Re: [FUG-BR] Processo com prioridade acima de 20 exibidos pelo top
Boa tarde. A faixa de -20 até 20, pertence ao 'nice', não ao 'priority', conforme descreve /usr/include/sys/priority.h Saudações, Trober - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Traduzir regra do TCPDUMP para o IPFW
Caros, Como seria a tradução desta escuta do tcpdump para uma regra do ipfw para travar este mesmo trafego ? tcpdump -i re0 -n -q -vvv udp and src 111.111.111.111 and not port 53 and not dst 222.222.222.222 Desde já agradeço a atenção recebida. Marco Aurélio V. da Silva [SNIP] Boa tarde. Você aplicou três operadores lógicos AND, ou seja, tudo precisa ser verdadeiro, logo, a porta de origem e destino não podem ser 53, em ambos os hosts. Procede? Se sim, sua regra de bloqueio fica assim: ipfw add deny udp from 111.111.111.111 not domain to not 222.222.222.222 not domain Essa é a regra que atende ipsis litteris o que seu TCPDUMP está capturando. Entretanto, ipsis verbis, é isso mesmo que você precisa? Se fosse um diálogo entre dois humanos, como você pediria a contraparte para bloquear? Pressupondo que você deseja que o host 111.111.111.11 somente trafegue UDP se for requisição DNS para o servidor 222.222.222.222, negando todo o tráfego UDP restante, então a regra fica diferente, sendo: #Negar todo o tráfego UDP originado em 111.111.111.111, exceto requisições DNS para 222.222.222.222 ipfw add deny udp from 111.111.111.111 to not 222.222.222.222 not domain Espero ter ajudado. Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] alias_ftp (IPFW NAT) vs punch_fw (NATD)
Boa tarde. Recentemente foi adicionado ao IPFW NAT a opção globalport[1], existente no NATD. Pesquisando por outras alterações relacionadas ao IPFW NAT, encontrei a correção para alias_ftp[2]. Se entendi certo, com esta correção, o alias_ftp[2] no IPFW NAT terá a mesma função punch_fw[3] do NATD? [1] http://www.freebsd.org/cgi/query-pr.cgi?pr=157867 [2] http://www.freebsd.org/cgi/query-pr.cgi?pr=157957 [3] http://www.fug.com.br/historico/html/freebsd/2009-05/msg00813.html Muito grato desde já. Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Monitor em Stand-By
Boa tarde! Depois de vários meses lendo esta lista venho com a minha primeira dúvida: Como configurar o console do FreeBSD para colocar o monitor em stand-by depois de determinado tempo na proteção de tela? Ele fica o tempo rodando a proteção e tenho que desligar o monitor na mão para economizar energia. Não era isso que eu queria. Valeu! [SNIP] Paulo, aqui tenho definido em /etc/rc.conf os parâmetros abaixo, e o monitor desliga em 5 minutos. saver=green blanktime=300 O parâmetro green para saver, é o que faz desligar o monitor. Se definir qualquer outro (animação gráfica ou textual), ficará sempre em exibição até deixar deixar ser ocioso (atividade de teclado, mouse ou SIGNAL 15). Testa aí e nos reporta :) Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Squid redirecionamento para IPs específicos
Fala pessoal, Alguém ja teve que configurar o squid para sair com IPs diferentes de acordo com a página que vai ser acessada. Situação: Alguma paginas do governo e revistas não aceitam varias conexões vinda de um único IP. Seria o squid capaz de verificar a pagina que esta a ser acessada e substituir o IP de origem por um IP valido de um pool de IPs validos que fora especificado ? Podia contornar via firewall, porém como a rede é formada de IPs não validos acho que seria mais elegante fazer a solução no squid. Alguém ja enfrentou tal situação ? Abraços, leandro - Olá Leandro. Acredito que o uso do tcp_outgoing_address[1] resolva seu problema. Atualmemente eu uso para resolver situações[2] semelhantes a sua, em que tenho dois circuitos de dados, sendo um para acessos prioritários e outro para as generalidades. [1] http://www.squid-cache.org/Doc/config/tcp_outgoing_address/ [2] http://www.fug.com.br/historico/html/freebsd/2009-02/msg00451.html Espero ter ajudado. Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Múltiplos redirecionamentos (redirect= ?iso-8859-1?Q?=5Fport?=) com IPFW _NAT.
Prezados, No FreeBSD 8.1, ao adicionar redirecionamento de faixa de portas, via IPFW_NAT, conforme código[1] abaixo, me era retornada a mensagem getsockopt(IP_FW_GET_CONFIG): No space left on device. Pesquisei por procedimentos para resolução do problema, e cheguei até o PR-143653[2], por meio de publicações nas listas FreeBSD-bugs[3] e BSDForum[4], que argumentam uma inconsistência em múltiplos redirecionamentos. Fiz as alterações sugeridas no valor de NAT_BUF_LEN, em /usr/src/sys/netinet/ip_fw.h. Recompilado e instalado o novo kernel, a mensagem mudou de getsockopt(IP_FW_GET_CONFIG): No space left on device para Abort trap (core dumped). No bloco EXAMPLES, do ipfw(8)[5], até o momento, não consta exemplo de redirecionamento por faixas (ranges), apenas por portas distintas[6]. Sendo assim, questiono se está correto o ruleset descrito no código[1] abaixo, e se, caso correto, o que está gerando esse erro. [1] ipfw nat 1 config log ip IP_DA_IF_EXTERNA_AQUI same_ports reset deny_in \ redirect_port tcp 172.20.0.5:20 20 \ redirect_port tcp 172.20.0.5:21 21 \ redirect_port tcp 172.20.0.5:49152-65534 49152-65534 \ redirect_port tcp 172.20.0.6:33893389 \ redirect_port tcp 172.20.0.10:5500 5500 \ redirect_port tcp 172.20.0.11:5501 5501 \ redirect_port tcp 172.20.0.12:5502 5502 \ redirect_port tcp 172.20.0.13:5503 5503 \ redirect_port tcp 172.20.0.14:5504 5504 \ redirect_port tcp 172.20.0.15:5505 5505 \ redirect_port tcp 172.20.0.16:5506 5506 \ redirect_port tcp 172.20.0.17:5507 5507 \ redirect_port tcp 172.20.0.18:5508 5508 \ redirect_port tcp 172.20.0.19:5509 5509 \ [2] http://www.freebsd.org/cgi/query-pr.cgi?pr=143653 [3] http://lists.freebsd.org/pipermail/freebsd-bugs/2010-February/038413.html [4] http://forums.freebsd.org/showthread.php?t=222 [5] http://www.freebsd.org/cgi/man.cgi?query=ipfwsektion=8 [6] To see configurations of all instances: ipfw nat show config Or a redirect rule with mixed modes could looks like: ipfw nat 123 config redirect_addr 10.0.0.1 10.0.0.66 redirect_port tcp 192.168.0.1:80 500 redirect_proto udp 192.168.1.43 192.168.1.1 redirect_addr 192.168.0.10,192.168.0.11 10.0.0.100 # LSNAT redirect_port tcp 192.168.0.1:80,192.168.0.10:22 500# LSNAT Desde já fico muito grato por qualquer contribuição :) Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] dúvida versão do kernel. 8.2-PRER ELEASE
2010/12/3 Joel Cappellesso cappelle...@gmail.com: leao# uname -a FreeBSD leao 8.2-PRERELEASE FreeBSD 8.2-PRERELEASE #0: Fri Dec 3 16:31:40 BRST 2010 r...@leao:/usr/src/sys/amd64/compile/LEAO1 amd64 Eu instalei o Freebsd 8.1 e fiz o procedimento de buildword. viz o cvsup com esta linha: leao# cat /usr/local/etc/stable-supfile |grep RELEN *default release=cvs tag=RELENG_8 8.2-PRERELEASE é uma versão estável? está correto ou fiz algo errado? Essa é uma pergunta que aparece na lista a cada 6/8 meses, que é o tempo entre um release e outro, sendo uma pergunta recorrente, vou aproveitar o histórico da lista pra responder :) http://www.fug.com.br/historico/html/freebsd/2006-02/msg00265.html []s -- Renato Botelho - Entretanto o status em http://www.freebsd.org/releng/, até o momento (2010-12-04 01h59m BRST) ainda não mudou. Percebo que entre a publicação de de fontes do PRERELEASE e a alteração de status no [Release Engineering Information Page] há uma diferença de quase duas semanas, quando não três. Torna-se mais confiável verificar a linha 30 de /usr/obj/usr/src/include/vers.h do que a informação do Release Engineering. Saudações, Trober - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] IPFW - Bump sched buckets - Bump WF2Q+ weight
Olá a todos! Em um servidor FreeBSD 8.1 Stable, ao adicionar regras de controle de banda (IPFW), a seguinte saída é gerada no console. Bump sched buckets to 64 (was 0) Bump WF2Q+ weight to 1 (was 0) Pesquisei e encontrei a resposta do Luigi[1], afirmando (se entendi certo) ser somente uma mensagem de diagnóstico e que em breve será removida. O valor 64 é o tamanho do hash ( net.inet.ip.dummynet.hash_size ) e 1 é o peso ( weight ) dentro do enfileiramento. Pesquisei nos fontes do ipfw (/usr/src/sbin/ipfw/) com a finalidade de comentar no código o (provável) printf para essa mensagem meramente depurativa. Alguém já precisou suprimir essa mensagem? Ou há um jeito de não emcaminha-la para console (por exemplo, redirecionando para /dev/null com algum facility) para que não caia em /var/log/messages nem pareça no dmesg? Muito grato! Saudações, Trober [1] http://lists.freebsd.org/pipermail/freebsd-ipfw/2010-March/004177.html - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois Links
Pessoal, Como poderia estar adicionando mais um link no Freebsd Meu Cenário atualmente: Freebsd 8.1 c/ duas placas de rede - uma externa e outra interna - e atulamente estamos fazendo NATD para rede interna. e está tudo funcionando normalmente. Gostaria de adicionar um segundo Link em uma nova placa no Freebsd, e deixar esse link com essa nova rota da GVT apenas para os clientes que acessam externamente um serviço de TS. ai nesse caso me surgiu a dúvida, consigo deixar duas rotas default ao mesmo tempo no Freebsd ? como faria isso. gostaria de uma ajuda, e entender isso melhor.. Já uso Freebsd há um bom tempo, porém apenas com um link. João B. Corsini Analista de Suporte - Bom-dia! João, tem um exemplo[1] de regras que funciona redondinho, porém requer pequenas alterações para se adequar ao seu cenário (mudar alguns any para table(xx), alguns tunings, etc). Coloquei em prática em um servidor de testes (FreeBSD 8.1) de um provedor com três circuitos, o resultado até o momento é satisfatório. O problema que encontrei é que o IPFIREWALL_NAT não tem punch_fw[2]. Mas de resto, funciona redondo :) Saudações, Trober [1] http://forums.freebsd.org/showpost.php?p=90023postcount=2 [2] http://www.fug.com.br/historico/html/freebsd/2009-05/msg00813.html - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Lusca tcp_outgoing_address cache_peer
Olá a todos. Estou com planos de migrar de Squid para Lusca, entretanto estou com uma dúvida em relação ao uso de tcp_outgoing_address[1], nativo no Squid. O objetivo é poder determinar, com base em ACL, por qual circuito de dados a requisição sairá. Atualmente, no Squid, o tcp_outgoing_address funciona muito bem, mas devido à gulodice de memória do Squid, pretendo ir para o Lusca. Em pesquisas encontrei apenas uma referência[2] sobre o assunto, que menciona o seguinte: A new cache_peer option has been added - no-tproxy - which forces the cache peer to ignore client-spoofing for connections to it and instead use the normal source address selection mechanism via tcp_outgoing_address. Então pesquisei sobre cache_peer, mas pelo que entendi (se entendi certo) preciso de múltiplas instâncias do Lusca, usando setfib específico para cada uma dessas instâncias. É esse o caminho? Se for, as instâncias consequem usar o mesmo cache_dir, para reaproveitar arquivos (cached) de outros instâncias? Agradeço qualquer contribuições sobre o assunto. Um ótimo final de semana para todos. Saudações, Trober [1]http://www.fug.com.br/historico/html/freebsd/2009-02/msg00451.html [2]http://www.mail-archive.com/lusca-com...@googlegroups.com/msg00477.html - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Fwd: Kylin kernel source code now online
se alguem tiver interessado... Jean Begin forwarded message: From: Robert N. M. Watson robert.wat...@cl.cam.ac.uk Date: 6 October 2010 15:50:29 GMT+01:00 To: cl-security-resea...@lists.cam.ac.uk Subject: Kylin kernel source code now online For those interested in secure operating systems, or even possibly secure operating systems, the Kylin kernel source code is now online: http://code.google.com/p/kylin-2 For those who don't follow Schneier et al, Kylin is a FreeBSD-derived operating system developed for use by the Chinese military. It was forked in around 2004/2005, as far as I know, but contains significant enhancements since then. A talk was given on Kylin at EuroBSDCon in Milan a few years ago, I can see if I can dig up the paper if folks are interested. I was interested to see that they appear to make moderate use of the MAC Framework, a reference monitor I designed as part of DARPA work about ten years ago. They have a different implementation of security event auditing than the version I did for Mac OS X and FreeBSD, however (presumably due to branching before that went into FreeBSD), and also don't have the fine-grained privilege work I did for nCircle that made its way back into FreeBSD. Among MAC models, they have what appears to be a LOMAC-derived data tainting model, although I've not looked closely at the specifics of the policy so may be misreading. They've also adapted a version of FLASK/TE that my team developed at NAI Labs, based on the version from SELinux; this didn't make it into mainstream FreeBSD, but does appear to have found a home in Kylin. There's probably quite a few interesting things to say here if someone has to time to do a more serious analysis. Robert - Complementando sobre o (ripadão) Kylin. Pegaram um FreeBSD descontinuado, alteraram alguns valores de parâmetros em vers.c e compilaram, dando assim novo nome ao boi. http://www.fug.com.br/historico/html/freebsd/2009-05/msg00349.html Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] lang/lua
Saiu uma atualização do Lua hj... é dependência de algum pacote que está instalado no servidor. Só que está com problema na compilação... === Building for lua-5.1.4_2 cd src make freebsd make all MYCFLAGS=-DLUA_USE_LINUX MYLIBS=-Wl,-E -lreadline gcc45 -o liblua.so -O2 -fno-strict-aliasing -pipe -mtune=core2 -march=core2 -mfpmath=both -mmmx -msse -msse2 -mssse3 -msse4.1 -msse4.2 -Wall -DLUA_USE_LINUX -shared -Wl,-soname=liblua-5.1.so.1 lapi.o lcode.o ldebug.o ldo.o ldump.o lfunc.o lgc.o llex.o lmem.o lobject.o lopcodes.o lparser.o lstate.o lstring.o ltable.o ltm.o lundump.o lvm.o lzio.o lauxlib.o lbaselib.o ldblib.o liolib.o lmathlib.o loslib.o ltablib.o lstrlib.o loadlib.o linit.o gcc45 -o lua lua.o liblua.a -lm -Wl,-E -lreadline gcc45 -o luac luac.o print.o liblua.a -lm -Wl,-E -lreadline /usr/local/bin/ld: lapi.o: relocation R_X86_64_32 against `luaO_nilobject_' can not be used when making a shared object; recompile with -fPIC lapi.o: could not read symbols: Bad value collect2: ld returned 1 exit status *** Error code 1 1 error *** Error code 2 1 error *** Error code 2 1 error *** Error code 1 Stop in /usr/ports/lang/lua. Alguém sabe do que se trata ? Sds, -- Eduardo Schoedler - Olá Eduardo. Resolvi seguindo as informações da mensagem de erro, utilizando o parâmetro -fPIC (sem aspas) para compilar. Alterei o valor de CFLAGS no meu /etc/make.conf: -CFLAGS= -O -pipe +CFLAGS= -O -pipe -fPIC Se for relevante a informação, esse problema não ocorreu nos (poucos) i386 que tenho. Nos amd64 todos apresentaram o problema. Avise-nos se deu certo. Aqui funcionou. Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] TestDisk e Photorec
Instalei ele via ports estou tentando rodar e nada #./photorec /bk /dev/ad0s3a recebo esta mensagem: PhotoRec need 25 lines to work. Please enlarge the terminal. Nilson wrote: Testdisk funciona muito bem. Quanto ao outro eu desconheço. Em 12 de maio de 2010 09:59, Joao Vitor j...@bol.com.br escreveu: Alguem ja teve sucesso em recuperar arquivo com este programa em particao FreeBSD. - Olá! Uma solução no melhor estilo Go Horse Process[1] é acessar remoto, via Putty, e maximizar a janela, que essa mensagem deixa de aparecer. [1] http://gohorseprocess.wordpress.com Saudações, Trober - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] TestDisk e Photorec
Instalei ele via ports estou tentando rodar e nada #./photorec /bk /dev/ad0s3a recebo esta mensagem: PhotoRec need 25 lines to work. Please enlarge the terminal. Nilson wrote: Testdisk funciona muito bem. Quanto ao outro eu desconheço. Em 12 de maio de 2010 09:59, Joao Vitor j...@bol.com.br escreveu: Alguem ja teve sucesso em recuperar arquivo com este programa em particao FreeBSD. - Olá! Uma solução no melhor estilo Go Horse Process[1] é acessar remoto, via Putty, e maximizar a janela, que essa mensagem deixa de aparecer. [1] http://gohorseprocess.wordpress.com Saudações, Trober - Complementando, algumas aplicações não conseguem exibir a matriz de exposição se não estiverem em um tamanho mínimo definido, apesar do dialog[1] e NCURSES[2] contemplarem isso. [1] http://www.freebsd.org/cgi/man.cgi?query=dialog [2] http://www.gnu.org/software/ncurses/ Saudações, Trober - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SQUID FULL LIMITADO A VELOCIDADE
Eu uso o freebsd 7.0 atualizado pelo portsnap com ipfw, squid e natd. Estou com o seguinte problema, quero utilizar o cache full, só que o cache full parece que estar limitado para 3 megas, não passa disso de forma nenhuma. Meu link é de é de 1 mega dedicado. Estou usando 4 HD SCSI de 30GB CADA. Tem alguma regra que eu possa fazer no squid.conf ou no rc.firewall para não limitar a velocidade do cache? - Olá Alex. Há alguma regra de firewall sua que desconsidera o controle de banda para pacotes marcados pelo Squid/ZPH[1] (não limitando o tráfego de dados oriundos do cache)? Em relação aos seus discos SCSI, aqueles destinados ao cache e log do Squid, estão montados com o flag noatime[2]? Se possível, forneça mais detalhes (rc.firewall, sysctl.conf, squid.conf). [1]http://www.fug.com.br/historico/html/freebsd/2009-04/msg00746.html [2]http://www.fug.com.br/historico/html/freebsd/2010-03/msg00544.html Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Processo lock
Caros, Executei um script que roda um ipfw -f flush seguido de novas regras no firewall IPFW. Porém após executar o flush o processo fica congelado: # ps 95567 p1 L+ 0:00.00 /sbin/ipfw add 1549 deny log logamount 5000 ip from 192.168.0.0/16 to any in via em1 Essa é a primeira regra que ele deveria adicionar após o flush o STAT L+ representa que o processo está trancado (lock), correto? O que pode causar esse comportamento? Obrigada! -- Renata Dias - Olá Renata. O lock ocorreu ao rodar o script no console ou em sessão de terminal (telnet ou ssh)? Se foi por terminal (telnet ou ssh), o flush cortou sua conexão, e o script não tem para quem fazer a saída (stdout), deixando em lock. Para contornar isso, pode usar nohup ao rodar seu script, sendo que a primeira regra após o flush é respectiva ao acesso (telnet ou ssh) em uso. Talvez essa não seja a forma mais correta ou elegante, mas funciona comigo. Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Off-Topic] Post sobre termo hacker
[SNIP] Padre por padre, será que o do balão também consegue algum pr?mio? -- []´s Helio Loureiro http://helio.loureiro.eng.br http://hloureiro.multiply.com http://twitter.com/helioloureiro - O padre Adelir de Carli tentou implementar o RFC2549, mas sem o mesmo sucesso obtido em Johanesburgo[1]. [1]http://www.fug.com.br/historico/html/freebsd/2009-09/msg00367.html Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OT: Drop Port Scanners
2009/12/23 Enio Marconcini eni...@gmail.com Pessoal,tava dando uma olhada no wiki do Mikroshit e vi um tópico interessante na parte de firewall trata-se de umas regras para bloquear a ação de portscanners, e um amigo que testou disse que atrapalhou bastante o funcionamento do nmap, http://wiki.mikrotik.com/wiki/Drop_port_scanners essas regras são interpretadas pelo mikrotik mas internamente é o iptables que as usa... tava pensando converter isso para o PF ou IPFW alguém poderia me dar um help -- ENIO RODRIGO MARCONCINI gtalk: eni...@gmail.com skype: eniorm msn: /dev/null Boa tarde. Uma boa partida é consultar a documentação do Nmap e obter as sequências de opções e flags tcp usadas pelo scanner. Alterar o ttl ip do seu OS, o uso da opção tcp_drop_synfin=YES. Não sei quais consequências essa última opção pode causar. De uma olhada no histórico da lista, tem muitas dicas e várias regras de firewall como exemplo. Sobre a tradução desse exemplo de regras, você pode consultar o link [1] para saber o que cada opção significa e após isso tentar escrever usando seu filtro de pacotes. [1] http://wiki.mikrotik.com/wiki/Firewall/NAT Atenciosamente, Wanderson Tinti - Complementando a mensagem anterior, o uso de tcp_drop_synfin=YES não é aconselhado para servidores rodando serviços web, já que, por questão de desempenho, não ocorre a negociação three-way (SYN, SYN-ACK e ACK). A consideração também vale caso o servidor não esteja rodando um serviço web, mas esteja fazendo um redicionamento (NAT) para algum servidor web. Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Problema com arp..
