Avatar billede tahoo Nybegynder
23. december 2001 - 17:11 Der er 22 kommentarer og
1 løsning

DUMMYNET

Hejsa ..

Jeg har sat en gateway op i FreeBSD…

Jeg har kompileret det her ind i min kernel :

options        IPFIREWALL
options        IPFIREWALL_VERBOSE
options        IPFIREWALL_DEFAULT_TO_ACCEPT
options        DUMMYNET
options        IPDIVERT

Hvordan gør jeg sådan at brugeren med ip nr. 192.168.10.128 kun må download med  512 Kb og uploade med 256 kb. Det skal være sådan at ip nr. er tilknyttet til hans mac add på hans netkort i pc´en.

Håber nogle kan hjælpe mig..

Glædelig jul til alle på Experten – tak for et godt år…
Avatar billede z_master Nybegynder
23. december 2001 - 17:34 #1
Jeg ved ikke med det med MAC adressen, men hvis du skal sætte max download og upload, så skal du kigge på \"IPFW\".. Der står eksempler på man siderne for IPFW..

Men kort beskrevet skal du lave en \"pipe\" og binde denne pipe til en IP adresse og en retning.

Men prøv at kig på man siden for IPFW..
Avatar billede tahoo Nybegynder
23. december 2001 - 17:37 #2
forstå ikke så meget af man siderne... :-( men prøver lige igen-...
Avatar billede z_master Nybegynder
23. december 2001 - 21:18 #3
Der er eksempler næsten nede i bunden, som viser hvordan du sætter en PIPE op ;)
Avatar billede skwat Praktikant
23. december 2001 - 23:53 #4
Indsæt nedenstående under \"open\"(eller hvilken en du nu køre på) i filen /etc/rc.firewall:
/sbin/ipfw pipe 2700 config bw 256Kbit/s
/sbin/ipfw add 2700 pipe 2700 ip from 192.168.10.128 to any
/sbin/ipfw add 2700 pipe 2700 ip from any to 192.168.10.128
Herefter skal brandmuren genstartes \'bash /etc/rc.firewall\'

Ud over det vil jeg anbefale at kompile IPFIREWALL_VERBOSE_LIMIT=10 med ind i din kerne.

Slutteligt vil jeg sige styr dinne point.
./skwat
Avatar billede z_master Nybegynder
24. december 2001 - 01:49 #5
Skwat.. Du har faktisk lavet en fejl i din forhastelse..

han skal lave 2 pipes.. Ikke 1 :)

1 pipe, som laver limit på 512 og en anden, som laver limit på 256
Derefter skal han definere in og out for hver af de pipes.. Så det kommer nok til at se mere ud som om.

/sbin/ipfw pipe 1 config bw 512Kbit/s
/sbin/ipfw pipe 2 config bw 256Kbit/s

/sbin/ipfw add 100 pipe 1 ip from 192.168.10.128 to any in
/sbin/ipfw add 2700 pipe 1 ip from any to 192.168.10.128 in

/sbin/ipfw add 100 pipe 2 ip from 192.168.10.128 to any out
/sbin/ipfw add 2700 pipe 2 ip from any to 192.168.10.128 out

Lad vær med at henret mig for dette, fordi det er ikke noget jeg leger med ret meget af tiden.
Og Skwat.. Det var ikke for at henrette dig at jeg skriver dette..
Avatar billede tahoo Nybegynder
24. december 2001 - 18:18 #6
Kan altså ikke få det til at virke.. nu klister jeg hele min rc.firewall op.. håber ikke der er nogle som blive sure over dette…  Er der nogle steder man skal slå rc.firewall til.. fx /etc/rc.conf ????

Hvordan virker denne kommando \'bash /etc/rc.firewall\' ?? jeg kan ikke få den til at virke den skriver bare at denne kommando ikke findes… men jeg har bare genstartet min box hver gang er dette ikke nok ?

