Re: App Banco Itau

[Paulo Ricardo Bruck]

Bom dia

Eu uso para pessoa física e jurídica, mas acesso somente via navegador (
chrome e firefox) funcionam, mais para isto vc deve baixar o
aplicativo warsaw que está disponível quando você acessar o itau pela url
itau.com.br

abraços

Em qua., 12 de jun. de 2024 às 09:08, Vitor Hugo 
escreveu:

> Bom dia,
>
> Gostaria de saber se é possível utilizar o banco Itau no Debian?
>
> Se alguém aqui na lista utiliza e se funciona bem.
>
> Estou utilizando o APP do Itau e alguma coisas só funcionam la.
>
> Existem versão para Linux ou teria como utilizar um emulador para
> utiliza-la?
>
> Obrigado;
>
>

-- 
Paulo Ricardo Bruck
011 98140-9184 (Whatsup/vivo)
011 94184-3433 (vivo)

Re: TESTE DE INTEGRIDADE SSD

[Paulo Ricardo Bruck]

Humm vou dar o meu pitaco pois faz muito tempo que não mexo com o msadm,
mas na época eu fazia um grub-install /dev/ sda; grub-install /dev/sdb

Em seg., 4 de mar. de 2024, 14:27, Anderson Rodrigues <
andersonrodrigues1...@gmail.com> escreveu:

> Por falar em Raid tem um problema que eu ainda não consegui contornar,
> fazendo Raid em Software temos um problema para instalar o /Boot no Raid
> por exemplo "md0/boot" o Grub não consegue ver esse diretório durante a
> instalação uma forma de contornar isso é criar uma partição no disco
> somente para o /boot, porém se esse disco for o que apresentar o problema
> perdemos o acesso ao sistema, uma pergunta RAID em software é recomendado
> apenas para máquinas desktops e não servidores, ou temos alguma forma de
> deixar o /boot com grub em todos os discos de forma a não parar a máquina?
> Muito Obrigado a todos e um bom dia.
>
> Em sáb., 2 de mar. de 2024 às 16:01, Rafael de Almeida <
> rafael.i...@gmail.com> escreveu:
>
>> Galera,
>> Quem quiser saber mais sobre SSD no Linux
>> https://eriberto.pro.br/palestras/ssd-ref-biblio.pdf
>>
>> Em sáb., 2 de mar. de 2024 às 01:47, Leandro Cunha <
>> leandrocunha...@gmail.com> escreveu:
>>
>>> João, é você que realiza o processo pra se retirar da lista.
>>>
>>> https://lists.debian.org/debian-user-portuguese/
>>>
>>> Em qua., 28 de fev. de 2024, 14:37, João Pedro Nader Gervasoni <
>>> jnge...@hotmail.com> escreveu:
>>>
 Me retire desta lista

 Obter o Outlook para Android 
 --
 *From:* Jose Tavares 
 *Sent:* Wednesday, February 28, 2024 2:02:14 AM
 *To:* Yuri Musachio 
 *Cc:* Rafael de Almeida ;
 debian-user-portuguese 
 *Subject:* Re: TESTE DE INTEGRIDADE SSD

 Me lembrei de algo extra..

 Se a máquina onde o SSD está ficar fazendo muito swap, e for colocado
 no SSD uma particao de swap muito pequena, alguns blocos do SSD serão super
 stressados com escrita e leitura, podendo danificar aquele espaco
 precocemente. A recomendacao é que o swap seja sempre 2x a quantidade de
 ram. Hoje em dia isto pode ser bastante de espaco desperdicado.

 Lembrei disto pois já estourei SSD e nvme de laptops algumas vezes. lol
 ..
 Deixa eu contar como aconteceu comigo o problema repetitivamente:
 Se o cara ir atrás do MTBF dos modelos de SSD e ler quantos bytes eles
 aceitam de escrita antes de pifar, e então dividir os bytes pelo espaco de
 disco, se consegue saber quantas vezes um determinado bloco consegue
 aceitar escritas antes de estourar.

 Depois o cara cria o swap 2x o tamanho da ram e passa a hibernar a
 máquina no trajeto pro office e no trajeto pra casa, o que seria uma boa
 prática. Dois hibernates por dia, duas escritas da ram no SSD, no mesmo
 espaco do swap, vezes uns 2 anos fazendo isto e plim, o SSD comeca a ficar
 lerdo quando se vai hibernar (realocando) e uma hora dá zebra. É só fazer
 os calculos, mas pelos 2 anos o problema acontece.

 Jose Tavares


 On Wed, Feb 28, 2024 at 1:44 AM Jose Tavares 
 wrote:

 Alguns fabricantes de SSD tem produtos muito ruins.

 Instala o pacote smartmontools, e usa o smartctl fazendo teste short e
 long .. Quando disparares o teste, verifica quanto tempo irá levar e depois
 de concluir o tempo, com o parâmetro -a consegues ver o resultado.

 O smart roda em background, então não afeta a perf da máquina. Lê com
 atenção os resultados.

 Uma tool simples que recomendo é o f3.
 https://fight-flash-fraud.readthedocs.io/en/latest/introduction.html
 Foi escrita por um brasileiro.

 Basicamente o que ela faz é escrever padrões em toda a memória flash e
 depois lê e compara os resultados. Com isto, dá para ver se há diferenças
 na escrita e depois leitura, o que indicaria erro no armazenamento. Serve
 para qualquer tipo de armazenamento.

 Durante as operações, acompanhe os logs da máquina para ver se acontece
 resets nas controladoras de disco.

 Sobre raid1, é uma opção, mas utilize preferivelmente 2 marcas de SSD
 diferentes, para contornar problemas de fabricantes e de modelos
 específicos. Outra opção é usar um SSD e um HDD, e então configurar
 write-mostly para que todas as leituras se dêem somente do SSD e as
 escritas em ambos para não ter perda de performance significativa.

 Uma coisa que costumo sempre fazer antes de usar qualquer disco é rodar
 um dd if= of=/dev/null
 Desta forma fazendo uma leitura completa do disco antes de começar o
 seu uso. Nisto já se percebe se houver erros. É possível também fazer
 testes de escrita e leitura usando o fsck.ext4 com -cc caso o disco tenha
 sido configurado com ext4.. O comando shred também pode te ajudar fazendo
 passes no disco e vendo resultados.

 Mas de todas opções, o f3 me parece 

Re: Sugestão: Kernel dinâmico

[Paulo Ricardo Bruck]

Olá Paulo


Mito antigamente o kernel era compilado da forma a ser monolítico, mas
faz mais de 20 anos que as distros montam kernel modular ( ou mais).

ats

Em qui., 7 de jan. de 2021 às 16:11, Paulo  escreveu:

> Olá Debinianas e Debinianos,
>
> Por que, em vez de ter um kernel monolítico e grande.
> O kernel não poderia ser mínimo e os módulos adicionados?
>
> Sem ter que compilar o kernel para cada novo módulo.
> Isso tornaria o kernel mais simples, rápido e menor.
>
> Não sei as dificuldades de fazer isso, nem as implicações.
>
> Aceito sugestões desde que sejam construtivas e até orientações que me
> expliquem o porque do kernel ser grande e termos que recompilar para um
> módulo (Ex: Sensor de Impressão Digital).
>
> Att,
>
> Paulo Correia
>
>

-- 
Paulo Ricardo Bruck consultor
tel 011 3596-4881/4882
011 98140-9184 (Whatsup/TIM)
http://www.contatoglobal.com.br <http://www.contatogs.com.br/>

Domou arigatou gozaimasu

Re: Ajuda Para Regras do Iptables Com Relação ao Squid!

[Paulo Ricardo Bruck]

- Mensagem original -
 De: Fagner Patricio fagner.patri...@gmail.com
 Para: Debian debian-user-portuguese@lists.debian.org
 Enviadas: Terça-feira, 19 de Junho de 2012 17:45:43
 Assunto: Ajuda Para Regras do Iptables Com Relação ao Squid!
 Olá Pessoal!!

olá


 
 Preciso liberar rádios online na minha rede, mas passando pelo squid,

ok 1 pergunta seu squid ouve na porta padrão 3128 ou vc colocou proxy 
transparente ( argghhh que nojo...)??




 até então no meu firewall, que é onde também está o squid as únicas
 portas liberadas eram a 80, 443 e 8080, as minhas regras para a porta
 80 são assim por exemplo:
 
 -A OUTPUT -p tcp -m tcp --sport 1024:65535 --dport 80 -m state --state
 NEW,RELATED,ESTABLISHED -j ACCEPT
 -A INPUT -p tcp -m tcp --sport 80 --dport 1024:65535 -m state --state
 RELATED,ESTABLISHED -j ACCEPT
 
 Para eu liberar as rádios on-lines eu tive que fazer:
 
 -A OUTPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state
 --state NEW,RELATED,ESTABLISHED -j ACCEPT
 -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state
 --state RELATED,ESTABLISHED -j ACCEPT
 
 Desse jeito eu estou abrindo muito meu firewall? ou é uma regra
 segura? eu posso ser mais restrito?
 
 O meu firewall tem 3 interfaces: LAN, DMZ e Internet.
 
 Fagner Patrício
 João Pessoa - PB
 Brasil


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/724494575.276.1340140891009.javamail.r...@mercurio.contatogs.com.br

Re: [OFF TOPIC] Configurar vários sites no Apache

[Paulo Ricardo Bruck]

- Mensagem original -
 De: Marcelo Luiz de Laia marcelol...@gmail.com
 Para: debian-user-portuguese debian-user-portuguese@lists.debian.org
 Enviadas: Sexta-feira, 8 de Junho de 2012 17:17:06
 Assunto: [OFF TOPIC] Configurar vários sites no Apache
 Prezado,
 
 Vou configurar um servidor para servir dois sites. Li que a melhor
 maneira seria fazer por meio de Virtual Host. Até aqui, tudo
 tranquilo.
 
 Mas, em um dos dois domínio, eu preciso ter sitios pessoais. Por
 exemplo, no dominio virtual www.virtual1.org, eu desejo que se possa
 ter:
 
 www.virtual1.org/~joao
 www.virtual1.org/~maria
 www.virtual1.org/~jose
 
 O outro dominio, na mesma maquina e com o mesmo IP seria:
 
 www.virtual2.org/
 
 No Apache, os dois dominios seriam assim:
 
 NameVirtualHost *
 ServerName www.virtual1.org
 DocumentRoot /home/www/htdocs/virtual1.org
 ServerAdmin webmas...@virtual1.org
 ErrorLog /var/log/apache2/www.virtual1.org-error_log
 CustomLog /var/log/apache2/www.virtual1.org-access_log common
 
 ServerName www.virtual2.org
 DocumentRoot /home/www/htdocs/virtual2.org
 ServerAdmin webmas...@virtual2.org
 ErrorLog /var/log/apache2/www.virtual2.org-error_log
 CustomLog /var/log/apache2/www.virtual2.org-access_log common
 
 A dúvida é como faço para os sitios pessoais com ~(til)?

veja em 

http://httpd.apache.org/docs/2.0/mod/mod_userdir.html

ou procure por: userdir + apache


 
 Obrigado
 
 --
 Marcelo
 Brasil (Brazil, for English Speakers)
 Linux user number 487797
 
 
 --
 To UNSUBSCRIBE, email to
 debian-user-portuguese-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org
 Archive:
 http://lists.debian.org/20120608201706.ga6...@marcelo.ufvjm.edu.br

-- 
Paulo Ricardo Bruck
Consultor Linux
cel 011 9235-4327 tel 011 3596-4881/4882
http://www.contatogs.com.br
skype: suportecontatogs

Re: Outras dúividas sobre iptables e roteamento

[Paulo Ricardo Bruck]

: Moksha Tux  gova...@gmail.com 
 Data: 6 de junho de 2012 10:07
 Assunto: Re: Outras dúvidas sobre Iptables!
 Para: Eden Caldas  edencal...@gmail.com 
 
 
 Muito obrigado pela resposta!
 
 Me perdoe por ter escrito somente pro senhor, segue agora a minha
 resposta ao senhor para todo o forum. Eu fiz a regra no iptables que o
 senhor menciona segue abaixo:
 
 
 wan=eth0
 int=eth1
 dmz=eth2
 rede_int= 10.0.0.0/8 
 
 echo 1  /proc/sys/net/ipv4/ip_forward
 
 e o compartilhamento de toda:
 
 iptables -t nat -A POSTROUTING -s $rede_int -o $wan -j SNAT
 --to-source 200.20.116.52
 iptables -A FORWARD -i $int -s $rede_int -o $wan -j ACCEPT
 
 poxa, com certeza quando eu informo ao firewall 10.0.0.0/8 eu estou
 informando toda a rede 10 não seria isso mesmo? Acredito que não teria
 a obrigação de informar cada VLAN o senhor não concorda? Mas se então
 se eu não puder declarar o gateway da rede 10.203 como esta interface
 se comunicará com as redes das VLANs? Grande abraço,
 
 Moksha

-- 
Paulo Ricardo Bruck
Consultor Linux
cel 011 9235-4327 tel 011 3596-4881/4882
http://www.contatogs.com.br
skype: suportecontatogs


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/811145381.2.1339077292791.javamail.r...@mercurio.contatogs.com.br

Re: Debian 5.0.4 (Lenny)

[Paulo Ricardo Bruck]

- Mensagem original -
 De: Darley Rovaris da Silva darle...@hotmail.com
 Para: Lista Debian debian-user-portuguese@lists.debian.org
 Enviadas: Quarta-feira, 30 de Maio de 2012 10:06:47
 Assunto: Debian 5.0.4 (Lenny)
 Olá a todos da Lista!

Bom dia


 Tenho um servidor rodando o Debian 5.0.4 (Lenny) com vários serviços
 rodando como Squid, Samba, Apache, PHP e estou precisando instalar um
 complemento dos samba, mais precisamente o smbclient. Não estou
 conseguindo fazer nenhum tipo de instalação ou atualização pois pelo
 que vi os repositórios do Lenny foram oficialmente desativados esse
 ano. Alguém sabe alguma forma ou algum repositória na qual eu possa
 fazer instalação dos pacotes que preciso?
 Não posso fazer a atualização do SO no momento, visto que isso seria o
 ideal.

ok se vc verificar no histórico da lista isto já foi comentado creio que semana 
passada...80)
Mas segue o repositorio que vc necessita...80)

deb http://archive.debian.org/debian lenny main contrib non-free

[]s


 Obrigado!
 
 
 
 Darley Rovaris da Silva
 Assistente de Suporte Acadêmico II - FEIS_UNESP
 www.ldc.feis.unesp.br
 User Linux: #435590
 -

-- 
Paulo Ricardo Bruck
Consultor Linux
cel 011 9235-4327 tel 011 3596-4881/4882
http://www.contatogs.com.br
skype: suportecontatogs


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/1177952478.20.1338384040120.javamail.r...@mercurio.contatogs.com.br

Re: Dúvidas sobre Roteador com Iptables

[Paulo Ricardo Bruck]

bom dia 80)

- Mensagem original -
 De: Moksha Tux gova...@gmail.com
 Para: Forum Debian debian-user-portuguese@lists.debian.org
 Enviadas: Quarta-feira, 25 de Abril de 2012 22:56:02
 Assunto: Dúvidas sobre Roteador com Iptables
 Boa noite queridos amigos!
 
 Estou construindo um roteador com iptables para o trabalho mas antes
 estou colhendo bastante informações pois não considero esta ferramenta
 fácil mas já estou tendo algum exito a miha dúvida é a seguinte... por
 ser um roteador devo prestar atenção nas regras INPUT que no caso
 seria relacionado ao próprio host (sistema) e FORWARD que trataria dos
 pacotes vão atravessar este host, sendo assim, as regras de proteção
 eu devo implementá-las tanto em INPUT quanto em FARWARD ex:
 
 #==
 # REGRAS PARA PROTEÇÃO
 #==
 ## INPUT
 
 # CONTRA PING DA MORTE
 iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit
 1/s -j ACCEPT
 
 # ACEITANDO CONEXÕES
 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
 
 # CONTRA PORTCAN OCULTO
 iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit
 --limit 1/s -j ACCEPT
 iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP
 
 # ACEITANDO CONEXÕES
 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
 
 ## FORWARD
 
 # CONTRA PING DA MORTE
 iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
 1/s -j ACCEPT
 
 # ACEITANDO CONEXÕES
 iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 
 # CONTRA PORTCAN OCULTO
 iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit
 --limit 1/s -j ACCEPT
 iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j DROP
 
 
 # ACEITANDO CONEXÕES
 iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 
 #== 
 # FIM DAS REGRAS PARA PROTEÇÃO
 #==
 
 
 Estaria eu tendo uma dúvida relevante ou simplesmente viajando
 literalmente na maionese pergunto isto pois concluí que existe a
 proteção tanto para o host quanto para a rede. Agradeço desde já que
 puder me orientar a respeito. Grande abraço,



em se tratando de segurança vc tem que prestar atençao não só as regras de 
INPUT/OUTPUT como tambem nas regras de FORWARD.

Como vc mesmo disse as regras de INPUT/OUTPUT tem a ver com o 
roteador/firewall, ou seja ele contra o mundo. Imagine por um instante que vc 
descuide destas regras e um atacante acesse o seu roteador/firewall. De nada 
adianta ter as melhores regras de FORWARD do mundo, pois o atacante terá o 
dominio do seu firewaçll/roteador e poderá mudar todas as regras que ele 
quizer.

POr outro lado tambem de nada adianta ter um firewall/roteador que só consegue 
se proteger do mundo se vc deixars a rede de sua empresa aberta nas regras de 
FORWARD.

Se vc quer mesmo construir um bom roteador/firewall para sua empresa tem uma 
leitura que vc DEVE ler OBRIGATORIAMENTE.

Neste ponto é a melhor documentação de firewall que eu já lí e figura no 1 
lugar na lista do netfilter:

http://www.frozentux.net/documents/iptables-tutorial/

creio que depois de ler a doc acima ficara tudo mais claro para vc.

boa leitura e depois poste suas duvidas aqui...80) 

[]s


 Moksha

-- 
Paulo Ricardo Bruck
Consultor Linux
cel 011 9235-4327 tel 011 3596-4881/4882
http://www.contatogs.com.br
skype: suportecontatogs


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/1508555165.1550.1335436651358.javamail.r...@mercurio.contatogs.com.br

Re: Dúvidas sobre Roteador com Iptables

[Paulo Ricardo Bruck]

- Mensagem original -
 De: Moksha Tux gova...@gmail.com
 Para: Paulo Ricardo Bruck paulo...@contatogs.com.br
 Cc: Forum Debian debian-user-portuguese@lists.debian.org
 Enviadas: Quinta-feira, 26 de Abril de 2012 9:32:00
 Assunto: Re: Dúvidas sobre Roteador com Iptables
 Muito obrigado Paulo Ricardo pela sua resposta, então o que me parece
 é que não estou tão errado assim no meu raciocínio? 

não vc esta correto

 Pela lógica
 devemos realmente implementar as políticas em cada chain? 



 sim e setar as policitas de cada chain tambem  


 Obrigado
 pela indicação de leitura, vou iniciar hoje mesmo. Abraços,
 

[]s

 Moksha
 
 
 Em 26 de abril de 2012 07:37, Paulo Ricardo Bruck 
 paulo...@contatogs.com.br  escreveu:
 
 
 bom dia 80)
 
 - Mensagem original -
  De: Moksha Tux  gova...@gmail.com 
  Para: Forum Debian  debian-user-portuguese@lists.debian.org 
  Enviadas: Quarta-feira, 25 de Abril de 2012 22:56:02
  Assunto: Dúvidas sobre Roteador com Iptables
 
 
  Boa noite queridos amigos!
 
  Estou construindo um roteador com iptables para o trabalho mas antes
  estou colhendo bastante informações pois não considero esta
  ferramenta
  fácil mas já estou tendo algum exito a miha dúvida é a seguinte...
  por
  ser um roteador devo prestar atenção nas regras INPUT que no caso
  seria relacionado ao próprio host (sistema) e FORWARD que trataria
  dos
  pacotes vão atravessar este host, sendo assim, as regras de
  proteção
  eu devo implementá-las tanto em INPUT quanto em FARWARD ex:
 
  #==
  # REGRAS PARA PROTEÇÃO
  #==
  ## INPUT
 
  # CONTRA PING DA MORTE
  iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit
  1/s -j ACCEPT
 
  # ACEITANDO CONEXÕES
  iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
 
  # CONTRA PORTCAN OCULTO
  iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit
  --limit 1/s -j ACCEPT
  iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP
 
  # ACEITANDO CONEXÕES
  iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
  
  ## FORWARD
 
  # CONTRA PING DA MORTE
  iptables -A FORWARD -p icmp --icmp-type echo-request -m limit
  --limit
  1/s -j ACCEPT
 
  # ACEITANDO CONEXÕES
  iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 
  # CONTRA PORTCAN OCULTO
  iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit
  --limit 1/s -j ACCEPT
  iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j DROP
 
 
  # ACEITANDO CONEXÕES
  iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 
  #== 
  # FIM DAS REGRAS PARA PROTEÇÃO
  #==
 
 
  Estaria eu tendo uma dúvida relevante ou simplesmente viajando
  literalmente na maionese pergunto isto pois concluí que existe a
  proteção tanto para o host quanto para a rede. Agradeço desde já que
  puder me orientar a respeito. Grande abraço,
 
 
 
 em se tratando de segurança vc tem que prestar atençao não só as
 regras de INPUT/OUTPUT como tambem nas regras de FORWARD.
 
 Como vc mesmo disse as regras de INPUT/OUTPUT tem a ver com o
 roteador/firewall, ou seja ele contra o mundo. Imagine por um instante
 que vc descuide destas regras e um atacante acesse o seu
 roteador/firewall. De nada adianta ter as melhores regras de FORWARD
 do mundo, pois o atacante terá o dominio do seu firewaçll/roteador e
 poderá mudar todas as regras que ele quizer.
 
 POr outro lado tambem de nada adianta ter um firewall/roteador que só
 consegue se proteger do mundo se vc deixars a rede de sua empresa
 aberta nas regras de FORWARD.
 
 Se vc quer mesmo construir um bom roteador/firewall para sua empresa
 tem uma leitura que vc DEVE ler OBRIGATORIAMENTE.
 
 Neste ponto é a melhor documentação de firewall que eu já lí e figura
 no 1 lugar na lista do netfilter:
 
 http://www.frozentux.net/documents/iptables-tutorial/
 
 creio que depois de ler a doc acima ficara tudo mais claro para vc.
 
 boa leitura e depois poste suas duvidas aqui...80)
 
 []s
 
 
  Moksha
 
 --
 Paulo Ricardo Bruck
 Consultor Linux
 cel 011 9235-4327 tel 011 3596-4881/4882
 http://www.contatogs.com.br
 skype: suportecontatogs
 
 
 --
 To UNSUBSCRIBE, email to
 debian-user-portuguese-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org
 Archive:
 http://lists.debian.org/1508555165.1550.1335436651358.javamail.r...@mercurio.contatogs.com.br

-- 
Paulo Ricardo Bruck
Consultor Linux
cel 011 9235-4327 tel 011 3596-4881/4882
http://www.contatogs.com.br
skype: suportecontatogs


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/478823636.1581.1335456412734.javamail.r...@mercurio.contatogs.com.br

Re: Instalar programa não livre

[Paulo Ricardo Bruck]

- Mensagem original -
 De: Sávio M. Ramos savio.deb...@gmail.com
 Para: debian-user-portuguese@lists.debian.org
 Enviadas: Sexta-feira, 9 de Março de 2012 7:16:32
 Assunto: Instalar programa não livre
 Olá,


Bom dia 80)

 
 Desejo instalar um programa não livre que possui arquivo deb.
 
 http://www.3ds.com/products/draftsight/download-draftsight/
 
 Como monitorar o que e onde será instalado e que modificações serão
 feitas em meu sistema?
 

ok vc pode baixar o pacote.deb em sua maquina e ver o conteudo e demais 
informações ANTES de instalar com os comandos:

dpkg -c pacote.deb
e
dpkg -I pacote.deb

maiores detalhes em man dpkg

[]s



 Grato.
 --
 Sávio M Ramos
 Arquiteto, Rio, RJ
 Só uso Linux desde 2000
 www.debian.org
 
 
 --
 To UNSUBSCRIBE, email to
 debian-user-portuguese-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org
 Archive: http://lists.debian.org/20120309071632.2a2152d6@papai

-- 
Paulo Ricardo Bruck
Consultor Linux
cel 011 9235-4327 tel 011 3596-4881/4882
http://www.contatogs.com.br
skype: suportecontatogs


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/760141937.214.1331291144795.javamail.r...@mercurio.contatogs.com.br

Re: Troca de servidores DNS

[Paulo Ricardo Bruck]

- Mensagem original -
 De: Leandro M. Pereira leandro2...@gmail.com
 Para: debian-user-portuguese@lists.debian.org
 Enviadas: Terça-feira, 1 de Março de 2011 21:25:00
 Assunto: Troca de servidores DNS
 Boa noite a todos,

Bom dia 

 
 Na empresa onde trabalho tenho um servidor windows 2003 que funciona
 como PDC, servidor de arquivos e DNS para a rede interna.

ok

 Ultimamente
 ele vem apresentando erros e queria aproveitar essa oportunidade para
 instalar DNS em um servidor linux, que já funcionam como gateway,
 firewall, ocs e mais uma serie de serviços. Ainda utilizo o debian
 Lenny nas maquinas.

arghhh deixa de ser pão duro e separe em 2 servidores. Se sua empresa tivesse 
apenas 10/15 máquinas tudo bem deixar tudo em um único servidor, mas com + de 
150 maquinas na rede interna vale a pena vc separar os serviços para ter mais 
segurança. Vc foi avisado..80)

com relação so 2003, se vc estiver usando apenas como servidor de arquivos vale 
a pena vc estudar um pouco e migrar esta maquina ṕara um 
linux+samba+dhcp+dns+ldap.


 Mas agora vem o problema, tenho uma série de dúvidas que não consigo
 esclarecer quanto ao DNS interno:
 1. preciso cadastrar todos os ip's utlizados no arquivo de
 configuração do bind? são cerca de 150 maquinas.

não é estritamente mandatório , mas bem que vc poderia integrar o dns com o 
dhcp. Faciliat e MUITo a sua vida como administrador.



 2. a função do servidor de dns, aqui na empresa, é agilizar o logon
 das máquinas no PDC, não preciso, por enquanto, resolver nomes de email e
 internet.

ok não só o logon como outras coisinhas a mais. um dns interno ajuda não só na 
resolução de nomes internos como tambem cache se vc estivar usando algun dns 
com esta capacidade ( como por exemplo o BIND9)

 3. existe algum problema em deixar 2 maquinas como servidores de dns?

não e é MUITO indicado isto. conf de dns master/slave .

 4. instalei o mydns, seguindo o tutorial do site howtoforge, mas não
 percebi nenhuma diferença. Segue link:
 http://www.howtoforge.com/installing-mydns-ng-and-mydnsconfig-3-on-debian-lenny

bem este eu não conheço. Sou da velha guarda que prefere o uso do bind. Apesar 
da curva de aprendizado ser um pouco maior ele tem muita doc na net e é facil a 
integração com o dhcp.
pelo que lembro no próprio howtoforge tem explos disto.


 Bom, acho que é só isso.
 
 Atte,
 

[]s
 --
 Leandro M. Pereira leandro2...@gmail.com
 
 
 --
 To UNSUBSCRIBE, email to
 debian-user-portuguese-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org
 Archive: http://lists.debian.org/1299025501.2904.16.camel@odin

-- 
Paulo Ricardo Bruck
Consultor Linux
cel 011 9235-4327 tel 011 3596-4881/4882
http://www.contatogs.com.br

-- 
Paulo Ricardo Bruck
Consultor Linux
cel 011 9235-4327 tel 011 3596-4881/4882
http://www.contatogs.com.br


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/2139088625.165.1299066146571.javamail.r...@mercurio.contatogs.com.br

Re: LVM2 e lvreduce

[Paulo Ricardo Bruck]

- Mensagem original -
 De: Rafael Henrique da Silva Correia rafaelhenr...@gmail.com
 Para: debian-user-portuguese debian-user-portuguese@lists.debian.org
 Enviadas: Terça-feira, 1 de Março de 2011 12:11:15
 Assunto: LVM2 e lvreduce
 Boa tarde pessoal,

Tarde

 
 Estou dando uma estudada pra LPIC 201, e gostaria de saber se existe a
 possibilidade de fazer tal façanha
 
 Tenho um grupo (VG) com PVs associadas e uma LV. Essa LV tem 2 GB, daí
 eu lotei a partição com arquivos de texto bestas (criados com o
 comando
 yes) pra deixá-la cheia.
 
 Tentei reduzir o tamanho da LV para 1 GB utizando o comando
 lvreduce,
 daí após feito isso tenho que redimensionar o sistema de arquivos com
 o
 comando resize2fs mas pra isso o Debian pede para que seja usado o
 comando e2fsck primeiramente, claro como eu tinha certeza deu muito
 problema! Erros e mais erros! Até ai blz, era esperado!

com certeza que era esperado pois vc fez tudo errado.

 
 A minha teoria estava certa... agora vem a pergunta... se eu usar 1GB
 dessa LV e usar o lvreduce eu preciso formatar a partição
 (destruindo
 todos os arquivos)?

arghhh , ok vamos começar com:

a) vc não formata. Vc cria o sistema de arquivos.
b) o processo correto de diminuir um lv é

1) BACKUP DOS DADOS
2) desmontar o sistema de arquivos
3) passar o e2fsck
4) usar o resize2fs para diminuir o sistema de arquivos
5) diminuir o lv
6) montar o seu FS

obvio que estou me referindo ao ext2,3,4. quando usar o reiserfs ( arg) , o 
jfs ou o xfs use as ferramentas adequedas de reparo do seu sistema de arquivos.


 
 Tem algum jeito de fazer isso sem perder os dados?

sim seguindo as regras acima..80)

[]s

 Obrigado a todos
 
 --
 Rafael Henrique da Silva Correia
 http://abraseucodigo.blogspot.com
 
 Administrador de Sistemas Linux
 Certificado pela LPIC - 101
 ID: LPI000160699
 
 
 --
 To UNSUBSCRIBE, email to
 debian-user-portuguese-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org
 Archive: http://lists.debian.org/4d6d0c93.3010...@gmail.com

-- 
Paulo Ricardo Bruck
Consultor Linux
cel 011 9235-4327 tel 011 3596-4881/4882
http://www.contatogs.com.br


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/718279965.36.1298995175883.javamail.r...@mercurio.contatogs.com.br

Re: Configuração de proxy

[Paulo Ricardo Bruck]

- Mensagem original -
 De: Edson - PMSS edson.ama...@saosebastiao.sp.gov.br
 Para: debian-user-portuguese@lists.debian.org
 Enviadas: Quinta-feira, 24 de Fevereiro de 2011 8:13:55
 Assunto: Configuração de proxy
 Gostaria de obter da lista, uma indicação dos parâmetros de
 configuração
 necessários para que um proxy squid de conta de uma rede com
 aproximadamente umas 800 máquinas acessando a net.
 
 Tamanho do cache, espaço em disco, etc.
 
 Estou realizando a configuração deste proxy e com valores padrões, ele
 tem tornado lenta a conexão das máquinas. Se retiro o proxy, as
 máquinas
 navegam com uma certa facilidade.
 
 Estou usando proxy transparente.

arghh  que tal usar WPAD ( abaixo)



leitura obrigatória:

http://wiki.squid-cache.org/FrontPage
http://www.findproxyforurl.com/wpad_tutorial.html
http://www.freeproxy.ru/en/free_proxy/faq/wpad.htm




 --
 To UNSUBSCRIBE, email to
 debian-user-portuguese-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org
 Archive:
 http://lists.debian.org/4d663d73.3030...@saosebastiao.sp.gov.br

-- 
Paulo Ricardo Bruck
Consultor Linux
cel 011 9235-4327 tel 011 3596-4881/4882
http://www.contatogs.com.br


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/629106582.4.1298548765345.javamail.r...@mercurio.contatogs.com.br

Re: Comando Loadkeys

[Paulo Ricardo Bruck]

Boa tarde 

- Mensagem original -
 De: Fábio de Sousa fabi...@gmail.com
 Para: DUP debian-user-portuguese@lists.debian.org
 Enviadas: Segunda-feira, 7 de Fevereiro de 2011 14:49:06
 Assunto: Comando Loadkeys
 Boa tarde, Amigos...
 
 No Debian Lenny eu uso o comando loadkeys br-abnt2 para acertar o mapa
 do teclado...


o load-keys depois que vc reinicializar a maquina é perdido

no lenny o comando é dpkg-reconfigure console-data
no squeeze o comando é dpkg-reconfigure keyboard-configuration

conforme anúncio sobre o debian 6.0...

http://www.debian.org/releases/squeeze/releasenotes
http://www.debian.org/releases/squeeze/i386/release-notes/ch-whats-new.pt.html#unity-keyboard-settings
2.1.5. Definições de teclado unificadas

Neste lançamento, as definições do teclado foram unificadas para que ambos a 
consola e o servidor Xorg usem as mesmas definições. As definições do teclado 
são agora definidas no ficheiro de configuração /etc/default/keyboard o que 
sobrepõe o teclado definido no ficheiro de configuração do Xorg.

O pacote console-setup agora gere o teclado para ambos os ambientes assim como 
a configuração do tipo de letra para a consola. Você pode reconfigurar a 
disposição do teclado e definições relacionadas ao executar dpkg-reconfigure 
keyboard-configuration ou editando manualmente o ficheiro de configuração 
/etc/default/keyboard. 

 No Debian Squeeze não rola mais... é retornado o seguinte: cannot open
 file br-abnt2
 O comando está sendo executado com o root..
 Alguma sugestão.?..
 
 Obrigado,
 Fábiocs
 
 
 ~
 °v° Seja Livre...
 /( )\ Use Linux...
 ^ ^

-- 
Paulo Ricardo Bruck
Consultor Linux
cel 011 9235-4327 tel 011 3596-4881/4882
http://www.contatogs.com.br


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/1335790945.167.1297099875659.javamail.r...@mercurio.contatogs.com.br

Re: similar opensource ZAFRA

[Paulo Ricardo Bruck]

Tanto o server quanto o client são open. 

O zimbra server nada mais é  do que o postfix + mysql + webmail + ldap + 
amavis + spamassassin + clamav + imap+pop + algumas outras coisinhas . Tudo 
integrado e com uma interface amigavel via navegador para vc configurar. 
Recomendo. 

Agora se vc necessitar do conector para outlook ou para iphone e outras 
geringonças vc tem que ir para a versão profissional que é paga.. 

[]s 




De: gunix gustavo.gru...@gmail.com 
Para: Fagner Patricio fagner.patri...@gmail.com 
Cc: Debian debian-user-portuguese@lists.debian.org 
Enviadas: Segunda-feira, 15 de Novembro de 2010 18:14:52 
Assunto: Re: similar opensource ZAFRA 

Olhei sobre o Zimbra, inclusive baixei o cliente, porem algumas coisas dele é 
Trial. 


O que é gratuito? 
O Server + cliente, ou so o cliente é gratuito? 


Zibra é o servidor completo, smtp, imap, pop, ou eu preciso usar por exemplo o 
postfix como base e o ZIMBRA como frontEnd para tele funcionando? 


Att 
Gustavo 


Em 14 de novembro de 2010 09:51, Fagner Patricio  fagner.patri...@gmail.com  
escreveu: 


Não sei se você quer apenas o cliente? 

Aqui na empresa usamos o Zimbra ( http://www.zimbra.com/ ) que da um pau no 
exchange. 

Contudo ele é um solução completa, servidor + cliente. 


Em 12 de novembro de 2010 17:16, gunix  gustavo.gru...@gmail.com  escreveu: 





Galera, 


alguem conhece um cliente WEB como o ZAFRA, opensource que faça frente com o 
echange? 


Att 
Gustavo de Carvalho 


-- 
Fagner Patrício 
João Pessoa - PB 
Brasil 




-- 
Paulo Ricardo Bruck - consultor 
cel 011 9235-4327 tel 011 3596-4881 3596-4882 
Contato Global Solutions 
http://www.contatogs.com.br 

Re: site em casa

[Paulo Ricardo Bruck]

- Carlos Beltrame beltr...@ieee.org escreveu: 
 
 Ola pessoal, 
 
 Tenho um amigo que tem speedy comercial na loja dele com IP fixo, tem como 
 ele montar um site da empresa la mesmo com um servidorzinho apache? Como 
 fazer isso? Abraços 


sim 

a) instalar e configurar o apache 
aptitude install apache2 

b) criar o dominio no registro.br 

c) configurar o dns primario e secundario em algum local apontando para o IP do 
speedy do seu colega 

feito 

 
Yours Truly 
 Carlos Beltrame - Eletrical Engineer 
 IEEE - HTC Brazilian Representative 
 Mobile: +55 18-9795-5271 
 MSN   : c_beltr...@hotmail.com 
 Skype : zebacking 
 UNESP - Campus of Ilha Solteira 
 

 

[Fwd: Cluster]

[Paulo Ricardo Bruck]

Encaminhando para a lista


 Mensagem encaminhada 
 De: Cleber Pressutto [EMAIL PROTECTED]
 Para: [EMAIL PROTECTED]
 Assunto: Cluster
 Data: Fri, 16 Jun 2006 10:23:26 +
 Olá amigo estou tentando montar um cluster de alta disponibilidade, mas não 
 consigo fazer com que os serviços rodem,  gostaria de saber se tem alguma 
 experiencia a area, pois não tenho muita, e  estou precisado muito fazer 
 esse cluster funcionar,
 
 por favor me de uma ajuda.
 

veja os tópicos de heartbeat, drbd, rsync para começar

atts

 ateciosamente cleber.
 
 _
 MSN Busca: fácil, rápido, direto ao ponto.  http://search.msn.com.br
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions - http://www.contato.com.br
fone 011 5031-4932 011 5034-1732 cel 011 9235-4327


signature.asc
Description: Esta é uma parte de mensagem	assinada digitalmente

instalar e boot em um usb hard drive externo

[Paulo Ricardo Bruck]

Olá Pessoal

bem apos uma pesquisa profunda no google e listas do debian venho pedir
ajuda..

comprei um HD de 80G e coloquei em um case com saida usb. Consegui
instalar o debian sarge normalmente mas quando ele dá o boot aparece a
mensagem da Bios dizendo que não achou o boot.

Sei que preciso usar a bios para dar o boot via usb mas como várias
máquinas não tem esta característica, sei que teria que fazer um
disquete de boot para resolver isto.

Aqui eu parei pois sei que tem um disquete de boot do sarge ( boot.img)
e ele depois pede por outro disquete para a finalização do boot. O
problema é como fazer o 2º disquete ou como fazer um disquete de boot
para esta instalação especial. 

a idéia é ter uma unidade de sarge que eu possa levar e conectar em
qualquer máquina.

se alguem tiver mais alguma ideia eu agradeço.
-- 
Paulo Ricardo Bruck 


signature.asc
Description: Esta é uma parte de mensagem	assinada digitalmente

Re: Software para controle de equipamentos

[Paulo Ricardo Bruck]

,
 
 
 Madison Delano Tobal da Paz
 
 --
 Habilidades Profissionais:
 
 WebDesigner
 Administrador de redes 
 Coordenador de plano de migração de pacotes de escritório
 Programador em Delphi
 Modelagem e animação de vídeo em blender 3d
 Profissional da área de qualidade na gestão, elaboração de
 planejamento estratégico organizacional e gerenciamento de
 rotina. 
 
 Contatos:
 E-mail: [EMAIL PROTECTED]
 ICQ: 1992397
 MSN: [EMAIL PROTECTED]
 Home Page: http://www.radioatomic.com.br 
 
 
 
 -- 
 _
°v°  Sérgio Lopes- Analista de Sistema
   /(_)\ São Paulo - SP - BRAZIL
^ ^  Linux user number 373166 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta é uma parte de mensagem	assinada digitalmente

Re: URGENTE - Vpn OpenSwan

[Paulo Ricardo Bruck]

Em Seg, 2005-12-12 às 17:18 -0200, Fabio Aberium escreveu:
 Ola galera da lista!!! 
 
 Seguinte!!! 
 
 Estou fazendo a implementação da VPN OPENSWAN aqui na empresa .. nas
 duas pontas tenho i ptables configurado!!!
 Olhei os logs e o mesmo nao está barrando nenhum pacote 
 
 Quando tento fechar s links entre as duas pontas a VPN me mostra o
 seguinte log:
 
 Dec 12 17:11:31 server pluto[5623]: packet from 200.x.x.x:500: initial
 Main Mode message received on 200.x.x.x:500 but no connection has been
 authorized 
 

vc já usou o tcpdump para ver o que está barrando a comunicação , ou
tentou via logs do firewall ver quem está barrando??

lembrou de liberar o tun+ no firewall nas 2 pontas

 
[]s

 Alguém já teve este tipo de Problema Não consigo detectar um
 solução racional para isso 
 
 Aguardo qq ajuda 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta é uma parte de mensagem	assinada digitalmente

Re: http x https

[Paulo Ricardo Bruck]

Em Sex, 2005-11-18 às 16:59 -0200, Moreira escreveu:
 Caros,
  é possivél ter um server apache rodando em uma maquina com protocolo
 http e https juntos?
  


sim perfeitamente, cada uma reposndendo em uma porta, até se vc quizer
vários dominios no http. No https somente um dominio.


maiores detalhes em apache.org 
ou
guiafoca

ats
 Att.
  
 Leandro Moreira
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta é uma parte de mensagem	assinada digitalmente

Re: Prendendo usuario no seu home

[Paulo Ricardo Bruck]

Em Ter, 2005-09-13 às 11:22 -0300, Leonardo Marques escreveu:
 Olá pessoal,

Olá
 
 Alguém sabe como fazer para prender o usuário no seu home para que ele
 não fique passeando pelo sistema?
 

sim procure por restrictive bash ou rbash ( man bash)

reduzindo no seu /etc/passwd coloque no final em vez de /bin/bash
coloque /bin/rbash e de  uma lida na documentação do bash e do guia foca

[]s

 Obrigado pela atencão,
 []s
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta é uma parte de mensagem	assinada digitalmente

Re: Só poderá navegar com o proxy!

[Paulo Ricardo Bruck]

Em Ter, 2005-09-13 às 13:00 -0300, Ricardo escreveu:
 Fala Jonh, tudo bem?
 Então, cheguei a fazer o proxy ... até ai tudo bem ... mas, e as
 pessoas que utilizam o Outlook ... não está mais funcionando!
 

???
Squid é um proxy http/https e cache de paginas ( sendo usado na forma de
proxy transparente (arghhh) ou com autenticação). Não tem nada a ver com
email que trafega nas portas 25/110/143.

Vc pode ser mais claro em sua afirmação/configuração??

ats

  
 On 9/12/05, Ricardo [EMAIL PROTECTED] wrote: 
 Beleza Jonh,
 eu fiz o proxy transparente ... valeu!
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta é uma parte de mensagem	assinada digitalmente

Re: configurar teclado via console

[Paulo Ricardo Bruck]

Em Sex, 2005-09-09 às 15:08 -0300, Danilo Augusto Vicente Lara escreveu:
 Boa tarde pessoal.

Tarde 90)

 Meu debian 3.1 sarge está com teclado errado,como faço para configurar
 para US via console?
 

a) dpkg-reconfigure console-data
b) lendo o guia foca em: http://focalinux.cipsga.org.br/

[]s

 valeu.
 
 -- 
 Danilo Augusto Vicente Lara
 [EMAIL PROTECTED]
 Celular: 61 9994-1361
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta é uma parte de mensagem	assinada digitalmente

Re: IPTABLES - dúvida

[Paulo Ricardo Bruck]

Em Sex, 2005-09-02 às 02:05 -0300, Romulo Sousa escreveu:
 Olá pessoal,

Olá 
 
 Estou com uma dúvida em relação a maneira como as chains são
 interpretadas pelo iptables. Tenho a seguinte situação: introduzi uma
 chain INPUT aceitando um tráfego cujo o endereço IP de origem foi
 especificado. Os IP's restantes foram descartados com o target DROP.

oui vc pode setar a politica como DROP:
iptables -P INPUT DROP 
( é mais saudável assim , pois se vc esquecer de liberar algo, com
certeza este algo será dropado..80)

 Entretanto, eu mudei de idéia. Ao invés de ter um único IP de origem
 pelo qual posso acessar um serviço (digamos ftp), eu quero introduzir
 uma nova chain INPUT para filtrar os pacotes que chegam por um segundo
 endereço.
ok

 Dúvida: posso simplesmente escrever sequencialmente uma nova chain
 mesmo que ela tenha sido anteriormente negada?
 
NÂO. se vc negar tudo ele não olha a proxima regra.


 ex:
 #iptables -I INPUT -p tcp -s 200.0.0.1 --dport 21 -j ACCEPT
ok tudo o que vier do source 200.0.0.1 com destino a port 21 será aceito

 #iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 21 -j DROP
TUDo que vier de QUALQUER REDE com destino a porta 21 será sumariamnete
DROPADO


 
 //adicionando um novo endereço para acesso
 
 #iptables -I INPUT -p tcp -s 200.0.0.2 --dport 21 -j ACCEPT
erro erro erro vc já dropou todas as comnexôes com a regra acima de
DROP

 #iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 21 -j DROP
 
 1 - o iptables aceita esse tipo de retalho?

NÂO, mas vc pode mudar a sequencia para aceitas de onde vc que e a)
dropar coma regra que vc colocou b) colocar a politica como drop.

 2 - é elegante escrever regras de firewall onde a cada momento que
 apareça uma nova idéia de bloqueio/acesso a um serviço ou porta eu
 acorrentar as regras dessa maneira?

é o mais natural. normalmente as redes e regras não são estaticas. vc
tem que de vez em quando liberar ou retirar regras do su firewall.
portanto para facilitar sua vida faça um script delas.80)

 3 - a última linha (abaixo do segundo IP aceito) pode ser descartada
 já que o pacote vai ser descartado de qualquer maneira (acho!) quando
 não é nem o 200.0.0.1 nem o 200.0.0.2 o IP de origem?
 
novamente depende de como vc setou a politica do seu firewall. Lembra o
iptables -P ???


aconselho a vc ler o melhor tutorial que eu conheço de firewall que é do
Oscar em :
http://iptables-tutorial.frozentux.net/chunkyhtml/index.html

[]s e boa leitura

 Um grande abraço a todos,
 
 Romulo Sousa
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta é uma parte de mensagem	assinada digitalmente

[OT] mambo em debian

[Paulo Ricardo Bruck]

Olá pessoal

Temos um cliente em São Paulo que tem juntamente com o Apache uma
aplicação  em Mambo e o mesmo está a procura de empresa/profissional
para dar continuidade a Intranet que ele está montando.

Para isto estamos a procura de um profissional/empresa na cidade de São
Paulo.

Quem quizer/tiver interesse, por favor me envie o e-mail em pvt para não
poluir a lista.

Detalhes óbvios: servidor Debian Sarge80)

[]s
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta é uma parte de mensagem	assinada digitalmente

Re: Troca de senha via WEB - Squid

[Paulo Ricardo Bruck]

Em Qua, 2005-08-10 às 10:52 -0300, Serial escreveu:
 Bom dia pessoal.
 
 Alguém conhece algum aplicativos para troca 
 de senhas de usuarios squid via WEB?

sim conheço...

desculpe com tantos flames na lista eu não pude resistir80)

procure por chpasswd e admwebuser no google
 
 Obrigado
 
 [.]´s
 
 Serial
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta é uma parte de mensagem	assinada digitalmente

Re: variaveis

[Paulo Ricardo Bruck]

Em Qui, 2005-07-28 às 08:23 -0300, Denisvaldo escreveu:
 alguem sabe como eu faço para exportar uma váriavel para todas as
 seçoes que estiverem abertas?

sim man bash...
desculpe não pude resistir...

2 possibilidades.

a) se for somente para um dado usuário coloque no .bash_profile do
usuário como 

TUX=debian
export TUX

b) se for para todo e qualquer usuário coloque no /etc/profile

PS não se esqueça do exit seguido do login para que ele começe a
funcionar ou source .bash_profile
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta é uma parte de mensagem	assinada digitalmente

Re: acessar ftp

[Paulo Ricardo Bruck]

Em Qui, 2005-07-28 às 14:57 -0300, maiquel escreveu:
 galera blz.. tenho o seguinte problema to tentando acessar a 
 ftp.buscautomovel.com.br
 ate ae blz.. do servidor eu acesso legal .. msa das estacoes nao consigo
 
 liberei no firwall acesso direto.. liberei no squdi..
 mas nao vai.. essa ftp as outras ftps como da uol kernel puc
 vai blz..
 alguem tem alguma ideia pra me ajuidar

bem com o poco de inf que vc colocou fica dificil.
a) o firewall está junto com o proxy?
b) vc subiu o mod nat do ftp ( iptables )


[]s
 
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta é uma parte de mensagem	assinada digitalmente

Re: SSH sem login e senha

[Paulo Ricardo Bruck]

Em Ter, 2005-07-26 às 09:44 -0300, Leandro de Jesus escreveu:
 Fala galera ... blz ?
 
 como é que eu monto um servidor SSH que não pede login
 e senha ? ... estou estudando isso para montar um
 Cluster ...

vide man ssh-keygen


quando ele pedir a senha de um enter

[]s
 
 Valeu .. t+
 
 
   
   
   
 ___ 
 Yahoo! Acesso Grátis - Internet rápida e grátis. 
 Instale o discador agora! http://br.acesso.yahoo.com/
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta é uma parte de mensagem	assinada digitalmente

Re: Load Balance

[Paulo Ricardo Bruck]

Em Sex, 2005-07-22 às 09:55 -0300, Pedro Paulo Toledo escreveu:
 Pessoal,
  
 Estou com o seguinte problema .. configurei load-balance com 2 speedys
 em uma lan .. mas está acontecendo o seguinte .. depois de um tempo o
 msn cai .. quem está jogando na net cai .. navegação em página .. fica
 normal .. alguem já teve esse problema ? ou tem ideia do que eu posso
 fazer .. 


sim mantenha estes protocolos saindo preferencialmente somente por 1 dos
2 links... tem certos protocolos que não gostam de receber/enviar via
2 links...


[]s
  
  
 Obrigado ..
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta é uma parte de mensagem	assinada digitalmente

Re: Load Balance

[Paulo Ricardo Bruck]

Em Sex, 2005-07-22 às 10:29 -0300, Pedro Paulo Toledo escreveu:
 entao .. na verdade .. a unica coisa q estaria sendo balanceada .. é as
 paginas de internet ..

bem não sei o  que passa pelo seu firewall, mas o MSN e o jogos vc terá
que passar apenas por 1 link usando ou iptables ou o tc

 
 posso criar regras de nat .. para manter .. tudo o que for diferente da
 porta 80 .. saindo por 1 dos links .. certo ?
 
sim use o iptables mark, mangle ou classify ou o tc para marcar os
pacotes.


 
 - Original Message - 
 From: Paulo Ricardo Bruck [EMAIL PROTECTED]
 To: Lista - Debian debian-user-portuguese@lists.debian.org
 Sent: Friday, July 22, 2005 10:25 AM
 Subject: Re: Load Balance
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta é uma parte de mensagem	assinada digitalmente

Re: Load Balance

[Paulo Ricardo Bruck]

Em Sex, 2005-07-22 às 14:26 -0300, Pedro Paulo Toledo escreveu:
 voce tem algum tutorial de load balance .. para comparar com o script que eu
 montei ?

aprendí tudo no:

http://lartc.org/howto/lartc.rpdb.multiple-links.html

lá tem um capítulo só de load-balance e aliado com os outros capítulos
de tc vc consegue mandar algumas portas somente por 1 link.
 
 
 valeu ..
 - Original Message - 
 From: Paulo Ricardo Bruck [EMAIL PROTECTED]
 To: debian-user-portuguese@lists.debian.org
 Cc: Pedro Paulo Toledo [EMAIL PROTECTED]
 Sent: Friday, July 22, 2005 10:40 AM
 Subject: Re: Load Balance
 
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta é uma parte de mensagem	assinada digitalmente

Re: [OFF] DSN Primario e Secundário

[Paulo Ricardo Bruck]

Em Seg, 2005-07-18 às 10:35 -0300, Rodrigo Carvalho escreveu:
 Olá Lista, desculpe eu estar postando isso aqui, mas esta é a única
 lista q utilizo! =)


hehehehe olá Rodrigo.

 Possuo dois links um de 1MB  e outro de 1,5MB. Só que, volta e meia, o
 de 1.5MB, que é via rádio, cai! E meus clientes acabam ficando sem
 seus e-mails que ficam armazenados no meu servidor.

humm porque vc não coloca no seu DNS o MX secundário ??

 Aí vem as minhas dúvidas:
 - Quando o meu servidor DNS primário cai,  quanto tempo leva para o
 secundário responder as requisições? 

de imediato, (desde que ele não tenha o seu DNS no cache dele), senão
depois do TTL que vc colocaou no seu DNS.

 - Caso seja só na próxima propagação de DNS, não existe uma maneira de
 efetuar essa troca mais rapidademente?

bem analise a possibilidade de colocar um seguindo MX em sua zone e de
diminuir o TTL de sua zona

Com as poucas infs que vc passou , somente estas ieias é que me ocorrem
agora.


[]s
 
 Desde já agradeço,
 -- 
 Rodrigo C. Carvalho
 
 = SO: Debian Sarge   Iptables 1.3.1SQUID 2.5 (STABLE 9)
 =
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta é uma parte de mensagem	assinada digitalmente

Re: Help URGENTE - SQUID....

[Paulo Ricardo Bruck]

Em Ter, 2005-06-28 às 10:01 -0300, Sgt Scherolt escreveu:
 Nossa... alguem pode ajudar??
 
 
 Configurei um squid em uma máquina cliente NIS.
 
 Com as configurações abaixo:
 
 [squid.conf]
 
 # AUTENTICACAO---
 auth_param basic program /usr/lib/squid/pam_auth -n squid
 auth_param basic children 5
 auth_param basic realm Servidor Proxy VIOLA - Autenticação
 auth_param basic credentialsttl 1 hours
 auth_param basic casesensitive on
 acl password proxy_auth REQUIRED
 #
 
 /etc/pam.d/squid
 
 auth required pam_unix.so
 account  required pam_unix.so
 
 Como faço para que o SQUID autentique os usuários do NIS???
 
 Está autenticando apenas os usuários locais.
 
 Já testei o NIS está OK, me logo via SSH nestá maquina com SQUID usando 
 os USUÁRIOS NIS.
 
 Já li sobre soluções de autenticação do SQUID (/usr/lib/squid/ncsa_auth 
 /etc/squid/password)
 
 Mas ai teria de recadastrar todos novamente e teriam uma senha 
 apenas pro SQUID
 
 Me corrijam se estiver errado
 
 
 Por favor respostas


heheheh, veja abaixo
/usr/lib/squid# l
total 261
. cut...
-rwxr-xr-x  1 root  root8280 2005-05-29 19:30 yp_auth
^

agora vc vai ter que caçar a inf de autenticação via yp_auth que é o que
vc deve usar para NIS

[]s



 
 
 
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta é uma parte de mensagem	assinada digitalmente

Re: apt com proxy

[Paulo Ricardo Bruck]

Em Sex, 2005-06-24 às 15:37 -0300, Yupanqui Munoz escreveu:
 Aqui um exemplo que uso no trabalho
 
 Acquire{
 HTTP::proxy http://10.50.50.29:3128;;
 FTP::proxy http://10.50.50.29:3128;;
 }

humm apenas melhorando um pouco (retirado do man apt.conf)
Acquire{
HTTP::proxy http://usuario:[EMAIL PROTECTED]:3128;
FTP::proxy http://usuario:[EMAIL PROTECTED]:3128;
}

esta diretiva deve ficar no /etc/apt/apt.conf

THE ACQUIRE GROUP
   The  Acquire  group of options controls the download of packages
and the
   URI handlers.

   Queue-Mode
  Queuing mode; Queue-Mode can be  one  of  host  or  access
which
  determines  how APT parallelizes outgoing connections.
host means
  that one connection per target host will be opened, access
means
  that one connection per URI type will be opened.

   Retries
  Number  of retries to perform. If this is non-zero APT
will retry
  failed files the given number of times.

   Source-Symlinks
  Use symlinks for source archives. If  set  to  true  then
source
  archives will be symlinked when possible instead of
copying. True
  is the default.

   http   HTTP URIs; http::Proxy is the default http proxy to use.
It is in
  the  standard  form  of
http://[[user][:[EMAIL PROTECTED]:port]/. Per
  host  proxies  can  also  be  specified   by   using   the
form
  http::Proxy::host  with  the  special keyword DIRECT
meaning to
  use no proxies. The http_proxy environment variable will
override
  all settings.





 
 
 
 Em 24/06/05, Cristiano Silva dos Santos[EMAIL PROTECTED] escreveu:
   Usuários do Debian,
  
   Estou usando o debian e queria saber como faço para configurar o
  apt.conf para instalar pacotes que se encontram em repositórios do tipo
  ftp. Mas eu estou atrás de um Proxy squid, pelo menos o repositórios do
  tipo http consigo baixar e instalar os pacotes sem problemas.
  Estou querendo instalar os pacotes que se encontram no repositório
  deb ftp://ftp.nerim.net/debian-marillat/ stable main, principalmente os
  para vídeo, mas quando faço o comando apt-get update lê todos o
  reposiórios http numa boa só nesse que fica na mensagem:
  
  Err ftp://ftp.nerim.net stable Release.gpg
Server closed the connection
  Ign ftp://ftp.nerim.net stable Release
  Ign ftp://ftp.nerim.net stable/main Packages
  Err ftp://ftp.nerim.net stable/main Packages
Server closed the connection
  Fetched 4B in 1m59s (0B/s)
  Failed to fetch
  ftp://ftp.nerim.net/debian-marillat/dists/stable/Release.gpg  Server
  closed the connection
  Failed to fetch
  ftp://ftp.nerim.net/debian-marillat/dists/stable/main/binary-i386/Packages.gz
  Server closed the connection
  Reading package lists... Done
  W: Couldn't stat source package list ftp://ftp.nerim.net stable/main
  Packages
  (/var/lib/apt/lists/ftp.nerim.net_debian-marillat_dists_stable_main_binary-i386_Packages)
  - stat (2 No such file or directory)
  W: You may want to run apt-get update to correct these problems
  E: Some index files failed to download, they have been ignored, or old
  ones used instead.
  
  Possivelmente é problema de configuração de proxy, alguém poderia me
  ajudar?
  
  Cristiano Silva
  icq:298820904
  msn:[EMAIL PROTECTED]
  
  --
  To UNSUBSCRIBE, email to [EMAIL PROTECTED]
  with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
  
  
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta é uma parte de mensagem	assinada digitalmente

Re: Squid + Iptables

[Paulo Ricardo Bruck]

Em Qua, 2005-06-01 às 12:10 -0300, JVander escreveu:
 Olá,
 Eu tenho o squid rodando aqui e uma regra no iptables para fazer o 
 chamado squid transparente, no entanto existe uma aplicação que deverá 
 sair do pela porta 80 mesmo, pois trata-se de um aplicativo do caixa 
 economica federal no ip 200.201.174.007.
 Como liberar a porta 80 somente pra este endereço?

colocando a regra antes do redirecionamento para o proxy transparente ou
na regra do proxy transparente vc coloca um -d !  200.201.174.007

[]s
 
 []s
 
 Vander
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: Forçar senha

[Paulo Ricardo Bruck]

Em Qua, 2005-06-01 às 16:17 -0300, Donato escreveu:
 Pessoal gostaria de saber como forçar meus usuários a ter senhas de no 
 mínimo 8 caracteres alpha numérico.
 


humm não sei se entendí bem a sua pergunta mas o + facil é vc ver no
arquivo /etc/login.defs que por padrão já coloca como 8 caracteres
#
# Number of significant characters in the password for crypt().
# Default is 8, don't change unless your crypt() is better.
# If using MD5 in your PAM configuration, set this higher.
#
PASS_MAX_LEN8

ou se desejar mexer mais ainda ai vamos brincar com o PAM.


[]s
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: Plano de Contigência

[Paulo Ricardo Bruck]

Em Sex, 2005-05-27 às 11:12 -0300, caio ferreira escreveu:
 Paulo Ricardo Bruck escreveu:
  Com relação ao 2 link vc pode ter links balanceados, ou seja não precisa
  deixar o link parado para contingencia. O mesmo é válido para os
  servidores em cluster.
 
   Alguem aqui da lista já fez isso, balanceamento de carga entre dois 
 links ?!?!?!
 

eu

em 3 clientes.. e antes que vc pergunte : http://lartc.org/

[]s
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: Plano de Contigência

[Paulo Ricardo Bruck]

Em Qua, 2005-05-25 às 14:41 -0300, Marcio Castilheiro escreveu:
 Boa Tarde Pessoal,

Olá Marcio
 
 Gostaria de trocar algumas idéias com pessoas que conhecem bem a parte de
 Contigencia em linux, vou demonstrar um ambiente, e o que gostaria de fazer.
 
 Inclusive existe a possibilidade de contratarmos alguem para colaborar nesta
 questão, neste caso peço para entrar em contato diretamente comigo colocando
 +/- o tempo de horas que pode ser gasta para esta tarefa e o valor hora
 cobrado, estou na região da Paulista x Nove de Julho / SP.
 
 1. Questão: Bem hoje tenho 5 servidores Debian, minha contigencia hoje é
 apenas backup gravado em disco e fita DAT preciso melhorar isso, estou
 pensando em ter Raid5 e Cluster de maquina, tendo os devidos recursos
 acredito que seja possivel fazer sem grandes problemas certo?
 


a +_  ter cluster de máquina significa possivelmente ter que acertar
o particionamento dos servidores atuais. Mesmo Raid 5 vc terá
possivelmente que refazer alguma máquina.


para ajudar melhor seria conveniente vc colocar um diagrama asci dos
seus servidores e o que roda em cada um deles.
 
 2. Hoje tenho um link Embratel, penso em ter um link para contigencia, sendo
 assim precisarei de certca de 5 Ips válidos, e penso em deixar cada servidor
 configurado com seu devido IP do link de contigencia, configurando também no
 DNS os respectivos IPS de contigencia, agora pergunto, por estarem em redes
 diferentes ( sub-net diferente ) é possivel fazer o que estou pensando em
 fazer?
 

sim DNS serve tambem para isto 80), além logico de como vc vai fazer o
cluster de máquinas. Pode não ser necessário uma outra sub-rede, mas
isto vai depender muito do projeto.

Com relação ao 2 link vc pode ter links balanceados, ou seja não precisa
deixar o link parado para contingencia. O mesmo é válido para os
servidores em cluster.

 Aceito sugestões e criticas,
 
 Muito Obrigado,
 

ats
 
 Atenciosamente,
 
 Marcio A. Castilheiro
 Analista de Suporte
 Opus Software / Yázigi Internexus
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: Squid no Debian

[Paulo Ricardo Bruck]

Em Ter, 2005-05-24 às 13:23 -0300, Hugo Rebello escreveu:
 Pessoal,

olá 80)
 
 Estou com um proxy Squid configurado no meu Debian com 650 usuários 
 e  conexões simultaneas.
ok

 Agora o proxy está ficando lento para abrir as páginas, gostaria de 
 saber como eu faço para melhorar a performance do mesmo ?
 Existe alguma coisa de configuração que eu possa fazer isso ?
 A máquina é um servidor Compaq Pentium III 800MHZ com 512Mb de memória.

bem sem maiores infs sobre HD que vc está usando ou o seu squid.conf
fica difícil. Em geral o squid necessita de memoria e disco rapido
( SCSI)

Vc pode comecar colocando mais memória ou diminuir o tamanho do seu
cache para usar menos memoria.
ou trocar o seu hd por um mais rapido entre outros...
 
 Obrigado,
 Hugo
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: Squid no Debian

[Paulo Ricardo Bruck]

Em Ter, 2005-05-24 às 13:55 -0300, Hugo Rebello escreveu:
 Paulo,

Olá Hugo
 
 Eu estou usando um HDD 16Gb SCSI com 52% de espaço livre.
 54% de memória está sendo usado para o Squid, mas o grande problema é 
 que o Squid está consumindo 95% á 99% de processamento.

ok, mas quanto de memória vc tem na maq. ?
tem outros processos rodando nela???

 Abaixo está a configuração do meu squid.conf.
 *
 http_port 8080
 cache_peer proxy.teste.com parent 8080 3130
 hierarchy_stoplist cgi-bin ?
 acl QUERY urlpath_regex cgi-bin \?
 no_cache deny QUERY
 cache_mem 30 MB
aqui vc pode diminuir para 16MB

 cache_swap_low 90
 cache_swap_high 95
 maximum_object_size 3072 KB
 cache_dir ufs /var/spool/squid 9000 16 256
^^^  ^^^ 
humm aqui vc pode mudar para aufs

o 9000 so consigo responder depois de saber o quanto de memoria vc tem
na maquina8-)

 cache_access_log /var/log/squid/access.log
 ftp_user Squid@
que tal colocar o seu dominio depois do @ ?? 8)

 auth_param basic children 5
para 650 usuários 5 children é pouco.. aumente um pouco ou vc poderá ter
problemas quando todos tentarem para acessar ao mesmo tempo...

 auth_param basic realm Squid proxy-caching web server
 auth_param basic credentialsttl 2 hours
 auth_param basic casesensitive off
 refresh_pattern ^ftp:   144020% 10080
 refresh_pattern ^gopher:14400%  1440
 refresh_pattern .   0   20% 4320
 acl dhl_network src /etc/squid/dhl_network
 acl dhl_hosts src /etc/squid/dhl_hosts
 acl apro_sites url_regex -i /etc/squid/apro_sites
 acl part_sites url_regex -i /etc/squid/part_sites
 acl dhl_proi src /etc/squid/dhl_proi
 acl pro_domain dstdomain /etc/squid/pro_domain
 acl black_domain dstdomain /var/lib/squidguard/blackdomains
 acl pro_sites url_regex -i /etc/squid/pro_sites
 acl black_sites url_regex -i /var/lib/squidguard/blackurls
 acl porn url_regex /etc/squid/porn.txt
 acl mpeg urlpath_regex .mpeg$
 acl avi urlpath_regex .avi$
 acl mov urlpath_regex .mov$
 acl screen urlpath_regex .src$
 acl mp3 urlpath_regex .mp3$

em geral regras de url_regex e urlpath sobrecarregam o squid e o deixam
lento. quantas linhas tem cada regra desta???

 acl all src 0.0.0.0/0.0.0.0
 acl manager proto cache_object
 acl localhost src 127.0.0.1/255.255.255.255
 acl to_localhost dst 127.0.0.0/8
 acl SSL_ports port 443 563
 acl Safe_ports port 80  # http
 acl Safe_ports port 21  # ftp
 acl Safe_ports port 443 563 # https, snews
 acl Safe_ports port 70  # gopher
 acl Safe_ports port 210 # wais
 acl Safe_ports port 1025-65535  # unregistered ports
 acl Safe_ports port 280 # http-mgmt
 acl Safe_ports port 488 # gss-http
 acl Safe_ports port 591 # filemaker
 acl Safe_ports port 777 # multiling http
 acl CONNECT method CONNECT
 http_access allow manager localhost
 http_access deny manager
 http_access deny !Safe_ports
 http_access deny CONNECT !SSL_ports
 http_access allow apro_sites
 http_access allow dhl_hosts part_sites
 http_access deny pro_domain
 http_access deny black_domain
 http_access deny pro_sites
 http_access deny black_sites
 http_access deny mpeg
 http_access deny avi
 http_access deny mov
 http_access deny mp3
 http_access deny screen
 http_access deny porn
 http_access deny dhl_proi
 http_access allow dhl_network
 http_access deny all
 
 http_reply_access allow all
 icp_access allow all
 icp_access allow all
 cache_effective_user squid
 visible_hostname on
 httpd_accel_with_proxy on
 never_direct allow all
 coredump_dir /var/spool/squid
 *
 
 Obrigado,
 Hugo
 
 
 
 Paulo Ricardo Bruck wrote:
 
 Em Ter, 2005-05-24 às 13:23 -0300, Hugo Rebello escreveu:
   
 
 Pessoal,
 
 
 
 olá 80)
   
 
 Estou com um proxy Squid configurado no meu Debian com 650 usuários 
 e  conexões simultaneas.
 
 
 ok
 
   
 
 Agora o proxy está ficando lento para abrir as páginas, gostaria de 
 saber como eu faço para melhorar a performance do mesmo ?
 Existe alguma coisa de configuração que eu possa fazer isso ?
 A máquina é um servidor Compaq Pentium III 800MHZ com 512Mb de memória.
 
 
 
 bem sem maiores infs sobre HD que vc está usando ou o seu squid.conf
 fica difícil. Em geral o squid necessita de memoria e disco rapido
 ( SCSI)
 
 Vc pode comecar colocando mais memória ou diminuir o tamanho do seu
 cache para usar menos memoria.
 ou trocar o seu hd por um mais rapido entre outros...
   
 
 Obrigado,
 Hugo
 
 
 
 
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: Squid no Debian

[Paulo Ricardo Bruck]

Em Ter, 2005-05-24 às 14:59 -0300, Hugo Rebello escreveu:
 A máquina tem 512Mb de memória.

humm isto indica que vc poderia ter um cache de até +-23000 no cache, ou
seja está sobrando memória.

Bem como o cache está em 98/99% de cpu, isto nos leva a pensar que sua
listas estão muito grandes ( o porcesso de url_regex e urlpath deve
estar comendo bastante processamento.)

quantas linhas vc tem , por exemplo no :
squidguard/blackurls
/etc/squid/porn.txt


com um wc -l resolve...80)

[]s


 
 Obrigado,
 
 Abs.,
 Hugo
 
 
 Paulo Ricardo Bruck wrote:
 
 Em Ter, 2005-05-24 às 13:55 -0300, Hugo Rebello escreveu:
   
 
 Paulo,
 
 
 
 Olá Hugo
   
 
 Eu estou usando um HDD 16Gb SCSI com 52% de espaço livre.
 54% de memória está sendo usado para o Squid, mas o grande problema é 
 que o Squid está consumindo 95% á 99% de processamento.
 
 
 
 ok, mas quanto de memória vc tem na maq. ?
 tem outros processos rodando nela???
 
   
 
 Abaixo está a configuração do meu squid.conf.
 *
 http_port 8080
 cache_peer proxy.teste.com parent 8080 3130
 hierarchy_stoplist cgi-bin ?
 acl QUERY urlpath_regex cgi-bin \?
 no_cache deny QUERY
 cache_mem 30 MB
 
 
 aqui vc pode diminuir para 16MB
 
   
 
 cache_swap_low 90
 cache_swap_high 95
 maximum_object_size 3072 KB
 cache_dir ufs /var/spool/squid 9000 16 256
 
 
 ^^^  ^^^ 
 humm aqui vc pode mudar para aufs
 
 o 9000 so consigo responder depois de saber o quanto de memoria vc tem
 na maquina8-)
 
   
 
 cache_access_log /var/log/squid/access.log
 ftp_user Squid@
 
 
 que tal colocar o seu dominio depois do @ ?? 8)
 
   
 
 auth_param basic children 5
 
 
 para 650 usuários 5 children é pouco.. aumente um pouco ou vc poderá ter
 problemas quando todos tentarem para acessar ao mesmo tempo...
 
   
 
 auth_param basic realm Squid proxy-caching web server
 auth_param basic credentialsttl 2 hours
 auth_param basic casesensitive off
 refresh_pattern ^ftp:   144020% 10080
 refresh_pattern ^gopher:14400%  1440
 refresh_pattern .   0   20% 4320
 acl dhl_network src /etc/squid/dhl_network
 acl dhl_hosts src /etc/squid/dhl_hosts
 acl apro_sites url_regex -i /etc/squid/apro_sites
 acl part_sites url_regex -i /etc/squid/part_sites
 acl dhl_proi src /etc/squid/dhl_proi
 acl pro_domain dstdomain /etc/squid/pro_domain
 acl black_domain dstdomain /var/lib/squidguard/blackdomains
 acl pro_sites url_regex -i /etc/squid/pro_sites
 acl black_sites url_regex -i /var/lib/squidguard/blackurls
 acl porn url_regex /etc/squid/porn.txt
 acl mpeg urlpath_regex .mpeg$
 acl avi urlpath_regex .avi$
 acl mov urlpath_regex .mov$
 acl screen urlpath_regex .src$
 acl mp3 urlpath_regex .mp3$
 
 
 
 em geral regras de url_regex e urlpath sobrecarregam o squid e o deixam
 lento. quantas linhas tem cada regra desta???
 
   
 
 acl all src 0.0.0.0/0.0.0.0
 acl manager proto cache_object
 acl localhost src 127.0.0.1/255.255.255.255
 acl to_localhost dst 127.0.0.0/8
 acl SSL_ports port 443 563
 acl Safe_ports port 80  # http
 acl Safe_ports port 21  # ftp
 acl Safe_ports port 443 563 # https, snews
 acl Safe_ports port 70  # gopher
 acl Safe_ports port 210 # wais
 acl Safe_ports port 1025-65535  # unregistered ports
 acl Safe_ports port 280 # http-mgmt
 acl Safe_ports port 488 # gss-http
 acl Safe_ports port 591 # filemaker
 acl Safe_ports port 777 # multiling http
 acl CONNECT method CONNECT
 http_access allow manager localhost
 http_access deny manager
 http_access deny !Safe_ports
 http_access deny CONNECT !SSL_ports
 http_access allow apro_sites
 http_access allow dhl_hosts part_sites
 http_access deny pro_domain
 http_access deny black_domain
 http_access deny pro_sites
 http_access deny black_sites
 http_access deny mpeg
 http_access deny avi
 http_access deny mov
 http_access deny mp3
 http_access deny screen
 http_access deny porn
 http_access deny dhl_proi
 http_access allow dhl_network
 http_access deny all
 
 http_reply_access allow all
 icp_access allow all
 icp_access allow all
 cache_effective_user squid
 visible_hostname on
 httpd_accel_with_proxy on
 never_direct allow all
 coredump_dir /var/spool/squid
 *
 
 Obrigado,
 Hugo
 
 
 
 Paulo Ricardo Bruck wrote:
 
 
 
 Em Ter, 2005-05-24 às 13:23 -0300, Hugo Rebello escreveu:
  
 
   
 
 Pessoal,

 
 
 
 olá 80)
  
 
   
 
 Estou com um proxy Squid configurado no meu Debian com 650 usuários 
 e  conexões simultaneas.

 
 
 
 ok
 
  
 
   
 
 Agora o proxy está ficando lento para abrir as páginas, gostaria de 
 saber como eu faço para melhorar a performance do mesmo ?
 Existe alguma coisa de configuração que eu possa fazer isso ?
 A máquina é um servidor Compaq Pentium III 800MHZ com 512Mb de memória.

 
 
 
 bem sem maiores infs sobre HD que vc está usando ou o seu squid.conf
 fica difícil

Re: Squid no Debian

[Paulo Ricardo Bruck]

Em Ter, 2005-05-24 às 16:21 -0300, Hugo Rebello escreveu:
 Quando eu comentei a acl dos blackurls o servidor começou a utilizar 
 somente 20% de processamento.
 Você acha que 22848 linhas é muito para um black list ?


hehehehe pelo visto é muito para sua máquina ou usando as acl com regex
do jeito que vc está usando...80)

eu trabalho na minha maq atual com +-1.300.000 sites em um k6-2-300 com
256MRAm...80)
 E se eu tirar a opção -i do url_regex, será que isso muda alguma coisa ?

nunca tentei. o -i significa case insensitive, ou seja Porn,porn,PORN
ele analisa da mesma maneiro. Se vc tirar o -i pode ser que vc deixe
passar alguma url que começe com letra maiúscula. Mas toda tentativa é
valida...

[]s
 
 Abs.,
 Hugo
 
 
 
 Paulo Ricardo Bruck wrote:
 
 Em Ter, 2005-05-24 às 15:37 -0300, Hugo Rebello escreveu:
   
 
 No arquivo /etc/squid/porn.txt eu tenho 224 linhas
 No arquivo squidguard/blackurls eu já tenho 22848 linhas :-P
 
 
 
 
 humm pouco para dar tanto processamento extra assim.
 
 Vc já experimentou comentar as acl de bloqueio para ver se o consumo
 diminui?
 
 outro ponto, vc pode colar o ntop ?? ele ajuda a visualizar a sua
 máquina.
 
 []s
   
 
 Paulo Ricardo Bruck wrote:
 
 
 
 Em Ter, 2005-05-24 às 14:59 -0300, Hugo Rebello escreveu:
  
 
   
 
 A máquina tem 512Mb de memória.

 
 
 
 humm isto indica que vc poderia ter um cache de até +-23000 no cache, ou
 seja está sobrando memória.
 
 Bem como o cache está em 98/99% de cpu, isto nos leva a pensar que sua
 listas estão muito grandes ( o porcesso de url_regex e urlpath deve
 estar comendo bastante processamento.)
 
 quantas linhas vc tem , por exemplo no :
 squidguard/blackurls
 /etc/squid/porn.txt
 
 
 com um wc -l resolve...80)
 
 []s
 
 
  
 
   
 
 Obrigado,
 
 Abs.,
 Hugo
 
 
 Paulo Ricardo Bruck wrote:
 

 
 
 
 Em Ter, 2005-05-24 às 13:55 -0300, Hugo Rebello escreveu:
 
 
  
 
   
 
 Paulo,
   
 

 
 
 
 Olá Hugo
 
 
  
 
   
 
 Eu estou usando um HDD 16Gb SCSI com 52% de espaço livre.
 54% de memória está sendo usado para o Squid, mas o grande problema é 
 que o Squid está consumindo 95% á 99% de processamento.
   
 

 
 
 
 ok, mas quanto de memória vc tem na maq. ?
 tem outros processos rodando nela???
 
 
 
  
 
   
 
 Abaixo está a configuração do meu squid.conf.
 *
 http_port 8080
 cache_peer proxy.teste.com parent 8080 3130
 hierarchy_stoplist cgi-bin ?
 acl QUERY urlpath_regex cgi-bin \?
 no_cache deny QUERY
 cache_mem 30 MB
   
 

 
 
 
 aqui vc pode diminuir para 16MB
 
 
 
  
 
   
 
 cache_swap_low 90
 cache_swap_high 95
 maximum_object_size 3072 KB
 cache_dir ufs /var/spool/squid 9000 16 256
   
 

 
 
 
   ^^^  ^^^ 
 humm aqui vc pode mudar para aufs
 
 o 9000 so consigo responder depois de saber o quanto de memoria vc tem
 na maquina8-)
 
 
 
  
 
   
 
 cache_access_log /var/log/squid/access.log
 ftp_user Squid@
   
 

 
 
 
 que tal colocar o seu dominio depois do @ ?? 8)
 
 
 
  
 
   
 
 auth_param basic children 5
   
 

 
 
 
 para 650 usuários 5 children é pouco.. aumente um pouco ou vc poderá ter
 problemas quando todos tentarem para acessar ao mesmo tempo...
 
 
 
  
 
   
 
 auth_param basic realm Squid proxy-caching web server
 auth_param basic credentialsttl 2 hours
 auth_param basic casesensitive off
 refresh_pattern ^ftp:   144020% 10080
 refresh_pattern ^gopher:14400%  1440
 refresh_pattern .   0   20% 4320
 acl dhl_network src /etc/squid/dhl_network
 acl dhl_hosts src /etc/squid/dhl_hosts
 acl apro_sites url_regex -i /etc/squid/apro_sites
 acl part_sites url_regex -i /etc/squid/part_sites
 acl dhl_proi src /etc/squid/dhl_proi
 acl pro_domain dstdomain /etc/squid/pro_domain
 acl black_domain dstdomain /var/lib/squidguard/blackdomains
 acl pro_sites url_regex -i /etc/squid/pro_sites
 acl black_sites url_regex -i /var/lib/squidguard/blackurls
 acl porn url_regex /etc/squid/porn.txt
 acl mpeg urlpath_regex .mpeg$
 acl avi urlpath_regex .avi$
 acl mov urlpath_regex .mov$
 acl screen urlpath_regex .src$
 acl mp3 urlpath_regex .mp3$
   
 

 
 
 
 em geral regras de url_regex e urlpath sobrecarregam o squid e o deixam
 lento. quantas linhas tem cada regra desta???
 
 
 
  
 
   
 
 acl all src 0.0.0.0/0.0.0.0
 acl manager proto cache_object
 acl localhost src 127.0.0.1/255.255.255.255
 acl to_localhost dst 127.0.0.0/8
 acl SSL_ports port 443 563
 acl Safe_ports port 80  # http
 acl Safe_ports port 21  # ftp
 acl Safe_ports port 443 563 # https, snews
 acl Safe_ports port 70  # gopher
 acl Safe_ports port 210 # wais
 acl Safe_ports port 1025-65535  # unregistered ports
 acl Safe_ports port 280

Re: Mais SQUID

[Paulo Ricardo Bruck]

Em Ter, 2005-05-24 às 16:08 -0300, Carlos Henrique Júnior escreveu:
 alguém sabe me falar ai se o SQUID faz log de acesso por IP ou por
 login usado para passar por ele?
 


opps hoje é dia de responder a perguintas do Squid...80)

dependendo de como vc faz a autenticação ele faz os logs de acesso por
nome e por IP.

[]s
 -- 
 
 Cordialmente,
 Carlos Henrique Júnior
 Desenvolvedor / Analista (Web)
 (31) 9103-1038
 [EMAIL PROTECTED]
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: Mais SQUID

[Paulo Ricardo Bruck]

Em Ter, 2005-05-24 às 16:51 -0300, Carlos Henrique Júnior escreveu:
 ai vai da configuração do servidor neh? a...
 
 bom, o servidor daki eh o Red Hat (urgh!), alguém ai sabe a conf
 default do SQUID nele?

ok. por padrão deve estar em /etc/squid.conf ou /etc/squid/squid.conf.

para ter certeza, rpm -qa | grep squid
e depois rpm -ql squid ( se não me falha a memória...80)

[]s
 
 On 5/24/05, Paulo Ricardo Bruck [EMAIL PROTECTED] wrote:
 Em Ter, 2005-05-24 às 16:08 -0300, Carlos Henrique Júnior
 escreveu: 
  alguém sabe me falar ai se o SQUID faz log de acesso por IP
 ou por
  login usado para passar por ele?
 
 
 
 opps hoje é dia de responder a perguintas do Squid...80)
 
 dependendo de como vc faz a autenticação ele faz os logs de
 acesso por 
 nome e por IP.
 
 []s
  --
 
  Cordialmente,
  Carlos Henrique Júnior
  Desenvolvedor / Analista (Web)
  (31) 9103-1038
  [EMAIL PROTECTED]
 --
 Paulo Ricardo Bruck - consultor
 Contato Global Solutions
 tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327
 
 
 BodyID:236063974.2.n.logpart (stored separately)
 
 
 
 
 -- 
 
 Cordialmente,
 Carlos Henrique Júnior
 Desenvolvedor / Analista (Web)
 (31) 9103-1038
 [EMAIL PROTECTED]
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: nivel de =?ISO-8859-1?Q?seguran=E7a?= desse script iptables

[Paulo Ricardo Bruck]

Em Seg, 2005-05-09 às 00:42 -0300, Jeison Sanches escreveu:
 Ola. Gostaria de saber dos experts em iptables o nivel de segurança 
 desse script :  baixo,


baixíssimo vide abaixo
  medio ou alto. sei q esta bem simples porem 
 gostaria de algumas dicas para aumentar a segurança.
 
 Obrigado
 
 
 LAN='10.1.x.x/28'
 # Limpa Tudo
 iptables -F
 iptables -F INPUT
 iptables -t nat -F
 # Definicao do Policiamento
 #Table Filter
 iptables -t filter -P INPUT DROP
 iptables -t filter -P OUTPUTACCEPT

bem aqui é uma briga. Uns dizem para deixar em DROP, outro dizem que
pode-se deixar em ACCEPT para facilitar as regras. Aqui vai da
preferencia do administrador.
 iptables -t filter -P FORWARD   ACCEPT
 ARRRGGG DROP sem sombra de dúvidas, a não ser que vc queira
fazer uma peneira e não um firewall



 #Table nat
 iptables -t nat -P PREROUTING   ACCEPT
 iptables -t nat -P OUTPUT   ACCEPT
 iptables -t nat -P POSTROUTING  ACCEPT
 
ok
 # Conexoes estabelecidas e loopback
 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 iptables -A INPUT -i lo -j ACCEPT
 
ok

 # Filtrando a rede interna
 
 iptables -t filter -A INPUT -p tcp -s $LAN --dport 22 -j ACCEPT
 iptables -t filter -A INPUT -p udp -s $LAN --dport 22 -j ACCEPT
 
UPD descnecessario pois ssh funciona via tcp ...

 iptables -t filter -A INPUT -p tcp --syn -s $LAN -j ACCEPT
 iptables -t filter -A INPUT -s $LAN -p icmp -j ACCEPT
 
opps seria interessante colocar limite no icmp e vc aceira syn e mais
nada não significa nada



 #Liberando para fora
 
 iptables -t filter -A INPUT -p tcp -i ppp0 --dport 22 -j ACCEPT
 
aceitando ssh no firewall sem maiores proteções eu não aconselho.


 # Ip Masquerade
 
 iptables -t nat -A POSTROUTING -s $LAN -j MASQUERADE


vc tem IP estático ou dinamico? se for dinamico use a regra acima. se
for estatico use SNAT

 iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT 
 --to-port 3128

eu DETESTO proxy transparente, mas se vc quizer ter dores de cabeça , vá
em frente.



 echo 1  /proc/sys/net/ipv4/ip_forward
 
 
 ### Anti IP Spoofing ###
 for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
 echo 1 $i
 done
 
lixo, existem maneiras melhores de se usar anti-spoof via iptables.


 
 # A tentativa de acesso externo a estes serviços serão registrados no syslog
 # do sistema e serão bloqueados pela última regra abaixo.
 iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix FIREWALL: ftp 
 iptables -A INPUT -p tcp --dport 25 -j LOG --log-prefix FIREWALL: smtp 
 iptables -A INPUT -p udp --dport 53 -j LOG --log-prefix FIREWALL: dns 
 iptables -A INPUT -p tcp --dport 110 -j LOG --log-prefix FIREWALL: pop3 
 iptables -A INPUT -p tcp --dport 113 -j LOG --log-prefix FIREWALL: identd 
 iptables -A INPUT -p udp --dport 111 -j LOG --log-prefix FIREWALL: rpc
 iptables -A INPUT -p tcp --dport 111 -j LOG --log-prefix FIREWALL: rpc
 iptables -A INPUT -p tcp --dport 137:139 -j LOG --log-prefix FIREWALL: 
 samba 
 iptables -A INPUT -p udp --dport 137:139 -j LOG --log-prefix FIREWALL: 
 samba 
 
ARRRGHH vc esta colocando FTP, samba DNS , SMTP no firewall,
meu amigo, desista, vc terá uma dor de cabeça imensa coloque estes
serviços em uma outra máquina e deixe no firewall ssh, squid e iptables,
ou se vcs for bom em segurança e iptables  ai que sabe vc pdoeria
colocar os serviços acima.80)




 
 
 # Bloquear MSN
 iptables -A FORWARD -s $LAN -p tcp --dport 1863 -j REJECT
 iptables -A FORWARD -s $LAN -d loginnet.passport.com -j REJECT
 iptables -A FORWARD -s $LAN -d webmessenger.msn.com -j REJECT
 

ok



voltando aqui o seu nivel de segurança é baixissimo..
aconselharia a NÃO usar este script


ats
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: nivel de =?ISO-8859-1?Q?seguran=E7a?= desse script iptables

[Paulo Ricardo Bruck]

Em Seg, 2005-05-09 às 09:29 -0300, Julio Cesar de Magalhaes escreveu:
 Em Seg, 2005-05-09 às 09:17 -0300, Paulo Ricardo Bruck escreveu:
   
   # A tentativa de acesso externo a estes serviços serão registrados
  no syslog
   # do sistema e serão bloqueados pela última regra abaixo.
   iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix FIREWALL:
  ftp 
   iptables -A INPUT -p tcp --dport 25 -j LOG --log-prefix FIREWALL:
  smtp 
   iptables -A INPUT -p udp --dport 53 -j LOG --log-prefix FIREWALL:
  dns 
   iptables -A INPUT -p tcp --dport 110 -j LOG --log-prefix FIREWALL:
  pop3 
   iptables -A INPUT -p tcp --dport 113 -j LOG --log-prefix FIREWALL:
  identd 
   iptables -A INPUT -p udp --dport 111 -j LOG --log-prefix FIREWALL:
  rpc
   iptables -A INPUT -p tcp --dport 111 -j LOG --log-prefix FIREWALL:
  rpc
   iptables -A INPUT -p tcp --dport 137:139 -j LOG --log-prefix
  FIREWALL: 
   samba 
   iptables -A INPUT -p udp --dport 137:139 -j LOG --log-prefix
  FIREWALL: 
   samba 
   
  ARRRGHH vc esta colocando FTP, samba DNS , SMTP no
  firewall,
  meu amigo, desista, vc terá uma dor de cabeça imensa coloque estes
  serviços em uma outra máquina e deixe no firewall ssh, squid e
  iptables,
  ou se vcs for bom em segurança e iptables  ai que sabe vc pdoeria
  colocar os serviços acima.80)
 
 Tenho a impressão que as regras acima são DROP estão listadas aí apenas
 para efeito de log.


OPPPs, sim desculpe, mas quando ví a política de FORWARD em ACCEPT, eu
já jogaria fora o script. 

Já que a sua politica de INPUT está em DROP, vc logaria as tentativas de
acesso do seu firewall no syslog.

Mas, como o seu FORWARD está em ACCEPT aí começam os seus problemas.
Conserto
iptables -A FORWARD -i $LAN -o $WAN -j ACCEPT
( tudo que entrar pela sua placa de rede da rede interna e sair pela wan
vc aceita...) MESMO ASSIM , para se ter um firewall seguro e proteger
não apenas a sua rede, mas tambem o mundo ( afinal , vcv pode ter um
hacker na sua rede interna e depois a bomba estoura na sua mão, vc
coloca as regras de FORWARD em DROP e permite APENAS o que vc
deseja)

Mas uma das questões que sempre menciono é que não basta somente um
firewall para proteção. 

Porque vc me perguntaria?
porque um firewall se assemalha a um leão de chacara de boate.

Se vc tem convite vc entra ( explo porta 22)

agora se vc esta com o convite e entra armado com uma bazuca e
metraladoras o firewall deixa vc passar da mesma maneira ( já que vc tem
convite ( porta 22)


portanto , se vc quizer usar o script anterior não o use do jeito que
está

ats

 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: nivel de =?ISO-8859-1?Q?seguran=E7a?= desse script iptables

[Paulo Ricardo Bruck]

Em Seg, 2005-05-09 às 12:20 -0300, Jeison Sanches escreveu:
 Como eu devo bloquear tudo e liberar so o necessario indo e vindo da 
 internet ?:

Jeison, 

Firewall não é algo muito simples, principalmente porque mexe na área de
segurança.

Aconselho a vc antes de mais nada ver estes 2 sites:

a) focalinux.cipsga.org.br/  em portugues ( não só somente firewall)
b) http://iptables-tutorial.frozentux.net/iptables-tutorial.html ( em
ingles) 

após a leitura dos tutorias creio que possamos ajudá-lo melhor.


ats
 
 com o policiamento na tabela filter :
 
 #Table Filter
 iptables -t filter -P INPUT DROP
 iptables -t filter -P OUTPUTDROP
 iptables -t filter -P FORWARD   DROP
 
 ?
 
 mas depois eu libero embaixo e nao surte efeito. Voces poderia me dar um 
 exemplo ?
 
 
 Obrigado pelas dicas..
 
 
 
 
 
 Paulo Ricardo Bruck wrote:
 
 Em Seg, 2005-05-09 às 09:29 -0300, Julio Cesar de Magalhaes escreveu:
   
 
 Em Seg, 2005-05-09 às 09:17 -0300, Paulo Ricardo Bruck escreveu:
 
 
 # A tentativa de acesso externo a estes serviços serão registrados
 
 
 no syslog
   
 
 # do sistema e serão bloqueados pela última regra abaixo.
 iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix FIREWALL:
 
 
 ftp 
   
 
 iptables -A INPUT -p tcp --dport 25 -j LOG --log-prefix FIREWALL:
 
 
 smtp 
   
 
 iptables -A INPUT -p udp --dport 53 -j LOG --log-prefix FIREWALL:
 
 
 dns 
   
 
 iptables -A INPUT -p tcp --dport 110 -j LOG --log-prefix FIREWALL:
 
 
 pop3 
   
 
 iptables -A INPUT -p tcp --dport 113 -j LOG --log-prefix FIREWALL:
 
 
 identd 
   
 
 iptables -A INPUT -p udp --dport 111 -j LOG --log-prefix FIREWALL:
 
 
 rpc
   
 
 iptables -A INPUT -p tcp --dport 111 -j LOG --log-prefix FIREWALL:
 
 
 rpc
   
 
 iptables -A INPUT -p tcp --dport 137:139 -j LOG --log-prefix
 
 
 FIREWALL: 
   
 
 samba 
 iptables -A INPUT -p udp --dport 137:139 -j LOG --log-prefix
 
 
 FIREWALL: 
   
 
 samba 
 
 
 
 ARRRGHH vc esta colocando FTP, samba DNS , SMTP no
 firewall,
 meu amigo, desista, vc terá uma dor de cabeça imensa coloque estes
 serviços em uma outra máquina e deixe no firewall ssh, squid e
 iptables,
 ou se vcs for bom em segurança e iptables  ai que sabe vc pdoeria
 colocar os serviços acima.80)
   
 
 Tenho a impressão que as regras acima são DROP estão listadas aí apenas
 para efeito de log.
 
 
 
 
 OPPPs, sim desculpe, mas quando ví a política de FORWARD em ACCEPT, eu
 já jogaria fora o script. 
 
 Já que a sua politica de INPUT está em DROP, vc logaria as tentativas de
 acesso do seu firewall no syslog.
 
 Mas, como o seu FORWARD está em ACCEPT aí começam os seus problemas.
 Conserto
 iptables -A FORWARD -i $LAN -o $WAN -j ACCEPT
 ( tudo que entrar pela sua placa de rede da rede interna e sair pela wan
 vc aceita...) MESMO ASSIM , para se ter um firewall seguro e proteger
 não apenas a sua rede, mas tambem o mundo ( afinal , vcv pode ter um
 hacker na sua rede interna e depois a bomba estoura na sua mão, vc
 coloca as regras de FORWARD em DROP e permite APENAS o que vc
 deseja)
 
 Mas uma das questões que sempre menciono é que não basta somente um
 firewall para proteção. 
 
 Porque vc me perguntaria?
 porque um firewall se assemalha a um leão de chacara de boate.
 
 Se vc tem convite vc entra ( explo porta 22)
 
 agora se vc esta com o convite e entra armado com uma bazuca e
 metraladoras o firewall deixa vc passar da mesma maneira ( já que vc tem
 convite ( porta 22)
 
 
 portanto , se vc quizer usar o script anterior não o use do jeito que
 está
 
 ats
 
   
 
 
 
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: bandwidth.conf

[Paulo Ricardo Bruck]

Em Seg, 2005-05-09 às 15:31 -0300, Caio Ferreira escreveu:
  Em Seg, 2005-05-09 às 13:46 -0300, Caio Ferreira escreveu:
  Por acaso alguem aqui da lista já instalou e configurou o software 
  bandwidth ?!? É que eu estou 
  tendo problemas para configurar o aplicativo.
  
  bem eu instalei por um .deb que eu achei ( creio do unstable) e está
  funcionando +- ( mostra por dia mas por semana/ano não mostra nada...
  em que posso ajudar?? envie para a lista o bandwidthd.conf
 
 Eu fiz a instalação via .tar.gz e não tive nenhum problema. O problema esta 
 sendo em relação
 ao gráfico que é apresentado. Quando vou visualizar o .html aparece a 
 seguinte mensagem de
 erro:

ok 
a) vc startou o daemon?
b) como vc startou ?
c) qual a placa que vc deixou ouvindo?
d) de quanto em quanto tempo ele gera os gráficos

ou se for mais fácil poste  na lista a linha de comando que vc usou ou o
arquivo de conf.

ats
 
 bandwidthd has nothing to graph. This message should be replaced by graphs in 
 a few minutes. If it's not,
 please see the section titled Known Bugs and Troubleshooting in the README
 
 Eu imagino que seja alguma coisa no arquivo de configuração.
  
  .''`.   Caio Abreu Ferreira
 : :'  :  GNU/Linux Debian
 `. `'`   Gnupg ID 0x01186BE1
   `- Linux Couter 327834
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: Debian CDD como servidor ?

[Paulo Ricardo Bruck]

Em Ter, 2005-04-26 às 13:36 -0300, Antonio Carlos escreveu:
 Boa tarde lista,
  

tarde 8)

 Instalei o Debian CDD em uma máquina aqui na empresa para funcionar 
 como servidor de LTS para terminais burros, mas essa máquina também 
 trabalhará como servidor de internet, banco de dados, etc...
argh...

  
 Gostaria de saber se é necessário dar um upgrate na distro, ou posso 
 tranquilamente utilizar o CDD para esse fim, sem que hajam problemas
 de segurança, ou coisa parecida...

meu amigo colocar bco de dados , ser de internet, LTSP TUDO na mesma
máquina vc está procurando encrenca. Se vc quizer nada o impede de
colocar tudo no mesmo servidor, mas daí vc querer um serv SEGURO para
que outros no mundo possam acessar daí vai uma grnde distância.

Não uso o CDD, mas como é um debian vc pode apontar para os
reposit[orios normais e fazer um aptitude update; aptitude install 

  
 Se alguém tiver alguma dica sobre o que é necessário atualizar, ou
 mesmo 
 quais endereços preciso colocar no meu sources.list ficarei
 agradecido.
  

pata isto instale o pacote :
p   netselect-apt- Choose the fastest Debian mirror
with nets



[]s
 Abraços,
 Antonio Carlos de Moura
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: como abrir uma porta

[Paulo Ricardo Bruck]

Em Qua, 2005-04-20 às 10:21 -0300, rickardosantos escreveu:
 Olá lista 
 
 Estou precisando abrir uma porta no servidor 
 
 a sintaxe que estou usando: 
 
 IPTABLES -T NAT -A PREROUTING -I ETH0 -P TCP --DPORT 80 -J DNAT --TO 
 DIGITEI O IP 

??? vc quer abrir ou redirecionar o www para o DIGITEI IP ???


se for redirfecionar adicione  a  linha

iptables -A FORWARD -i eth0 -d DIGITEI IP -p tcp --dport 80 - j ACCEPT



PS aproveite para ler o tutorial netfilter do Oscar em :
http://iptables-tutorial.frozentux.net/iptables-tutorial.html

[]s
 
 Mas não está abrindo. 
 
 Francisco 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: Forçar permissões arquivos/diretórios em acesso LOCAL

[Paulo Ricardo Bruck]

Em Qui, 2005-04-14 às 07:54 -0300, Ivo Santos Cavalcante Carneiro
escreveu:
 Marcos Vinicius Lazarini wrote:
  Se colocar um script no cron, não dá mais trabalho nenhum... Que tal?
  
  
  O problema é a 'latência' - de quanto em quanto tempo é razoável? muito 
  tempo faz vc esperar de bobeira, pouco tempo gasta mais CPU...
  eu realmente nao considero uma boa solução.
 
 Nem eu, Marcos. Não me conformo! Uma coisa aparentemente tão simples! 
 Tem uma outra solução, bem forçada, que citei no primeiro mail: criar um 
   arquivo com sistema de arquivos FAT32 e montar forçando as permissões 
 de grupo / usuário. Faço isso em uma partição FAT32 que tenho aqui, 
 funciona bem. Não sei quanto a desempenho, mas.
 
 Sugestões / comentários?

ok vcs venceram..80)

vc pode usra as ACL do kernel para isto ( preferencialmente o kernel 2.6
que já tem suporte nativo). veja os pacotes:

aptitude show acl
Pacote : acl
Estado: não instalado
Versão : 2.2.29-1.0.1
Prioridade : opcional
Seção : utils
Mantenedor : Nathan Scott [EMAIL PROTECTED]
Tamanho Descompactado : 127k
Depende de: libacl1, libattr1 (= 2.4.4-1), libc6 (= 2.3.2.ds1-4)
Descrição : Access control list utilities
 This package contains the getfacl and setfacl utilities needed for
manipulating
 access control lists.

e um excelente tutorial sobre acl ( heheheh do pessoal do fedora)
http://www.vanemery.com/Linux/ACL/linux-acl.html

se alguem tiver um tutorial em portugues melhor , por favor repassem a
lista 8)

ats

 
 
 Abraços,
 Ivo Cavalcante
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

netdev watchdog eth0 transmit time out

[Paulo Ricardo Bruck]

Olá Pessoal

Após alguma pesquisa no google e na lista, não encontrei nada parecido.

estou fazendo instalação de uma maquina PIV ASUS e placa chi-setVia
Rhine e Sarge RC3.

Quando ligo com kernel 2.4.27 funciona normal.

colocando kernel-image-2.6.8-2-386 ou kernel-image-2.6.10-1-386 (sid)
vem a mensagem abaixo. Isto ocorre não só com a via rhine , mas com a
realtek tambem.

NETDEV WATCHDOG: eth0 : transmit timed out
eth0 link up 100Mbps, full-duplex, lpd 0x455E1


alguem tem alguma dica??


[]s


-- 
Paulo Ricardo Bruck - consultor



signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

RE: netdev watchdog eth0 transmit time out

[Paulo Ricardo Bruck]

Em Qui, 2005-04-14 às 11:58 -0300, Diogo Pontual escreveu:
 Olá,
 
 Tenta colocar o parâmetro noapic na inicialização do
 kernel.

ok para histórico da lista. funcionou.

Obrigado Diogo pela dica

[]s
 
 []',s
 
 Diogo
 
 __
 Converse com seus amigos em tempo real com o Yahoo! Messenger 
 http://br.download.yahoo.com/messenger/ 
 
 
-- 
Paulo Ricardo Bruck - consultor



signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: Forçar permissões arquivos/diretórios em acesso LOCAL

[Paulo Ricardo Bruck]

Em Qua, 2005-04-13 às 03:36 -0300, Ivo Santos Cavalcante Carneiro
escreveu:
 Olá amigos.

olá 8)
 
 Após muito tempo sem postar nada, estou de volta e precisando de uma ajuda.
 

ok vamos lá
 Preciso criar uma árvore de diretórios em que alguns usuários podem 
 acessar livremente - entenda-se copiar, alterar e deletar arquivos, 
 inclusive uns dos outros. Infelizmente, não consegui colocar as coisas 
 desse modo. Já setei o SGID no diretórios, mas não houve jeito. Segue 
 exemplo abaixo:
 
 dirPai - dono: root, grupo: data-ladm, permissões: drwxrwsr-x
 dirPai/dirFilho: dono: root, grupo: data-ladm, permissões: drwxrwsr-x
 
 Minha intenção era que todo arquivo/diretório criado em dirPai e ou 
 dirFilho tivessem o grupo setado para 'data-ladm', com permissões de 
 leitura e escrita. Dessa forma, conseguiria o tipo de controle que 
 preciso. Descobri, pra meu desgosto, que comandos como 'mv' e 'cp' 
 quebram a regra. Faz até sentido, visto que, se um usuário é dono do 
 arquivo, pode alterar as permissões e grupos sem problemas. O 'touch', 
 obviamente, funciona.
 
 Fica então a pergunta: alguém sabe como forçar esses grupos/permissões?
 



sim man bash procurando por umask:
  umask [-p] [-S] [mode]
  The  user file-creation mask is set to mode.  If mode
begins with a digit, it is interpreted as an octal number;  otherwise
it  is interpreted  as  a symbolic mode mask similar to that accepted by
  chmod(1).  If mode is omitted, the current value of the
mask  is printed.  The -S option causes the mask to be printed in
symbolic form; the default output is an octal number.  If the -p option
is supplied,  and  mode is omitted, the output is in a form that may
be reused as input.  The return status is 0 if the mode was
successfully  changed or if no mode argument was supplied, and false
otherwise.

ou do guia foca:
http://focalinux.cipsga.org.br/guia/inic_interm/ch-perm.htm#s-perm-umask

[]s



 P.S. 1: já pesquisei no Google, antes que perguntem...   :-)
 P.S. 2: já li os manuais, pelo menos os que achei pertinentes.
 P.S. 3: já pensei em soluções drásticas, como montar um arquivo com 
 sistema de arquivos FAT32 e setar permissões no mount, mas quero tentar 
 fazer as coisas de uma forma mais limpa.
 
 
 
 Abraços,
 Ivo Cavalcante
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: gerenciamento de inicialização de daemons

[Paulo Ricardo Bruck]

Em Sáb, 2005-03-26 às 05:11 -0300, José Antonio Boyd Cardoso escreveu:
 Em Sun, 27 Mar 2005 00:13:24 -0300
 Thiago Andrighetti [EMAIL PROTECTED] escreveu:
 
  Alguem conhece algum pacote para gerenciamento de inicialização de daemons
  para o debian, tipo o ntsysv do redhat...
  
  vlw
  
 
 Câmbio !
 
 # apt-get install rcconf

ou update-rc.d  escolha ..80)

[]s
 
 Saudações,
 
 --
 ../)._/.Jose Antonio Boyd Cardoso
 ./_)()\/(/..Registred Linux user number # 137975
 ../.Desejo-lhe Paz, Amor, Saúde e Alegria.
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: Habilitando o packet forwarding no Debian

[Paulo Ricardo Bruck]

Em Seg, 2005-03-21 às 23:47 -0300, Marcos Vinicius Lazarini escreveu:
 leo_jfa wrote:
  pessoal to fazendo os meus primeros teste para a criação de uma vpn n 
  Debian, tenho uma tutorial mto bel
  elaborado so que para o conectiva, eu preciso habilitar o packet forwarding 
  no conectiva ele se encontra no
  arquivo  /etc/sysctl.conf. Alguem pode me informar onde posso habilitar 
  essa opção no debian?
 
 Tentou usar o próprio /etc/sysctl.conf? Existe no debian tbm (pelo menos 
 no sarge/testing existe)

ou se vc preferir, no próprio diretório de configuração das placas
( network) vc tyem isto, Dê uma olhada em /etc/network/options e vc
verá:
ip_forward=no
spoofprotect=yes
syncookies=no


já que vc vai mexer com VPN ( se for freeswan) vc deverá colocar:
ip_forward=yes
spoofprotect=no

ats




 
 -- 
 Marcos
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: Firewall

[Paulo Ricardo Bruck]

Em Ter, 2005-03-22 às 14:17 -0300, Daniel Szortyka escreveu:
 Cara,
 
 o guia focalinux já é um inicio se você tiver um pouco de conhecimento.
 http://focalinux.cipsga.org.br/guia/avancado/ch-fw-iptables.htm
 
 abrax :)

depois vem a evolução com o site abaixo ( em inglês), mas é o melhor
tutorial que eu já lí de iptables.80)

http://iptables-tutorial.frozentux.net/
 
 
 On Tue, 22 Mar 2005 14:24:40 -0300, Gusmao [EMAIL PROTECTED] wrote:
  Ola pessoal, gostaria de saber se existe alguma documentação para que eu
  possa estudar Firewall..
  
  --
  To UNSUBSCRIBE, email to [EMAIL PROTECTED]
  with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
  
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: roteador com debian sarge

[Paulo Ricardo Bruck]

Em Seg, 2005-03-14 às 15:35 -0300, Francisco Welington de Sousa Lima
escreveu:
 Olá pessoal,
Gostaria de saber onde pego informações sobre como configurar um
 roteador usando o debian sarge, sei que ele tem que ter duas placas de
 rede, pois queremos criar uma intranet e ter acesso a internet.


humm bem ampla a sua pergunta.

Bem se for só roteador 
- /etc/network/interfaces ( configuração das 2 placas de rede)
- vi /etc/network/options ( onde se lê ip_forward=no coloque
ip_forward=yes)

e man interfaces..80)

pronto vc já tem um roteador, agora se vc que ter um roteador + firewall
http://iptables-tutorial.frozentux.net/ onde vc encontra o melhor
tutorial sobre Iptables que eu já lí.


agora se vc deseja roteamento avançado, veja o quagga em:
http://quagga.net/ que é o substitude do antigo zebra.


ats


 obrigado
 
 
 Dr. F. W. S. Lima
 Departamento de Física
 Centro de Ciência da Natureza
 Campus Petrônio Portela
 Universidade Federal do Piauí
 Teresina-Piauí-Brasil
 
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: Viva o Governo Brasileiro!

[Paulo Ricardo Bruck]

Em Qui, 2005-03-10 às 16:21 -0300, Savio Ramos escreveu:
 On Fri, 25 Feb 2005 19:39:06 -0300
 Ananias Filho - Kram3r [EMAIL PROTECTED] wrote:
 
  o que algum de voces estao fazendo para que essa realidade mude?
 
 Sou professor de AutoCAD (paciência, ninguém é perfeito...) em um curso de
 Arquitetura. Sempre, mas sempre mesmo, encho o saco dos meus alunos para 
 usarem
 GNU/Linux e a dificuldade é sempre a mesma: um programa do mesmo nível do
 AutoCAD.

vc já vou o software QCAd ( cad 2 D GPL) e o Varicad ( salva em formato
autocad , mas infelizmente não é GPL., mas em compensação é bem + barato
que o Autocad)..80)
 
 O que procuro passar é que mesmo assim não uso winblows há três anos, exceto
 quando leciono, e que apesar das dificuldades é possível ser livre.
 
 Obs: nestes três anos não consegui evangelizar ninguém. Não sei o que faço de
 errado... Não é por falta de exemplo, até camisa da Debian uso para lecionar.


heheheh é que é + facil ser pirata do que estudar um pouco...8(

[]s de um professor que leciona Linux 8)
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: configurar proxy em navegador

[Paulo Ricardo Bruck]

Em Qua, 2005-03-09 às 12:43 -0300, Carlos Alberto Mota Castro escreveu:
 pessoal, preciso configurar o firefox em cada maquina
 (linux/windows) para salvar as configurações do proxy
 por maquina ou por samba, por usuario seria
 impraticável, ja que uso samba/pdc e tenho por volta
 de 200 usuários. Como faço então para salvar as
 configurações por máquina ou samba para que todos os
 usuarios tenham a mesma configuração do proxy?! Alguem sabe?
 

sim de uma olhada em  no google por proxy.pac e wpad:

http://wp.netscape.com/eng/mozilla/2.0/relnotes/demo/proxy-live.html
http://www.freeproxy.ru/en/free_proxy/faq/wpad.htm

[]s
   
   
   
 ___ 
 Yahoo! Acesso Grátis - Instale o discador do Yahoo! agora. 
 http://br.acesso.yahoo.com/ - Internet rápida e grátis
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: msn

[Paulo Ricardo Bruck]

Em Qua, 2005-03-09 às 15:30 -0300, maiquel escreveu:
 galera tudo bom... a gerencia da onde eu trabalho que limitar
 um certo tempo de usio para o msn
 por exepmlo a maquina de ip 10.1.66.66 tem direito de usar o msn
 das 14 hrs as 16 hrs.. tem como fazer alguma regra limitando
   um certo
 tempo


sim yes!!! 80), use o iptables com a extensao time que já vem no kernel.
#) iptables -m time --help

TIME v1.2.11 options:
 [ --timestart value ] [ --timestop value] [ --days listofdays ]
[ --datestart value ] [ --datestop value ]
  timestart value : HH:MM (default 00:00)
  timestop  value : HH:MM (default 23:59)
  listofdays value: a list of days to apply
from Mon,Tue,Wed,Thu,Fri,Sat,Sun
Coma speparated, no space, case sensitive.
Defaults to all days.
  datestart value : [:MM[:DD[:hh[:mm[:ss]
If any of month, day, hour, minute or second
is
not specified, then defaults to their
smallest
1900 =   2037
   1 = MM = 12
   1 = DD = 31
   0 = hh = 23
   0 = mm = 59
   0 = ss = 59
  datestop  value : [:MM[:DD[:hh[:mm[:ss]
If the whole option is ommited, default to
never stop
If any of month, day, hour, minute or second
is
not specified, then default to their
smallest



ats


 obrigado 
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: iptables e skipe

[Paulo Ricardo Bruck]

Em Ter, 2005-03-08 às 13:51 +, Jvander escreveu:
 Olá,
 Alguém saber quais as regras no iptables para liberar o skipe para parte 
 da rede ou como bloqueá-lo da outra parte... (dá na mesma)?
 Já procurei até no google... estou desesperado.


Olá desesperado 80)

amigo nº 1 de quem mexe com firewall : tcpdump

baixe o tcpdump no  firewall e coloque esta linha no firewall
#) tcpdump -i ( placa de rede interna) -nlpt host ( ip da máquina que
está instalado o skype)

como explo:tcpdump -i eth0 -nlpt host 192.168.0.1

peça a pessoa fechar todos os aplicativos ( email, web etc) e tentar o
acesso via skype.

pronto vc verá o host tentando se conectar com algum IP/porta no
mundo...


ats
 
 []s
 
 Vanderlei
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: iptables e skipe

[Paulo Ricardo Bruck]

Em Ter, 2005-03-08 às 16:29 -0300, Igor Morgado escreveu:
 Nao eh preciso, o que o amigo acima falou eh verdade.

?? vc cortou ,mas tudo bem eu segui a lista e notei 80)
 
 Ele tenta centenas de portas e depois tenta a 443 ou a 80 (mesmo
 passando por um proxy)

humm ok

bem pensando nisto vc tem 2 opções

a) deixar todas  as portas de saída da rede interna para o mundo
abertas ( segundo infs acima)

b) deixar somente as portas 80 e 443 abertas ( tcp) da rede interna para
o mundo

c) deixar as portas tcp 80 e 443 abertas e todas as udp abertas da rede
interna para o mundo ( segundo o faq que o nosso amigo Igor nos mandou
abaixo)

d) verificar qual IP/IP's ele tenta acessar e liberar somente acesso de
todas as portas udp nestes endereços IP

 
tudo vai depender de seu conhecimento em iptables e as políticas de
segurança de sua rede
 
 Estou tentando priorizar os pacotes com HTB, mandei resposta para o
 fabricante e até agora nada.

humm conhecendo bem o pessoal de fora acho melhor sentar e esperar
 
 No firewall, voce pode permitir toda conexão de saida (somente NEW),
 de portas udp. Isso ja permitira o skype. Mas leia.. TODOAS AS PORTAS
 UDP DE SAIDA.
 

veja acima


[]s
 De uma olhadinha aqui:
 
 http://www.skype.com/help/faq/technical.html
 
 
 On Tue, 08 Mar 2005 14:19:15 -0300, Paulo Ricardo Bruck
 [EMAIL PROTECTED] wrote:
  Em Ter, 2005-03-08 às 13:51 +, Jvander escreveu:
   Olá,
   Alguém saber quais as regras no iptables para liberar o skipe para parte
   da rede ou como bloqueá-lo da outra parte... (dá na mesma)?
   Já procurei até no google... estou desesperado.
  
  Olá desesperado 80)
  
  amigo nº 1 de quem mexe com firewall : tcpdump
  
  baixe o tcpdump no  firewall e coloque esta linha no firewall
  #) tcpdump -i ( placa de rede interna) -nlpt host ( ip da máquina que
  está instalado o skype)
  
  como explo:tcpdump -i eth0 -nlpt host 192.168.0.1
  
  peça a pessoa fechar todos os aplicativos ( email, web etc) e tentar o
  acesso via skype.
  
  pronto vc verá o host tentando se conectar com algum IP/porta no
  mundo...
  
  ats
  
   []s
  
   Vanderlei
  
  --
  Paulo Ricardo Bruck - consultor
  Contato Global Solutions
  tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327
  
  
  
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

lançamento do RC3 do debian ( Sarge)

[Paulo Ricardo Bruck]

Para quem não acompanha a lista
http://lists.debian.org/debian-devel-announce/2005/02/msg00010.html

ou acompanha a 


Debian News Channel
debian-news@lists.debian.org
   Assunto: 
Debian Weekly News - March 1st, 2005

ontem saiu a notícia do planejamento do RC3 do debian.
( previsão 23/03/2005) 

Para quem não sabe RC significa Release Candidate ( ou candidato a ser a
próxima versão)

maiores infs em :
http://lists.debian.org/debian-devel-announce/2005/02/msg00010.html

[]s a todos
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Load Balance - 3.0 r3

[Paulo Ricardo Bruck]

Em Qua, 2005-02-23 às 08:19 -0300, DBS escreveu:
 Pessoal preciso de informações sobre como fazer um balanceamento de link.
 

Bom dia 8)

 Estou com o seguinte problema, tenho um link com a BrasilTelecom e este link 
 esta saturado já e tenho um ADSL de 1.5Mb que uso como backup para meus 
 clientes, só que nos finais de semana que não estou e o link principal cai 
 eu não estou na empresa para ligar o backup.
 
 Por isso gostaria de fazer este serviço.
 
 Obrigado, fico no aguardo! 

veja material sobre iproute2 em :
http://lartc.org/howto/lartc.rpdb.multiple-links.html

mas aconselho ler os capitulos 1,2 e 3 antes de ir para o cap 4 e vc
terá que ter conhecimentos muito bons de subnet , ip e roteamento...80)

[]s
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid.conf original

[Paulo Ricardo Bruck]

Em Ter, 2005-02-22 às 10:57 -0400, rolim escreveu:
 gente poderiam me ajudar me enviando o squid.conf original?

o squid.conf original está no :
cerberusint:~# dpkg -L squid | grep squid.conf
/usr/share/doc/squid/examples/squid.conf

 
 aguardo resposta
 
 -- 
 Alberto Rolim
 Administrador de Rede
 [EMAIL PROTECTED]
 www.ramsons.com.br
 
 
   Rua Dr Moreira, 190 -
   1º Andar - Centro
  CEP 69005-250 - Manaus
   - AM - BRASIL
   Tel.: (0xx92)
   2121-4337/4300 - Fax:
   (0xx92) 2121 4317
 
 
 
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: locales

[Paulo Ricardo Bruck]

Em Ter, 2005-02-15 às 17:58 -0300, Carlos Alberto Mota Castro escreveu:
 instalei o debian woody e dei um apt-get -u
 dist-upgrade so que eu quero configura-lo para o pt_br
 como faço???

que tal instalar o localeconf?
Description: debconf interface to locale configuration
 This package provides a debconf-based interface to configuring the
 system-wide locale settings on your system.

[]s

 
 
   
   
   
 ___ 
 Yahoo! Acesso Grátis - Instale o discador do Yahoo! agora. 
 http://br.acesso.yahoo.com/ - Internet rápida e grátis
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: [Postfix-BR] Postfix + SASL2

[Paulo Ricardo Bruck]

Em Sex, 2005-02-11 às 18:00 -0200, Christian Reichel escreveu:
 Descobri o que é:
 
 Dentro do arquivo /etc/pam.d/smtp
 a configuração deve ser esta:
 
 auth required /lib/security/pam_unix.so service=system-auth
 account required /lib/security/pam_unix.so service=system-auth
 password required /lib/security/pam_unix.so service=system-auth
 
 Agora, só preciso resolver o problema das permissões
 para /var/run/saslauthd

veja o e-mail abaixo: da lista isp-debian:

De: 
martin f krafft [EMAIL PROTECTED]
  Para: 
debian-isp@lists.debian.org
   Assunto: 
Re: postfix-tls - bad command start
up every now and then
  Data: 
Fri, 11 Feb 2005 12:14:00 +0100
(09:14 BRST)

also sprach Adrian von Bidder [EMAIL PROTECTED] [2005.02.11.0840
+0100]:
 Feb 11 02:31:44 zbasel postfix/smtp[22021]: fatal: open database
 /var/cache/postfix/smtp_tlscache.pag: No such file or directory

/var/cache/postfix is not a standard directory, so I assume you
created it yourself. Could it be that it gets purged somehow?

If Lamont is listening, then this is a serious plea for him to
include /var/cache/postfix with postfix-tls and to modify the
default session cache locations so that they go there and not gasp
into /etc/postfix.



eu não mexo muito com o postfix mas pelo que dá a entender vc precisa
criar na mão o /var/cache/postfix e corrigir o usuario/grupo e
permissôes.

Qualquer noticia a mais siga  a tread da lista isp-debian.

[]s
 
 []'s
 
 Em Sex, 2005-02-11 às 05:38 -0200, Rodrigo escreveu:
  starta o saslauthd praver se funciona
  - Original Message - 
  From: Christian Reichel [EMAIL PROTECTED]
  To: Lista Debian-User-Portuguese debian-user-portuguese@lists.debian.org
  Cc: [EMAIL PROTECTED]
  Sent: Friday, February 11, 2005 5:36 PM
  Subject: [Postfix-BR] Postfix + SASL2
  
  
   Olá Pessoas da lista.
   Alguém já logrou sucesso em configurar a solução:
  
   Postfix + SASL2 (autenticando PAM) ?
  
   Eu instalei os pacotes corretamente:
  
   ii  postfix 2.1.5-5 A high-performance mail transport agent
   ii  postfix-tls 2.1.5-5 TLS and SASL support for Postfix
   ii  libsasl22.1.19-1.5 Authentication abstraction library
   ii  libsasl2-modul 2.1.19-1.5 Pluggable Authentication Modules for SASL
   ii  sasl2-bin  2.1.19-1.5 Programs for manipulating the SASL users dat
  
   Já configurei o o postfix, estou utilizando a configuração dos arquivos
   assim:
  
   ---
  
   /etc/postfix/sasl/smtpd.conf
   saslauthd_version: 2
   pwcheck_method: saslauthd
   mech_list: plain login
  
   
  
   /etc/postfix/main.cf
   smtpd_sasl_auth_enable = yes
   smtpd_sasl_local_domain =
   smtpd_sasl_security_options = noanonymous
   broken_sasl_auth_clients = yes
  
   smtpd_recipient_restrictions = permit_sasl_authenticated,
   reject_unauth_destination, check_relay_domains, permit
  
   
  
   /etc/pam.d/smtp
   #%PAM-1.0
   auth required /lib/security/pam_stack.so service=system-auth
   account required /lib/security/pam_stack.so service=system-auth
   password required /lib/security/pam_stack.so service=system-auth
  
   
  
   O smtpd não está com chroot.
  
   Quando tento enviar um e-mail, fazendo a autenticação, o mail.log diz:
  
   Feb 11 15:25:27 maggie postfix/smtpd[32716]: warning: SASL
   authentication failure: cannot connect to saslauthd server: Permission
   denied
   Feb 11 15:25:27 maggie postfix/smtpd[32716]: warning: SASL
   authentication failure: Password verification failed
  
   Descobri que o que está com permissão incorreta é o diretório:
  
   /var/run/saslauthd
   drwx--x---   2 root sasl 136 Feb 11 15:25 .
   drwxr-xr-x  10 root root 472 Feb 11 14:10 ..
   srwxrwxrwx   1 root root   0 Feb 11 15:25 mux
   -rw---   1 root root   0 Feb 11 15:25 mux.accept
   -rw---   1 root root   6 Feb 11 15:25 saslauthd.pid
  
   Eu inicio os serviços, dou um chmod -R 777 /var/run/saslauthd
   (eu sei que não é esta as permissão correta, mas é só para fazer
   funcionar).
  
   Quando essa alteração é feita, aparece este erro:
   Feb 11 15:25:27 maggie postfix/smtpd[32716]: warning: SASL
   authentication failure: Password verification failed
   Feb 11 15:25:27 maggie postfix/smtpd[32716]: warning:
   sp_200_200_200_200.datacenter1.com.br[200.200.200.200]: SASL PLAIN
   authentication failed
  
   Alguém pode me apontar alguma falha, ou dica para fazer funcionar.
  
   Obrigado.
  
   Christian Reichel
  
  
  
   ___
   Postfix-BR mailing list
   [EMAIL PROTECTED]
   http://listas.softwarelivre.org/mailman/listinfo/postfix-br
  
  
  ___
  Postfix-BR mailing list
  [EMAIL PROTECTED]
  http://listas.softwarelivre.org/mailman/listinfo/postfix-br
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions

Re: squid autenticação

[Paulo Ricardo Bruck]

Em Seg, 2005-01-31 s 09:20 -0300, Paulo Grgias escreveu:
 Bom dia pessoal, estou com uma duvida, eu sei que  possvel definir
 que o usurio se  autentique no squid, agora o que eu gostaria de
 saber  se  possvel eu definir diferentes nveis de acesso para cada
 usurio ou grupo de ossurios.


sim de uma olhada nas ACL do squid. D para brincar bastante com elas.
No prrpio arquivo /etc/squid/squid.conf existe a explicao para o uso
delas.

[]s
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Samba - Windows e Linux

[Paulo Ricardo Bruck]

Em Qui, 2005-01-27 às 01:41 -0200, Marcos Vinicius Lazarini escreveu:
 João Paulo wrote:
 
  Olá a todos,
  
  Actualmente tenho instalado numa escola cerca de 40 pcs com windows xp 
  que pertencem a um domínio suportado pelo samba. No entanto estamos a 
  pensar colocar nos pcs tb com o SO gnu/linux dando aos alunos a opção de 
  escolha.
  
  A minha questão é: como fazer a autenticação dos utilizadores em linux e 
  como montar a partilha da cada um deles que é disponibilizada pelo 
  servidor que corre o samba. Em relação à segunda questão creio que isso 
  se faria  com o nfs.
  Se alguém conhecer um howto sobre o assunto por favor envie-mo.
 
 Eu acho que o jeito mais facil é seguir o padrão de cada sistema: windows 
 autentica no samba, linux autentica via nis. O inconveniente é que são duas 
 senhas diferentes - se mudar em um lugar, o outro não muda automaticamente.
 
 Talvez o google encontre algo sobre autenticar em linux no samba, mas isso 
 me soa um pouco 'feio', na falta de outra palavra mais adequada.
 
 Pacotes que são interessantes:
 /nis/ - tanto o servidor qto o cliente (ler o seguinte arquivo: 
 usr/share/doc/nis/nis.debian.howto.gz )
 /nfs-kernel-server/ - pro servidor (de arquivos!!! isso tem que ser 
 instalado na onde fica o home dos usuários)
 /autofs/ - incialmente pros clientes, mas pode ser usado nos servidores tbm.
 
Olá Pessoal

humm pensando bem não é nada bom ter 2 sistemas de arquivos, pois se um
usuario do windows estiver usando o samba e um outro usuário linux o NIS
E os 2 acessarem o mesmo arquivo com certeza teremos uma bela  caca
nesta historia ( pensando em sistema de arquivos). Já em sistema de
autenticação pode ser os 2 mais vai dar trabalho duplo. 

Que tal usar LDAP , pois tanto windows quanto linus suportam
autenticação por LDAP... ( vide samba+LDAP)


[]s
 -- 
 Marcos
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Redirecionamento no Firewall ?

[Paulo Ricardo Bruck]

Bom dia Samuel

Em Qui, 2005-01-27 às 09:06 -0200, Samuel Querino da Cruz escreveu:
 Bom dia,
 
 Estou contactando vocês porque os encontrei numa pesquisa na web.
 
 Estou precisando de ajuda para solucionar um probleminha que já está virando 
 um
 problemão.
 
 Tenho um Firewall com o S.O Fedora 3.
 Para as regras utilizo o iptables.
 
 Dentro de minha rede tenho o DNS Primário, Secundário, servidor de correio e
 WEB.
 
 Estou adotando uma política de DROP tudo e libera o necessário.
 Quando coloco este firewall no ar o mundo esterno não reconhece o DNS 
 secundário
 e nem o servidor de e-mail.
 
 O que devo fazer? Vocês poderiam me mandar algumas linhas de dicas de como 
 faço
 para redirecionar essess serviços de uma melhor forma e segura?
 


bem primeiro mude para debian..80)
risos, desculpe eu não resistí.80).


bem vamos aos fatos. 
a) compre + 1 placa de rede e monte uma dmz e coloque o seu dns e e-mail
lá ( regra básica de segurança em firewall)

b) pelo visto vc é novo em iptables, então leia o melhor tutorial que eu
já ví na net do Oscar Andreasson em
http://iptables-tutorial.frozentux.net/chunkyhtml/index.html

aí coloque suas dúvidas aqui ou na lista de discussão focada em firewall
e iptables:
debian-firewall@lists.debian.org
[EMAIL PROTECTED]


[]s

 Obrigado,
 Samuel Querino da Cruz
 mSN: [EMAIL PROTECTED]
 ___
 Para os países que você mais liga, a Embratel é sempre a sua melhor opção. 
 Ligue 00 + 21 + código do país + número do telefone
 
 www.embratel.com.br
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Reply_boby_size_max

[Paulo Ricardo Bruck]

Em Qua, 2005-01-26 às 10:23 -0300, Marlo - Raidbr escreveu:
 Dae pessoal, 

Olá Marlo
  
 To precisando bloquear no squid downloads maiores que 20 MB, vi que o
 squid tem a opção  reply_boby_size_max mas nao consegui aplicar no
 squid 2.5, só da pau .. alguem ja usou ou conhece outra forma de
 bloquear 
  
humm o que vc quer dizer com so deu pau 
seguindo a espec do squid:

#  TAG: request_body_max_size   (KB)
#   This specifies the maximum size for an HTTP request body.
#   In other words, the maximum size of a PUT/POST request.
#   A user who attempts to send a request with a body larger
#   than this limit receives an Invalid Request error message.
#   If you set this parameter to a zero (the default), there will
#   be no limit imposed.
#
#Default:
# request_body_max_size 0 KB


se vc colocar a linha no squid.conf como:
request_body_max_size 2 KB
deve funcionar, se não funcionar poste as 30 ultimas linhas do
seu /var/log/squid/cache.log aqui

ats


 Abraço
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: quota mensal de dowloads via programas p2p

[Paulo Ricardo Bruck]

Em Dom, 2005-01-23 às 13:18 -0200, Suzana Oliveira escreveu:
 Oi, preciso de uma solução para controle de programas p2p.
 

Olá Suzana

 Eu ja olhei varios dos topicos mas nenhum deles falou do que eu quero:
 quota mensal para cada usuario no uso de programas p2p.
 
 trabalho no setor de redes do cpd de uma univesidade. Levem em
 consideracao que o trafego de informacoes dentro de uma universidade
 federal é muito grande. 
  
 e queremos implementar algo assim:
 
 Nós achamos interessante o uso de programas p2p, por isso nao queremos
 barrar nem definir um limite de banda, mas queremos apenas definir uma
 quota mensal que um usuario poderá baixar atraves de tais programas.
 Alcancando a quota, o uso do programa sera bloqueado ate o mes
 seguinte e por ai vai.
 
 Por enquanto usamos o red hat 8, mas vamos migrar pro debian nos
 proximos dias.
 
 Alguem tem alguma sugestao de solução?
 
humm que tal usar o quota do netfilter ( vc precisará do pom) veja
abaixo:

quota patch
This patch by Sam Johnston [EMAIL PROTECTED] adds a new match that allows
you to set quotas. When the quota is reached, the rule doesn't match any
more.

For example, if you want to limit put a quota of 50Megs on incoming http
data you can do as follows :

# iptables -A INPUT -p tcp --dport 80 -m quota --quota 52428800 -j 
ACCEPT
# iptables -A INPUT -p tcp --dport 80 -j DROP

# iptables --list
Chain INPUT (policy ACCEPT)
target prot opt source   destination 
ACCEPT tcp  --  anywhere anywhere   tcp 
dpt:http quota: 52428800 bytes
DROP   tcp  --  anywhere anywhere   tcp 
dpt:http 

Supported options for quota match are :

--quota quota

- The quota you want to set.


espero que te ajude

[]s

 agradeço
 Suzana
 [EMAIL PROTECTED]
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: quota mensal de dowloads via programas p2p

[Paulo Ricardo Bruck]

Em Seg, 2005-01-24 às 08:20 -0200, Suzana Oliveira escreveu:
 Oi Paulo, obrigada pela dica
 mas ai no caso eh pra downloads via http ne?
 eu to querendo algo pra fazer uma quota somente em programas p2p.
 chegando ao limite da quota,os downloads via p2p ficam suspensos ate o fim
 do mes, mas os via http ou ftp continuam..
 
 Suzana
 [EMAIL PROTECTED]

Olá Suzana


não, no caso o quota do pom funciona para qualquer tipo de porta que vc
desejar. eu colei o exemplo da documentação do netfilter Patch o Matic,
e se vc quizer pode colocar quota como vc quizer

explo
iptables -A FORWARD -p tcp --dport 80 -m quota --quota 52428800 -j
ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j DROP

veja que eu mudei o exemplo deles e usei a chain FORWARD. Na regra acima
tudo que for para a porta 80 terá a quota de 50M. Vc pode usar as regras
normais do iptables para colocar a quota onde vc quizer.

espero que por este exemplo tenha ficado + claro.

Uma parte um pouco mais difícil será selecionar as portas que vc usa
para o p2p que são dinamicas, mas aí é outra história...90) a ser
solucionado com o pom do iptables.

ats
 

 
 - Original Message - 
 From: Paulo Ricardo Bruck [EMAIL PROTECTED]
 To: debian-user-portuguese@lists.debian.org
 Sent: Monday, January 24, 2005 9:11 AM
 Subject: Re: quota mensal de dowloads via programas p2p
 
 
 Em Dom, 2005-01-23 às 13:18 -0200, Suzana Oliveira escreveu:
  Oi, preciso de uma solução para controle de programas p2p.
 
