Re: [FUG-BR] Segurança no Apache
- Mensagem original - Em 23 de agosto de 2013 13:48, Patrick Tracanelli eks...@freebsdbrasil.com.br escreveu: Com o MPM ITK no Apache você pode facilmente fazer cada VirtualHost rodar com um usuário diferente; pode fazer cada contexto Directory executar com uma permissão diferente. Se seu ambiente for shared avalie isso antes de pensar em ir pra MAC pois é um tremendo diferencial pra segurança. E ai você pode ir pra outros componentes (MLS/LOMAC/BIBA/BSD_EXTENDED) pra apoiar por MAC as credenciais atribuídas via DAC no sujeito rodando o processo. Abraços. Quando eu crescer, quero ser assim :) Muito bom ! -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Patrick, Elevou o nivel. Parabéns e muuuiiitooo obrigado! abraço - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd + Quagga + BGP
Bom dia Renato, eu não entendi muito bem a necessidade de PBR, não é só uma questão de ajustar os local-preference ? On Sun, Aug 25, 2013 at 04:44:12PM -0300, Renato Frederick wrote: Em 23/08/13 15:25, Marco Aurelio escreveu: Olá pessoal, precisando da ajuda de vocês, pois estou meio perdido nessa configurações. Sou iniciante no assunto, já peço desculpas se estiver no cominho errado. Meu cenário é este ... OPERADORAMEU PROVEDOR AS 1234 10.1/30 --- LINK1 18881 - RECEBENDO UM /30 -- 192.168.10.2/30 20.1/30 --- LINK2 18881 - RECEBENDO UM /30 -- 192.168.20.2/30 30.1/30 --- LINK3 18881 - RECEBENDO UM /30 -- 192.168.30.2/30 40.1/30 --- LINK4 18881 - RECEBENDO UM /30 -- 192.168.40.2/30 São 4 links da mesma operadora, porém não posso somar os links, preciso fechar 4 sessões bgp, são 4 placas de redes recebendo os ips em uma máquina apenas. Que loucura, que operadora é esta que entrega 4 links ethernet ao invés de um só? Gambiarra Pense no seguinte, você vai ter que fazer PBR para definir quais redes de origem vão usar cada um dos links, de modo que você possa tentar otimizar a vazão. Acho que fazer isto com o quagga é meio chato, no passado eu tentei mas larguei mão e fui para openbgpd + PFTABLES, de modo que eu, associando com o openbgpd, posso falar quais blocos /24 da minha rede sairão por cada sessão bgp fechada. Mas no seu caso, eu tenho certeza que vai ser trabalhoso, pode ser que um dia um link tenha menos uso porque aquele perfil de cliente não está usando, ai você vai ter que mudar os filtros.. Qual o motivo da operadora entregar 4 links ao invés de um só? Alguma limitação de equipamento? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd signature.asc Description: Digital signature - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd + Quagga + BGP
Obrigado André pela atençao, fiz o que vc sugeriu , olha como ficou Está correto ? bgp multiple-instance ! router bgp 65531 bgp router-id 192.168.5.2 neighbor todos peer-group neighbor todos remote-as 65530 bgp log-neighbor-changes !no bgp default ipv4-unicast network 192.168.0.0/22 redistribute connected redistribute ospf - está habilitado pq montei um RB450 para simular a operadora. neighbor todos next-hop-self neighbor todos description GWs neighbor todos soft-reconfiguration inbound neighbor todos ebgp-multihop 4 neighbor todos update-source 192.168.5.2 neighbor todos route-map gw1out out neighbor todos activate neighbor 10.10.1.1 peer-group todos - Fechando os peers com a operadora neighbor 10.10.2.1 peer-group todos neighbor 10.10.3.1 peer-group todos neighbor 10.10.4.1 peer-group todos ip prefix-list gw1_p_out seq 5 permit 192.168.0.0/22 route-map gw1out permit 5 match ip address prefix-list gw1_p_out O problema é que dessa forma todo o tráfego está saindo apenas por um Link, o que preciso é balancear igualmente o meu download, são quatro link de 100 em cada sessão bgp, quando faço esse anuncio /22, ele ta escolhendo um link e saindo tudo apenas em 100mb Marco Aurélio Ventura da Silva marcoprod...