forum.opennet.ru - "ipfw pipe " (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ipfw pipe "

Форум Информационная безопасность (BSD ipfw, ipf, ip-filter / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ipfw pipe "	+/–
Сообщение от guseniza (ok) on 25-Авг-11, 01:42
Уважаемые знатоки и гуру, я знаю что подобная тема не раз обсуждалась и обсасывалась. Но при том, что я перечитал не один десяток статей по данной теме, я все-равно не могу справиться с задачей: Есть сервер FreeBSD 8.2 Использую фаервол ipfw. (не советуйте, пожалуйста другой, т.к. задание организовать именно на этом). Необходимо зажать трафик для локальной сети. В качестве NAT используется ipnat Ядро: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_FORWARD options IPDIVERT options DUMMYNET kldstat Id Refs Address Size Name 1 3 0xc0400000 ac7748 kernel 2 1 0xc4597000 35000 ipl.ko rc.conf gateway_enable="YES" firewall_enable="YES" firewall_script="/etc/ipfw/rc.firewall" ipnat_enable="YES" ipnat_rules="/etc/ipfw/ipnat.conf" rl0 - внешний интерфейс 1.2.3.4 - внешний ип fxp0 - интерфейс, смотрящий в локалку 192.168.0.0/24 -локальная сеть Правила которые прописываю на фаерволе: ${fw} pipe 1 config bw 550Kbit/s queue 100 mask src-ip 0xffffffff ${fw} pipe 2 config bw 500Kbit/s queue 100 mask dst-ip 0xffffffff ${fw} add pipe 1 ip from 192.168.0.0/24 to any via out rl0 # ${fw} add pipe 2 ip from any to 192.168.0.0/24 via in rl0 # можно без via, но результат тот же ${fw} add allow all from any to any via rl0 ${fw} add allow all from any to any via fxp0 Последние 2 правила для теста (чтоб инет был :) ) В общем, при такой конфигурации в локалке интернет есть НО ничем не ужимается. Т.е. могу качать на все 50Мбит/с что выделил провайдер. ipfw show 00100 59343 31668927 allow ip from any to any via rl0 00200 55963 31483504 allow ip from any to any via fxp0 65535 0 0 deny ip from any to any Как видите, нет pipe. ipfw pipe show 00001: 550.000 Kbit/s 0 ms burst 0 q131073 100 sl. 0 flows (1 buckets) sched 65537 weight 0 lmax 0 pri 0 droptail sched 65537 type FIFO flags 0x1 64 buckets 0 active mask: 0x00 0xffffffff/0x0000 -> 0x00000000/0x0000 BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp 00002: 500.000 Kbit/s 0 ms burst 0 q131074 100 sl. 0 flows (1 buckets) sched 65538 weight 0 lmax 0 pri 0 droptail sched 65538 type FIFO flags 0x1 64 buckets 0 active mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000 BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp --------------------------- Далее пробую немного другую конфигурацию: ${fw} pipe 1 config bw 5000Kbit/s queue 100 ${fw} queue 1 config pipe 1 weight 50 queue 100 mask dst-addr 0xffffffff ${fw} queue 11 config pipe 1 weight 50 queue 100 mask src-addr 0xfffffff ${fw} add queue 1 ip from any to 192.168.0.0/24 ${fw} add queue 11 ip from 192.168.0.0/24 to any ${fw} add allow all from any to any via rl0 ${fw} add allow all from any to any via fxp0 ipfw show 00100 59 6968 queue 1 ip from any to 192.168.0.0/24 00200 732 39588 queue 11 ip from 192.168.0.0/24 to any 00300 546 36975 allow ip from any to any via rl0 00400 0 0 allow ip from any to any via fxp0 65535 0 0 deny ip from any to any (На сколько я могу судить все эти правила пропускают пакеты, т.к. количество их меняется) ipfw pipe show - ничего не показывает. Интернет пропадает в локалке. С этого сервера на комп из локалки: ping 192.168.0.1 ping: sendto: No buffer space available (c queue "игрался", но результата нет ) Я знаю, что где-то туплю, но не понимаю где именно. голова уже пухнет, и скорее всего, упускаю какую-то мелочь. И вполне возможно, что чего-то не понимаю. Буду очень благодарен за ответ и разъяснения. На фрю сел только 3 недели назад и поэтому еще салага :)
Ответить \| Правка \| Cообщить модератору

Оглавление

ipfw pipe , mglushak, 10:31 , 25-Авг-11, (1)

ipfw pipe , mglushak, 10:36 , 25-Авг-11, (2)
ipfw pipe , guseniza, 10:45 , 25-Авг-11, (3)

ipfw pipe , guseniza, 11:00 , 25-Авг-11, (4)

ipfw pipe , guseniza, 11:16 , 25-Авг-11, (5)

ipfw pipe , DiJey, 11:58 , 24-Окт-11, (6)

ipfw pipe , guseniza, 14:07 , 25-Окт-11, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "ipfw pipe " +/–

Сообщение от mglushak on 25-Авг-11, 10:31

> Уважаемые знатоки и гуру, я знаю что подобная тема не раз обсуждалась
> и обсасывалась. Но при том, что я перечитал не один десяток
> статей по данной теме, я все-равно не могу справиться с задачей:
${fw} pipe 1 config bw 550Kbit/s queue 100 mask src-ip 0xffffffff
> ${fw} pipe 2 config bw 500Kbit/s queue 100 mask dst-ip 0xffffffff
> ${fw} add  pipe 1 ip from 192.168.0.0/24 to any via out
> rl0 #
> ${fw} add  pipe 2 ip from any to 192.168.0.0/24 via in
> rl0 # можно без via, но результат тот же
================================================================
/sbin/ipfw pipe 1 config bw 550Kbit/s mask dst-ip 0xffffffff
/sbin/ipfw pipe 2 config bw 500Kbit/s mask dst-ip 0xffffffff
/sbin/ipfw add pipe 1 all from any to 192.168.0.0/24 via $in
/sbin/ipfw add pipe 2 all from 192.168.0.0/24 to any via $in
===================================
$in внешний ифейс
и будит тебе счастье

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ipfw pipe " +/–

Сообщение от mglushak on 25-Авг-11, 10:36

>[оверквотинг удален]
>> ${fw} add  pipe 2 ip from any to 192.168.0.0/24 via in
>> rl0 # можно без via, но результат тот же
> ================================================================
> /sbin/ipfw pipe 1 config bw 550Kbit/s mask dst-ip 0xffffffff
> /sbin/ipfw pipe 2 config bw 500Kbit/s mask dst-ip 0xffffffff
> /sbin/ipfw add pipe 1 all from any to 192.168.0.0/24 via $in
> /sbin/ipfw add pipe 2 all from 192.168.0.0/24 to any via $in
> ===================================
> $in внешний ифейс
> и будит тебе счастье
==============================
ой $in внутрений ифейс

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ipfw pipe " +/–

Сообщение от guseniza (ok) on 25-Авг-11, 10:45

>[оверквотинг удален]
>> ${fw} add  pipe 2 ip from any to 192.168.0.0/24 via in
>> rl0 # можно без via, но результат тот же
> ================================================================
> /sbin/ipfw pipe 1 config bw 550Kbit/s mask dst-ip 0xffffffff
> /sbin/ipfw pipe 2 config bw 500Kbit/s mask dst-ip 0xffffffff
> /sbin/ipfw add pipe 1 all from any to 192.168.0.0/24 via $in
> /sbin/ipfw add pipe 2 all from 192.168.0.0/24 to any via $in
> ===================================
> $in внешний ифейс
> и будит тебе счастье
Большое спасибо. Проверю в обед с локальной сети, а пока на сервере прописал и получил:
ipfw pipe show
00001: 550.000 Kbit/s    0 ms burst 0
q131073  50 sl. 0 flows (1 buckets) sched 65537 weight 0 lmax 0 pri 0 droptail
sched 65537 type FIFO flags 0x1 64 buckets 0 active
    mask:  0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
00002: 500.000 Kbit/s    0 ms burst 0
q131074  50 sl. 0 flows (1 buckets) sched 65538 weight 0 lmax 0 pri 0 droptail
sched 65538 type FIFO flags 0x1 64 buckets 4 active
    mask:  0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  2 ip           0.0.0.0/0      80.243.157.229/0        1       52  0    0   0
138 ip           0.0.0.0/0          2.60.2.242/0        1       52  0    0   0
24 ip           0.0.0.0/0             8.8.8.8/0        1       61  0    0   0
153 ip           0.0.0.0/0        93.80.235.56/0        1       52  0    0   0
Большое спасибо:))))

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "ipfw pipe " +/–

Сообщение от guseniza (ok) on 25-Авг-11, 11:00

Произошло для меня не совсем понятное...
при вкючении pipe я по TeamViewer перестаю видеть компы из локалки. выключаю - спокойно захожу... Есть ли у кого мысли?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "ipfw pipe " +/–

Сообщение от guseniza (ok) on 25-Авг-11, 11:16

> Произошло для меня не совсем понятное...
> при вкючении pipe я по TeamViewer перестаю видеть компы из локалки. выключаю
> - спокойно захожу... Есть ли у кого мысли?
Все заработало. Спасибо за помощь :)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "ipfw pipe " +/–

Сообщение от DiJey (ok) on 24-Окт-11, 11:58

> Все заработало. Спасибо за помощь :)
что сделал то та же проблема, только не заработало

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "ipfw pipe " +/–

Сообщение от guseniza (ok) on 25-Окт-11, 14:07

>> Все заработало. Спасибо за помощь :)
> что сделал то та же проблема, только не заработало
net.inet.ip.fw.one_pass - логическая переменная. При ее установки в 0 пакет, выходящий из dummynet, продолжит свое путешествие по правилам firewall. В противном случае pipe действует, как allow. Значение по умолчанию - 1
у меня сейчас:
sysctl -a | grep one_pass
net.inet.ip.fw.one_pass: 0
Поробуйте так.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw pipe "	+/–
Сообщение от mglushak on 25-Авг-11, 10:31
> Уважаемые знатоки и гуру, я знаю что подобная тема не раз обсуждалась > и обсасывалась. Но при том, что я перечитал не один десяток > статей по данной теме, я все-равно не могу справиться с задачей: ${fw} pipe 1 config bw 550Kbit/s queue 100 mask src-ip 0xffffffff > ${fw} pipe 2 config bw 500Kbit/s queue 100 mask dst-ip 0xffffffff > ${fw} add pipe 1 ip from 192.168.0.0/24 to any via out > rl0 # > ${fw} add pipe 2 ip from any to 192.168.0.0/24 via in > rl0 # можно без via, но результат тот же ================================================================ /sbin/ipfw pipe 1 config bw 550Kbit/s mask dst-ip 0xffffffff /sbin/ipfw pipe 2 config bw 500Kbit/s mask dst-ip 0xffffffff /sbin/ipfw add pipe 1 all from any to 192.168.0.0/24 via $in /sbin/ipfw add pipe 2 all from 192.168.0.0/24 to any via $in =================================== $in внешний ифейс и будит тебе счастье
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "ipfw pipe "	+/–
	Сообщение от mglushak on 25-Авг-11, 10:36
	>[оверквотинг удален] >> ${fw} add pipe 2 ip from any to 192.168.0.0/24 via in >> rl0 # можно без via, но результат тот же > ================================================================ > /sbin/ipfw pipe 1 config bw 550Kbit/s mask dst-ip 0xffffffff > /sbin/ipfw pipe 2 config bw 500Kbit/s mask dst-ip 0xffffffff > /sbin/ipfw add pipe 1 all from any to 192.168.0.0/24 via $in > /sbin/ipfw add pipe 2 all from 192.168.0.0/24 to any via $in > =================================== > $in внешний ифейс > и будит тебе счастье ============================== ой $in внутрений ифейс
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "ipfw pipe "	+/–
	Сообщение от guseniza (ok) on 25-Авг-11, 10:45
	>[оверквотинг удален] >> ${fw} add pipe 2 ip from any to 192.168.0.0/24 via in >> rl0 # можно без via, но результат тот же > ================================================================ > /sbin/ipfw pipe 1 config bw 550Kbit/s mask dst-ip 0xffffffff > /sbin/ipfw pipe 2 config bw 500Kbit/s mask dst-ip 0xffffffff > /sbin/ipfw add pipe 1 all from any to 192.168.0.0/24 via $in > /sbin/ipfw add pipe 2 all from 192.168.0.0/24 to any via $in > =================================== > $in внешний ифейс > и будит тебе счастье Большое спасибо. Проверю в обед с локальной сети, а пока на сервере прописал и получил: ipfw pipe show 00001: 550.000 Kbit/s 0 ms burst 0 q131073 50 sl. 0 flows (1 buckets) sched 65537 weight 0 lmax 0 pri 0 droptail sched 65537 type FIFO flags 0x1 64 buckets 0 active mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000 BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp 00002: 500.000 Kbit/s 0 ms burst 0 q131074 50 sl. 0 flows (1 buckets) sched 65538 weight 0 lmax 0 pri 0 droptail sched 65538 type FIFO flags 0x1 64 buckets 4 active mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000 BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp 2 ip 0.0.0.0/0 80.243.157.229/0 1 52 0 0 0 138 ip 0.0.0.0/0 2.60.2.242/0 1 52 0 0 0 24 ip 0.0.0.0/0 8.8.8.8/0 1 61 0 0 0 153 ip 0.0.0.0/0 93.80.235.56/0 1 52 0 0 0 Большое спасибо:))))
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	4. "ipfw pipe "	+/–
	Сообщение от guseniza (ok) on 25-Авг-11, 11:00
	Произошло для меня не совсем понятное... при вкючении pipe я по TeamViewer перестаю видеть компы из локалки. выключаю - спокойно захожу... Есть ли у кого мысли?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "ipfw pipe "	+/–
	Сообщение от guseniza (ok) on 25-Авг-11, 11:16
	> Произошло для меня не совсем понятное... > при вкючении pipe я по TeamViewer перестаю видеть компы из локалки. выключаю > - спокойно захожу... Есть ли у кого мысли? Все заработало. Спасибо за помощь :)
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "ipfw pipe "	+/–
	Сообщение от DiJey (ok) on 24-Окт-11, 11:58
	> Все заработало. Спасибо за помощь :) что сделал то та же проблема, только не заработало
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "ipfw pipe "	+/–
	Сообщение от guseniza (ok) on 25-Окт-11, 14:07
	>> Все заработало. Спасибо за помощь :) > что сделал то та же проблема, только не заработало net.inet.ip.fw.one_pass - логическая переменная. При ее установки в 0 пакет, выходящий из dummynet, продолжит свое путешествие по правилам firewall. В противном случае pipe действует, как allow. Значение по умолчанию - 1 у меня сейчас: sysctl -a \| grep one_pass net.inet.ip.fw.one_pass: 0 Поробуйте так.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору