[FUG-BR] PF: controle de banda e regras de firewall na mesma máquina
renato martins
renatobsd em gmail.com
Quinta Julho 3 21:50:26 BRT 2008
coloque suas regras de firewall na parte superior sem o quick, e as queues
logo abaixo
quando você usa o quick se os pacotes casarem com essa regra nao vai ler as
proximas regras entao se nao tiver o quick ele vai filtrar e tratar oque
precisar e o pacote vai para a proxima regras ate o fim firewall ou alguma
regra bloquear
2008/7/1 Joca Loco <jocalocobr em gmail.com>:
> E no PF, como faz para o pacote voltar para a fila do firewall, como tá
> explicando aí?
>
> 2008/7/1 Felipe Neuwald <felipebgn em gmail.com>:
>
> > Sim, no IPFW faz isso.
> >
> > 2008/7/1 Eduardo Schoedler <eschoedler em viavale.com.br>:
> > > Esse parâmetro não vale somente para o IPFW ?
> > >
> > > sds,
> > > Eduardo.
> > >
> > >
> > > --------------------------------------------------
> > > From: "Felipe Neuwald" <felipebgn em gmail.com>
> > > Sent: Tuesday, July 01, 2008 6:52 PM
> > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > > <freebsd em fug.com.br>
> > > Subject: Re: [FUG-BR]PF: controle de banda e regras de firewall na
> mesma
> > > máquina
> > >
> > > No IPFW você faz isso:
> > >
> > > sysctl -a | grep net.inet.ip.fw.one_pass
> > >
> > > 7.2.3. Pipe Packet Reinjection
> > >
> > > Under most circumstances, once a packet is diverted to a pipe, the
> > > traffic shaping configured for that pipe takes effect and rule
> searching
> > > ends. However, one can have the packet become reinjected into the
> > firewall,
> > > starting at the next rule, after it passes through the pipe by
> disabling
> > > the following sysctl:
> > >
> > > net.inet.ip.fw.one_pass: 1
> > >
> > > Felipe.
> > >
> > > 2008/6/30 Joca Loco <jocalocobr em gmail.com>:
> > >> Pessoal, boa tarde.
> > >>
> > >> Eu tenho hoje dois firewalls, um que faz o controle de banda e outro
> que
> > >> utilizo as regras de filtragem. Então, no firewall 1, eu tenho, por
> > >> exemplo
> > >> essas regras:
> > >>
> > >> EXEMPLO FIREWALL 1:
> > >> altq on $if_wan cbq bandwidth 1000Mb qlimit 2000 queue {
> inet_cliente1,
> > >> inet_dflt }
> > >> queue inet_dflt bandwidth 40Mb cbq(default)
> > >> queue inet_cliente1 bandwidth 2536Kb cbq # colo cliente1
> > >>
> > >> altq on $if_colo cbq bandwidth 1000Mb qlimit 2000 queue { colo_etudo,
> > >> colo_xyz }
> > >> queue colo_dflt bandwidth 98Mb cbq(default)
> > >> queue colo_etudo cliente1 2536Kb cbq # Colo cliente1
> > >>
> > >> pass out quick on $if_wan from $cliente1 to any queue inet_cliente1
> > >> pass in quick on $if_colo from $cliente1 to any queue inet_cliente1
> > >> pass out quick on $if_colo from any to $cliente1 queue colo_cliente1
> > >> pass in quick on $if_wan from any to $cliente1 queue colo_cliente1
> > >>
> > >>
> > >> E, já que eu já tenho uma regra pass nesse firewall, que faz o
> controle
> > de
> > >> banda, no outro eu faço as regras de filtragem:
> > >>
> > >> EXEMPLO FIREWALL 2:
> > >>
> > >> pass quick proto udp from any to $cliente1 port 53 keep state
> > >> label "ALLOW UDP ANY -> CLIENTE1 53"
> > >> pass quick from $cliente1 to any keep state
> > >> label "ALLOW CLIENTE1 -> ANY"
> > >> block quick from any to $cliente1 label "BLOCK ANY -> CLIENTE1"
> > >>
> > >>
> > >> E pergunta é: como eu faço para fazer o controle de banda e as regras
> de
> > >> firewall na mesma máquina?
> > >>
> > >> Abs,
> > >>
> > >> Joca.
> > >> -------------------------
> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >>
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd