freebsd a traffic shaper + zaklady IPFW s NATom pre zacinajucich

Roman Slezák roman.slezak at slovanet.net
Thu Mar 11 15:07:48 CET 2004


neviem kto zacal tuto tematiku ale po vela reciach som sa ajtak nic nedozvedel a preto prikladam tieto dva odkazy.
nechem zacinat flamewar ale ipfw sa mi zda lepsie z hladiska prehladnosti a jednoduchosti a pretoze ak zakaze daco "prve" pravidlo tak uz tie za nim nemaju vyznam, co my vlastne potrebujeme.

tu ohldaom toho sejpra
http://info.iet.unipi.it/~luigi/ip_dummynet/

alebo o priorite paketov prechadzajucich cez ipfw
http://lists.freebsd.org/pipermail/freebsd-ipfw/2003-November/000669.html



pre tych co sa rozhodnu pre zacatie s IPFW je nasledujucich par riadkov + 2x odkaz hore


pre jasnost prikladam moje nastavenia z kernelu.

options         IPFIREWALL              #firewall
options         IPFIREWALL_VERBOSE      #enable logging to syslogd(8)
options         IPFIREWALL_FORWARD      #enable transparent proxy support
options         IPFIREWALL_VERBOSE_LIMIT=100    #limit verbosity
#options         IPFIREWALL_DEFAULT_TO_ACCEPT    #allow everything by
default
options         IPDIVERT                #divert sockets
options         DUMMYNET
options         BRIDGE


#IPFIREWALL_DEFAULT_TO_ACCEPT  ---  toto je dolezite nedavat tam aby sa
nestalo ze budete mat vo firewalle dake pravidlo ktore "nechcete" lebo vy si
budete vytvarat nanovo co vlastne chcete.
---------------

toto z rc.conf

gateway_enable="YES"
firewall_enable="YES"
#firewall_type="OPEN"
firewall_script="/etc/firewall"
natd_enable="YES"
natd_interface="vas externy interface"
natd_flags=""
log_in_vain="YES" #toto doporucujem mat v rc.conf aby debugoval stroj trosku
viac ale nie koli ipfw

----------------------
toto je NAT z /etc/firewall

ipfw add (cislo) divert natd all from any to any via (vonkajsia sietovka rl0,ed0,wi0, bla bla)   #bez tohoto NAT nepobezi

#podotykam ze cisla je dobre davat po 100 aby sme pri neskorsom vsuvani dalsieho pravidla nemuseli posuvat cely strom
#TU MUSITE pridavat pravidla s cislom napr.

ipfw add 100 pass all from any to any via lo0
ipfw add 200 deny all from any to 127.0.0.0/8
#bla bla
ipfw add 500 pass tcp from any to any 80 setup
#POZOR! vsetko sme hore zakazali takze musime povolit sluby ktore mame.25,110,80,22,bla bla
#man ipfw je tak kraaaaaaaasne napisany :)))
#neni to tak jednoduche ako to vyzera pretoze je vsetko deny a my musime pustit aj DNS reqesty naspet....
#samozrejme pre istotu toto na konci
ipfw add 50000 deny log ip from any to any via (ext. interface)



------------------------
moj subor firewall neprikladam lebo je asi na dve A4ky. haha
dalej treba spravit chmod +x firewall aby ste lahsie nahadzovali pravidla po
prikaze ipfw flush.  napisete len ./firewall
pravidla sa prezeraju prikazom ipfw list



necitam casto tuto konferenciu preto prichadza moj prispevok trosku neskorej...

poprosim nekomentovat moj prispevok pokym sa nejedna o zavaznu vec....

popripade mozem napisat dokument ako nainstalovat freebsd s vytunenym kernelom,IPFW.... nakolko sa freebsd venujem uz nejaky ten rok ;-)
na 51% bude ten dokument na skippy.host.sk koncom buduceho tyzdna



Roman Slezak



More information about the Users-l mailing list