BFW Firewall & Router

Hola a todos despues de probar y probar por fin mi primer modulo para brazilfw

es un add-on muy sencillo pero eficiente (poderoso el chiquitin)

Permite limitar el numero de concexiones simultaneas que realizan los programas p2p tanto por capa 4 como por capa 7 del modelo osi.

En castellano por puertos y por l7....

pruebenlo y me cuentan como les funciona.....

No se olviden de instalar el modulo advance route al generar el flopy.

Otra cosa primero configuren las ips a limitar luego ejecuten el scrip.

http://www.ladelbarrio.com.ar/nachazo/conlimit.tgz

Para instalarlo simplemente copien el archivo a su flopy, luego reinicien brazilfw.

saludos.

**********************************************************

nueva version mejorada... no funciona arranque automatico (de momento)
interfaz mas amigable.... basada en advance firewall de brazilfw
no hacen falta conocimientos de iptables

http://www.ladelbarrio.com.ar/nachazo/b ... nlimit.tgz

prueben y posteen no sean tímidos...

saludos.

***********************************************************
nueva version.....

agregue la posibilidad de ver cuantas conexiones tiene cada ip en ese momento....

nueva regla de configuracion "simple conlimit"

arregle un problema de compatibilidad con qos de brazilfw

saludos....

http://www.ladelbarrio.com.ar/nachazo/b ... nlimit.tgz

**********************************************************
Nueva Beta4 en ingles.... en castellano muy pronto!!!

viewtopic.php?t=55947

**********************************************************

Congratulations.
Some more details about building add-ons.

To run conlimit automatically on boot create a file called
/etc/rc.d/pkgs/rc.conlimit

Tu run conlimit when the line goes up or when reloading the firewall
/etc/rc.d/pkgs/lu.conlimit

Great nachazo!

Congratulatios !

hi claudio...
what can i do if i want put a yes/no option for run conlimit on boot?

can i put a command that pacth rc.M script?

regards.

Marcelo - Brazil escreveu:Great nachazo!

Congratulatios !

thank you marcelo....

(obrigado)....

we are doing a little and nice latin american comuniti....

together we can bring the impossible to possible....

You can have your own configuration variables:

Create this file: /var/lib/lrpkg/nachazo.configs
Add something like this

Código: Selecionar todos

CONLIMIT_ENABLED
CONLIMIT_ANYTHING_YOU_NEED_TO_SET
CONLIMIT_MORE_THINGS...


Now is posible to store that values inside coyote.conf
Ex:
CONLIMIT_ENABLED=YES
or
CONLIMIT_ENABLED=NO

Your /etc/rc.d/pkgs/rc.conlimit would be like this:

Código: Selecionar todos

#!/bin/sh

. /etc/coyote/coyote.conf   #load configuration variables

if [ "$CONLIMIT_ENABLED" = "YES" ] ; then
  /etc/rc.d/conlimit
fi


thanks very much ....

now i have a new challenge...

i need create independient variables... because if i put in coyotemain file, this file it will be very large.... (i want create configuration files for restricted ips, for l7protocols and for restricted ports)

Can i define this variables in a separated file?

regards.

Yes, you can.

/var/lib/lrpkg/nachazo.config_files

Take a look at /var/lib/lrpkg/root.config_files for the sintaxe examples:

The first name is the name the file will have at floppy's a:\config folder.
The second is the name is the name the file will have at /etc/coyote folder

I suggest you to use the same name for both, then avoid names longer than 8.3 characters. conlimit.cfg would be nice. Unfortunately old coyote files used to not follow this recomendation, if all that files at /etc/coyote folder had simple names we would not need this tricky .config_files list.

If you do not intend to store any variable inside coyote.conf you do not need the nachazo.configs i told before.

You're free to format your conlimit.cfg as you wish, but keep it as small as you can because it will be stored to the floppy without compression.

Add /var/lib/lrpkg/conlimit.config_files to the conlimit.list file, but do not add /etc/coyote/conlimit.cfg. As it will not be backuped inside the .tgz. You must prevent the situation when the config.file were not found, and create it at runtime.

There are a few advantages to use this method:
- Your config file will be preserved at upgrades.
- Your config file will be considered by the Profiles engine.

I've seen your webadmin page and it's ok, but you sould try to use the new css standads. Which I recommend for all add-on authors. I'ts easy, just use any other 2.27.2 page as example.



Esteban,
This thread has good stuff for that tutorial too.

