[FUG-BR] Controle de banda, script errado

[Renato de Oliveira Diogo]

Olá senhores

estou tentando fazer uma bridge para controle de banda, porém estou
com problemas nas regras do meu script do ipfw:

Obs.: re0 é uma interface para adm.
rl0 é a interface da bridge voltada para a internet
rl1 é a interface da bridge voltada para rede interna

===
#!/sbin/sh
######
## Regras basicas
#
# Entrada E/OU saida do host "br"
######
IPFW=/sbin/ipfw

$IPFW -f flush

$IPFW add 1 allow ip from any to any via lo0
$IPFW add 2 deny ip from any to 127.0.0.0/8
$IPFW add 3 deny ip from 127.0.0.0/8 to any
$IPFW add 4 check-state
$IPFW add 5 allow src-ip 192.168.10.0/24 dst-ip me dst-port 22 via re0
keep-state
$IPFW add 6 allow src-ip 192.168.10.0/24 dst-ip me icmptypes 0,8 via
re0 keep-state
$IPFW add 6 allow src-ip me dst-ip any icmptypes 0,8 via re0 keep-state
$IPFW add 7 allow src-ip 192.168.10.0/24 dst-ip me proto udp dst-port
161,162 via re0 keep-state

######
## Controle de banda
#
#
######

# Bloco1 - UP: 1024Kbit/s DOWN: 1024Kbit/s
$IPFW add 1001 pipe 1 src-ip 192.168.0.0/24 xmit rl0 out
$IPFW add 1002 pipe 2 dst-ip 192.168.0.0/24 xmit rl1 out
$IPFW pipe 1 config bw 1024Kbit/s queue 10KBytes
$IPFW pipe 2 config bw 1024Kbit/s queue 10KBytes
$IPFW add 2001 allow src-ip 192.168.0.0/24 recv rl1 keep-state
$IPFW add 2002 allow dst-ip 192.168.0.0/24 recv rl0 keep-state
===

Desta forma, a bridge não está funcionando. Pelo q percebi os pacotes
não estão batendo na regra 1001 e 1002... Agora se eu coloco uma regra
pra abrir o firewall, aí a dridge funciona, porém meu PC fica aberto.

Já tentei dessa forma, mas um hora funcionou, mas de nada parou:

====
#!/sbin/sh
######
## Regras basicas
#
# Entrada E/OU saida do host "br"
######
IPFW=/sbin/ipfw

$IPFW -f flush

$IPFW add 1 allow ip from any to any via lo0
$IPFW add 2 deny ip from any to 127.0.0.0/8
$IPFW add 3 deny ip from 127.0.0.0/8 to any
$IPFW add 5 allow src-ip 192.168.10.0/24 dst-ip me dst-port 22 via re0
$IPFW add 5 allow dst-ip me src-ip any src-port 22 via re0
$IPFW add 6 allow src-ip 192.168.10.0/24 dst-ip me icmptypes 0,8 via re0
$IPFW add 6 allow src-ip me dst-ip any icmptypes 0,8 via re0
$IPFW add 7 allow src-ip 192.168.10.0/24 dst-ip me proto udp dst-port
161,162 via re0
$IPFW add 7 allow dst-ip me src-ip any proto udp src-port 161,162 via re0

######
## Controle de banda
#
#
######

# Bloco1 - UP: 1024Kbit/s DOWN: 1024Kbit/s
$IPFW add 1001 pipe 1 src-ip 192.168.0.0/24 xmit rl0 out
$IPFW add 1002 pipe 2 dst-ip 192.168.0.0/24 xmit rl1 out
$IPFW pipe 1 config bw 1024Kbit/s queue 10KBytes
$IPFW pipe 2 config bw 1024Kbit/s queue 10KBytes
$IPFW add 2001 allow src-ip 192.168.0.0/24 via rl0,rl1
$IPFW add 2002 allow dst-ip 192.168.0.0/24 via rl0,rl1
====

Neste segundo não trabalhei com state-full.


Alguem tem alguma ideia onde está o problema?
-- 
________________________________________________
Renato de Oliveira Diogo

Bacharel em Ciência da Computação
UNESP - Bauru

renato.diogo em gmail.com
renato.diogo em yahoo.com.br