freebsd a traffic shaper + zaklady IPFW s NATom pre zacinajucich
Michal Kapalka
kapalka at mfn.sk
Thu Mar 11 15:33:22 CET 2004
skippy nazdar sam pouzivam IPFW ale tak isto PF sa da nastavit ze
skonci na prvom pravidle :)
Michal Kapalka
RS> neviem kto zacal tuto tematiku ale po vela reciach som sa
RS> ajtak nic nedozvedel a preto prikladam tieto dva odkazy.
RS> nechem zacinat flamewar ale ipfw sa mi zda lepsie z hladiska
RS> prehladnosti a jednoduchosti a pretoze ak zakaze daco "prve"
RS> pravidlo tak uz tie za nim nemaju vyznam, co my vlastne
RS> potrebujeme.
RS> tu ohldaom toho sejpra
RS> http://info.iet.unipi.it/~luigi/ip_dummynet/
RS> alebo o priorite paketov prechadzajucich cez ipfw
RS> http://lists.freebsd.org/pipermail/freebsd-ipfw/2003-November/000669.html
RS> pre tych co sa rozhodnu pre zacatie s IPFW je nasledujucich par riadkov + 2x odkaz hore
RS> pre jasnost prikladam moje nastavenia z kernelu.
RS> options IPFIREWALL #firewall
RS> options IPFIREWALL_VERBOSE #enable logging to syslogd(8)
RS> options IPFIREWALL_FORWARD #enable transparent proxy support
RS> options IPFIREWALL_VERBOSE_LIMIT=100 #limit verbosity
RS> #options IPFIREWALL_DEFAULT_TO_ACCEPT #allow everything by
RS> default
RS> options IPDIVERT #divert sockets
RS> options DUMMYNET
RS> options BRIDGE
RS> #IPFIREWALL_DEFAULT_TO_ACCEPT --- toto je dolezite nedavat tam aby sa
RS> nestalo ze budete mat vo firewalle dake pravidlo ktore "nechcete" lebo vy si
RS> budete vytvarat nanovo co vlastne chcete.
RS> ---------------
RS> toto z rc.conf
RS> gateway_enable="YES"
RS> firewall_enable="YES"
RS> #firewall_type="OPEN"
RS> firewall_script="/etc/firewall"
RS> natd_enable="YES"
RS> natd_interface="vas externy interface"
RS> natd_flags=""
RS> log_in_vain="YES" #toto doporucujem mat v rc.conf aby debugoval stroj trosku
RS> viac ale nie koli ipfw
RS> ----------------------
RS> toto je NAT z /etc/firewall
RS> ipfw add (cislo) divert natd all from any to any via
RS> (vonkajsia sietovka rl0,ed0,wi0, bla bla) #bez tohoto NAT
RS> nepobezi
RS> #podotykam ze cisla je dobre davat po 100 aby sme pri
RS> neskorsom vsuvani dalsieho pravidla nemuseli posuvat cely strom
RS> #TU MUSITE pridavat pravidla s cislom napr.
RS> ipfw add 100 pass all from any to any via lo0
RS> ipfw add 200 deny all from any to 127.0.0.0/8
RS> #bla bla
RS> ipfw add 500 pass tcp from any to any 80 setup
RS> #POZOR! vsetko sme hore zakazali takze musime povolit sluby
RS> ktore mame.25,110,80,22,bla bla
RS> #man ipfw je tak kraaaaaaaasne napisany :)))
RS> #neni to tak jednoduche ako to vyzera pretoze je vsetko deny
RS> a my musime pustit aj DNS reqesty naspet....
RS> #samozrejme pre istotu toto na konci
RS> ipfw add 50000 deny log ip from any to any via (ext. interface)
RS> ------------------------
RS> moj subor firewall neprikladam lebo je asi na dve A4ky. haha
RS> dalej treba spravit chmod +x firewall aby ste lahsie nahadzovali pravidla po
RS> prikaze ipfw flush. napisete len ./firewall
RS> pravidla sa prezeraju prikazom ipfw list
RS> necitam casto tuto konferenciu preto prichadza moj prispevok trosku neskorej...
RS> poprosim nekomentovat moj prispevok pokym sa nejedna o zavaznu vec....
RS> popripade mozem napisat dokument ako nainstalovat freebsd s
RS> vytunenym kernelom,IPFW.... nakolko sa freebsd venujem uz nejaky
RS> ten rok ;-)
RS> na 51% bude ten dokument na skippy.host.sk koncom buduceho tyzdna
RS> Roman Slezak
RS> --
RS> FreeBSD mailing list (users-l at freebsd.cz)
RS> http://www.freebsd.cz/listserv/listinfo/users-l
--
Best regards,
Michal mailto:kapalka at mfn.sk
More information about the Users-l
mailing list