+ Responder ao Tópico



  1. 22-03-2007, 14:35 #1
    cleitonschulz
    Visitante

    Padrão DMZ no HTB, criar regra de excessão!

    fala galera tenho um script com o htb e queria tirar uma duvida..
    primeiro deixa eu explicar como a rede esta...

    eth1 liga com o link de internet..

    eth2 liga com a DMZ

    eth3 liga com a rede local..

    essas 3 placas fazem parte do meu firewall com controle de banda..

    soh que a rede local e os micros da dmz estao ligados fisicamente entao.. nao desejaria que a comunicação sofre-se o controle

    do htb.. mas nao aprendi a criar essa excessao.. logo.. a minha regra principal do htb tem 100000kbit.. valor da rede local..

    e uma regra de 98500kbit soh pra rede da dmz... e os 1500kbits do meu link de acesso a internet..

    vou passar o script pra vcs entenderem




    ## HTB
    # Contrle para uploads

    tc qdisc add dev eth1 root handle 1: htb default 50
    tc class add dev eth1 parent 1: classid 1:1 htb rate 100000kbit ceil 100000kbit

    tc class add dev eth1 parent 1:1 classid 1:10 htb rate 250kbit ceil 300kbit prio 1
    tc class add dev eth1 parent 1:1 classid 1:20 htb rate 98500kbit ceil 98500kbit prio 2
    tc class add dev eth1 parent 1:1 classid 1:30 htb rate 1000kbit ceil 1500kbit prio 3
    tc class add dev eth1 parent 1:1 classid 1:40 htb rate 100kbit ceil 800kbit prio 4
    tc class add dev eth1 parent 1:1 classid 1:50 htb rate 150kbit ceil 600kbit prio 5

    tc qdisc add dev eth1 parent 1:10 handle 120: sfq perturb 10
    tc qdisc add dev eth1 parent 1:20 handle 130: sfq perturb 10
    tc qdisc add dev eth1 parent 1:30 handle 140: sfq perturb 10
    tc qdisc add dev eth1 parent 1:40 handle 150: sfq perturb 10
    tc qdisc add dev eth1 parent 1:50 handle 160: sfq perturb 10



    ## HTB
    #download

    tc qdisc add dev eth3 root handle 1: htb default 50
    tc class add dev eth3 parent 1: classid 1:1 htb rate 100000kbit ceil 100000kbit

    tc class add dev eth3 parent 1:1 classid 1:10 htb rate 250kbit ceil 300kbit prio 1
    tc class add dev eth3 parent 1:1 classid 1:20 htb rate 98500kbit ceil 98500kbit prio 2
    tc class add dev eth3 parent 1:1 classid 1:30 htb rate 1000kbit ceil 1500kbit prio 3
    tc class add dev eth3 parent 1:1 classid 1:40 htb rate 100kbit ceil 800kbit prio 4
    tc class add dev eth3 parent 1:1 classid 1:50 htb rate 150kbit ceil 600kbit prio 5

    tc qdisc add dev eth3 parent 1:10 handle 120: sfq perturb 10
    tc qdisc add dev eth3 parent 1:20 handle 130: sfq perturb 10
    tc qdisc add dev eth3 parent 1:30 handle 140: sfq perturb 10
    tc qdisc add dev eth3 parent 1:40 handle 150: sfq perturb 10
    tc qdisc add dev eth3 parent 1:50 handle 160: sfq perturb 10



    # PRIORIDADE 1

    #vpn
    $IPT -t mangle -A POSTROUTING -s 192.168.0.0/24 -d 192.168.1.0/24 -j CLASSIFY --set-class 1:10
    $IPT -t mangle -A POSTROUTING -s 192.168.0.0/24 -d 192.168.1.0/24 -j RETURN
    $IPT -t mangle -A POSTROUTING -d 192.168.0.0/24 -s 192.168.1.0/24 -j CLASSIFY --set-class 1:10
    $IPT -t mangle -A POSTROUTING -d 192.168.0.0/24 -s 192.168.1.0/24 -j RETURN

    #udp
    $IPT -t mangle -A POSTROUTING -p udp -j CLASSIFY --set-class 1:10
    $IPT -t mangle -A POSTROUTING -p udp -j RETURN


    # PRIORIDADE 2

    #ssh
    $IPT -t mangle -A POSTROUTING -p tcp --sport 22 -j CLASSIFY --set-class 1:20
    $IPT -t mangle -A POSTROUTING -p tcp --sport 22 -j RETURN

    #dmz
    $IPT -t mangle -A POSTROUTING -s 192.168.0.0/24 -d 10.0.0.2 -j CLASSIFY --set-class 1:20
    $IPT -t mangle -A POSTROUTING -s 192.168.0.0/24 -d 10.0.0.2 -j RETURN
    $IPT -t mangle -A POSTROUTING -d 192.168.0.0/24 -s 10.0.0.2 -j CLASSIFY --set-class 1:20
    $IPT -t mangle -A POSTROUTING -d 192.168.0.0/24 -s 10.0.0.2 -j RETURN


    # PRIORIDADE 3

    #http,https
    $IPT -t mangle -A POSTROUTING -p tcp -m multiport --dport 80,443 -j CLASSIFY --set-class 1:30
    $IPT -t mangle -A POSTROUTING -p tcp -m multiport --dport 80,443 -j RETURN
    $IPT -t mangle -A POSTROUTING -p tcp -m multiport --sport 80,443 -j CLASSIFY --set-class 1:30
    $IPT -t mangle -A POSTROUTING -p tcp -m multiport --sport 80,443 -j RETURN


    # PRIORIDADE 4

    #msn
    $IPT -t mangle -A POSTROUTING -p tcp --dport 1863 -j CLASSIFY --set-class 1:40
    $IPT -t mangle -A POSTROUTING -p tcp --dport 1863 -j RETURN
    $IPT -t mangle -A POSTROUTING -p tcp --sport 1863 -j CLASSIFY --set-class 1:40
    $IPT -t mangle -A POSTROUTING -p tcp --sport 1863 -j RETURN



    # PRIORIDADE 5

    #outros
    $IPT -t mangle -A POSTROUTING -j CLASSIFY --set-class 1:50
    $IPT -t mangle -A POSTROUTING -j RETURN

    Então minha dúvida é a seguinte, como faço para o trafego que vem da DMZ(eth2) para rede interna(eth3), e da rede

    interna(eth3) para a DMZ(eth2) NÃO precise passar pelo controle do HTB.
    Citação Citação
  2. 24-03-2007, 10:10 #2
    FabricioViana
    FabricioViana está desconectado
    Avatar de FabricioViana
    Ingresso
    May 2005
    Posts
    1.213

    Padrão

    Desculpe a ignorância. Mas para que serve a regra -j RETURN ? Sem ela não daria certo?
    Valeu
    Fabricio
    Citação Citação



« Tópico Anterior | Próximo Tópico »