ipfw versus ipf
Dan Lukes
dan at obluda.cz
Wed Jul 3 15:35:37 CEST 2002
Juraj Chlebec wrote:
> A nemohli by ste prosim vas popisat prakticke skusenosti -> konfiguraciu
> BW u IPFW? Uz som sa tu raz na to pytal. Mam to ponastavovane - bezi to
> ale sa mi zda ze to nebezi presne podla ocakavania. Rad by som porovnal
> svoju konfiguraciu z overenymi a funkcnymi nastaveniami...
ipfw pipe 3 config bw 16Kbit/s
ipfw pipe 4 config bw 16Kbit/s
ipfw add pipe 3 ip from jakysi.specialhost to any out xmit de1
ipfw add pipe 4 ip from any to jakysi.specialhost in recv de1
ipfw pipe 1 config bw 330Kbit/s
ipfw add pipe 1 tcp from any to any out xmit de1
ipfw add pipe 1 tcp from any to any in recv de1
No, cely konfigurak firewallu vam bohuzel neposlu, ale relevantni cast s
pozmemenymi jmeny stroju, to mohu.
Vyse uvedene rule omezuji veskery tok z a do vnitrni site z a od stroj
jakysi.specialhost na 16kbps (pocitano v kazdem smeru zvlast) a veskery
ostatni traffic omezuji na 330kbps (pocitano v souctu obou smeru).
Jen pro poradek podotykam - samozrejme pred temito rulemi nesmite mit
zadne takove, na ktere by nejake typy paketu jiz vyridily (to by se pak
do omezovacich ruli vubec nedostaly). Podstatnou informaci pri
sestavovani techto pravidel je, ze routovany paket prochazi firewallem
dvakrat (na vstupu a na vystupu) - a zrejme ho do omezeni toku nebudete
chtit zapocitat dvakrat a na to je treba pri psani ruli pamatovat (zde
to dela "out xmit" a "in recv").
No a posledni vec - musite si rozmyslet, jestli vstupem do "pipe" pout'
paketu pravidly firewallu konci, nebo zda po vypadnuti z pipe ma
pokracovat v pruchodu dalsimi pravidly - a podle toho nastavit prislusne
sysctl ("one_pass").
Dan
--
Dan Lukes tel: +420 2 21914205, fax: +420 2 21914206
root of FIONet, KolejNET, webmaster of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list