ipfw versus ipf

Dan Lukes dan at obluda.cz
Wed Jul 3 15:35:37 CEST 2002


Juraj Chlebec wrote:
> A nemohli by ste prosim vas popisat prakticke skusenosti -> konfiguraciu 
> BW u IPFW? Uz som sa tu raz na to pytal. Mam to ponastavovane - bezi to 
> ale sa mi zda ze to nebezi presne podla ocakavania. Rad by som porovnal 
> svoju konfiguraciu z overenymi a funkcnymi nastaveniami...

ipfw pipe 3 config bw 16Kbit/s
ipfw pipe 4 config bw 16Kbit/s

ipfw add pipe 3 ip from jakysi.specialhost to any out xmit de1
ipfw add pipe 4 ip from any to jakysi.specialhost in recv de1

ipfw pipe 1 config bw 330Kbit/s
ipfw add pipe 1 tcp from any to any out xmit de1
ipfw add pipe 1 tcp from any to any in recv de1


	No, cely konfigurak firewallu vam bohuzel neposlu, ale relevantni cast s 
pozmemenymi jmeny stroju, to mohu.

	Vyse uvedene rule omezuji veskery tok z a do vnitrni site z a od stroj 
jakysi.specialhost na 16kbps (pocitano v kazdem smeru zvlast) a veskery 
ostatni traffic omezuji na 330kbps (pocitano v souctu obou smeru).

	Jen pro poradek podotykam - samozrejme pred temito rulemi nesmite mit 
zadne takove, na ktere by nejake typy paketu jiz vyridily (to by se pak 
do omezovacich ruli vubec nedostaly). Podstatnou informaci pri 
sestavovani techto pravidel je, ze routovany paket prochazi firewallem 
dvakrat (na vstupu a na vystupu) - a zrejme ho do omezeni toku nebudete 
chtit zapocitat dvakrat a na to je treba pri psani ruli pamatovat (zde 
to dela "out xmit" a "in recv").

	No a posledni vec - musite si rozmyslet, jestli vstupem do "pipe" pout' 
paketu pravidly firewallu konci, nebo zda po vypadnuti z pipe ma 
pokracovat v pruchodu dalsimi pravidly - a podle toho nastavit prislusne 
sysctl ("one_pass").

							Dan


-- 
Dan Lukes      tel: +420 2 21914205, fax: +420 2 21914206
root  of FIONet,  KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz




More information about the Users-l mailing list