freebsd a traffic shaper + zaklady IPFW s NATom pre zacinajucich

[Michal Kapalka]

skippy nazdar sam pouzivam IPFW ale tak isto PF sa da nastavit ze
skonci na prvom pravidle :)

Michal Kapalka


RS> neviem kto zacal tuto tematiku ale po vela reciach som sa
RS> ajtak nic nedozvedel a preto prikladam tieto dva odkazy.
RS> nechem zacinat flamewar ale ipfw sa mi zda lepsie z hladiska
RS> prehladnosti a jednoduchosti a pretoze ak zakaze daco "prve"
RS> pravidlo tak uz tie za nim nemaju vyznam, co my vlastne
RS> potrebujeme.

RS> tu ohldaom toho sejpra
RS> http://info.iet.unipi.it/~luigi/ip_dummynet/

RS> alebo o priorite paketov prechadzajucich cez ipfw
RS> http://lists.freebsd.org/pipermail/freebsd-ipfw/2003-November/000669.html



RS> pre tych co sa rozhodnu pre zacatie s IPFW je nasledujucich par riadkov + 2x odkaz hore


RS> pre jasnost prikladam moje nastavenia z kernelu.

RS> options         IPFIREWALL              #firewall
RS> options         IPFIREWALL_VERBOSE      #enable logging to syslogd(8)
RS> options         IPFIREWALL_FORWARD      #enable transparent proxy support
RS> options         IPFIREWALL_VERBOSE_LIMIT=100    #limit verbosity
RS> #options         IPFIREWALL_DEFAULT_TO_ACCEPT    #allow everything by
RS> default
RS> options         IPDIVERT                #divert sockets
RS> options         DUMMYNET
RS> options         BRIDGE


RS> #IPFIREWALL_DEFAULT_TO_ACCEPT  ---  toto je dolezite nedavat tam aby sa
RS> nestalo ze budete mat vo firewalle dake pravidlo ktore "nechcete" lebo vy si
RS> budete vytvarat nanovo co vlastne chcete.
RS> ---------------

RS> toto z rc.conf

RS> gateway_enable="YES"
RS> firewall_enable="YES"
RS> #firewall_type="OPEN"
RS> firewall_script="/etc/firewall"
RS> natd_enable="YES"
RS> natd_interface="vas externy interface"
RS> natd_flags=""
RS> log_in_vain="YES" #toto doporucujem mat v rc.conf aby debugoval stroj trosku
RS> viac ale nie koli ipfw

RS> ----------------------
RS> toto je NAT z /etc/firewall

RS> ipfw add (cislo) divert natd all from any to any via
RS> (vonkajsia sietovka rl0,ed0,wi0, bla bla)   #bez tohoto NAT
RS> nepobezi

RS> #podotykam ze cisla je dobre davat po 100 aby sme pri
RS> neskorsom vsuvani dalsieho pravidla nemuseli posuvat cely strom
RS> #TU MUSITE pridavat pravidla s cislom napr.

RS> ipfw add 100 pass all from any to any via lo0
RS> ipfw add 200 deny all from any to 127.0.0.0/8
RS> #bla bla
RS> ipfw add 500 pass tcp from any to any 80 setup
RS> #POZOR! vsetko sme hore zakazali takze musime povolit sluby
RS> ktore mame.25,110,80,22,bla bla
RS> #man ipfw je tak kraaaaaaaasne napisany :)))
RS> #neni to tak jednoduche ako to vyzera pretoze je vsetko deny
RS> a my musime pustit aj DNS reqesty naspet....
RS> #samozrejme pre istotu toto na konci
RS> ipfw add 50000 deny log ip from any to any via (ext. interface)



RS> ------------------------
RS> moj subor firewall neprikladam lebo je asi na dve A4ky. haha
RS> dalej treba spravit chmod +x firewall aby ste lahsie nahadzovali pravidla po
RS> prikaze ipfw flush.  napisete len ./firewall
RS> pravidla sa prezeraju prikazom ipfw list



RS> necitam casto tuto konferenciu preto prichadza moj prispevok trosku neskorej...

RS> poprosim nekomentovat moj prispevok pokym sa nejedna o zavaznu vec....

RS> popripade mozem napisat dokument ako nainstalovat freebsd s
RS> vytunenym kernelom,IPFW.... nakolko sa freebsd venujem uz nejaky
RS> ten rok ;-)
RS> na 51% bude ten dokument na skippy.host.sk koncom buduceho tyzdna



RS> Roman Slezak
RS> --
RS> FreeBSD mailing list (users-l at freebsd.cz)
RS> http://www.freebsd.cz/listserv/listinfo/users-l



-- 
Best regards,
 Michal                            mailto:kapalka at mfn.sk