Re: [FUG-BR] Squid autenticado no AD.
Olá, boa tarde Adiel. Que legal encontrar um parceiro por aqui. Sou Cleber do Curso ARL. Você conseguiu resolver o problema de autenticação? Como eu já te disse uma vez eu uso OpenBSD e nele esse processo é um pouquinho diferente, mas se puder ajudar em algo, tanto eu como a lista ficaremos super satisfeitos. Abraços, -- Cleber Araújo Analista de Suporte Pleno II 2013/6/7 Adiel de Lima Ribeiro adiel.netad...@gmail.com Pessoal, bom dia. Tenho o Squid autenticado no AD, tudo funciona normalmente, mas alguns sites simplemente ficam pedindo senha toda hora e não funcionam, para máquinas fora do domínio, não adianta entrar com credenciais, fica pedindo senha toda hora, alguém tem uma luz? Obrigado. squid.conf: auth_param ntlm program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 100 auth_param ntlm keep_alive on client_persistent_connections on server_persistent_connections on auth_param basic program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-basic auth_param basic children 100 auth_param basic casesensitive off auth_param basic realm Usuario e senha auth_param basic credentialsttl 4 hours acl users proxy_auth REQUIRED acl SSL_ports port 443 acl Safe_ports port 80 acl Safe_ports port 443 acl Safe_ports port 8084 acl Safe_ports port 8085 acl Safe_ports port 8080 acl Safe_ports port 5222 acl Safe_ports port 2510 acl CONNECT method CONNECT acl naoautenticados dstdom_regex -i /usr/local/squid/naoautenticados http_access allow localhost manager http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny to_localhost http_access allow naoautenticados http_access deny !users http_access allow users http_access deny all http_port 192.168.254.121:3128 cache_mem 512 MB cache_dir aufs /var/squid/cache/squid 512 10 20 maximum_object_size 4 MB maximum_object_size_in_memory 2 MB coredump_dir /var/squid/cache/squid visible_hostname Microsoft-Windows-NT-Server-4.0 cache_mgr adiel.ribe...@rumosolucoes.com httpd_suppress_version_string on refresh_pattern -i \.(gif|png|jpg|jpeg|ico|tiff|bmp)$ 10080 50% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.(doc|pdf|docx|xls|xlsx|txt|ppt|pptx)$ 10080 90% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.index.(html|htm)$ 1440 50% 10080 refresh_pattern -i \.(html|htm|css|js)$ 1440 50% 10080 refresh_pattern (/cgi-bin/|\?) 1440 50% 4320 -- att, Adiel de Lima Ribeiro facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Cleber Araújo Analista de TI Bacharel em Sistemas de Informação - FTC Especialista em Redes de Computadores - UFLA - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Quanto custa montar um servidor BSD?
Olá, bom dia lista! Estou precisando da ajuda de vocês, quanto vocês costumam cobrar para montar um servidor BSD + Firewall + Proxy (Squid) + Controle de banda (Dummynet ou ALQ)? Por sempre ter feito isso em empresas que trabalhei fiquei totalmente voando quando me chamaram para montar uma estrutura dessas para uma pessoa que quer contratar meu serviço. Outra coisa: montando a estrutura vocês costumam cobrar para configurar as estações também (para setar o gateway) ou isso não é da responsabilidade de quem monta o servidor? Desde já muito grato a todos! Um grande abraço, -- Cleber Araújo Analista de TI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ftp-proxy + ipfw + nat
Olá, boa noite Marcelo! Pelo que ví, aparentemente o problema se deve ao duplo sistema de filtragem. Embora muitos colegas daqui da lista consigam utilizar os dois, eu já apanhei bastante e só deu certo quando eu usava o PF ou o IPFW. Isso se deve a muitos fatores, como exemplo se eles são default deny, qual starta primeiro no kernel, etc... mas enfim isso é outra discurssão. O que lhe aconselho é utilizar apenas uma das ferramentas, nem que seja apenas para teste. Por exemplo: 1 - caso opte pelo IPFW basta adicionar a regra: ipfw add allow tcp from any to me to 21,8021 setup keep-state Comentário: não esqueça do setup (que faz