Em Terça 24 Julho 2007 22:21, Flávio Barros escreveu: > Com controle de banda também ? > Abraços, > > Em 24/07/07, Filipe Alvarez<[EMAIL PROTECTED]> escreveu: > > Utilizo o wipfw em servidores Windows numa boa. > > > > []s > > > > Em 24/07/07, Welkson Renny de Medeiros <[EMAIL PROTECTED]> > > > > escreveu: > > > A algum tempo eu testei o wipfw... funfou direitinho... pena que não > > > suporte > > > traffic shaper, iria resolver um problemão pra mim em um Windows 2003 > > > Server > > > (olha o flame rsrs)... :-) Agora tem até interface gráfica... vou > > > baixar essa versão nova para testar... > > > > > > > > > -- > > > Welkson Renny de Medeiros > > > Focus Automação Comercial > > > Desenvolvimento / Gerência de Redes > > > [EMAIL PROTECTED] > > > > > > > > > > > > Powered by .... > > > > > > (__) > > > \\\'',) > > > \/ \ ^ > > > .\._/_) > > > > > > www.FreeBSD.org > > > > > > > > > ----- Original Message ----- > > > From: "Ederson Mota Pereira" <[EMAIL PROTECTED]> > > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > > <freebsd@fug.com.br> > > > Sent: Tuesday, July 24, 2007 6:41 PM > > > Subject: Re: [FUG-BR] Migração IPTABLES > IPFW > > > > > > > > > > > > > > > Pessoal, > > > > > > Aproveitando esta discussao, nao sei se voces conhecem o WIPFW > > > (http://wipfw.sourceforge.net/), um port do ipfw para windows. Por > > > acaso, alguem conhece um port do ipfw para Linux? Estou pesquisando > > > sobre isso ha algum tempo, mas sem sucesso. > > > > > > Se nao, prefiro reinstalar a maquina e todos os servicos dela do que > > > lidar com iptables :p > > > > > > Obrigado, > > > IPFW no Windows, é real isso?? nossa vou testar. Não querendo apelar, mas tem natd pra Windows tb??
Se não me engano no Linux 2.2 se usava o IPFW. Ai no Linux 2.4 regrediram pro ipchains, no 2.6 regrediram mais ainda pro IPTables > > > > > > > > > > > > On Tue, 24 Jul 2007 14:14:03 -0300, Alessandro de Souza Rocha > > > > > > <[EMAIL PROTECTED]> wrote: > > > > Em 24/07/07, Alexandre Biancalana<[EMAIL PROTECTED]> escreveu: > > > >> On 7/24/07, Patrick Tracanelli <[EMAIL PROTECTED]> wrote: > > > >> > Eu sempre recomendo algumas estrategias na hora de fazer essa > > > >> > > > >> migracao: > > > >> > 1 - Pegue tudo na CHAIN FORWARD e {PRE,POST}ROUTING do netfilter e > > > >> > converta para NAT. Se sua opcao eh IPFW, brinque MUITO com divert > > > >> > e > > > >> > > > >> natd > > > >> > > > >> > ANTES de por qualquer outra regra no firewall. Faca divert > > > >> > seletivo, nunca "from any to any". Explore tudo que o natd pode > > > >> > fazer. Ai voce > > > >> > > > >> ja > > > >> > > > >> > vai ter em mente como substituir qualquer regra dessas chains ai. > > > >> > Se quiser estudar pf faca a mesma coisa com "nat" e "rdr" do pf. > > > >> > > > > >> > 2 - Pegue todos os filtros da chain OUTPUT do netfilter e seja > > > >> > > > >> seletivo, > > > >> > > > >> > separe o "output" cuja origem eh a propria maquina (o proprio > > > >> > > > >> firewall). > > > >> > > > >> > 3 - Todos os outros output output, converta-os pra input. Tudo q > > > >> > nao > > > >> > > > >> eh > > > >> > > > >> > roiginado do proprio firewall, pra sair por uma interface > > > >> > IMPERATIVAMENTE tem que ter saido por outra. Dai fazer regras de > > > >> > > > >> output > > > >> > > > >> > a reveria como se faz no netfilter é entropia e desperdiço de > > > >> > > > >> recursos, > > > >> > > > >> > pois essa eh a ultima chain processada, e pra chegar nela, o Linux > > > >> > > > >> "tem > > > >> > > > >> > a manha" de processar tudo antes... dai a performance vai pro > > > >> > espco. Sim, vc pode achar q Linux tem boa performance, mas nao tem > > > >> > hehe. Nao > > > >> > > > >> se > > > >> > > > >> > comparar com o que poderia ser... e na questao de firewall o > > > >> > metodo > > > > > > de > > > > > > >> > processamento das regras deixa essa diferenca de decisao de > > > > > > engenharia > > > > > > >> > de software muito clara. > > > >> > > > > >> > 4 - Pegue as regras da chain input e converta-as para regras de IN > > > >> > no firewall do BSD. > > > >> > > > > >> > 5 - Tenha em mente (ipfw) que o processamento eh first match wins. > > > >> > Se nao entender isso e isso ficar tao instintitvo quanto respirar, > > > >> > nao > > > >> > > > >> vai > > > >> > > > >> > dar pra continuar... ai comece de novo. Se for usar pf tenha em > > > >> > mente que eh last match wins. Ou seja processa tudo e vai "se > > > >> > lembrando" da ultima decisao, salvo, se a regra tem "quick". > > > >> > > > > >> > 6 - Coloque todas as regras mais frequentes, (ipfw) como as > > > > > > primeiras, > > > > > > >> > sempre que possivel. > > > >> > > > > >> > 7 - Se for usar controle de banda, oriente-o a interfaces. Evite > > > >> > > > >> deixar > > > >> > > > >> > aplicando a todas interfaces, e oriente à interface interna (a > > > >> > mais proxima do perimetro onde a estacao se encontra). > > > >> > > > > >> > 8 - Use one_pass=0 no ipfw, com controle de banda. Senao suas > > > >> > regras assumem "allow" ao chegar no controle. E voce pode nao > > > >> > querer isso. > > > >> > > > > >> > 9 - Nao pegue scripts prontos, de terceiros. Faca seu proprio > > > >> > > > >> firewall. > > > >> > > > >> > 10 - O que voce nao entender, leia na pagina de manual antes. É > > > >> > > > >> incrivel > > > >> > > > >> > como "man ipfw" é clara. Leia os textos, nao se apgeue a seção de > > > >> > EXAMPLES. > > > >> > > > > >> > 11 - Faca testes. Testes e mais testes. Teste o "divert". Teste o > > > >> > "forward". Entenda a diferenca entre eles. Teste-o antes de ter q > > > >> > > > >> qoutra > > > >> > > > >> > regra no firewall, pra nao ter confusao de comportamento. > > > >> > > > > >> > 12 - Agora pega todos aqueles conceitos de CHAIN e a sintaxe > > > >> > > > >> alieginena > > > >> > > > >> > do iptables e ESQUECE. Faca LAVAGEM CEREBRAL. Bem vindo a um mundo > > > >> > > > >> onde > > > >> > > > >> > voce nao tem q pensar em como usar a ferramenta, tem apenas q > > > >> > > > >> projetar o > > > >> > > > >> > firewall.. nao saber pra que que serve o -j o -J o -s -i -a -d -l > > > >> > -k > > > >> > > > >> -n > > > >> > > > >> > -j -S ou se alguma dessas opcoes nao existem, ou ainda o > > > >> > --uma-expressa-que-nao-diz-nada=valor porque acabaram-se as letras > > > >> > do alfabeto para ser uma nova opcao. > > > >> > > > >> FANTÁSTICOS pontos Patrick !!! > > > >> > > > >> Apenas mais uma dica, use e abuse de diretivas de log (ipfw add > > > >> <deny|allow> > > > >> log ou <block|pass> log) que facilitam MUITO no debug de eventuais > > > >> problemas e visibilidade do que o firewall está fazendo. Só tome > > > >> cuidados em > > > >> gerar muito log quando a rede for grande >300 maquinas. Very good. Já trabalhei com IPTables, mas felizmente já fiz a lavagem cerebral, esqueci tudo do IPTables. Eu como bom OpenBSD User adoro o PF (que roda no FreeBSD tranquilamente). Enfim.. IPFW, IPFilter e PF são todos muito bons. Apesar de eu não gostar muita da gambiarra divert+natd do IPFW tdo bem né, isso inclui o conceito de que vc pode deixar que um pacote seja manipulado por um aplicativo, but.. PF e IPFilter com NAT built-in são excelentes. > > > > > > > > So uma unicas coisas que a galera esqueceu e muito facil colocar o > > > > squid autenticar no AD do win2003 vc pode usar ldap_auth, msnt_auth > > > > ou ntlm_auth todas elas sao facil de implementar basta vc saber qual > > > > a que te agrada mais. > > > Esses dias eu tava compilando o Kernel Linux, eu vi que o IPTables consegue tratar transferencias DCC do IRC, transferencias FTP em modo ativo, SIP+RTP, entre outros.. criando regras de nat dinamicamente. No IRC o IPTables basicamente fica monitorando sua conexão, quando você manda um DCC pra alguém o IPTables cria uma regra de NAT dinamicamente para que você possa concluir sua transferencia por DCC, já que o client escolhe uma porta aleatoria para isto. O mesmo ocorre com FTP em modo ativo. No caso do ftp já foi resolvido com o ftp-proxy (http://www.openbsd.org/faq/pf/ftp.html). Mas para IRC e SIP, alguém da lista conhece alguma solução? -- THIAGO DE SOUZA COSTA e-mail: [EMAIL PROTECTED] voip: 55-11-4063-5729 ou 1-503-334-0602 jid: [EMAIL PROTECTED] fotolog: http://fotolog.com/thiagodk ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd