开使用openbsd管理网络

tibet07

单位网络失控，开始治理，没有流量控制的手段，开始试用pf，找了台PC机装了openbsd4.2，pf是v 1.34，想在出口防火墙前某一些办公楼的100兆口限制部分网段的每个ip的流量，还想监视各IP的异常行为。

刚刚开始学着做，业余在家用一台32M的IBM笔记本也装了bsd，都很顺利，有了确切效果会继续来汇报。

感谢这个论坛的资料。

www1862

这个坛子的资料还是满丰富的。只是有的年旧失修了。

tibet07

还在学习和试用阶段，后面会把详细情况贴出来，敬请关注和指点。

问题一：

用PF的队列和优先级特性做“每个人(每个IP)”的流量限制，我这里网段多，人数上千，用"列表"来表示比较合适吗？
net86="10.100.86.1, 10.100.86.2, ...... 10.100.86.254"
net87="10.100.87.1, 10.100.87.2, ...... 10.100.87.254"
......
net90="10.100.90.1, 10.100.90.2, ...... 10.100.90.254"
......
net="{" $net86 $net87 ... $net90 ..."}"
这样一来，可以结合限制语句展开成一条条对每个ip的限制了？

“列表”能否象“表”那样用文本文件输入，就象这个例子：table <net>  file  "/etc/spammers"  ?
否则pf.conf文件被定义ip部分的内容就占得满满的了，难阅读、维护。



问题二：

“表”的定义方式在限单个ip流量时不能用，用表则限制的是总流量吧？


问题三：

配桥模式，我看到的资料是：
vi bridgename.bridge0
add rl0 add rl1 up 好像没配完?
用
ifconfig bridge0 create
brconfig bridge0 add rl0 add rl1 up
一个个敲，桥起来了，怎么写到配置里，不然掉电重启还得人去干预。

再就是hostname.rl0和hostname.rl1里的网卡地址得配上桥才工作，桥的配置能否给一个学用学用？

谢谢来多指教。
               pc-------------------------openbsd42-PF-----------------------------------cisco
              10.6.103.19              10.6.103.18       10.6.103.2                              10.6.103.1
                                                        rl1                  rl0
                                          (目前在旧PC上试，用的Realtek 8139 )

[ 本帖最后由 tibet07 于 2008-4-11 08:44 编辑 ]

congli

列表跟表没啥太大区别,表比列表查询性能上有优势.
用列表会把规则展开,而表则不会,其实是一样的.
列表不能用象表的那样用文本输入.

BruceShea

纯支持了！我也在学习OpenBSD，哈哈！

tibet07

pc----------------------------openbsd4.2-------------------------cisco
   10.6.103.19                   10.6.103.18     10.6.103.2                  10.6.103.1

按照上图连接，装好openbsd4.2后，pc即可ssh登陆10.6.103.18，设置网桥：
vi /etc/bridgename.bridge0
add rl0 add rl1 up
:wq
reboot

pc机即可上网了。

vi /etc/rc.conf
找到  pf=NO 这一句，改为 pf=YES
:wq

修改pf配置
vi /etc/pf.conf
具体为：
#========= my pf ========
# OpenBSD4.2: queue,  2008/04/15

ext_if = "rl1"

altq on $ext_if cbq bandwidth 1Mb \
    queue { deflt, http, ssh, mail, rsets, ftp }
queue   deflt bandwidth 10% priority 0 cbq(default ecn)
queue   http bandwidth 100Kb priority 3 { http_vhosts, http_cust1 }
queue    http_vhosts bandwidth 40% cbq(borrow red)
queue    http_cust1 bandwidth 100Kb
queue   mail bandwidth 10% priority 1
queue   ssh bandwidth 50Kb priority 7 cbq(borrow)
queue   rsets bandwidth 75Kb priority 0 cbq(red)
queue   ftp bandwidth 10Kb priority 1 cbq


block return in on $ext_if inet all queue rsets
pass in on $ext_if inet proto tcp from any to any port 80 queue http
pass out on $ext_if inet proto tcp from any to any port 22 queue ssh
pass in  on $ext_if inet proto tcp from any to any port 22 queue ssh
pass out on $ext_if inet proto tcp from any to any port 25 queue mail
pass in on $ext_if inet proto tcp from any to any port 21 queue ftp
pass out on $ext_if inet all

然后执行：# pfctl -F all -f /etc/pf.conf ，系统显示为如下：

rules cleared
nat cleared
0 tables deleted.
altq cleared
6 states cleared
source tracking entries cleared
pf: statistics cleared
pf: interface flags reset
pfctl: the sum of the child bandwidth higher than parent "http"
#

在pc上用“FlashFXP”下载一个单位内网的高清电影，速度由pf没限制前的数兆变为了400KB(“FlashFXP”软件状态栏显示数据)，无论怎么改ftp的带宽都有这么高，不知道怎么回事？再就是上面那个“子带宽之和高于父带宽”的提示总有。

请指教原因。

我的出发点是想在比较乱的网段至6509之间加个pf控制流量，目前仅一台pc的流量都不能准确控制，没法再进一步试验控制网段内各ip的流量了。

tibet07

认真看“PF OpenBSD 数据包过滤”（中文翻译版，张文通、唐亮 译，网上的）。
试的过程中发现kb、mb、Kbps都不行,要写Kb、Mb，哈，哈！还是蛮好玩。

试出来了,是在rl1口上启用流量限制，可以控制。端口是{ 21， >3000 }，就可以了。

[ 本帖最后由 tibet07 于 2008-4-15 23:14 编辑 ]

hjk857

支持下。。。。

BruceShea

UP！

剑心通明

pf有最新版了