Renato... veja bem estou desenvolvendo uma solucao para gerenciamento de acesso a internet (famoso captive portal :) ), e pretendo contemplar a maiorias dos problemas que sao citados pelos meus clientes, e essa é uma das questoes bastante discutidas.
Basicamente, o controle de banda eh feito: ipfw pipe 250 config bw 128Kbit/s ipfw add 250 pipe 250 ip from 172.16.0.17 to any in not layer2 ipfw add 250 pipe 250 ip from any to 172.16.0.17 out not layer2 ou seja: crio um pipe com id 250 com banda maxima de 128Kbps e vinculo a trafego de up load e donwload a esse mesmo pipe. Com isso, qualquer conexoa (ip) vai passar por esse mesmo pipe, porque vai bater nessa regra. No caso, a abordagem que estou usando, e de nao criar um unico pipe estatico e vincular todo o up e download a ele, e sim, criar dois pipes por clientes, tipo, um com 128Kbit/s e outro com 20% disso, ou seja 24Kbit/s Ae, tenho um script que monitora as conexoes do cliente, tanto tcp quando udp, e quando um conexao eh estabelecida, meu script cria uma regra dinamica atribuindo a conexao: (ip_orig, port_orig, ip_dest, port_dest, proto ) ao pipe maior, a partir dae, ele abre uma sessao criando um registro num banco de dados. A partir dae, a conexao vai estar limitada as 128Kbps, porem, de minutos em minuto, o script verifica se a conexao ainda esta "viva", e depois de um tempo limite, digamos, 5 minutos, e a conexao continuando viva, o script apaga a regra dinamica que associava a conexao ao pipe de 128 e cria novas regras dinamicas associando a conexao ao pipe menor, com isso, pro resto da "vida" da conexao, ela vai estar compartilhando o pipe de 24Kbps com as demais conexoes que "caducaram". Por outro lado, conexoes que viverem menos de 5 minutos ( ou o tempo previamento configurado) fluirao a 128Kbps. Ainda, eh possivel configurar algumas portas especificas para nao passarem por essa regra, digamos, para voip por exemplo, pra nao acontecer de cair no estrangulamento garantindo uma certa QoS. Veja, tudo isso esta funcionando em laboratorio, ateh se tornar maduro para o produto que estou desenvolvendo (um appliance) baseado no freebsd. Porem, esta funcional, e ainda, estou evitando ao maximo L7, gerenciando tudo em L3. Nada é perfeito :)... mas é uma abordagem... Em 08/01/07, Renato Frederick<[EMAIL PROTECTED]> escreveu: > Concordo, mas no caso é um provedor de internet, já usando ipfw com pipes, > funcionando de acordo. O que acontece é que agora precisa-se limitar mais a > banda(se é que é possível), pois a telemar não tem mais link prá vender(!) > Daí surgiu essa hipótese do mikrotik suportar isto e cortar até 30% do > tráfego(segundo o que falaram, não sei se é verdade) > > > > > -----Original Message----- > > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On > > Behalf Of Guilherme M. O. > > Sent: segunda-feira, 8 de janeiro de 2007 09:21 > > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > > Subject: Re: [FUG-BR] IPFW + Burst ? > > > > porque não bloquear o p2p? > > duvido que ele seja utilizado com propósitos empresariais. > > provavelmente baixam musica e coisa do tipo. a meu ver isso não > > deveria ser feito na empresa e poderia, sem problemas, ser bloqueado > > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Atenciosmente Mario Augusto Mania <m3BSD> ----------------------------------------------- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