 
 Olá Suzana
 
  Eu ja olhei varios dos topicos mas nenhum deles falou do que eu quero:
  quota mensal para cada usuario no uso de programas p2p.
 
  trabalho no setor de redes do cpd de uma univesidade. Levem em
  consideracao que o trafego de informacoes dentro de uma universidade
  federal é muito grande.
 
  e queremos implementar algo assim:
 
  Nós achamos interessante o uso de programas p2p, por isso nao queremos
  barrar nem definir um limite de banda, mas queremos apenas definir uma
  quota mensal que um usuario poderá baixar atraves de tais programas.
  Alcancando a quota, o uso do programa sera bloqueado ate o mes
  seguinte e por ai vai.
 
  Por enquanto usamos o red hat 8, mas vamos migrar pro debian nos
  proximos dias.
 
  Alguem tem alguma sugestao de solução?
 
 humm que tal usar o quota do netfilter ( vc precisará do pom) veja
 abaixo:
 
 quota patch
 This patch by Sam Johnston [EMAIL PROTECTED] adds a new match that allows
 you to set quotas. When the quota is reached, the rule doesn't match any
 more.
 
 For example, if you want to limit put a quota of 50Megs on incoming http
 data you can do as follows :
 
 # iptables -A INPUT -p tcp --dport 80 -m quota --quota 52428800 -j
 ACCEPT
 # iptables -A INPUT -p tcp --dport 80 -j DROP
 
 # iptables --list
 Chain INPUT (policy ACCEPT)
 target prot opt source   destination
 ACCEPT tcp  --  anywhere anywhere   tcp
 dpt:http quota: 52428800 bytes
 DROP   tcp  --  anywhere anywhere   tcp
 dpt:http
 
 Supported options for quota match are :
 
 --quota quota
 
 - The quota you want to set.
 
 
 espero que te ajude
 
 []s
 
  agradeço
  Suzana
  [EMAIL PROTECTED]
 
 -- 
 Paulo Ricardo Bruck - consultor
 Contato Global Solutions
 tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: dois links - distribuir carga

[Paulo Ricardo Bruck]

Em Seg, 2005-01-17 às 18:28 -0300, Caio Ferreira escreveu:
 All
 
 A empresa a onde eu trabalho acabou de adquirir mais um link de 512 kbps 
 , já existia um link de 512 kbps, e queria saber se alguem tem algum 
 texto ou pode indicar algum link ou texto de como fazer um balanceamento
 de carga entre esses dois links.


sim veja o site lart.org ou lartc.org ( desulpe estou sem browser no
momento...80), ou procure poor advanced routing
 
 Desde já agradeço pela atenção.
 
 
  .''`.   Caio Abreu Ferreira
 : :'  :  GNU/Linux Debian
 `. `'`   Gnupg ID 0x01186BE1
   `- Linux Counter 327834
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327

Re: Mensagens estranhas no terminal

[Paulo Ricardo Bruck]

Em Sex, 2005-01-14 às 13:00 -0200, Licio Fernando escreveu:
 Pessoal,
 
 gostaria de saber se alguem sabe o que significa e o que está gerando
 essas mensagens que aparacem as vezes quando estou em um terminal
 virtual e no /var/log/messages:
 
 Jan 14 10:26:28 localhost kernel: Inbound IN=eth0 OUT=
 MAC=00:e0:7d:f7:d0:50:00:0e:83:ca:e3:32:08:00 SRC=82.96.96.3
 DST=200.167.252.2 LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=5170 DF
 PROTO=TCP SPT=58165 DPT=1080 WINDOW=5840 RES=0x00 SYN URGP=0
 Jan 14 10:26:28 localhost kernel: Inbound IN=eth0 OUT=
 MAC=00:e0:7d:f7:d0:50:00:0e:83:ca:e3:32:08:00 SRC=82.96.96.3
 DST=200.167.252.2 LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=21624 DF
 PROTO=TCP SPT=58169 DPT=7600 WINDOW=5840 RES=0x00 SYN URGP=0
 Jan 14 10:26:28 localhost kernel: Inbound IN=eth0 OUT=
 MAC=00:e0:7d:f7:d0:50:00:0e:83:ca:e3:32:08:00 SRC=82.96.96.3
 DST=200.167.252.2 LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=6557 DF
 PROTO=TCP SPT=58171 DPT=22233 WINDOW=5840 RES=0x00 SYN URGP=0
 Jan 14 10:31:17 localhost kernel: Inbound IN=eth0 OUT=
 MAC=00:e0:7d:f7:d0:50:00:0e:83:ca:e3:32:08:00 SRC=218.59.22.178
 DST=200.167.252.2 LEN=48 TOS=0x00 PREC=0x00 TTL=109 ID=50267 DF
 PROTO=TCP SPT=3907 DPT=4899 WINDOW=16384 RES=0x00 SYN URGP=0
 


estas mensagens são geradas pelo IPTABLEs no caso um -j LOG e estas
mensagens estão indo para a sua console e /var/log/messages.

Veja na lista que ha +- 2 semanas alguem postou um e-mail dizendo como
barrar estas mensagens de aparecerem na console...

[]s
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327

Re: Rastrear usuarios que acessaram um determinado servidor

[Paulo Ricardo Bruck]

Em Qua, 2005-01-12 às 16:27 -0200, Marcio de Araujo Benedito escreveu:
 * Andrea Viana da Silva ([EMAIL PROTECTED]) wrote:
  
  Samba, arquivos de dados, so quem tem acesso total seria o dono da
  pasta, porem o mesmo já nem trabalha mais conosco e a senha foi
  alterada, mas as informações eram importantes (devo lembrar que tenho
  backup sim, mas quero descobrir quem foi) e os demais da empresa so
  podem ler.
 
 Instale um sistema de autenticação, e faça log das conexões e açoes,
 para que de uma próxima vez você tenha como descobrir.
 
 Tive um problema desses e descobri quem foi dizendo que iria convocar
 uma reunão geral para comunicar à diretoria da empresa o nome de quem
 fez a cagada, e este seria demitido. Nos corredores comecei a espalhar
 que estava sentido em fazer isso e se a pessoa me procurasse em
 particular explicando o que aconteceu eu não entregaria e assim seria
 salva da degola. Então na manha seguinte a secretária foi me procurar
 dizendo que foi um acidente, que ela pensou que iria para a lixeira e
 talz.
 
 Esta tática é terrorista, mas na falta de um recurso sistemico funciona.
 


bem outra opção é o pacote snoopy (snoopy is merely a shared library
that is used as a wrapper to the execve()
 function provided by libc as to log every call to syslog (authpriv).
system
 administrators may find snoopy useful in tasks such as light/heavy
system
 monitoring, tracking other administrator's actions as well as getting a
good
 'feel' of what's going on in the system (for example apache running cgi
 scripts).
 ):


outra maneira é aumentar os logs do samba ou mexer com o modulo audit
( que é justamente o que vc está procurando...80)))

http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/VFS.html#id2573757

ats

 []'x
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327

Re: Iptables e MARK

[Paulo Ricardo Bruck]

Em Qua, 2005-01-05 às 11:39 -0200, Igor Morgado escreveu:
 de uma lida em documentacoes sobre TCP/IP esta eh uma lista de suporte
 debian. E nao assuntos genericos de computador.
 
 (ja eh o 3o. mail off topic que eu vejo em uma batelada)


Desculpe discordar Igor mas esta é uma pergunta sobre firewall/debian e
mais especificamente relacionada com iproute/iptables e tcpdump.
Concordo que não é a melhor lista para este tipo de pergunta mas ela é
não é OFF TOPIC...

bem vamos lá Edmilson a sua pergunta pois eu fiz a mim mesmo 2 dias
atrás trabalhando com o iptables e iproute. Apos breve pesquisa no
google , não é possivel ver qualquer mudança no pacote pois quando vc 
marca um pacote ele fica apenas dentro do kernel marcado. quando ele
sai  para a rede nada é modificado no TOS ou em qualquer outra parte da
arquitetura tcp/ip.

maiores detalhes, veja a explicação
em :http://mailman.ds9a.nl/pipermail/lartc/2003q3/009435.html

 
 On Tue, 04 Jan 2005 15:20:15 -0300, Edmilson Moreira
 [EMAIL PROTECTED] wrote:
  Caros colegas,
  Estou precisando saber onde o pacote é markado. Qual campo no IPv4.
  Seria o T.O.S?
  
  Antecipadamente grato,
  
  --
  Edmilson Carneiro Moreira
  Instituto Atlântico - IPv6 e Linux
  Laboratório Multiinstitucinal de Redes e Sistemas Distribuidos - LAR
  Telemática-Informatica - CEFET-CE
  Engenharia Elétrica - UFC
  
  --
  To UNSUBSCRIBE, email to [EMAIL PROTECTED]
  with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
  
 
 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327

Re: squid com autenticação e proxy transparente

[Paulo Ricardo Bruck]

Em Ter, 2003-11-18 às 12:58, Rodrigo Gruppelli escreveu:
 Olá pessoal. 
 
 Eu vários lugares eu leio que não é possível utilizar proxy transparente no 
 squid junto com autenticação. Mas eu preciso muito dessa solução, configurar 
 proxy em centenas de estações é inviável, e além disso, é só o usuário 
 engraçadinho ir lá e retirar o proxy, que fica tudo liberado.
 
 Tem que existir um jeito. Alguém aqui já deve ter passado por isso.

ok vc venceu vc pdoe usar o .pac e colocar em uma pagina web o .pac,
assim cada usuário que for navegar na internet o browser faz a conf
automática pelo ser web.
Bem nunca fiz isto, mas é o que o psssoal recomenda quando existem
muitas máquinas a serem /ou não configuradas

de uma olhada em :
We have an authenticated Squid proxy passing through to ATHENS 
Authentication. http://www.athens.ac.uk. This works superbly well, and 
is basically so our off campus users can use IP restricted resources.

Details of exactly what we are doing are available at 
http://libweb.apu.ac.uk/authen/proxy.htm (you should get the picture) 
It's a fairly basic Username / Password Authentication setup fired by a 
.pac file the users setup in their browser.

As with all things they move on. Maintaining a 12,000 user name space 
requires a fair bit of admin. Maintaining 2 is just a waste of time, and
is exactly what we are doing at the moment. Add in Students to the mix
and you see the problem.

ou google seu melhor amigo
 
 Obrigado.
 
 Abraços,
 Rodrigo.
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5686-7977 fax 011 5521-8049  cel 011 9235-4327
www.contato.com.br  

Re: autenticação no squid (pam_auth) e problemas no I.E.

[Paulo Ricardo Bruck]

Em Sex, 2003-11-14 às 12:54, Rodrigo Gruppelli escreveu:
 Oi pessoal, tudo bem?
 
 Seguinte, preciso da vossa ajuda para implementar autenticação no squid, 
 usando a mesma base dos usuários do unix (o /etc/passwd). Bom, na verdade eu 
 já consegui implementar isso com o pam_auth, mas está ocorrendo alguns 
 efeitos colaterais chatos com Internet Explorer, e gostaria de saber se isso 
 é normal...
 
 Ocorre o seguinte: quando eu abro o internet explorer e quando eu chamo a 
 primeira página da sessão, abre a janelinha para autenticar o usuário e tal. 
 Até aí, tudo bem.
 
 Se o usuário autentica corretamente, o Internet Explorer não abre a página 
 solicitada. Ao invés, exibe aquela tela de erro dizendo que a página não pode 
 ser exibida. Aí sim, eu tenho que, ou apertar reload, ou digitar o endereço 
 da página novamente para, enfim, ela ser aberta.
 

bug do IE veja:


Directly from :http://www.squid-cache.org/Doc/FAQ/FAQ-5.html#ss5.13

5.13 IE 6.0 SP1 fails when using basic authentication
When using basic authentication with Internet Explorer 6 SP1, you may
encounter issues when you first launch Internet Explorer. The problem
will show itself when you first authenticate, you will receive a Page
Cannot Be Displayed error. However, if you click refresh, the page will
be correctly displayed. 

This only happens immediately after you authenticate.

This is not a Squid error or bug. Microsoft broke the Basic
Authentication when they put out IE6 SP1.

There is a knowledgebase article ( KB 331906) regarding this issue. The
fix is to call Microsoft, open an incident referencing this KB article
and they will send you a hot fix. They do warn that this code is not
regression tested but so far there have not been any reports of this
breaking anything else. The problematic file is wininet.dll.

According to Joao Coutinho, this simple solution also corrects the
problem:

  * Go to Tools/Internet
  * Go to Options/Advanced
  * UNSELECT Show friendly HTTP error messages under Browsing.




 
 We are running squid proxy server with user authentication and every
time I
 log on, I get a blank screen/timeout and have to refresh to load my
startup
 address. Most of us in the building are running Internet Explorer 6.
Is this
 a common problem?
 
 Thanks,
 
 Dave

 Outra coisa 'chata' que acontece é que se o usuário digita mal o seu 
 username/senha, o internet explorer toma isso como aceito, mas não abre 
 página nenhuma, em absoluto. É preciso fechar o Internet Explorer e abrí-lo 
 de novo para que ele mostre a janela de autenticação.
 
 Em contrapartida, com o Mozilla nada disso ocorre e tudo funciona 
 perfeitamente: Ao chamar a primeira página, o mozilla pede autenticação, e 
 abre a página direitinho após isso, sem precisar requisitá-la novamente.
 
 E caso o usuário digite mal seu username ou senha, o mozilla abre de novo a 
 janela de autenticação até que se digite a seqüencia correta.
 
 No meu squid.conf coloquei assim:
 
 authenticate_program /usr/lib/squid/pam_auth
 acl password proxy_auth REQUIRED
 acl noc src 192.168.0.0/24
 http_access allow noc
 http_access allow password
 http_access deny all
 
 O sistema é um Debian Woody, versão do squid é 2.4.6-2.
 
 
 
 Outra coisa que eu gostaria de implementar é a autenticação no SQUID sem 
 abrir mão do proxy transparente. Configurar centenas de estações é inviável. 
 Sem contar que os espertinhos certamente irão desconfigurar o proxy de suas 
 estações. Porém, de acordo com o FAQ do squid, vi que isto não é possível. 
 Será que não tem jeito mesmo? Ninguém conseguiu fazer isso?
 
 


não não não não não nãonão não nãonão não nãonão não nãonão não nãonão
não nãonão não nãonão não nãonão não nãonão não nãonão não nãonão não
nãonão não nãonão não nãonão não nãonão não nãonão não nãonão não nãonão
não nãonão não nãonão não nãonão não nãonão não nãonão não nãonão não
nãonão não nãonão não nãonão não nãonão não nãonão não nãonão não nãonão
não nãonão não nãonão não nãonão não nãonão não nãonão não nãonão não
nãonão não nãonão não nãonão não nãonão não nãonão não nãonão não nãonão
não nãonão não nãonão não nãonão não nãonão não nãonão não nãonão não
nãonão não nãonão não nãonão não nãonão não nãonão não nãonão não nãonão
não nãonão não nãonão não nãonão não não




 
 []s
 Rodrigo

Re: erro na compilação do freeswan e kernel-2.4.22

[Paulo Ricardo Bruck]

Em Ter, 2003-11-11 às 20:44, caio ferreira escreveu:
 On Tue, 11 Nov 2003 20:05:21 -0200
 Paulo Ricardo Bruck [EMAIL PROTECTED] wrote:
 
  Estou tentando compilar o freeswan com o kernel 2.4.22 e sempre dá erro (
  tanto o kernel do kernel.org quanto o kernel do deb).
  Procurei nas listas daqui e fora e só encontrei este problema no kernel
  2.4.20
 
   De que forma você esta tentando instalar o freeswan, via pacote ou 
 código 
 fonte ?!??!

via pacote debian , pois creio que seria + fácil ter tudo junto no mesmo
pacote ( X.509)80), mas pelo visto não.

estou fazendo da seguinte maneira:
PATCH_THE_KERNEL=YES make-kpkg --config=menuconfig --added-patch
freeswan kernel_image e o pacote que estou testando são: 
-kernel-patch-freeswan 1.96-1.2  IPSEC kernel support for FreeSwan
-kernel-source-2.4.22  2.4.22-3  Linux kernel source for version 2.4.22
with Debian patches
mas tambem já tentei com o kernel 2.4.22 do kernel.org e dá o mesmo
erro.


[]s

erro na compilação do freeswan e kernel-2.4.22

[Paulo Ricardo Bruck]

Estou tentando compilar o freeswan com o kernel 2.4.22 e sempre dá erro ( tanto 
o kernel do kernel.org quanto
o kernel do deb).
Procurei nas listas daqui e fora e só encontrei este problema no kernel 
2.4.20


# PATCH_THE_KERNEL=YES make-kpkg --config=menuconfig --added-patch= freeswan 
kernel_image

tanto este comando usando o kernel-source_2.4.22 do pacote .deb quanto o 
arquivo kernel baixado diretamente do kernel.org

a seguir a mensagem:

make[3]: Leaving directory `/usr/src/kernel-source-2.4.22/net/econet'
/usr/bin/make -C ipsec modules
make[3]: Entering directory `/usr/src/kernel-source-2.4.22/net/ipsec'
gcc -D__KERNEL__ -I/usr/src/kernel-source-2.4.22/include -Wall 
-Wstrict-prototypes -Wno-trigraphs -fno-strict-aliasing -fno-common -O2 
-fomit-frame-pointer -pipe -mpreferred-stack-boundary=2 -march=i386 -DMODULE 
-DMODVERSIONS -include 
/usr/src/kernel-source-2.4.22/include/linux/modversions.h -Ilibfreeswan 
-Ilibdes  -Wall -Wpointer-arith  -Wstrict-prototypes -nostdinc -iwithprefix 
include -DKBUILD_BASENAME=ipsec_init  -c -o ipsec_init.o
ipsec_init.c
In file included from ipsec_init.c:28:
ipsec_param.h:64:1: warning: snprintf redefined
In file included from 
/usr/src/kernel-source-2.4.22/include/linux/modversions.h:174,
 from command line:8:
/usr/src/kernel-source-2.4.22/include/linux/modules/ksyms.ver:662:1: warning: 
this is the location of the previous definition
ipsec_init.c: In function `ipsec_init':
ipsec_init.c:152: error: too few arguments to function 
`inet_add_protocol_Ra1afccae'
ipsec_init.c:156: error: too few arguments to function 
`inet_add_protocol_Ra1afccae'
ipsec_init.c: In function `ipsec_cleanup':
ipsec_init.c:199: error: too few arguments to function 
`inet_del_protocol_R6750577d'
ipsec_init.c:204: error: too few arguments to function 
`inet_del_protocol_R6750577d'
make[3]: *** [ipsec_init.o] Error 1
make[3]: Leaving directory `/usr/src/kernel-source-2.4.22/net/ipsec'
make[2]: *** [_modsubdir_ipsec] Error 2
make[2]: Leaving directory `/usr/src/kernel-source-2.4.22/net'
make[1]: *** [_mod_net] Error 2
make[1]: Leaving directory `/usr/src/kernel-source-2.4.22'
make: *** [stamp-build] Error 2
eowin:/usr/src/linux#


[]s