Re: [FUG-BR] RES: dois links de internet para acesso externo. (RESOLVIDO)
valeu gente pela forca resolvi do jeito que vcs me passaram. 2009/6/19 Marcello Silva Coutinho marcello.couti...@trf1.gov.br: Configura uma regra no teu firewall que direcione tudo o que sai do sistema com: origem ip_servidor_sistema porta_sistema destino any any route to link 256k Se quiser que o ip_servidor_sistema saia só pelo link de 256 faça assim: origem ip_servidor_sistema destino any route to link 256k att, Marcello Coutinho -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Alessandro de Souza Rocha Enviada em: sexta-feira, 19 de junho de 2009 15:36 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: [FUG-BR] dois links de internet para acesso externo. Bom tarde, e o seguinte tenho um velox 1mb para acesso a internet e um link 256k para acesso externo do sistema, gostaria como faco so para deixa o link acessivel para sistema ja tentei varias formas e nada de acesso de fora.. -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: RES: Ataques DOS
Também uso esta política .. costumo permitir de acordo com a necessidade mas por padrão bloqueio... Nunca tive problemas RS .. -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Welkson Renny de Medeiros Enviada em: domingo, 21 de junho de 2009 22:18 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: Ataques DOS Nilson escreveu: 2009/6/20 Eduardo Schoedler eschoed...@viavale.com.br Nunca bloqueie ICMP. Mais informações no histórico da lista GTER. Abraço, Eduardo. Apoiado. Abaixo todos os admins sem noção que bloqueiam ICMP Libero ICMP para o IP do provedor... fora isso é bloqueado. Vou dar uma olhada no histórico da lista.. mas não vejo problema algum em bloquear... principalmente quando tem uma banda pequena e não faz tanta questão de APARECER na inernet =) -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes welk...@focusautomacao.com.br Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: RES: RES: Ataques DOS
ICMP não foi feito para bloquear. Problemas dificílimos de detectar como fragmentação de MTU, dentre outros, aparecem com bloqueio de TODO ICMP. Uma política para evitar DoS(que mesmo assim, não vai resolver muita coisa), poderia ser rate-limit de ICMP. Porém, um delinqüente esperto o suficiente vai saber usar outros meios de DoS que não seja um simples ping. A discussão sobre isto na GTER foi muito proveitosa, sugiro uma lida lá e recomendo fortemente que não se bloqueie o ICMP, ou pelo menos, não todas as mensagens. Bloqueio de ICMP para evitar DoS deveria entrar para a história dos mitos da internet, juntamente com o spam mail da garota que acordou na banheira gelada sem o rim e por aí vai. -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Cobausque Enviada em: segunda-feira, 22 de junho de 2009 09:13 Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' Assunto: [FUG-BR] RES: RES: Ataques DOS Também uso esta política .. costumo permitir de acordo com a necessidade mas por padrão bloqueio... Nunca tive problemas RS .. -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Welkson Renny de Medeiros Enviada em: domingo, 21 de junho de 2009 22:18 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: Ataques DOS Nilson escreveu: 2009/6/20 Eduardo Schoedler eschoed...@viavale.com.br Nunca bloqueie ICMP. Mais informações no histórico da lista GTER. Abraço, Eduardo. Apoiado. Abaixo todos os admins sem noção que bloqueiam ICMP Libero ICMP para o IP do provedor... fora isso é bloqueado. Vou dar uma olhada no histórico da lista.. mas não vejo problema algum em bloquear... principalmente quando tem uma banda pequena e não faz tanta questão de APARECER na inernet =) -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes welk...@focusautomacao.com.br Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ataques DOS
