[FUG-BR] RES: RES: IPFW+DUMYNET+Squid

Renato Frederick frederick em dahype.org
Segunda Julho 21 11:19:13 BRT 2008 

Passei por isto. 

Ou você coloca o one_pass=0 para ele ler todas as regras e depois que fizer
o fwd pra 3128 ele ler lá embaixo a regra de controle de banda ou então você
usa o in/out(se estiver usando nat), colocando o fwd primeiro e o controle
de banda depois, com in/out

Na primeira opção ele continuará lendo o ipfw até chegar na regra que tem o
pipe. Mas tirar o one_pass pode trazer complicação, principalmente se houver
regras mais genéricas depois de uma específica, eu não gosto.

A 2a opção é mais simples, ele faz um fwd e usaria toda a velocidade, mas
como depois existe uma regra com in/out, mais específica, ele a usa, e o
pacote "sai" da interface interna para a extena para fazer o fwd. Daí ele a
usa. Não sei se tem a ver, mas uso o fwd para o meu IP válido, não sei se
usar fwd para 127.0.0.1 influencia, por ser loopback. Nunca fiz o teste.

As minhas regras(cortadas)

00005    309448     43628910 fwd 200.X.X.2,3128 tcp from { 172.16.X.0/24 or
192.168.X.0/24 } to { not 200.X.X.X/24 or not dst-ip 172.16.X.0/24 or not
dst-ip me } dst-port 80
00125         0            0 pipe 125 ip from 172.16.X.X to any in
00126         0            0 pipe 126 ip from any to 172.16.X.X out
# ipfw pipe 125 show
00125: 150.000 Kbit/s    0 ms   10 sl. 1 queues (1 buckets) droptail
# ipfw pipe 126 show
00126: 300.000 Kbit/s    0 ms   10 sl. 0 queues (1 buckets) droptail
#sysctl  -a |grep one_pass
net.inet.ip.fw.one_pass: 1

limitando a velocidade a 150/300k.


