Re: [FUG-BR] Duvidas freebsd-update
Valeu !!! Grato. []s JL On Thu, Aug 11, 2016 at 11:00 AM, Vinícius Zavamwrote: > 2016-08-11 10:38 GMT-03:00, João Luis : > > Saudaçoes, > > > > Estou tentando entender o que se passa com o freebsd-update, que a meu > ver > > serve para atualizar o sistema. Ei-las entao : > > > > $ uname -a > > > > FreeBSD Daredevil 10.3-RELEASE-p6 FreeBSD 10.3-RELEASE-p6 #5 r303736: Thu > > Aug 4 09:47:53 AMT 2016 root@Daredevil:/usr/obj/usr/ > src/sys/DAREDEVIL > > i386 > > > > Compilado "a la FreeBSD way" > > > > $ freebsd-version -ku > > 10.3-RELEASE-p6 > > 10.3-RELEASE-p6 > > > > # freebsd-update fetch > > > > ... > > > > The following files will be updated as part of updating to > 10.3-RELEASE-p6: > > > > ... > > > > # freebsd-update install > > Installing updates... done. > > > > $ uname -a > > FreeBSD Daredevil 10.3-RELEASE-p6 FreeBSD 10.3-RELEASE-p6 #5 r303736: Thu > > Aug 4 09:47:53 AMT 2016 root@Daredevil:/usr/obj/usr/ > src/sys/DAREDEVIL > > i386 > > > > $ freebsd-version -ku > > 10.3-RELEASE-p4 > > 10.3-RELEASE-p6 > > > > O freebsd-update fez um downgrade nos arquivos do kernel ??? > > > > Atualizo /usr/src via svn. > > > > Grato > > > > JL > > " Only the GENERIC kernel can be automatically updated by > freebsd-update. If a custom kernel is installed, it will have to be > rebuilt and reinstalled after freebsd-update finishes installing the > updates. However, freebsd-update will detect and update the GENERIC > kernel if /boot/GENERIC exists, even if it is not the current running > kernel of the system. " > > " Note: Always keep a copy of the GENERIC kernel in /boot/GENERIC. It > will be helpful in diagnosing a variety of problems and in performing > version upgrades. Refer to Section 23.2.3.1, “Custom Kernels with > FreeBSD 9.X and Later” for instructions on how to get a copy of the > GENERIC kernel. " > > https://www.freebsd.org/doc/handbook/updating-upgrading-freebsdupdate.html > > > -- > Vinícius Zavam > keybase.io/egypcio/key.asc > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas freebsd-update
2016-08-11 10:38 GMT-03:00, João Luis: > Saudaçoes, > > Estou tentando entender o que se passa com o freebsd-update, que a meu ver > serve para atualizar o sistema. Ei-las entao : > > $ uname -a > > FreeBSD Daredevil 10.3-RELEASE-p6 FreeBSD 10.3-RELEASE-p6 #5 r303736: Thu > Aug 4 09:47:53 AMT 2016 root@Daredevil:/usr/obj/usr/src/sys/DAREDEVIL > i386 > > Compilado "a la FreeBSD way" > > $ freebsd-version -ku > 10.3-RELEASE-p6 > 10.3-RELEASE-p6 > > # freebsd-update fetch > > ... > > The following files will be updated as part of updating to 10.3-RELEASE-p6: > > ... > > # freebsd-update install > Installing updates... done. > > $ uname -a > FreeBSD Daredevil 10.3-RELEASE-p6 FreeBSD 10.3-RELEASE-p6 #5 r303736: Thu > Aug 4 09:47:53 AMT 2016 root@Daredevil:/usr/obj/usr/src/sys/DAREDEVIL > i386 > > $ freebsd-version -ku > 10.3-RELEASE-p4 > 10.3-RELEASE-p6 > > O freebsd-update fez um downgrade nos arquivos do kernel ??? > > Atualizo /usr/src via svn. > > Grato > > JL " Only the GENERIC kernel can be automatically updated by freebsd-update. If a custom kernel is installed, it will have to be rebuilt and reinstalled after freebsd-update finishes installing the updates. However, freebsd-update will detect and update the GENERIC kernel if /boot/GENERIC exists, even if it is not the current running kernel of the system. " " Note: Always keep a copy of the GENERIC kernel in /boot/GENERIC. It will be helpful in diagnosing a variety of problems and in performing version upgrades. Refer to Section 23.2.3.1, “Custom Kernels with FreeBSD 9.X and Later” for instructions on how to get a copy of the GENERIC kernel. " https://www.freebsd.org/doc/handbook/updating-upgrading-freebsdupdate.html -- Vinícius Zavam keybase.io/egypcio/key.asc - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas freebsd 10 + quaggua / zebra
Em 3 de setembro de 2014 17:14, Denis Granato denisgran...@gmail.com escreveu: Boa tarde senhores, Comecei a instalar um servidor com o quaggua hoje e gostaria de saber se alguém chegou a fazer um tutorial do básico. estou no make install clean ainda e paro no seguinte erro Stop. make[2]: stopped in /usr/ports/devel/libdlmalloc *** Error code 1 Poupe seu trabalho e instale o BSDRP. É um pacote FreeBSD + quagga (sem U) + Bird + um monte de outros acessórios. É feito para trabalhar com pendrive ou compact flash. Vale o teste! -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas - ZFS
Em 2013-08-16 6:43, Paulo Henrique - BSDs Brasil escreveu: Saudações, Resolvi entrar na onda dos usuários do ZFS e estou subindo um cluster utilizando ele ( ZFS ) junto com o Hast. Bom como era um tecnologia que li por cima anteriormente tinha meus receios empiricos porem agora que estou brincando um pouco com os pools estou impressionado, gerenciamento de espaço em disco ficou muito mais simples alem de um recurso que o UFS não tem que é a comprensão, UFS perdeu um fã. Um ponto negativo é que ele realmente é bem guloso quanto a memoria, uma maquina com 8G de ram e um zpool de 450Gb o top retorna a informação abaixo para mim. Mem: 36M Active, 261M Inact, 7223M Wired, 88K Cache, 311M Free A menos que eu esteja equivocado mais 7223M de ram foram simplesmente comprometido pelo kernel, como não tenho ainda nenhuma aplicação, estou executando só o FreeBSD o mais limpo possivel isso me deixou um pouco preocupado, cansei de ver esse servidor com 2G a 3G de ram sobrando sobre uma carga pesada de trabalho ( PostgreSQL + Samba + OpenLDAP ) e agora vejo só 311M livres, achei isso estranho e é a primeira duvida, para mim a memoria do nucleo é dinamica e será liberado conforme os serviços vão requisitando ? Alem do que esse é o pool para o sistema, ainda terá um segundo pool de 1TB onde ficará os arquivos os 8 Gb mais será suficiente para o PostgreSQL, Samba e LDAP mais o ZFS ? Na customização do kernel é necessário setar a opção abaixo ? options ROOTDEVNAME=\zfs:system\ Ou não é necessário, basta deixar a configuração do /boot/loader.conf e remover essa linha do kernel? O projeto é para um servidor PDC utilizando o Samba 3.6 com OpenLDAP, e uma das coisas que não se abre mais mão dentro da empresa é criptografar os discos, sempre usei o GELI sobre gmirror, agora sobre o ZFS pelo que pesquisei a ordem é criar o GELI device e depois sobre o device do GELI criar o zpool, contudo será um cluster utilizando sincronização de disco com o Hastd onde presumo que a ordem correta deva ser: 1 - Criar os devices GELI. 2 - Criar os devices Hast. 3 - Criar o Zpool sobre os devices Hast. Estou correto sobre está analise ? Qualquer sugestão ou orientação é bem vinda. Abraços e um ótimo dia para todos. O ZFS tem o habito de sugar a memória, então isso é normal. O que sua a memória é o ARC, e é possível (e recomendado para ter uma super performance) é colocá-lo num HD SSD, assim como o ZIL. Leia esse artigo /blog/2011/02/frequently-asked-questions-about-flash-memory-ssds-and-zfs Para ver as estatística do ZFS, instale o port sysutils/zfs-stats. Eu nunca precisei configurar nada no kernel em relação ao ZFS e para o boot, basta usar a configuração do /boot/loader.conf. Ainda sobre a memória, você pode limitar o espaço do ARC com a variável vfs.zfs.arc_max=2048M no /boot/loader.conf. De uma lida na wiki http://wiki.freebsd.org/ZFSTuningGuide Sobre a ordem dos devices eu não tenho certeza, mas acho que você está certo. Ah, não sei se serve, mas o zfs tem o zfs zend/receive que pode usado para mandar o filesystem direto para outro servidor remoto. Na seção de Howtos do forums.freebsd.org tem um monte de artigos com o ZFS, dê uma procurada lá. Alguns que achei e que podem servir para você: http://forums.freebsd.org/showthread.php?t=38154 http://forums.freebsd.org/showthread.php?t=29639 -- vic choppnerd.com donttrack.us | dontbubble.us - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas - ZFS
On 16/08/2013 10:24, vic wrote: Em 2013-08-16 6:43, Paulo Henrique - BSDs Brasil escreveu: Saudações, Resolvi entrar na onda dos usuários do ZFS e estou subindo um cluster utilizando ele ( ZFS ) junto com o Hast. Bom como era um tecnologia que li por cima anteriormente tinha meus receios empiricos porem agora que estou brincando um pouco com os pools estou impressionado, gerenciamento de espaço em disco ficou muito mais simples alem de um recurso que o UFS não tem que é a comprensão, UFS perdeu um fã. Um ponto negativo é que ele realmente é bem guloso quanto a memoria, uma maquina com 8G de ram e um zpool de 450Gb o top retorna a informação abaixo para mim. Mem: 36M Active, 261M Inact, 7223M Wired, 88K Cache, 311M Free A menos que eu esteja equivocado mais 7223M de ram foram simplesmente comprometido pelo kernel, como não tenho ainda nenhuma aplicação, estou executando só o FreeBSD o mais limpo possivel isso me deixou um pouco preocupado, cansei de ver esse servidor com 2G a 3G de ram sobrando sobre uma carga pesada de trabalho ( PostgreSQL + Samba + OpenLDAP ) e agora vejo só 311M livres, achei isso estranho e é a primeira duvida, para mim a memoria do nucleo é dinamica e será liberado conforme os serviços vão requisitando ? Alem do que esse é o pool para o sistema, ainda terá um segundo pool de 1TB onde ficará os arquivos os 8 Gb mais será suficiente para o PostgreSQL, Samba e LDAP mais o ZFS ? Na customização do kernel é necessário setar a opção abaixo ? options ROOTDEVNAME=\zfs:system\ Ou não é necessário, basta deixar a configuração do /boot/loader.conf e remover essa linha do kernel? O projeto é para um servidor PDC utilizando o Samba 3.6 com OpenLDAP, e uma das coisas que não se abre mais mão dentro da empresa é criptografar os discos, sempre usei o GELI sobre gmirror, agora sobre o ZFS pelo que pesquisei a ordem é criar o GELI device e depois sobre o device do GELI criar o zpool, contudo será um cluster utilizando sincronização de disco com o Hastd onde presumo que a ordem correta deva ser: 1 - Criar os devices GELI. 2 - Criar os devices Hast. 3 - Criar o Zpool sobre os devices Hast. Estou correto sobre está analise ? Qualquer sugestão ou orientação é bem vinda. Abraços e um ótimo dia para todos. O ZFS tem o habito de sugar a memória, então isso é normal. O que sua a memória é o ARC, e é possível (e recomendado para ter uma super performance) é colocá-lo num HD SSD, assim como o ZIL. Leia esse artigo /blog/2011/02/frequently-asked-questions-about-flash-memory-ssds-and-zfs Para ver as estatística do ZFS, instale o port sysutils/zfs-stats. Eu nunca precisei configurar nada no kernel em relação ao ZFS e para o boot, basta usar a configuração do /boot/loader.conf. Ainda sobre a memória, você pode limitar o espaço do ARC com a variável vfs.zfs.arc_max=2048M no /boot/loader.conf. De uma lida na wiki http://wiki.freebsd.org/ZFSTuningGuide Sobre a ordem dos devices eu não tenho certeza, mas acho que você está certo. Ah, não sei se serve, mas o zfs tem o zfs zend/receive que pode usado para mandar o filesystem direto para outro servidor remoto. Na seção de Howtos do forums.freebsd.org tem um monte de artigos com o ZFS, dê uma procurada lá. Alguns que achei e que podem servir para você: http://forums.freebsd.org/showthread.php?t=38154 http://forums.freebsd.org/showthread.php?t=29639 Opa Vic, valeu, esses dois artigos é o que estou usando para obter o norte da solução, como em ambos o ZFS é por ultimo e em um outro artigo o com geli + hastd o geli vem primeiro pensei ser essa a ordem, bom testar hoje se for estaremos confirmando apenas. Quanto ao arc agora que compilei o kernel ele aparece no top :D achei muito intessante isso. Pelo visto a linha em si não interfere em nada mesmo, contudo ainda não experimentei comentar a linha do /boot/loader.conf Não vou limitar de momento o espaço do arc na memoria, mais se ver que começará a ficar fora de controle vejo como unica solução. Quanto A SSD para isso está fora de consideração no momento ( alto custo ). Segue uma linha do arc que aparece no top agora. ARC: 1861M Total, 78M MFU, 997M MRU, 16K Anon, 81M Header, 706M Other Vou ficar de olho nessa opção de momento. -- Paulo Henrique. /* * Não tenho apego material, * Só que tambem não vivemos em um mundo socialista. */ BSDs Brasil. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas e problemas com PF