Amigos estou com um problema aqui .. tenho um AP em bridge depois de meu servidor freebsd ele pra mim some do ar ... não entro nele mais do nada quando eu entro no meu servidor digito um arp d e o ip do AP .. ele volta no ar ... [SNIP] O que pode tar provocando isto ?? já viram este comportamento ?? e nos logs do servidor nada de troca de ip o arp não reclama de nada . [SNIP] Certa vez tive um problema assim mas era um micro que estava com o mesmo ip do ap .. mas o arp acusava ... no servidor ... desta vez não vejo nada de errado ... [SNIP] - Salve Cobausque! Já convivi com situações semelhantes. Veja se a referência[1] é aplicável ao seu caso. [1]http://www.fug.com.br/historico/html/freebsd/2009-08/msg00593.html Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] 8.0-RELEASE liberado!
Como assim? Onde? Pq? Quando? lhcarr...@gmail.com wrote: O 8.0-RELEASE foi liberado pessoal! Abraços Henrique - -- Danilo Egêa Gondolfo Email/MSN - daniloe...@yahoo.com.br Skype - daniloegea Twitter - http://twitter.com/daniloegea Blog - http://daniloegea.wordpress.com __ http://ftp.freebsd.org/pub/FreeBSD/ISO-IMAGES-i386/8.0/ :D - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Como forçar o cliente para abrir só u ma pagina no SQUID
Eu uso SQUID com o IPFW. Eu mando aviso através do squid com as seguintes regras. ### SQUID.CONF deny_info PG_AVISO aviso deny_info PG_CORTE corte acl corte src /etc/squid/corte acl aviso src /etc/squid/aviso acl tempo time /etc/squid/tempo http_access deny corte http_access deny tempo aviso ## FIM # Funciona perfeito. Agora em vez de mandar um aviso PG_AVISO e PG_CORTE eu queria encaminhar os clientes para uma pagina especifica. Como eu faço essa regra no squid.conf Olá Alex! Usando parâmetros de deny_info[1], é possível especificar URL. Por exemplo: # deny_info http://meudominio/clientestatus/msgaviso.htm aviso deny_info http://meudominio/clientestatus/msgcorte.htm corte acl corte src /etc/squid/corte acl aviso src /etc/squid/aviso acl tempo time /etc/squid/tempo http_access deny corte http_access deny tempo aviso # Lembrando que deve haver uma regra de permissão incondicional para meudominio. [1] http://www.squid-cache.org/Doc/config/deny_info/ Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida ipfw fwd
Pessoal, Tenho a seguinte situação: FreeBSD como firewall com 2 placas de rede: bge0: 200.10.10.2 -- link da operadora e gateway default também bge1: 200.200.200.1/26 -- rede interna do datacenter Temos 2 servidores de e-mail internos: 200.200.200.8 e 200.200.200.9 Tentei rodar no firewall: ipfw add fwd 200.200.200.9,25 tcp from 187.10.10.10 to 200.200.200.8 25 Ou seja, gostaria de desviar o tráfego do IP 187.10.10.10 p/ a porta 25 to 200.200.200.8 para o 200.200.200.9 na porta 25 também. Como fazer isso? Onde está errada a regra acima? Antes de colocar a regra do ipfw fwd, eu consigo fazer telnet para a porta 25 nos 2 servidores 200.200.200.8 e 200.200.200.9. -- []s, Guerra - Salve Guerra! O equívoco está no uso do atributo porta no FWD. Quando o encaminhamento (FWD) é feito para um destino não local, esse parâmetro é ignorado. A explicação está na documentação do IPFW[1], que destaco abaixo: If ipaddr is a local address, then matching packets will be forwarded to port (or the port number in the packet if one is not specified in the rule) on the local machine. If ipaddr is not a local address, then the port number (if specified) is ignored, and the packet will be forwarded to the remote address, using the route as found in the local routing table for that IP. [1] http://www.freebsd.org/cgi/man.cgi?query=ipfwsektion=8 Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ponto eletrônico
Pessoal, Existe algum sistema gnu para controle de ponto eletrônico via digital, eu pensei em utilizar aqueles drivers leitores de digital em um freebsd autenticando. Algum conheçe alguma solução no freebsd? -- [], Anderson Alves de Albuquerque. --- E-mails: andersonalvesdealbuquerque#hotmail.com (replace # by @) andersonaa#gmail.com (replace # by @) ICQ: 73222660 [SNIP] Olá Anderson! Não conheço um programa que atenda sua necessidade, mas de qualquer forma, indico um leitura importante[1], referente à adoção de sistema eletrônico de ponto. [1] http://www.mte.gov.br/sgcnoticia.asp?IdConteudoNoticia=6160 Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] [OT] Squid - Ordenação otimizada de conteúdo em ACL
Boa-tarde a todos :) Quero otimizar a busca do Squid por registros (domínios), dentro de ACLs de arquivos textos, que contém ao todo 531.681 linhas, distribuídas em 38 arquivos. Sabendo que existem diferentes algoritmos de busca, consultei o código-fonte do Squid, com o objetivo de interpretar e adequar meus arquivos à forma de busca empregada no Squid. Para isso, atualmente, converto todos os caracteres dos arquivos texto para minúsculo com tr, elimino as linhas em branco com sed, ordeno com sort -f -b e removo duplicados com uniq (importante para evitar o conflito de duplicidade, detectado na função da linha 2675 do acl.c). No final de tudo, rodo um squid -k parse, elimino eventuais sujeiras e, se tudo estiver certo, um -k reconfigure para concluir. Como não tive muito êxito na análise do acl.c e no enfileiramento de aclDumpDomainList, pergunto: qual a ordenação mais adequada compatível com o Squid? Muito grato! Bom feriado a todos. Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT] Squid - Ordenação otimizada de conteúdo em ACL
2009/11/1 Trober tro...@trober.com: Boa-tarde a todos :) Quero otimizar a busca do Squid por registros (domínios), dentro de ACLs de arquivos textos, que contém ao todo 531.681 linhas, distribuídas em 38 arquivos. Sabendo que existem diferentes algoritmos de busca, consultei o código-fonte do Squid, com o objetivo de interpretar e adequar meus arquivos à forma de busca empregada no Squid. Para isso, atualmente, converto todos os caracteres dos arquivos texto para minúsculo com tr, elimino as linhas em branco com sed, ordeno com sort -f -b e removo duplicados com uniq (importante para evitar o conflito de duplicidade, detectado na função da linha 2675 do acl.c). No final de tudo, rodo um squid -k parse, elimino eventuais sujeiras e, se tudo estiver certo, um -k reconfigure para concluir. Como não tive muito êxito na análise do acl.c e no enfileiramento de aclDumpDomainList, pergunto: qual a ordenação mais adequada compatível com o Squid? Muito grato! Bom feriado a todos. Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Não seria mais interessante/prático (se é que eu entendi) você usar o squidguard ou dansguardian ? -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Salve Celso! :) Sim. Concordo que o uso de um banco de dados é melhor, mas não fui autorizado a migrar :( O problema do ordenamento, é que eu recebo as listas de bloqueio prontas da equipe de parsing (q - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT] Squid - Ordenação otimizada de conteúdo em ACL
2009/11/1 Trober tro...@trober.com: Boa-tarde a todos :) Quero otimizar a busca do Squid por registros (domínios), dentro de ACLs de arquivos textos, que contém ao todo 531.681 linhas, distribuídas em 38 arquivos. Sabendo que existem diferentes algoritmos de busca, consultei o código-fonte do Squid, com o objetivo de interpretar e adequar meus arquivos à forma de busca empregada no Squid. Para isso, atualmente, converto todos os caracteres dos arquivos texto para minúsculo com tr, elimino as linhas em branco com sed, ordeno com sort -f -b e removo duplicados com uniq (importante para evitar o conflito de duplicidade, detectado na função da linha 2675 do acl.c). No final de tudo, rodo um squid -k parse, elimino eventuais sujeiras e, se tudo estiver certo, um -k reconfigure para concluir. Como não tive muito êxito na análise do acl.c e no enfileiramento de aclDumpDomainList, pergunto: qual a ordenação mais adequada compatível com o Squid? Muito grato! Bom feriado a todos. Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Não seria mais interessante/prático (se é que eu entendi) você usar o squidguard ou dansguardian ? -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Salve Celso! :) Desculpe-me pela mensagem anterior. O gato pulou no teclado e enviou a mensagem pela metade :S Sim. Concordo que o uso de um banco de dados é melhor, mas não fui autorizado a migrar :( O problema da ordenação, é que eu recebo as listas de bloqueio prontas da equipe de parsing (que revisa manualmente cada domínio). As vezes vem na ordenação padrão do Excel, às vezes do OpenOffice, e ambas são ordenações carnavalescas, no que refere-se ao tratamento de caracteres especiais (hífens, underlines etc). A intenção é saber qual é a ordem utilizada no Squid, para tratamento de ordenação de strings. Por exemplo: .45-testededominio.com .45outroteste.com Dependendo do programa, a ordenação é: .45outroteste.com .45-testededominio.com A dúvida é saber como é o tratamento de ordenação do Squid. Consultei nos fontes e não tive êxito. Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: RES: RES: Aliases de IP no 7.x (era: FreeBSD 7.1 Release para AMD64)
Olá. Interessante que você resolveu, neste caso ele pegará então a rota mais específica e usará para sair por aquela interface? Olá a todos! Reportando o resultado dos meus testes. O problema da adição de aliases de IP no FreeBSD 7.x, seja x86, seja amd64, é o router_enable habilitado em /etc/rc.conf, conforme demonstrado os motivos na mensagem[1] acima. De todos os testes que fiz, a explicação mais aceitável é inicialmente exposta[1]. Desativando router_enable, consegui migrar com êxito vários FreeBSD 6.4 x86 para FreeBSD 7.2 amd64, com média de 400 alias de endereço cada. Agradeço a todos que colaboraram com valiosas contribuições. [1]http://www.fug.com.br/historico/html/freebsd/2009-07/msg00060.html Saudações, [SNIP] Bom-dia Renato :D Essa é a premissa do roteador, a qual o FreeBSD cumpre muito bem. Porém, quando com router_enable habilitado no /etc/rc.conf e a interface interna com aliases, algumas rotas são deliberadamente apagadas[1], impossibilitado seguir um destino, resultando em[2]: arplookup failed xxx.xx.xx.x failed: host is not on local network arpresolve: can't allocate route for 192.168.xxx.xxx Alguns usuários encontraram como solução colocar uma interface para cada subnet[3], o que, no meu caso, é impraticável (hoje com 400 aliases). Há até quem apenas comentou[4] a mensagem de erro, tapando o sol com a peneira. Enfim, está solucionado o problema. Só não habilitar router_enable quando com alias na interface e ser feliz :) [1]Absolute BSD - The Ultimate Guide to FreeBSD (Michael Lucas, p. 219). [2]http://www.fug.com.br/historico/html/freebsd/2009-07/msg00072.html [3]http://unix.derkeiler.com/Mailing-Lists/FreeBSD/net/2008-07/msg00135.html [4]http://blog.weithenn.org/2009/05/freebsdkernel-arplookup-ip-failed-host.html Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: RES: RES: Aliases de IP no 7.x (era: FreeBSD 7.1 Release para AMD64)
[SNIP] Olá Renato (na carona, também respondo ao Celso Viana). Sim, infelizmente. O problema persiste, mesmo na adição manual (no braço, via shell) de alias de IP :( Nas garimpadas que fiz em busca de uma solução, encontrei muita gente com este problema, e inclusive abandonando a série 7.x para voltar ao 6.4. Encontrei (se entendi certo) até um maluco sugerindo comentar[1] a mensagem de erro! O problema não é só a exibição da mensagem, e sim a inoperância do conjunto. Este problema atingiu tal proporção, que tem gente colocando uma placa de rede para cada subnet[2]!! E agora? hehe (rir para não chorar) [1] http://blog.weithenn.org/2009/05/freebsdkernel-arplookup-ip-failed- host.html [2] http://unix.derkeiler.com/Mailing-Lists/FreeBSD/net/2008- 07/msg00135.html [SNIP] Eita! Acredito que resolvi o problema! :D Corrijam-me seu eu estiver errado na análise: Como a mensagem host is not on local network é exibida na passagem do primeiro pacote de dados da placa interna (re0) do servidor, isso remete à compreensão de que esse host/rede não é local, resolvi ver o comportamento da tabela de roteamento. Destination Gateway Flags Refs Use Netif 192.168.20.8/30 192.168.20.9 UGC10 re0 192.168.20.10 192.168.20.9 UGCHW3 01 re0 Estudei um pouco mais o serviço router, e encontrei citações que router_enable habilitado em /etc/rc.conf faz com que a tabela aprenda as rotas que ouve por RIP[1]. No mesmo instante, lembrei que em PPP, o router não pode estar habilitado, pois pode apagar deliberadamente[2] apontamentos da tabela de roteamento. Logo, imaginei o serviço router apagando os apontamentos que tenho na minha tabela de roteamento. Então, desativei router no /etc/rc.conf. E a tabela mudou para: Destination Gateway Flags Refs Use Netif 192.168.20.8/30 link#2UC 00 re0 192.168.20.10 aa:bb:cc:dd:ee:ff UHLW 1297 re0 Agora vem a parte punk: No FreeBSD 6.x, independente de estar o serviço router habilitado ou não, os apontamentos estáticos ou de interfaces locais (FLAG S e C, respectivamente) ficam intactos. No FreeBSD 7.x, com o serviço router habilitado, acontece a bizarrice, criando e apagando rotas com critérios que desconheço. Será um bug do 7.x? Pois bem, galera, como dizem no jargão religioso: contar o milagre e não mostrar o santo. Não curto muito resolver um problema e não apontar a origem, mas a solução está em desativar o serviço router no FreeBSD 7.x, e ser feliz, como quando se usa o mesmo arquivo /etc/rc.conf igual ao existente no FreeBSD 6.4 (mas com router_enable=NO). Farei vários testes mais punks aqui e, obtendo êxito, postarei, daqui alguns dias, a solução como resolvida (assim espero!), pois não a julgo concluída. [1] Absolute BSD - The Ultimate Guide to FreeBSD (Michael Lucas, p. 219). [2] http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/userppp.html [SNIP] Olá a todos! Reportando o resultado dos meus testes. O problema da adição de aliases de IP no FreeBSD 7.x, seja x86, seja amd64, é o router_enable habilitado em /etc/rc.conf, conforme demonstrado os motivos na mensagem[1] acima. De todos os testes que fiz, a explicação mais aceitável é inicialmente exposta[1]. Desativando router_enable, consegui migrar com êxito vários FreeBSD 6.4 x86 para FreeBSD 7.2 amd64, com média de 400 alias de endereço cada. Agradeço a todos que colaboraram com valiosas contribuições. [1]http://www.fug.com.br/historico/html/freebsd/2009-07/msg00060.html Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] problema Qmail x hotmail
Ola pessoal. recentemente estou tendo problema com qmail e mensagens encaminhadas com anexo vinda do hotmail as mensagens chegam mas sem anexo e sem o corpo do email;; nao sei o que pode ser, alguem experimentou este tipo de problema ?? uso freebsd 7.2 mailtoaster spamdyke, simscan, spamassassim, clamav. ja desabilitei todos e deixei so o qmail rodando e ainda assim o problema acontece;;; - Olá Marcelo! Eu ia sugerir a aplicação de dois procedimentos[1][2], mas como suas mensagens estão chegando, talvez não sejam aplicáveis. Então lembrei de uns camaradas do Polski Underground que reportaram este problema certa vez. O Hotmail, MSN e Yahoo! tem problemas com Double Natting[3] (servidor NAT atrás de outro NAT). O seu servidor de correio eletrônico está atrás de dois NATs? Ex: [Operadora]---[DSLCorp+NAT]---[Gateway+NAT]---[Mailserver] A solução de mudar o MTU[3] não é das mais glamourosas, mas funciona. Os eslavos garantem :) [1]http://www.fug.com.br/historico/html/freebsd/2009-02/msg00096.html [2]http://eng.registro.br/pipermail/gter/2009-August/025638.html [3]http://www.fug.com.br/historico/html/freebsd/2009-05/msg00622.html Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Clone Macaddress X Squid ACL ARP
Em Thu, 8 Oct 2009 13:50:21 -0300 akada ak...@uol.com.br, conhecido consumidor de drogas (BigMac's com Coke) escreveu: Para isso, ele utiliza um roteador dlink. Após as devidas configurações, ele utilizou no router a opção de clone do macaddress, adicionando o mac da placa que esta cadastrada no meu sistema e adicionou as máquinas atrás do roteador. Funciona que é uma beleza... Mas, infelizmente perco 3 potênciais clientes... já se discutiu muito sobre isso (não aqui) quando começaram a surgir os primeiros provedores e - consequentemente - os primeiros gw/fwll com Linux e/ou BSDs. Vc não tem como saber QUANTAS máquinas estão penduradas atrás de um roteador/gw/fwll. O que vc poderia eventualmente fazer é estabelecer clausula restritiva no contrato de fornecimento de link. -- saudações, irado furioso com tudo [SNIP] Complementando a afirmação do Irado: Certa vez, numa conversa de boteco pós-aula, surgiu esse assunto. Uns dos bêbados comentou que um provedor local verificava o TTL dos pacotes para saber se haveriam (ou não) computadores abaixo de cliente contratante. Contestei a eficiência do resultado, pois é possível (re)destinar pacotes sem alterar o tempo de vida (TTL), gerando assim um falso-negativo. É o caso do IPStealth no FreeBSD, em do --ttl-set na sopa de código macarrão(c). Sem contar que, na quase totalidade dos sistemas operacionais, é possível mudar o valor do TTL (originalmente 64 *nix, 128 nos Windows* e 256 no Cisco). Alguns provedores, na tentativa de saber quantos computadores estão atrás de um cliente contratante, gravam o UserAgent de cada requisição HTTP. Ao final do dia, isolam por grupos (tipo um DISTINCT) e usam esse resultado como parâmetro para saber quantas estações existem abaixo de um host. No mínimo essa análise é tosca, pois só seria verdadeira se cada sistema operacional aceitasse a instalação e utilização de apenas um browser, sem coexistir com outros demais navegadores. Um proxy com um modificador de UserAgent também inviabilizaria o resultado. Alguns gerentes de provedores adotam o infeliz procedimento de considerar que um cliente consome até um certo número de conexões, e consideram que cada 30 conexões representam um computador, o que, por exemplo, faz com que 240 conexões resultem (aparentemente) na existência de 8 computadores na rede do cliente. Totalmente contestável, pois há sites que abrem mais de 100 conexões[1], inviabilizando a realidade e veracidade do resultado. Enfim, tem gente que tenta de tudo, mas serei, até o momento, solidário com a resposta do Irado: Você não tem como saber quantas máquinas estão penduradas atrás de um roteador/gateway/firewall. [1]http://www.fug.com.br/historico/html/freebsd/2009-08/msg00825.html Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall
2009/10/9 Emmanuel Alves manel...@gmail.com: eu uso o IPFW e não acho complicado ehehehe só tem o problema de ter que recompilar o kernel pra ativar ele, mas depois disto basta criar um arquivo em /etc/ipfw.rules com as regras, iniciá-lo no /etc/rc.conf e pronto. # kldload ipfw # kldload ipdivert # kldload ipfw_nat Assim não precisa recompilar o kernel -- Renato Botelho - É uma forma bastante cômoda, agradável e fácil de carregar o IPFW, porém deve ser considerado que as funcionalidades estarão parcialmente disponíveis, como no caso do fwd (forward): To enable fwd a custom kernel needs to be compiled with the option options IPFIREWALL_FORWARD.[1] [1] http://www.freebsd.org/cgi/man.cgi?query=ipfwsektion=8 Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ataques?
Pessoal, Eu estou utilizando o SSHGuard para bloquear automaticamente as tentativas de acesso repetidas e inválidas ao meu SSH no servidor. Tudo estava funcionando normalmente há uns dias, porém, analisando meus logs, observei que tenho agora várias tentativas com diferentes IPs, vejam: Oct 4 10:05:06 brain sshguard[74798]: Blocking 220.194.201.208: 4 failures over 0 seconds. Oct 4 10:05:57 brain sshguard[74798]: Blocking 119.62.128.44: 4 failures over 0 seconds. Oct 4 10:06:51 brain sshguard[74798]: Blocking 200.146.104.143: 4 failures over 0 seconds. Oct 4 10:07:27 brain sshguard[74798]: Blocking 221.210.158.224: 4 failures over 1 seconds. Oct 4 10:08:20 brain sshguard[74798]: Blocking 80.153.125.224: 4 failures over 1 seconds. Oct 4 10:09:25 brain sshguard[74798]: Blocking 58.26.82.163: 4 failures over 7 seconds. Oct 4 10:09:46 brain sshguard[74798]: Blocking 148.244.228.152: 4 failures over 0 seconds. Oct 4 10:10:26 brain sshguard[74798]: Blocking 219.160.169.15: 4 failures over 1 seconds. Oct 4 10:11:17 brain sshguard[74798]: Blocking 82.76.170.45: 4 failures over 3 seconds. Oct 4 10:12:02 brain sshguard[74798]: Blocking 87.106.219.143: 4 failures over 0 seconds. Oct 4 10:12:47 brain sshguard[74798]: Blocking 201.26.172.213: 4 failures over 0 seconds. Oct 4 10:13:21 brain sshguard[74798]: Release command failed. Exited: -1 Isto é parte do log, que tem inúmeras tentativas. Pelo que observei, o sshguard está criando as regras corretamente no meu IPFW, mas queria saber se isto é normal e se tem alguma forma de melhorar este bloqueio. Valeu! []s Emmanuel Alves manel...@gmail.com Bom dia Emmanuel. Sim, estes ataques (tentativas) de acesso estão praticamente convencionados com normais. As ferramentas utilizadas, em geral, varrem faixas de endereço sequenciais, blocos (AS) ou pre-armezenados em banco de dados (até .txt está valendo). Uma forma muito simples de otimizar é alterar a porta do serviço SSHD, já que, por padrão, a ferramenta testa (normalmente só) a porta 22 TCP. Não use as portas 222, , 2, nem outros valores cognitivamente simples. É muito manjado, para não dizer óbvio. A simples alteração da porta faz você ficar meses sem registrar um acesso não concedido (experiência própria). Não julgo prudente dar dicas de recursos que não testei, mas, pode ser interesssante usar um mecanismo no estilo knock[1]. Analogamente, seria como só deixar entrar na sua casa, só quem bater a quantidade de vezes corretas, em cada porta sua, na sequência certa. Algo como sinais de escoteiros e derivados, em que seus pares se identificam como tal. [1]http://www.freebsd.org/cgi/url.cgi?ports/security/knock/pkg-descr Uma ótima semana a todos. Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT] Interessante - SecurityTubeCon
Então.. alguém conhece algum software (SL) para conference web nesse modelo para usar-mos para um provavel planejamento de encontro bsd ? 2009/9/17 Nenhum_de_Nos math...@eternamente.info: On Wed, September 16, 2009 16:54, Leandro Quibem Magnabosco wrote: Luiz Gustavo S. Costa escreveu: poderiamos fazer algo semelhante aqui no Brasil né ... uma conferencia on-line.. ia ser bem interessante... Se um bom número se interessar, tô dentro... eu tb ! matheus -- -- Luiz Gustavo Costa mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br - Bom-dia a todos! Talvez OpenFire[1] ou OpenMeetings[2] :) [1] http://www.fug.com.br/historico/html/freebsd/2009-08/msg00307.html [2] http://www.fug.com.br/historico/html/freebsd/2009-08/msg00395.html Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sshguard
gostei desta ferramenta. só não entendi como se usa ela.. a documentação não é lá essas coisas.. 2009/9/17 Emmanuel Alves manel...@gmail.com: Poisé, como na página do sshguard diz, a grande diferença destas outras ferramentas é que são scripts, diferente do sshguard que é compilada em C. Outro detalhe é que utilizo IPFW, no lugar de PF. []s Emmanuel Alves manel...@gmail.com - Twitter: http://www.twitter.com/emartsnet Linked In: http://www.linkedin.com/in/emartsnet 2009/9/17 Matheus L. Abreu matheusl.ab...@gmail.com Sou adepto do bruteforceblocker, possui integração com as tabelas do PF Funciona que é uma maravilha! =D http://danger.rulez.sk/index.php/bruteforceblocker/ -- Matheus L. Abreu [ matheusl dot abreu (a) gmail.com ] [ http://matheuslamberti.blogspot.com ] Sine qua non In theory there is no difference between theory and practice, but in practice there is. Para obter algo que você nunca teve, precisa fazer algo que nunca fez. 2009/9/17 Emmanuel Alves manel...@gmail.com Pessoal, Vocês conhecem esta ferramenta? http://sshguard.sourceforge.net/ Permite que várias tentativas de login por brute force sejam bloqueadas automaticamente. []s Emmanuel Alves manel...@gmail.com - Twitter: http://www.twitter.com/emartsnet Linked In: http://www.linkedin.com/in/emartsnet - - - -- Gustavo Freitas - Olá. Eu uso o sshguard-ipfw. A documentação é fraquinha, mas uma rápida leitura no código fonte me ajudou na compreensão. O sshguard-ipfw, por padrão, aplica bloqueio temporários entre rulesets 55000 e 55050. Esses valores podem ser modificados em /usr/ports/security/sshguard-ipfw/work/sshguard-X.X/src/config.h, alterando as seguintes linhas: /*#undef IPFW_RULERANGE_MAX*/ (provavelmente linha 108) pela linha abaixo: #define IPFW_RULERANGE_MAX 44999 /*#undef IPFW_RULERANGE_MIN*/ (provavelmente linha 111) pela linha abaixo: #define IPFW_RULERANGE_MIN 4 Na linha sprintf(args, add %u drop ip from %s to me, ruleno, addr); (provavelmente linha 84) você pode personalizar o comando de bloqueio. Saudações, Trober - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sshguard
Qual a diferença entre sshguard e sshguard-ipfw? []s Emmanuel Alves manel...@gmail.com [SNIP] Olá Emmanuel. No contexto package, não há diferença entre os ports security/sshguard-ipfilter, security/sshguard-ipfw, security/sshguard-pf e security/sshguard. Ambos usam o mesmo arquivo /usr/ports/distfiles/sshguard-1.3.tar.bz2. Porém, se existe quatro[1] ports diferentes, há uma razão para tal :) O Makefile de cada um possui entradas específicas para os sabores (flavors) de firewall utilizado! [1] http://www.freebsd.org/cgi/ports.cgi?query=sshguardstype=all Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Folclore (ou fato) sobre versão?
Bom-dia a todos. Certa vez, lá em 2001, quando me foi apresentado o FreeBSD, me disseram que o FreeBSD de MAJORVERSION pares, são melhores que ímpares, e MINORVERSION ímpares são melhores que pares. Explicando, considerando o FreeBSD 6.1, o MAJORVERSION é 6, e o MINORVERSION é 1. O comentário sobre esse assunto é grande (e antigo), seja nas conversas de boteco, na sala de aula, brainstorms, independente do lugar, sempre surge alguém largando esse informal comentário. Até então eu ignorava isso, mas o que desencadeou eu fazer a postagem foi o comentário de um professor, afirmando que esta questão de versionamento ser tão verdadeira, que não há usuários felizes de FreeBSD em MAJORVERSION ímpares. O professor argumenta ainda que a prova dessa observância de versionamento, seria de que, ainda existe 2.x rodando satisfatoriamente, mas não existe 3.x, e que ainda há 4.x rodando, e não há mais 5.x. Ele também enfatizou, que somando a isso, tem o desespero pela chegada do 8, para suprimir os problemas do 7.x. Sei que passei problemas sérios com o 7.x, que me forçam a ficar no 6.4 e esperar pelo 8.x, mas não ao ponto de me fazer acreditar nesses axiomas, largamente proferidos por muita gente (boa e ruim) do ramo. Então, por maior que seja a estranheza do assunto, algum de vocês já ouviu tais afirmações? Tem algum fundamento de verdade? Ou a fuga dos MAJORVERSION ímpares é somente uma infeliz coincidência? Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Folclore (ou fato) sobre versão?
Trober escreveu: Bom-dia a todos. Certa vez, lá em 2001, quando me foi apresentado o FreeBSD, me disseram que o FreeBSD de MAJORVERSION pares, são melhores que ímpares, e MINORVERSION ímpares são melhores que pares. Explicando, considerando o FreeBSD 6.1, o MAJORVERSION é 6, e o MINORVERSION é 1. O comentário sobre esse assunto é grande (e antigo), seja nas conversas de boteco, na sala de aula, brainstorms, independente do lugar, sempre surge alguém largando esse informal comentário. Até então eu ignorava isso, mas o que desencadeou eu fazer a postagem foi o comentário de um professor, afirmando que esta questão de versionamento ser tão verdadeira, que não há usuários felizes de FreeBSD em MAJORVERSION ímpares. O professor argumenta ainda que a prova dessa observância de versionamento, seria de que, ainda existe 2.x rodando satisfatoriamente, mas não existe 3.x, e que ainda há 4.x rodando, e não há mais 5.x. Ele também enfatizou, que somando a isso, tem o desespero pela chegada do 8, para suprimir os problemas do 7.x. Sei que passei problemas sérios com o 7.x, que me forçam a ficar no 6.4 e esperar pelo 8.x, mas não ao ponto de me fazer acreditar nesses axiomas, largamente proferidos por muita gente (boa e ruim) do ramo. Então, por maior que seja a estranheza do assunto, algum de vocês já ouviu tais afirmações? Tem algum fundamento de verdade? Ou a fuga dos MAJORVERSION ímpares é somente uma infeliz coincidência? Opinião pessoal: É superstição. Faz sentido e tem fundamento, mas é superstição. No FreeBSD, as séries impares costumam agregar um grande numero de tecnologias novas. Série 3 incorporou muita coisa frente a 2, e quando foi pra 4 estava mais solido pelo claro motivo cronologico. Serie 5 praticamente reescreveu o FreeBSD do zero. Quando foi pra 6 tudo estava sob controle. Serie 7 agregou mais um monte de coisa nova, e a 8 consolida a maturidade natural da base na serie 7. No entanto, pra mim, as melhores versões do FreeBSD foram 3.2 e 7.2. (M impar, m par). A pior, de longe, 5.1 (impar-impar). Na série 4, tenho saudades apenas do 4.8 (o 4.9, 4.10, 4.11, 4.99 dessa série usei pouco porque sofria no 5). Acho uma grande coincidencia alem da maturidade natural da base de novas tecnologias incorporadas nas versoes impares. A serie 2 e a 3 tiveram praticamente o mesmo tempo de vida em versões. A 5 morreu cedo pra tirar a ma impressao, e ate que durou muito hehe. O final da serie impar é normalmente a melhor versão da série. Acredito mesmo que são coincidencias ou opiniões bem pessoais, pautadas pela, tambem coincidencia ciclica, que as series impares adotam as principais tecnologias e as 8 são apenas um lance Darwinista. As séries impares portanto tem sempre aquele ar Nouveau. Mas não acredito que seja pensado e planejado OK essas listas de novas tecnologias não vão entrar agora porque o -CURRENT é par, vamos adiantar o release do -CURRENT e lançar logo a serie par pro novo -CURRENT podermos torar coisa nova... Superstição é legal :D -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Olá Patrick! Também não acredito que seja algo planejado pela equipe, afinal, quem quererá fazer uma versão boa e uma versão ruim, intencionalmente? :) Realmente, a (infeliz) coincidência remete a ter sentido e fundamento o questionamento se considerado o histórico de acertos e erros nos ciclos dos espirais, mas é, pelo que parece, só uma (infeliz) coincidência. Tem gente que vê padrão em tudo, hehe! Estou amparado pelo 5º Grande Axioma, e sou cauteloso com padrões ;) As versões que mais me agradaram foram 4.7 e 6.3. A 6.4 está muito redondinha, tirando uma minúscula frescurinha no mergemaster, diferente do antecessor 6.3, mas plenamente perdoável. A 7.x está bacana também, mas me sacaneou feio na tabela de roteamento[1], e ficou inviável a utilização quando precisei trabalhar com aliases de IP. [1] http://www.fug.com.br/historico/html/freebsd/2009-07/msg00060.html Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Folclore (ou fato) sobre versão?
[SNIP] Nussa, teoria da conspiração no FreeBSD! Eu acho que é só uma coicidência das boas! - Olá Otacílio! Uma (infeliz) coincidência, mais perceptível e agravada quando considerado o XSL[1] em nível superior a 5! hahaha [1]http://eng.registro.br/pipermail/gter/2009-June/024667.html Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] [OFF-TOPIC] RFC2549 \o/ Demonstra ção prática de eficiência
Olá a todos. //joke mode on Os procedimentos do RFC2549[1] foram demonstrados com êxito[2] em Johanesburgo, com o uso de pombos brasileiros[3]. Segundo o famoso hacker Ramzi[4], o packet shaping será feito com zarabatanas. [1] http://tools.ietf.org/html/rfc2549 [2] http://bit.ly/ockMI [3] http://www.youtube.com/watch?v=I6__OiEO8ys [4] http://www.youtube.com/watch?v=fDFXaqDf8kk //joke mode off Uma boa semana a todos. Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] controle de banda com controle de conexao simultaneas
Olá Nilton! Vamos por tópicos :) ### a) Limitação de 30 conexões é suicídio[1]. Alguns sites de blogueiros mercenários tem mais de 90 banners, fora imagens com vinculação externa. Jogando baixo (baixo mesmo), neste caso, são mais de 110 conexões. ### b) Se for para aplicar limite de conexões, trate com maior valor os serviços DNS, HTTP, HTTPS e NTP, deixando menor valor para o resto, diferente dos serviços referidos. Considerando pela média dominante, vou supor que os usuários usam Internet Explorer 8. Este navegador, na configuração padrão, abre cinco conexões mínimas, sendo elas: DNS Resolver do HTTP Request HTTP Request (GET) DNS Resolver do SmartScreen HTTP Request (POST) do SmartScreen HTTP Request FavIcon (GET) Soma esse subtotal a todo o resto que o site devolver no response. Nem vou considerar os Accelerators. E antes que alguém pense que estou empalando o IE8, outro famoso navegador tem coisas semelhantes, mas com outros nomes, tipo IssoFox, AquiloFox, FoxFulano e derivados. c) O parágrafo[2] abaixo dará uma luz no que precisa :) To limit the number of connections a user can open you can use the following type of rules: ipfw add allow tcp from my-net/24 to any setup limit src-addr 10 ipfw add allow tcp from any to me setup limit src-addr 4 The former (assuming it runs on a gateway) will allow each host on a /24 network to open at most 10 TCP connections. The latter can be placed on a server to make sure that a single client does not use more than 4 simultaneous connections. [1] http://eng.registro.br/pipermail/gter/2009-August/025648.html [2] http://www.freebsd.org/cgi/man.cgi?query=ipfwsektion=8 Saudações, Trober - - - - - Pessoas uso ainda um 4.10 com ipfw2 e utilizo controle de banda através de pipe, porém não consigo fazer o controle de conexões, porque falo tbm NAT no mesmo firewall e faço a reinjeçaõ do trafegos para regras de proxy e nat. Alguem pode me dar uma luz de como fazer isso tudo em uma unica máquina ou realmente fica dificil? tentei isso aqui: ipfw add 100 pipe 256 ip from 10.0.0.1 to any in via rl0 limit 30 porém os usuários reclaman que não conseguem navegar o que fazer para limitar a quantidade de conexões de p2p (emule kzaar...) Agradeço a ajuda antecipadamente, -- Nilton José Rizzo 805 Informatica Disseminando tecnologias 021 2413 9786 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] controle de banda com controle de conexao simultaneas
Olá Nilton. Respostas in-line. Discordo de sua opnião em gênero número e grau, vamos lá: 2009/8/26 Trober tro...@trober.com Olá Nilton! Vamos por tópicos :) ### a) Limitação de 30 conexões é suicídio[1]. Alguns sites de blogueiros mercenários tem mais de 90 banners, fora imagens com vinculação externa. Jogando baixo (baixo mesmo), neste caso, são mais de 110 conexões. 20 me parece um excelente valor para usuários normais, visto que vários ISPs como BrasilTelecom limitam algumas ADSLs em 40 ou 50. Por testes que já fiz, afirmo que a limitação de conexões simultâneas em ADSL residenciais da Brasil Telecom, em algumas cidades do PR, RS e SC, não ocorre antes de 220 conexões simultâneas. Talvez, para algumas pessoas que possuem modens de baixa qualidade, o throughput gerado por 30/40/50 conexões simultâneas, já é suficente para fazer o equipamento atirar a toalha. E quanto a browsers, o mais faminto por conexões que conheço é o Opera, e este vem por padrão configurado para no máximo 8 conexões simultâneas para um mesmo servidor e 20 totais, logo esse site do blogueiro consumiria no máximo as 20 conexões do opera. Em momento algum me referi à conexões para o mesmo servidor. Os objetos embedded, banners, em sites de blogueiros mercenários[1], estão hospedados no locais de destino (outros hosts), sendo para cada um uma nova conexão. Logo, 90 banners são, na pior das hipóteses, 90 conexões distintas. Para piorar a situação, mesmo que de forma não intencional, existe a quebra do item 8.1.4 do RFC2616[2], na maioria dos sites com Ajax, que disparam chamadas de webservices (clientside) para outros servidores. ### b) Se for para aplicar limite de conexões, trate com maior valor os serviços DNS, HTTP, HTTPS e NTP, deixando menor valor para o resto, diferente dos serviços referidos. DNS é UDP portanto não consome conexão, visto o UDP ser um protocolo em que não existem conexões, são apenas pacotes soltos que formam um stream de dados. Já NTP nem vale a pena citar né? Fala sério... o cara atualiza o horário dele 1 vez por segundo para se poder levar em conta que vai consumir uma das conexões totais? Se ele checkar mais do que uma vez por dia, ele é paranóico ou o cristal de quartzo está diminuindo a frequência oscilatória conforme a proximidade do fim do mundo em 2012. Julgo ser saudável manter dispositivos computacionais com a hora correta[3] :) Considerando pela média dominante, vou supor que os usuários usam Internet Explorer 8. Este navegador, na configuração padrão, abre cinco conexões mínimas, sendo elas: Que mal lhe pergunte, como chegaste a essa conclusão? Eu não sou usuário de windows, mas o que tenho visto por aí nas casas de amigos, namorada, parentes, etc., estão todos no velho IE6 ainda. Na empresa onde trabalho também, cerca de 98% dos PCs tem IE6 e Firefox, sendo que boa parte dos usuários já evoluiu um pouquinho e estão usando Firefox. Com a vastidão e a diversidade do nosso planeta, não é de duvidar que há remanescentes[4] com IE7 e até IE6. A realidade que me circunda, seja na forma de familiares, amigos e colegas de aula, é de IE8 e FF 3.5.2. DNS Resolver do HTTP Request HTTP Request (GET) DNS Resolver do SmartScreen HTTP Request (POST) do SmartScreen HTTP Request FavIcon (GET) Soma esse subtotal a todo o resto que o site devolver no response. Como já dito, DNS não conta, tira tudo que é UDP da lista, e mesmo assim vamos continuar com o exemplo hipotético de um usuário qualquer usando IE8. Numa simples googlada, se descobre que por padrão para banda larga o IE8 vem configurado para apenas apenas 6 conexões simultâneas AO TODO, o que já quebra todo o resto da ideia. [1], [2], [3] e [4] As suas quatro referências não são aplicáveis neste caso, pois consideram conexões somente com um mesmo servidor. O problema com banner de blog permanece (galerias de pr0ns idem). Nem vou considerar os Accelerators. E antes que alguém pense que estou empalando o IE8, outro famoso navegador tem coisas semelhantes, mas com outros nomes, tipo IssoFox, AquiloFox, FoxFulano e derivados. c) O parágrafo[2] abaixo dará uma luz no que precisa :) To limit the number of connections a user can open you can use the following type of rules: ipfw add allow tcp from my-net/24 to any setup limit src-addr 10 ipfw add allow tcp from any to me setup limit src-addr 4 The former (assuming it runs on a gateway) will allow each host on a /24 network to open at most 10 TCP connections. The latter can be placed on a server to make sure that a single client does not use more than 4 simultaneous connections. O parágrafo é bem claro quando fala que o exemplo limita cada computador a 10 conexões, e vc acha que 30 é pouco? Acho 20 um número bem sóbrio para usuários que usam muito a internet (mas que não usem p2p claro), e se teu intuito é economizar um pouco de banda na história, danda um brecada nos p2p mas sem bloquear totalmente, digamos
Re: [FUG-BR] upgrade/update [d]elete, [i]install, etc..
quando fazendo o upgrade do FreeBSD acabamos por ficar com um INTERMINÁVEL, chato, conjunto de 3 milhões e meio de perguntas bêstas pra kct: qui quié que eu faço com alguma coisa temporário?: delete, install, merge, ignore, etc.. powww.. não tem jeito de mandar às favas as perguntas (e os tais temporários) de maneira menos interativa? uma espécie de: upgrade tudo sem perguntas, elimine, delete, queime, faça o que quiser com os *temp flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Deus é uma hipótese, e, como tal, depende de prova: o ônus da prova cabe ao teísta - [SNIP] Salve Irado. Use o parâmetro -F. Funciona no 7.x. Funciona também no 6.4, mas não está documentado. De 6.3 para baixo, não funciona. Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] upgrade/update [d]elete, [i]install, etc..
2009/8/24 irado furioso com tudo ir...@bsd.com.br: quando fazendo o upgrade do FreeBSD acabamos por ficar com um INTERMINÁVEL, chato, conjunto de 3 milhões e meio de perguntas bêstas pra kct: qui quié que eu faço com alguma coisa temporário?: delete, install, merge, ignore, etc.. powww.. não tem jeito de mandar às favas as perguntas (e os tais temporários) de maneira menos interativa? uma espécie de: upgrade tudo sem perguntas, elimine, delete, queime, faça o que quiser com os *temp Claro que tem, se vc nao se importar de perder por exemplo as confs do sendmail, o /etc/hosts, entre outros arquivos importantes você pode usar a opção de update automático do mergemaster. Foi adicionada recentemente uma opção -F no mergemaster que simplesmente pula os arquivos cuja diferença se resume à linha de ID do cvs, portanto, usando -FPi é bem simples. Meus $0,02 -- Renato Botelho - [SNIP] Uso -iPUF. Exagero de prudência? :) Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Problema de navegação e PING
Estou com um servidor FreeBSD 7.0 e tenho 10 maquinas de clientes empresarial navegando através dela. Todos eu faço NAT de IP para IP com o NATD e IPFW, todos ficam ok dessa forma, só que de um uns tempos pra ca um cliente vem dando problemas. O problema que dentro do servidor eu não consigo pingar para o roteador dele, só consigo depois que do comando arp -ad ai começo a pingar e ele navega, mais depois de alguns poucos minutos para de pingar novamente, ai dou o comando arp -ad e volta a pingar. Faço conexão com esse cliente através de wireless passando por 4 antenas até chegar no roteador da cisco dele. O que pode ta acontecendo? - Bom-dia Alex. Compare a saída do comando arp -a ANTES e DEPOIS do problema. Alguns access point, mesmo operando em bridge, quando dispostos como client, não conseguem transportar endereço físico (Layer 2) de outros dispositivos, deixando seus n clientes com o mesmo MAC (mesmo sendo bridge!). Logo, se você associa (amarra, como se diz no jargão popular) o MAC ao IP, neste caso, terá problemas. Um cliente meu passou por situação similar. Como não me foi permitido mudar os equipamentos, alterei o modo de operação para WDS e resolvi o problema. Lembrando que, caso sua malha WDS tenha 3 APs ou mais (=3), então, ativar Spanning Tree. Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] natd
Pessoal, Tem como eu acrescentar um redirect_port no natd sem parar e restarar o processo natd? Pois se matar o processo sem matar o divert, eu perco o acesso remoto. Ainda tem como eu listar quais o redirect_ports ou as opções do natd que estão rodando no momento? Sei que posso buscar no natd.conf, mas e esse arquivo foi simplesmente alterado sem restart no natd? -- []s, Guerra Salve Guerra! Até onde sei, e posso estar errado, não há suporte à recarga do natd, tipo -k reconfigure do Squid ou -x sip reload do Asterisk). O jeito é parar e iniciar novamente. No blog do Matt[1] tem uma dica que vai lhe ajudar no processo remoto. Porém, neste caso você precisa ter total certeza que a sintaxe do seu arquivo /etc/natd.conf está correta, senão o natd não sobe, o você fica sem acesso. A solucão, no seu caso, é ter uma regra para SSH antes (e independente) do divert, possibilitando acesso remoto mesmo com o natd inoperante. [1] http://freebsdlife.blogspot.com/2008/07/how-to-restart-natd-remotely.html Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Fw: [FreeBSD-Announce] Be Counted!
[SNIP] Ou seja se você tem um cartão de crédito internacional (ou uma conta no paypal) não há motivo para você não fazer a doação de 1, 5, 10, 50, 100 doláres (ou quanto for possível pra você). Vamos ser contados ? =) - ### Olá Luiz Otavio! Parabenizo-o pela excelente iniciativa de incentivar a galera a doar, seja qual quantia for. Não sou de fazer publicidade pessoal com caridade e ações voluntárias que pratico, mas se for para incentivar os demais da lista, conto meu segredo. Tenho, com política, doar certa porcentagem do valor da minha mão de obra FreeBSD para instituições, fundações e outras finalidades de causas nobres. Entre os destinos contemplados, está The FreeBSD Foundation. Aproveitem a boa fase da nossa moeda, que está voltando a ficar forte no cenário internacional, e doem, nem que seja US$ 1 cada um. :D Saudações, Trober - - - - - ### Thank you for your donation to The FreeBSD Foundation! Please read this entire page carefully, then print this page for your records. *** IMPORTANT: THIS DONATION WILL APPEAR ON YOUR CREDIT *** *** CARD STATEMENT AS GROUNDSPRING.ORG. GROUNDSPRING *** *** IS OUR SERVICE PROVIDER FOR ONLINE DONATIONS. *** Donation made to Groundspring.org for The FreeBSD Foundation Date: 07/30/2009 Transaction #: VXHA3FFF-120 Donation Amount : $XX.XX Tax Deductible Donation Value : $XXX.XX *** PLEASE NOTE: This donation will appear on your credit *** *** card statement as Groundspring.org. Groundspring*** *** is our service provider for online donations. *** Contact Information: Trober (trober.com) Rua XX X, XX X X, NA XX.XXX BR Join Us!: Yes Credit Card Information: XX 8480 MasterCard Custom Field Responses: Anonymous Donation: Projects: Feedback: I'm very grateful to FreeBSD! Your donation is being made to Groundspring.org, a nonprofit, donor advised fund, which will distribute your donation to the nonprofit organization that you indicated. As required by the Internal Revenue Service (IRS), Groundspring.org has exclusive legal control over the donation. Groundspring.org's Taxpayer Identification Number is XX-XXX. Tax-deductible charitable contributions made on the Groundspring.org website are irrevocable. If there are extenuating circumstances, please contact our Customer Service Team immediately and we will review your case individually. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Fw: [FreeBSD-Announce] Be Counted!
Ok... se for do Brasil fica muito melhor... dai eu deposito R$10 =] Só passar os dados para depósito. Att; Enrique Fynn. 2009/8/1 Thiago Rocha thiago.ro...@bsd.com.br Concordo Plenamente. Topa Patrick? 2009/8/1 Celso Viana celso.via...@gmail.com impossível -- _ Rocha, Thiago SysAdmin - Olá! O Banco do Brasil e HSBC cobram US$ 20 de taxa de operação para uma doação de US$ 1!! Totalmente inviável! O lance é partir para cartão internacional, enquanto não temos ainda PayPal Brasil, possibilitando pagar com boleto, como já foi um dia (se não estou enganado) o UOL PagSeguro (e PayBR?). Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Fw: [FreeBSD-Announce] Be Counted!
20 dólares uau... temos de fazer uma vaquinha da FUG... dai alguém paga tudo de vez Att; Enrique Fynn. 2009/8/1 Trober tro...@trober.com Ok... se for do Brasil fica muito melhor... dai eu deposito R$10 =] Só passar os dados para depósito. Att; Enrique Fynn. 2009/8/1 Thiago Rocha thiago.ro...@bsd.com.br Concordo Plenamente. Topa Patrick? 2009/8/1 Celso Viana celso.via...@gmail.com impossível -- _ Rocha, Thiago SysAdmin - Olá! O Banco do Brasil e HSBC cobram US$ 20 de taxa de operação para uma doação de US$ 1!! Totalmente inviável! O lance é partir para cartão internacional, enquanto não temos ainda PayPal Brasil, possibilitando pagar com boleto, como já foi um dia (se não estou enganado) o UOL PagSeguro (e PayBR?). Saudações, Trober - - - - - Pelo visto, é o jeito morrer com US$20 em taxa de operação. Semana passada, um consultor do Banco do Brasil me informou que seria possível fazer remessas de dinheiro, via Western Union, dos EUA para o Brasil. Já o contrário, não seria possível. Porém, no site Banco do Brasil, diz que a operação pode ser efetuada nas duas vias[1] (remessas e recebimentos). Não sei quem está equivocado nessa informação, se o consultor, ou se o site. Em relação a entregar todo o dinheiro levantado pela FUG-BR, para uma só pessoa fazer o pagamento, via cartão de crédito, é um SÉRIO PROBLEMA. Digo isso não pela confiança, mas pelo Feroz Leão. Imaginem hipoteticamente, por exemplo, se alguém aceitasse receber a grana da vaquinha da FUG, e fosse fazer a doação via cartão. Supondo que 2000 usuários dêem R$ 5 cada um, isso totaliza R$ 10.000! Primeiro que raramente alguém tem limite para isso, e em segundo (e não menos pior), não gosto nem de pensar no nível de conversa que o titular deste cartão teria com fiscais da receita. Outra alternativa, para quem está indo aos EUA, é levar a grana na cueca. Com quem tem imunidade parlamentar ou eclesiástica, dá certo! (calma pessoal, é piadinha, para relaxar, hehe). Falando sério novamente, o que dá para fazer é formar grupos de cinco pessoas, sendo uma com cartão, para quatro outras sem cartão, para fazer doações com valores em teto de R$ 200, para não chamar a atenção do Leão. Como diria o pessoal daqui: para não alertar os gansos. Enfim, não vejo a forma sugerida, de formar pequenos grupos de doadores, como algo ilegal, tampouco imoral ou violadora dos bons costumes. [1] http://www.bb.com.br/portalbb/page22,101,7600,0,0,1,0.bb?codigoNoticia=4891 Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Fw: [FreeBSD-Announce] Be Counted!
Doação não paga imposto. Att; Enrique Fynn. [SNIP] Sua posição está correta, se considerarmos apenas doação para beneficiários do mesmo país de origem da doação. Estamos falando de uma remessa de divisas para os EUA, mais precisamente Boulder, estado do Colorado. Logo, é uma evasão de reservas nacionais, no entender da receita. Por isso, grupos pequenos de doadores, com teto de R$ 200, é, até o momento, a alternativa mais adequada. Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Fw: [FreeBSD-Announce] Be Counted!
E 10% vai pro banco... nao pode... É tudo legal, é como se doássemos para a associação protetora dos 'sei la o que' que tem mais visão, e se uma multinacional se prosta aqui tipo o greenpeace, também ta saindo dinheiro, aos olhos da lei não pode ter essa diefrença não... Acho que o melhor é só pagar 1 vez os impostos, e fazer uma doação grande em nome da FUG. Att; Enrique Fynn. 2009/8/1 Trober tro...@trober.com Sua posição está correta, se considerarmos apenas doação para beneficiários do mesmo país de origem da doação. Estamos falando de uma remessa de divisas para os EUA, mais precisamente Boulder, estado do Colorado. Logo, é uma evasão de reservas nacionais, no - Fazendo um adendo/correção. Greenpeace tem representação nacional, legalmente constituído, registrado com o CNPJ 064.711.062/0001-94. FreeBSD Foundation não. Esse é o problema. Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Fw: [FreeBSD-Announce] Be Counted!
2009/8/1 Celso Viana celso.via...@gmail.com 2009/8/1 Otacílio de Araújo Ramos Neto otacilio.n...@ee.ufcg.edu.br: Eu acho que vale a pena sim porque além das doações precisamos ser contados para poder fazer pressão nas empresas produtoras de software. Ou vocês vão querer emular linux a vida toda para poder rodar o flash? A maior vergonha que existe para um SO eh ter que emular outro. Otacilio, Você se dispõe a encabeçar essa tarefa? Estou encabeçando uma lista. Quem quiser doar usando o meu cartão ponha o nome, o valor e o e-mail nesta planilha. http://spreadsheets.google.com/ccc?key=0AorNLoNV_jXJdGxrbTFEeHlSQ0dEX19uMUhOYWpuYVEhl=en Se depois decidirem que o a doação vai ser pelo FUG então o cascalho vai por lá. Só precisa saber como informar ao pessoal lá nos EUA que não foi um cara só que doou. - Olá Otacílio. No caso do Kirk McKusick e Eric Allman, eles doaram juntos em 2008 e 2009, conforme pode ser visto na galeria de doadores[1]. No caso de grupos de cinco membros, não sei como fica. Talvez enviando um e-mail para [ board at freebsdfoundation dot org ], informando quanto cada membro doou, para colocar na categoria respectiva o nome de cada doador. [1] http://freebsdfoundation.org/donate/sponsors.shtml Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] FreeBSD no Laptop
PessoALL; Estou querendo comprar um laptop que seja compatível com o FreeBSD 7.1 ou 7.2. Alguém tem conhecimento de qual ou quais são compatíveis com tal SO? Grato. - Olá Lawton. O site The FreeBSD Laptop Compatibility List[1] pode ser uma boa referência. Possuo um HP Pavilion DV6810US e já usei FreeBSD 7.2 Stable AMD64 nele. Funcionou razoavelmente bem, exceto: 1) Bluetooth 2) Gerenciamento energia (idem PC-BSD, OpenSuse, Ubuntu, Fedora e Famelix). 3) Scroll do mouse. 4) Quick Button. 5) Leitores de cartão. [1] http://laptop.bsdgroup.de/freebsd/ Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] FreeBSD no Laptop
Trober; No seu caso funcionou o wireless? Obrigado pelo link. Trober wrote: [SNIP] Lawton, Funcionou bem a interface wireless, nativamente, com WEP, WPA, mas não fazia scan (Atheros AR5007). Fica como observação, que o HP Pavilion DV6810US já saiu de linha, sendo alguns lotes lançados com Atheros AR5007, e alguns com Atheros AR5006. Um amigão meu, Marcos Schratzenstaller, tem um HP/Compaq F750, com Atheros AR5006. Ele escreveu o remendo para o patch original do Sam Leffler (que não funcionava), e fez funcionar[1][2] a interface wireless do F750 no FreeBSD. Então, caso adquira um DV6810US, para rodar FreeBSD, dependendo da interface wireless que tiver, terá de aplicar modificações. [1]http://schratzenstaller.com.br/2009/06/ath0-unable-to-attach-hardware-hal-status/ [2]http://marksabbath.blogspot.com/2008/06/ath0-unable-to-attach-hardware-hal.html Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Erro de compilação do kernel do 7.2 _stable
2009/7/30 Enrique Fynn enriquef...@gmail.com: Geralmente quando você tenta acessar um ponteiro para estrutura errado. O estranho foi isto estar no kernel. João Rocha. 2009/7/30 Joao Rocha Braga Filho goffr...@gmail.com Alguém te idéia do que é isto? ../../../dev/ata/ata-all.c:454: error: request for member 'max_iosize' in something not a structure or union O Google não tem. João Rocha. -- Sempre se apanha mais com as menores besteiras. Experiência própria. goffr...@gmail.com - -- Att; Enrique Fynn. - -- Sempre se apanha mais com as menores besteiras. Experiência própria. goffr...@gmail.com - Olá. O curioso (para não dizer estranho) disso, é que esse erro não era para ter ocorrido em Stable, já que ata-all.c[1], em Stable, está há quatro meses sem revisão (189299, de 2009/03/03). O erro só deveria acontecer na revisão 195724, de duas semanas atrás (2009/17/16)[2], não existem em STABLE, e sim, em HEAD. [1] http://svn.freebsd.org/viewvc/base/stable/7/sys/dev/ata/ata-all.c [2]http://svn.freebsd.org/viewvc/base/head/sys/dev/ata/ata-all.c?view=markuppathrev=195724 Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Sonicwall
Oi, Trober, boa noite. Para quem já utiliza o ipfw via FreeBSD e vai utilizar agora como firewall o Sonicwall, o que é preciso fazer? Desativar o ipfw? Para isso, é só comentar a linha firewall_enable=YES no /etc/rc.conf? Grato Fábio. --- Em sáb, 25/7/09, Trober tro...@trober.com escreveu: De: Trober tro...@trober.com Assunto: Re: [FUG-BR] Sonicwall Para: FUG-BR freebsd@fug.com.br Data: Sábado, 25 de Julho de 2009, 3:42 Olá amigos da lista! O que vocês acham do Sonicwall? É mais seguro do que o firewall (software -ipfw)? Qual as vantagens e desvantagens desse hardware? Alguém que já teve alguma experiência utilizando o SonicWall? Aguardo comentários. Abraços, Fábio. Olá Fábio. Meu comentário não é especificamente sobre o SonicWall, mas appliances, de modo geral. Indico duas mensagens, postadas no GTER, sendo uma relacionada ao custoXbenefício[1], e outra quanto ao ponto de equilíbrio[2]. Ambas mensagens expressam excelentes considerações na relação appliances vs handcrafted server[3], e acredito que estas iluminarão sua decisão.. 1. http://eng.registro.br/pipermail/gter/2009-July/025065.html 2. http://eng.registro.br/pipermail/gter/2009-July/025085.html 3. -Você não tem... -Buracos? Não. Eu e meu irmão Dozer somos seres humanos 100% puros, à moda antiga. Nascidos livres, aqui... Saudações, Trober - - - - - Boa noite Fábio! Assim como qualquer pessoa prudente, não tenho como responder com precisão esta pergunta, sem antes: conhecer seu cenário, considerar a finalidade do seu servidor, e estudar as regras IPFW existentes no seu FreeBSD. Forneça mais detalhes da sua estrutura, preferencialmente aqui na lista, para que demais participantes possam contribuir com valiosa opinião. Caso não se sinta muito confortável em publicar tais detalhamentos, podemos prosseguir em PVT. Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Sonicwall
Olá amigos da lista! O que vocês acham do Sonicwall? É mais seguro do que o firewall (software -ipfw)? Qual as vantagens e desvantagens desse hardware? Alguém que já teve alguma experiência utilizando o SonicWall? Aguardo comentários. Abraços, Fábio. Olá Fábio. Meu comentário não é especificamente sobre o SonicWall, mas appliances, de modo geral. Indico duas mensagens, postadas no GTER, sendo uma relacionada ao custoXbenefício[1], e outra quanto ao ponto de equilíbrio[2]. Ambas mensagens expressam excelentes considerações na relação appliances vs handcrafted server[3], e acredito que estas iluminarão sua decisão. 1. http://eng.registro.br/pipermail/gter/2009-July/025065.html 2. http://eng.registro.br/pipermail/gter/2009-July/025085.html 3. -Você não tem... -Buracos? Não. Eu e meu irmão Dozer somos seres humanos 100% puros, à moda antiga. Nascidos livres, aqui... Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Questionamentos sobre FreeBSD Virtualizado com VitualBox
Olá Pessoal, Estamos realocando nossos Hardwares e pensamos em virtualizar alguns servidores por aqui... Temos um webserver rodando com freeBSD e pretendemos colocá-lo no VirtualBox sob Windows Server 2003 em um Dual Xeon/4G/SCSI. Gostaria de informações e experiências de vocês quanto ao cenário exposto. _ Atenciosamente Alberane Lúcio Thiago da Cunha Varginha / MG Linux User #396371 Bom dia Alberane. Nativamente, o VirtualBox não é executado como serviço, e sim como aplicativo, o que requer uma sessão (console ou terminal RDP) constantemente autenticada no seu servidor Windows 2003. Existem workarounds[1] para transformar o VirtualBox em serviço, mas nem de perto se equivalem ao VMWare Server (ou ESXi, como sugerido pelo Márcio). Sem contar que, o VMWare, possibilita programação personalizável, que dispara pause no shutdown do host, e continue na inicialização, anulando totalmente a intervenção humana nos guests durante manutenções no seu servidor host (Windows 2003). Também vale para snapshots agendados. De qualquer forma, o VirtualBox é muito bom, mas tem muito ainda para amadurecer, e quem sabe, tão logo, chegar perto (se não ultrapassar) o VMWare. No seu lugar, eu iria de VMWare Server, ou ESXi. PS: Não se preocupe pelo fato do seu host ser Windows 2003, se as regras forem seguidas, funciona muitor redondo[2][3] :) [1] http://forums.virtualbox.org/viewtopic.php?p=7650sid=c8559b67fbc30e7b7cc12a09b76e4b14 [2] http://www.fug.com.br/historico/html/freebsd/2009-04/msg00268.html [3] http://www.fug.com.br/historico/html/freebsd/2009-04/msg00269.html Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Crontab não funciona..
boa noite lista tenho uma linha no crontab que é para rotacionar os logs do squid, e nao está funcionando.. só funciona quando eu executo o comando.. Percebi que no crontab ele nao está executando. tem que habilitar o crontab? ou algo assim? abraco [SNIP] Olá. Nesta mensagem[1] da lista está a solução do seu problema. Também há outras mensagens[2], com alternativas, que chegam ao mesmo resultado. Se possível, confirme seu êxito. [1] http://www.fug.com.br/historico/html/freebsd/2009-05/msg7.html [2] http://www.google.com/search?hl=enq=cron+script+site%3A.fug.com.br Grande abraço, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Alias de ethernet em VM
Olá! Tenho o FreeBSD 7.0 instalado em uma máquina virtual, essa máquina possui serviço de DNS e preciso colocar dois ips diferentes na mesma interface ( le0 ). A configuração do rc.conf ficou da seguinte maneira: ifconfig_le0=inet 200.170.199.xxx netmask 255.255.255.248 ifconfig_le0_alias0=inet 200.170.199.xxx netmask 255.255.255.248 Quando executo o comando: /etc/rc.d/netif restart a interface ativa com os dois ips configurados no rc.conf, porém não consigo acessar a máquina remotamente e nem pingar. Não sei o que estou fazendo de errado, sempre fiz esse procedimento e ocorreu tudo bem, agora nessa máquina virtual estou tendo esse problema. Desde já agradeço, Bruno Oliveira. Bom dia Bruno. Há um thread[1] aberto sobre alias em interface de redes no FreeBSD 7.x., que tem como resolução a desativação da opção router_enable em /etc/rc.conf[2]. 1) Você tem router_enable habilitado no seu /etc/rc.conf? 2) Você percebeu a ocorrência da mensagem host is not on local network na saída do comando dmesg? 3) Você percebeu a ocorrência da mensagem arpresolve: can't allocate route for aaa.bbb.ccc.ddd na saída do comando dmesg? [1] http://www.fug.com.br/historico/html/freebsd/2009-07/msg00018.html [2] http://www.fug.com.br/historico/html/freebsd/2009-07/msg00060.html Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Aliases de IP no 7.x (era: FreeBSD 7.1 Release para AMD64)
Hein? Problema de alias? Você pode configurar da maneira original igual funcionava desde o bsd 4.x ou usando uma sintaxe nova, que já foi mostrada aqui na lista. Nada demais... inclusive pode pegar o rc.conf do 6.x e jogar no 7.x que funciona sem mudar uma vírgula. Único porém com 64bits que tive foi ao compilar o vpopmail, que tive que usar algumas flags para o compilador, que também já postei na lista. -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Trober Enviada em: quarta-feira, 1 de julho de 2009 22:42 Para: FUG-BR Assunto: Re: [FUG-BR] FreeBSD 7.1 Release para AMD64 Pessoal, boa noite! Comprei uma máquina AM2 Semprom LE 1250 (chipset 780g) 64BITS e pretendo instalar um servidor de web, e-mail, ftp, proxy, etc. Poderiam me dizer se a versao do FreeBSD 7.1 release para 64bits é igual a qualquer instalação comparado a um Pentium com FreeBSD 6.1? É claro que estou me referindo aos softwares, se trabalha correto no 64 bits, ou se tem alguma restrição de mal funcionamento de algum software para servidor de internet completo, etc.. Enfim... se algum de vocês saberem que o FreeBSD 7.1 para AMD64 tem alguma compatibilidade ou algum problema referente algum software ou algum procedimento, me falem, aí vou trocar de máquina rsss Obrigado [SNIP] Olá [sem nome]! :) Na transição de 6.x i386 para 7.x amd64, em relação aos ~60 ports que normalmente instalo, tive apenas problemas com o /usr/ports/audio/beep, já que não há dispositivo SPEAKER para amd64. Na transição, terá fortes dores de cabeça se precisar usar aliases de IP em interfaces, já que esse recurso no FreeBSD 7.x (independente de arquitetura) está incomodando muita gente. Não é difícil encontrar nas principais listas relacionadas, alguém reclamando desse problema, além de vários chutes imprecisos como resposta. Se eu estivesse na sua situação, tendo plena certeza de não precisar usar aliases de IP, adotaria 7.2 amd64. Do contrário, 6.4 amd64. PS: Sem flames, galera, mas confesso que estou torcendo para que digam que estou errado em relação ao aliases no 7.x :) Saudações, Trober - - - - - Olá Renato! Exponho o problema com aliases. Quero substituir um servidor FreeBSD 6.4-STABLE[1] por um servidor FreeBSD 7.2-STABLE em um condomínio. Para isso, fiz testes em laboratório, e obtive êxito em quase todas as funcionalidades, exceto na adição de aliases de IP na interface interna (re0). Efetuei pesquisas nas listas FUG-BR, freebsd-net, freebsd-questions, freebsd-isp, além de foruns eslavos, não encontrando resposta para o problema. O FreeBSD 6.4-STABLE que está rodando atualmente em produção neste condomínio possui 100 endereços de IP, em alias na interface interna (re0), sendo cada um deles em blocos /30 (255.255.255.252), como no exemplo parcial abaixo: ifconfig_re0= inet 192.168.5.1netmask 255.255.255.0 ifconfig_re0_alias0= inet 192.168.20.1 netmask 255.255.255.252 ifconfig_re0_alias1= inet 192.168.20.5 netmask 255.255.255.252 ifconfig_re0_alias2= inet 192.168.20.9 netmask 255.255.255.252 ifconfig_re0_alias3= inet 192.168.20.13 netmask 255.255.255.252 ifconfig_re0_alias4= inet 192.168.20.17 netmask 255.255.255.252 ifconfig_re0_alias5= inet 192.168.20.21 netmask 255.255.255.252 ifconfig_re0_alias6= inet 192.168.20.25 netmask 255.255.255.252 ifconfig_re0_alias7= inet 192.168.20.29 netmask 255.255.255.252 ifconfig_re0_alias8= inet 192.168.20.33 netmask 255.255.255.252 Cada computador, tem um rede /30, composta por 4 IPs, sendo eles (na ordem): network, gateway, host e broadcast. Com os aliases de IP, no FreeBSD 6.4, vai que é uma beleza! Porém, quando uso aliases de IP no FreeBSD 7.x, ao trocar o primeiro dado pela interface, recebo erros, como os descritos abaixo: arplookup 192.168.20.6 failed: host is not on local network arplookup 192.168.20.5 failed: host is not on local network arpresolve: can't allocate route for 192.168.20.5 O curioso é que no FreeBSD 6.x funciona perfeitamente e lindamente! Só no FreeBSD 7.x que é retornado este comportamento anômalo, independente de interface utilizada (vr, em, rl, re, ral, rum e ath). Testei também com ipv4_addrs_re0 no /etc/rc.conf, mas dá o mesmo erro. Aqui na lista já rolou um thread[2] falando sobre o fato do ifconfig estar em deprecated, mesmo não havendo qualquer informação formal[3] sobre isso. Enfim, desejo saber qual a opinião de vocês sobre a resolução desde problema[4]. Muito grato. [1] http://www.fug.com.br/historico/html/freebsd/2009-04/msg00488.html [2] http://www.fug.com.br/historico/html/freebsd/2009-04/msg00089.html [3] http://www.fug.com.br/historico/html/freebsd/2009-04/msg00110.html [4] http://tinyurl.com/7xAliases Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: RES: Aliases de IP no 7.x (era: FreeBSD 7.1 Release para AMD64)
Certo.. Quando você adiciona manualmente pelo Shell: #ifconfig re0 192.168.5.1 netmask 255.255.255.0 #ifconfig re0 alias 192.168.20.1 netmask 255.255.255.252 #ifconfig re0 alias 192.168.20.5 netmask 255.255.255.252 ... ... Retorna alguma mensagem de erro? Olá Renato! Exponho o problema com aliases. Quero substituir um servidor FreeBSD 6.4-STABLE[1] por um servidor FreeBSD 7.2-STABLE em um condomínio. Para isso, fiz testes em laboratório, e obtive êxito em quase todas as funcionalidades, exceto na adição de aliases de IP na interface interna (re0). Efetuei pesquisas nas listas FUG-BR, freebsd-net, freebsd-questions, freebsd-isp, além de foruns eslavos, não encontrando resposta para o problema. O FreeBSD 6.4-STABLE que está rodando atualmente em produção neste condomínio possui 100 endereços de IP, em alias na interface interna (re0), sendo cada um deles em blocos /30 (255.255.255.252), como no exemplo parcial abaixo: ifconfig_re0= inet 192.168.5.1netmask 255.255.255.0 ifconfig_re0_alias0= inet 192.168.20.1 netmask 255.255.255.252 ifconfig_re0_alias1= inet 192.168.20.5 netmask 255.255.255.252 ifconfig_re0_alias2= inet 192.168.20.9 netmask 255.255.255.252 ifconfig_re0_alias3= inet 192.168.20.13 netmask 255.255.255.252 ifconfig_re0_alias4= inet 192.168.20.17 netmask 255.255.255.252 ifconfig_re0_alias5= inet 192.168.20.21 netmask 255.255.255.252 ifconfig_re0_alias6= inet 192.168.20.25 netmask 255.255.255.252 ifconfig_re0_alias7= inet 192.168.20.29 netmask 255.255.255.252 ifconfig_re0_alias8= inet 192.168.20.33 netmask 255.255.255.252 Cada computador, tem um rede /30, composta por 4 IPs, sendo eles (na ordem): network, gateway, host e broadcast. Com os aliases de IP, no FreeBSD 6.4, vai que é uma beleza! Porém, quando uso aliases de IP no FreeBSD 7.x, ao trocar o primeiro dado pela interface, recebo erros, como os descritos abaixo: arplookup 192.168.20.6 failed: host is not on local network arplookup 192.168.20.5 failed: host is not on local network arpresolve: can't allocate route for 192.168.20.5 O curioso é que no FreeBSD 6.x funciona perfeitamente e lindamente! Só no FreeBSD 7.x que é retornado este comportamento anômalo, independente de interface utilizada (vr, em, rl, re, ral, rum e ath). Testei também com ipv4_addrs_re0 no /etc/rc.conf, mas dá o mesmo erro. Aqui na lista já rolou um thread[2] falando sobre o fato do ifconfig estar em deprecated, mesmo não havendo qualquer informação formal[3] sobre isso. Enfim, desejo saber qual a opinião de vocês sobre a resolução desde problema[4]. Muito grato. [1] http://www.fug.com.br/historico/html/freebsd/2009-04/msg00488.html [2] http://www.fug.com.br/historico/html/freebsd/2009-04/msg00089.html [3] http://www.fug.com.br/historico/html/freebsd/2009-04/msg00110.html [4] http://tinyurl.com/7xAliases Trober - - - - - Olá Renato (na carona, também respondo ao Celso Viana). Sim, infelizmente. O problema persiste, mesmo na adição manual (no braço, via shell) de alias de IP :( Nas garimpadas que fiz em busca de uma solução, encontrei muita gente com este problema, e inclusive abandonando a série 7.x para voltar ao 6.4. Encontrei (se entendi certo) até um maluco sugerindo comentar[1] a mensagem de erro! O problema não é só a exibição da mensagem, e sim a inoperância do conjunto. Este problema atingiu tal proporção, que tem gente colocando uma placa de rede para cada subnet[2]!! E agora? hehe (rir para não chorar) [1] http://blog.weithenn.org/2009/05/freebsdkernel-arplookup-ip-failed-host.html [2] http://unix.derkeiler.com/Mailing-Lists/FreeBSD/net/2008-07/msg00135.html Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: RES: RES: Aliases de IP no 7.x (era: FreeBSD 7.1 Release para AMD64)
Que coisa grotesca, engraçado ele não ter se reproduzido aqui comigo, será que é quando são diversos aliases segmentando uma rede na mesma placa? Porque aqui uso no máximo 5 ou 6 /29 e está tudo OK. Bom... logo que você usa isto só para segmentar logicamente os clientes, não fisicamente(já que a interface é a mesma)... Nada impede que você coloque o IP 192.168.20.1, 20.5, 20.9, 20.13 Todos com mascara /24 E o cliente com máscara /30 Gambiarra terrível, mas até isto resolver. Alias, que bug medonho hein Olá Renato (na carona, também respondo ao Celso Viana). Sim, infelizmente. O problema persiste, mesmo na adição manual (no braço, via shell) de alias de IP :( Nas garimpadas que fiz em busca de uma solução, encontrei muita gente com este problema, e inclusive abandonando a série 7.x para voltar ao 6.4. Encontrei (se entendi certo) até um maluco sugerindo comentar[1] a mensagem de erro! O problema não é só a exibição da mensagem, e sim a inoperância do conjunto. Este problema atingiu tal proporção, que tem gente colocando uma placa de rede para cada subnet[2]!! E agora? hehe (rir para não chorar) [1] http://blog.weithenn.org/2009/05/freebsdkernel-arplookup-ip-failed- host.html [2] http://unix.derkeiler.com/Mailing-Lists/FreeBSD/net/2008- 07/msg00135.html Saudações, Trober - - - - - Eita! Acredito que resolvi o problema! :D Corrijam-me seu eu estiver errado na análise: Como a mensagem host is not on local network é exibida na passagem do primeiro pacote de dados da placa interna (re0) do servidor, isso remete à compreensão de que esse host/rede não é local, resolvi ver o comportamento da tabela de roteamento. Destination Gateway Flags Refs Use Netif 192.168.20.8/30 192.168.20.9 UGC10 re0 192.168.20.10 192.168.20.9 UGCHW3 01 re0 Estudei um pouco mais o serviço router, e encontrei citações que router_enable habilitado em /etc/rc.conf faz com que a tabela aprenda as rotas que ouve por RIP[1]. No mesmo instante, lembrei que em PPP, o router não pode estar habilitado, pois pode apagar deliberadamente[2] apontamentos da tabela de roteamento. Logo, imaginei o serviço router apagando os apontamentos que tenho na minha tabela de roteamento. Então, desativei router no /etc/rc.conf. E a tabela mudou para: Destination Gateway Flags Refs Use Netif 192.168.20.8/30 link#2UC 00 re0 192.168.20.10 aa:bb:cc:dd:ee:ff UHLW 1297 re0 Agora vem a parte punk: No FreeBSD 6.x, independente de estar o serviço router habilitado ou não, os apontamentos estáticos ou de interfaces locais (FLAG S e C, respectivamente) ficam intactos. No FreeBSD 7.x, com o serviço router habilitado, acontece a bizarrice, criando e apagando rotas com critérios que desconheço. Será um bug do 7.x? Pois bem, galera, como dizem no jargão religioso: contar o milagre e não mostrar o santo. Não curto muito resolver um problema e não apontar a origem, mas a solução está em desativar o serviço router no FreeBSD 7.x, e ser feliz, como quando se usa o mesmo arquivo /etc/rc.conf igual ao existente no FreeBSD 6.4 (mas com router_enable=NO). Farei vários testes mais punks aqui e, obtendo êxito, postarei, daqui alguns dias, a solução como resolvida (assim espero!), pois não a julgo concluída. [1] Absolute BSD - The Ultimate Guide to FreeBSD (Michael Lucas, p. 219). [2] http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/userppp.html Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] FreeBSD 7.1 Release para AMD64
Pessoal, boa noite! Comprei uma máquina AM2 Semprom LE 1250 (chipset 780g) 64BITS e pretendo instalar um servidor de web, e-mail, ftp, proxy, etc. Poderiam me dizer se a versao do FreeBSD 7.1 release para 64bits é igual a qualquer instalação comparado a um Pentium com FreeBSD 6.1? É claro que estou me referindo aos softwares, se trabalha correto no 64 bits, ou se tem alguma restrição de mal funcionamento de algum software para servidor de internet completo, etc.. Enfim... se algum de vocês saberem que o FreeBSD 7.1 para AMD64 tem alguma compatibilidade ou algum problema referente algum software ou algum procedimento, me falem, aí vou trocar de máquina rsss Obrigado [SNIP] Olá [sem nome]! :) Na transição de 6.x i386 para 7.x amd64, em relação aos ~60 ports que normalmente instalo, tive apenas problemas com o /usr/ports/audio/beep, já que não há dispositivo SPEAKER para amd64. Na transição, terá fortes dores de cabeça se precisar usar aliases de IP em interfaces, já que esse recurso no FreeBSD 7.x (independente de arquitetura) está incomodando muita gente. Não é difícil encontrar nas principais listas relacionadas, alguém reclamando desse problema, além de vários chutes imprecisos como resposta. Se eu estivesse na sua situação, tendo plena certeza de não precisar usar aliases de IP, adotaria 7.2 amd64. Do contrário, 6.4 amd64. PS: Sem flames, galera, mas confesso que estou torcendo para que digam que estou errado em relação ao aliases no 7.x :) Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Consumo alto de CPU com NATD
2009/6/29 Tiago Barreto tiagobarreto2...@yahoo.com.br:
Wanderson,
Olha nunca tentei isso não, nem sabia que tinha como fazer nat desse
jeito. Porém vi que em meu kernel não compilei com essa opção
IPFIREWALL_NAT
Minhas opções no kernel, estão assim:
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_FORWARD
options IPFIREWALL_VERBOSE_LIMIT=1000
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPDIVERT
Minha regra de nat no firewall /etc/firewall.sh, está assim:
${fwcmd} add 00010 divert natd all from any to any via xl0
Você observa alguma desvantagem em relação as regras que você me passou
?
Pra eu poder testar o uso dessa opção IPFIREWALL_NAT que você me passou,
precisarei recompilar o kernel novamente ou posso carregar esta opção de
outra maneira ?
Obrigado pela força.
Notei que o Nat ficou mais rápido, bem mais, low overhead. Acredito
que não tenha outra forma de habilitar senão recompilando seu kernel.
O bom que você evita de subir daemon e concentra tudo em um único
lugar (arquivo). O nat a nível de kernel aceita todas as opções do
natd exceto a punch_fw, pelo menos não achei nada a respeito. Mas
tente fazer um teste e veja se resolva seu problema, caso contrario
você sobe seu Natd novamente.
Boa sorte.
-
Olá a todos.
Complementando o Wanderson, realmente o IPFIREWALL_NAT é muito melhor,
porém (infelizmente) inexiste nele o punch_fw[1].
Alguém aqui que já estudou os fontes do ipfw.c e nat.c no 8.x?
[1] http://www.fug.com.br/historico/html/freebsd/2009-05/msg00813.html
Saudações,
Trober
-
-
-
-
-
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Consumo alto de CPU com NATD
Olá a todos. Complementando o Wanderson, realmente o IPFIREWALL_NAT é muito melhor, porém (infelizmente) inexiste nele o punch_fw[1]. Alguém aqui que já estudou os fontes do ipfw.c e nat.c no 8.x? [1] http://www.fug.com.br/historico/html/freebsd/2009-05/msg00813.html Saudações, Trober Trober, a alternativa seria usar um ftp-proxy. Já tentou seta a opção punch_fw na regra de Nat para vê se funfa? Boa tarde. - Olá Wanderson! :) Não testei, pois como estudei o código fonte, e lá não há suporte para tal parâmetro, seria perda de tempo (no meu entender) testar uma função não implementada. Quanto ao ftp-proxy, conforme mencionei na mensagem de maio/2009, a idéia é evitar usa-lo, justamente devido ao high overhead da descentralização de configuração. Mas, pelo visto, terei de me render à essa adoção, hehe. Muito grato. Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Consumo alto de CPU com NATD
Pow Wanderson,
Muito interessante essas dicas. Estou ancioso para testar. Essa perda do
punch_fw, causa muitos transtornos ?
Um abraço.
--- Em seg, 29/6/09, Wanderson Tinti wander...@bsd.com.br escreveu:
De: Wanderson Tinti wander...@bsd.com.br
Assunto: Re: [FUG-BR] Consumo alto de CPU com NATD
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
free...@fug..com.br
Data: Segunda-feira, 29 de Junho de 2009, 18:58
2009/6/29 Tiago Barreto tiagobarreto2...@yahoo.com.br:
Wanderson,
Olha nunca tentei isso não, nem sabia que tinha como fazer nat desse
jeito. Porém vi que em meu kernel não compilei com essa opção
IPFIREWALL_NAT
Minhas opções no kernel, estão assim:
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_FORWARD
options IPFIREWALL_VERBOSE_LIMIT=1000
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPDIVERT
Minha regra de nat no firewall /etc/firewall.sh, está assim:
${fwcmd} add 00010 divert natd all from any to any via xl0
Você observa alguma desvantagem em relação as regras que você me passou
?
Pra eu poder testar o uso dessa opção IPFIREWALL_NAT que você me passou,
precisarei recompilar o kernel novamente ou posso carregar esta opção de
outra maneira ?
Obrigado pela força.
Notei que o Nat ficou mais rápido, bem mais, low overhead. Acredito
que não tenha outra forma de habilitar senão recompilando seu kernel.
O bom que você evita de subir daemon e concentra tudo em um único
lugar (arquivo). O nat a nível de kernel aceita todas as opções do
natd exceto a punch_fw, pelo menos não achei nada a respeito. Mas
tente fazer um teste e veja se resolva seu problema, caso contrario
você sobe seu Natd novamente.
Boa sorte.
-
Olá Tiago.
Tomo a liberdade de furar a fila do Wanderson e responder sobre a
importância do punch_fw.
Esse recurso do natd[1], possibilita que regras do IPFW sejam
dinamicamente criadas, conservadas e destruídas, durante uma troca de
dados, por FTP Passivo[2] ou DCC (troca de arquivos por IRC).
O parâmetro de punch_fw é composto de duas porções, sendo a primeira o
número da regra inicial, e a segunda a quantidade de regras a se
utilizar[3][4].
Há casos em que alguns administradores de firewall deixam as portas
altas abertas de any to any, para não se incomodarem com FTP passivo.
Porém, essa não é uma prática muito saudável[2]. O punch_fw[1] contorna
essa configuração estática (e nociva[2]) no firewall.
Infelizmente, o IPFIREWALL_NAT não contempla nativamente o punch_fw[5].
[1] http://www.freebsd.org/cgi/man.cgi?query=natd
[2] http://www.rnp.br/newsgen/0011/ftp-passivo.html#ng-3-2
[3] http://www.fug.com.br/historico/html/freebsd/2009-02/msg00308.html
[4] http://www.fug.com.br/historico/html/freebsd/2007-08/msg00343.html
[5] http://www.fug.com.br/historico/html/freebsd/2009-05/msg00813.html
Saudações,
Trober
-
-
-
-
-
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Index / Histórico
Meus caros, Vi o pessoal falando que é pra procurar no histórico da lista antes de postar, o que está corretíssimo. Porém hoje, tentei usar o search do histórico e descobri que o index da lista está fechado para manutenção, ou seja, não retorna nada. Isso confere ? Rodrigo Graeff delphus...@gmail.com [snip] Uma alternativa é usar filtros do Google, isolando a pesquisa somente no escopo do site FUG, como no exemplo abaixo: ipfirewall_nat punch_fw site:.fug.com.br Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] IPFIREWALL_NAT sem PUNCH_FW
Olá a todos. Estou montando um servidor FreeBSD 7.2 Stable (amd64) para testes, já visionando substituição para os outros servidores em operação, rodando FreeBSD 6.4 Stable (i386). Um dos objetivos é abolir o natd e adotar o IPFIREWALL_NAT, que além de mais eficaz[1][2], também pode concentrar regras de NAT e firewall num só lugar (low overhead!). A conversão de regras de /etc/natd.conf para IPFIREWALL_NAT foi muito tranquila, porém, não encontrei a opção de configuração punch_fw, como existente no natd, na enumeração Option e na estrutura OptionInfo OptionTable (/usr/src/sbin/natd/natd.c). Consultei então o código de /usr/src/sbin/ipfw/nat.c, e lá encontrei somente as seguintes opções de nat: ip, if, log, deny_in, same_ports, unreg_only, reset, reverse, proxy_only, redirect_addr, redirect_port e redirect_proto. E nada do punch_fw. Igor Konstantinov sugere carregar alias_ftp[3] (alias_ftp_load=YES, no /boot/loader.conf). Testei e não fez diferença, já que, ao contrário do que ocorre no punch_fw, não foram automaticamente geradas regras temporárias (que possibilitam o transporte de dados durante a atividade de transferência FTP/DCC). Sendo assim, considerando que não quero abrir estaticamente uma faixa (range) de portas para transferência passiva (o que é uma prática não muito saudável[4]) e considerando que não tenho qualquer plano de usar um ftp proxy, pergunto: Há alternativa similar ao punch_fw no uso de IPFIREWALL_NAT? Desde já agradeço. [1] http://forums.freebsd.org/showthread.php?t=2460 [2] http://forum.lissyara.su/viewtopic.php?f=8t=15835#p152225 [3] http://www.myoguz.info/2008/10/17/freebsd-7x-kernel-nat/ [4] http://www.rnp.br/newsgen/0011/ftp-passivo.html#ng-3-2 Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] pfsense: problemas de acesso
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Senhores, após configurar o pfsense para fazer NAT (apenas outbound) este , o NAT, funciona. Porém somente em alguns sites. As regras em anexo. Entretanto, não acesso o site dos clientes, tão pouco a partir do próprio servidor. Alguns exemplos não acessados: www.uol.com.br www.yahoo.com.br gdk.thegamecreators.com Entre outros. Alguma luz? Obrigado P.S.: Tentando essas regras, o problema persiste. nat on re0 from any to any - (re0) pass quick on re0 all keep state pass quick on xl0 all keep state falow -BEGIN PGP SIGNATURE- Version: GnuPG v2.0.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iEYEARECAAYFAkoS95gACgkQ35zeJy7JhCgr7wCeLWyX0/qlZAqSL1ddo+D9Xd2v OtEAn2xG4C4qPXCL36vaf1BLz7Vlsudy =y043 -END PGP SIGNATURE- - Olá Zhu Sha Zang! Cara, este seu problema está muito parecido com double natting (quando há um nat atrás de outro nat, ex: servidor atrás de ADSL). Contornei isso mudando o MTU da interface externa do FreeBSD para 1450, pois, se diferente disso (como 1500), seus usuários não vão conseguir fazer upload de arquivos para o Hotmail, Yahoo e autenticação em HTTPS. No underground (.dk, .ru, .pl) os caras estão usando 1300. Segundo o que lembro, o 1300 é para não ir contra uma das RFCs de IPv6 que define o MTU mínimo em 1280. Posso estar totalmente enganado quanto à exatidão do problema, mas que funciona, funciona! Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] FreeBSD + Cisco ISL (InterLink Switch)
[snip] o desempenho não é ótimo, pelo menos da placa que testei aqui, mas podes usar usb ethernet ? uso mas não em ambiente profissional. matheus [snip] Olá Matheus! Como descrito na mensagem original, este cliente é relutante em comprar qualquer outro equipamento. Minha saída, pelo que vejo, é portar o exemplo de Michael R. Brumm para FreeBSD 6.x e 7.x. De qualquer forma, fiquei interessado nesta interface USB/Ethernet, por menos eficiente que seja. Pode nos informar fabricante, modelo e onde comprar? :) Muito grato. Trober - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] FreeBSD + Cisco ISL (InterLink Switch)
se o seu switch suportar a vlan tudo deve funcionar normal eu uso um esquema parecido com um sw 29xx mas com placas quad [snip] Olá Renato! Agradeço seu retorno. Realmente, na série 29xx é muito mais tranquilo[1][2], e com uma placa quadport então, dispensa comentários :D Nas garimpadas que fiz, concluí que o switch Cisco 1912, seja na versão Standard ou Enterprise, suporta VLAN nas 12 interfaces ethernet, mas só faz trunking com outro switch com ISL implementado (somente na FastEthernet 26 e 27). A idéia era conectar o FreeBSD (como ISL edge) na f0/26 ou na f0/27 justamente por ser 100, contra as 12 portas 10. O jeito, neste adverso cenário, é partir para netgraph, já que tantas limitações me foram impostas pelo cliente. Alguém demonstra um exemplo contemporâneo (leia-se 6.x 7.x) de uso de netgraph, para múltiplos links externos, na mesma interface física? :) Novamente grato. [1] http://www.expresshosting.net/howto/VLAN-802.1q-Tagging-in-FreeBSD-For-Rate-Limiting-and-Firewalling.html [2] http://www.monkeybrains.net/~rudy/example/device_vlan.html Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] FreeBSD + Cisco ISL (InterLink Switch)
Olá a todos. Apresento o diagrama abaixo, com a intenção de obter a opinião dos colegas da lista. LINK1 LINK2 LINK3 128 256 512 | | | | | | -e01---e02---e03- || | Switch Cisco 1912A | || ---f26--- | | ---xl0--- || | FreeBSD 6.4 Stable| || ---xl1--- | | | Rede Interna A idéia inicial era fazer um trunking entre o Cisco Catalyst 1912A e o FreeBSD. Cada link externo estará numa VLAN, e o FreeBSD no trunking, tendo contato com cada link, e os links não tendo contato entre si. No Switch: Interface e0/1 na VLAN11. Interface e0/2 na VLAN12. Interface e0/3 na VLAN13. Interface e0/26 trunk on. No FreeBSD: Instanciar interfaces virtuais (tendo xl0 como parent) para cada link. Tudo parecia ir muito bem, até eu levantar as limitações do switch Cisco 1912A. O diagrama (ASCII) acima é totalmente passível de execução[1], se usado um switch Cisco 2950, 6500 ou qualquer outro switch CNE[2]. Acontece que o switch Cisco 1912A não tem o protocolo 802.1q totalmente implementando[3], dispondo para trunking o protocolo ISL (InterSwitch Link). Segundo Mosfët[4], é possível fazer o FreeBSD conversar como ISL. Tendo isso, e considerando que: a) O cliente não trocará a placa-mãe por outra com mais slots PCIs livres. b) O cliente não utilizará placa de rede quadport (tipo uma D-Link DFE580TX). c) O cliente não comprará um novo switch. As alternativas são: 1) Conseguir um exemplo de netgraph similar ao de Michael R. Brumm[5], porém que funcione no FreeBSD 6 e 7, e não só no 4.x. 2) Atualizar o firmware (se ainda existir) do Cisco 1912A, para suportar 802.1q. 3) Esperar que Mosfët[4] cumpra a promessa feita em 2004 :P Como sempre, serei muito grato pela opinião de vocês :) [1] http://www.monkeybrains.net/~rudy/example/device_vlan.html [2] Chuck Norris Edition [3] http://www.2000trainers.com/cisco-ccna-03/configuring-switch-isl-trunk-links/ [4] http://www.velocityreviews.com/forums/t35062-freebsd-45-isl-.html [5] http://www.michaelbrumm.com/how-to-aggregate-bandwidth.html Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Kylin = 99,45% de FreeBSD?
Olá a todos. Notícias curiosas do outro lado do mundo... China has developed more secure operating software [...] to make Beijing's networks impenetrable to U.S. military [...]. The secure operating system, known as Kylin, [...] China's government is preparing to wage cyberwarfare with the United States. http://washingtontimes.com/news/2009/may/12/china-bolsters-for-cyber-arms-race-with-us/ Agora a parte realmente interessante... A similaridade de 99,45% entre o código do Kylin e FreeBSD 5.3!!! http://128.100.171.10/modules.php?op=modloadname=Newsfile=articlesid=2309 Análise comparativa de semelhança do kernel entre ambos http://dancefire.org/article/Kernel_Similarity_Analysis.html Mais um pouco aqui... (?) http://bbs.laxjyj.com/read.php?tid=30029 - Créditos: InfowarMonitor, aviramj, stiennon e cyberwar - Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] No shell compila mas no script não comp ila
Olá! Já ví comportamentos semelhantes em outras situações, em que era necessário explicitar shebang[1] e/ou atribuir caminhos completos para executáveis (/usr/bin/cc ; /bin/dd etc). Mesma regra vale para script chamados via cron. [1] http://www.in-ulm.de/~mascheck/various/shebang/ Saudações, Trober - - - - - Por que diabos o comando gfortran43 -o conftest -L/usr/local/lib conftest.c -lamd -lcblas -lf77blas -latlas -lm retorna: /usr/local/lib/libf77blas.so: undefined reference to `_gfortran_st_write' /usr/local/lib/libf77blas.so: undefined reference to `_gfortran_transfer_character' /usr/local/lib/libf77blas.so: undefined reference to `_gfortran_st_write_done' /usr/local/lib/libf77blas.so: undefined reference to `_gfortran_transfer_integer' /usr/local/lib/libf77blas.so: undefined reference to `_gfortran_stop_numeric' quando executado dentro de um script configure mas funciona quando executo em um shell? Sem mudar nada!!! Obrigado... - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ferramentas para Monitoramento de Redes
Olá! Há no mercado empresas que prestam serviço de gateway SMS. O disparo das mensagens SMS pode ser por correio eletrônico (convertido para SMS), arquivo pré-formatado via FTP (convertido para SMS), ou outra opção, que recebe POST HTTP (tipo WebService, com request do outro lado convertido para SMS). Outra vantagem é a economia, pois compram em grande quantidade (acredito que em leilões públicos) o tráfego de SMS, conseguindo valores por mensagem que raros planos para celular dariam. Alguns julgam como desvantagem a compra míninma de 600 mensagens por trimestre. Mas dependendo do caso, o cara torra isso em 30 dias. Se não houver problema em relação às políticas de conduta da lista, eu informo os nomes das empresas. Caso contrário, PVT. Grande abraço, Trober - - - - - Gostaria de saber se tem como me enviar esse script de mandar SMS, estou a procura a muito tempo.[2] [SNIP] [...] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ferramentas para Monitoramento de Redes
Olá. Realmente, para quem tem apenas um circuito, ou vários circuitos da mesma operadora, pode, num primeiro momento, parecer inviável a adoção desta solução. Pode-se contornar com uma ação reversa, e o overhead nem é tão alto para desenvolver. Esta ação consiste em um site (externo) rodar um WebServices[B] que recebe a cada curto intervalo de tempo uma informação do servidor[A], do tipo tô ligado. Se o seu WebServices[B] não receber a informação tô ligado naquela janela de tempo esperada, então dispara uma chamada remota para o SMS WebServices[C], informando uma a inoperância do servidor[A]. Agora, se o seu servidor[A] enviou com sucesso mensagem para o seu WebServices[B], este por sua vez compilará um agrupamento de informações, e enviará, por exemplo, a cada 12 horas, um sumário do bom comportamento. Servidor[A] --- WebServices[B]--- SMS WebServices[C] Enfim, passível de contorno :) Saudações, Trober - - - - Olá! Há no mercado empresas que prestam serviço de gateway SMS. O disparo das mensagens SMS pode ser por correio eletrônico (convertido para SMS), arquivo pré-formatado via FTP (convertido para SMS), ou outra opção, que recebe POST HTTP (tipo WebService, com request do outro lado convertido para SMS). Se o link cair nada adianta mandar SMS via web. - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - Sequência de PIPE e QUEUE
Olá a todos. Conforme prometido, fiz o teste atribuindo ao debug.mpsafenet o valor zero, durante a inicialização. Funcionou 100% o controle de banda com pipes não começados em 1, não contíguos, com incremento diferente de 1. O porém recebi na inicialização a mensagem WARNING: MPSAFE network stack disabled, expect reduced performance. Enfim, mais fácil eu mudar os pipenumber para começarem em 1, contíguos, com incremento de 1, do que conviver com uma possível redução de desempenho. Resumindo, não resolveu. Saudações. Trober - - - - - Olá! ASSUNTO 1: [SNIP] ASSUNTO 2: Tem muita gente lá no underground .sk, .ru, .pl passando pelo mesmo problema com P2P/PIPE/QUEUE. Não compreendo os idiomas, mas vejo que depois de alguém escrever debug.mpsafenet=0, aparece várias respostas com smilles sorridentes, hehehe. Testarei isso no meu /boot/loader.conf (já que é read-only em tempo de execução), e assim que puder e reportarei à lista o resultado. Grande abraço, Trober - - - - [SNIP] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - Sequência de PIPE e QUEUE
Olá! ASSUNTO 1: ProxyFull é um nome informal dado para a marcação ZPH (Zero Penalty Hit) dentro do Squid, permitindo que arquivos obtidos do cache sejam entregues em banda completa, e não limitada. Se um usuário da sua rede tem banda de 768kbps, ele obterá do cache o arquivo na máxima velocidade que o meio físico permitir (~100mbps, na maioria dos casos wired). Quando um arquivo é obtido do disco (TCP_HIT) ou da memória do Squid (TCP_MEM_HIT), um flag de TOS (Type of Service) é atribuído pelo ZPH. No seu controle de banda, você limitará banda para tudo, exceto para quem tiver a marcação TOS na porta 80, marcada pelo Squid/ZPH ;) Se for IPFW, use not iptos mincost na regra de controle de banda. Tenho vários cenários em produção com este recurso, um deles até comentado aqui na lista[1]. [1] http://www.fug.com.br/historico/html/freebsd/2009-01/msg00661.html ASSUNTO 2: Tem muita gente lá no underground .sk, .ru, .pl passando pelo mesmo problema com P2P/PIPE/QUEUE. Não compreendo os idiomas, mas vejo que depois de alguém escrever debug.mpsafenet=0, aparece várias respostas com smilles sorridentes, hehehe. Testarei isso no meu /boot/loader.conf (já que é read-only em tempo de execução), e assim que puder e reportarei à lista o resultado. Grande abraço, Trober - - - - Desculpem a ignorancia e a pergunta off-topic, mas o quem vem a ser um proxy full ? Trabalho com squid há uns 5 anos e confesso que nunca ouvi essa expressão fora dessa lista... -- To err is human, to blame it on somebody else shows management potential. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - Sequência de PIPE e QUEUE
Olá Welkson :) Agradeço seu retorno. Fiz a lição de casa antes de perguntar aqui, hehe. Garimpei por várias horas a lista freebsd-ipfw[1]. Inclusive, fiquei decepcionado em ler o próprio Luigi Rizzo reclamando das falhas de documentação[2] do IPFW e nada ter sido feito, de 2003 até agora, para corrigirem o man pages. A questão apresentada deixou de ser uma dúvida, e está evidente, conforme meus testes, como fato. Número de pipe (não confundam com rulesets) quando fora de sequência crescente, começando em 1, contíguo, com incremento de 1, não funciona com P2P, conforme exemplo abaixo. ipfw add 6005 pipe 6005 ... ipfw add 6010 pipe 6010 ... ipfw add 6015 pipe 6015 ... ipfw add 6020 pipe 6020 ... O exemplo acima não funciona adequadamente, seja começando em 10, 100, 200. Se não for criado em sequência crescente, começando em 1, contíguo, com incremento de 1, não funciona. Para simples download, navegação, e coisas básicas até funciona. Agora, quando o assunto é P2P, com sockets maliciosamente escritos, não funciona o controle de banda, e o usuário feliz da vida baixa torrent à 3mbps, quando deveria ser 256kbps. Sei que já me disseram que o IPFW analisa o datagrama, independente do conteúdo, mas, por algum motivo oculto (de consequência evidente), a ordem dos pipes faz diferença. A prova disso é que a regra abaixo, funciona: ipfw add 6005 pipe 1... ipfw add 6010 pipe 2... ipfw add 6015 pipe 3... ipfw add 6020 pipe 4... Só para constar, qualquer regra minha, exceto controle de banda, começa em 2. O meu problema já resolvi, é só começar numeração de pipe em sequência crescente, começando em 1, contíguo, com incremento de 1. A questão é ter o aval de mais alguém, não para que seja corrigido, mas para que seja documentada esta feature (se é que dá para chamar assim). Novamente grato, Trober - - - - - [1] http://lists.freebsd.org/pipermail/freebsd-ipfw/ [2] http://lists.freebsd.org/mailman/htdig/freebsd-ipfw/2003-October/000547.html Trober escreveu: [SNIP] Trober, Acho que esse nível de teste seria interessante reportar na lista freebsd-ipfw... o próprio Luigi Rizzo pode responder =) Se mestre Patrick tiver um tempo, pode comentar por aqui também. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes welk...@focusautomacao.com.br [SNIP] - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] IPFW - Sequência de PIPE e QUEUE
Olá a todos.
Observo que na maioria dos exemplos que rolam por aí referente à
utilização do IPFW para controle de banda utilizam pipe 1, pipe 2,
pipe 3, sempre em sequência, começando em 1, contíguos, sem intervalos
(1,2,3,4,5,6,...).
Fiz um sistema de gestão de firewall, em que os rulesets de 6000 até 1
são destinados ao controle banda. Para um controle mais fácil (adição,
edição, exclusão) o número do pipe (pipe_nr) e do queue são iguais ao do
ruleset.
Por exemplo (parcial):
VARRULESTART tem valor inicial de 6000 e VARRULEGROWN é igual a 5,
incrementando a cada cliente (linha) que leio de um arquivo texto.
# Download Rules
VARRULESTART=$((VARRULESTART+$VARRULEGROWN))
$fz pipe $VARRULESTART config bw ${varBWDOWN}Kbit/s mask dst-ip
0x
$fz queue $VARRULESTART config pipe $VARRULESTART
$fz add $VARRULESTART queue $VARRULESTART all from any to $varBWIP
# Upload Rules
VARRULESTART=$((VARRULESTART+$VARRULEGROWN))
$fz pipe $VARRULESTART config bw ${varBWUP}Kbit/s mask src-ip 0x
$fz queue $VARRULESTART config pipe $VARRULESTART
$fz add $VARRULESTART queue $VARRULESTART all from $varBWIP to any
Meu arquivo texto tem o seguinte formato:
STATE IPADDRESS MAC DOWN UP HOSTNAME PROxYFULL
on192.168.20.2 aa:bb:cc:dd:ee:f1 256 128 georgeyes
on192.168.20.6 aa:bb:cc:dd:ee:f2 256 128 john no
on192.168.20.10 aa:bb:cc:dd:ee:f3 256 128 paul yes
on192.168.20.14 aa:bb:cc:dd:ee:f4 256 128 ringo yes
Se o valor de VARRULESTART for igual a 0, com incremento de 1, os pipes e
queues atuam perfeitamente em programas de P2P.
Concluí, que o problema reportado em minha mensagem[1] sobre a anomalia do
IPFW não estava relacionada à mascara[2], e sim aos seguintes fatos:
1) O IPFW aceita para pipe e queue qualquer inteiro positivo entre 1 e
65535, porém, desgraçadamente, em ordem, começando em um, contíguo, sem
intervalo.
2) Não há documentação sobre a ordem de inserção de pipes e queues quanto
à numeração (já li quase tudo que Luigi Rizzo escreveu sobre IPFW e nada).
3) Esse comportamento está evidente, ao meu ver, em ipfw2.c, onde o número
do pipe é o mesmo número da posição na pilha, não deixando o administrador
escolher manualmente o número pipe (até deixa, mas dá nessa bagunça toda).
Quem concorda? Quem descorda? De forma alguma quero criar flames, e sim,
obter a opinião de vocês, pois se for procedente, temos aí um caso omisso
na documentação do IPFW; e sistemas como WARTA e SnowDog Firewall com
regras tortas.
Saudações,
Trober
-
-
-
-
-
[1] http://www.fug.com.br/historico/html/freebsd/2009-04/msg00488.html
[2] http://www.fug.com.br/historico/html/freebsd/2009-04/msg00518.html
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: RES: IPFW, protocolos obscuros, protocolos criptografados etc.
Olá a todos. Resolvido o problema! Atribuí máscara e funcionou lindamente :D O meu sistema de controle de banda tem bases no WARTA Project, e funcionou muito bem por muito tempo, até apresentar o comportamento adverso / anômalo / inadequado / (qualquer outro adjetivo) em relação aos P2P. Pela madrugada fiz testes com BitTorrent, uTorrent, FDM, eMule, Kazaa, Limewire e funcionou 100% o controle de banda ;) A dúvida que ficou é a razão de alguns criarem a regra para depois criarem o pipe. Se John Venn e eu não estivermos errados, a precedência e a pertinência deveriam ser obedecidas. Vejo, por aí, muitos exemplos (estranhos), assim: #Download ipfw add 1001 pipe 1 all from any to $varIP ipfw pipe 1 config bw 256Kbit/s mask dst-ip 0x Na minha lógica, se vou criar um regra associada a um pipe, este deve existir ANTES da atribuição, conforme abaixo: #Download ipfw pipe 1 config bw 256Kbit/s mask dst-ip 0x ipfw add 1001 pipe 1 all from any to $varIP Então, John Venn revirou-se no caixão ou não? hehe Para finalizar, meus agradecimentos a todos aqueles que diretamente ou indiretamente ajudaram na resolução. Grande abraço a todos. Saudações, Trober - - - - - Trober, Você não pode colocar o emule dentro da limitação do cliente? Ex, limitá-lo a 100k, indiferente se ele usa WEB,FTP ou P2P? Se puder, um 'ipfw add pipe X all from IP_CLIENTE to any'(e a volta) funciona. Se não puder, creio que a única solução seria: Ipfw add pipe X all from IP_CLIENTE 1024-65535 to any 1024-65535... mas isto pegaria outros programas legítimos que usam porta alta, MSN, TSCLIENT, CITRIX, OPENVPN. -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Trober Enviada em: domingo, 19 de abril de 2009 00:56 Para: FUG-BR Assunto: Re: [FUG-BR] RES: IPFW, protocolos obscuros, protocolos criptografados etc. Olá Welkson. Isso mesmo! Tudo perfeitamente controlado em 256kbps, mas BitTorrent, eMule, uTorrent estourando em quase 3mbps. Li seu tópico sobre o Orbit, e tem bastante similaridade com a anomalia que apresentei. Farei testes agora durante a madrugada, e reportarei o resultado assim que solucionado. A idéia também é de não bloquear P2P, mas colocar rédeas na mulinha do eMule e seus amigos vorazes :) Olá Renato. Em relação ao ipfw-classifyd, até onde sei (talvez por engano), ainda há limitações com tratamento de obfuscações e encriptações. Supondo que o RC4 ou qualquer outro algoritmo criptográfico usado em P2P seja quebrado, mesmo que somente em cada início de sessão ao invés de cada pacote trafegado, seria, computacionalmente falando, muito oneroso, principalmente se considerados fatores como limitações dos computadores contemporâneos e realidade financeira. Aos demais. Espero tão logo escrever no título da mensagem o tal do resolvido :P Grande abraço a todos. Saudações, Trober - - - - - Renato Frederick escreveu: Na regra IPFW você usa como? Eu uso assim: pipe 111 ip from 172.16.20.6 to any in pipe 112 ip from any to 172.16.20.7 out isto funciona indiferente de obfuscacao ou não, já que ele continua usar datagrama IP. :) a obfuscacao vai deixar de funcionar se você utilizar algo L7 para fazer shapping ou usar range de portas. Neste caso, tem que partir para solução comercial mesmo, snort e afins não estão a par do tipo de protocolo usado pela obfuscacao ainda. -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Trober Enviada em: sábado, 18 de abril de 2009 14:55 Para: FUG-BR Assunto: Re: [FUG-BR] IPFW, protocolos obscuros, protocolos criptografados etc. Olá Lauro :) Grato pelo retorno. Muito boa sua sugestão, mas, por enquanto, o objetivo é manter o FreeBSD, adotando uma solução não-comercial. Caso o IPFW se mostre incapaz de cumprir o propósito de controlar banda de protocolos obscuros e criptografados, partirei para algo comercial. Novamente agradeço sua sugestão. Grande abraço, Trober - - - - www.hostcert.com.br Esse sistema faz o controle de trafego diferente, não utiliza ipfw. Ele segura 100% esses casos. 2009/4/18 Trober tro...@trober.com Prezados, Exponho um cenário anômalo, e serei grato pela opinião de vocês. Atendo um condomínio residencial que fornece internet gratuitamente aos moradores. Cada morador, ao assinar o contrato com o condomínio, opta por informar o endereço físico (MAC) do computador, caso queira internet. As concessões, negações e limitações dos recursos de rede são gerenciadas por um servidor FreeBSD 6.4 (Stable), atuando como proxy transparente (Squid), roteador e controle e banda (IPFW). Tudo funcionava perfeitamente, principalmente na questão de controle de banda. Porém, conforme descreve
[FUG-BR] IPFW, protocolos obscuros, protocolos criptografados etc.
Prezados, Exponho um cenário anômalo, e serei grato pela opinião de vocês. Atendo um condomínio residencial que fornece internet gratuitamente aos moradores. Cada morador, ao assinar o contrato com o condomínio, opta por informar o endereço físico (MAC) do computador, caso queira internet. As concessões, negações e limitações dos recursos de rede são gerenciadas por um servidor FreeBSD 6.4 (Stable), atuando como proxy transparente (Squid), roteador e controle e banda (IPFW). Tudo funcionava perfeitamente, principalmente na questão de controle de banda. Porém, conforme descreve Okamoto e seus colegas[1], há bibliotecas de aplicações P2P mais eficazes em TCP do que UDP (inclusive 7x mais rápidas!). Os desenvolvedores de aplicações P2P perceberam isso e, aos poucos, estão abandonando o UDP, principalmente, devido ao fato de muitos administratores fecharem todas as portas UDP, exceto 53,67,68 e 123. Somado a isso, o eMule[2], há algum tempo, dispõe de um recurso chamado Obfuscation Protocol[3], que não era habilitado por padrão, ficando a critério do usuário habilitá-lo. Para completar o estrago, agora essa opção é padrão, e o BitTorrent[4] também entrou na onda da obfuscação[5]. Aqui começa a anomalia: Neste condomínio tem um morador com 256/128kbps de banda (download e upload, respectivamente). Para todas as aplicações que ele usa, o controle de banda é obedecido perfeitamente, exceto para eMule[2] e BitTorrent[4], aplicações que transferem dados em taxas quase 10 vezes maiores. O controle de banda está declarado/numerado no começo das regras, com one_pass desabilitado, tendo abaixo o desvio (fwd) do proxy transparente, desvio (skipto) do PrivateWire (Conectividade Social), divert de entrada, regras statefull e divert de saída. Sendo assim, agradeço novamente a opinião de vocês sobre quais as regras mais adequada para controlar essas aplicações e seus protocolos obscuros. [1] http://www2.lifl.fr/MAP/negst/secondWorkshop/slidesSecondWorkshopNegst/TakayukiOkamoto.ppt [2] http://www.emule-project.net [3] http://wiki.emule-web.de/index.php/Protocol_obfuscation [4] http://www.bittorrent.com [5] http://torrentfreak.com/how-to-encrypt-bittorrent-traffic/ Grande abraço a todos, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW, protocolos obscuros, protocolos criptografados etc.
Olá Lauro :) Grato pelo retorno. Muito boa sua sugestão, mas, por enquanto, o objetivo é manter o FreeBSD, adotando uma solução não-comercial. Caso o IPFW se mostre incapaz de cumprir o propósito de controlar banda de protocolos obscuros e criptografados, partirei para algo comercial. Novamente agradeço sua sugestão. Grande abraço, Trober - - - - www.hostcert.com.br Esse sistema faz o controle de trafego diferente, não utiliza ipfw. Ele segura 100% esses casos. 2009/4/18 Trober tro...@trober.com Prezados, Exponho um cenário anômalo, e serei grato pela opinião de vocês. Atendo um condomínio residencial que fornece internet gratuitamente aos moradores. Cada morador, ao assinar o contrato com o condomínio, opta por informar o endereço físico (MAC) do computador, caso queira internet. As concessões, negações e limitações dos recursos de rede são gerenciadas por um servidor FreeBSD 6.4 (Stable), atuando como proxy transparente (Squid), roteador e controle e banda (IPFW). Tudo funcionava perfeitamente, principalmente na questão de controle de banda. Porém, conforme descreve Okamoto e seus colegas[1], há bibliotecas de aplicações P2P mais eficazes em TCP do que UDP (inclusive 7x mais rápidas!). Os desenvolvedores de aplicações P2P perceberam isso e, aos poucos, estão abandonando o UDP, principalmente, devido ao fato de muitos administratores fecharem todas as portas UDP, exceto 53,67,68 e 123. Somado a isso, o eMule[2], há algum tempo, dispõe de um recurso chamado Obfuscation Protocol[3], que não era habilitado por padrão, ficando a critério do usuário habilitá-lo. Para completar o estrago, agora essa opção é padrão, e o BitTorrent[4] também entrou na onda da obfuscação[5]. Aqui começa a anomalia: Neste condomínio tem um morador com 256/128kbps de banda (download e upload, respectivamente). Para todas as aplicações que ele usa, o controle de banda é obedecido perfeitamente, exceto para eMule[2] e BitTorrent[4], aplicações que transferem dados em taxas quase 10 vezes maiores. O controle de banda está declarado/numerado no começo das regras, com one_pass desabilitado, tendo abaixo o desvio (fwd) do proxy transparente, desvio (skipto) do PrivateWire (Conectividade Social), divert de entrada, regras statefull e divert de saída. Sendo assim, agradeço novamente a opinião de vocês sobre quais as regras mais adequada para controlar essas aplicações e seus protocolos obscuros. [1] http://www2.lifl.fr/MAP/negst/secondWorkshop/slidesSecondWorkshopNegst/TakayukiOkamoto.ppt [2] http://www.emule-project.net [3] http://wiki.emule-web.de/index.php/Protocol_obfuscation [4] http://www.bittorrent.com [5] http://torrentfreak.com/how-to-encrypt-bittorrent-traffic/ Grande abraço a todos, Trober - - - - - - -- Lauro Cesar de Oliveira http://www.gurulinux.blog.br Hack to learn not learn to hack. - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [BBUG] - Opa (OFF-TOPIC)
Olá Reginaldo :) Acredito que o problema não está no Samba, mas no conjunto. Atuei num problema similar, mas não apresentava falha na adição ao domínio, e sim, no logoff/shutdown da estação Windows. Estávamos usando perfil ambulante (roaming profile), e o tempo de sincronização dos arquivos das estações com o servidor de arquivos (neste caso, o Samba) era maior que o timeout do logoff/shutdown. Isto ocorria devido ao elevado número de arquivos grandes dentro do perfil ambulante. No seu caso, vejo uma compartilhamento chamado engenharia. Suponho que lá estão gigantescos arquivos .DWG, hehe. O problema se agravava no cenário vivenciado em dois momentos: 8h e 18h, quando as 257 estações, divididas em 9 andares, eram ligadas e desligadas, respectivamente, no começo da manhã e final da tarde. Encontrei a solução no Knowledge Base da Microsoft, onde há documentado procedimento para aumentar o limite de timeout de finalização da sessão. Também instalei o Microsoft User Profile Hive Cleanup Service[1] nas estações. Este cara vai garantir que conexões instanciadas com o registro sejam finalizadas no tempo certo e da forma correta ;) [1] http://www.microsoft.com/downloads/details.aspx?FamilyId=1B286E6D-8912-4E18-B570-42470E2F3582displaylang=en Espero ter ajudado. Aos demais, fica o pedido de desculpas pela mensagem fora de contexto. Grande abraço, Trober - - - - - Boa noite a todos. Estou tento um problema com o samba 3.2. Quando vou adicionar usuario do dominio no computador, depois de coloca-lo no dominio, ocorre o seguinte erro na estação Windows: Desligamento do Sistema O sistema esta sendo desligado. Salve os trabalhos em andamento e faça logoff. As alterações não salvas, serão perdidas. Esta ação foi iniciado por autirdade NT/System. O processo do sistema c:\windows\system\lsass.exe terninou inesperadamente com o dcodio de status: 1073741819. O sistema será desligado e reiniciado. Já procurei no google e anda. *Sobre o servidor:* Freebsd 7 Samba 3.2 Widows XP pro *Copia do smb.conf* * *[global] workgroup = RISCHB netbios name = STORAGE passdb backend = tdbsam os level = 33 prefered master = Yes domain master = Yes local master = yes security = user domain logons = Yes logon path = \\%N\profiles\%u logon script = logon.cmd admin users = suporte log file = /var/log/samba/log.%m #log level = 3 passdb:5 auth:10 winbind:2 max log size = 5000 #[homes] #comment = Home Directories #valid users = %S #read only = No #browseable = No [netlogon] comment = Network Logon Service path = /var/lib/samba/netlogon admin users = root, suporte read only = No browseable = No [profiles] comment = Roaming profile Share path = /var/lib/samba/profiles read only = No create mask = 0600 directory mask = 0700 [engenharia] path = /storage01/engenharia comment = Dep. de Engenharia - Arquivos * * -- Atenciosamente, Reginaldo Filippus Desenvolvedor WEB/Admin. Rede Skype: reginaldo.filippus Blog: http://rfilippus.blogspot.com/ Site: http://www.facilpesquisa.com.br/ Skype: reginaldo.filippus - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] balanceamento de trafego de jail
Olá Fabricio! Acredito que a mensagem http://www.fug.com.br/historico/html/freebsd/2009-02/msg00451.html possa contribuir para sua necessidade. A lógica é muito próxima com a proposta do Wanderson, porém com IPFW. Nesta mensagem descrevo um cenário onde está funcionando o que você deseja implementar. O cliente tem dois links de internet, sendo uma fibra (Copel) e outro um ADSL (BrT/Oi). Com base nos critérios adotados pelo cliente, ele determina o que é produtivo, improdutivo ou neutro. Os destinos produtivos, como bancos, terminais remotos, correio eletrônico, mensageiros instantâneos corporativos, sites militares e governamentais saem pelo link dedicado. Os improdutivos (sites de comunidades, pr0n, *tube, streaming toscos, mensageiros/webmail gratuitos, *share, blablabla) são bloqueados. O restante que não se enquadra em produtivo, nem improdutivo, é neutro, e sai pelo ADSL. Torço para que a solução seja aplicável ao seu caso. Saudações, Trober - - - - - Um cliente lá da nossa empresa tem um firewall com pf. Ele pediu que balancessemos o link dele, que tudo que viesse pelo proxy jogassemo para o velox. Para não afogar o link principal dele. Porém não consegui fazer com que o squid saísse pelo velox, mesmo eu botando o route-to na saída ele obedecia somente a rota default na tabela de roteamento, me parece que o pf só consegue balancear com trafego de entrada. Nossa solução foi montar um servidor squid na rede interna, e usamos o route-to no pass in para rotear a saída. Se alguem tiver solução para isso também, eu agradecia. Obs: Uma coisa que eu pensei, foi marcar o os pacotes. Porém não tive tempo para implementar. Será que funcionaria? Att. 2009/4/11 Wanderson Tinti wander...@bsd.com.br: 2009/4/6 Anderson J. de Souza anjoe...@gmail.com: Ola a todos. Estou com um um probleminha meio simples mas chato pra mim resolver,... Um firewall com 4 placas de rede, dmz, intranet1 intranet2 e internet,.. Alem das minhas redes tenho uma jail com um proxy squid com ip atribuido na dmz ,.. Agora vem o problema,... para a internet tenho 2 links ligados na placa, e como o conteudo da intranet 1 e da intranet 2 passam pelo mesmo proxy ( jail ),. eles saem com o mesmo ip,.. contudo preciso identificar e separar o trafego destas duas redes. Inicialmente estou atribuindo tos pelo proxy para as requisições da intranet 1, contudo não consigo identificar isto para fazer o nat correto. Estas sao minhas regras de saida: pass out quick on net0 route-to (net0 gw0) proto tcp from net0 to any modulate state label OUT $srcaddr ($proto) pass out quick on net0 route-to (net0 gw1) proto tcp from net1 to any modulate state label OUT $srcaddr ($proto) Estas minhas regras de Nat nat on net0 from int0 to any - eip0 nat on net0 from int1 to any - eip1 ### ESTA E A REGRA QUE EU GOSTARIA DE USAR ### ### nat on net0 from dmz0 to any port 80 tos 0x4 - eip1 ### nat on net0 from dmz0 to any port 80 - net0 sticky-address nat on net0 from dmz0 to any - eip0 Se o proxy tiver 2 ips tenho como selecionar pelo ip ,.. mas ai como eu faço pra colocar um alias na minha jail ? -- ___ Anderson J. de Souza - Networking and Security - Boa noite. Se entendi bem, você tem 2 links internet e quer que cada intranet sai por um link, certo? Pensei no seguinte cenario, com 2 placa de rede internet: ext_if1=192.168.1.2 # xl0 ext_if2=192.168.2.2 # xl1 ext_gw1=192.168.1.1 ext_gw2=192.168.2.1 if_intranet1= rede1 if_intranet2= rede2 pf.conf nat on $ext_if1 from $intranet1 to any - $ext_if1 nat on $ext_if2 from $intranet2 to any - $ext_if2 pass in quick on $if_intranet1 route-to ($ext_if1 $ext_gw1) proto tcp from $intranet1 to any flags S/SA keep state pass in quick on $if_intranet2 route-to ($ext_if2 $ext_gw2) proto tcp from $intranet2 to any flags S/SA keep state pass out on $ext_if1 route-to ($ext_if1 $ext_gw1) from $ext_if1 to any keep state pass out on $ext_if2 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state squid.conf acl link1 src intranet1 acl link2 src intranet2 tcp_outgoing_address 192.168.1.2 link1 tcp_outgoing_address 192.168.2.2 link2 É uma dica, infelismente não posso afirmar que vá funcionar, somente testando mesmo. Boa noite a todos. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off??] Most Reliable Hosting Company Sites in March 2009