/etc/rc.firewall :

# Copyright (c) 1996  Poul-Henning Kamp
# All rights reserved.
#
# Redistribution and use in source and binary forms, with or without
# modification, are permitted provided that the following conditions
# are met:
# 1. Redistributions of source code must retain the above copyright
#    notice, this list of conditions and the following disclaimer.
# 2. Redistributions in binary form must reproduce the above copyright
#    notice, this list of conditions and the following disclaimer in the
#    documentation and/or other materials provided with the distribution.
#
# THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS ``AS IS\'\' AND
# ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
# ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
# FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
# DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
# OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
# HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
# LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
# OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
# SUCH DAMAGE.
#
# $FreeBSD: src/etc/rc.firewall,v 1.30.2.12 2001/03/06 01:58:02 obrien Exp $
#

#
# Setup system for firewall service.
#

# Suck in the configuration variables.
if [ -r /etc/defaults/rc.conf ]; then
        . /etc/defaults/rc.conf
        source_rc_confs
elif [ -r /etc/rc.conf ]; then
        . /etc/rc.conf
fi

############
# Define the firewall type in /etc/rc.conf.  Valid values are:
#  open    - will allow anyone in
#  client  - will try to protect just this machine
#  simple  - will try to protect a whole network
#  closed  - totally disables IP services except via lo0 interface
#  UNKNOWN  - disables the loading of firewall rules.
#  filename - will load the rules in the given filename (full path required)
#
# For ``client\'\' and ``simple\'\' the entries below should be customized
# appropriately.

############
#
# If you don\'t know enough about packet filtering, we suggest that you
# take time to read this book:
#
#      Building Internet Firewalls, 2nd Edition
#      Brent Chapman and Elizabeth Zwicky
#
#      O\'Reilly & Associates, Inc
#      ISBN 1-56592-871-7
#      http://www.ora.com/
#      http://www.oreilly.com/catalog/fire2/
#
# For a more advanced treatment of Internet Security read:
#
#      Firewalls & Internet Security
#      Repelling the wily hacker
#      William R. Cheswick, Steven M. Bellowin
#      Addison-Wesley
#      ISBN 0-201-63357-4
#      http://www.awl.com/
#      http://www.awlonline.com/product/0%2C2627%2C0201633574%2C00.html
#

if [ -n \"${1}\" ]; then
        firewall_type=\"${open}\"
fi

############
# Set quiet mode if requested
#
case ${firewall_quiet} in
[Yy][Ee][Ss])
        fwcmd=\"/sbin/ipfw -q\"
        ;;
*)
        fwcmd=\"/sbin/ipfw\"
        ;;
esac

############
# Flush out the list before we begin.
#
${fwcmd} -f flush

############
# Network Address Translation.  All packets are passed to natd(8)
# before they encounter your remaining rules.  The firewall rules
# will then be run again on each packet after translation by natd
# starting at the rule number following the divert rule.
#
# For ``simple\'\' firewall type the divert rule should be put to a
# different place to not interfere with address-checking rules.
#
case ${firewall_type} in
[Oo][Pp][Ee][Nn]|[Cc][Ll][Ii][Ee][Nn][Tt])
        case ${natd_enable} in
        [Yy][Ee][Ss])
                if [ -n \"${natd_interface}\" ]; then
                        ${fwcmd} add 50 divert natd all from any to any via ${na
td_interface}
                fi
                ;;
        esac
esac

############
# If you just configured ipfw in the kernel as a tool to solve network
# problems or you just want to disallow some particular kinds of traffic
# then you will want to change the default policy to open.  You can also
# do this as your only action by setting the firewall_type to ``open\'\'.
#
# ${fwcmd} add 65000 pass all from any to any

############
# Only in rare cases do you want to change these rules
#
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
# If you\'re using \'options BRIDGE\', uncomment the following line to pass ARP
#${fwcmd} add 400 pass udp from 0.0.0.0 2054 to 0.0.0.0


# Prototype setups.
#
case ${firewall_type} in
[Oo][Pp][Ee][Nn])

/sbin/ipfw pipe 1 config bw 128Kbit/s
/sbin/ipfw pipe 2 config bw 256Kbit/s

/sbin/ipfw add 100 pipe 1 ip from 192.168.10.100 to any in
/sbin/ipfw add 2700 pipe 1 ip from any to 192.168.10.100 in
/sbin/ipfw add 100 pipe 2 ip from 192.168.10.100 to any out
/sbin/ipfw add 2700 pipe 2 ip from any to 192.168.10.100 out

        ${fwcmd} add 65000 pass all from any to any
        ;;

[Cc][Ll][Ii][Ee][Nn][Tt])
        ############
        # This is a prototype setup that will protect your system somewhat
        # against people from outside your own network.
        ############

        # set these to your network and netmask and ip
        net=\"192.0.2.0\"
        mask=\"255.255.255.0\"
        ip=\"192.0.2.1\"

        # Allow any traffic to or from my own net.
        ${fwcmd} add pass all from ${ip} to ${net}:${mask}
        ${fwcmd} add pass all from ${net}:${mask} to ${ip}