Acredito que pelo que você ta querendo com route-to no PF você faz isso. # NAT OPERADORA X nat on $interface-wan1 from { 192.168.0.0/24 } to any - $IP-INTERFACE-operadora_x # NAT OPERADORA Y nat on $interface-wan2 from { 192.168.2.0/24 } to any - $IP-INTERFACE-operadora_Y pass in quick on $interface-lan route-to ($interface-wan2 gateway) proto { tcp udp } from 192.168.2.0/24 to !192.168.2.0/24 port { 80, 443, 1024:65535 } Em 18 de janeiro de 2013 21:20, Saul Figueiredo saulfelip...@gmail.comescreveu: Correção: Optantes não, iptables! Em 18/01/2013 23:20, Saul Figueiredo saulfelip...@gmail.com escreveu: Humn... No Linux eu usaria o IP route e a tabela mangle do optantes pra fazer isso. O que há de mais parecido com esses dois no mundo freebsd? Em 18/01/2013 23:05, Jose Nilton jnilti...@gmail.com escreveu: Boa noite Mario... Obrigado pelas dicas, fiz o testes com estas configurações e sei que funciona num ambiente onde existe NAT, porem, existe um detalhe que nao deixei claro. Este servidor seria uma bridge entre o meu firewall (cisco) e as operadoras (A) e (B) para que todo trafego que esteja saindo com os endereços IP da operadora (A) não seja forçado a ser entregue na operadora (B), infelizmente o Cisco não faz pre-routing ou seja, nao consigo pegar a origem e dizer que ele deve sair pela interface do router (A) ele sempre vai sair pela (B) e vai dar problema. Esta bridge seria uma arapuca temporaria ate eu migrar todos os clientes da operadora (B) para a (A) foi uma tentativa de enganar o firewall pois tudo que vem pela interface (B) ele retorna mas a saida não... Se alguem ja fez uma arapuca dessa e puder mostrar o caminho das pedras seria interessante Mas de qualquer forma obrigado. Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Diogo, cara coloca ai um Mikrotik, 5 Portas, até 4 Links de Wan http://informatica.mercadolivre.com.br/routerboards/rb-750 Só foi uma dica. -- .. *Com Deus todas as coisas são possíveis* ::: LinuxProhttp://www.linuxpro.com.br *A qualidade nunca se obtém por acaso; ela é sempre o resultado do esforço inteligente. (John Ruskin) A mente que se abre a uma nova ideia jamais volta ao seu tamanho original (Albert Einstein)* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas e problemas com PF
Em 18 de janeiro de 2013 06:27, Diogo Dalfovo b1n4r1w...@gmail.comescreveu: Bom dia pessoal... Estou com problema que acredito ser no retorno do pacote usando PF no Freebsd. Meu cenario é seguinte: O firewall ligado em duas operadoras A e B e duas LANs 192.168.0.0/24 e 192.168.2.0/24 faço NAT de cada rede pra cada saida da operadora e tambem ja testei configurando uma WAN com os IPs configurados tanto da operadora A como da B mas em nenhum dos caso deu certo. Por ultimo depois da madrugada se estiver tudo certo ele pinga uma vez de em cada operadora e para. Mas resumindo a historia toda preciso que o venha da rede 192.168.0.0/24saia e retorne pela operada A e a rede 192.168.2.0/24 saia e retorne somente pela B ou se tem como fazer com que tudo que vier de uma interface saia e retorne pela interface da rede A e igualmente pela B. Lembrando que o meu gateway esta pela rede B, segue o meu PF. ### # 1 - Interfaces ### #Externa WAN if_bgp = fxp1 if_gvt = fxp0 if_fw = rl0 if_bridge = bridge0 ## # 2 - IPs do Firewall ## ip_fw= ip_ebt = A.A.187.0/24 ip_gvt = B.B.115.0/24 ## # 3 - IPs Gateways ## ip_gw_gvt = B.B.115.5 ip_gw_ebt = A.A.187.5 #pass in quick on $if_gvt reply-to ( $if_gvt $ip_gw_gvt ) from ip_gvt #pass in quick on $if_ebt reply-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt #pass out quick log on $if_ebt route-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt label ebt #pass out quick log on $if_bgp route-to ( $if_gvt $ip_gw_gvt ) from $ip_gvt label gvt pass out quick log on $if_bridge route-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt label ebt pass out quick log on $if_bridge route-to ( $if_gvt $ip_gw_gvt ) from $ip_gvt label gvt como ele é uma bridge tanto faz se uso interface bridge ou a fisica o resultado é o mesmo o pacote vai mais nao volta... alguem ja passou por isso? ou ve onde estou errando? Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Diogo; Voce tem que dizer no pacote entrante da LAN pra onde voce quer que ele seja roteado. Ex. pass in log quick on $lan_ebt_if route-to ($if_ebt $ip_gw_ebt ) inet proto tcp from $lan_ebt_if:network to any pass in log quick on $lan_gvt_if route-to ($if_gvt $ip_gw_gvt ) inet proto tcp from $lan_ebt_if:network to any Faz o NAT de tudo pra tudo que o keep state vai fazer o pacote voltar pro lugar certo. Esse exemplo eu peguei do nosso servidor de produção. 2 link (OI e EMBRATEL). Tenho o controle ate da rota de hosts individuais. Pode testar que vai rolar. -- Mario Lobo http://www.mallavoodoo.com.br FreeBSD since version 2.2.8 [not Pro-Audio YET!!] (99,7% winfoes FREE) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas e problemas com PF
Em 18 de janeiro de 2013 16:44, Mario Lobo l...@bsd.com.br escreveu: Em 18 de janeiro de 2013 06:27, Diogo Dalfovo b1n4r1w...@gmail.comescreveu: Bom dia pessoal... Estou com problema que acredito ser no retorno do pacote usando PF no Freebsd. Meu cenario é seguinte: O firewall ligado em duas operadoras A e B e duas LANs 192.168.0.0/24 e 192.168.2.0/24 faço NAT de cada rede pra cada saida da operadora e tambem ja testei configurando uma WAN com os IPs configurados tanto da operadora A como da B mas em nenhum dos caso deu certo. Por ultimo depois da madrugada se estiver tudo certo ele pinga uma vez de em cada operadora e para. Mas resumindo a historia toda preciso que o venha da rede 192.168.0.0/24saia e retorne pela operada A e a rede 192.168.2.0/24 saia e retorne somente pela B ou se tem como fazer com que tudo que vier de uma interface saia e retorne pela interface da rede A e igualmente pela B. Lembrando que o meu gateway esta pela rede B, segue o meu PF. ### # 1 - Interfaces ### #Externa WAN if_bgp = fxp1 if_gvt = fxp0 if_fw = rl0 if_bridge = bridge0 ## # 2 - IPs do Firewall ## ip_fw= ip_ebt = A.A.187.0/24 ip_gvt = B.B.115.0/24 ## # 3 - IPs Gateways ## ip_gw_gvt = B.B.115.5 ip_gw_ebt = A.A.187.5 #pass in quick on $if_gvt reply-to ( $if_gvt $ip_gw_gvt ) from ip_gvt #pass in quick on $if_ebt reply-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt #pass out quick log on $if_ebt route-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt label ebt #pass out quick log on $if_bgp route-to ( $if_gvt $ip_gw_gvt ) from $ip_gvt label gvt pass out quick log on $if_bridge route-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt label ebt pass out quick log on $if_bridge route-to ( $if_gvt $ip_gw_gvt ) from $ip_gvt label gvt como ele é uma bridge tanto faz se uso interface bridge ou a fisica o resultado é o mesmo o pacote vai mais nao volta... alguem ja passou por isso? ou ve onde estou errando? Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Diogo; Voce tem que dizer no pacote entrante da LAN pra onde voce quer que ele seja roteado. Ex. pass in log quick on $lan_ebt_if route-to ($if_ebt $ip_gw_ebt ) inet proto tcp from $lan_ebt_if:network to any pass in log quick on $lan_gvt_if route-to ($if_gvt $ip_gw_gvt ) inet proto tcp from $lan_ebt_if:network to any Faz o NAT de tudo pra tudo que o keep state vai fazer o pacote voltar pro lugar certo. Esse exemplo eu peguei do nosso servidor de produção. 2 link (OI e EMBRATEL). Tenho o controle ate da rota de hosts individuais. Pode testar que vai rolar. -- Mario Lobo http://www.mallavoodoo.com.br FreeBSD since version 2.2.8 [not Pro-Audio YET!!] (99,7% winfoes FREE) OOOPS ! na segunda linha leia-se: $lan_gvt_if:network Desculpe -- Mario Lobo http://www.mallavoodoo.com.br FreeBSD since version 2.2.8 [not Pro-Audio YET!!] (99,7% winfoes FREE) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas e problemas com PF
Em 18 de janeiro de 2013 17:46, Mario Lobo l...@bsd.com.br escreveu: Em 18 de janeiro de 2013 16:44, Mario Lobo l...@bsd.com.br escreveu: Em 18 de janeiro de 2013 06:27, Diogo Dalfovo b1n4r1w...@gmail.com escreveu: Bom dia pessoal... Estou com problema que acredito ser no retorno do pacote usando PF no Freebsd. Meu cenario é seguinte: O firewall ligado em duas operadoras A e B e duas LANs 192.168.0.0/24 e 192.168.2.0/24 faço NAT de cada rede pra cada saida da operadora e tambem ja testei configurando uma WAN com os IPs configurados tanto da operadora A como da B mas em nenhum dos caso deu certo. Por ultimo depois da madrugada se estiver tudo certo ele pinga uma vez de em cada operadora e para. Mas resumindo a historia toda preciso que o venha da rede 192.168.0.0/24saia e retorne pela operada A e a rede 192.168.2.0/24 saia e retorne somente pela B ou se tem como fazer com que tudo que vier de uma interface saia e retorne pela interface da rede A e igualmente pela B. Lembrando que o meu gateway esta pela rede B, segue o meu PF. ### # 1 - Interfaces ### #Externa WAN if_bgp = fxp1 if_gvt = fxp0 if_fw = rl0 if_bridge = bridge0 ## # 2 - IPs do Firewall ## ip_fw= ip_ebt = A.A.187.0/24 ip_gvt = B.B.115.0/24 ## # 3 - IPs Gateways ## ip_gw_gvt = B.B.115.5 ip_gw_ebt = A.A.187.5 #pass in quick on $if_gvt reply-to ( $if_gvt $ip_gw_gvt ) from ip_gvt #pass in quick on $if_ebt reply-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt #pass out quick log on $if_ebt route-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt label ebt #pass out quick log on $if_bgp route-to ( $if_gvt $ip_gw_gvt ) from $ip_gvt label gvt pass out quick log on $if_bridge route-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt label ebt pass out quick log on $if_bridge route-to ( $if_gvt $ip_gw_gvt ) from $ip_gvt label gvt como ele é uma bridge tanto faz se uso interface bridge ou a fisica o resultado é o mesmo o pacote vai mais nao volta... alguem ja passou por isso? ou ve onde estou errando? Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Diogo; Voce tem que dizer no pacote entrante da LAN pra onde voce quer que ele seja roteado. Ex. pass in log quick on $lan_ebt_if route-to ($if_ebt $ip_gw_ebt ) inet proto tcp from $lan_ebt_if:network to any pass in log quick on $lan_gvt_if route-to ($if_gvt $ip_gw_gvt ) inet proto tcp from $lan_ebt_if:network to any Faz o NAT de tudo pra tudo que o keep state vai fazer o pacote voltar pro lugar certo. Esse exemplo eu peguei do nosso servidor de produção. 2 link (OI e EMBRATEL). Tenho o controle ate da rota de hosts individuais. Pode testar que vai rolar. -- Mario Lobo http://www.mallavoodoo.com.br FreeBSD since version 2.2.8 [not Pro-Audio YET!!] (99,7% winfoes FREE) OOOPS ! na segunda linha leia-se: $lan_gvt_if:network Desculpe -- Mario Lobo http://www.mallavoodoo.com.br FreeBSD since version 2.2.8 [not Pro-Audio YET!!] (99,7% winfoes FREE) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Boa noite Mario... Obrigado pelas dicas, fiz o testes com estas configurações e sei que funciona num ambiente onde existe NAT, porem, existe um detalhe que nao deixei claro. Este servidor seria uma bridge entre o meu firewall (cisco) e as operadoras (A) e (B) para que todo trafego que esteja saindo com os endereços IP da operadora (A) não seja forçado a ser entregue na operadora (B), infelizmente o Cisco não faz pre-routing ou seja, nao consigo pegar a origem e dizer que ele deve sair pela interface do router (A) ele sempre vai sair pela (B) e vai dar problema. Esta bridge seria uma arapuca temporaria ate eu migrar todos os clientes da operadora (B) para a (A) foi uma tentativa de enganar o firewall pois tudo que vem pela interface (B) ele retorna mas a saida não... Se alguem ja fez uma arapuca dessa e puder mostrar o caminho das pedras seria interessante Mas de qualquer forma obrigado. Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas e problemas com PF
Boa noite Mario... Obrigado pelas dicas, fiz o testes com estas configurações e sei que funciona num ambiente onde existe NAT, porem, existe um detalhe que nao deixei claro. Este servidor seria uma bridge entre o meu firewall (cisco) e as operadoras (A) e (B) para que todo trafego que esteja saindo com os endereços IP da operadora (A) não seja forçado a ser entregue na operadora (B), infelizmente o Cisco não faz pre-routing ou seja, nao consigo pegar a origem e dizer que ele deve sair pela interface do router (A) ele sempre vai sair pela (B) e vai dar problema. Esta bridge seria uma arapuca temporaria ate eu migrar todos os clientes da operadora (B) para a (A) foi uma tentativa de enganar o firewall pois tudo que vem pela interface (B) ele retorna mas a saida não... Se alguem ja fez uma arapuca dessa e puder mostrar o caminho das pedras seria interessante Mas de qualquer forma obrigado. Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Diogo, cara coloca ai um Mikrotik, 5 Portas, até 4 Links de Wan http://informatica.mercadolivre.com.br/routerboards/rb-750 Só foi uma dica. -- .. *Com Deus todas as coisas são possíveis* ::: LinuxProhttp://www.linuxpro.com.br *A qualidade nunca se obtém por acaso; ela é sempre o resultado do esforço inteligente. (John Ruskin) A mente que se abre a uma nova ideia jamais volta ao seu tamanho original (Albert Einstein)* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas e problemas com PF
Humn... No Linux eu usaria o IP route e a tabela mangle do optantes pra fazer isso. O que há de mais parecido com esses dois no mundo freebsd? Em 18/01/2013 23:05, Jose Nilton jnilti...@gmail.com escreveu: Boa noite Mario... Obrigado pelas dicas, fiz o testes com estas configurações e sei que funciona num ambiente onde existe NAT, porem, existe um detalhe que nao deixei claro. Este servidor seria uma bridge entre o meu firewall (cisco) e as operadoras (A) e (B) para que todo trafego que esteja saindo com os endereços IP da operadora (A) não seja forçado a ser entregue na operadora (B), infelizmente o Cisco não faz pre-routing ou seja, nao consigo pegar a origem e dizer que ele deve sair pela interface do router (A) ele sempre vai sair pela (B) e vai dar problema. Esta bridge seria uma arapuca temporaria ate eu migrar todos os clientes da operadora (B) para a (A) foi uma tentativa de enganar o firewall pois tudo que vem pela interface (B) ele retorna mas a saida não... Se alguem ja fez uma arapuca dessa e puder mostrar o caminho das pedras seria interessante Mas de qualquer forma obrigado. Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Diogo, cara coloca ai um Mikrotik, 5 Portas, até 4 Links de Wan http://informatica.mercadolivre.com.br/routerboards/rb-750 Só foi uma dica. -- .. *Com Deus todas as coisas são possíveis* ::: LinuxProhttp://www.linuxpro.com.br *A qualidade nunca se obtém por acaso; ela é sempre o resultado do esforço inteligente. (John Ruskin) A mente que se abre a uma nova ideia jamais volta ao seu tamanho original (Albert Einstein)* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas e problemas com PF
Correção: Optantes não, iptables! Em 18/01/2013 23:20, Saul Figueiredo saulfelip...@gmail.com escreveu: Humn... No Linux eu usaria o IP route e a tabela mangle do optantes pra fazer isso. O que há de mais parecido com esses dois no mundo freebsd? Em 18/01/2013 23:05, Jose Nilton jnilti...@gmail.com escreveu: Boa noite Mario... Obrigado pelas dicas, fiz o testes com estas configurações e sei que funciona num ambiente onde existe NAT, porem, existe um detalhe que nao deixei claro. Este servidor seria uma bridge entre o meu firewall (cisco) e as operadoras (A) e (B) para que todo trafego que esteja saindo com os endereços IP da operadora (A) não seja forçado a ser entregue na operadora (B), infelizmente o Cisco não faz pre-routing ou seja, nao consigo pegar a origem e dizer que ele deve sair pela interface do router (A) ele sempre vai sair pela (B) e vai dar problema. Esta bridge seria uma arapuca temporaria ate eu migrar todos os clientes da operadora (B) para a (A) foi uma tentativa de enganar o firewall pois tudo que vem pela interface (B) ele retorna mas a saida não... Se alguem ja fez uma arapuca dessa e puder mostrar o caminho das pedras seria interessante Mas de qualquer forma obrigado. Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Diogo, cara coloca ai um Mikrotik, 5 Portas, até 4 Links de Wan http://informatica.mercadolivre.com.br/routerboards/rb-750 Só foi uma dica. -- .. *Com Deus todas as coisas são possíveis* ::: LinuxProhttp://www.linuxpro.com.br *A qualidade nunca se obtém por acaso; ela é sempre o resultado do esforço inteligente. (John Ruskin) A mente que se abre a uma nova ideia jamais volta ao seu tamanho original (Albert Einstein)* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)
uai, então não entendi qual o problema de fato -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 Linux User: #554651 saulfelip...@gmail.com saul-fel...@hotmail.com Em 14 de outubro de 2012 23:55, Welinaldo Lopes Nascimento welina...@bsd.com.br escreveu: Ainda estou fazendo testes, mas estou executando assim: #squid start #para primeira instância na porta 3128 # /usr/local/sbin/squid -f /usr/local/etc/squid/squidtransp.conf #para segunda instância que definí o nome para squidtransp na porta 3129 quando executo uma de cada vez, ambas funcionam, inclusive testando as portas com telnet, ta tudo OK; E consigo ver os processos rodando dos dois comandos executados. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)
O problema é que não consigo startar as duas instâncias; alguma coisa acontece ao subir a segunda instância, pois registra-se o erro em /var/log/message: Oct 14 23:14:08 bsd-server squid[3714]: failed to find or read error text file. Oct 14 23:14:08 bsd-server squid[3710]: Squid Parent: child process 3714 exited due to signal 6 Oct 14 23:14:08 bsd-server kernel: pid 3714 (squid), uid 62: exited on signal 6 Se vc puder, envie seus squids.confs pra eu dar uma olhada. Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas em relacao aos charsets utilizados
On 14/10/2012 09:09, Paulo Olivier Cavalcanti wrote: Em 13/10/2012 21:23, Otacílio escreveu: On 13/10/2012 13:28, Nilton Jose Rizzo wrote: Estou com uma dúvida e ainda não consegui visualizar se a minha opção é a mais correta ou se existe uma mais correta. Antigamente, quando os ASCII eram 7 bits não podiamos seguer ter letras maiusculas/minuscular, hoje temos a facilidade de optar por um determinado charset que nos agrade, a minha dúvida é em relação a melhor escolha, se é o utf-8 ou o iso.8859.1, por que falo isso, eu adotei como padrão para mim o utf-8 por ter uma definição mais abrangente e talvés se torne o padrão mundial. Mas por hora ainda tenho problemas com algumas codificações, em especial em páginas da web. Quando faço uma página procuro acentuar no padrão HTML (LETRAacento), mas muita gente usar o acento direto (acentoLETRA). Gostaria de saber a opinião de vocês em relação a essa questão? Eu entendo que o mais correto é usar o UTF-8 porém o FreeBSD tem uma deficiência grave (se eu estiver errado alguém me corrija). O FreeBSD não ordena corretamente quando usando o charset UTF-8 e a linguagem pt_BR. Por exemplo, na minha máquina está assim: Este problema de ordenação eu nunca reparei, mas as principais deficiências do FreeBSD com UTF-8 estão no console e no Samba. O console só suporta iso-8859-1 e o Samba não funciona legal com algumas estações Windows; alguns caracteres de arquivos ficam sujos em determinadas situações. O suporte a Unicode no Linux está anos-luz adiantado em relação a nós, infelizmente é a verdade... Então são três as principais ao meu ver: Suporte ao UTF-8 Suporte deficiente às placas gráficas recentes Suporte quase inexistente ao suspend/resume (pelo menos eu aqui nunca retornei de um suspend) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)
Saul, o meu já está funcionando assim; Mas estou tentando subir as duas instâncias em portas diferentes, o que também já funciona uma de cada vez; Só que ao subir as duas simultaneamente, ocorre o seguinte erro em /var/log/message: Oct 14 23:14:08 bsd-server squid[3714]: failed to find or read error text file. Oct 14 23:14:08 bsd-server squid[3710]: Squid Parent: child process 3714 exited due to signal 6 Oct 14 23:14:08 bsd-server kernel: pid 3714 (squid), uid 62: exited on signal 6 O que pode ser? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)
Primeiramente você deve criar squid.confs diferentes, para que neles você especifique http_ports diferentes, icmp_ports diferentes, pid_file diferentes e visible_hostname diferentes Na hora de iniciar cada instância, você deverá informar o nome do arquivo .conf; o mesmo vale para o -k reconfigure. Eu tenho vários servidores com múltiplas infâncias, aí faço meus squid.confs com as opções anteriormente ditas + um include para o arquivo que tem as regras - squid.conf.include, por exemplo - aproveitando assim o mesmo arquivo de regras para cada instancia. Desculpe a falta de detalhes, rs, teclado de smartphone Já viu né rsrs Em 14/10/2012 23:20, Welinaldo Lopes Nascimento welina...@bsd.com.br escreveu: Saul, o meu já está funcionando assim; Mas estou tentando subir as duas instâncias em portas diferentes, o que também já funciona uma de cada vez; Só que ao subir as duas simultaneamente, ocorre o seguinte erro em /var/log/message: Oct 14 23:14:08 bsd-server squid[3714]: failed to find or read error text file. Oct 14 23:14:08 bsd-server squid[3710]: Squid Parent: child process 3714 exited due to signal 6 Oct 14 23:14:08 bsd-server kernel: pid 3714 (squid), uid 62: exited on signal 6 O que pode ser? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)
Ah ia esquecendo, defina arquivos de log e cache_dir diferentes para cada instância também Em 14/10/2012 23:41, Saul Figueiredo saulfelip...@gmail.com escreveu: Primeiramente você deve criar squid.confs diferentes, para que neles você especifique http_ports diferentes, icmp_ports diferentes, pid_file diferentes e visible_hostname diferentes Na hora de iniciar cada instância, você deverá informar o nome do arquivo .conf; o mesmo vale para o -k reconfigure. Eu tenho vários servidores com múltiplas infâncias, aí faço meus squid.confs com as opções anteriormente ditas + um include para o arquivo que tem as regras - squid.conf.include, por exemplo - aproveitando assim o mesmo arquivo de regras para cada instancia. Desculpe a falta de detalhes, rs, teclado de smartphone Já viu né rsrs Em 14/10/2012 23:20, Welinaldo Lopes Nascimento welina...@bsd.com.br escreveu: Saul, o meu já está funcionando assim; Mas estou tentando subir as duas instâncias em portas diferentes, o que também já funciona uma de cada vez; Só que ao subir as duas simultaneamente, ocorre o seguinte erro em /var/log/message: Oct 14 23:14:08 bsd-server squid[3714]: failed to find or read error text file. Oct 14 23:14:08 bsd-server squid[3710]: Squid Parent: child process 3714 exited due to signal 6 Oct 14 23:14:08 bsd-server kernel: pid 3714 (squid), uid 62: exited on signal 6 O que pode ser? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)
rs Blz.. Eu fiz as confs diferentes, incluindo estes detalhes: portas, pid_file, nome do arquivo.conf.. enfim, está funcionando uma por vez; se eu subir as duas, ocorre este erro aí. Se você puder, amanhã com mais calma você me explicar melhor, agradeço muito. Abração. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)
Detalhe importante: como está fazendo pra subir as instâncias? Pelo script de /usr/sbin ou pelo de rc.d ? Manda ae o comando ^^ Em 14/10/2012 23:45, Welinaldo Lopes Nascimento welina...@bsd.com.br escreveu: rs Blz.. Eu fiz as confs diferentes, incluindo estes detalhes: portas, pid_file, nome do arquivo.conf.. enfim, está funcionando uma por vez; se eu subir as duas, ocorre este erro aí. Se você puder, amanhã com mais calma você me explicar melhor, agradeço muito. Abração. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)
Ainda estou fazendo testes, mas estou executando assim: #squid start #para primeira instância na porta 3128 # /usr/local/sbin/squid -f /usr/local/etc/squid/squidtransp.conf #para segunda instância que definí o nome para squidtransp na porta 3129 quando executo uma de cada vez, ambas funcionam, inclusive testando as portas com telnet, ta tudo OK; E consigo ver os processos rodando dos dois comandos executados. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas em relacao aos charsets utilizados
On 13/10/2012 13:28, Nilton Jose Rizzo wrote: Estou com uma dúvida e ainda não consegui visualizar se a minha opção é a mais correta ou se existe uma mais correta. Antigamente, quando os ASCII eram 7 bits não podiamos seguer ter letras maiusculas/minuscular, hoje temos a facilidade de optar por um determinado charset que nos agrade, a minha dúvida é em relação a melhor escolha, se é o utf-8 ou o iso.8859.1, por que falo isso, eu adotei como padrão para mim o utf-8 por ter uma definição mais abrangente e talvés se torne o padrão mundial. Mas por hora ainda tenho problemas com algumas codificações, em especial em páginas da web. Quando faço uma página procuro acentuar no padrão HTML (LETRAacento), mas muita gente usar o acento direto (acentoLETRA). Gostaria de saber a opinião de vocês em relação a essa questão? Eu entendo que o mais correto é usar o UTF-8 porém o FreeBSD tem uma deficiência grave (se eu estiver errado alguém me corrija). O FreeBSD não ordena corretamente quando usando o charset UTF-8 e a linguagem pt_BR. Por exemplo, na minha máquina está assim: [ota@squitch Desktop]$ locale LANG=pt_BR.UTF-8 LC_CTYPE=pt_BR.UTF-8 LC_COLLATE=pt_BR.UTF-8 LC_TIME=pt_BR.UTF-8 LC_NUMERIC=pt_BR.UTF-8 LC_MONETARY=pt_BR.UTF-8 LC_MESSAGES=pt_BR.UTF-8 LC_ALL= Eu tenho um arquivo texto com as seguintes vogais: [ota@squitch Desktop]$ cat ordenar e u i o a E U I O A é ú í ó á É Ú Í Ó Á Depois eu mando ordenar: [ota@squitch Desktop]$ cat ordenar | sort A E I O U a e i o u Á É Í Ó Ú á é í ó ú Eu entendo que esta ordenação está errada. Quando eu mando fazer a mesma coisa no PostgreSQL ele ordena da seguinte forma: SELECT * FROM (VALUES ('e'), ('u'), ('i'), ('o'), ('a'), ('E'), ('U'), ('I'), ('O'), ('A'), ('é'), ('ú'), ('í'), ('ó'), ('á'), ('É'), ('Ú'), ('Í'), ('Ó'), ('Á') )AS letras(vogais) order by Vogais a A á Á e E é É i I í Í o O ó Ó u U ú Ú Eu entendo que a ordenação do PostgreSQL é a mais correta. O banco onde eu rodei esta ordenação tem as características: CREATE DATABASE AES WITH OWNER = trac ENCODING = 'UTF8' TABLESPACE = pg_default LC_COLLATE = 'pt_BR.UTF-8' LC_CTYPE = 'pt_BR.UTF-8' CONNECTION LIMIT = -1; Veja que a ordenação do FreeBSD deveria ser a mesma do PostrgeSQL mas infelizmente não é. Lembro que quando fiz o mesmo teste usando LATIN1 a ordenação no terminal do FreeBSD era correta, mas tem uns softwares que exigem que o sistema esteja usando UTF-8. Bem, se os outros colegas tiverem mais comentários... - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)
Então fiz testes aqui seguindo a recomendação do Saul de colocar allow rede_interna antes de todas as regras, mas aconteceu realmente o que eu estava pre-vendo... todos os usuários caem nesta ACL rede_interna e nem autenticam. E se eu deixar a rede_intena abaixo de tudo, como está atualmente, se não reconhecer o usuário, é solicitado autenticação via pop-up; Alguem sabe se há um meio, ou algum script, para onde o squid não detectar um usuário válido, o mesmo se autenticasse automaticamente para um usuário restrito pelo menos? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)
prevendo*** - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)
Ou será se eu usar 2 instâncias do squid neste caso resolve? Uma com proxy transparente e a outra com proxy autenticado, em portas diferentes. Tipo, se não setar o proxy, vai navegar pelo proxy transparente, e setando o proxy vai pra instância do proxy com autenticação. Funciona? :D - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)
Eu faço isso e não preciso de duas instancias. Quando um notebook entra na minha rede, ele não consegue autenticar, logo, sobe uma popup pedindo usuário e senha... ou você digita o dominio\usuario ou faz como eu, cria uma regra especificamente para essas maquinas antes de onde você define que será usada a autenticação é batata que dá certo ^^ -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 Linux User: #554651 saulfelip...@gmail.com saul-fel...@hotmail.com Em 12 de outubro de 2012 17:10, Welinaldo Lopes Nascimento welina...@bsd.com.br escreveu: Ou será se eu usar 2 instâncias do squid neste caso resolve? Uma com proxy transparente e a outra com proxy autenticado, em portas diferentes. Tipo, se não setar o proxy, vai navegar pelo proxy transparente, e setando o proxy vai pra instância do proxy com autenticação. Funciona? :D - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)
Saul, eu sabia que pelo menos você responderia, a final, tens me ajudado muito nesta parte de integração com domínio; Mas veja só, se eu fizer isto, não vai ficar liberado tudo, pra todo mundo? Ou mesmo eu colocando isto ainda vai prevalecer as acls dos usuários autenticados? Em 9 de outubro de 2012 23:35, Saul Figueiredo saulfelip...@gmail.comescreveu: Boa noite Welinaldo Coloque http_access allow rede_interna antes de todas as outras acls e remova a deny all do final. -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 Linux User: #554651 saulfelip...@gmail.com saul-fel...@hotmail.com Em 9 de outubro de 2012 22:09, Welinaldo Lopes Nascimento welina...@bsd.com.br escreveu: Boa noite pessoal, Há alguns meses atras implementei um servidor proxy freebsd 9 com lusca-head r14809 com autenticação ntlm e está funcionando normalmente de acordo aos privilégios de usuários; Só que agora, alguns usuários precisam usar notebooks que não pertencem ao domínio, impedindo a autenticação; Tentei liberar a rede interna abaixo das acls de sites restritos, mas não há navegação por falta de autenticação mesmo; verifiquei o access.log e consta o erro (407). Minha dúvida é: Há alguma lógica possível de liberar a rede interna (com restrição) para os hosts que não fazem parte do domínio? Minhas Acls estão assim: --- acl all src all acl QUERY urlpath_regex cgi-bin \? acl manager proto cache_object acl localhost src 127.0.0.1/8 acl to_localhost dst 127.0.0.0/8 acl rede_interna src 10.1.1.0/8 # RFC1918 Rede Interna acl rede_servidores src 10.1.1.10 # Servidor AD acl autenticados proxy_auth REQUIRED acl sites_gov url_regex -i /usr/local/etc/squid/acls/sites_gov/sites_gov.txt acl usuarios_liberados proxy_auth /usr/local/etc/squid/grupos/usuarios_liberados.txt acl usuarios_restritos proxy_auth /usr/local/etc/squid/grupos/usuarios_restritos.txt acl sites_restritos url_regex -i /usr/local/etc/squid/acls/sites_restritos.txt http_access allow sites_gov #http_access deny !autenticados http_access allow usuarios_liberados http_access deny sites_restritos http_access allow usuarios_restritos http_access allow rede_interna http_access deny all --- -- .ılı..ılı. *Welinaldo Lopes Nascimento* ** - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- .ılı..ılı. *Welinaldo Lopes Nascimento* Estudante de Desenvolvimento de Sistemas FreeBSD Community Member #BSD/OS *P Antes de imprimir pense em seu compromisso com o Meio Ambiente.* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)
