Re: [FUG-BR] IPFW e controle de banda (newbie question :-)
Pessoal, sei que o topic está meio velho... mas vi um detalhe hoje e talvez eu tenha descobrido o porque da limitação não funcionar... não sei se tem algo haver, mas eu uso o nat do PF, e em todas as documentações que vi sobre DUMMYNET do IPFW referencia o NATD (/sbin/natd)... tem fundamento? Alguns vão perguntar... "já que tem PF com suporte a ALTQ, porque não limita a banda por ele?"... a resposta... porque toda documentação que vi sobre altq com pf é para casos bem mais complexos... para limitar um simples host não vi... Abraço a todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Monday, January 22, 2007 8:13 AM Subject: Re: [FUG-BR] IPFW e controle de banda (newbie question :-) Pessoal, Como ficaria essa regra no PF+ALTQ? Boa semana pra todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: "Joao Rocha Braga Filho" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Saturday, January 20, 2007 11:30 AM Subject: Re: [FUG-BR] IPFW e controle de banda (newbie question :-) On 1/20/07, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Quando ativo a regra não consigo acessar nenhum site... mas outras portas > funcionam (testei pop3/smtp)... mas aparentam não está limitada. > > [EMAIL PROTECTED]:/etc/firewall] # cat /etc/firewall/fwrules > > # Limpa regras > ipfw -f flush > ipfw -f pipe flush > > ipfw pipe 1 config bw 32Kbit/s mask all > ipfw pipe 2 config bw 32Kbit/s mask all Tire o mask all, não precisa. > > ipfw add pipe 1 all from 192.168.0.200 to any in via rl0 > > [EMAIL PROTECTED]:/etc/firewall] # ipfw list > 00100 pipe 1 ip from 192.168.0.200 to any in via rl0 > 00200 pipe 2 ip from any to 192.168.0.200 out via rl0 > 65535 allow ip from any to any O in e o out não são necessários. Você já está, de certa forma, dizendo isto no from e no to. E se errar no in e out pode dar problemas, aliás, certamente dará. João Rocha. > > [EMAIL PROTECTED]:~] # ipfw pipe list > 1: 32.000 Kbit/s0 ms 50 sl. 41 queues (64 buckets) droptail > mask: 0xff 0x/0x -> 0x/0x > BKT Prot ___Source IP/port Dest. IP/port Tot_pkt/bytes > Pkt/Byte > Drp > 0 tcp192.168.0.200/10050 192.168.0.254/558815 288 00 > 0 > 1 udp192.168.0.200/3736 141.211.127.36/345211 136 00 > 0 > 2 tcp192.168.0.200/2644192.168.0.254/100513 144 00 > 0 > 4 tcp192.168.0.200/2696192.168.0.254/2 37 4096 00 > 0 > 6 udp192.168.0.200/3736 128.187.56.131/513611 62 00 > 0 > > ... > > > Bom fim de semana. > > > > > -- > Welkson Renny de Medeiros > Focus Automação Comercial > Desenvolvimento / Gerência de Redes > [EMAIL PROTECTED] > > - Original Message - > From: "Joao Rocha Braga Filho" <[EMAIL PROTECTED]> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > Sent: Saturday, January 20, 2007 9:36 AM > Subject: Re: [FUG-BR] IPFW e controle de banda (newbie question :-) > > > On 1/19/07, Welkson Renny de Medeiros <[EMAIL PROTECTED]> > wrote: > > Senhores, estou até com vergonha de perguntar isso... rsrs :-) tenho > > MUITA > > documentação sobre ipfw, já dei uma olhada mas não tô desenrolando... > > fiz > > uma regra que funcionava perfeitamente para limitar SOMENTE um > > determinado > > ip da minha rede a 128kbps... depois não usei mais, e nem fiz backup... > > precisei agora e não tô conseguindo fazer funfar... > > > > int_if = rl0 > > ext_if = sis0 > > > > Regras: > > # Limpa regras > > ipfw -f flush > > ipfw -f pipe flush > > > > ipfw add pipe 2 ip from 192.168.0.200 to any out via rl0 > > ipfw add pipe 3 ip from any to 192.168.0.200 in via rl0 > > > > ipfw pipe 2 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff > > ipfw pipe 3 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff > > Já que é um IP só que você vai controlar a banda, não precisa de > "dst-ip 0x00ff". E aliás, não são dois "dst-ip". Um deles é "src-ip". > > > João Rocha. > > > > > Sugestões? > > > > Acho que futuramente seria legal fazer um REPOSITÓRIO de confs no site > > do > > fug... cada visitante que quisesse poderia publicar seu rc.