@gmail.com Prodata Informática e Cadastro LTDA (33)3322- Em 26 de agosto de 2013 10:28, André Gustavo N. an...@mrx.com.br escreveu: Bom dia Renato, eu não entendi muito bem a necessidade de PBR, não é só uma questão de ajustar os local-preference ? On Sun, Aug 25, 2013 at 04:44:12PM -0300, Renato Frederick wrote: Em 23/08/13 15:25, Marco Aurelio escreveu: Olá pessoal, precisando da ajuda de vocês, pois estou meio perdido nessa configurações. Sou iniciante no assunto, já peço desculpas se estiver no cominho errado. Meu cenário é este ... OPERADORAMEU PROVEDOR AS 1234 10.1/30 --- LINK1 18881 - RECEBENDO UM /30 -- 192.168.10.2/30 20.1/30 --- LINK2 18881 - RECEBENDO UM /30 -- 192.168.20.2/30 30.1/30 --- LINK3 18881 - RECEBENDO UM /30 -- 192.168.30.2/30 40.1/30 --- LINK4 18881 - RECEBENDO UM /30 -- 192.168.40.2/30 São 4 links da mesma operadora, porém não posso somar os links, preciso fechar 4 sessões bgp, são 4 placas de redes recebendo os ips em uma máquina apenas. Que loucura, que operadora é esta que entrega 4 links ethernet ao invés de um só? Gambiarra Pense no seguinte, você vai ter que fazer PBR para definir quais redes de origem vão usar cada um dos links, de modo que você possa tentar otimizar a vazão. Acho que fazer isto com o quagga é meio chato, no passado eu tentei mas larguei mão e fui para openbgpd + PFTABLES, de modo que eu, associando com o openbgpd, posso falar quais blocos /24 da minha rede sairão por cada sessão bgp fechada. Mas no seu caso, eu tenho certeza que vai ser trabalhoso, pode ser que um dia um link tenha menos uso porque aquele perfil de cliente não está usando, ai você vai ter que mudar os filtros.. Qual o motivo da operadora entregar 4 links ao invés de um só? Alguma limitação de equipamento? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd + Quagga + BGP
On 8/26/2013 10:28 AM, André Gustavo N. Lopes wrote:
Bom dia Renato, eu não entendi muito bem a necessidade de PBR, não é só uma
questão de ajustar os local-preference ?
On Sun, Aug 25, 2013 at 04:44:12PM -0300, Renato Frederick wrote:
André,
Boa Noite!
Sobre o PBR, imagine isto
link1 = 10mb
link2 = 10mb
link3 = 10mb
Imagine, pra simplificar que você tem 3 blocos /24.
redeA 10.0.0.0/24
redeB 10.0.1.0/24
redeC 10.0.2.0/24
PBR seria o seguinte: Você falar que todo o tráfego da redeA sai pelo
link1, todo trafego da redeB sai pelo link2 e todo tráfego da redeC pelo
link3.
Agora, imagine que o link3 está 100% usado, mas o link1 está 20% só.
Se você for no BGP e falar que o link1 tem local-preference maior, TODAS
as 3 redes, redeA, redeB, redeC, começaram a siar pelo link1. Então você
não resolveu, apenas transferiu o problema do link3 pro link1.
Com o PBR você faria o seguinte:
Analisaria quais IP estão usando, por exemplo, 40% do link3.
Daí, jogaria estes IP e SOMENTE eles para o link1.
Então, o link1 que tinha 20%, vai ter agora 20 + 40 = 60% de uso.
e o link3, que tinha 100%, vai ter só 60%.
então ficou balanceado, 60% link1, 60% link3.