> -----Original Message-----
> From: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] On
> Behalf Of Jorge Petry
> Sent: Monday, July 21, 2008 11:08 AM
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> Subject: Re: [FUG-BR] RES: RES: IPFW+DUMYNET+Squid
> 
> Cara, vc tem que analisar várias coisas.
> O IPFW por padrão faz a passagem do pacote somente uma vez,ao contrário
> do PF que lê todas ou ate achar uma regra quick.
> Se não me engano a opção net.inet.ip.fw.one_pass no sysctl fará passar
> mais vezes no firewall.
> Quando vc habilita o proxy transparente quem está navegando é o seu
> servidor, a requisição é feita para ele,
> ele busca e devolve para quem solicitou, vc tem q controlar com pipe a
> navegação do próprio servidor para ele não consumir
> toda a banda de internet.
> Seu controle de banda por ter perfis diferentes deve ter os pipes fixos,
> inclua uma regra para cada ip vinculando ao pipe correspondente a banda
> e não esqueça, o controle de banda da rede interna é feito na interface
> interna pois na interface externa tem a regra do nat e não passa nada com
> ip local lá.
> 
> Testa mais ai e reporta depois para a lista em caso positivo ou não.
> 
> Abraço.
> 
> 
> 
> _________________________________________
> * *Jorge Petry Neto *
> *Administrador de Redes e Servidores
> (48) 8401-4436
> jorge em jspnet.com.br <mailto:jorge em jspnet.com.br>*
> **www.jspnet.com.br * <http://www.jspnet.com.br/>
> 
> 
> Sky-Priest escreveu:
> > interessante
> >
> > mas o nat e o redirect pro squid tu poe aonde ??? como ultimas regras???
> >
> > sds
> >
> >
> >
> > -----Mensagem original-----
> > De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br]Em
> > nome de Alessandro de Souza Rocha
> > Enviada em: domingo, 20 de julho de 2008 07:59
> > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > Assunto: Re: [FUG-BR] RES: IPFW+DUMYNET+Squid
> >
> >
> > eu uso desta forma que postei antes tanto por grupo
> > ipfw pipe 1 config mask dst-ip 0×000000ff bw 128Kbit/s
> > ipfw pipe 2 config mask src-ip 0×000000ff bw 128Kbit/s
> > ipfw add pipe 1 all from any to 192.168.1.0/24 in
> > ipfw add pipe 2 all from 192.168.1.0/24 to any ou
> >  ou individual
> > ipfw pipe 1 config mask dst-ip 0×000000ff bw 128Kbit/s
> > ipfw pipe 2 config mask src-ip 0×000000ff bw 128Kbit/s
> > ipfw add pipe 1 all from any to 192.168.1.2 in
> > ipfw add pipe 2 all from 192.168.1.2 to any ou
> >
> > 2008/7/19 Sky-Priest <skypriest em gmail.com>:
> >
> >> Negativo , mesmo com proxy nao e controlado.
> >>
> >> Ja tinha visto esse link e mesmo assim nao resolveu , nao tem mais
> nenhuma
> >> ideia ::]
> >>
> >> Sds
> >>
> > velho quando vc coloca o controle de banda nao importa se estiver com
> > proxy u nao.
> > aquele exe
> >
> >
> >> -----Mensagem original-----
> >> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br]Em
> >> nome de Wanderson Tinti
> >> Enviada em: sábado, 19 de julho de 2008 19:54
> >> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> >> Assunto: Re: [FUG-BR] IPFW+DUMYNET+Squid
> >>
> >>
> >> Boa noite a todos.
> >> Se voce desabilitar a regra de fwd que vai pro squid e configurar o
> >> proxy manualmente no navegador o controle funciona?
> >>
> >> De uma olhada nessa discurção:
> >> http://www.fug.com.br/historico/html/freebsd/2006-03/msg00658.html
> >>
> >> Poste ai os resultados.
> >>
> >> 2008/7/19 sky priest <skypriest em gmail.com>:
> >>
> >>> ok, ja pesquisei sobre essa solucao , porem tenho que configurar banda
> >>> diferentes por cliente. Nessa aplicacao estou abrindo sinal dentro de
> um
> >>> condominio e preciso configuras perfis de 128 - 256 - 512 e 1 m por
> >>> determinada estacao dentro da rede 192.168.7.0/24
> >>>
> >>> So que quand ativo o squid para o controle de upload
> >>>
> >>> Sera que podem ajudar
> >>>
> >>> 2008/7/19 Alessandro de Souza Rocha <etherlinkii em gmail.com>:
> >>>
> >>>
> >>>> controle de banda uso assim
> >>>> ipfw pipe 1 config mask dst-ip 0×000000ff bw 128Kbit/s
> >>>> ipfw pipe 2 config mask src-ip 0×000000ff bw 128Kbit/s
> >>>> ipfw add pipe 1 all from any to 192.168.1.0/24 in
> >>>> ipfw add pipe 2 all from 192.168.1.0/24 to any ou
> >>>>
> >>>> 2008/7/19 sky priest <skypriest em gmail.com>:
> >>>>
> >>>>> OK, alterei meu e-mail para o gmail.
> >>>>>
> >>>>> Segue de novo minha duvida
> >>>>>
> >>>>>
> >>>>> Senhores estou perdendo os cabelos com este problema, mas quando
> ativo
> >>>>>
> >> o
> >>
> >>>>> squid meu controle de banda UPLOAD nao funciona, desativo e tudo
> fica
> >>>>> controlado.
> >>>>>
> >>>>> Vou passar um descritivo:
> >>>>>
> >>>>> Kernel :
> >>>>>
> >>>>> options         MROUTING
> >>>>> options         IPFIREWALL
> >>>>> options         IPFIREWALL_VERBOSE
> >>>>> options         IPFIREWALL_FORWARD
> >>>>> options         IPSTEALTH
> >>>>> options         DUMMYNET
> >>>>> options         HZ=1000
> >>>>> options         BRIDGE
> >>>>> options         ZERO_COPY_SOCKETS
> >>>>> options         TCPDEBUG
> >>>>> options         IPDIVERT
> >>>>> options         IPFILTER
> >>>>> options         IPFILTER_LOG
> >>>>> options         IPFIREWALL_DEFAULT_TO_ACCEPT
> >>>>> options         SC_DISABLE_REBOOT
> >>>>>
> >>>>> rc.conf
> >>>>> #REGRAS DE FIREWALL
> >>>>> firewall_enable='YES'
> >>>>> firewall_type='OPEN'
> >>>>> #REGRAS DE NAT
> >>>>> natd_enable='YES'
> >>>>> natd_interface='bge0'
> >>>>> natd_flags='-f /etc/natd.conf'
> >>>>>
> >>>>> Natd.conf
> >>>>>
> >>>>> interface bge0
> >>>>> dynamic yes
> >>>>> use_sockets yes
> >>>>> same_ports yes
> >>>>> unregistered_only yes
> >>>>>
> >>>>>
> >>>>> SYSCTL
> >>>>>
> >>>>> net.inet.ip.fw.one_pass=0
> >>>>>
> >>>>>
> >>>>> ipfw.rules
> >>>>>
> >>>>> /sbin/ipfw add 7000 divert natd all from any to any via bge0
> >>>>> /sbin/ipfw 9810 add pipe 9810 all from any to 192.168.7.2 out via
> any
> >>>>> /sbin/ipfw 9820 add pipe 9820 all from 192.168.7.2 to any in via any
> >>>>> /sbin/ipfw pipe 9810 config bw 256Kbit/s queue 32Kbytes
> >>>>> /sbin/ipfw pipe 9820 config bw 128Kbit/s queue 32Kbytes
> >>>>> /sbin/ipfw add allow all from any to 192.168.7.2
> >>>>> /sbin/ipfw add allow all from 192.168.7.2 to any
> >>>>> /sbin/ipfw add 17500 fwd 127.0.0.1,3128 tcp from
> >>>>>
> > 172.16.0.0:255.255.0.0
> >
> >>>> to
> >>>>
> >>>>> any www
> >>>>>
> >>>>> O que pode estar de errado :::
> >>>>>
> >>>>> Alguem me ajuda
> >>>>>
> >>>>> Sds
> >>>>>
> >>>>>
> >>>>>
> >>>>> 2008/7/19, Alessandro de Souza Rocha <etherlinkii em gmail.com>:
> >>>>>
> >>>>>> edita tudo e manda organizado.
> >>>>>>
> >>>>>> 2008/7/19 Welkson Renny de Medeiros
> <welkson em focusautomacao.com.br>:
> >>>>>>
> >>>>>>> Sky,
> >>>>>>>
> >>>>>>> Chegou tudo misturado... culpa desse tal hotmail.
> >>>>>>>
> >>>>>>> Welkson
> >>>>>>>
> >>>>>>> ----- Original Message -----
> >>>>>>> From: "sky priest" <sky-priest em hotmail.com>
> >>>>>>> To: <freebsd em fug.com.br>; <sky-priest em hotmail.com>
> >>>>>>> Sent: Saturday, July 19, 2008 2:16 AM
> >>>>>>> Subject: [FUG-BR] IPFW+DUMYNET+Squid
> >>>>>>>
> >>>>>>>
> >>>>>>> Senhores estou perdendo os cabelos com este problema, mas quando
> >>>>>>>
> >> ativo
> >>
> >>>> o
> >>>>
> >>>>>>> squid meu controle de banda UPLOAD nao funciona, desativo e tudo
> >>>>>>>
> >> fica
> >>
> >>>>>>> controlado. Vou passar um descritivo: Kernel : options
> >>>>>>> MROUTINGoptions         IPFIREWALLoptions
> >>>>>>>
> >>>>>> IPFIREWALL_VERBOSEoptions
> >>>>>>
> >>>>>>> IPFIREWALL_FORWARDoptions         IPSTEALTHoptions
> >>>>>>>
> >>>>>> DUMMYNEToptions
> >>>>>>
> >>>>>>> HZ=1000options         BRIDGEoptions
> >>>>>>>
> >> ZERO_COPY_SOCKETSoptions
> >>
> >>>>>>> TCPDEBUGoptions         IPDIVERToptions         IPFILTERoptions
> >>>>>>> IPFILTER_LOGoptions         IPFIREWALL_DEFAULT_TO_ACCEPToptions
> >>>>>>> SC_DISABLE_REBOOTrc.conf #REGRAS DE
> >>>>>>> FIREWALLfirewall_enable='YES'firewall_type='OPEN'#REGRAS DE
> >>>>>>> NATnatd_enable='YES'natd_interface='bge0'natd_flags='-f
> >>>>>>>
> >>>> /etc/natd.conf'
> >>>>
> >>>>>>> Natd.conf interface bge0dynamic yesuse_sockets yessame_ports
> >>>>>>> yesunregistered_only yes SYSCTL net.inet.ip.fw.one_pass=0
> >>>>>>>
> > ipfw.rules
> >
> >>>>>>> /sbin/ipfw add 7000 divert natd all from any to any via
> >>>>>>>
> >> bge0/sbin/ipfw
> >>
> >>>>>> 9810
> >>>>>>
> >>>>>>> add pipe 9810 all from any to 192.168.7.2 out via any/sbin/ipfw
> >>>>>>>
> > 9820
> >
> >>>> add
> >>>>
> >>>>>>> pipe 9820 all from 192.168.7.2 to any in via any/sbin/ipfw pipe
> >>>>>>>
> > 9810
> >
> >>>>>> config
> >>>>>>
> >>>>>>> bw 256Kbit/s queue 32Kbytes/sbin/ipfw pipe 9820 config bw
> 128Kbit/s
> >>>>>>>
> >>>> queue
> >>>>
> >>>>>>> 32Kbytes/sbin/ipfw add allow all from any to
> >>>>>>>
> >> 192.168.7.2/sbin/ipfwadd
> >>
> >>>>>> allow
> >>>>>>
> >>>>>>> all from 192.168.7.2 to any/sbin/ipfw add 17500 fwd 127.0.0.1,3128
> >>>>>>>
> >>>> tcp
> >>>>
> >>>>>> from
> >>>>>>
> >>>>>>> 172.16.0.0:255.255.0.0 to any www O que pode estar de errado :::
> >>>>>>>
> >>>> Alguem
> >>>>
> >>>>>> me
> >>>>>>
> >>>>>>> ajuda  Sds
> >>>>>>> _________________________________________________________________
> >>>>>>> Confira vídeos com notícias do NY Times, gols direto do Lance,
> >>>>>>> videocassetadas e muito mais no MSN Video!
> >>>>>>> http://video.msn.com/?mkt=pt-br
> >>>>>>> -------------------------
> >>>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>>>>
> >>>>>>> -------------------------
> >>>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>>>>
> >>>>>>>
> >>>>>>
> >>>>>> --
> >>>>>> Alessandro de Souza Rocha
> >>>>>> Administrador de Redes e Sistemas
> >>>>>> FreeBSD-BR User #117
> >>>>>> Long live FreeBSD
> >>>>>>
> >>>>>> Powered by ....
> >>>>>>
> >>>>>> (__)
> >>>>>> \\\'',)
> >>>>>> \/ \ ^
> >>>>>> .\._/_)
> >>>>>>
> >>>>>> www.FreeBSD.org
> >>>>>> -------------------------
> >>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>>>
> >>>>>>
> >>>>> -------------------------
> >>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>>
> >>>>>
> >>>>
> >>>> --
> >>>> Alessandro de Souza Rocha
> >>>> Administrador de Redes e Sistemas
> >>>> FreeBSD-BR User #117
> >>>>  Long live FreeBSD
> >>>>
> >>>>  Powered by ....
> >>>>
> >>>>  (__)
> >>>>  \\\'',)
> >>>>  \/ \ ^
> >>>>  .\._/_)
> >>>>
> >>>>  www.FreeBSD.org
> >>>> -------------------------
> >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>
> >>>>
> >>> -------------------------
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>
> >>>
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >>
> >
> >
> >
> > --
> > Alessandro de Souza Rocha
> > Administrador de Redes e Sistemas
> > FreeBSD-BR User #117
> >  Long live FreeBSD
> >
> >  Powered by ....
> >
> >  (__)
> >  \\\'',)
> >  \/ \ ^
> >  .\._/_)
> >
> >  www.FreeBSD.org
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> >
> 
> --
> 
> 
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd