[FUG-BR] Firewall com prioridade para Navegação

Gustavo Freitas gst.freitas em gmail.com
Terça Novembro 9 00:09:56 BRST 2010


pessoal,

fiz o teste e não funcionou.. utilizei o seguintes links

http://na.mirror.garr.it/mirrors/zeroshell/kernel-2.6.19.7-source-compiled.tar.bz2
ftp://na.mirror.garr.it/mirrors/zeroshell/

A velocidade ficou a mesma..

Adicionei a regra abaixo e nada..

pass in quick on $ext_if proto tcp from any to any flags S/SA \
    keep state queue def


Em 8 de novembro de 2010 13:04, Mario Augusto Mania
<m3.bsd.mania em gmail.com> escreveu:
> Entao você nao testou heheheh, já que vc mesmo disse que nao sabe se
> esta funcionando :)
>
> Como vc pode testar:
>
> Coloca outro freebsd na outra ponta do cabo com ftp e apache.
> Gere um arquivo com dd de uns 50Gbs.
> Comece a baixar o arquivo por ftp, e veja a velocidade.
> Monitore por 1 minuto mais ou menos, e entao comece a baixar o mesmo
> arquivo, mas agora por http.
> Voce vai testar baixando os dois ao mesmo tempo, 1 por ftp e  outro por http.
> Se suas regras funcionarem, a velocidade do ftp vai cair para 20% e a
> do http sera equivalente a 80%.
>
> m3
>
> Em 8 de novembro de 2010 13:31, Gustavo Freitas
> <gst.freitas em gmail.com> escreveu:
>> sim testei.. estou navegando com ele e enviando esta msg... já baixei arquivos
>> o que eu gostaria de saber opinião de vocês principamente com relação
>> a prioridade
>> para navegação..
>>
>> não sei esta funcionado .. tem como saber ?? outro detalhe é o consumo de banda
>> por p2p.. o que eu quero não é bloquear é fazer que eles não tenha prioridade.
>>
>>
>>
>>
>> Em 8 de novembro de 2010 12:13, Mario Augusto Mania
>> <m3.bsd.mania em gmail.com> escreveu:
>>> Voce testou essas regras antes de postar?
>>> Simulou o ambiente?
>>>
>>> m3
>>>
>>> Em 8 de novembro de 2010 12:50, Gustavo Freitas
>>> <gst.freitas em gmail.com> escreveu:
>>>> Pessoal,
>>>>
>>>> Estou com iniciando no BSD e implementei um firewall usando PF, objetivo dele é
>>>> somente controlar e dar prioridade para navegação na internet com uma
>>>> reserva de banda
>>>> de 80%, sem controle de trafego e nem bloqueio de portas.
>>>>
>>>> Gostaria da opinião de você e se esta correto..
>>>>
>>>> int_if = "rl0"
>>>> ext_if = "vr0"
>>>> unsafe = "{ rl0, vr0 }"
>>>> int_net = "10.0.0.0/8"
>>>> int_alias = "10.10.0.0/16"
>>>>
>>>>
>>>> set loginterface $int_if
>>>> set skip on lo
>>>>
>>>> match in all scrub (no-df)
>>>>
>>>> nat on $ext_if from !($ext_if) -> ($ext_if:0)
>>>>
>>>> antispoof quick for { lo $int_if }
>>>>
>>>> set block-policy  return
>>>>
>>>> block in log quick proto tcp flags FUP/WEUAPRSF
>>>> block in log quick proto tcp flags WEUAPRSF/WEUAPRSF
>>>> block in log quick proto tcp flags SRAFU/WEUAPRSF
>>>> block in log quick proto tcp flags /WEUAPRSF
>>>> block in log quick proto tcp flags SR/SR
>>>> block in log quick proto tcp flags SF/SF
>>>>
>>>> altq on $ext_if cbq bandwidth 512Kb queue { def, http }
>>>> queue def bandwidth 20% cbq(default borrow red)
>>>> queue http bandwidth 80% cbq(borrow red)
>>>>
>>>> pass in quick on $ext_if proto tcp from any to any port { 80, 443 } flags S/SA \
>>>>    keep state queue http
>>>>
>>>> # block in traffic from private networks on external interface
>>>> block drop in quick on $ext_if from $int_alias to any
>>>>
>>>> # block out traffic to private networks on external interface
>>>> block drop out quick on $ext_if from any to $int_alias
>>>>
>>>> antispoof quick for { lo $int_if }
>>>> block in quick on $ext_if proto tcp from <sshguard> to any port 22
>>>> label "ssh bruteforce"
>>>>
>>>> # SSH connection
>>>> pass in log on $int_if inet proto tcp from $int_net to { $int_if
>>>> $ext_if } port ssh
>>>> pass out log on $int_if inet proto tcp from $int_if to any port ssh
>>>>
>>>> # DNS queries
>>>> pass in log on $int_if proto { tcp udp } from $int_net to $ext_if port
>>>> { domain bootps }
>>>>
>>>> # ping
>>>> block in log on $int_if proto icmp from $int_alias to $int_alias
>>>>
>>>> # File sharing applications
>>>> pass in log on $int_if proto { tcp udp } from $int_net to any port socks
>>>>
>>>>
>>>>
>>>> --
>>>> Gustavo Freitas
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>>
>>>
>>>
>>> --
>>> Atenciosmente
>>>
>>> Mario Augusto Mania <m3BSD>
>>> -----------------------------------------------
>>> m3.bsd.mania em gmail.com
>>> Cel.: (43) 9938-9629
>>> Msn: mario em oquei.com
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>>
>>
>> --
>> Gustavo Freitas
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
>
> --
> Atenciosmente
>
> Mario Augusto Mania <m3BSD>
> -----------------------------------------------
> m3.bsd.mania em gmail.com
> Cel.: (43) 9938-9629
> Msn: mario em oquei.com
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Gustavo Freitas


Mais detalhes sobre a lista de discussão freebsd