bom, você deve fazer este teste para pelo menos ver o que acontece... faço muito isso, o instinto fuçador é o meu maior solucionador de problemas. Só salve um backup do arquivo antes (as vezes mechemos tanto que chega num ponto que não lembramos mais quantas coisas mechemos). -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 Linux User: #554651 saulfelip...@gmail.com saul-fel...@hotmail.com Em 10 de outubro de 2012 11:53, Welinaldo Lopes Nascimento welina...@bsd.com.br escreveu: Saul, eu sabia que pelo menos você responderia, a final, tens me ajudado muito nesta parte de integração com domínio; Mas veja só, se eu fizer isto, não vai ficar liberado tudo, pra todo mundo? Ou mesmo eu colocando isto ainda vai prevalecer as acls dos usuários autenticados? Em 9 de outubro de 2012 23:35, Saul Figueiredo saulfelip...@gmail.com escreveu: Boa noite Welinaldo Coloque http_access allow rede_interna antes de todas as outras acls e remova a deny all do final. -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 Linux User: #554651 saulfelip...@gmail.com saul-fel...@hotmail.com Em 9 de outubro de 2012 22:09, Welinaldo Lopes Nascimento welina...@bsd.com.br escreveu: Boa noite pessoal, Há alguns meses atras implementei um servidor proxy freebsd 9 com lusca-head r14809 com autenticação ntlm e está funcionando normalmente de acordo aos privilégios de usuários; Só que agora, alguns usuários precisam usar notebooks que não pertencem ao domínio, impedindo a autenticação; Tentei liberar a rede interna abaixo das acls de sites restritos, mas não há navegação por falta de autenticação mesmo; verifiquei o access.log e consta o erro (407). Minha dúvida é: Há alguma lógica possível de liberar a rede interna (com restrição) para os hosts que não fazem parte do domínio? Minhas Acls estão assim: --- acl all src all acl QUERY urlpath_regex cgi-bin \? acl manager proto cache_object acl localhost src 127.0.0.1/8 acl to_localhost dst 127.0.0.0/8 acl rede_interna src 10.1.1.0/8 # RFC1918 Rede Interna acl rede_servidores src 10.1.1.10 # Servidor AD acl autenticados proxy_auth REQUIRED acl sites_gov url_regex -i /usr/local/etc/squid/acls/sites_gov/sites_gov.txt acl usuarios_liberados proxy_auth /usr/local/etc/squid/grupos/usuarios_liberados.txt acl usuarios_restritos proxy_auth /usr/local/etc/squid/grupos/usuarios_restritos.txt acl sites_restritos url_regex -i /usr/local/etc/squid/acls/sites_restritos.txt http_access allow sites_gov #http_access deny !autenticados http_access allow usuarios_liberados http_access deny sites_restritos http_access allow usuarios_restritos http_access allow rede_interna http_access deny all --- -- .ılı..ılı. *Welinaldo Lopes Nascimento* ** - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- .ılı..ılı. *Welinaldo Lopes Nascimento* Estudante de Desenvolvimento de Sistemas FreeBSD Community Member #BSD/OS *P Antes de imprimir pense em seu compromisso com o Meio Ambiente.* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)
tranquilo, vou fazer este teste a noite. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas tunning apache
Obrigado pessoal, obrigado Léo vou verificar aqui. Tem algum comando que posso ver os módulos que o apache não esta usando e tirar do carregamento abs 2012/10/7 Leonardo Augusto lalin...@gmail.com Nunca usei pgsql com apache, mas no caso do mysql, se usar conexoes persistentes entre o php e o mysql acontecia algo parecido com seu caso. Tenta desativar as persistent connections pra ver se muda algo. Baixa o timeout das requisicoes do apache para 3s. Ve se muda algo. da um netstat -w1 e ve se ta saindo muito pacote ou entrando... Pra saber se é por causa do acesso externo, bloqueia temporariamente o acesso na porta 80 pelo pf/ipfw, assim voce garante que ninguem esta requisitando nada pro apache, se continuar esse load, deve ser alguma coisa na relacao dele com o pgsql. []´s 2012/10/5 Denis Granato denisgran...@gmail.com: On Fri, Oct 5, 2012 at 2:06 PM, Marcelo Gondim gon...@bsdinfo.com.br wrote: Em 05/10/12 11:54, Denis Granato escreveu: Bom dia senhores, Tenho 1 servidor zabbix aqui com o apache cru e hoje tenho os seguintes processos PID USERNAME THR PRI NICE SIZERES STATE C TIME WCPU COMMAND 55122 www 1 260 34740K 22136K select 0 0:03 8.89% httpd 55174 www 1 280 38836K 23512K select 3 0:02 7.08% httpd 55217 www 1 290 38836K 23272K select 0 0:01 6.79% httpd 54752 www 1 310 34740K 22176K select 2 0:05 6.40% httpd 55123 www 1 290 34740K 21852K select 0 0:01 6.05% httpd 55091 www 1 310 34740K 21616K select 3 0:02 5.18% httpd 54407 www 1 260 34740K 22180K select 1 0:11 3.27% httpd 55120 www 1 240 34740K 21792K select 3 0:02 3.08% httpd 55008 www 1 240 38836K 26232K select 3 0:03 2.39% httpd 55006 www 1 220 34740K 21964K accept 1 0:03 2.29% httpd 55156 www 1 220 34740K 19412K select 0 0:01 2.10% httpd 55216 www 1 240 34740K 19600K select 1 0:00 1.95% httpd 55090 www 1 220 34740K 21928K select 1 0:02 1.27% httpd 54915 www 1 220 38836K 23540K accept 1 0:02 0.78% httpd 55212 www 1 220 34740K 19148K accept 3 0:00 0.59% httpd Existe algum tunning básico que posso fazer no apache para melhorar (diminuir) o uso do CPU ? Opa Denis, Faz um procstat -f pid nesses processos pra ver se tem algo estranho e dê uma olhada nos logs de acesso do apache. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd um deles: root@avvio-zabbix:/usr/local/share/zabbix/externalscripts # procstat -f 92179 PID COMM FD T V FLAGS REF OFFSET PRO NAME 92179 httpdtext v r r - - - /usr/local/sbin/httpd 92179 httpd cwd v d r - - - / 92179 httpdroot v d r - - - / 92179 httpd 0 v c r 18 0 - /dev/null 92179 httpd 1 v c -w--- 18 0 - /dev/null 92179 httpd 2 v r -wa-- 18 842 - /var/log/httpd-error.log 92179 httpd 3 s - rw--- 41 0 TCP ::.80 ::.0 92179 httpd 4 s - rw--- 18 0 TCP 0.0.0.0:0 0.0.0.0:0 92179 httpd 5 p - rw---n--- 18 0 - - 92179 httpd 6 p - rw--- 18 0 - - 92179 httpd 7 v r -wa-- 18 44807060 - /var/log/httpd-access.log 92179 httpd 8 v r rw--- 18 0 - /tmp/aprzRFJvV 92179 httpd 9 v r -w--- 18 0 - /var/run/accept.lock.1311 92179 httpd 10 v r -w--- 1 0 - /var/run/accept.lock.1311 92179 httpd 11 v r -w--- 1 0 - /tmp/aprzRFJvV 92179 httpd 12 k - rw--- 1 0 - - 92179 httpd 13 s - rw---n--- 1 0 TCP :::10.0.0.5.80 :::10.0.0.102.59721 No log de erro do apache não tem nada, e no log de acesso somente as coneções dos usuários - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas tunning apache
Nunca usei pgsql com apache, mas no caso do mysql, se usar conexoes persistentes entre o php e o mysql acontecia algo parecido com seu caso. Tenta desativar as persistent connections pra ver se muda algo. Baixa o timeout das requisicoes do apache para 3s. Ve se muda algo. da um netstat -w1 e ve se ta saindo muito pacote ou entrando... Pra saber se é por causa do acesso externo, bloqueia temporariamente o acesso na porta 80 pelo pf/ipfw, assim voce garante que ninguem esta requisitando nada pro apache, se continuar esse load, deve ser alguma coisa na relacao dele com o pgsql. []´s 2012/10/5 Denis Granato denisgran...@gmail.com: On Fri, Oct 5, 2012 at 2:06 PM, Marcelo Gondim gon...@bsdinfo.com.brwrote: Em 05/10/12 11:54, Denis Granato escreveu: Bom dia senhores, Tenho 1 servidor zabbix aqui com o apache cru e hoje tenho os seguintes processos PID USERNAME THR PRI NICE SIZERES STATE C TIME WCPU COMMAND 55122 www 1 260 34740K 22136K select 0 0:03 8.89% httpd 55174 www 1 280 38836K 23512K select 3 0:02 7.08% httpd 55217 www 1 290 38836K 23272K select 0 0:01 6.79% httpd 54752 www 1 310 34740K 22176K select 2 0:05 6.40% httpd 55123 www 1 290 34740K 21852K select 0 0:01 6.05% httpd 55091 www 1 310 34740K 21616K select 3 0:02 5.18% httpd 54407 www 1 260 34740K 22180K select 1 0:11 3.27% httpd 55120 www 1 240 34740K 21792K select 3 0:02 3.08% httpd 55008 www 1 240 38836K 26232K select 3 0:03 2.39% httpd 55006 www 1 220 34740K 21964K accept 1 0:03 2.29% httpd 55156 www 1 220 34740K 19412K select 0 0:01 2.10% httpd 55216 www 1 240 34740K 19600K select 1 0:00 1.95% httpd 55090 www 1 220 34740K 21928K select 1 0:02 1.27% httpd 54915 www 1 220 38836K 23540K accept 1 0:02 0.78% httpd 55212 www 1 220 34740K 19148K accept 3 0:00 0.59% httpd Existe algum tunning básico que posso fazer no apache para melhorar (diminuir) o uso do CPU ? Opa Denis, Faz um procstat -f pid nesses processos pra ver se tem algo estranho e dê uma olhada nos logs de acesso do apache. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd um deles: root@avvio-zabbix:/usr/local/share/zabbix/externalscripts # procstat -f 92179 PID COMM FD T V FLAGS REF OFFSET PRO NAME 92179 httpdtext v r r - - - /usr/local/sbin/httpd 92179 httpd cwd v d r - - - / 92179 httpdroot v d r - - - / 92179 httpd 0 v c r 18 0 - /dev/null 92179 httpd 1 v c -w--- 18 0 - /dev/null 92179 httpd 2 v r -wa-- 18 842 - /var/log/httpd-error.log 92179 httpd 3 s - rw--- 41 0 TCP ::.80 ::.0 92179 httpd 4 s - rw--- 18 0 TCP 0.0.0.0:0 0.0.0.0:0 92179 httpd 5 p - rw---n--- 18 0 - - 92179 httpd 6 p - rw--- 18 0 - - 92179 httpd 7 v r -wa-- 18 44807060 - /var/log/httpd-access.log 92179 httpd 8 v r rw--- 18 0 - /tmp/aprzRFJvV 92179 httpd 9 v r -w--- 18 0 - /var/run/accept.lock.1311 92179 httpd 10 v r -w--- 1 0 - /var/run/accept.lock.1311 92179 httpd 11 v r -w--- 1 0 - /tmp/aprzRFJvV 92179 httpd 12 k - rw--- 1 0 - - 92179 httpd 13 s - rw---n--- 1 0 TCP :::10.0.0.5.80 :::10.0.0.102.59721 No log de erro do apache não tem nada, e no log de acesso somente as coneções dos usuários - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas tunning apache