        # Allow TCP through if setup succeeded
        ${fwcmd} add pass tcp from any to any established

        # Allow IP fragments to pass through
        ${fwcmd} add pass all from any to any frag

        # Allow setup of incoming email
        ${fwcmd} add pass tcp from any to ${ip} 25 setup

        # Allow setup of outgoing TCP connections only
        ${fwcmd} add pass tcp from ${ip} to any setup

        # Disallow setup of all other TCP connections
        ${fwcmd} add deny tcp from any to any setup

        # Allow DNS queries out in the world
        ${fwcmd} add pass udp from ${ip} to any 53 keep-state

        # Allow NTP queries out in the world
        ${fwcmd} add pass udp from ${ip} to any 123 keep-state

        # Everything else is denied by default, unless the
        # IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
        # config file.
        ;;

[Ss][Ii][Mm][Pp][Ll][Ee])
        ############
        # This is a prototype setup for a simple firewall.  Configure this
        # machine as a named server and ntp server, and point all the machines
        # on the inside at this machine for those services.
        ############

        # set these to your outside interface network and netmask and ip
        oif=\"ed0\"
        onet=\"192.0.2.0\"
        omask=\"255.255.255.240\"
        oip=\"192.0.2.1\"

        # set these to your inside interface network and netmask and ip
        iif=\"ed1\"
        inet=\"192.0.2.16\"
        imask=\"255.255.255.240\"
        iip=\"192.0.2.17\"

        # Stop spoofing
        ${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
        ${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}

        # Stop RFC1918 nets on the outside interface
        ${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
        ${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}
        ${fwcmd} add deny all from any to 192.168.0.0/16 via ${oif}

        # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
        # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
        # on the outside interface
        ${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
        ${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
        ${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
        ${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
        ${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}

        # Network Address Translation.  This rule is placed here deliberately
        # so that it does not interfere with the surrounding address-checking
        # rules.  If for example one of your internal LAN machines had its IP
        # address set to 192.0.2.1 then an incoming packet for it after being
        # translated by natd(8) would match the `deny\' rule above.  Similarly
        # an outgoing packet originated from it before being translated would
        # match the `deny\' rule below.
        case ${natd_enable} in
        [Yy][Ee][Ss])
                if [ -n \"${natd_interface}\" ]; then
                        ${fwcmd} add divert natd all from any to any via ${natd_
interface}
                fi
                ;;
        esac

        # Stop RFC1918 nets on the outside interface
        ${fwcmd} add deny all from 10.0.0.0/8 to any via ${oif}
        ${fwcmd} add deny all from 172.16.0.0/12 to any via ${oif}
        ${fwcmd} add deny all from 192.168.0.0/16 to any via ${oif}

        # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
        # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
        # on the outside interface
        ${fwcmd} add deny all from 0.0.0.0/8 to any via ${oif}
        ${fwcmd} add deny all from 169.254.0.0/16 to any via ${oif}
        ${fwcmd} add deny all from 192.0.2.0/24 to any via ${oif}
        ${fwcmd} add deny all from 224.0.0.0/4 to any via ${oif}
        ${fwcmd} add deny all from 240.0.0.0/4 to any via ${oif}

        # Allow TCP through if setup succeeded
        ${fwcmd} add pass tcp from any to any established

        # Allow IP fragments to pass through
        ${fwcmd} add pass all from any to any frag

        # Allow setup of incoming email
        ${fwcmd} add pass tcp from any to ${oip} 25 setup

        # Allow access to our DNS
        ${fwcmd} add pass tcp from any to ${oip} 53 setup
        ${fwcmd} add pass udp from any to ${oip} 53
        ${fwcmd} add pass udp from ${oip} 53 to any

        # Allow access to our WWW
        ${fwcmd} add pass tcp from any to ${oip} 80 setup

        # Reject&Log all setup of incoming connections from the outside
        ${fwcmd} add deny log tcp from any to any in via ${oif} setup

        # Allow setup of any other TCP connection
        ${fwcmd} add pass tcp from any to any setup

        # Allow DNS queries out in the world
        ${fwcmd} add pass udp from ${oip} to any 53 keep-state

        # Allow NTP queries out in the world
        ${fwcmd} add pass udp from ${oip} to any 123 keep-state

        # Everything else is denied by default, unless the
        # IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
        # config file.
        ;;

[Uu][Nn][Kk][Nn][Oo][Ww][Nn])
        ;;
*)
        if [ -r \"${firewall_type}\" ]; then
                ${fwcmd} ${firewall_flags} ${firewall_type}
        fi
        ;;
esac



---------------------------------------------------------------------
HJÆLP… - god jul
Avatar billede skwat Praktikant
26. december 2001 - 19:42 #7
ja du skal i din rc.conf have firewall_type=OPEN
Avatar billede skwat Praktikant
26. december 2001 - 21:25 #8
eventuelt kan du lave din helt egen firewall fil og skrive eks. firewall_type=\"/etc/MyFireWall\"
Avatar billede tahoo Nybegynder
27. december 2001 - 13:35 #9
hvis jeg laver min egen firewall.. er det så nok og lave en fil, som der bare står det her i ? :

/sbin/ipfw pipe 1 config bw 128Kbit/s
/sbin/ipfw pipe 2 config bw 256Kbit/s

/sbin/ipfw add 100 pipe 1 ip from 192.168.10.100 to any in
/sbin/ipfw add 2700 pipe 1 ip from any to 192.168.10.100 in
/sbin/ipfw add 100 pipe 2 ip from 192.168.10.100 to any out
/sbin/ipfw add 2700 pipe 2 ip from any to 192.168.10.100 out
Avatar billede tahoo Nybegynder
27. december 2001 - 13:35 #10
altså filen etc/MyFireWall
Avatar billede skwat Praktikant
27. december 2001 - 14:21 #11
så kan du være sikker på at intet virker
Avatar billede tahoo Nybegynder
27. december 2001 - 14:28 #12
???- -. okay.. ????
Avatar billede skwat Praktikant
28. december 2001 - 10:14 #13
Du bliver jo nød til at tillade trafik
Avatar billede skwat Praktikant
28. december 2001 - 10:15 #14
altså
/sbin/ipfw add 65000 pass all from any to any
Avatar billede tahoo Nybegynder
31. december 2001 - 06:33 #15
jeg kan bare ikke få det til at virke... syntes næsten jeg har prøvet alt, hvad i har sagt.

Her kan i se hvordan det hele er sat op... :

http://www.tahoo.dk/freebsd.htm
Avatar billede skwat Praktikant
31. december 2001 - 14:37 #16

ipfw add 65000 divert natd all from any to any via ed0 skal nok være /sbin/ipfw bla bla bla bla bla bla bla måske
Avatar billede skwat Praktikant
31. december 2001 - 14:38 #17
Hvor meget virker?
Kan alle klienterne surfe?   
Avatar billede tahoo Nybegynder
31. december 2001 - 14:43 #18
ja alle kan surfe... jeg er på ICQ nu...
Avatar billede tahoo Nybegynder
31. december 2001 - 17:19 #19
Fedt har fået det til at virke... har bare lige et spørgsmål mere skwat, så får du point.. :-)

hvordan gør man sådan at der er fx. 8 ip add. som skal dele om 256/128 kbit.

er det ikke noget med fx. 192.168.10.0/24 eller noget i den retning... ?
Avatar billede tahoo Nybegynder
02. januar 2002 - 00:40 #20
jeg bruger denne i min /etc/myfw

/sbin/ipfw pipe 2700 config bw 256Kbit/s
/sbin/ipfw add 2700 pipe 2700 ip from 192.168.10.128 to any
/sbin/ipfw add 2700 pipe 2700 ip from any to 192.168.10.128

når jeg uploader passer det fint med 256 kbit/s, men når jeg downloader får jeg kun ca 100 - 120 kbit/s og min ping tid timer ud.. er der nogle, som har en idee til hvad det kan være..
Avatar billede sv Nybegynder
05. januar 2002 - 11:27 #21
måske skal du bruge nogle queues eller sådan noget.... kan ikke lige huske hvorfor..men hørt at det afhjalp problemet....hmmm.... ellers er jeg måske også lidt på bar bund med det her dummy halløj :)
Avatar billede z_master Nybegynder
05. januar 2002 - 17:58 #22
Det kan være at det hjælper at sætte en queue på. Er usikker på hvad queue helt præcis gør, men det er jo som sagt en kø, hvor i data\'en kan vente.. Lidt ligesom en Stack vel, Først ind Først ud. I man ipfw står der hvor du sætter Queue på.

Men ellers ved jeg det ikke.. Vi prøvede at få det til at virke på en 100 Mbit/S inet linje.. Virkede ikke og da vi kun skulle være der et par dage valgte vi at lade vær med at sætte begrænsning for de 20 mennesker der var.
Avatar billede tahoo Nybegynder
05. januar 2002 - 20:49 #23
ok.. kikker lige på Queus.. imorgen.. tak :-)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester