Beruflich Dokumente
Kultur Dokumente
# IPFIREWALL
#
ACIONANDO O IPFIREWALL
{/etc/rc.conf}
firewall_enable="YES"
firewall_type="OPEN"
firewall_script="/etc/rc.ipfw" #conjunto de regras customizado.
#este arquivo sera carregado sempre que o firewall
#for iniciado.
- qualquer regra pode ser adicionada pelo console, com o comando ipfw.
- as regras sao obedecidas de cima para baixo.
- a ultima regra sempre define a politica padrao do firewall.
ipfw list
ipfw -t list (mostra a data e hora que um pacote coincidiu com uma regra)
ipfw -a list
ipfw show (lista o nr de vezes que um pacote passou (ou foi bloqueado) por
uma regra, e o numero de bytes que esse trafego gerou)
b) adicionar uma regra
ipfw add 100 allow tcp from any to any
ipfw add 200 deny all from 10.0.0.5 to any
ipfw add 300 deny icmp from any to any
ipfw add 400 allow all from 192.168.0.0/24 to any
ipfw add 500 deny all from any to 10.0.0.0:255.0.0.0
ipfw add 600 allow tcp from any to 172.16.0.5 21,22,23
ipfw add 700 deny udp from any to 172.16.0.5 1024-1028
|--------------------------------------------------------|
| |
| #!/bin/sh |
| |
| fw="/sbin/ipfw" |
| #controle para a rede lo0 |
| $fw add allow ip from any to any via lo0 |
| $fw add deny ip from 127.0.0.0/8 to any |
| $fw add deny ip from any to 127.0.0.0/8 |
| |
| $fw add allow ip from any to any |
| |
| |
| |
|--------------------------------------------------------|
options DUMMYNET
Exemplo:
O pipe e apenas mais uma acao para o ipfw, assim como add e delete, portanto
antes de cada comando e feita uma chamada ao ipfw.
O tunel criado anteriormente vai limitar o fluxo de informacoes para uma
velocidade maxima de 100 kilobits por segundo.
Medidas de velocidade de trafego pode ser indicada por: bit/s, Byte/s, Kbit/s,
kbyte/s, Mbit/s, Mbyte/s.
Filas de Tuneis
Por exemplo, vamos criar um tunel que simule a velocidade maxima de um modem
de 56k.
Por exemplo: Suponhamos que eu queira limitar a banda do host 192.168.1.2 para
300 kbps de download e 300 kbps de upload. Vamos supor tambem que
o servidor tenha duas interfaces de rede e a interface da LAN seja
a rl0. As regras ficariam da seguinte forma:
O controle de banda por rede segue o mesmo padrao so que, nesse caso, sera o
endereco de rede configurado na regra. Se temos por exemplo, uma rede com
endereco 192.168.1.0/29 (com seis enderecos de hosts) a configuracao da regra
ficaria assim:
Se tivessemos todos os 6 hosts dessa rede usando o link ao mesmo tempo, os 500
kbps definidos na regra do ipfw seriam divididos para as seis maquinas.