[FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address

Márcio Elias marcioelias em gmail.com
Segunda Fevereiro 10 17:05:19 BRST 2014


2014-02-10 17:04 GMT-02:00 Márcio Elias <marcioelias em gmail.com>:

>  Cara, as únicas variáveis que alterei foi:
>
> net.link.ether.ipfw=1 ##habilitar checagens L2
>
> net.link.ether.ipfw=1 ##habilita o roteamento
>
> Mais nada, não cheguei a notar alguma variável nova na versão 10 para isso...
>
> Ainda não consegui fazer funcionar.
>
>
> --
> Att.
> __________________________________
> Márcio Elias Hahn do Nascimento
>
> Araranguá - SC
> Cel:   (55) 48-9661-0233
> msn: marcioeliashahn em hotmail.com
>
>
> 2014-02-10 13:50 GMT-02:00 Rafael Aquino <rafael em lk6.com.br>:
>
>
>> ----- Mensagem original -----
>> > De: "Márcio Elias" <marcioelias em gmail.com>
>> > Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" <
>> freebsd em fug.com.br>
>> > Enviadas: Segunda-feira, 10 de fevereiro de 2014 12:04:24
>> > Assunto: [FUG-BR]  FreeBSD 10-RELEASE + IPFW + MAC Address
>> >
>> > Bom dia pessoal da lista,
>> >
>> > eu tenho diversos servidores FreeBSD rodando (versões 8.x e 9.x) como
>> > routers para subredes de meus clientes (trabalho em um ISP).
>> >
>> > Pois bem, agora com o lançamento do FreeBSD 10 e seus aperfeiçoamentos
>> para
>> > virtualização estou virtualizando meus servidores, mais estou tento um
>> > problema que não tinha nas versões anteriores do Free.
>> >
>> > Basicamente eu controlo o acesso de meus clientes por MAC, com IPs
>> fixados
>> > no DHCP e jogo cada cliente em um pipe para Upload e outro para
>> Download.
>> >
>> > Cada servidor tem 2 interfaces de rede e estou utilizando o Natd
>> (divert,
>> > ainda não tentei o IPFIREWALL_NAT).
>> >
>> > Abaixo seguem as regras (mínimo para facilitar o entendimento) para um
>> > cliente, que funcionavam em versoes anteriores e não estão funcionando
>> na
>> > versão 10.
>> >
>> > ipfw add 50 divert natd ip from any to me in recv ${natd_interface}
>> > ipfw add 50 divert natd ip from 192.168.0.0/16 to any out xmit
>> > ${natd_interface}
>> > ipfw add 1000 pipe 150 ip from any to 192.168.5.18 MAC
>> XX:XX:XX:XX:XX:XX any
>> > ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC any
>> XX:XX:XX:XX:XX:XX
>> > ipfw add 65535 allow ip from any to any
>> >
>> > os pipes:
>> >
>> > 00155:   1.000 Mbit/s    0 ms burst 0
>> > q131227  50 sl. 0 flows (1 buckets) sched 65691 weight 0 lmax 0 pri 0
>> > droptail
>> >  sched 65691 type FIFO flags 0x0 0 buckets 0 active
>> >
>> > 00150:   4.000 Mbit/s    0 ms burst 0
>> > q131222  50 sl. 0 flows (1 buckets) sched 65686 weight 0 lmax 0 pri 0
>> > droptail
>> >  sched 65686 type FIFO flags 0x0 0 buckets 0 active
>> >
>> > dentro do dhcpd.conf tenho essa configuração para este cliente:
>> >
>> > host 1570 {  hardware ethernet XX:XX:XX:XX:XX:XX;   fixed-address
>> > 192.168.5.18;   }
>> >
>> > O cliente pega o IP esperado, vejo tráfego normal em todas as regras,
>> mais
>> > um tráfego muito baixo na regra 1010, consigo pingar pra qq lugar, (pq
>> não
>> > estou colocando ICMP nas regras de restrição) mais não consigo ter
>> > navegação no cliente.
>> >
>> > Se eu deixo tudo como está e retiro a regra 1010, a navegação ocorre
>> > normalmente, o único problema é que o upload não estará restrito ao mac
>> > address do cliente.
>> >
>> > Alguém pode me dar alguma ideia de o que pode estar acontecendo? Sabem
>> se
>> > teve alguma alteração no IPFW ou no Free na versão 10 que alterou esse
>> > comportamento?
>> >
>> > O estranho é que a mesma regra de firewall para tráfego de fora para o
>> > cliente funciona, mais do cliente pra fora não.
>> >
>> > Agradeço qualquer ideia.
>> >
>> > --
>> > Att.
>> > __________________________________
>> > Márcio Elias Hahn do Nascimento
>> >
>> > Araranguá - SC
>> > Cel:   (55) 48-9661-0233
>> > msn: marcioeliashahn em hotmail.com
>> > -------------------------
>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >
>>
>> Oi, Marcio,
>>
>> Chegaste a comparar variáveis com o sysctl, para ver se alguma variável
>> default não mudou,
>> ou nova variável surgiu?
>>
>> Rafael Mentz Aquino
>> LK6 Soluções em TI
>> Rua Domingos de Almeida, 135 sala 1102
>> Centro - Novo Hamburgo - RS
>> (51) 3035-6997 - 9999-7030
>> www.lk6.com.br
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>

Desculpem o top posting, usando gmail... :(

-- 
Att.
__________________________________
Márcio Elias Hahn do Nascimento
Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliashahn em hotmail.com


Mais detalhes sobre a lista de discussão freebsd