ipfw/dummynet - FreeBSD 8.3

[Dan Lukes]

On 06/25/12 12:18, Lubomir Majersky:
> Rozbor/popis za pravidlami

Zadne konkretni rady. Nevim zadnych problemech (na vlastnich strojich, 
nebo ze bych o tom slysel od nekoho jineho).

Ktera pravidla se realne pouzivaji se da zjistit pomoci counteru, ktere 
jsou s kazdym pravidlem spjaty.

Takze ja bych zacal kontrolou, zda konkretni problematicke toky tecou 
pres ta pravidla, pres ktera ocekavas.

> ... out via ${pubif}

Jen na okraj - tenhle konstrukt podle vseho pouzivas pro "pakety 
odchazejici ven". Pak by to ale melo byt 'out xmit ${pubif}'

Tak jak to mas se to uplatni i na pakety ktere prisly pres ${pubif} 
(tedy "z venku") a konci vevnitr na jinem interface.

Sice to vypada, ze momentalen tam takovou situaci nemas, ale az jednou 
zacnes nejakej vnejsi port forwardovat dovnitr, tak si na to urcite 
nevzpomenes ...

> No a na zaver este spomeniem rury 50 a 60, ktore vnimam ako PODRURY RURY
> 40. Myslim, ze su spravne zadefinovane, ale nie som si isty pravidlami
> 1030 a 1040, pretoze by som mal na na jednej strane napajat rury na
> fronty a ja napajam ruru na ruru, ale zasa na druhej strane su rury 50 a
> 60 podrurami rury 40.

Takze z pravidel:

> ${fwcmd} add 1030 pipe 50 tcp from any to any 25,465 out via ${pubif}
> ${fwcmd} add 1040 pipe 60 tcp from any to not X.X.X.163 20,49152-65535 out via ${pubif}
> ${fwcmd} add 1050 queue 40 ip from 192.168.1.0/24 to not X.X.X.163 out via ${pubif}

se pro kazdy konkretni paket uplatni jen jedno. Pomineme-li uz shora 
zminenou moznost, ze se pravidlo uplatni i pro pakety prichazejici pred 
${pubif} a to v okamziku, kdy odchazeji dal pres nejaky jiny interface, 
uplatnuji se vsechna pravidla pri prechodu paketu z kernelu do 
vystupniho interface ${pubif}, uplatni se jen jedno, a to to, ktere 
prvni splni podminku protokolu, zdrojove a cilove IP adresy.

Dan