[FUG-BR] RES: RES: IPFW+DUMYNET+Squid
Jorge Petry
jorge em jspnet.com.br
Segunda Julho 21 11:08:18 BRT 2008
Cara, vc tem que analisar várias coisas.
O IPFW por padrão faz a passagem do pacote somente uma vez,ao contrário
do PF que lê todas ou ate achar uma regra quick.
Se não me engano a opção net.inet.ip.fw.one_pass no sysctl fará passar
mais vezes no firewall.
Quando vc habilita o proxy transparente quem está navegando é o seu
servidor, a requisição é feita para ele,
ele busca e devolve para quem solicitou, vc tem q controlar com pipe a
navegação do próprio servidor para ele não consumir
toda a banda de internet.
Seu controle de banda por ter perfis diferentes deve ter os pipes fixos,
inclua uma regra para cada ip vinculando ao pipe correspondente a banda
e não esqueça, o controle de banda da rede interna é feito na interface
interna pois na interface externa tem a regra do nat e não passa nada com
ip local lá.
Testa mais ai e reporta depois para a lista em caso positivo ou não.
Abraço.
_________________________________________
* *Jorge Petry Neto *
*Administrador de Redes e Servidores
(48) 8401-4436
jorge em jspnet.com.br <mailto:jorge em jspnet.com.br>*
**www.jspnet.com.br * <http://www.jspnet.com.br/>
Sky-Priest escreveu:
> interessante
>
> mas o nat e o redirect pro squid tu poe aonde ??? como ultimas regras???
>
> sds
>
>
>
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br]Em
> nome de Alessandro de Souza Rocha
> Enviada em: domingo, 20 de julho de 2008 07:59
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] RES: IPFW+DUMYNET+Squid
>
>
> eu uso desta forma que postei antes tanto por grupo
> ipfw pipe 1 config mask dst-ip 0×000000ff bw 128Kbit/s
> ipfw pipe 2 config mask src-ip 0×000000ff bw 128Kbit/s
> ipfw add pipe 1 all from any to 192.168.1.0/24 in
> ipfw add pipe 2 all from 192.168.1.0/24 to any ou
> ou individual
> ipfw pipe 1 config mask dst-ip 0×000000ff bw 128Kbit/s
> ipfw pipe 2 config mask src-ip 0×000000ff bw 128Kbit/s
> ipfw add pipe 1 all from any to 192.168.1.2 in
> ipfw add pipe 2 all from 192.168.1.2 to any ou
>
> 2008/7/19 Sky-Priest <skypriest em gmail.com>:
>
>> Negativo , mesmo com proxy nao e controlado.
>>
>> Ja tinha visto esse link e mesmo assim nao resolveu , nao tem mais nenhuma
>> ideia ::]
>>
>> Sds
>>
> velho quando vc coloca o controle de banda nao importa se estiver com
> proxy u nao.
> aquele exe
>
>
>> -----Mensagem original-----
>> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br]Em
>> nome de Wanderson Tinti
>> Enviada em: sábado, 19 de julho de 2008 19:54
>> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>> Assunto: Re: [FUG-BR] IPFW+DUMYNET+Squid
>>
>>
>> Boa noite a todos.
>> Se voce desabilitar a regra de fwd que vai pro squid e configurar o
>> proxy manualmente no navegador o controle funciona?
>>
>> De uma olhada nessa discurção:
>> http://www.fug.com.br/historico/html/freebsd/2006-03/msg00658.html
>>
>> Poste ai os resultados.
>>
>> 2008/7/19 sky priest <skypriest em gmail.com>:
>>
>>> ok, ja pesquisei sobre essa solucao , porem tenho que configurar banda
>>> diferentes por cliente. Nessa aplicacao estou abrindo sinal dentro de um
>>> condominio e preciso configuras perfis de 128 - 256 - 512 e 1 m por
>>> determinada estacao dentro da rede 192.168.7.0/24
>>>
>>> So que quand ativo o squid para o controle de upload
>>>
>>> Sera que podem ajudar
>>>
>>> 2008/7/19 Alessandro de Souza Rocha <etherlinkii em gmail.com>:
>>>
>>>
>>>> controle de banda uso assim
>>>> ipfw pipe 1 config mask dst-ip 0×000000ff bw 128Kbit/s
>>>> ipfw pipe 2 config mask src-ip 0×000000ff bw 128Kbit/s
>>>> ipfw add pipe 1 all from any to 192.168.1.0/24 in
>>>> ipfw add pipe 2 all from 192.168.1.0/24 to any ou
>>>>
>>>> 2008/7/19 sky priest <skypriest em gmail.com>:
>>>>
>>>>> OK, alterei meu e-mail para o gmail.