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Cobausque wrote: Amigos .. estou recebendo em um de servidor a mensagem kernel: Limiting icmp unreach response from 260 to 200 packets/sec pelo que já vi tem a haver com DOS... Gostaria de saber se alguém poderia me passar algum exemplo para este tipo de problema .. com IPFW.. já tenho umas regras rodando .. já... mas gostaria de ter uma idéia do que o o pessoal anda usando pra se prevenir disto.. Pelo que entendo, isso significa que seu FreeBSD está tentando se proteger ao responder apenas 200 pacotes ICMP do tipo unreachable por segundo. Mas, se quiser mudar essa configuração, tem um valor que pode colocar em /etc/sysctl.conf: # Numero maximo de ICMP Unreacheable por segundos net.inet.icmp.icmplim=50 Eu deixo em 50. Você pode também usar as configurações abaixo: # Descarta pacotes entrando em portas fechadas sem enviar resposta ao solicitante net.inet.tcp.blackhole=2 net.inet.udp.blackhole=1 - -- João Paulo Just Diretor Executivo Justsoft Informática Ltda. - http://www.justsoft.com.br/ FCP - Furukawa Certified Professional - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 Blog: http://just.rg3.net/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.9 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iEYEARECAAYFAko/jnkACgkQXL+vuN2d7ZwUUACgi7DELqfP0HPK3+hMg1C3jEzN r4kAoK2hNkMC1TGvcInmdK+8WHhEK5rq =O5vA -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: Ataques DOS
Interessante vou aplicar estas opções .. -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de João Paulo Just Enviada em: segunda-feira, 22 de junho de 2009 11:00 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Ataques DOS -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Cobausque wrote: Amigos .. estou recebendo em um de servidor a mensagem kernel: Limiting icmp unreach response from 260 to 200 packets/sec pelo que já vi tem a haver com DOS... Gostaria de saber se alguém poderia me passar algum exemplo para este tipo de problema .. com IPFW.. já tenho umas regras rodando .. já... mas gostaria de ter uma idéia do que o o pessoal anda usando pra se prevenir disto.. Pelo que entendo, isso significa que seu FreeBSD está tentando se proteger ao responder apenas 200 pacotes ICMP do tipo unreachable por segundo. Mas, se quiser mudar essa configuração, tem um valor que pode colocar em /etc/sysctl.conf: # Numero maximo de ICMP Unreacheable por segundos net.inet.icmp.icmplim=50 Eu deixo em 50. Você pode também usar as configurações abaixo: # Descarta pacotes entrando em portas fechadas sem enviar resposta ao solicitante net.inet.tcp.blackhole=2 net.inet.udp.blackhole=1 - -- João Paulo Just Diretor Executivo Justsoft Informática Ltda. - http://www.justsoft.com.br/ FCP - Furukawa Certified Professional - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 Blog: http://just.rg3.net/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.9 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iEYEARECAAYFAko/jnkACgkQXL+vuN2d7ZwUUACgi7DELqfP0HPK3+hMg1C3jEzN r4kAoK2hNkMC1TGvcInmdK+8WHhEK5rq =O5vA -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] OpenVPN + pfSense
Bom dia senhores! Tenho uma solução vpn com o OpenVPN no pfSense 1.1.2 porém gostaria de saber dos mestres se existe alguma ferramenta para criação de chaves para novos clientes deste serviço de forma automatizada (seja via interface web ou texto), ou terei de usar o velho recurso do CA -newcert cliente ? (ainda estou gerando minhas chaves em um servidor linux ao qual usei o ssl para gerar todos os certificados para este serviço). Agradeço qualquer sugestão!! Abraços! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Squid + pfSense
Boa tarde senhores, Tenho um pfSense com vários links de saída, consigo utilizar o tcp_outgoing_service para separar os links de saída em caso de problema com meu link default ? caso não como o squid trada essas conexões? qualquer link é bem-vindo! Obrigado desde já Abraços! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OpenVPN + pfSense
2009/6/22 Jean Carlos Coelho jean.lis...@gmail.com Bom dia senhores! Tenho uma solução vpn com o OpenVPN no pfSense 1.1.2 porém gostaria de saber dos mestres se existe alguma ferramenta para criação de chaves para novos clientes deste serviço de forma automatizada (seja via interface web ou texto), ou terei de usar o velho recurso do CA -newcert cliente ? (ainda estou gerando minhas chaves em um servidor linux ao qual usei o ssl para gerar todos os certificados para este serviço). (shell) pkitool [1] (Web) existem alguns sim, mais não sei se fazem td serviço necessário e nem o nome deles, procure por pki web ou algo assim. http://www.fug.com.br/historico/html/freebsd/2008-09/msg00061.html Agradeço qualquer sugestão!! Abraços! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] pftpx e controle de banda
