[FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address

Rafael Aquino rafael em lk6.com.br
Segunda Fevereiro 10 13:50:16 BRST 2014


----- Mensagem original -----
> De: "Márcio Elias" <marcioelias em gmail.com>
> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" <freebsd em fug.com.br>
> Enviadas: Segunda-feira, 10 de fevereiro de 2014 12:04:24
> Assunto: [FUG-BR]  FreeBSD 10-RELEASE + IPFW + MAC Address
> 
> Bom dia pessoal da lista,
> 
> eu tenho diversos servidores FreeBSD rodando (versões 8.x e 9.x) como
> routers para subredes de meus clientes (trabalho em um ISP).
> 
> Pois bem, agora com o lançamento do FreeBSD 10 e seus aperfeiçoamentos para
> virtualização estou virtualizando meus servidores, mais estou tento um
> problema que não tinha nas versões anteriores do Free.
> 
> Basicamente eu controlo o acesso de meus clientes por MAC, com IPs fixados
> no DHCP e jogo cada cliente em um pipe para Upload e outro para Download.
> 
> Cada servidor tem 2 interfaces de rede e estou utilizando o Natd (divert,
> ainda não tentei o IPFIREWALL_NAT).
> 
> Abaixo seguem as regras (mínimo para facilitar o entendimento) para um
> cliente, que funcionavam em versoes anteriores e não estão funcionando na
> versão 10.
> 
> ipfw add 50 divert natd ip from any to me in recv ${natd_interface}
> ipfw add 50 divert natd ip from 192.168.0.0/16 to any out xmit
> ${natd_interface}
> ipfw add 1000 pipe 150 ip from any to 192.168.5.18 MAC XX:XX:XX:XX:XX:XX any
> ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC any XX:XX:XX:XX:XX:XX
> ipfw add 65535 allow ip from any to any
> 
> os pipes:
> 
> 00155:   1.000 Mbit/s    0 ms burst 0
> q131227  50 sl. 0 flows (1 buckets) sched 65691 weight 0 lmax 0 pri 0
> droptail
>  sched 65691 type FIFO flags 0x0 0 buckets 0 active
> 
> 00150:   4.000 Mbit/s    0 ms burst 0
> q131222  50 sl. 0 flows (1 buckets) sched 65686 weight 0 lmax 0 pri 0
> droptail
>  sched 65686 type FIFO flags 0x0 0 buckets 0 active
> 
> dentro do dhcpd.conf tenho essa configuração para este cliente:
> 
> host 1570 {  hardware ethernet XX:XX:XX:XX:XX:XX;   fixed-address
> 192.168.5.18;   }
> 
> O cliente pega o IP esperado, vejo tráfego normal em todas as regras, mais
> um tráfego muito baixo na regra 1010, consigo pingar pra qq lugar, (pq não
> estou colocando ICMP nas regras de restrição) mais não consigo ter
> navegação no cliente.
> 
> Se eu deixo tudo como está e retiro a regra 1010, a navegação ocorre
> normalmente, o único problema é que o upload não estará restrito ao mac
> address do cliente.
> 
> Alguém pode me dar alguma ideia de o que pode estar acontecendo? Sabem se
> teve alguma alteração no IPFW ou no Free na versão 10 que alterou esse
> comportamento?
> 
> O estranho é que a mesma regra de firewall para tráfego de fora para o
> cliente funciona, mais do cliente pra fora não.
> 
> Agradeço qualquer ideia.
> 
> --
> Att.
> __________________________________
> Márcio Elias Hahn do Nascimento
> 
> Araranguá - SC
> Cel:   (55) 48-9661-0233
> msn: marcioeliashahn em hotmail.com
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 

Oi, Marcio,

Chegaste a comparar variáveis com o sysctl, para ver se alguma variável default não mudou,
ou nova variável surgiu?

Rafael Mentz Aquino
LK6 Soluções em TI
Rua Domingos de Almeida, 135 sala 1102
Centro - Novo Hamburgo - RS
(51) 3035-6997 - 9999-7030
www.lk6.com.br



Mais detalhes sobre a lista de discussão freebsd