Acredito que o nível de responsabilidade e consciência de administradores de servidores baseados em Windows aumentou bastante nos últimos anos. Era muito fácil qualquer um se denominar administrador, e disparar cliques em Next, Next, Next e Finish. Há muita documentação da própria Microsoft e terceiros de peso (ESF, NSA, NIST, por exemplo), como Security Plan Guides, Security Checklist, Hardening Steps, sem contar com as ferramentas de diagnóstico e utilitários do Resource Tools e Resource Kits. Longe de ser a perfeição (afinal panacéia não existe!), mas ajuda bastante a tornar o Windão estável (Stratus que o diga). Enfim, há espaço para todos os sistemas operacionais no mercado atual. E como podemos ver, conforme evidencia NetCraft, tem de tudo um pouco no topo da lista, assim como também tem de tudo um pouco na lista do CERT :) Portanto, feliz de quem tem liberdade para escolher que sistema operacional usar no contexto mais adequado ao cenário. No momento, tenho andado com tridente na mão, e conga verde nos pés, haha. PS: Chuck Taylor, sem ofensa por eu chamar Converse de conga! Grande abraço a todos e um bom feriado. Saudações, Trober - - - - - http://news.netcraft.com/archives/2009/04/01/most_reliable_hosting_company_sites_in_march_2009.html http://uptime.netcraft.com/up/today/top.avg.html Na verdade o que eu conhecia (e ainda vejo) é o do longest uptime. Incrivelmente populado por vários Windows. Mas com FreeBSD liderando! -- []´s Helio Loureiro - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Off]Dns estranho
Olá! Em 2001 (ou 2002?) tive um problema similar. Então um colega apresentou-me ao RFC 1982[1], que aborda a serialização do DNS. Segundo ele, era esse o problema. Acertei o serial e funcionou. Falando em RFC, hoje é aniversário de 40 anos[2]. [1] http://www.ietf.org/rfc/rfc1982.txt [2] http://www.nytimes.com/2009/04/07/opinion/07crocker.html Como está a sua serialização? Saudações, Trober - - - - - Qual o dominio? Quem alega que o DNS nao esta mais sendo atualizado? Marcelo 2009/4/7 Daniel Garcia pu2...@gmail.com: Ok Anderson Nesse dia eu fiz a troca o do s.o, mas em relacao ao bind apenas copiei as dbs, aparentemente ocorreu tudo bem, mas ele nao atualiza mais e alguns mxs nao estao mais aceitando emails vindo de meu dominio, alengado que o dns nao é atualizado a mais de 48 horas junto a entidade. Alguma luz ? Grato Em 07/04/09, Anderson Michel a...@srnet.com.br escreveu: Se está com autoridade, então está normal! O status não é atualizado diariamente, o meu está com o status do dia 05/04, OK! Daniel Garcia wrote: Olá Pessoal, Desculpe pelo off, mas estou com um problema meio estranho e nao estou achando nada parecido no historico. Desde sabado (04/04) meu dns parou de atualizar na fapesp status DNS: 04/04/2009 AA último AA: 04/04/2009 O estranho é que quando pesquiso na fapesp ele me retorna autoridade sobre o dominio tanto no master quanto no slave, no entato o dominio nao atualiza mais. Tentei trocar o serial do dominio, mas nao deu certo. Ja estou tento problemas com isso, em relacao ao email... Alguem ja passou por isso ??? Grato - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] converter maquinafreebsd em maquina virtual
Bom dia! Complementando a experiência, também tive sucesso na migração de imagem do VMWare para computador físico, porém usando UDPCast[1]. Estou com planos de implementar no meu FreeBSD PenDrive o port[2] do UDPCast, para não precisar carregar junto o CD (4mb). [1]http://udpcast.linux.lu/ [2]http://www.freebsd.org/cgi/url.cgi?ports/mbone/udpcast/pkg-descr Saudações, Trober - - - - - - Mensagem Original - De: mantunes mantunes.lis...@gmail.com Para: Lista Brasileira de Discussão sobre FreeBSD FUG-BR freebsd@fug.com.br Data: Sexta, 06 De MarçO De 2009 10:23 Assunto: Re: [FUG-BR] converter maquinafreebsd em maquina virtual Ja fiz uma experiência assim porem usando o Vmware. Usei o Acronis Image server.. fiz a gravação da imagem.. depois na maquina virtual fiz sua restauração.. e deu certo.. pelo menos para o FreeBSD. Não sei usando o norton ghost iria funcionar.. o interessante é que o Acronis Funciona com o Vmware.. 2009/3/6 Wanderson Tinti wander...@bsd.com.br: 2009/3/4 diogo diogo1...@gmail.com: prezados amigos eu tenho um freebsd todo configuradinho, queria transformar ele numa maquina virtual xen . alguem poderia me dar uma luz se é possivel fazer isso já vi que é possivel converter em maquina vmware mas quero em servidor rodando xen att diogo Diogo, existem um live-cd ainda beta chamado virt-p2v, segundo as informações do site é possível converte um maquina física para virtual, não tive a oportunidade de testar, verifique e nos informe se realmente funciona. http://et.redhat.com/~rjones/virt-p2v/ Boa noite - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcio Antunes Powered by FreeBSD == * Windows: Where do you want to go tomorrow? * Linux: Where do you want to go today? * FreeBSD: Are you, guys, comming or what? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw forward mais link IP e PPPoE
Salve Joao! :D Passei por algo parecido e quero compartilhar a solução. Vamos supor aqui que sua rota padrão é o link permanente. Também vamos supor que seu Squid está operando em modo transparente. Dentro do seu squid.conf adicione as seguintes linhas: -- ###BOF squid.conf### snip acl mundolahfora dst 0.0.0.0 tcp_outgoing_address IP_da_IF_PPPoE mundolahfora snip ###EOF squid.conf### -- Lá na sua regra de firewall, ANTES do divert de saída, DEPOIS do divert de entrada, adicione a seguinte linha: $fz add fwd $EXT2GW all from $EXT2IP to any via $EXT1IF EXT1IP = IP do link externo 1 (sua conexão permanente) EXT1IF = interface do link externo 1 (sua conexão permanente) EXT2GW = Gateway do ADSL PPPoE (que você pegará por awk ou qualquer outra forma mais mió de bão). -- Bom, monstrei o santo, mas ainda não contei o segredo. Lá vai então. O tcp_outgoing_address vai dizer que tudo que for solicitado ao Squid e sair dele para fora (ACL mundolahfora), sairá pelo IP da interface PPPoE. Tudo bem, só que seu gateway padrão é o link permanente. Para isso, use a regra que redireciona tudo que é destinado ao IP do ADSL (EXT2IP), uma vez que sua rota padrão é o link permanente, mas que está saindo pela placa da conexão permanente (EXTIF), e oriundo do IP respectivo da interface do conexão permanente (EXT2IP). Espero mesmo ter contribuído positivamente. Grande abraço, Trober - Mensagem Original - De: Joao Rocha Braga Filho goffr...@gmail.com Para: Lista Brasileira de Discussão sobre FreeBSD FUG-BR freebsd@fug.com.br Data: Segunda, 23 De Fevereiro De 2009 14:49 Assunto: [FUG-BR] ipfw forward mais link IP e PPPoE Estou com um problema. Eu tenho um link permanente e um ADSL, que não posso colocar o modem como roteador. Eu quero redirecionar todo tráfego de porta 80 para o link ADSL, que está conectando direitinho pelo PPPoE. Eu uso o Squid neste servidor. O problema é como fazer o ipfw forward, ou algum outro meio, funcionar com o PPPoE para desviar para ele o tráfego de porta 80. Ainda não achei nada assim na Internet, mas vou continuar procurando. Grato desde já, João Rocha. -- Sempre se apanha mais com as menores besteiras. Experiência própria. goffr...@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw forward mais link IP e PPPoE
Oi João! :D Que bom que está funcionando! Provavelmente seu cliente de e-mail comeu alguns pedaços da minha mensagem. O meu cliente de e-mail (Tupi Webmail) também me deixou na mão para meu próprio texto :( Siga o link http://www.fug.com.br/historico/html/freebsd/2009-02/msg00451.html e veja minha mensagem sem supressão de textos que originalmente informei, em especial ao que refere-se no contexto tcp_outgoing_address ser válida :) O tcp_outgoing_address recebe como parâmetro o IP da interface do FreeBSD que está conectada no ADSL (PPPoE), seguido do ACL mundolahfora. Supondo que seu IP ADSL seja 200.200.200.1, será esse o parâmetro de tcp_outgoing_address, seguido do ACL mundolahfora. Logo, tudo que sair do Squid (desde que atenda a condição do ACL mundolahfora) sairá pelo ADSL (baseado no forward entre os divert). Grande abraço. Saudações, Trober - Mensagem Original - De: Joao Rocha Braga Filho goffr...@gmail.com Para: Lista Brasileira de Discussão sobre FreeBSD FUG-BR freebsd@fug.com.br Data: Terça, 24 De Fevereiro De 2009 20:09 Assunto: Re: [FUG-BR] ipfw forward mais link IP e PPPoE Eu já consegui, mas está precário. Tenho que acertar muitos detalhes, tal como tornar a reconexão automática. 2009/2/24 Trober tro...@trober.com: Salve Joao! :D Passei por algo parecido e quero compartilhar a solução. Vamos supor aqui que sua rota padrão é o link permanente. Também vamos supor que seu Squid está operando em modo transparente. Dentro do seu squid.conf adicione as seguintes linhas: -- ###BOF squid.conf### snip acl mundolahfora dst 0.0.0.0 tcp_outgoing_address IP_da_IF_PPPoE mundolahfora snip ###EOF squid.conf### -- Que eu saiba, o tcp_outgoing_address só aceita acls de dentro da rede. Lá na sua regra de firewall, ANTES do divert de saída, DEPOIS do divert de entrada, adicione a seguinte linha: $fz add fwd $EXT2GW all from $EXT2IP to any via $EXT1IF EXT1IP = IP do link externo 1 (sua conexão permanente) EXT1IF = interface do link externo 1 (sua conexão permanente) EXT2GW = Gateway do ADSL PPPoE (que você pegará por awk ou qualquer outra forma mais mió de bão). -- Está feito, e para vários links, de diversas fontes. Bom, monstrei o santo, mas ainda não contei o segredo. Lá vai então. O tcp_outgoing_address vai dizer que tudo que for solicitado ao Squid e sair dele para fora (ACL mundolahfora), sairá pelo IP da interface PPPoE. Tudo bem, só que seu gateway padrão é o link permanente. Para isso, use a regra que redireciona tudo que é destinado ao IP do ADSL (EXT2IP), uma vez que sua rota padrão é o link permanente, mas que está saindo pela placa da conexão permanente (EXTIF), e oriundo do IP respectivo da interface do conexão permanente (EXT2IP). Espero mesmo ter contribuído positivamente. Grande abraço, Trober Muito obrigado. Vou tentar fazer scripts para lidar com a reconexão. Abraços, João Rocha. - Mensagem Original - De: Joao Rocha Braga Filho goffr...@gmail.com Para: Lista Brasileira de Discussão sobre FreeBSD FUG-BR freebsd@fug.com.br Data: Segunda, 23 De Fevereiro De 2009 14:49 Assunto: [FUG-BR] ipfw forward mais link IP e PPPoE Estou com um problema. Eu tenho um link permanente e um ADSL, que não posso colocar o modem como roteador. Eu quero redirecionar todo tráfego de porta 80 para o link ADSL, que está conectando direitinho pelo PPPoE. Eu uso o Squid neste servidor. O problema é como fazer o ipfw forward, ou algum outro meio, funcionar com o PPPoE para desviar para ele o tráfego de porta 80. Ainda não achei nada assim na Internet, mas vou continuar procurando. Grato desde já, João Rocha. -- Sempre se apanha mais com as menores besteiras. Experiência própria. goffr...@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. goffr...@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw regra sumindo
Olá Tiago! Já vi casos similares de regras sumirem, quando usando punch_fw no NATd. Caso existente, informe o os parâmetros aaa:bbb na linha punch_fw e também o parâmetro (boolean) de use_sockets no seu /etc/natd.conf. No punch_fw, o primeiro parâmetro (aaa) é a regra inicial, e o segundo parâmetro (bbb) é o tamanho da faixas de regras do IPFW. Tais regras serão dinamicamente criadas, conservadas e destruídas (hummm... reflexão sobre Beastie, Shiva e Netuno), possibilitando acesso a servidores FTP, DCC e outros. Grande abraço, Trober - - - - - - Mensagem Original - De: Tiago H. Pires listasfo...@terra.com.br Para: freebsd@fug.com.br Data: Quinta, 12 De Fevereiro De 2009 10:48 Assunto: [FUG-BR] Ipfw regra sumindo Bom dia! Prezados estou enfrentando um problema com ipfw. Tenho um script de firewall que uso a vários meses e está acontecendo o seguinte problema hoje em um especifico servidor: Tenho a seguinte regras dentro do script: ipfw add -q allow tcp from any to any established Sempre ela fica com o nr de regra 700. Quando dou um ipfw show após iniciar o script ela está lá. Depois de um tempo recebo reclamações que algo de estranho está acontecendo com as conexões com esse servidor. Executo o ipfw show e a regra 700 não está lá e as outras estão. Não sei o que acontece, mas peço ajuda do que pode estar acontecendo. att Tiago Pires - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Squid: bloquear tudo e liberar só sit es governamentais para alguns usuários!!!
Olá Rodrigo. A negação é mais forte que a concessão, pois a negação é multiplicação por zero, no array exponencial de permissões. Acredito que o ideal, no seu caso, é criar um terceiro arquivo (governamental.txt), contendo sufixos: ---BOF-- .edu.br .gov.br .mil.br ---EOF-- O ACL ficará algo como: ---BOF-- acl dom_governamental dstdomain -i /blablabla/governamental.txt ---EOF-- Observe o exemplo do manual do Squid[1] (How do I implement an ACL ban list?), em que as expressões cooking e recipe são negadas em qualquer parte do URL (por meio dos ACLs Cooking1 e Recipe1, respectivamente), mas todo o resto é concedido para myclients (faixa 172.16.5.0/24). ---BOF-- acl Cooking1 url_regex cooking acl Recipe1 url_regex recipe acl myclients src 172.16.5.0/24 http_access deny Cooking1 http_access deny Recipe1 http_access allow myclients http_access deny all ---EOF-- Você pode adotar a mesma ordem do exemplo (estou desconsiderando outras ACL que você ja tem em sequência desconhecida). 1) Definir ACL de domínio de destino (dstdomain), referente aos domínios governamentais. 2) Definir ACL de IP de origem, referente às estações que terão tudo negado, exceto governamental. 3) Conceder acesso às estações locais permissionárias de acesso aos destinos governamentais. 4) Negar todo o resto para estas estações locais que receberam a concessão acima. [1] http://wiki.squid-cache.org/SquidFaq/SquidAcl#line-124 Acredito que estes procedimentos o ajudarão na solução do problema. Grande abraço, Trober - - - - - - - Mensagem Original - De: Rodrigo diga...@yahoo.com.br Para: squid...@yahoogrupos.com.br Cc: freebsd@fug.com.br Data: Quinta, 05 De Fevereiro De 2009 22:06 Assunto: [FUG-BR] Squid: bloquear tudo e liberar só sites governamentais para alguns usuários!!! Oi amigos da lista, Uso o squid e tenho 2 arquivos: bloqueados e liberados. O liberados constam os sites normais. O bloqueados constam os sites pornográficos, orkut, etc. Essa regra eu utilizo para todos os ip's. Agora, preciso fazer: Como eu faço para eu bloquear TUDO para alguns determinados ip's (apenas alguns usuários), por exemplo... bloquear tudo tudo, até UOL, IG, etc e liberar somente os sites do governo? Aguardo uma ajuda. Abraços!! Veja quais são os assuntos do momento no Yahoo! +Buscados http://br.maisbuscados.yahoo.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Implementando o SPF no DNS Externo
Bom dia a todos! Para verificar meus servidores de DNS uso o OpenSPF[1], concordante com RFC4408[2]. Com o DIG, uso o comando dig TXT dominio.sufixo Acredito que isso o ajudará. No ano de 2006, passei por problemas como Hotmail/MSN (e-mails dos seus clientes sempre caindo em lixo eletrônico) devido à inexistência do apontamento SenderID[3]. Então abri chamado com a equipe do MSN[4] (na época era manual, hoje tem wizard) que, em 48h. adicionaram o domínio do meu cliente como válido e legítimo. Não sei se atualmente há necessidade disso em relação ao Hotmail/MSN, mas fica o relato. [1] http://old.openspf.org/wizard.html [2] http://www.ietf.org/rfc/rfc4408.txt [3] http://www.ietf.org/rfc/rfc4406.txt [4] http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/ Grande abraço, Trober - - - - - - Mensagem Original - De: Ricardo Barroso Perin ricardope...@bsd.com.br Para: Lista Brasileira de Discussão sobre FreeBSD FUG-BR freebsd@fug.com.br Data: Quarta, 04 De Fevereiro De 2009 09:46 Assunto: Re: [FUG-BR] Implementando o SPF no DNS Externo 2009/2/4 Thiago Gomes thiagome...@gmail.com mailIN TXT v=spf1 mx -all Gostaria de saber se a linha TXT está correta para implementar o SPF e como eu faço para testar. A linha está correta. Para testar dig -t TXT [endereco] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] WDS
Olá! Não posso afirmar quanto ao WDS do Mikrotik. Mas quanto ao WDS com WR254, não tive problemas. Vou descrever um dos quatro cenários que montei com WDS. Uma prefeitura, interligando 17 orgãos municipais (postos de saúde, escolas, junta militar, conselho tutelar, ação social etc), separados em 7 edificações distintas, dentro de uma área de 60 km2. A pedido do contratante, me foi pedido ser tênue nos gastos, o que me levou a usar WDS (128bits entre eles), para usar um só access point por edificação. São 85 computadores nessa rede. Cada orgão teu sua distinta faixa /24. E claro, um FreeBSD segurando a turma toda, com controle de banda e full cache proxy (com ZPH+IPTOS, para o que vier com TCP_MEM_HIT ou TCP_HIT do Squid passar diretão). Um problema que percebi, é que se o firmware dos WR254 não for TODOS iguais (mesma versão), dentro do WDS, terá problemas com as requisições dos clientes de DHCP. Como todos estão na mesma versão, funciona redondinho. Não é minha intenção soar pernóstico, mas apenas expor a viabilidade de cenário com WDS :) Grande abraço a todos. Trober tro...@trober.com - - - - - - Mensagem Original - De: Cobausque cobaus...@ig.com.br Para: 'Lista Brasileira de Discussão sobre FreeBSD FUG-BR' freebsd@fug.com.br Data: TerçA, 27 De Janeiro De 2009 13:32 Assunto: [FUG-BR] WDS Pessoal gostaria de uma referencia.. Estou migrando minha rede pra Mikrotik para atender alguns clientes .. mas gostaria de uma referencia sobre montar em WDS esempenho é bom ?? um enlace pequeno e já possuo uma estrutura de servidores em FREEBSD que já estão em funcionamento.. Pra quem usa conseguiria ai uns 8 ful .. eu consigo ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
