wiki: firewall-regeln

C

condor

Well-Known Member
Hallo,

ich habe mich gestern mit den pf Firewallregeln von
http://wiki.bsdforen.de/howto/firewall-regeln
etwas ausseinandergesetzt, da ich das erste mal eine pf FW aufsetzen musste ;)

Es sind ein paar kleinere Fehler dort im Syntax zu finden:
Code: 
altq on $Ext cbq bandwidth 128Kb queue { std_out, ack_out, ssh_out, ssh_ack_out }

queue std_out                cbq(red default)
queue ack_out     priority 2 cbq(red)
queue ssh_out     priority 4 cbq(red)
queue ssh_ack_out priority 6 cbq(red)
hier muss nach der queue <NAME> noch bandwidth * Kb stehen, ansonsten kommt ein Syntaxfehler, * eben mit der gewünschten Bandbreite ersetzen.

In der letzten FW Zeile bei:
Code: 
pass out quick on $Ext proto udp all keep state queue std_out

fehlen die runden Klammern um ( std_out ).

Ansonsten ein großes Lob an die Wiki, hat mir sehr geholfen mein Alix2c3 einzurichten :)
 
Zum einen kannst du dich ja anmelden und das selbst korrigieren, zum anderen stimmen deine "Fehler" nicht. Die abgedruckte pf.conf ist, bis auf ein fehlendes "R" einwandfrei in Ordnung.

Ich denke eher, dass die von dir gefundenen Fehler in Wirklichkeit Fehler der pf-Implementierung deines Betriebssystems ist. (FreeBSD oder NetBSD).

auf bald
oenone
 
Zuletzt bearbeitet:
Nein, OpenBSD 4.2 -stable. Ohne das bandwidth bekommt er einen Fehler, dass die queues die Bandbreite übersteigen.

16:57:53 condor@atoll:~$ sudo pfctl -n -f testregeln
pfctl: the sum of the child bandwidth higher than parent "root_tun0"
pfctl: the sum of the child bandwidth higher than parent "root_tun0"
pfctl: the sum of the child bandwidth higher than parent "root_tun0"

Das allgemeine Beispiel:
Root Queue (2Mbps)

Queue A (1Mbps)
Queue B (500Kbps)
Queue C (500Kbps)

aus: http://www.openbsd.org/faq/pf/options.html
deutet ebenfalls daraufhin, nur bei priq reicht die PRIORITY nicht jedoch bei cbq

und:

Code: 
bw - the total amount of bandwidth available to the queue. This may be specified as an absolute value using the suffixes b, Kb, Mb, and Gb to represent bits, kilobits, megabits, and gigabits per second, respectively or as a percentage of the parent queue's bandwidth. This parameter is only applicable when using the cbq scheduler. If not specified, the default is 100% of the parent queue's bandwith.


EDIT: Die Runden Klammern sind kein Problem.
Die Regeln sind auch verwendbar, da die Queuing Meldungen nur Warnings sind,
bleibt die Frage, ob das dann ein "schlechtes Queuing" erzeugt.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben