[FUG-BR] IPFW - Sequência de PIPE e QUEUE

Welkson Renny de Medeiros welkson em focusautomacao.com.br
Segunda Abril 27 10:09:18 BRT 2009 

Marcello Barreto de Medeiros escreveu:
> Olá Nilton,
> 	Sem querer disvirtuar muito do tópico... mas quantas conexões
> simultâneas você costuma permitir por usuário (uso geral)?
>
> On Sun, 26 Apr 2009 21:17:07 -0200
> "Nilton Jose Rizzo" <rizzo em i805.com.br> wrote:
>
>   
>> On Sat, 25 Apr 2009 12:17:51 -0300, Welkson Renny de Medeiros wrote
>>     
>>> Trober escreveu:
>>>       
>>>> Olá a todos.
>>>>
>>>> Observo que na maioria dos exemplos que rolam por aí referente à
>>>> utilização do IPFW para controle de banda utilizam "pipe 1",
>>>> "pipe 2", "pipe 3", sempre em sequência, começando em 1,
>>>> contíguos, sem intervalos (1,2,3,4,5,6,...).
>>>>
>>>> Fiz um sistema de gestão de firewall, em que os rulesets de 6000
>>>> até 19999 são destinados ao controle banda. Para um controle mais
>>>> fácil (adição, edição, exclusão) o número do pipe (pipe_nr) e do
>>>> queue são iguais ao do ruleset.
>>>>
>>>> Por exemplo (parcial):
>>>>
>>>> VARRULESTART tem valor inicial de 6000 e VARRULEGROWN é igual a 5,
>>>> incrementando a cada cliente (linha) que leio de um arquivo texto.
>>>>
>>>>     # Download Rules
>>>>     VARRULESTART=$((VARRULESTART+$VARRULEGROWN))
>>>>     $fz pipe  $VARRULESTART config bw ${varBWDOWN}Kbit/s mask
>>>> dst-ip 0xffffffff
>>>>     $fz queue $VARRULESTART config pipe $VARRULESTART
>>>>     $fz add   $VARRULESTART queue $VARRULESTART all from any to
>>>> $varBWIP
>>>>
>>>>     # Upload Rules
>>>>     VARRULESTART=$((VARRULESTART+$VARRULEGROWN))
>>>>     $fz pipe  $VARRULESTART config bw ${varBWUP}Kbit/s mask
>>>> src-ip 0xffffffff $fz queue $VARRULESTART config pipe
>>>> $VARRULESTART $fz add   $VARRULESTART queue $VARRULESTART all
>>>> from $varBWIP to any
>>>>
>>>> Meu arquivo texto tem o seguinte formato:
>>>>
>>>>     STATE IPADDRESS     MAC               DOWN UP   HOSTNAME
>>>> PROxYFULL on    192.168.20.2  aa:bb:cc:dd:ee:f1 256  128
>>>> george    yes on    192.168.20.6  aa:bb:cc:dd:ee:f2 256  128
>>>> john      no on    192.168.20.10 aa:bb:cc:dd:ee:f3 256  128
>>>> paul      yes on    192.168.20.14 aa:bb:cc:dd:ee:f4 256  128
>>>> ringo     yes
>>>>
>>>> Se o valor de VARRULESTART for igual a 0, com incremento de 1, os
>>>> pipes e queues atuam perfeitamente em programas de P2P.
>>>>
>>>> Concluí, que o problema reportado em minha mensagem[1] sobre a
>>>> anomalia do IPFW não estava relacionada à mascara[2], e sim aos
>>>> seguintes fatos:
>>>>
>>>> 1) O IPFW aceita para pipe e queue qualquer inteiro positivo
>>>> entre 1 e 65535, porém, desgraçadamente, em ordem, começando em
>>>> um, contíguo, sem intervalo.
>>>>
>>>> 2) Não há documentação sobre a ordem de inserção de pipes e
>>>> queues quanto à numeração (já li quase tudo que Luigi Rizzo
>>>> escreveu sobre IPFW e nada).
>>>>
>>>> 3) Esse comportamento está evidente, ao meu ver, em ipfw2.c, onde
>>>> o número do pipe é o mesmo número da posição na pilha, não
>>>> deixando o administrador escolher manualmente o número pipe (até
>>>> deixa, mas dá nessa bagunça toda).
>>>>
>>>> Quem concorda? Quem descorda? De forma alguma quero criar flames,
>>>> e sim, obter a opinião de vocês, pois se for procedente, temos aí
>>>> um caso omisso na documentação do IPFW; e sistemas como WARTA e
>>>> SnowDog Firewall com regras tortas.
>>>>         
>>    Olha tenhop dois server (4.11 e 7.1) ambos com ipfw2 e meus pipes
>> são numerados da seguinte forma:
>>    10XXX  Upload ( 10128, 10256, 10300, 10600, 10784, 11024, 12048)
>>    20xxx  Download ( 20128, 20256, 20300, 20600, 20784, 21024 e 22048)
>>
>>     e funcionam perfeirtamente bem, nunca tive problemas.
>>
>>     O maior problema que tenho, ainda é que os P2P geram um grande
>> numero de conexões simultanes, tendo que limitar na regra de pipe um
>> limite para conexões (limitei em 30)
>>     
>>>> Saudações,
>>>>
>>>> Trober
>>>> -
>>>> -
>>>> -
>>>> -
>>>> -
>>>>
>>>>
>>>> [1]
>>>> http://www.fug.com.br/historico/html/freebsd/2009-04/msg00488.html
>>>>
>>>> [2]
>>>> http://www.fug.com.br/historico/html/freebsd/2009-04/msg00518.html
>>>>
>>>>
>>>>
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>>>
>>>>   
>>>>         
>>> Trober,
>>>
>>> Acho que esse nível de teste seria interessante reportar na lista 
>>> freebsd-ipfw... o próprio Luigi Rizzo pode responder =)
>>>
>>> Se mestre Patrick tiver um tempo, pode comentar por aqui também.
>>>
>>> -- 
>>> Welkson Renny de Medeiros
>>> Focus Automação Comercial
>>> Desenvolvimento / Gerência de Redes
>>> welkson em focusautomacao.com.br
>>>
>>>                       Powered by ....
>>>
>>>                                            (__)
>>>                                         \\\'',)
>>>                                           \/  \ ^
>>>                                           .\._/_)
>>>
>>>                                       www.FreeBSD.org
>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>       
>>     
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
>   
No post anterior ele responde isso: 30 conexões.

-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br
 
 
 
                      Powered by ....
 
                                           (__)
                                        \\\'',)
                                          \/  \ ^
                                          .\._/_)
 
                                      www.FreeBSD.org

Mais detalhes sobre a lista de discussão freebsd