olá pessoal boa tarde, Já fiz várias pesquisas na NET e na lista mas não achei nada a respeito, a situação é a seguinte. tenho um firewall PF em freebsd com 2 links de internet um ADSL e outro link IP Dedicado . estou fazendo balanceamento e começei a implementar controle de banda com ALTQ+hfsc 1 - PROBLEMA COM O BALANCEAMENTO: tenho um servidor FTP atrás do PF e pra fazer ele funcionar estou usando o proxy PFTPX, e ai começa o problema, pelo que vi NÃO dá pra fazer balanceamento com o proxy pois o ele não trabalha com route-to e reply-to e nem o ftp-proxy que vem nativo com o free. Os senhores tem alguma sugestão? 2 - PROBLEMA COM O CONTROLE DE BANDA: Como o proxy ftp cria regras dinamicas, como eu faria para ter o controle de banda para o serviço FTP ? tanto para o servidor que está dentro da rede quanto para os clientes da rede interna que acessam servidores FTP na NET ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] MiniPC para montar Firewall FreeBSD
Boa tarde pessoal! Estou procurando na net algum MiniPC ou algo parecido, pois estou querendo montar alguns firewall´s com o FreeBSD nesse tipo de equipamento. Tipo, para dar uma personalizada no serviço. Alguém da lista já utilizou ou utiliza algum desses equipamentos com o FreeBSD e pode dizer algo sobre? Cleyton. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] MiniPC para montar Firewall FreeBSD
On Mon, 22 Jun 2009 17:53:31 -0300 Cleyton Bertolim cberto...@gmail.com wrote: Boa tarde pessoal! Estou procurando na net algum MiniPC ou algo parecido, pois estou querendo montar alguns firewall´s com o FreeBSD nesse tipo de equipamento. Tipo, para dar uma personalizada no serviço. Alguém da lista já utilizou ou utiliza algum desses equipamentos com o FreeBSD e pode dizer algo sobre? Alix ou Soekris, já viu estes ? nunca comprei pelo preço, mas a 5501-70 da Soekris é sonho de consumo. ainda crio coragem e peço uma :) -- We will call you cygnus, The God of balance you shall be A: Because it messes up the order in which people normally read text. Q: Why is top-posting such a bad thing? http://en.wikipedia.org/wiki/Posting_style - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] MiniPC para montar Firewall FreeBSD
2009/6/22 Nenhum_de_Nos math...@eternamente.info On Mon, 22 Jun 2009 17:53:31 -0300 Cleyton Bertolim cberto...@gmail.com wrote: Boa tarde pessoal! Estou procurando na net algum MiniPC ou algo parecido, pois estou querendo montar alguns firewall´s com o FreeBSD nesse tipo de equipamento. Tipo, para dar uma personalizada no serviço. Alguém da lista já utilizou ou utiliza algum desses equipamentos com o FreeBSD e pode dizer algo sobre? Alix ou Soekris, já viu estes ? nunca comprei pelo preço, mas a 5501-70 da Soekris é sonho de consumo. ainda crio coragem e peço uma :) -- We will call you cygnus, The God of balance you shall be A: Because it messes up the order in which people normally read text. Q: Why is top-posting such a bad thing? http://en.wikipedia.org/wiki/Posting_style - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd FreeBSD on Soekris hardware: http://phk.freebsd.dk/soekris/ -- Alvaro - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] dominio de FTP no FreeBSD
Galera, Estou com uma dúbida para criar um sub dominio no meu DNS para um FTP só que o ip está em outra faixa. tenho um dominio que está registrado assim empresa.com.br o meus dns esta nessa faixa 200.222.222.10 e 200.222.222.9 juntamente com o meus servidores de web e e-mail ips 15 e 20. Porem o meu FTP esta em outra localidade de ip 200.333.333.4, gostaria que fosse assim servidorftp.empresa.com.br Fiz, porem no registro reverno não vai dar certo pousa dos ips que estão em outra faixa. Alguem sabe como posso resolver ? Obrigado Thiago Gomes - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd