Ss gter
Roteamento avançado e controle de banda em Linux
Hélio Loureiro
Sumário
➢
17º REUNIÃO – GTER Roteamento avançado Controle de banda
Roteamento avançado
➢ ➢
Sintaxe Exemplo
➢ ➢ ➢
Controle de banda Sintaxe Exemplo
NOTA: os exemplos são baseados na distribuição Debian mas funcionam similarmente em todas as demais.
Cenário típico
17º REUNIÃO – GTER Roteamento avançado Controle de banda
Internet
ADSL Router
Firewall
Usuários (NAT)
Servidores
Busca de informações
17º REUNIÃO – GTER Roteamento avançado Controle de banda
"policy routing"
➢ ➢ ➢ ➢ ➢ ➢ ➢
Linux - iptables/ipchains/iproute2 - 8.030 links FreeBSD - ipfw/ipfw2/ipfilter - 2.290 links OpenBSD - ipfilter/pf - 1.430 links Solaris - ipfilter - 2.048 links NetBSD - ipfilter - 1.320 links SCO (Unixware) - ? - 1.440 links Windows - ? - 5.200 links
O termo “policy routing” é utilizando em roteadores, enquanto que “source routing” em Linux/BSD”.
Source routing Linux/BSD Linux
➢ ➢ ➢ ➢
17º REUNIÃO – GTER Roteamento avançado Controle de banda
iptables - sintaxe muito flexível (complexa) iptables - difícil padronização para criação script iproute2 - fácil configuração para roteamento iproute2 - estável!
OpenBSD
➢ ➢ ➢
pf - sintaxe simples (BSD) pf - roteamento através dele pf - recém lançado na versão 3.0
17º REUNIÃO – GTER Roteamento avançado Controle de banda block in log all scrub in all pass out all keep state pass out inet proto tcp from any to any keep state pass in quick on $EXT proto tcp from $HELIO to $FW \ port 22 flags S/SA keep state pass in quick proto udp from any to any port 53 keep state pass in on $EXT inet proto tcp from any to $SERVER \ port {25,80,110,143,443} flags S/SA modulate state pass in on $EXT proto udp from any port 53 to $FW keep state pass in on xl0 fastroute from 192.168.0.0/24 to $DMZ keep state pass in on xl0 fastroute from 192.168.0.0/24 to