Re: Proxy transparente similar a um acesso iptables, existe?

2013-08-15 Por tôpico Mauricio S. T. Neto 

Hamacker boa noite.
Minha resposta pode ser considerada um tanto "off topic", mas vamos lá.
Claro que cada vez que você adiciona uma camada de software existe uma 
queda de performance mas pelo que sei o Squid é capaz de dar conta do 
recado com centenas (ou milhares) de conexões simultâneas. Será que não 
existe algum problema com sua configuração ou hardware?


É conhecimento corrente que existe uma relação de numero de conexões 
(usuários)  e necessidade de memória para que o squid possa trabalhar de 
forma eficiente. Outra questão é o disco que deve ter baixa latência, ou 
seja se este disco é compartilhado com um banco de dados a possibilidade 
é ser o "vilão" é grande.


Aqui nesta lista já faz algum tempo tivemos um amigo usando o Squid para 
muitos usuários e enfrentando problema de performance, mas ele conseguiu 
solucionar a questão seguindo as diversas dicas aqui discutidas. Lembro 
ate que a toca de mensagens atingiu um nível técnico muito bom.


Eu procuraria usar ferramentas do tipo iostat, sar, etc para identificar 
a causa da sua queda significativa de performance efetuar algumas 
avaliações na sua configuração buscando tips & tricks (essa lista :-)) 
para discutir possíveis soluções.


Abraço.


Em 15-08-2013 14:06, hamacker escreveu:
Pessoal, eu tô montando um novo servidor de internet e ao mostrar a 
performance usando proxy squid e sem proxy squid (apenas iptables), a 
diferença de performance é muito maior usando apenas iptables. O 
problema com iptables é que não há autenticação e nem logs para saber 
como está sendo usado este acesso.


Eu acho que não, mas não custa perguntar:

Existe algo que permita o acesso transparente a internet, semelhante 
ao iptables+gateway, mas que contenha logs de acesso e autenticação?


O squid aqui tá bem balanceado, mas para funcionar adequadamente tem 
que ajustar regras iptables+regras squid por causa de aplicações como 
caixa.gov.br , receita federal, etc... e 
sinceramente é um saco, além é claro na queda de performance que isso dá.


Talvez voces saibam um jeito melhor de lidar com isso ou usam outro 
proxy, sei lá, eu gostaria de experimentar outras alternativas.


[]´s a todos.




--
Mauricio S.T. Neto

Re: Proxy transparente similar a um acesso iptables, existe?

2013-08-15 Por tôpico Julio 
Cara pra ler os logs e aplicar restrições você pode usar : o zabbix , 
tem o recurso de ler logs com gatilhos chamados triggers , ou os 
monitores de segurança OSSEC ou o snortinline  . o ossec você pode criar 
os seus filtros de acordo com a necessidade


Em 15-08-2013 14:06, hamacker escreveu:
Pessoal, eu tô montando um novo servidor de internet e ao mostrar a 
performance usando proxy squid e sem proxy squid (apenas iptables), a 
diferença de performance é muito maior usando apenas iptables. O 
problema com iptables é que não há autenticação e nem logs para saber 
como está sendo usado este acesso.


Eu acho que não, mas não custa perguntar:

Existe algo que permita o acesso transparente a internet, semelhante 
ao iptables+gateway, mas que contenha logs de acesso e autenticação?


O squid aqui tá bem balanceado, mas para funcionar adequadamente tem 
que ajustar regras iptables+regras squid por causa de aplicações como 
caixa.gov.br , receita federal, etc... e 
sinceramente é um saco, além é claro na queda de performance que isso dá.


Talvez voces saibam um jeito melhor de lidar com isso ou usam outro 
proxy, sei lá, eu gostaria de experimentar outras alternativas.


[]´s a todos.

Re: Proxy transparente similar a um acesso iptables, existe?

2013-08-15 Por tôpico Fabiano Pires 
Já procurou ver alguma solução tipo CaptivePortal, tipo o NoCatAuth? Se bem
me lembro, faz autenticação via HTTP e depois libera acesso via regras de
FW. A parte de autenticação deve ter algum log.