Porém, imagina que o link1 caiu. sua regra está manual, você teria que
entrar no firewall e mudar a regra.
Com o PF + OPENBGPD você faz o seguinte que resolve.
pega todas as redes(full rouring) aprendidas pelo BGP do link1 e poe na
table do PF link1
Faz o mesmo com o link2 e 3.
E daí faz uma regra de fwd:
pass out quick route-to ( em0 ip.remoto ) from { 10.0.0.0/24 } to
link1 keep state
assim, se o link1 cair, a table link1 estará vazia(já que o openbgpd
não vai popular ela).
isto é o que o cisco faz no bgp dele, você usa o bgp + estado da
interface(fisica ou loopback). Se a interface cai, aquela origem é
roteada para outra, usando pesos.
então, em resumo, local-prefence redireciona TODAS as redes de origem,
manipula só destino. Usando este esquema, você manipula a origem
também(com o route-to) e destino(com local-preference, weight, etc).
No passado eu até perguntei isto aqui, acho que foi até o Patrick que
falou algo sobre BATMAN, olha o link abaixo:
http://www.fug.com.br/historico/html/freebsd/2008-11/msg00477.html
Esta ideia dele de usar o pf + openbgpd foi muito legal, e me ajudou
demais!!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd + Quagga + BGP
Boa noite Renato,
Eu conheço PBR, mas o que eu quis dizer, aproveitando o seu exemplo é que se vc
pegar um /24 e anunciar com mais local-preference para o peer1
escolher outro /24 e anunciar com mais local-preference para o peer2, e assim
por diante, vai ter o mesmo resultado. Gerenciando o local-preference por
prefixo, não por link.
Se o link3 ficar saturado, você pode manobrar o tráfego tirando o
local-preference dos prefixos que você tinha ajustado anteriormente.
O balanceamento de tráfego para rotas com o mesmo custo (ECMP), depende de
suporte no S.O. e isso é uma outra novela.
No linux me disseram que funciona bem, no FreeBSD eu tive 1 milhão de problemas
habilitando RADIX_MPATH e full routing com quagga.
No OpenBSD eu já usei, e funciona bem.
PBR é muito bacana, mas acho que não é pré requisito para funcionar o que o
rapaz ali precisa =)
Abraço!
On Mon, Aug 26, 2013 at 06:39:18PM -0300, Renato Frederick wrote:
On 8/26/2013 10:28 AM, André Gustavo N. Lopes wrote:
Bom dia Renato, eu não entendi muito bem a necessidade de PBR, não é só uma
questão de ajustar os local-preference ?
On Sun, Aug 25, 2013 at 04:44:12PM -0300, Renato Frederick wrote:
André,
Boa Noite!
Sobre o PBR, imagine isto
link1 = 10mb
link2 = 10mb
link3 = 10mb
Imagine, pra simplificar que você tem 3 blocos /24.
redeA 10.0.0.0/24
redeB 10.0.1.0/24
redeC 10.0.2.0/24
PBR seria o seguinte: Você falar que todo o tráfego da redeA sai pelo
link1, todo trafego da redeB sai pelo link2 e todo tráfego da redeC pelo
link3.
Agora, imagine que o link3 está 100% usado, mas o link1 está 20% só.
Se você for no BGP e falar que o link1 tem local-preference maior, TODAS
as 3 redes, redeA, redeB, redeC, começaram a siar pelo link1. Então você
não resolveu, apenas transferiu o problema do link3 pro link1.
Com o PBR você faria o seguinte:
Analisaria quais IP estão usando, por exemplo, 40% do link3.
Daí, jogaria estes IP e SOMENTE eles para o link1.
Então, o link1 que tinha 20%, vai ter agora 20 + 40 = 60% de uso.
e o link3, que tinha 100%, vai ter só 60%.
então ficou balanceado, 60% link1, 60% link3.
Porém, imagina que o link1 caiu. sua regra está manual, você teria que
entrar no firewall e mudar a regra.
Com o PF + OPENBGPD você faz o seguinte que resolve.
pega todas as redes(full rouring) aprendidas pelo BGP do link1 e poe na
table do PF link1
Faz o mesmo com o link2 e 3.
E daí faz uma regra de fwd:
pass out quick route-to ( em0 ip.remoto ) from { 10.0.0.0/24 } to
link1 keep state
assim, se o link1 cair, a table link1 estará vazia(já que o openbgpd
não vai popular ela).
isto é o que o cisco faz no bgp dele, você usa o bgp + estado da
interface(fisica ou loopback). Se a interface cai, aquela origem é
roteada para outra, usando pesos.
então, em resumo, local-prefence redireciona TODAS as redes de origem,
manipula só destino. Usando este esquema, você manipula a origem
também(com o route-to) e destino(com local-preference, weight, etc).
No passado eu até perguntei isto aqui, acho que foi até o Patrick que
falou algo sobre BATMAN, olha o link abaixo:
http://www.fug.com.br/historico/html/freebsd/2008-11/msg00477.html
Esta ideia dele de usar o pf + openbgpd foi muito legal, e me ajudou
demais!!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
signature.asc
Description: Digital signature
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] squid e freebsd
Veja se alguém me ajuda, tenho diversos hosts funcionando como firewall em clientes, do 6... até o 9..., com squid do 3 ao 3.2. Alguns já estão em produção faz muito tempo e funcionam perfeitamente. Ocorre que de uns 4 meses pra cá, o site www.curitiba.pr.gov.br não abre mais em nenhum deles (funcionava antes, parou do nada, pra todos, no mesmo momento) Retorna erro de leitura, (60) operation timed out no squid, transparente ou não, tanto faz, o erro é o mesmo, pelo endereço ou por IP também tanto faz. No nat direto, funciona perfeitamente. São muitos clientes (uns 15), e todos tem conexões da GVT, mas algumas são fibra, outros (a maioria) adsl, mas não acho que tenha algo a ver com isso. Já verifiquei no ipfw e não tá parando nada, não é nada com ACL. As conexões são estabelecidas, mas morrem sem troca de dados. Obrigado a todos que puderem ajudar. Bruno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid e freebsd
Bruno, utiliza squidGuard? Se utilizar, faça um teste sem ele para ver se passa. Em 26 de agosto de 2013 21:43, Bruno Teles bruno.te...@ig.com.br escreveu: Veja se alguém me ajuda, tenho diversos hosts funcionando como firewall em clientes, do 6... até o 9..., com squid do 3 ao 3.2. Alguns já estão em produção faz muito tempo e funcionam perfeitamente. Ocorre que de uns 4 meses pra cá, o site www.curitiba.pr.gov.br não abre mais em nenhum deles (funcionava antes, parou do nada, pra todos, no mesmo momento) Retorna erro de leitura, (60) operation timed out no squid, transparente ou não, tanto faz, o erro é o mesmo, pelo endereço ou por IP também tanto faz. No nat direto, funciona perfeitamente. São muitos clientes (uns 15), e todos tem conexões da GVT, mas algumas são fibra, outros (a maioria) adsl, mas não acho que tenha algo a ver com isso. Já verifiquei no ipfw e não tá parando nada, não é nada com ACL. As conexões são estabelecidas, mas morrem sem troca de dados. Obrigado a todos que puderem ajudar. Bruno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid e freebsd
Boa noite Bruno, Só pra eu ter certeza, quando você abre o site, sem passar pelo squid, funciona normal?? Att, On Mon, Aug 26, 2013 at 09:43:27PM -0300, Bruno Teles wrote: Veja se alguém me ajuda, tenho diversos hosts funcionando como firewall em clientes, do 6... até o 9..., com squid do 3 ao 3.2. Alguns já estão em produção faz muito tempo e funcionam perfeitamente. Ocorre que de uns 4 meses pra cá, o site www.curitiba.pr.gov.br não abre mais em nenhum deles (funcionava antes, parou do nada, pra todos, no mesmo momento) Retorna erro de leitura, (60) operation timed out no squid, transparente ou não, tanto faz, o erro é o mesmo, pelo endereço ou por IP também tanto faz. No nat direto, funciona perfeitamente. São muitos clientes (uns 15), e todos tem conexões da GVT, mas algumas são fibra, outros (a maioria) adsl, mas não acho que tenha algo a ver com isso. Já verifiquei no ipfw e não tá parando nada, não é nada com ACL. As conexões são estabelecidas, mas morrem sem troca de dados. Obrigado a todos que puderem ajudar. Bruno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd signature.asc Description: Digital signature - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid e freebsd
funciona perfeitamente fora do squid. Em Seg, 2013-08-26 às 22:46 -0300, André Gustavo Neves Lopes escreveu: Boa noite Bruno, Só pra eu ter certeza, quando você abre o site, sem passar pelo squid, funciona normal?? Att, On Mon, Aug 26, 2013 at 09:43:27PM -0300, Bruno Teles wrote: Veja se alguém me ajuda, tenho diversos hosts funcionando como firewall em clientes, do 6... até o 9..., com squid do 3 ao 3.2. Alguns já estão em produção faz muito tempo e funcionam perfeitamente. Ocorre que de uns 4 meses pra cá, o site www.curitiba.pr.gov.br não abre mais em nenhum deles (funcionava antes, parou do nada, pra todos, no mesmo momento) Retorna erro de leitura, (60) operation timed out no squid, transparente ou não, tanto faz, o erro é o mesmo, pelo endereço ou por IP também tanto faz. No nat direto, funciona perfeitamente. São muitos clientes (uns 15), e todos tem conexões da GVT, mas algumas são fibra, outros (a maioria) adsl, mas não acho que tenha algo a ver com isso. Já verifiquei no ipfw e não tá parando nada, não é nada com ACL. As conexões são estabelecidas, mas morrem sem troca de dados. Obrigado a todos que puderem ajudar. Bruno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid e freebsd
não, sem squidGuard só squid, via ports ou pgk_add, mesma coisa sempre... Em Seg, 2013-08-26 às 22:43 -0300, Christiano Liberato escreveu: Bruno, utiliza squidGuard? Se utilizar, faça um teste sem ele para ver se passa. Em 26 de agosto de 2013 21:43, Bruno Teles bruno.te...@ig.com.br escreveu: Veja se alguém me ajuda, tenho diversos hosts funcionando como firewall em clientes, do 6... até o 9..., com squid do 3 ao 3.2. Alguns já estão em produção faz muito tempo e funcionam perfeitamente. Ocorre que de uns 4 meses pra cá, o site www.curitiba.pr.gov.br não abre mais em nenhum deles (funcionava antes, parou do nada, pra todos, no mesmo momento) Retorna erro de leitura, (60) operation timed out no squid, transparente ou não, tanto faz, o erro é o mesmo, pelo endereço ou por IP também tanto faz. No nat direto, funciona perfeitamente. São muitos clientes (uns 15), e todos tem conexões da GVT, mas algumas são fibra, outros (a maioria) adsl, mas não acho que tenha algo a ver com isso. Já verifiquei no ipfw e não tá parando nada, não é nada com ACL. As conexões são estabelecidas, mas morrem sem troca de dados. Obrigado a todos que puderem ajudar. Bruno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Equivalente ao nettop
Pessoal, Gostava muito do programa nettop e descobri recentemente que ele foi removido do ports. Alguém conhece algum equivalente à ele? jnettop eu já até usei mas quando tem muito tráfego sai por segfault na mesma hora. nettop era muito interessante e não tinha esses problemas. []'s Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
