[FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address
Márcio Elias
marcioelias em gmail.com
Segunda Fevereiro 10 12:04:24 BRST 2014
Bom dia pessoal da lista,
eu tenho diversos servidores FreeBSD rodando (versões 8.x e 9.x) como
routers para subredes de meus clientes (trabalho em um ISP).
Pois bem, agora com o lançamento do FreeBSD 10 e seus aperfeiçoamentos para
virtualização estou virtualizando meus servidores, mais estou tento um
problema que não tinha nas versões anteriores do Free.
Basicamente eu controlo o acesso de meus clientes por MAC, com IPs fixados
no DHCP e jogo cada cliente em um pipe para Upload e outro para Download.
Cada servidor tem 2 interfaces de rede e estou utilizando o Natd (divert,
ainda não tentei o IPFIREWALL_NAT).
Abaixo seguem as regras (mínimo para facilitar o entendimento) para um
cliente, que funcionavam em versoes anteriores e não estão funcionando na
versão 10.
ipfw add 50 divert natd ip from any to me in recv ${natd_interface}
ipfw add 50 divert natd ip from 192.168.0.0/16 to any out xmit
${natd_interface}
ipfw add 1000 pipe 150 ip from any to 192.168.5.18 MAC XX:XX:XX:XX:XX:XX any
ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC any XX:XX:XX:XX:XX:XX
ipfw add 65535 allow ip from any to any
os pipes:
00155: 1.000 Mbit/s 0 ms burst 0
q131227 50 sl. 0 flows (1 buckets) sched 65691 weight 0 lmax 0 pri 0
droptail
sched 65691 type FIFO flags 0x0 0 buckets 0 active
00150: 4.000 Mbit/s 0 ms burst 0
q131222 50 sl. 0 flows (1 buckets) sched 65686 weight 0 lmax 0 pri 0
droptail
sched 65686 type FIFO flags 0x0 0 buckets 0 active
dentro do dhcpd.conf tenho essa configuração para este cliente:
host 1570 { hardware ethernet XX:XX:XX:XX:XX:XX; fixed-address
192.168.5.18; }
O cliente pega o IP esperado, vejo tráfego normal em todas as regras, mais
um tráfego muito baixo na regra 1010, consigo pingar pra qq lugar, (pq não
estou colocando ICMP nas regras de restrição) mais não consigo ter
navegação no cliente.
Se eu deixo tudo como está e retiro a regra 1010, a navegação ocorre
normalmente, o único problema é que o upload não estará restrito ao mac
address do cliente.
Alguém pode me dar alguma ideia de o que pode estar acontecendo? Sabem se
teve alguma alteração no IPFW ou no Free na versão 10 que alterou esse
comportamento?
O estranho é que a mesma regra de firewall para tráfego de fora para o
cliente funciona, mais do cliente pra fora não.
Agradeço qualquer ideia.
--
Att.
__________________________________
Márcio Elias Hahn do Nascimento
Araranguá - SC
Cel: (55) 48-9661-0233
msn: marcioeliashahn em hotmail.com
Mais detalhes sobre a lista de discussão freebsd