freebsd a traffic shaper + zaklady IPFW s NATom pre zacinajucich
Roman Slezák
roman.slezak at slovanet.net
Thu Mar 11 15:07:48 CET 2004
neviem kto zacal tuto tematiku ale po vela reciach som sa ajtak nic nedozvedel a preto prikladam tieto dva odkazy.
nechem zacinat flamewar ale ipfw sa mi zda lepsie z hladiska prehladnosti a jednoduchosti a pretoze ak zakaze daco "prve" pravidlo tak uz tie za nim nemaju vyznam, co my vlastne potrebujeme.
tu ohldaom toho sejpra
http://info.iet.unipi.it/~luigi/ip_dummynet/
alebo o priorite paketov prechadzajucich cez ipfw
http://lists.freebsd.org/pipermail/freebsd-ipfw/2003-November/000669.html
pre tych co sa rozhodnu pre zacatie s IPFW je nasledujucich par riadkov + 2x odkaz hore
pre jasnost prikladam moje nastavenia z kernelu.
options IPFIREWALL #firewall
options IPFIREWALL_VERBOSE #enable logging to syslogd(8)
options IPFIREWALL_FORWARD #enable transparent proxy support
options IPFIREWALL_VERBOSE_LIMIT=100 #limit verbosity
#options IPFIREWALL_DEFAULT_TO_ACCEPT #allow everything by
default
options IPDIVERT #divert sockets
options DUMMYNET
options BRIDGE
#IPFIREWALL_DEFAULT_TO_ACCEPT --- toto je dolezite nedavat tam aby sa
nestalo ze budete mat vo firewalle dake pravidlo ktore "nechcete" lebo vy si
budete vytvarat nanovo co vlastne chcete.
---------------
toto z rc.conf
gateway_enable="YES"
firewall_enable="YES"
#firewall_type="OPEN"
firewall_script="/etc/firewall"
natd_enable="YES"
natd_interface="vas externy interface"
natd_flags=""
log_in_vain="YES" #toto doporucujem mat v rc.conf aby debugoval stroj trosku
viac ale nie koli ipfw
----------------------
toto je NAT z /etc/firewall
ipfw add (cislo) divert natd all from any to any via (vonkajsia sietovka rl0,ed0,wi0, bla bla) #bez tohoto NAT nepobezi
#podotykam ze cisla je dobre davat po 100 aby sme pri neskorsom vsuvani dalsieho pravidla nemuseli posuvat cely strom
#TU MUSITE pridavat pravidla s cislom napr.
ipfw add 100 pass all from any to any via lo0
ipfw add 200 deny all from any to 127.0.0.0/8
#bla bla
ipfw add 500 pass tcp from any to any 80 setup
#POZOR! vsetko sme hore zakazali takze musime povolit sluby ktore mame.25,110,80,22,bla bla
#man ipfw je tak kraaaaaaaasne napisany :)))
#neni to tak jednoduche ako to vyzera pretoze je vsetko deny a my musime pustit aj DNS reqesty naspet....
#samozrejme pre istotu toto na konci
ipfw add 50000 deny log ip from any to any via (ext. interface)
------------------------
moj subor firewall neprikladam lebo je asi na dve A4ky. haha
dalej treba spravit chmod +x firewall aby ste lahsie nahadzovali pravidla po
prikaze ipfw flush. napisete len ./firewall
pravidla sa prezeraju prikazom ipfw list
necitam casto tuto konferenciu preto prichadza moj prispevok trosku neskorej...
poprosim nekomentovat moj prispevok pokym sa nejedna o zavaznu vec....
popripade mozem napisat dokument ako nainstalovat freebsd s vytunenym kernelom,IPFW.... nakolko sa freebsd venujem uz nejaky ten rok ;-)
na 51% bude ten dokument na skippy.host.sk koncom buduceho tyzdna
Roman Slezak
More information about the Users-l
mailing list