>>>>>
>>>>> Segue de novo minha duvida
>>>>>
>>>>>
>>>>> Senhores estou perdendo os cabelos com este problema, mas quando ativo
>>>>>
>> o
>>
>>>>> squid meu controle de banda UPLOAD nao funciona, desativo e tudo fica
>>>>> controlado.
>>>>>
>>>>> Vou passar um descritivo:
>>>>>
>>>>> Kernel :
>>>>>
>>>>> options MROUTING
>>>>> options IPFIREWALL
>>>>> options IPFIREWALL_VERBOSE
>>>>> options IPFIREWALL_FORWARD
>>>>> options IPSTEALTH
>>>>> options DUMMYNET
>>>>> options HZ=1000
>>>>> options BRIDGE
>>>>> options ZERO_COPY_SOCKETS
>>>>> options TCPDEBUG
>>>>> options IPDIVERT
>>>>> options IPFILTER
>>>>> options IPFILTER_LOG
>>>>> options IPFIREWALL_DEFAULT_TO_ACCEPT
>>>>> options SC_DISABLE_REBOOT
>>>>>
>>>>> rc.conf
>>>>> #REGRAS DE FIREWALL
>>>>> firewall_enable='YES'
>>>>> firewall_type='OPEN'
>>>>> #REGRAS DE NAT
>>>>> natd_enable='YES'
>>>>> natd_interface='bge0'
>>>>> natd_flags='-f /etc/natd.conf'
>>>>>
>>>>> Natd.conf
>>>>>
>>>>> interface bge0
>>>>> dynamic yes
>>>>> use_sockets yes
>>>>> same_ports yes
>>>>> unregistered_only yes
>>>>>
>>>>>
>>>>> SYSCTL
>>>>>
>>>>> net.inet.ip.fw.one_pass=0
>>>>>
>>>>>
>>>>> ipfw.rules
>>>>>
>>>>> /sbin/ipfw add 7000 divert natd all from any to any via bge0
>>>>> /sbin/ipfw 9810 add pipe 9810 all from any to 192.168.7.2 out via any
>>>>> /sbin/ipfw 9820 add pipe 9820 all from 192.168.7.2 to any in via any
>>>>> /sbin/ipfw pipe 9810 config bw 256Kbit/s queue 32Kbytes
>>>>> /sbin/ipfw pipe 9820 config bw 128Kbit/s queue 32Kbytes
>>>>> /sbin/ipfw add allow all from any to 192.168.7.2
>>>>> /sbin/ipfw add allow all from 192.168.7.2 to any
>>>>> /sbin/ipfw add 17500 fwd 127.0.0.1,3128 tcp from
>>>>>
> 172.16.0.0:255.255.0.0
>
>>>> to
>>>>
>>>>> any www
>>>>>
>>>>> O que pode estar de errado :::
>>>>>
>>>>> Alguem me ajuda
>>>>>
>>>>> Sds
>>>>>
>>>>>
>>>>>
>>>>> 2008/7/19, Alessandro de Souza Rocha <etherlinkii em gmail.com>:
>>>>>
>>>>>> edita tudo e manda organizado.
>>>>>>
>>>>>> 2008/7/19 Welkson Renny de Medeiros <welkson em focusautomacao.com.br>:
>>>>>>
>>>>>>> Sky,
>>>>>>>
>>>>>>> Chegou tudo misturado... culpa desse tal hotmail.
>>>>>>>
>>>>>>> Welkson
>>>>>>>
>>>>>>> ----- Original Message -----
>>>>>>> From: "sky priest" <sky-priest em hotmail.com>
>>>>>>> To: <freebsd em fug.com.br>; <sky-priest em hotmail.com>
>>>>>>> Sent: Saturday, July 19, 2008 2:16 AM
>>>>>>> Subject: [FUG-BR] IPFW+DUMYNET+Squid
>>>>>>>
>>>>>>>
>>>>>>> Senhores estou perdendo os cabelos com este problema, mas quando
>>>>>>>
>> ativo
>>
>>>> o
>>>>
>>>>>>> squid meu controle de banda UPLOAD nao funciona, desativo e tudo
>>>>>>>
>> fica
>>
>>>>>>> controlado. Vou passar um descritivo: Kernel : options
>>>>>>> MROUTINGoptions IPFIREWALLoptions
>>>>>>>
>>>>>> IPFIREWALL_VERBOSEoptions
>>>>>>
>>>>>>> IPFIREWALL_FORWARDoptions IPSTEALTHoptions
>>>>>>>
>>>>>> DUMMYNEToptions
>>>>>>
>>>>>>> HZ=1000options BRIDGEoptions
>>>>>>>
>> ZERO_COPY_SOCKETSoptions
>>
>>>>>>> TCPDEBUGoptions IPDIVERToptions IPFILTERoptions
>>>>>>> IPFILTER_LOGoptions IPFIREWALL_DEFAULT_TO_ACCEPToptions
>>>>>>> SC_DISABLE_REBOOTrc.conf #REGRAS DE
>>>>>>> FIREWALLfirewall_enable='YES'firewall_type='OPEN'#REGRAS DE
>>>>>>> NATnatd_enable='YES'natd_interface='bge0'natd_flags='-f
>>>>>>>
>>>> /etc/natd.conf'
>>>>
>>>>>>> Natd.conf interface bge0dynamic yesuse_sockets yessame_ports
>>>>>>> yesunregistered_only yes SYSCTL net.inet.ip.fw.one_pass=0
>>>>>>>
> ipfw.rules
>
>>>>>>> /sbin/ipfw add 7000 divert natd all from any to any via
>>>>>>>
>> bge0/sbin/ipfw
>>
>>>>>> 9810
>>>>>>
>>>>>>> add pipe 9810 all from any to 192.168.7.2 out via any/sbin/ipfw
>>>>>>>
> 9820
>
>>>> add
>>>>
>>>>>>> pipe 9820 all from 192.168.7.2 to any in via any/sbin/ipfw pipe
>>>>>>>
> 9810
>
>>>>>> config
>>>>>>
>>>>>>> bw 256Kbit/s queue 32Kbytes/sbin/ipfw pipe 9820 config bw 128Kbit/s
>>>>>>>
>>>> queue
>>>>
>>>>>>> 32Kbytes/sbin/ipfw add allow all from any to
>>>>>>>
>> 192.168.7.2/sbin/ipfwadd
>>
>>>>>> allow
>>>>>>
>>>>>>> all from 192.168.7.2 to any/sbin/ipfw add 17500 fwd 127.0.0.1,3128
>>>>>>>
>>>> tcp
>>>>
>>>>>> from
>>>>>>
>>>>>>> 172.16.0.0:255.255.0.0 to any www O que pode estar de errado :::
>>>>>>>
>>>> Alguem
>>>>
>>>>>> me
>>>>>>
>>>>>>> ajuda Sds
>>>>>>> _________________________________________________________________
>>>>>>> Confira vídeos com notícias do NY Times, gols direto do Lance,
>>>>>>> videocassetadas e muito mais no MSN Video!
>>>>>>> http://video.msn.com/?mkt=pt-br
>>>>>>> -------------------------
>>>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>>>
>>>>>>> -------------------------
>>>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>>>
>>>>>>>
>>>>>>
>>>>>> --
>>>>>> Alessandro de Souza Rocha
>>>>>> Administrador de Redes e Sistemas
>>>>>> FreeBSD-BR User #117
>>>>>> Long live FreeBSD
>>>>>>
>>>>>> Powered by ....
>>>>>>
>>>>>> (__)
>>>>>> \\\'',)
>>>>>> \/ \ ^
>>>>>> .\._/_)
>>>>>>
>>>>>> www.FreeBSD.org
>>>>>> -------------------------
>>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>>
>>>>>>
>>>>> -------------------------
>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>
>>>>>
>>>>
>>>> --
>>>> Alessandro de Souza Rocha
>>>> Administrador de Redes e Sistemas
>>>> FreeBSD-BR User #117
>>>> Long live FreeBSD
>>>>
>>>> Powered by ....
>>>>
>>>> (__)
>>>> \\\'',)
>>>> \/ \ ^
>>>> .\._/_)
>>>>
>>>> www.FreeBSD.org
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>
>
>
>
> --
> Alessandro de Souza Rocha
> Administrador de Redes e Sistemas
> FreeBSD-BR User #117
> Long live FreeBSD
>
> Powered by ....
>
> (__)
> \\\'',)
> \/ \ ^
> .\._/_)
>
> www.FreeBSD.org
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
--
Mais detalhes sobre a lista de discussão freebsd