Re: [FUG-BR] IPFW e controle de banda (newbie question :-)
Pessoal, Como ficaria essa regra no PF+ALTQ? Boa semana pra todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: "Joao Rocha Braga Filho" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Saturday, January 20, 2007 11:30 AM Subject: Re: [FUG-BR] IPFW e controle de banda (newbie question :-) On 1/20/07, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Quando ativo a regra não consigo acessar nenhum site... mas outras portas > funcionam (testei pop3/smtp)... mas aparentam não está limitada. > > [EMAIL PROTECTED]:/etc/firewall] # cat /etc/firewall/fwrules > > # Limpa regras > ipfw -f flush > ipfw -f pipe flush > > ipfw pipe 1 config bw 32Kbit/s mask all > ipfw pipe 2 config bw 32Kbit/s mask all Tire o mask all, não precisa. > > ipfw add pipe 1 all from 192.168.0.200 to any in via rl0 > > [EMAIL PROTECTED]:/etc/firewall] # ipfw list > 00100 pipe 1 ip from 192.168.0.200 to any in via rl0 > 00200 pipe 2 ip from any to 192.168.0.200 out via rl0 > 65535 allow ip from any to any O in e o out não são necessários. Você já está, de certa forma, dizendo isto no from e no to. E se errar no in e out pode dar problemas, aliás, certamente dará. João Rocha. > > [EMAIL PROTECTED]:~] # ipfw pipe list > 1: 32.000 Kbit/s0 ms 50 sl. 41 queues (64 buckets) droptail > mask: 0xff 0x/0x -> 0x/0x > BKT Prot ___Source IP/port Dest. IP/port Tot_pkt/bytes > Pkt/Byte > Drp > 0 tcp192.168.0.200/10050 192.168.0.254/558815 288 00 > 0 > 1 udp192.168.0.200/3736 141.211.127.36/345211 136 00 > 0 > 2 tcp192.168.0.200/2644192.168.0.254/100513 144 00 > 0 > 4 tcp192.168.0.200/2696192.168.0.254/2 37 4096 00 > 0 > 6 udp192.168.0.200/3736 128.187.56.131/513611 62 00 > 0 > > ... > > > Bom fim de semana. > > > > > -- > Welkson Renny de Medeiros > Focus Automação Comercial > Desenvolvimento / Gerência de Redes > [EMAIL PROTECTED] > > - Original Message ----- > From: "Joao Rocha Braga Filho" <[EMAIL PROTECTED]> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > Sent: Saturday, January 20, 2007 9:36 AM > Subject: Re: [FUG-BR] IPFW e controle de banda (newbie question :-) > > > On 1/19/07, Welkson Renny de Medeiros <[EMAIL PROTECTED]> > wrote: > > Senhores, estou até com vergonha de perguntar isso... rsrs :-) tenho > > MUITA > > documentação sobre ipfw, já dei uma olhada mas não tô desenrolando... > > fiz > > uma regra que funcionava perfeitamente para limitar SOMENTE um > > determinado > > ip da minha rede a 128kbps... depois não usei mais, e nem fiz backup... > > precisei agora e não tô conseguindo fazer funfar... > > > > int_if = rl0 > > ext_if = sis0 > > > > Regras: > > # Limpa regras > > ipfw -f flush > > ipfw -f pipe flush > > > > ipfw add pipe 2 ip from 192.168.0.200 to any out via rl0 > > ipfw add pipe 3 ip from any to 192.168.0.200 in via rl0 > > > > ipfw pipe 2 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff > > ipfw pipe 3 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff > > Já que é um IP só que você vai controlar a banda, não precisa de > "dst-ip 0x00ff". E aliás, não são dois "dst-ip". Um deles é "src-ip". > > > João Rocha. > > > > > Sugestões? > > > > Acho que futuramente seria legal fazer um REPOSITÓRIO de confs no site > > do > > fug... cada visitante que quisesse poderia publicar seu rc.conf, > > pf.conf, > > ipfw, etc... cada firewall que vejo dos amigos aprendo novos comandos... > > era > > bom pensar nessa posibilidade... > > > > Bom fim de semana pra todos. > > > > > > -- > > Welkson Renny de Medeiros > > Focus Automação Comercial > > Desenvolvimento / Gerência de Redes > > [EMAIL PROTECTED] > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > -- > "Sempre se apanha mais com as menores besteiras. Experiência própria." > > [EMAIL PROTECTED] > [EMAIL PROTECTED] > http://www.goffredo.eti.br > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- "Sempre se apanha mais com as menores besteiras. Experiência própria." [EMAIL PROTECTED] [EMAIL PROTECTED] http://www.goffredo.eti.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e controle de banda (newbie question :-)
On 1/20/07, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Quando ativo a regra não consigo acessar nenhum site... mas outras portas > funcionam (testei pop3/smtp)... mas aparentam não está limitada. > > [EMAIL PROTECTED]:/etc/firewall] # cat /etc/firewall/fwrules > > # Limpa regras > ipfw -f flush > ipfw -f pipe flush > > ipfw pipe 1 config bw 32Kbit/s mask all > ipfw pipe 2 config bw 32Kbit/s mask all Tire o mask all, não precisa. > > ipfw add pipe 1 all from 192.168.0.200 to any in via rl0 > > [EMAIL PROTECTED]:/etc/firewall] # ipfw list > 00100 pipe 1 ip from 192.168.0.200 to any in via rl0 > 00200 pipe 2 ip from any to 192.168.0.200 out via rl0 > 65535 allow ip from any to any O in e o out não são necessários. Você já está, de certa forma, dizendo isto no from e no to. E se errar no in e out pode dar problemas, aliás, certamente dará. João Rocha. > > [EMAIL PROTECTED]:~] # ipfw pipe list > 1: 32.000 Kbit/s0 ms 50 sl. 41 queues (64 buckets) droptail > mask: 0xff 0x/0x -> 0x/0x > BKT Prot ___Source IP/port Dest. IP/port Tot_pkt/bytes Pkt/Byte > Drp > 0 tcp192.168.0.200/10050 192.168.0.254/558815 288 00 > 0 > 1 udp192.168.0.200/3736 141.211.127.36/345211 136 00 > 0 > 2 tcp192.168.0.200/2644192.168.0.254/100513 144 00 > 0 > 4 tcp192.168.0.200/2696192.168.0.254/2 37 4096 00 > 0 > 6 udp192.168.0.200/3736 128.187.56.131/513611 62 00 > 0 > > ... > > > Bom fim de semana. > > > > > -- > Welkson Renny de Medeiros > Focus Automação Comercial > Desenvolvimento / Gerência de Redes > [EMAIL PROTECTED] > > - Original Message - > From: "Joao Rocha Braga Filho" <[EMAIL PROTECTED]> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > Sent: Saturday, January 20, 2007 9:36 AM > Subject: Re: [FUG-BR] IPFW e controle de banda (newbie question :-) > > > On 1/19/07, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > > Senhores, estou até com vergonha de perguntar isso... rsrs :-) tenho MUITA > > documentação sobre ipfw, já dei uma olhada mas não tô desenrolando... fiz > > uma regra que funcionava perfeitamente para limitar SOMENTE um determinado > > ip da minha rede a 128kbps... depois não usei mais, e nem fiz backup... > > precisei agora e não tô conseguindo fazer funfar... > > > > int_if = rl0 > > ext_if = sis0 > > > > Regras: > > # Limpa regras > > ipfw -f flush > > ipfw -f pipe flush > > > > ipfw add pipe 2 ip from 192.168.0.200 to any out via rl0 > > ipfw add pipe 3 ip from any to 192.168.0.200 in via rl0 > > > > ipfw pipe 2 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff > > ipfw pipe 3 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff > > Já que é um IP só que você vai controlar a banda, não precisa de > "dst-ip 0x00ff". E aliás, não são dois "dst-ip". Um deles é "src-ip". > > > João Rocha. > > > > > Sugestões? > > > > Acho que futuramente seria legal fazer um REPOSITÓRIO de confs no site do > > fug... cada visitante que quisesse poderia publicar seu rc.conf, pf.conf, > > ipfw, etc... cada firewall que vejo dos amigos aprendo novos comandos... > > era > > bom pensar nessa posibilidade... > > > > Bom fim de semana pra todos. > > > > > > -- > > Welkson Renny de Medeiros > > Focus Automação Comercial > > Desenvolvimento / Gerência de Redes > > [EMAIL PROTECTED] > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > -- > "Sempre se apanha mais com as menores besteiras. Experiência própria." > > [EMAIL PROTECTED] > [EMAIL PROTECTED] > http://www.goffredo.eti.br > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- "Sempre se apanha mais com as menores besteiras. Experiência própria." [EMAIL PROTECTED] [EMAIL PROTECTED] http://www.goffredo.eti.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e controle de banda (newbie question :-)
Quando ativo a regra não consigo acessar nenhum site... mas outras portas funcionam (testei pop3/smtp)... mas aparentam não está limitada. [EMAIL PROTECTED]:/etc/firewall] # cat /etc/firewall/fwrules # Limpa regras ipfw -f flush ipfw -f pipe flush ipfw pipe 1 config bw 32Kbit/s mask all ipfw pipe 2 config bw 32Kbit/s mask all ipfw add pipe 1 all from 192.168.0.200 to any in via rl0 [EMAIL PROTECTED]:/etc/firewall] # ipfw list 00100 pipe 1 ip from 192.168.0.200 to any in via rl0 00200 pipe 2 ip from any to 192.168.0.200 out via rl0 65535 allow ip from any to any [EMAIL PROTECTED]:~] # ipfw pipe list 1: 32.000 Kbit/s0 ms 50 sl. 41 queues (64 buckets) droptail mask: 0xff 0x/0x -> 0x/0x BKT Prot ___Source IP/port Dest. IP/port Tot_pkt/bytes Pkt/Byte Drp 0 tcp192.168.0.200/10050 192.168.0.254/558815 288 00 0 1 udp192.168.0.200/3736 141.211.127.36/345211 136 00 0 2 tcp192.168.0.200/2644192.168.0.254/100513 144 00 0 4 tcp192.168.0.200/2696192.168.0.254/2 37 4096 00 0 6 udp192.168.0.200/3736 128.187.56.131/513611 62 00 0 ... Bom fim de semana. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: "Joao Rocha Braga Filho" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Saturday, January 20, 2007 9:36 AM Subject: Re: [FUG-BR] IPFW e controle de banda (newbie question :-) On 1/19/07, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Senhores, estou até com vergonha de perguntar isso... rsrs :-) tenho MUITA > documentação sobre ipfw, já dei uma olhada mas não tô desenrolando... fiz > uma regra que funcionava perfeitamente para limitar SOMENTE um determinado > ip da minha rede a 128kbps... depois não usei mais, e nem fiz backup... > precisei agora e não tô conseguindo fazer funfar... > > int_if = rl0 > ext_if = sis0 > > Regras: > # Limpa regras > ipfw -f flush > ipfw -f pipe flush > > ipfw add pipe 2 ip from 192.168.0.200 to any out via rl0 > ipfw add pipe 3 ip from any to 192.168.0.200 in via rl0 > > ipfw pipe 2 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff > ipfw pipe 3 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff Já que é um IP só que você vai controlar a banda, não precisa de "dst-ip 0x00ff". E aliás, não são dois "dst-ip". Um deles é "src-ip". João Rocha. > > Sugestões? > > Acho que futuramente seria legal fazer um REPOSITÓRIO de confs no site do > fug... cada visitante que quisesse poderia publicar seu rc.conf, pf.conf, > ipfw, etc... cada firewall que vejo dos amigos aprendo novos comandos... > era > bom pensar nessa posibilidade... > > Bom fim de semana pra todos. > > > -- > Welkson Renny de Medeiros > Focus Automação Comercial > Desenvolvimento / Gerência de Redes > [EMAIL PROTECTED] > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- "Sempre se apanha mais com as menores besteiras. Experiência própria." [EMAIL PROTECTED] [EMAIL PROTECTED] http://www.goffredo.eti.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e controle de banda (newbie question :-)
On 1/19/07, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Senhores, estou até com vergonha de perguntar isso... rsrs :-) tenho MUITA > documentação sobre ipfw, já dei uma olhada mas não tô desenrolando... fiz > uma regra que funcionava perfeitamente para limitar SOMENTE um determinado > ip da minha rede a 128kbps... depois não usei mais, e nem fiz backup... > precisei agora e não tô conseguindo fazer funfar... > > int_if = rl0 > ext_if = sis0 > > Regras: > # Limpa regras > ipfw -f flush > ipfw -f pipe flush > > ipfw add pipe 2 ip from 192.168.0.200 to any out via rl0 > ipfw add pipe 3 ip from any to 192.168.0.200 in via rl0 > > ipfw pipe 2 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff > ipfw pipe 3 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff Já que é um IP só que você vai controlar a banda, não precisa de "dst-ip 0x00ff". E aliás, não são dois "dst-ip". Um deles é "src-ip". João Rocha. > > Sugestões? > > Acho que futuramente seria legal fazer um REPOSITÓRIO de confs no site do > fug... cada visitante que quisesse poderia publicar seu rc.conf, pf.conf, > ipfw, etc... cada firewall que vejo dos amigos aprendo novos comandos... era > bom pensar nessa posibilidade... > > Bom fim de semana pra todos. > > > -- > Welkson Renny de Medeiros > Focus Automação Comercial > Desenvolvimento / Gerência de Redes > [EMAIL PROTECTED] > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- "Sempre se apanha mais com as menores besteiras. Experiência própria." [EMAIL PROTECTED] [EMAIL PROTECTED] http://www.goffredo.eti.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e controle de banda (newbie question :-)
Vou assumir que o tráfego vindo do usuário é invertido, uma situação bem comum... ipfw pipe 1 config bw 128Kbit/s mask all # upload ipfw pipe 2 config bw 128Kbit/s mask all # download ipfw add pipe 1 all from 192.168.0.200 to any in via rl0 # upload ipfw add pipe 2 all from any to 192.168.0.200 out via rl0 # download On Fri, 19 Jan 2007 18:02:37 -0300 "Welkson Renny de Medeiros" <[EMAIL PROTECTED]> wrote: > Senhores, estou até com vergonha de perguntar isso... rsrs :-) tenho > MUITA documentação sobre ipfw, já dei uma olhada mas não tô > desenrolando... fiz uma regra que funcionava perfeitamente para > limitar SOMENTE um determinado ip da minha rede a 128kbps... depois > não usei mais, e nem fiz backup... precisei agora e não tô > conseguindo fazer funfar... > > int_if = rl0 > ext_if = sis0 > > Regras: > # Limpa regras > ipfw -f flush > ipfw -f pipe flush > > ipfw add pipe 2 ip from 192.168.0.200 to any out via rl0 > ipfw add pipe 3 ip from any to 192.168.0.200 in via rl0 > > ipfw pipe 2 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff > ipfw pipe 3 config bw 128Kbit/s queue 20 mask dst-ip 0x00ff > > Sugestões? > > Acho que futuramente seria legal fazer um REPOSITÓRIO de confs no > site do fug... cada visitante que quisesse poderia publicar seu > rc.conf, pf.conf, ipfw, etc... cada firewall que vejo dos amigos > aprendo novos comandos... era bom pensar nessa posibilidade... > > Bom fim de semana pra todos. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd