso o nat do PF, e em todas as documentações que vi sobre DUMMYNET do IPFW referencia o NATD (/sbin/natd)... tem fundamento? Alguns vão perguntar... já que tem PF com suporte a ALTQ, porque não limita a banda por ele?... a resposta... porque toda documentação que vi sobre altq com pf é para casos bem mais complexos... para limitar um simples host não vi... Abraço a todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: Welkson Renny de Medeiros [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, January 22, 2007 8:13 AM Subject: Re: [FUG-BR] IPFW e controle de banda (newbie question :-) Pessoal, Como ficaria essa regra no PF+ALTQ? Boa semana pra todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: Joao Rocha Braga Filho [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, January 20, 2007 11:30 AM Subject: Re: [FUG-BR] IPFW e controle de banda (newbie question :-) On 1/20/07, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Quando ativo a regra não consigo acessar nenhum site... mas outras portas funcionam (testei pop3/smtp)... mas aparentam não está limitada. [EMAIL PROTECTED]:/etc/firewall] # cat /etc/firewall/fwrules # Limpa regras ipfw -f flush ipfw -f pipe flush ipfw pipe 1 config bw 32Kbit/s mask all ipfw pipe 2 config bw 32Kbit/s mask all Tire o mask all, não precisa. ipfw add pipe 1 all from 192.168.0.200 to any in via rl0 [EMAIL PROTECTED]:/etc/firewall] # ipfw list 00100 pipe 1 ip from 192.168.0.200 to any in via rl0 00200 pipe 2 ip from any to 192.168.0.200 out via rl0 65535 allow ip from any to any O in e o out não são necessários. Você já está, de certa forma, dizendo isto no from e no to. E se errar no in e out pode dar problemas, aliás, certamente dará. João Rocha. [EMAIL PROTECTED]:~] # ipfw pipe list 1: 32.000 Kbit/s0 ms 50 sl. 41 queues (64 buckets) droptail mask: 0xff 0x/0x - 0x/0x BKT Prot ___Source IP/port Dest. IP/port Tot_pkt/bytes Pkt/Byte Drp 0 tcp192.168.0.200/10050 192.168.0.254/558815 288 00 0 1 udp192.168.0.200/3736 141.211.127.36/345211 136 00 0 2 tcp192.168.0.200/2644192.168.0.254/100513 144 00 0 4 tcp192.168.0.200/2696192.168.0.254/2 37 4096 00 0 6 udp192.168.0.200/3736 128.187.56.131/513611 62 00 0 ... Bom fim de semana. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: Joao Rocha Braga Filho [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, January 20, 2007 9:36 AM Subject: Re: [FUG-BR] IPFW e controle de banda (newbie question :-) On 1/19/07, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Senhores, estou até com vergonha de perguntar isso... rsrs :-) tenho MUITA documentação sobre ipfw, já dei uma olhada mas não tô desenrolando... fiz uma regra que funcionava perfeitamente para limitar SOMENTE um determinado ip da minha rede a 128kbps... depois não usei mais, e nem fiz backup... precisei agora e não tô conseguindo fazer funfar... int_if = rl0 ext_if = sis0 Regras: # Limpa regras ipfw -f flush ipfw -f pipe flush ipfw add pipe 2 ip from 192.168.0.200 to any out via rl0 ipfw add pipe 3 ip from any to 192.168.0.200 in via rl0 ipfw pipe 2 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff ipfw pipe 3 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff Já que é um IP só que você vai controlar a banda, não precisa de dst-ip 0x00ff. E aliás, não são dois dst-ip. Um deles é src-ip. João Rocha. Sugestões? Acho que futuramente seria legal fazer um REPOSITÓRIO de confs no site do fug... cada visitante que quisesse poderia publicar seu rc.conf, pf.conf, ipfw, etc... cada firewall que vejo dos amigos aprendo novos comandos... era bom pensar nessa posibilidade... Bom fim de semana pra todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. [EMAIL PROTECTED] [EMAIL PROTECTED] http://www.goffredo.eti.br
Re: [FUG-BR] IPFW e controle de banda (newbie question :-)
Pessoal, Como ficaria essa regra no PF+ALTQ? Boa semana pra todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: Joao Rocha Braga Filho [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, January 20, 2007 11:30 AM Subject: Re: [FUG-BR] IPFW e controle de banda (newbie question :-) On 1/20/07, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Quando ativo a regra não consigo acessar nenhum site... mas outras portas funcionam (testei pop3/smtp)... mas aparentam não está limitada. [EMAIL PROTECTED]:/etc/firewall] # cat /etc/firewall/fwrules # Limpa regras ipfw -f flush ipfw -f pipe flush ipfw pipe 1 config bw 32Kbit/s mask all ipfw pipe 2 config bw 32Kbit/s mask all Tire o mask all, não precisa. ipfw add pipe 1 all from 192.168.0.200 to any in via rl0 [EMAIL PROTECTED]:/etc/firewall] # ipfw list 00100 pipe 1 ip from 192.168.0.200 to any in via rl0 00200 pipe 2 ip from any to 192.168.0.200 out via rl0 65535 allow ip from any to any O in e o out não são necessários. Você já está, de certa forma, dizendo isto no from e no to. E se errar no in e out pode dar problemas, aliás, certamente dará. João Rocha. [EMAIL PROTECTED]:~] # ipfw pipe list 1: 32.000 Kbit/s0 ms 50 sl. 41 queues (64 buckets) droptail mask: 0xff 0x/0x - 0x/0x BKT Prot ___Source IP/port Dest. IP/port Tot_pkt/bytes Pkt/Byte Drp 0 tcp192.168.0.200/10050 192.168.0.254/558815 288 00 0 1 udp192.168.0.200/3736 141.211.127.36/345211 136 00 0 2 tcp192.168.0.200/2644192.168.0.254/100513 144 00 0 4 tcp192.168.0.200/2696192.168.0.254/2 37 4096 00 0 6 udp192.168.0.200/3736 128.187.56.131/513611 62 00 0 ... Bom fim de semana. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: Joao Rocha Braga Filho [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, January 20, 2007 9:36 AM Subject: Re: [FUG-BR] IPFW e controle de banda (newbie question :-) On 1/19/07, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Senhores, estou até com vergonha de perguntar isso... rsrs :-) tenho MUITA documentação sobre ipfw, já dei uma olhada mas não tô desenrolando... fiz uma regra que funcionava perfeitamente para limitar SOMENTE um determinado ip da minha rede a 128kbps... depois não usei mais, e nem fiz backup... precisei agora e não tô conseguindo fazer funfar... int_if = rl0 ext_if = sis0 Regras: # Limpa regras ipfw -f flush ipfw -f pipe flush ipfw add pipe 2 ip from 192.168.0.200 to any out via rl0 ipfw add pipe 3 ip from any to 192.168.0.200 in via rl0 ipfw pipe 2 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff ipfw pipe 3 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff Já que é um IP só que você vai controlar a banda, não precisa de dst-ip 0x00ff. E aliás, não são dois dst-ip. Um deles é src-ip. João Rocha. Sugestões? Acho que futuramente seria legal fazer um REPOSITÓRIO de confs no site do fug... cada visitante que quisesse poderia publicar seu rc.conf, pf.conf, ipfw, etc... cada firewall que vejo dos amigos aprendo novos comandos... era bom pensar nessa posibilidade... Bom fim de semana pra todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. [EMAIL PROTECTED] [EMAIL PROTECTED] http://www.goffredo.eti.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. [EMAIL PROTECTED] [EMAIL PROTECTED] http://www.goffredo.eti.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e controle de banda (newbie question :-)
On 1/19/07, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Senhores, estou até com vergonha de perguntar isso... rsrs :-) tenho MUITA documentação sobre ipfw, já dei uma olhada mas não tô desenrolando... fiz uma regra que funcionava perfeitamente para limitar SOMENTE um determinado ip da minha rede a 128kbps... depois não usei mais, e nem fiz backup... precisei agora e não tô conseguindo fazer funfar... int_if = rl0 ext_if = sis0 Regras: # Limpa regras ipfw -f flush ipfw -f pipe flush ipfw add pipe 2 ip from 192.168.0.200 to any out via rl0 ipfw add pipe 3 ip from any to 192.168.0.200 in via rl0 ipfw pipe 2 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff ipfw pipe 3 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff Já que é um IP só que você vai controlar a banda, não precisa de dst-ip 0x00ff. E aliás, não são dois dst-ip. Um deles é src-ip. João Rocha. Sugestões? Acho que futuramente seria legal fazer um REPOSITÓRIO de confs no site do fug... cada visitante que quisesse poderia publicar seu rc.conf, pf.conf, ipfw, etc... cada firewall que vejo dos amigos aprendo novos comandos... era bom pensar nessa posibilidade... Bom fim de semana pra todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. [EMAIL PROTECTED] [EMAIL PROTECTED] http://www.goffredo.eti.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e controle de banda (newbie question :-)
Quando ativo a regra não consigo acessar nenhum site... mas outras portas funcionam (testei pop3/smtp)... mas aparentam não está limitada. [EMAIL PROTECTED]:/etc/firewall] # cat /etc/firewall/fwrules # Limpa regras ipfw -f flush ipfw -f pipe flush ipfw pipe 1 config bw 32Kbit/s mask all ipfw pipe 2 config bw 32Kbit/s mask all ipfw add pipe 1 all from 192.168.0.200 to any in via rl0 [EMAIL PROTECTED]:/etc/firewall] # ipfw list 00100 pipe 1 ip from 192.168.0.200 to any in via rl0 00200 pipe 2 ip from any to 192.168.0.200 out via rl0 65535 allow ip from any to any [EMAIL PROTECTED]:~] # ipfw pipe list 1: 32.000 Kbit/s0 ms 50 sl. 41 queues (64 buckets) droptail mask: 0xff 0x/0x - 0x/0x BKT Prot ___Source IP/port Dest. IP/port Tot_pkt/bytes Pkt/Byte Drp 0 tcp192.168.0.200/10050 192.168.0.254/558815 288 00 0 1 udp192.168.0.200/3736 141.211.127.36/345211 136 00 0 2 tcp192.168.0.200/2644192.168.0.254/100513 144 00 0 4 tcp192.168.0.200/2696192.168.0.254/2 37 4096 00 0 6 udp192.168.0.200/3736 128.187.56.131/513611 62 00 0 ... Bom fim de semana. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: Joao Rocha Braga Filho [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, January 20, 2007 9:36 AM Subject: Re: [FUG-BR] IPFW e controle de banda (newbie question :-) On 1/19/07, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Senhores, estou até com vergonha de perguntar isso... rsrs :-) tenho MUITA documentação sobre ipfw, já dei uma olhada mas não tô desenrolando... fiz uma regra que funcionava perfeitamente para limitar SOMENTE um determinado ip da minha rede a 128kbps... depois não usei mais, e nem fiz backup... precisei agora e não tô conseguindo fazer funfar... int_if = rl0 ext_if = sis0 Regras: # Limpa regras ipfw -f flush ipfw -f pipe flush ipfw add pipe 2 ip from 192.168.0.200 to any out via rl0 ipfw add pipe 3 ip from any to 192.168.0.200 in via rl0 ipfw pipe 2 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff ipfw pipe 3 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff Já que é um IP só que você vai controlar a banda, não precisa de dst-ip 0x00ff. E aliás, não são dois dst-ip. Um deles é src-ip. João Rocha. Sugestões? Acho que futuramente seria legal fazer um REPOSITÓRIO de confs no site do fug... cada visitante que quisesse poderia publicar seu rc.conf, pf.conf, ipfw, etc... cada firewall que vejo dos amigos aprendo novos comandos... era bom pensar nessa posibilidade... Bom fim de semana pra todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. [EMAIL PROTECTED] [EMAIL PROTECTED] http://www.goffredo.eti.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e controle de banda (newbie question :-)
On 1/20/07, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Quando ativo a regra não consigo acessar nenhum site... mas outras portas funcionam (testei pop3/smtp)... mas aparentam não está limitada. [EMAIL PROTECTED]:/etc/firewall] # cat /etc/firewall/fwrules # Limpa regras ipfw -f flush ipfw -f pipe flush ipfw pipe 1 config bw 32Kbit/s mask all ipfw pipe 2 config bw 32Kbit/s mask all Tire o mask all, não precisa. ipfw add pipe 1 all from 192.168.0.200 to any in via rl0 [EMAIL PROTECTED]:/etc/firewall] # ipfw list 00100 pipe 1 ip from 192.168.0.200 to any in via rl0 00200 pipe 2 ip from any to 192.168.0.200 out via rl0 65535 allow ip from any to any O in e o out não são necessários. Você já está, de certa forma, dizendo isto no from e no to. E se errar no in e out pode dar problemas, aliás, certamente dará. João Rocha. [EMAIL PROTECTED]:~] # ipfw pipe list 1: 32.000 Kbit/s0 ms 50 sl. 41 queues (64 buckets) droptail mask: 0xff 0x/0x - 0x/0x BKT Prot ___Source IP/port Dest. IP/port Tot_pkt/bytes Pkt/Byte Drp 0 tcp192.168.0.200/10050 192.168.0.254/558815 288 00 0 1 udp192.168.0.200/3736 141.211.127.36/345211 136 00 0 2 tcp192.168.0.200/2644192.168.0.254/100513 144 00 0 4 tcp192.168.0.200/2696192.168.0.254/2 37 4096 00 0 6 udp192.168.0.200/3736 128.187.56.131/513611 62 00 0 ... Bom fim de semana. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: Joao Rocha Braga Filho [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, January 20, 2007 9:36 AM Subject: Re: [FUG-BR] IPFW e controle de banda (newbie question :-) On 1/19/07, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Senhores, estou até com vergonha de perguntar isso... rsrs :-) tenho MUITA documentação sobre ipfw, já dei uma olhada mas não tô desenrolando... fiz uma regra que funcionava perfeitamente para limitar SOMENTE um determinado ip da minha rede a 128kbps... depois não usei mais, e nem fiz backup... precisei agora e não tô conseguindo fazer funfar... int_if = rl0 ext_if = sis0 Regras: # Limpa regras ipfw -f flush ipfw -f pipe flush ipfw add pipe 2 ip from 192.168.0.200 to any out via rl0 ipfw add pipe 3 ip from any to 192.168.0.200 in via rl0 ipfw pipe 2 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff ipfw pipe 3 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff Já que é um IP só que você vai controlar a banda, não precisa de dst-ip 0x00ff. E aliás, não são dois dst-ip. Um deles é src-ip. João Rocha. Sugestões? Acho que futuramente seria legal fazer um REPOSITÓRIO de confs no site do fug... cada visitante que quisesse poderia publicar seu rc.conf, pf.conf, ipfw, etc... cada firewall que vejo dos amigos aprendo novos comandos... era bom pensar nessa posibilidade... Bom fim de semana pra todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. [EMAIL PROTECTED] [EMAIL PROTECTED] http://www.goffredo.eti.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. [EMAIL PROTECTED] [EMAIL PROTECTED] http://www.goffredo.eti.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e controle de banda (newbie question :-)
Vou assumir que o tráfego vindo do usuário é invertido, uma situação bem comum... ipfw pipe 1 config bw 128Kbit/s mask all # upload ipfw pipe 2 config bw 128Kbit/s mask all # download ipfw add pipe 1 all from 192.168.0.200 to any in via rl0 # upload ipfw add pipe 2 all from any to 192.168.0.200 out via rl0 # download On Fri, 19 Jan 2007 18:02:37 -0300 Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Senhores, estou até com vergonha de perguntar isso... rsrs :-) tenho MUITA documentação sobre ipfw, já dei uma olhada mas não tô desenrolando... fiz uma regra que funcionava perfeitamente para limitar SOMENTE um determinado ip da minha rede a 128kbps... depois não usei mais, e nem fiz backup... precisei agora e não tô conseguindo fazer funfar... int_if = rl0 ext_if = sis0 Regras: # Limpa regras ipfw -f flush ipfw -f pipe flush ipfw add pipe 2 ip from 192.168.0.200 to any out via rl0 ipfw add pipe 3 ip from any to 192.168.0.200 in via rl0 ipfw pipe 2 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff ipfw pipe 3 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff Sugestões? Acho que futuramente seria legal fazer um REPOSITÓRIO de confs no site do fug... cada visitante que quisesse poderia publicar seu rc.conf, pf.conf, ipfw, etc... cada firewall que vejo dos amigos aprendo novos comandos... era bom pensar nessa posibilidade... Bom fim de semana pra todos. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd