BSDGuru - Polskie centrum BSD • Zobacz wątek

wtp

Tytuł: Praktyczne IPFW
Autor: Tomasz Król (yautja)
Kontakt: yautja (at) interia.pl
Data publikacji: kwiecień 2004
Link: http://www.bsdguru.org/index.php?f=1040042

wtp

Witam,

Powiem krótko: artykuł jest świetny. Przeczytałem go na spokojnie dopiero po publikacji, więc jako cenzor widzę, że przepuściłem nieco literówek

Zatem, tych którzy zdążyli przeczytać przed ponownym przejrzeniem przepraszam (oraz autora).

I jeszcze mam jedną myśl: yautja, nie zastanaiwałeś się, aby zostać wykładowcą

Pozdrawiam
--
wtp

Yautja

Wykształcenie pedagogiczne robi swoje :wink:

brunorc

Kawał dobrej dokumentacji po polsku. Pogratulować i podziękować.

skaarj

dolaczam sie do podziekowan i gratulacji

pz

wisnia

Właśnie wyłapałem błąd:

Cytuj:

Dla stron WWW oraz poczty (porty: WWW - 80, POP3 - 110, SMTP - 25):

ipfw add queue 3 tcp from 192.168.0.0/24 to any 80,25,110 out xmit xl0
ipfw add queue 4 tcp from any 80,25,110 to 192.168.0.0/24 in recv xl0
ipfw queue 1 config pipe 1 weight 3 queue 8Kbytes mask src-ip 0x000000ff
ipfw queue 2 config pipe 2 weight 3 queue 12Kbytes mask dst-ip 0x000000ff

powinno być chyba:

Cytuj:

ipfw queue 3 config pipe 1 weight 3 queue 8Kbytes mask src-ip 0x000000ff
ipfw queue 4 config pipe 2 weight 3 queue 12Kbytes mask dst-ip 0x000000ff

i poniżej w artykule tak sami z kolejkami 5 oraz 6.

Yautja

Tak - powinno być 3 i 4 oraz dalej 5 i 6. Ktoś z administratorów mogłby to skorygować? Z góry dziękuje.
Aha i jeszcze pod koniec:

Kod:

# --- DNS ---
${fwcmd} add 1010 queue 2 udp from ${siec} to not ${siec} ${dns} out xmit ${oif}${fwcmd} add 1020 skipto 10000 udp from ${siec} to not ${siec} ${dns} out xmit ${oif}
${fwcmd} add 1030 queue 2 tcp from ${siec} to not ${siec} ${dns} out xmit ${oif}${fwcmd} add 1040 skipto 10000 tcp from ${siec} to not ${siec} ${dns} out xmit ${oif}

A powinny być breaki przed ${fwcmd}:

Kod:

# --- DNS ---
${fwcmd} add 1010 queue 2 udp from ${siec} to not ${siec} ${dns} out xmit ${oif}
${fwcmd} add 1020 skipto 10000 udp from ${siec} to not ${siec} ${dns} out xmit ${oif}
${fwcmd} add 1030 queue 2 tcp from ${siec} to not ${siec} ${dns} out xmit ${oif}
${fwcmd} add 1040 skipto 10000 tcp from ${siec} to not ${siec} ${dns} out xmit ${oif}

TheVIANT

mam takie pytanie....
jako opcje do kmpilacji kernela jest podane

options IPFW2

czy to tak ma byc..... czy IPFIREWALL ?

Pytam bo wszedzie w opisach dum. jest IPFIREWALL

Yautja

IPFW2 to nowsza wersja i polecam jej używanie, bo ma ciekawe opcje. Jeśli jesteś konserwatystą możesz dać IPFIREWALL ale część rzeczy z mojego opisu może nie działać (np. iplen).
BTW: dodatkowo przy kompilacji świata trzeba w "make.conf" dodać"IPFW2=true" jeśli chcesz używać IPFW2.

wisnia

Apropoa IPFW2: ta opcja dostępna jest dopiero od 4.9 wzwyż czy można spatchować jądro 4.8-release?

Yautja

Nie pamiętam dokładnie jak to było na 4.8 ale dodanie do "make.conf" "IPFW2=true" i przebudowanie jądra i świata powinno chyba umożliwić korzystanie z IPFW2 (w jądrze IPFIREWALL).

TheVIANT

no cuz mi wiecej pozostalo jak zaimplementowanie tego u siebie.....:]

zobaczymy jak sie sprawi ipfw&dmmy konta gry netowe i zdzieracze :]

Gość

hhmm...to znow ja... mam mały problem....
kiedy chcialem zaaplikowac te reegolke...

.........
.........
ipfw queue 5 config pipe 1 weight 1 delay 250ms queue 4Kbytes mask src-ip 0x000000ff

...wywalilo mi mniej wiecej cos takie ...

ipfw: delay is only for pipe

....moze ktos ma jakąs koncepcje?

FreeBSD 4.9
w jadro wkompilowane co trzeba....
...ipfw2 zaaplikowane...

TheVIANT

powyzej zapomnialem sie zalogowac

Yautja

Mój błąd - delay jest tylko dla rurek a nie dla kolejek - będzie errata i tam będą poprawki...

Praktyczne IPFW

Kto przegląda forum