Fabiano Pires
http://pragasdigitais.blogspot.com/


Em 15 de agosto de 2013 16:58, hamacker  escreveu:

> Nao, porque neste caso eu não saberia quem foi a pessoa ou login que fez o
> acesso.
>
>
> Em 15 de agosto de 2013 15:42, Gustavo  escreveu:
>
>> Hamacker,
>>
>>
>> a flag --log-prefix não permite trabalhar com logs? /var/log/messages?
>>
>> Gustavo
>>
>>
>>
>>
>>
>> Em 2013-08-15 14:06, hamacker escreveu:
>>
>>> Pessoal, eu tô montando um novo servidor de internet e ao mostrar a
>>> performance usando proxy squid e sem proxy squid (apenas iptables), a
>>> diferença de performance é muito maior usando apenas iptables. O
>>> problema com iptables é que não há autenticação e nem logs para saber
>>> como está sendo usado este acesso.
>>>
>>> Eu acho que não, mas não custa perguntar:
>>>
>>> Existe algo que permita o acesso transparente a internet, semelhante
>>> ao iptables+gateway, mas que contenha logs de acesso e autenticação?
>>>
>>> O squid aqui tá bem balanceado, mas para funcionar adequadamente tem
>>> que ajustar regras iptables+regras squid por causa de aplicações como
>>> caixa.gov.br [1], receita federal, etc... e sinceramente é um saco,
>>>
>>> além é claro na queda de performance que isso dá.
>>>
>>> Talvez voces saibam um jeito melhor de lidar com isso ou usam outro
>>> proxy, sei lá, eu gostaria de experimentar outras alternativas.
>>>
>>> []´s a todos.
>>>
>>>
>>>
>>> Links:
>>> --
>>> [1] http://caixa.gov.br
>>>
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-portuguese-**
>> requ...@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmas...@lists.debian.org
>> Archive: http://lists.debian.org/**38e33f90fccf5ed4005d3f87a7f718**
>> 6...@logicus.com.br
>>
>>
>

Re: Proxy transparente similar a um acesso iptables, existe?

2013-08-15 Por tôpico hamacker 
Nao, porque neste caso eu não saberia quem foi a pessoa ou login que fez o
acesso.


Em 15 de agosto de 2013 15:42, Gustavo  escreveu:

> Hamacker,
>
> a flag --log-prefix não permite trabalhar com logs? /var/log/messages?
>
> Gustavo
>
>
>
>
>
> Em 2013-08-15 14:06, hamacker escreveu:
>
>> Pessoal, eu tô montando um novo servidor de internet e ao mostrar a
>> performance usando proxy squid e sem proxy squid (apenas iptables), a
>> diferença de performance é muito maior usando apenas iptables. O
>> problema com iptables é que não há autenticação e nem logs para saber
>> como está sendo usado este acesso.
>>
>> Eu acho que não, mas não custa perguntar:
>>
>> Existe algo que permita o acesso transparente a internet, semelhante
>> ao iptables+gateway, mas que contenha logs de acesso e autenticação?
>>
>> O squid aqui tá bem balanceado, mas para funcionar adequadamente tem
>> que ajustar regras iptables+regras squid por causa de aplicações como
>> caixa.gov.br [1], receita federal, etc... e sinceramente é um saco,
>>
>> além é claro na queda de performance que isso dá.
>>
>> Talvez voces saibam um jeito melhor de lidar com isso ou usam outro
>> proxy, sei lá, eu gostaria de experimentar outras alternativas.
>>
>> []´s a todos.
>>
>>
>>
>> Links:
>> --
>> [1] http://caixa.gov.br
>>
>
>
> --
> To UNSUBSCRIBE, email to 
> debian-user-portuguese-**requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/**38e33f90fccf5ed4005d3f87a7f718**
> 6...@logicus.com.br
>
>

Re: Proxy transparente similar a um acesso iptables, existe?

2013-08-15 Por tôpico Tobias Sette 
O iptables nao trabalha na mesma camada de rede que o squid, nao vai rolar
logs de sites acessados ou autenticação

Creio que a suas melhores alternativas sejam rever as regras de firewall e
squid OU procurar um outro software para proxy, tipo o tinyproxy

Att,

Tobias
http://gnu.eti.br

-BEGIN GEEK CODE BLOCK-
Version: 3.12
GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++> UL++> P+ L+++>+ !E@W+++
!N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+
r-- y?
--END GEEK CODE BLOCK--



Em 15 de agosto de 2013 15:42, Gustavo  escreveu:

> Hamacker,
>
> a flag --log-prefix não permite trabalhar com logs? /var/log/messages?
>
> Gustavo
>
>
>
>
>
> Em 2013-08-15 14:06, hamacker escreveu:
>
>> Pessoal, eu tô montando um novo servidor de internet e ao mostrar a
>> performance usando proxy squid e sem proxy squid (apenas iptables), a
>> diferença de performance é muito maior usando apenas iptables. O
>> problema com iptables é que não há autenticação e nem logs para saber
>> como está sendo usado este acesso.
>>
>> Eu acho que não, mas não custa perguntar:
>>
>> Existe algo que permita o acesso transparente a internet, semelhante
>> ao iptables+gateway, mas que contenha logs de acesso e autenticação?
>>
>> O squid aqui tá bem balanceado, mas para funcionar adequadamente tem
>> que ajustar regras iptables+regras squid por causa de aplicações como
>> caixa.gov.br [1], receita federal, etc... e sinceramente é um saco,
>>
>> além é claro na queda de performance que isso dá.
>>
>> Talvez voces saibam um jeito melhor de lidar com isso ou usam outro
>> proxy, sei lá, eu gostaria de experimentar outras alternativas.
>>
>> []´s a todos.
>>
>>
>>
>> Links:
>> --
>> [1] http://caixa.gov.br
>>
>
>
> --
> To UNSUBSCRIBE, email to 
> debian-user-portuguese-**requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/**38e33f90fccf5ed4005d3f87a7f718**
> 6...@logicus.com.br
>
>

Re: Proxy transparente similar a um acesso iptables, existe?

2013-08-15 Por tôpico Gustavo 

Hamacker,

a flag --log-prefix não permite trabalhar com logs? /var/log/messages?

Gustavo





Em 2013-08-15 14:06, hamacker escreveu:

Pessoal, eu tô montando um novo servidor de internet e ao mostrar a
performance usando proxy squid e sem proxy squid (apenas iptables), a
diferença de performance é muito maior usando apenas iptables. O
problema com iptables é que não há autenticação e nem logs para saber
como está sendo usado este acesso.

Eu acho que não, mas não custa perguntar:

Existe algo que permita o acesso transparente a internet, semelhante
ao iptables+gateway, mas que contenha logs de acesso e autenticação?

O squid aqui tá bem balanceado, mas para funcionar adequadamente tem
que ajustar regras iptables+regras squid por causa de aplicações como
caixa.gov.br [1], receita federal, etc... e sinceramente é um saco,
além é claro na queda de performance que isso dá.

Talvez voces saibam um jeito melhor de lidar com isso ou usam outro
proxy, sei lá, eu gostaria de experimentar outras alternativas.

[]´s a todos.



Links:
--
[1] http://caixa.gov.br



--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/38e33f90fccf5ed4005d3f87a7f71...@logicus.com.br

pflogsumm com senders zerado

2013-08-15 Por tôpico Marcelo 
Boa Tarde,

Estou querendo gerar o relatório pelo pflogsumm para verificar quanto cada 
usuário está enviando de e-mail,
só que está aparecendo como zerado.

uso Debian Squeeze postfix+MailScanner+autenticação-sasl


---
messages

527   received
927   delivered
238   forwarded
  4   deferred  (16  deferrals)
 44   bounced
638   rejected (40%)
   1002   reject warnings
527   held
  0   discarded (0%)

  0   bytes received
  30321k  bytes delivered
  0   senders
  0   sending hosts/domains
 50   recipients
 26   recipient hosts/domains
--

Alguém imagina o que pode estar acontecendo?


Obrigado,
Marcelo


-- 
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/520d22e3.5020...@gmail.com

Inscreva-se na maior rede de encontros discretos

2013-08-15 Por tôpico Laura del amor 




    

No verão,
aumente 
o seu desejo!

Que tal ter uma relação discreta e sem tabus?

Encontre um convívio sem compromisso perto de si !

Inscreva-se na maior rede de encontros discretos, sem preconceitos e sem 
limites.   

    

  
Registo
   


    Os nossos últimos inscritos   Ver mais membros    


   REGISTO RáPIDO

cancelar a inscrição, clique aqui

Proxy transparente similar a um acesso iptables, existe?

2013-08-15 Por tôpico hamacker 
Pessoal, eu tô montando um novo servidor de internet e ao mostrar a
performance usando proxy squid e sem proxy squid (apenas iptables), a
diferença de performance é muito maior usando apenas iptables. O problema
com iptables é que não há autenticação e nem logs para saber como está
sendo usado este acesso.

Eu acho que não, mas não custa perguntar:

Existe algo que permita o acesso transparente a internet, semelhante ao
iptables+gateway, mas que contenha logs de acesso e autenticação?

O squid aqui tá bem balanceado, mas para funcionar adequadamente tem que
ajustar regras iptables+regras squid por causa de aplicações como
caixa.gov.br, receita federal, etc... e sinceramente é um saco, além é
claro na queda de performance que isso dá.

Talvez voces saibam um jeito melhor de lidar com isso ou usam outro proxy,
sei lá, eu gostaria de experimentar outras alternativas.

[]´s a todos.

Re: resolv.conf gerado pelo /sbin/dhclient-script

2013-08-15 Por tôpico Mauro Collin 
Paulino Kenji Sato,

*Segui suas recomendações e funcionou perfeito, muito obrigado.*
Obrigado a todos que contribuíram também.

Resolvido!


Em 13 de agosto de 2013 18:16, Paulino Kenji Sato escreveu:

> Ola,
>
> 2013/8/12 Mauro Collin 
> >
> > Boa tarde a todos da lista,
> >
> > Estou com um servidor FW que recentemente o  /sbin/dhclient-script vem
> reescrevendo meu /etc/resolv.conf, os endereços de dns que o
>  /sbin/dhclient-script escreve la nao funcionam e todos os usuarios da rede
> interna nao conceguem acessar sites, apesar da VPN e outros servicos
> continuarem funcionando. Pergunta:  Alguem sabe como desabilitar  o
>  /sbin/dhclient-script ou fazer com que ele sete os endereços de DNS que eu
> definir.
> >
> > Obrigado e abraços,
> >
> >
>
> Isso deve estar impedindo do squid de resolver adequadamente os nomes, não
> é?
> Squid ou algum outro sistema que tem no firewall que usa o
> /etc/resolv.conf.
>
> Há três formas de evitar isso.
> Não recomendando, forçar a flag de permissão para que ninguém sobre
> escreva, até mesmo o root. (já indicado)
> chattr +i /etc/resolv.conf
>
> Recomendados:
> Configurar o dhclient.conf para que não obtenha a lista dos servidores
> dns. Mas para isso tem que dizer quais as informações pretende obter
> pelo dhcp.
> Ou, colocar a lista de servidores dns na opção
> option domain-name-servers 192.168.1.234 10.11.12.13
> Para essas duas últimas, olhe o que já existe no /etc/dhcp3/dhclient.conf
> E ainda, colocar um 'gancho' nos scripts que são rodados pelo
> dhcliente, fazendo que ignore a escrita do resolv.conf
> Para isso, crie um arquivo texto em /etc/dhcp3/dhclient-enter-hooks.d/
> , pode chamar do que quiser, só não coloque . no nome.
> nano /etc/dhcp3/dhclient-enter-hooks.d/naoescrevaoresolvconf
> !#/bin/sh
> make_resolv_conf(){
> :
> }
>
> salve, ctrl+w e saia, crtl+x, marque como execitavel
> chmod +x /etc/dhcp3/dhclient-enter-hooks.d/naoescrevaoresolvconf
>
> derrube a interface que esta usando o dhcp, ifdown eth99
> Arrume o /etc/resolv.conf, faça uma cópia (para não ter que editar de
> novo, caso precise).
> suba a interface, ifup eth99
> Veja se o resolv.conf não foi modificado.
>
>
>
> --
> Paulino Kenji Sato
>



-- 
Att.

Mauro Collin.
Analista de Suporte Pleno.
TI-Infraestrutura / Rede / Servidores Linux/Windows.
Skype: mauro.collin