Intereting Posts
Как создать и выполнить скрипт bash, который вызывает исполняемый файл из более высокой папки? Есть ли основной учебник для grep, awk и sed? Проблема с скриптом с пробелами в имени файла Заменить строку, содержащую символы новой строки Как восстановить случайно удаленный файл базовой системы FreeBSD? Как я могу выполнить «yum upgrade» на автономном сервере CentOS7? Есть ли обходной путь разрешения sudo? Динамическое изменение обоев на CentOS 6.3 Можно ли удаленно отменить запланированное отключение при наличии / run / nologin? Почему терминал автоматически вводит мою команду после вставки текста? Как я могу определить, какой из моих портов я скомпилировал и который я установил из предварительно скомпилированных бинарных пакетов? Как увеличить общий размер шрифта в GnuCash на Linux Mint? повторно подключиться к отключенному сеансу шпаклеры или подключиться к сеансу бездействия в Linux Как правильно создать изображение докеры cron? Длина и сложность пароля

ipfw: Формирование трафика

Я не уверен, что, но кажется, что я делаю что-то не так … моя цель – ограничить часть моего трафика, а точнее трафик www. Один из моих клиентов работает под управлением так называемого веб-прокси, где конечный пользователь может просматривать любые веб-страницы через свой сайт, если кто-то заинтересован посмотреть:

http://www.thespacesurf.com/

Итак, вот мой файл /etc/ipfw.rules за которым следует ipfw show и ipfw pipe show :

 промывать
 промывка труб
 pipe 1 config bw 1Mbit / s mask src-port www
 pipe 2 config bw 1Mbit / s mask src-port www
 добавить 100 разрешить ip от любого к любому через lo0
 добавьте 200 deny ip от любого до 127.0.0.0/8
 добавьте 300 deny ip от 127.0.0.0/8 к любому
 добавить 8381 pipe 1 tcp от любого к любому dst-порту www uid daemon
 добавить 8382 pipe 2 tcp из любого в любой src-port www uid daemon
 Добавить 8025 разрешить tcp от любого к любому dst-порту smtp
 Добавить 8110 разрешить tcp от любого к любому dst-порту pop3
 add 8143 разрешить tcp от любого к любому dst-порту imap
 add 8993 разрешить tcp от любого к любому dst-порту imaps
 Добавить 8995 разрешить tcp от любого к любому dst-порту pop3s
 добавить 65000 пройти все от любого до любого

 su-3.2 # ipfw show
 00100 85839853 23452504269 разрешает ip от любого до любого через lo0
 00200 0 0 deny ip от любого до 127.0.0.0/8
 00300 0 0 deny ip от 127.0.0.0/8 до любого
 08025 8835622 3440233341 разрешить tcp от любого к любому dst-порту 25
 08110 748762 44303607 разрешить tcp от любого к любому dst-порту 110
 08143 443916 26822178 разрешить tcp от любого к любому dst-порту 143
 08381 139901701 10870804903 труба 1 tcp от любого до любого dst-порта 80 uid daemon
 08382 181159216 209004032651 труба 2 tcp от любого 80 до любого uid daemon
 08993 2621221 332143828 разрешить tcp от любого к любому dst-порту 993
 08995 880748 87973919 разрешить tcp от любого к любому dst-порту 995
 65000 323132905 187469722830 Позволяет ip от любого до любого
 65535 0 0 deny ip от любого к любому
 su-3.2 # ipfw pipe show
 00001: 1.000 Мбит / с 0 мс 50 сл.  1 очередь (1 ведра) droptail
     mask: 0x00 0x00000000 / 0x0000 -> 0x00000000 / 0x0000
 BKT Prot ___ Source источника / порт ____ ____Dest.  IP / порт ____ Tot_pkt / bytes Pkt / Byte Drp
   0 tcp 64.237.55.83/49910 66.218.161.133/80 139909114 10871439505 0 0 50
 00002: 1.000 Мбит / с 0 мс 50 сл.  1 очередь (1 ведра) droptail
     mask: 0x00 0x00000000 / 0x0000 -> 0x00000000 / 0x0000
 BKT Prot ___ Source источника / порт ____ ____Dest.  IP / порт ____ Tot_pkt / bytes Pkt / Byte Drp
   0 tcp 66.218.161.133/80 64.237.55.83/49910 181159216 209004032651 0 0 21025730
 су-3,2 # 

Согласно mrtg я делаю это за 1 Мбит / с, который я установил в своем ipfw . Я буду более чем счастлив предоставить любую дополнительную информацию для решения этой проблемы, но для начинающих:

 su-3.2 # uname -a
 FreeBSD x.xxx.xxx 7.3-RELEASE FreeBSD 7.3-RELEASE # 13: Вт Мар 23 20:47:52 UTC 2010 xxx@x.xxx.xxx: / usr / obj / usr / src / sys / GENERIC amd64
 су-3,2 # 

Сначала проверьте, установлен ли net.inet.ip.fw.one_pass .

Во-вторых, я не думаю, что вам нужен этот параметр маски для конфигурации вашего канала. Вы не всегда можете быть уверены, что пакеты поступают из порта 80, например, если пользователь связывается из-за NAT и т. Д.

В-третьих, я бы попробовал это без правил 200 и 300. Я не совсем уверен, как он обрабатывает трубопроводы внутри страны, но в разделе Traffic Shaping Section ipfw(8) есть следующие советы:

CHECKLIST Вот некоторые важные моменты, которые следует учитывать при разработке ваших правил:

 +o Remember that you filter both packets going in and out. Most connec- 

нужны пакеты, идущие в обоих направлениях.

 +o Remember to test very carefully. It is a good idea to be near the 

консоль при этом. Если вы не можете находиться рядом с консолью, используйте сценарий автоматического восстановления, например, файл /usr/share/examples/ipfw/change_rules.sh.

 +o **Do not forget the loopback interface.** 

И, в-четвертых, я бы изменил правило по умолчанию (= последнее правило 65000), чтобы отклонить все. Это хороший дизайн брандмауэра и без него, все эти другие правила допускаются только впустую;)