Claudio escreveu:You can have your own configuration variables:

Create this file: /var/lib/lrpkg/nachazo.configs
Add something like this

Now is posible to store that values inside coyote.conf
Ex:
CONLIMIT_ENABLED=YES
or
CONLIMIT_ENABLED=NO

Your /etc/rc.d/pkgs/rc.conlimit would be like this:

Ok i do the next:
i create this file /var/lib/lrpkg/conlimit.configs

then i put this:

Código: Selecionar todos

CONLIMIT_ENABLE

in main coyote config file don´t appears the variable....

should i include manually?

hola a todos...

mejore el paquete significativamente ahora se puede configurar mucho mas facil sin saber ningun conocimiento de iptables...

lo unico que no funciona es el arranque automatico... pero si funciona el arranque por cron o por custom firewalls rules.

http://www.ladelbarrio.com.ar/nachazo/b ... nlimit.tgz

PLease claudio help me with the automatic start up...

tellme what im doing wrong...

regards.

should i include manually?

Yes.

Usually, we program the webadmin page to do that.

Nachazo,
When finish your add-on, send the fonts to Claudio.
We put your addon as "oficial" addon, on BFW addons downloads.
Ok to you ?

no problem Marcelo it´s a priviledge for me participate in this proyect....

Now i have trouble with create cfg files.... i do the the commands of claudio but, the conlimit.cfg file don´t appears in a:/config

maybe you or another person with enought Knowledge can assistme in that detail.... it will be for one time only.. because i ´m planing learn of my mistakes...

regards, and thanks for your support!

Now i have trouble with create cfg files.... i do the the commands of claudio but, the conlimit.cfg file don´t appears in a:/config

Si no es mucho lío, posteá lo que estás haciendo como para ver si encontramos alguna cosa que te estás olvidando.

NO PUEDO ENTRAR AL SITIO PARA BAJAR EL CONLIMIT...
ALGUN PROBLEMA CON EL SERVIDOR ??
NO ENCUENTRA LA PAGINA...

ENLACE CORTADO..
agradecere una solucion, gracias!!

coralero escreveu:NO PUEDO ENTRAR AL SITIO PARA BAJAR EL CONLIMIT...
ALGUN PROBLEMA CON EL SERVIDOR ??
NO ENCUENTRA LA PAGINA...

ENLACE CORTADO..
agradecere una solucion, gracias!!

Tenes que bajar la BETA 2 que lo podes bajar de aca

http://www.ladelbarrio.com.ar/nachazo/b ... nlimit.tgz

Now i have trouble with create cfg files....

Send me an e-mail with your icq or msn. Maybe i can help you better.

NO PUEDO ENTRAR AL SITIO PARA BAJAR EL CONLIMIT...

You you having problens to host the file, send it to any moderator and we can put it here.

coralero escreveu:NO PUEDO ENTRAR AL SITIO PARA BAJAR EL CONLIMIT...
ALGUN PROBLEMA CON EL SERVIDOR ??
NO ENCUENTRA LA PAGINA...

ENLACE CORTADO..
agradecere una solucion, gracias!!

el host esta funcionando de nuevo....

es muy barato me sale 4 pesos (1.25 uss) por mes... asique de ves en cuando cae....

saludos.

--------------------------------------------------------------------------------

Claudio i will send an email.... soon

regards.

nueva version.....

agregue la posibilidad de ver cuantas conexiones tiene cada ip en ese momento....

nueva regla "simple conlimit"

arregle un problema de compatibilidad con qos de brazilfw

saludos....

http://www.ladelbarrio.com.ar/nachazo/b ... nlimit.tgz

grosso Nachazo!!, yo como un b***** escribiendo en ingles jaja =) queria preguntarte es nesesario hacer dos reglas para cada ip?

iptables -t mangle -A POSTROUTING -p tcp -s 192.168.1.2 -m connlimit --connlimit-above 50 -j DROP

solo con una comprobe con torrents que no alcanza. El numero de "establishedd" es mayor, no es que use filtro por protocolo y como el azureus encripta ahora con la nueva version deje pasar algunas sin filtrar, es blokeando toda la ip

pero con dos anda parece

iptables -t mangle -A POSTROUTING -p tcp -d 192.168.1.2 -m connlimit --connlimit-above 50 -j DROP

puede ser que este hablando burradas no soy entendido en nada, pero es mi experiencia, que opinas?

otra: para evitar que se me llene la tabla de conecciones (poca ram) uso connlimit, pero: si la regla primero rutea y despues rechaza el paquete, no ocupa un lugar en la tabla? puede que si ocupa un lugar solo este un segundo en drop y se borre rapido y asi no ocupa lugar como un time wait? Para que no se caiga el modem hay alguna forma de bloquear la connecion en la cadema PREROUTIN? probe con unas reglas en prerouting y me tira error. alguien sabe cunatas soporta un surfboard 5100?

Disculpen si hablo tonterias son cosas que me pasaron por la cabeza y queria preguntar, tal vez tenga errores de concepto basicos..



alguien sabe cual es el limite de conecciones de un Surl Board 5100 ?

hola creptilico...

mira... vos lo que pusiste arriva son 2 reglas...
una de subida..
iptables -t mangle -A POSTROUTING -p tcp -s 192.168.1.2 -m connlimit --connlimit-above 50 -j DROP
y otra de bajada
iptables -t mangle -A POSTROUTING -p tcp -d 192.168.1.2 -m connlimit --connlimit-above 50 -j DROP

cuando vos pones estas 2 reglas efectivamente estas controlando a full la cantidad de conexiones...
todo depende de lo que necesites...

la regla esta en la cadena (chain) postrouting... realmente no se porque da error en la prerouting... proba ponerlo en la chain foward... al menos es antes de postrouting....

no conosco la surfboard 5100... que es? un modem? una pc?

Me olvidaba te invito a que uses mi paquete lo vas a encontrar muy util ya que ahora tiene la funcionabilidad de simple conlimit.... que es exactamente de lo que estamos hablando ahora.

y de paso te invito a que lo critiques, para poder mejorarlo.

saludos.

nachazo,

Descubrí cual era el problema con la ejecución de conlimit al inicio del sistema.
rc.conlimit no se ejecuta en el arranque porque está en el directorio equivocado. El archivo debe ubicarse en el directorio /etc/rc.d/pkgs y no en /etc/rc.d. Aún así, le tenés que dar permiso de ejecución, porque te olvidaste de hacerlo. También recordá de actualizar la referencia de rc.conlimit en conlimit.list

Tengo un par de preguntas y sugerencias para tu paquete pero después te comento porque ando un poco apurado.
Saludos.

Gracias esteban....

anotado...

saludos.

nachazo,

"All Nations" want to discover Conlimit !
What we can do for this people ?
Crate a litle manual about your system.
Things like: Setup or, how it works or/and how to install.
My be, some guys goes here to talk with you.
Ok ? You can handle with this "job" ?
The last version is "stable" ?

ok marcelo...

no problem....

i can handle...

wants conlimit add-on in english?

i can translate it...

the last version is stable yes.... but the auto start function is disable... the unique way to start conlimit at boot is on rc.local script or by cron.....

the manual it´s in the configuration file (like squid).

works very well! i use it in my litle wisp from 18 pm to 23 pm (massive conections hours)...

did you try it Marcelo?

All people of the world are my guest....

maybe someone can help me for improving the add-on too...

regards.

the unique way to start conlimit at boot is on rc.local script or by cron.....

Cómo!?!?! ¿Y para qué me desviví buscando la solución para el inicio automático?

next version will be in english ? :D plase heh

good job :!:

Esteban escreveu:

the unique way to start conlimit at boot is on rc.local script or by cron.....

Cómo!?!?! ¿Y para qué me desviví buscando la solución para el inicio automático?

tu esfuerso no sera desperdiciado....

pasa que todavia no desarrolle esa funcion.....

como esta me sirve.... pero prometo desarrorllarla para toda la hinchada :wink:

Hamski escreveu:next version will be in english ? plase heh

good job

coming soon

Yes, english it is necessary.
But, the the reality is: english will be the "main" addon.
And we will have Spanish, Portuguese and Polish languages
because we have ways to do and "Keep".

Another languages i do not believe.

About Conlimit, i will test on beta4.

este modulo puede ser utilizado en coyote 2.20 ? si es asi como lo instalo, igual que brazil?

lucaseo escreveu:este modulo puede ser utilizado en coyote 2.20 ? si es asi como lo instalo, igual que brazil?

conlimit solo es soportado por brazilfw 2.27 con el ad on de advance route...

si no tenes advance route.... el comando conlimit no funciona...

saludos.

Marcelo - Brazil escreveu:because we have ways to do and "Keep".

I don´t understand that....

can you be a little more especific?

thanks.

---------------------------------------------------------------------------------------

Esteban... mas adelante cuando tradusca el beta4... podrias darme una mano con el ingles?

o sea yo lo tradusco pero si me podes corregir algun error gramatical o si ves que algo se puede poner de unaforma mas resumida o sencilla... mejor.

Y de paso queria comentarte otra cosa...

el arranque automatico tiene problemas porque depende de la maquina en que se pruebe....

si la maquina es lenta y tiene muchas classes de qos, las reglas de marcdo de paquetes no se aplican (incluso no se aplican reglas de TOS).... ya que la pc esta ocupada haciendo el marcado de las classes qos. La unica solucion que se me ocurre es hacer como hace l7qos... parchea el script de rc.qos para cargarse al final del marcado de qos... pero me va a llevar tiempo...
Estaba pensando en dejar la opcion de arranque al inicio pero con una advertencia... vos que pensas?

saludos.

Esteban... mas adelante cuando tradusca el beta4... podrias darme una mano con el ingles?

o sea yo lo tradusco pero si me podes corregir algun error gramatical o si ves que algo se puede poner de unaforma mas resumida o sencilla... mejor.

Si, no hay problema. Te puedo ayudar con eso.

si la maquina es lenta y tiene muchas classes de qos, las reglas de marcdo de paquetes no se aplican (incluso no se aplican reglas de TOS).... ya que la pc esta ocupada haciendo el marcado de las classes qos. La unica solucion que se me ocurre es hacer como hace l7qos... parchea el script de rc.qos para cargarse al final del marcado de qos... pero me va a llevar tiempo...
Estaba pensando en dejar la opcion de arranque al inicio pero con una advertencia... vos que pensas?

A ver si entendí. En términos sencillos: si la máquina es lenta, conlimit no funciona (o al menos una parte).
Si es así, creo que tendrías que sacar la opción de arranque al inicio. La advertencia no creo que sirva de mucho. ¿Para que tener algo en memoria que funciona a medias? Lo que habría que permitir es que se pueda cargar desde el webadmin, pero creo que eso ya está, ¿no?
Habrá que esperar a que escribas algo parecido al script de l7qos.

Esteban escreveu:
A ver si entendí. En términos sencillos: si la máquina es lenta, conlimit no funciona (o al menos una parte).

Mas o menos...

Si la maquina es lenta.... y tiene muchas classes manuales cargadas (yo estimo que mas de 5) todos los scripts de marcado de paquetes no se cargan en la tabla mangle durante el booteo....

incluso si queres arrancar un script desde rc.local... hasta que la pc no termina de procesar todas las classes el resto de scripts mueren...

Lo que habría que permitir es que se pueda cargar desde el webadmin, pero creo que eso ya está, ¿no?

si ya funciona de esa forma....

Conclusion de momento no hay arranque automático......

saludos....

PD: te mando los textos cuando los tenga listo esteban...

Gracias por tu ayuda.

Conclusion de momento no hay arranque automático......

Create a file called
/etc/rc.d/pkgs/lu.YOURPACK

lu.* files are triggered when the Line goes Up, and when the user reloads the firewall.
So, it's the perfect place to set iptables rules.

thanks claudio i will test it!!!

nachazo,
When i say that we can keep, understand that, you do Conlimit in spanish and english, that will be the oficcial addon, and "we" can translate it to portuguese and polish because there people to do this translations when you
do any modification or actualizations.
With out people to keep the languages actualization, no addon, only spanish and english.

ok ?

Marcelo - Brazil escreveu:nachazo,
When i say that we can keep, understand that, you do Conlimit in spanish and english, that will be the oficcial addon, and "we" can translate it to portuguese and polish because there people to do this translations when you
do any modification or actualizations.
With out people to keep the languages actualization, no addon, only spanish and english.

ok ?

ok undertand it...

esteban!!!

se me ocurrio lo siguiente...

estuve probando la sugerencia de claudio... y fue un fracaso... las reglas no se cargan al inicio....

Mientras me bañaba se me ocurrio que podria poner un arranque con retardo.....

hacer un scrip de inicio que tome la hora de arranque de la maquina, le sume 5 minutos y que se ponga a trabajar...

en mi caso tienen que ser un minimo de 15 o de 20 minutos para estar seguros... (pobresita mi pc)....

que te parece?

saludos.