a checagem das flags) e o keep-state (que mantem os estados da conexão) 2 - Caso opte pelo PF (que é indiscutivelmente melhor que o IPFW), adicione a regra: pass in on suaplacaderede proto tcp from any to localhost port 21,8021 Comentário: a opção in sinaliza que a conexão está entrando no firewall e neste caso não é necessário fazer checagem das flags ou ativar os estados com a opção keep state (pois eles já ficam integrados no Kernel). Mas como seguro morreu de velho, se quiser adicione manualmente no final da regra: flags S/SAFR keep state (é sem o hífem mesmo). E claro, como se trata de um servidor toda segurança é necésaria, portanto política block por padrão. Poste os resultados de seus testes. Um grande abraço, -- Cleber Araújo Analista de Suporte II Bacharel em Sistemas de Informação Especializando em Redes de Computadores - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ajuda com squid
Olá, bom dia Fabiano! Pelo que informou, aparentemente o problema está no squid. O squid.conf postado está completo? Porque como você mesmo deve saber quanto mais regras o squid possuir, mais lento ele será. Caso seu volume de regras seja alto é preferível usar o squidguardian ou similar. Se possível, faça um teste: deixe seu squid na configuração default e apenas uma regras de permitir tudo e veja o comportamento dele, se o acesso ficar rápido você terá matado a charada (excesso de regras). Poste os resultados... Um grande abraço, -- Cleber Araújo Analista de TI Especialista em Redes de Computadores - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Erro no IPFW na versão BSD 8.1
Olá, bom dia Alex! Você está ativando como? Via kernel? Embora não utilize a versão 8.1, tal qual você nunca tive esse problema com as versões anteriores. Além disso, raramente ví problemas com a versão release (tanto que uso a release e nunca tive problema), contudo, como ainda se encontra em pleno desenvolvimento, a versão mais segura é a stable. Caso queira continuar com a versão 8.1 release, é bom testar outras formas de ativação do IPFW (pelo rc.conf ou pelo sysctl) para ver se dá certo. Mas, como seguro morreu de velho, aconselho que você volte para a 8.0 e só migre para a 8.1 após alguns testes. Um grande abraço, -- Cleber Araújo Analista de TI Analista de Suporte II - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] CACHE FULL PROBLEMA no FreeBSD 8.0
Bom dia Alex, Embora tenho que dito que a versão do squid sejam a mesma nas duas máquinas é provável que seu squid.conf tenha pelo menos algo diferente. Caso o conf sejam idênticos me informe o tipo de arquivo em que está sendo feito o cache e qual é a taxa de atualização do mesmo. Porque, ao meu ver, o kernel do 7.2 e do 8.0 se comportam da mesma maneira quanto ao cache. Um grande abraço, -- Cleber Araújo Analista de TI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Problemas com implementação IPFilter + IPFW
É verdade Nilton, usar apenas uma ferramenta resolve mesmo. Sempre usei o IPFW e nunca tive problemas. Contudo, já que o sistema nos permite usar um firewall híbrido, o que eu estou querendo fazer é explorar o que cada uma das ferramentas tem de melhor. Já progredi um pouco, recompilei o kernel mais uma vez, e percebi que a compilação é top-down, pois como desta vez habilitei o IPFilter primeiro, ele ficou ativado antes do IPFW. Agora o firewall está assim: lê todo o IPF e depois o IPFW. Mas ainda perdura a batalha para fazer as ferramentas funcionarem corretamente. As costas já estão cheias de marcas de tanto apanhar, mas um dia eu saio do tronco. Muito obrigado pelo apoio de todos, e principalmente do Nilton e do Irado... Um grande abraço, -- Cleber Araújo Analista de TI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Problemas com implementação IPFilter + IPFW
Bom dia lista! Embora já seja usuário do FreeBSD há algum tempo jamais havia utilizado a combinação IPFilter + IPFW num mesmo server, e estou apanhando pra caramba. Aqui eu uso a versão 8.0 release, e compilei o kernel com as seguintes opções: # Ativar IPFILTER e SysLog options IPFILTER options IPFILTER_LOG options IPFILTER_DEFAULT_BLOCK # Ativar IPFW, SysLog, e DUMMYNET options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options DUMMYNET Embora já tenha utilizado as ferramentas de forma separada, agora estou querendo filtar pelo IPFilter e controlar banda via Dummynet com o IPFW. Como vocês fazem para utilizar as duas ferramentas no mesmo server? As integra ao Kernel ou habilita uma via kernel e outra via rc.conf? Fiquei pensando se o problema também poderia ser quanto ao padrão block nos dois, mas mesmo implemantando regras allow|pass all nos dois o servidor continua incomunicável. Mas aí deixo isso para os experts como vocês. rsrs Desde já muito grato a todos pelo apoio e contribuição! Um grande abraço, -- Cleber Araújo Analista de TI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Hotmail nao conclui usando SQUID
Olá, boa tarde Cossini! Pelo que entendi o seu problema deve estar no acesso a porta 443 (se você observar o mail.live usa o protocolo https). Se você está usando o proxy transparente ele não funciona, tem que setar manualmente no browser, e calro: liberar a porta no firewall. Agora como em servidor liberação de portas é um pouco arriscado, tome cuidado. Abra a 443 apenas em informações saindo do seu servidor, porque se abrir para todos corre o risco de algum proxy roubar a cena e passar por esta porta (como o UltraSurf por exemplo). Só que isso é pouco complicado, pois você teria que cadastrar cada servidor do mail.live (que a pouco tempo eram 7). Qualquer dúvida é só postar que eu ou a raça responde, aqui tem muita gente boa! rs Um grande abraço, -- Cleber Araújo Analista de TI Bacharel em Sistemas de Informação - FTC Especialista em Redes de Computadores - UFLA - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Problemas com proxy transparente no FreeBSD 8.0 usando IPFW
Bom dia pessoal,
Já tentei de diversas formas fazer o squid funcionar em modo transparente no
FreeBSD8 usando o IPFW mas ainda consegui, embora funcione normalmente
setando-o manualmente no browser. Devo estar errando em alguma besteira.
Outra coisa: quando ativo as regras natd o ssh pára de funcionar, não
entendi nadinha.
Alguém pode me dar um help?
Para maior entendimento segue minhas configurações:
- x - x - x - x - x -
NICs:
sis0 = 192.168.254.89/24 (essa está conectada a internet) -- Placa de
entrada
vr0 = 10.0.10.1/26 (conectada a rede local) -- Placa de saída
- x - x - x - x - x -
ACL's do IPFW:
Obs: uso o firewall no padrão fechado (65535 deny all to all)
# Limpa todas as regras
-q -f flush
# Inicia construcao do Firewall Statefull
add 04 check-state
# Libera comunicacao pela loopback
add 05 allow ip from any to any via lo0
# Redireciona trafego da porta 80 para a porta 3128 do GateWay
add 06 fwd 127.0.0.1,3128 tcp from any to any dst-port 80 via vr0 setup
keep-state
# Libera conexao do socket Divert (NAT)
#add 07 divert natd ip from any to any { dst-ip 10.0.10.0/26 or src-ip
10.0.10.0/26 } via sis0
#add 08 divert natd ip from any to any via vr0
# Bloqueia conexao do localhost
add 09 deny { dst-ip 127.0.0.1/8 or src-ip 127.0.0.1/8 }
# Libera comunicacao ao SSH
add 15 allow tcp from any to any { dst-port 22 or src-port 22 }
# Libera comunicacao DNS
add 10 allow udp from any to any { dst-port 53 or src-port 53 }
# Libera conexao com a Web
add 11 allow tcp from me to any dst-port 80
# Libera comunicacao NETBIOS
add 12 allow udp from any to any { dst-port 137 or src-port 137 }
add 13 allow udp from any to any { dst-port 138 or src-port 138 }
add 14 allow udp from any to any { dst-port 139 or src-port 139 }
# Libera comunicacao SQUID
add 14 allow tcp from any to any { dst-port 3128 or src-port 3128 }
- x - x - x - x - x -
Vale lembrar que o Squid está configurado como:
http_port 3128 transparent
Uso o firewall no padrão fechado (65535 deny all to all)
Desde já muito grato a todos!
--
Cleber Araújo
Analista de TI
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Problema: Squid + Proxy Transparente + IFW + FreeBSD 8
Bom dia pessoal,
Já tentei de diversas formas fazer o squid funcionar em modo transparente no
FreeBSD8 usando o IPFW mas ainda consegui, embora funcione normalmente
setando manualmente no browser.
Outra coisa: quando ativo as regras natd o ssh pára de funcionar, não
entendi nadinha.
Alguém pode me dar um help?
Para maior entendimento segue minhas configurações:
- x - x - x - x - x -
NICs:
sis0 = 192.168.254.89/24 (essa está conectada a internet) -- Placa de
entrada
vr0 = 10.0.10.1/26 (conectada a rede local) -- Placa de saída
- x - x - x - x - x -
ACL's do IPFW:
Obs: uso o firewall no padrão fechado (65535 deny all to all)
# Limpa todas as regras
-q -f flush
# Inicia construcao do Firewall Statefull
add 04 check-state
# Libera comunicacao pela loopback
add 05 allow ip from any to any via lo0
# Redireciona trafego da porta 80 para a porta 3128 do GateWay
add 06 fwd 127.0.0.1,3128 tcp from any to any dst-port 80 via vr0 setup
keep-state
# Libera conexao do socket Divert (NAT)
#add 07 divert natd ip from any to any { dst-ip 10.0.10.0/26 or src-ip
10.0.10.0/26 } via sis0
#add 08 divert natd ip from any to any via vr0
# Bloqueia conexao do localhost
add 09 deny { dst-ip 127.0.0.1/8 or src-ip 127.0.0.1/8 }
# Libera comunicacao ao SSH
add 15 allow tcp from any to any { dst-port 22 or src-port 22 }
# Libera comunicacao DNS
add 10 allow udp from any to any { dst-port 53 or src-port 53 }
# Libera conexao com a Web
add 11 allow tcp from me to any dst-port 80
# Libera comunicacao NETBIOS
add 12 allow udp from any to any { dst-port 137 or src-port 137 }
add 13 allow udp from any to any { dst-port 138 or src-port 138 }
add 14 allow udp from any to any { dst-port 139 or src-port 139 }
# Libera comunicacao SQUID
add 14 allow tcp from any to any { dst-port 3128 or src-port 3128 }
- x - x - x - x - x -
Desde já muito grato a todos!
Um grande abraço,
--
Cleber Araújo
Analista de TI
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Problema: Squid + Proxy Transparente + IFW + FreeBSD 8
Ops, esqueci de avisar que o squi está setado com o parâmetro: http_port 3128 transparent Um grande abraço, -- Cleber Araújo Analista de TI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Problemas com proxy transparente IPFW no FreeBSD 8.0
Boa tarde pessoal! Estou tendo uma dificuldade para colocar em produção um servidor web proxy fazendo proxy transparente com o IPFW, basta aplicar a regra de redirecionamento o squid não libera a conexão. Caso eu remova a regra de redirecionamento os sites abrem, porém sem passar pelas políticas do squid. Vale salientar que mesmo sem a regra de redirecionamento estar ativada o browser navega caso eu o configure manualmente, já estando com a regra nem manualmente funciona. Aqui uso a política de firewall fechada (bloqueio tudo, exceto minhas customizações), logo imagino que o problema esteja nisso. Imagino que tenho que desbloquear algo que não estou vendo. Para melhor entendimento estou anexando à mensagem como estão as políticas de segurança do firewall e um pedaço do log do squid. Segue cópia das minhas ACL's: #Limpando Regras -f flush #Interface loopback add 01 allow ip from any to any via lo0 add 02 deny ip from any to 127.0.0.0/8 # Proxy transparente add 03 fwd 127.0.0.1,3128 tcp from any to any dst-port 80 #Porta SSH add 03 allow tcp from any to any dst-port 22 add 04 allow tcp from any to any src-port 22 #Porta Squid add 05 allow tcp from any to any dst-port 3128 add 06 allow tcp from any to any src-port 3128 Tentativa de abertura do site www.fug.com.br (regra de direcionamento ativada + browser configurado manualmente): 1265393608.836 2 192.168.254.3 TCP_DENIED/403 4250 GET http://www.fug.com.br/ - NONE/- text/html 1265393608.937755 192.168.254.3 TCP_MISS/403 4396 GET http://www.fug.com.br/ - DIRECT/66.98.164.82 text/html 1265393612.426 2 192.168.254.3 TCP_DENIED/403 4032 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html 1265393612.429 3381 192.168.254.3 TCP_MISS/403 1594 GET http://www.squid-cache.org/Artwork/SN.png - DIRECT/12.160.37.9 text/html 1265393612.439 2 192.168.254.3 TCP_DENIED/403 4251 GET http://www.fug.com.br/favicon.ico - NONE/- text/html 1265393612.540105 192.168.254.3 TCP_MISS/403 4397 GET http://www.fug.com.br/favicon.ico - DIRECT/66.98.164.82 text/html 1265393615.442 2 192.168.254.3 TCP_DENIED/403 4283 GET http://www.fug.com.br/favicon.ico - NONE/- text/html 1265393615.544105 192.168.254.3 TCP_MISS/403 4429 GET http://www.fug.com.br/favicon.ico - DIRECT/66.98.164.82 text/html Viram como é? É como se ele bloqueasse a solitação e a liberasse ao mesmo tempo. Desde já abradeço o apoio de todos! Um grande abraço! -- Cleber Araújo Analista de TI Bacharel em Sistemas de Informação - FTC Especialista em Redes de Computadores - UFLA Certificando Furukawa - FCP Master - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Problemas com proxy transparente IPFW no FreeBSD 8.0
Olá Matheus, Obrigado pelo apoio, a tela mostrada pelo squid é a Access Denied mesmo mas o problema não é o squid o problema está no IPFW mesmo. O meu Squid.conf está liberando acesso para aquele IP 192.168.254.3. Outra coisa: caso fosse o squid que tivesse bloqueando ele não funcionaria quando eu configuro o browser manualmente, e quando faço a configuração manualmente funciona redondinho. Quando tento redirecionar o tráfego é que o bicho pega. Com certeza deve é no IPFW -- Cleber Araújo Analista de TI Bacharel em Sistemas de Informação - FTC Especialista em Redes de Computadores - UFLA Certificando Furukava - FCP Master - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Problemas com proxy transparente IPFW no FreeBSD 8.0
Respondendo ao Matheus: A porta está a padrão mesmo (3128), porém bato na mesma tecla de que o problema está no forward. Digo isso porque já que o firewall bloqueia tudo que não especifico caso a política de liberação da 3128 não funcionasse, eu não conseguiria fazer funcionar manualmente no browser. Estou testando as sugestões que o pessoal me enviou e logo darei um retorno! Um grande abraço! -- Cleber Araújo Analista de TI Bacharel em Sistemas de Informação - FTC Especialista em Redes de Computadores - UFLA Certificando Furukawa - FCP Master - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Problemas com proxy transparente IPFW no FreeBSD 8.0
Está tudo certinho com o parâmetro no squid.conf: http_port 3128 transparent E sobre o uso do NAT já adicionei as regras, executei o socket divert na porta 8668 (o coloquei nas regras também) porém nada funciona, continua na mesma. Obrigado pelo empenho de todos. Que briga feia para colocar esse server no ar! rsrs -- Cleber Araújo Analista de TI Bacharel em Sistemas de Informação - FTC Especialista em Redes de Computadores - UFLA Certificando Furukawa - FCP Master - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Problemas com proxy transparente IPFW no FreeBSD 8.0
Irado, obrigado pelo apoio mas esta configuração não é mais utilizada a um certo tempo (tanto que o artigo que me passou data-se de praticamente 5 anos atrás). De qualquer forma, muito obrigado pela sugestão. E segue nossa batalha! rsrs -- Cleber Araújo Analista de TI Bacharel em Sistemas de Informação - FTC Especialista em Redes de Computadores - UFLA Especializando Furukawa - FCP Master - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
