[FUG-BR] IPFW - Sequência de PIPE e QUEUE

Nilton Jose Rizzo rizzo em i805.com.br
Domingo Abril 26 20:17:07 BRT 2009 

On Sat, 25 Apr 2009 12:17:51 -0300, Welkson Renny de Medeiros wrote
> Trober escreveu:
> > Olá a todos.
> >
> > Observo que na maioria dos exemplos que rolam por aí referente à
> > utilização do IPFW para controle de banda utilizam "pipe 1", "pipe 2",
> > "pipe 3", sempre em sequência, começando em 1, contíguos, sem intervalos
> > (1,2,3,4,5,6,...).
> >
> > Fiz um sistema de gestão de firewall, em que os rulesets de 6000 até 19999
> > são destinados ao controle banda. Para um controle mais fácil (adição,
> > edição, exclusão) o número do pipe (pipe_nr) e do queue são iguais ao do
> > ruleset.
> >
> > Por exemplo (parcial):
> >
> > VARRULESTART tem valor inicial de 6000 e VARRULEGROWN é igual a 5,
> > incrementando a cada cliente (linha) que leio de um arquivo texto.
> >
> >     # Download Rules
> >     VARRULESTART=$((VARRULESTART+$VARRULEGROWN))
> >     $fz pipe  $VARRULESTART config bw ${varBWDOWN}Kbit/s mask dst-ip
> > 0xffffffff
> >     $fz queue $VARRULESTART config pipe $VARRULESTART
> >     $fz add   $VARRULESTART queue $VARRULESTART all from any to $varBWIP
> >
> >     # Upload Rules
> >     VARRULESTART=$((VARRULESTART+$VARRULEGROWN))
> >     $fz pipe  $VARRULESTART config bw ${varBWUP}Kbit/s mask src-ip 0xffffffff
> >     $fz queue $VARRULESTART config pipe $VARRULESTART
> >     $fz add   $VARRULESTART queue $VARRULESTART all from $varBWIP to any
> >
> > Meu arquivo texto tem o seguinte formato:
> >
> >     STATE IPADDRESS     MAC               DOWN UP   HOSTNAME  PROxYFULL
> >     on    192.168.20.2  aa:bb:cc:dd:ee:f1 256  128  george    yes
> >     on    192.168.20.6  aa:bb:cc:dd:ee:f2 256  128  john      no
> >     on    192.168.20.10 aa:bb:cc:dd:ee:f3 256  128  paul      yes
> >     on    192.168.20.14 aa:bb:cc:dd:ee:f4 256  128  ringo     yes
> >
> > Se o valor de VARRULESTART for igual a 0, com incremento de 1, os pipes e
> > queues atuam perfeitamente em programas de P2P.
> >
> > Concluí, que o problema reportado em minha mensagem[1] sobre a anomalia do
> > IPFW não estava relacionada à mascara[2], e sim aos seguintes fatos:
> >
> > 1) O IPFW aceita para pipe e queue qualquer inteiro positivo entre 1 e
> > 65535, porém, desgraçadamente, em ordem, começando em um, contíguo, sem
> > intervalo.
> >
> > 2) Não há documentação sobre a ordem de inserção de pipes e queues quanto
> > à numeração (já li quase tudo que Luigi Rizzo escreveu sobre IPFW e nada).
> >
> > 3) Esse comportamento está evidente, ao meu ver, em ipfw2.c, onde o número
> > do pipe é o mesmo número da posição na pilha, não deixando o administrador
> > escolher manualmente o número pipe (até deixa, mas dá nessa bagunça toda).
> >
> > Quem concorda? Quem descorda? De forma alguma quero criar flames, e sim,
> > obter a opinião de vocês, pois se for procedente, temos aí um caso omisso
> > na documentação do IPFW; e sistemas como WARTA e SnowDog Firewall com
> > regras tortas.

   Olha tenhop dois server (4.11 e 7.1) ambos com ipfw2 e meus pipes são
   numerados da seguinte forma:
   10XXX  Upload ( 10128, 10256, 10300, 10600, 10784, 11024, 12048)
   20xxx  Download ( 20128, 20256, 20300, 20600, 20784, 21024 e 22048)

    e funcionam perfeirtamente bem, nunca tive problemas.

    O maior problema que tenho, ainda é que os P2P geram um grande numero
    de conexões simultanes, tendo que limitar na regra de pipe um limite
    para conexões (limitei em 30)
> >
> > Saudações,
> >
> > Trober
> > -
> > -
> > -
> > -
> > -
> >
> >
> > [1] http://www.fug.com.br/historico/html/freebsd/2009-04/msg00488.html
> >
> > [2] http://www.fug.com.br/historico/html/freebsd/2009-04/msg00518.html
> >
> >
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> >
> >   
> Trober,
> 
> Acho que esse nível de teste seria interessante reportar na lista 
> freebsd-ipfw... o próprio Luigi Rizzo pode responder =)
> 
> Se mestre Patrick tiver um tempo, pode comentar por aqui também.
> 
> -- 
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> welkson at focusautomacao.com.br
> 
>                       Powered by ....
> 
>                                            (__)
>                                         \\\'',)
>                                           \/  \ ^
>                                           .\._/_)
> 
>                                       www.FreeBSD.org
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-- 
Nilton José Rizzo 
805 Informatica 
Disseminando tecnologias 
021 2413 9786

Mais detalhes sobre a lista de discussão freebsd