Em 05/10/2012 11:54, Denis Granato escreveu: Bom dia senhores, Tenho 1 servidor zabbix aqui com o apache cru e hoje tenho os seguintes processos PID USERNAME THR PRI NICE SIZERES STATE C TIME WCPU COMMAND 55122 www 1 260 34740K 22136K select 0 0:03 8.89% httpd 55174 www 1 280 38836K 23512K select 3 0:02 7.08% httpd 55217 www 1 290 38836K 23272K select 0 0:01 6.79% httpd 54752 www 1 310 34740K 22176K select 2 0:05 6.40% httpd 55123 www 1 290 34740K 21852K select 0 0:01 6.05% httpd 55091 www 1 310 34740K 21616K select 3 0:02 5.18% httpd 54407 www 1 260 34740K 22180K select 1 0:11 3.27% httpd 55120 www 1 240 34740K 21792K select 3 0:02 3.08% httpd 55008 www 1 240 38836K 26232K select 3 0:03 2.39% httpd 55006 www 1 220 34740K 21964K accept 1 0:03 2.29% httpd 55156 www 1 220 34740K 19412K select 0 0:01 2.10% httpd 55216 www 1 240 34740K 19600K select 1 0:00 1.95% httpd 55090 www 1 220 34740K 21928K select 1 0:02 1.27% httpd 54915 www 1 220 38836K 23540K accept 1 0:02 0.78% httpd 55212 www 1 220 34740K 19148K accept 3 0:00 0.59% httpd Existe algum tunning básico que posso fazer no apache para melhorar (diminuir) o uso do CPU ? Obrigado desde já - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd No meu está assim PID USERNAME THR PRI NICE SIZERES STATE C TIME WCPU COMMAND 51919 www 1 460 195M 22256K accept 3 0:08 0.00% httpd 54557 www 1 460 195M 22260K accept 0 0:06 0.00% httpd 52803 www 1 460 195M 22280K accept 0 0:04 0.00% httpd 59094 www 1 440 195M 22272K accept 2 0:03 0.00% httpd 59095 www 1 460 195M 22252K accept 3 0:03 0.00% httpd 59993 www 1 440 195M 22288K accept 2 0:02 0.00% httpd 64450 www 1 440 195M 22280K accept 0 0:01 0.00% httpd 60559 www 1 480 193M 19420K accept 3 0:00 0.00% httpd 66484 www 1 440 189M 11388K accept 0 0:00 0.00% httpd 66630 www 1 440 189M 11388K accept 2 0:00 0.00% httpd Qual o PHP que está usando, mais tipo deve ter uns 5 ou 6 dispositivos acessando esse servidor, qual a quantidade de acesso do seu server ? Att, Paulo Henrique, -- Paulo Henrique BSD Brasil Fone: (21) 9683-5433 Genuine user Unix/BSD :D - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas tunning apache
se usar mysql, vale a pena dar uma verificada.. maioria das vezes é o mysql :P Sds. Alexandre J. Correa Onda Internet http://www.onda.net.br IPV6 Ready !!! On Fri, Oct 5, 2012 at 12:15 PM, Paulo Henrique - BSD paulo.rd...@bsd.com.br wrote: Em 05/10/2012 11:54, Denis Granato escreveu: Bom dia senhores, Tenho 1 servidor zabbix aqui com o apache cru e hoje tenho os seguintes processos PID USERNAME THR PRI NICE SIZERES STATE C TIME WCPU COMMAND 55122 www 1 260 34740K 22136K select 0 0:03 8.89% httpd 55174 www 1 280 38836K 23512K select 3 0:02 7.08% httpd 55217 www 1 290 38836K 23272K select 0 0:01 6.79% httpd 54752 www 1 310 34740K 22176K select 2 0:05 6.40% httpd 55123 www 1 290 34740K 21852K select 0 0:01 6.05% httpd 55091 www 1 310 34740K 21616K select 3 0:02 5.18% httpd 54407 www 1 260 34740K 22180K select 1 0:11 3.27% httpd 55120 www 1 240 34740K 21792K select 3 0:02 3.08% httpd 55008 www 1 240 38836K 26232K select 3 0:03 2.39% httpd 55006 www 1 220 34740K 21964K accept 1 0:03 2.29% httpd 55156 www 1 220 34740K 19412K select 0 0:01 2.10% httpd 55216 www 1 240 34740K 19600K select 1 0:00 1.95% httpd 55090 www 1 220 34740K 21928K select 1 0:02 1.27% httpd 54915 www 1 220 38836K 23540K accept 1 0:02 0.78% httpd 55212 www 1 220 34740K 19148K accept 3 0:00 0.59% httpd Existe algum tunning básico que posso fazer no apache para melhorar (diminuir) o uso do CPU ? Obrigado desde já - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd No meu está assim PID USERNAME THR PRI NICE SIZERES STATE C TIME WCPU COMMAND 51919 www 1 460 195M 22256K accept 3 0:08 0.00% httpd 54557 www 1 460 195M 22260K accept 0 0:06 0.00% httpd 52803 www 1 460 195M 22280K accept 0 0:04 0.00% httpd 59094 www 1 440 195M 22272K accept 2 0:03 0.00% httpd 59095 www 1 460 195M 22252K accept 3 0:03 0.00% httpd 59993 www 1 440 195M 22288K accept 2 0:02 0.00% httpd 64450 www 1 440 195M 22280K accept 0 0:01 0.00% httpd 60559 www 1 480 193M 19420K accept 3 0:00 0.00% httpd 66484 www 1 440 189M 11388K accept 0 0:00 0.00% httpd 66630 www 1 440 189M 11388K accept 2 0:00 0.00% httpd Qual o PHP que está usando, mais tipo deve ter uns 5 ou 6 dispositivos acessando esse servidor, qual a quantidade de acesso do seu server ? Att, Paulo Henrique, -- Paulo Henrique BSD Brasil Fone: (21) 9683-5433 Genuine user Unix/BSD :D - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas tunning apache
php5-5.4.5 postgres 9.2 Sim, deve ter umas 4 ou 5 pessoas que fica com o browser aberto visualizando o sistema. abs On Fri, Oct 5, 2012 at 12:15 PM, Paulo Henrique - BSD paulo.rd...@bsd.com.br wrote: Qual o PHP que está usando, mais tipo deve ter uns 5 ou 6 dispositivos acessando esse servidor, qual a quantidade de acesso do seu server ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas tunning apache
Em 05-10-2012 13:17, Denis Granato escreveu: php5-5.4.5 postgres 9.2 Sim, deve ter umas 4 ou 5 pessoas que fica com o browser aberto visualizando o sistema. abs On Fri, Oct 5, 2012 at 12:15 PM, Paulo Henrique - BSD paulo.rd...@bsd.com.br wrote: Qual o PHP que está usando, mais tipo deve ter uns 5 ou 6 dispositivos acessando esse servidor, qual a quantidade de acesso do seu server ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Eu normalmente tenho altos ganhos de desempenho somente trocando apache para nginx em certos ambientes. Mas é estranho todo esse load para até 6 conexões abertas, mesmo para o Apache. -- --- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas tunning apache
sim , é estranho pela pequena quantidade. Por isso pedi a ajuda da galera aqui da lista obrigado a todos 2012/10/5 Luiz Gustavo Costa luizgust...@luizgustavo.pro.br Em 05-10-2012 13:17, Denis Granato escreveu: php5-5.4.5 postgres 9.2 Sim, deve ter umas 4 ou 5 pessoas que fica com o browser aberto visualizando o sistema. abs On Fri, Oct 5, 2012 at 12:15 PM, Paulo Henrique - BSD paulo.rd...@bsd.com.br wrote: Qual o PHP que está usando, mais tipo deve ter uns 5 ou 6 dispositivos acessando esse servidor, qual a quantidade de acesso do seu server ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Eu normalmente tenho altos ganhos de desempenho somente trocando apache para nginx em certos ambientes. Mas é estranho todo esse load para até 6 conexões abertas, mesmo para o Apache. -- --- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas tunning apache
Em 05/10/12 11:54, Denis Granato escreveu: Bom dia senhores, Tenho 1 servidor zabbix aqui com o apache cru e hoje tenho os seguintes processos PID USERNAME THR PRI NICE SIZERES STATE C TIME WCPU COMMAND 55122 www 1 260 34740K 22136K select 0 0:03 8.89% httpd 55174 www 1 280 38836K 23512K select 3 0:02 7.08% httpd 55217 www 1 290 38836K 23272K select 0 0:01 6.79% httpd 54752 www 1 310 34740K 22176K select 2 0:05 6.40% httpd 55123 www 1 290 34740K 21852K select 0 0:01 6.05% httpd 55091 www 1 310 34740K 21616K select 3 0:02 5.18% httpd 54407 www 1 260 34740K 22180K select 1 0:11 3.27% httpd 55120 www 1 240 34740K 21792K select 3 0:02 3.08% httpd 55008 www 1 240 38836K 26232K select 3 0:03 2.39% httpd 55006 www 1 220 34740K 21964K accept 1 0:03 2.29% httpd 55156 www 1 220 34740K 19412K select 0 0:01 2.10% httpd 55216 www 1 240 34740K 19600K select 1 0:00 1.95% httpd 55090 www 1 220 34740K 21928K select 1 0:02 1.27% httpd 54915 www 1 220 38836K 23540K accept 1 0:02 0.78% httpd 55212 www 1 220 34740K 19148K accept 3 0:00 0.59% httpd Existe algum tunning básico que posso fazer no apache para melhorar (diminuir) o uso do CPU ? Opa Denis, Faz um procstat -f pid nesses processos pra ver se tem algo estranho e dê uma olhada nos logs de acesso do apache. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas tunning apache
On Fri, Oct 5, 2012 at 2:06 PM, Marcelo Gondim gon...@bsdinfo.com.brwrote: Em 05/10/12 11:54, Denis Granato escreveu: Bom dia senhores, Tenho 1 servidor zabbix aqui com o apache cru e hoje tenho os seguintes processos PID USERNAME THR PRI NICE SIZERES STATE C TIME WCPU COMMAND 55122 www 1 260 34740K 22136K select 0 0:03 8.89% httpd 55174 www 1 280 38836K 23512K select 3 0:02 7.08% httpd 55217 www 1 290 38836K 23272K select 0 0:01 6.79% httpd 54752 www 1 310 34740K 22176K select 2 0:05 6.40% httpd 55123 www 1 290 34740K 21852K select 0 0:01 6.05% httpd 55091 www 1 310 34740K 21616K select 3 0:02 5.18% httpd 54407 www 1 260 34740K 22180K select 1 0:11 3.27% httpd 55120 www 1 240 34740K 21792K select 3 0:02 3.08% httpd 55008 www 1 240 38836K 26232K select 3 0:03 2.39% httpd 55006 www 1 220 34740K 21964K accept 1 0:03 2.29% httpd 55156 www 1 220 34740K 19412K select 0 0:01 2.10% httpd 55216 www 1 240 34740K 19600K select 1 0:00 1.95% httpd 55090 www 1 220 34740K 21928K select 1 0:02 1.27% httpd 54915 www 1 220 38836K 23540K accept 1 0:02 0.78% httpd 55212 www 1 220 34740K 19148K accept 3 0:00 0.59% httpd Existe algum tunning básico que posso fazer no apache para melhorar (diminuir) o uso do CPU ? Opa Denis, Faz um procstat -f pid nesses processos pra ver se tem algo estranho e dê uma olhada nos logs de acesso do apache. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd um deles: root@avvio-zabbix:/usr/local/share/zabbix/externalscripts # procstat -f 92179 PID COMM FD T V FLAGS REF OFFSET PRO NAME 92179 httpdtext v r r - - - /usr/local/sbin/httpd 92179 httpd cwd v d r - - - / 92179 httpdroot v d r - - - / 92179 httpd 0 v c r 18 0 - /dev/null 92179 httpd 1 v c -w--- 18 0 - /dev/null 92179 httpd 2 v r -wa-- 18 842 - /var/log/httpd-error.log 92179 httpd 3 s - rw--- 41 0 TCP ::.80 ::.0 92179 httpd 4 s - rw--- 18 0 TCP 0.0.0.0:0 0.0.0.0:0 92179 httpd 5 p - rw---n--- 18 0 - - 92179 httpd 6 p - rw--- 18 0 - - 92179 httpd 7 v r -wa-- 18 44807060 - /var/log/httpd-access.log 92179 httpd 8 v r rw--- 18 0 - /tmp/aprzRFJvV 92179 httpd 9 v r -w--- 18 0 - /var/run/accept.lock.1311 92179 httpd 10 v r -w--- 1 0 - /var/run/accept.lock.1311 92179 httpd 11 v r -w--- 1 0 - /tmp/aprzRFJvV 92179 httpd 12 k - rw--- 1 0 - - 92179 httpd 13 s - rw---n--- 1 0 TCP :::10.0.0.5.80 :::10.0.0.102.59721 No log de erro do apache não tem nada, e no log de acesso somente as coneções dos usuários - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas no qmail
2012/8/31 Leonardo Augusto lalin...@gmail.com 2012/8/30 Leonardo de Souza plis...@gmail.com: Pessoal como uso o comando show para verificar os e-mails que estão chegando na caixa de entrada dentro do servidor ? Grato pelo que eu pesquisei seria esse o comando dentro de vpopmail/domains/dominio # show | grep nome da conta ? Até onde eu sei, em se tratando de Maildir, vc ve as mensagens novas na respectiva conta na pasta new, após serem acessadas pelo imap, elas vao para a pasta cur. []´s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Leonardo, Material bom sobre qmail: http://qmail.telles.org/ []s -- Luciano Antonio Borguetti Faustino http://lucianoborguetti.wordpress.com 50 61 72 61 62 e9 6e 73 2c 20 76 6f 63 ea 20 63 6f 6e 73 65 67 75 65 20 6c 65 72 21 20 3a 2d 29 ~ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas no qmail
2012/8/30 Leonardo de Souza plis...@gmail.com: Pessoal como uso o comando show para verificar os e-mails que estão chegando na caixa de entrada dentro do servidor ? Grato pelo que eu pesquisei seria esse o comando dentro de vpopmail/domains/dominio # show | grep nome da conta ? Até onde eu sei, em se tratando de Maildir, vc ve as mensagens novas na respectiva conta na pasta new, após serem acessadas pelo imap, elas vao para a pasta cur. []´s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] DUVIDAS COM OPENBGPD
Opa. Bom dia ! Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação ( http://www.openbsd.org/papers/linuxtag06-network.pdf) Seria isso: # publicacao de 8 a 24 bits, nem mais nem menos allow from any prefixlen 8 - 24 # nao aceita publicacao de rota padrao deny from any prefix 0.0.0.0/0 # Redes as quais nunca permitiremos publicacao de rotas deny from any prefix 10.0.0.0/8 prefixlen = 8 deny from any prefix 172.16.0.0/12 prefixlen = 12 deny from any prefix 192.168.0.0/16 prefixlen = 16 deny from any prefix 169.254.0.0/16 prefixlen = 16 deny from any prefix 192.0.2.0/24 prefixlen = 24 deny from any prefix 224.0.0.0/4 prefixlen = 4 deny from any prefix 240.0.0.0/4 prefixlen = 4 Bom quanto aos filtros é basicamente isso. Em 28 de março de 2012 17:37, Crica Bsd crica...@gmail.com escreveu: Boa Tarde. Sou novo no cenário BGP, estou implementando meu primeiro BGP e estou com algumas duvidas. Estou utilizando o OpenBGPD e FreeBSD. Vamos as duvidas. * * *Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e o Firewall da rede na mesma maquina ? caso não qual seria o cenário ideal ou mais indicado ? *Segunda:* Na configuração do bgpd.conf que segui ( http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com alguns filtros: # filter out prefixes longer than 24 or shorter than 8 bits deny from any allow from any prefixlen 8 - 24 # do not accept a default route deny from any prefix 0.0.0.0/0 # filter bogus networks deny from any prefix 10.0.0.0/8 prefixlen = 8 deny from any prefix 172.16.0.0/12 prefixlen = 12 deny from any prefix 192.168.0.0/16 prefixlen = 16 deny from any prefix 169.254.0.0/16 prefixlen = 16 deny from any prefix 192.0.2.0/24 prefixlen = 24 deny from any prefix 224.0.0.0/4 prefixlen = 4 deny from any prefix 240.0.0.0/4 prefixlen = Dei uma procurada mas ainda não consegui entender como eles funcionam. Alguém com experiência e um pouco de paciência pode exclare-los de forma mais clara. Grato desde já a todos pela atenção. Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att Flávio Marcelo Network and Systems Administrator souza@gmail.com flavio...@hotmail.com www.fug.com.br “Se não posso fazer tudo que devo, devo ao menos fazer tudo que posso. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] DUVIDAS COM OPENBGPD
isto aí mesmo. você pode adicionar nas linhas de deny from any seu bloco CIDR, garantindo assim que você não receba uma rota para seu bloco vindo de alguém que por engano ou maliciosamente anunciou sua rede(200.0.0.0/20 no exemplo): deny from any prefix 0.0.0.0/0 deny from any prefix 200.0.0.0/20 [] deny from any prefix 240.0.0.0/4 prefixlen= 4 [...] etc Coloque também uma linha do tipo allow to any prefix 200.0.0.0/20 deny to any prefix 0.0.0.0/0 isto vai garantir o inverso: que você vai divulgar para seus peers somente o seu CIDR(200.0.0.0/20 no exemplo) e não vai divulgar nada mais. Isto vai garantir que caso você tenha colocado na configuração alguma rede a mais - por engano - ou então colocado - por engano - na configuração do peer uma linha anounce all, não vai entregar redes que não são suas ou todas as rotas que você aprende de outros parceiros , virando um provedor de trânsito ou sequestrando outras redes, caso seus peers não façam a filtragem de rotas enviadas por você(muito difícil uma operadora não fazer isto, mas nunca se sabe... desastres ocorrem assim). []s Em 02/04/2012 10:33, Flávio Marcelo escreveu: Opa. Bom dia ! Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação ( http://www.openbsd.org/papers/linuxtag06-network.pdf) Seria isso: # publicacao de 8 a 24 bits, nem mais nem menos allow from any prefixlen 8 - 24 # nao aceita publicacao de rota padrao deny from any prefix 0.0.0.0/0 # Redes as quais nunca permitiremos publicacao de rotas deny from any prefix 10.0.0.0/8 prefixlen= 8 deny from any prefix 172.16.0.0/12 prefixlen= 12 deny from any prefix 192.168.0.0/16 prefixlen= 16 deny from any prefix 169.254.0.0/16 prefixlen= 16 deny from any prefix 192.0.2.0/24 prefixlen= 24 deny from any prefix 224.0.0.0/4 prefixlen= 4 deny from any prefix 240.0.0.0/4 prefixlen= 4 Bom quanto aos filtros é basicamente isso. Em 28 de março de 2012 17:37, Crica Bsdcrica...@gmail.com escreveu: Boa Tarde. Sou novo no cenário BGP, estou implementando meu primeiro BGP e estou com algumas duvidas. Estou utilizando o OpenBGPD e FreeBSD. Vamos as duvidas. * * *Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e o Firewall da rede na mesma maquina ? caso não qual seria o cenário ideal ou mais indicado ? *Segunda:* Na configuração do bgpd.conf que segui ( http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com alguns filtros: # filter out prefixes longer than 24 or shorter than 8 bits deny from any allow from any prefixlen 8 - 24 # do not accept a default route deny from any prefix 0.0.0.0/0 # filter bogus networks deny from any prefix 10.0.0.0/8 prefixlen= 8 deny from any prefix 172.16.0.0/12 prefixlen= 12 deny from any prefix 192.168.0.0/16 prefixlen= 16 deny from any prefix 169.254.0.0/16 prefixlen= 16 deny from any prefix 192.0.2.0/24 prefixlen= 24 deny from any prefix 224.0.0.0/4 prefixlen= 4 deny from any prefix 240.0.0.0/4 prefixlen= Dei uma procurada mas ainda não consegui entender como eles funcionam. Alguém com experiência e um pouco de paciência pode exclare-los de forma mais clara. Grato desde já a todos pela atenção. Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] DUVIDAS COM OPENBGPD
Em 02/04/2012 10:33, Flávio Marcelo escreveu: Opa. Bom dia ! Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação ( http://www.openbsd.org/papers/linuxtag06-network.pdf) Seria isso: # publicacao de 8 a 24 bits, nem mais nem menos allow from any prefixlen 8 - 24 # nao aceita publicacao de rota padrao deny from any prefix 0.0.0.0/0 # Redes as quais nunca permitiremos publicacao de rotas deny from any prefix 10.0.0.0/8 prefixlen= 8 deny from any prefix 172.16.0.0/12 prefixlen= 12 deny from any prefix 192.168.0.0/16 prefixlen= 16 deny from any prefix 169.254.0.0/16 prefixlen= 16 deny from any prefix 192.0.2.0/24 prefixlen= 24 deny from any prefix 224.0.0.0/4 prefixlen= 4 deny from any prefix 240.0.0.0/4 prefixlen= 4 Bom quanto aos filtros é basicamente isso. Em 28 de março de 2012 17:37, Crica Bsdcrica...@gmail.com escreveu: Boa Tarde. Sou novo no cenário BGP, estou implementando meu primeiro BGP e estou com algumas duvidas. Estou utilizando o OpenBGPD e FreeBSD. Vamos as duvidas. * * *Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e o Firewall da rede na mesma maquina ? caso não qual seria o cenário ideal ou mais indicado ? *Segunda:* Na configuração do bgpd.conf que segui ( http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com alguns filtros: # filter out prefixes longer than 24 or shorter than 8 bits deny from any allow from any prefixlen 8 - 24 Tem um errinho nessa linha acima, pelo menos quando fiz dava erro aqui no meu openbgp e o serviço não levantava. Seria: allow from any inet prefixlen 8 - 24 Porque pelo que vi no man se não especificar o bloco no prefixlen, precisa dizer antes se é inet ou inet6. ;) # do not accept a default route deny from any prefix 0.0.0.0/0 # filter bogus networks deny from any prefix 10.0.0.0/8 prefixlen= 8 deny from any prefix 172.16.0.0/12 prefixlen= 12 deny from any prefix 192.168.0.0/16 prefixlen= 16 deny from any prefix 169.254.0.0/16 prefixlen= 16 deny from any prefix 192.0.2.0/24 prefixlen= 24 deny from any prefix 224.0.0.0/4 prefixlen= 4 deny from any prefix 240.0.0.0/4 prefixlen= Dei uma procurada mas ainda não consegui entender como eles funcionam. Alguém com experiência e um pouco de paciência pode exclare-los de forma mais clara. Grato desde já a todos pela atenção. Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] DUVIDAS COM OPENBGPD
Bem lembrado Marcelo: Tem mesmo o inet antes do prefixlen Renato valew pela dica. A pergunta do Crica foi interessante, há alguma objeção em utilizar BGP e FIREWALL na mesma maquina ? Abraços. Em 2 de abril de 2012 14:21, Marcelo Gondim gon...@bsdinfo.com.brescreveu: Em 02/04/2012 10:33, Flávio Marcelo escreveu: Opa. Bom dia ! Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação ( http://www.openbsd.org/papers/linuxtag06-network.pdf) Seria isso: # publicacao de 8 a 24 bits, nem mais nem menos allow from any prefixlen 8 - 24 # nao aceita publicacao de rota padrao deny from any prefix 0.0.0.0/0 # Redes as quais nunca permitiremos publicacao de rotas deny from any prefix 10.0.0.0/8 prefixlen= 8 deny from any prefix 172.16.0.0/12 prefixlen= 12 deny from any prefix 192.168.0.0/16 prefixlen= 16 deny from any prefix 169.254.0.0/16 prefixlen= 16 deny from any prefix 192.0.2.0/24 prefixlen= 24 deny from any prefix 224.0.0.0/4 prefixlen= 4 deny from any prefix 240.0.0.0/4 prefixlen= 4 Bom quanto aos filtros é basicamente isso. Em 28 de março de 2012 17:37, Crica Bsdcrica...@gmail.com escreveu: Boa Tarde. Sou novo no cenário BGP, estou implementando meu primeiro BGP e estou com algumas duvidas. Estou utilizando o OpenBGPD e FreeBSD. Vamos as duvidas. * * *Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e o Firewall da rede na mesma maquina ? caso não qual seria o cenário ideal ou mais indicado ? *Segunda:* Na configuração do bgpd.conf que segui ( http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com alguns filtros: # filter out prefixes longer than 24 or shorter than 8 bits deny from any allow from any prefixlen 8 - 24 Tem um errinho nessa linha acima, pelo menos quando fiz dava erro aqui no meu openbgp e o serviço não levantava. Seria: allow from any inet prefixlen 8 - 24 Porque pelo que vi no man se não especificar o bloco no prefixlen, precisa dizer antes se é inet ou inet6. ;) # do not accept a default route deny from any prefix 0.0.0.0/0 # filter bogus networks deny from any prefix 10.0.0.0/8 prefixlen= 8 deny from any prefix 172.16.0.0/12 prefixlen= 12 deny from any prefix 192.168.0.0/16 prefixlen= 16 deny from any prefix 169.254.0.0/16 prefixlen= 16 deny from any prefix 192.0.2.0/24 prefixlen= 24 deny from any prefix 224.0.0.0/4 prefixlen= 4 deny from any prefix 240.0.0.0/4 prefixlen= Dei uma procurada mas ainda não consegui entender como eles funcionam. Alguém com experiência e um pouco de paciência pode exclare-los de forma mais clara. Grato desde já a todos pela atenção. Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att Flávio Marcelo Network and Systems Administrator souza@gmail.com flavio...@hotmail.com www.fug.com.br “Se não posso fazer tudo que devo, devo ao menos fazer tudo que posso. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] DUVIDAS COM OPENBGPD
On 02-04-2012 15:08, Flávio Marcelo wrote: Bem lembrado Marcelo: Tem mesmo o inet antes do prefixlen Renato valew pela dica. A pergunta do Crica foi interessante, há alguma objeção em utilizar BGP e FIREWALL na mesma maquina ? Abraços. Em 2 de abril de 2012 14:21, Marcelo Gondimgon...@bsdinfo.com.brescreveu: Em 02/04/2012 10:33, Flávio Marcelo escreveu: Opa. Bom dia ! Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação ( http://www.openbsd.org/papers/linuxtag06-network.pdf) Seria isso: # publicacao de 8 a 24 bits, nem mais nem menos allow from any prefixlen 8 - 24 # nao aceita publicacao de rota padrao deny from any prefix 0.0.0.0/0 # Redes as quais nunca permitiremos publicacao de rotas deny from any prefix 10.0.0.0/8 prefixlen= 8 deny from any prefix 172.16.0.0/12 prefixlen= 12 deny from any prefix 192.168.0.0/16 prefixlen= 16 deny from any prefix 169.254.0.0/16 prefixlen= 16 deny from any prefix 192.0.2.0/24 prefixlen= 24 deny from any prefix 224.0.0.0/4 prefixlen= 4 deny from any prefix 240.0.0.0/4 prefixlen= 4 Bom quanto aos filtros é basicamente isso. Em 28 de março de 2012 17:37, Crica Bsdcrica...@gmail.com escreveu: Boa Tarde. Sou novo no cenário BGP, estou implementando meu primeiro BGP e estou com algumas duvidas. Estou utilizando o OpenBGPD e FreeBSD. Vamos as duvidas. * * *Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e o Firewall da rede na mesma maquina ? caso não qual seria o cenário ideal ou mais indicado ? *Segunda:* Na configuração do bgpd.conf que segui ( http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com alguns filtros: # filter out prefixes longer than 24 or shorter than 8 bits deny from any allow from any prefixlen 8 - 24 Tem um errinho nessa linha acima, pelo menos quando fiz dava erro aqui no meu openbgp e o serviço não levantava. Seria: allow from any inet prefixlen 8 - 24 Porque pelo que vi no man se não especificar o bloco no prefixlen, precisa dizer antes se é inet ou inet6. ;) # do not accept a default route deny from any prefix 0.0.0.0/0 # filter bogus networks deny from any prefix 10.0.0.0/8 prefixlen= 8 deny from any prefix 172.16.0.0/12 prefixlen= 12 deny from any prefix 192.168.0.0/16 prefixlen= 16 deny from any prefix 169.254.0.0/16 prefixlen= 16 deny from any prefix 192.0.2.0/24 prefixlen= 24 deny from any prefix 224.0.0.0/4 prefixlen= 4 deny from any prefix 240.0.0.0/4 prefixlen= Dei uma procurada mas ainda não consegui entender como eles funcionam. Alguém com experiência e um pouco de paciência pode exclare-los de forma mais clara. Grato desde já a todos pela atenção. Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Eu diria depende muito do cenário se for um ISP provendo serviços inclusive a outros ISPs e com tráfego significativo o melhor a fazer é alocar todos os recursos do roteador OpenBGP para rotear pacotes o mais rápido possível e aí filtrar só mesmo pacotes dirigidos ao IP do host pra serviços como ssh e outros e deixar com que o sistema de firewall resolva a situação mas o pacote já foi entregueTenho casos onde simplesmente não existe firewall no roteador OpenBGP pois o tráfego bate na casa dos 500Mbps em momentos de pico e ai todos os recursos tem que estar disponíveis na sua plenitude e quanto mais rapido rotear o pacote melhor. Se for um usuário final, mesmo rodando BGP ai sim pode colocar junto um firewall completo incluindo até controle de banda via ALTQ uma vez que os requisitos este caso são diferentes. De qualquer forma não existe uma solução única e especial que se aplica sempre. Depende muito de seu cenário, quantos pps vc processa, número de interrupçoes por segundo geradas pelas placas de rede, chaveamento de contexto, etc, etc Existem situações que não ter firewall pode ajudar se a performance for um requisito. -- Cordialmente, Ricardo Ferreira Telecom, Tecnologia e Segurança da Informação CCDP, CCNP, CCDA, CCNA, MCSE, MCP --- Sotech Soluções Tecnologicas Rua da Alfazema, 761, 1o. andar - 102/103 41820-710 - Caminho das Árvores - Salvador-BA - Brasil Tel : 55 71 3472.9400 Cel : 55 71 9138 4630 Email:ricardo.ferre...@sotechdatacenter.com.br Site: www.sotechdatacenter.com.br Esta mensagem é dirigida apenas ao seu destinatário e pode conter informações confidenciais, não passíveis de divulgação nos termos da legislação em vigor. Caso tenha recebido esta mensagem por engano, solicitamos notificar a Sotech Soluções Tecnológicas e excluí-la de sua caixa postal. This message, including its attachments, may contain confidential information. If you have improperly received this message, please delete it from
Re: [FUG-BR] DUVIDAS COM OPENBGPD
Em 02/04/2012 15:08, Flávio Marcelo escreveu: Bem lembrado Marcelo: Tem mesmo o inet antes do prefixlen Renato valew pela dica. A pergunta do Crica foi interessante, há alguma objeção em utilizar BGP e FIREWALL na mesma maquina ? Eu vejo uma coisa interessante de se ter um firewall no router BGP. Em caso de ataques você pode dar um deny para determinado bloco e parar o roteamento para aquela rede. Alguns sistemas de proteção de DDoS utilizam essa técnica direto no BGP. Por falar nisso, alguém conhece algum IPS que rode no FreeBSD que faça inclusões em BGP pra proteção de ataques? Seria muito interessante. Estive pensando algo para eu implementar no nosso router. Abraços. Em 2 de abril de 2012 14:21, Marcelo Gondimgon...@bsdinfo.com.brescreveu: Em 02/04/2012 10:33, Flávio Marcelo escreveu: Opa. Bom dia ! Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação ( http://www.openbsd.org/papers/linuxtag06-network.pdf) Seria isso: # publicacao de 8 a 24 bits, nem mais nem menos allow from any prefixlen 8 - 24 # nao aceita publicacao de rota padrao deny from any prefix 0.0.0.0/0 # Redes as quais nunca permitiremos publicacao de rotas deny from any prefix 10.0.0.0/8 prefixlen= 8 deny from any prefix 172.16.0.0/12 prefixlen= 12 deny from any prefix 192.168.0.0/16 prefixlen= 16 deny from any prefix 169.254.0.0/16 prefixlen= 16 deny from any prefix 192.0.2.0/24 prefixlen= 24 deny from any prefix 224.0.0.0/4 prefixlen= 4 deny from any prefix 240.0.0.0/4 prefixlen= 4 Bom quanto aos filtros é basicamente isso. Em 28 de março de 2012 17:37, Crica Bsdcrica...@gmail.com escreveu: Boa Tarde. Sou novo no cenário BGP, estou implementando meu primeiro BGP e estou com algumas duvidas. Estou utilizando o OpenBGPD e FreeBSD. Vamos as duvidas. * * *Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e o Firewall da rede na mesma maquina ? caso não qual seria o cenário ideal ou mais indicado ? *Segunda:* Na configuração do bgpd.conf que segui ( http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com alguns filtros: # filter out prefixes longer than 24 or shorter than 8 bits deny from any allow from any prefixlen 8 - 24 Tem um errinho nessa linha acima, pelo menos quando fiz dava erro aqui no meu openbgp e o serviço não levantava. Seria: allow from any inet prefixlen 8 - 24 Porque pelo que vi no man se não especificar o bloco no prefixlen, precisa dizer antes se é inet ou inet6. ;) # do not accept a default route deny from any prefix 0.0.0.0/0 # filter bogus networks deny from any prefix 10.0.0.0/8 prefixlen= 8 deny from any prefix 172.16.0.0/12 prefixlen= 12 deny from any prefix 192.168.0.0/16 prefixlen= 16 deny from any prefix 169.254.0.0/16 prefixlen= 16 deny from any prefix 192.0.2.0/24 prefixlen= 24 deny from any prefix 224.0.0.0/4 prefixlen= 4 deny from any prefix 240.0.0.0/4 prefixlen= Dei uma procurada mas ainda não consegui entender como eles funcionam. Alguém com experiência e um pouco de paciência pode exclare-los de forma mais clara. Grato desde já a todos pela atenção. Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] DUVIDAS COM OPENBGPD
Também tenho interesse em implementar. Abraços. Em 2 de abril de 2012 15:25, Marcelo Gondim gon...@bsdinfo.com.brescreveu: Em 02/04/2012 15:08, Flávio Marcelo escreveu: Bem lembrado Marcelo: Tem mesmo o inet antes do prefixlen Renato valew pela dica. A pergunta do Crica foi interessante, há alguma objeção em utilizar BGP e FIREWALL na mesma maquina ? Eu vejo uma coisa interessante de se ter um firewall no router BGP. Em caso de ataques você pode dar um deny para determinado bloco e parar o roteamento para aquela rede. Alguns sistemas de proteção de DDoS utilizam essa técnica direto no BGP. Por falar nisso, alguém conhece algum IPS que rode no FreeBSD que faça inclusões em BGP pra proteção de ataques? Seria muito interessante. Estive pensando algo para eu implementar no nosso router. Abraços. Em 2 de abril de 2012 14:21, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Em 02/04/2012 10:33, Flávio Marcelo escreveu: Opa. Bom dia ! Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação ( http://www.openbsd.org/papers/linuxtag06-network.pdf) Seria isso: # publicacao de 8 a 24 bits, nem mais nem menos allow from any prefixlen 8 - 24 # nao aceita publicacao de rota padrao deny from any prefix 0.0.0.0/0 # Redes as quais nunca permitiremos publicacao de rotas deny from any prefix 10.0.0.0/8 prefixlen= 8 deny from any prefix 172.16.0.0/12 prefixlen= 12 deny from any prefix 192.168.0.0/16 prefixlen= 16 deny from any prefix 169.254.0.0/16 prefixlen= 16 deny from any prefix 192.0.2.0/24 prefixlen= 24 deny from any prefix 224.0.0.0/4 prefixlen= 4 deny from any prefix 240.0.0.0/4 prefixlen= 4 Bom quanto aos filtros é basicamente isso. Em 28 de março de 2012 17:37, Crica Bsdcrica...@gmail.com escreveu: Boa Tarde. Sou novo no cenário BGP, estou implementando meu primeiro BGP e estou com algumas duvidas. Estou utilizando o OpenBGPD e FreeBSD. Vamos as duvidas. * * *Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e o Firewall da rede na mesma maquina ? caso não qual seria o cenário ideal ou mais indicado ? *Segunda:* Na configuração do bgpd.conf que segui ( http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com alguns filtros: # filter out prefixes longer than 24 or shorter than 8 bits deny from any allow from any prefixlen 8 - 24 Tem um errinho nessa linha acima, pelo menos quando fiz dava erro aqui no meu openbgp e o serviço não levantava. Seria: allow from any inet prefixlen 8 - 24 Porque pelo que vi no man se não especificar o bloco no prefixlen, precisa dizer antes se é inet ou inet6. ;) # do not accept a default route deny from any prefix 0.0.0.0/0 # filter bogus networks deny from any prefix 10.0.0.0/8 prefixlen= 8 deny from any prefix 172.16.0.0/12 prefixlen= 12 deny from any prefix 192.168.0.0/16 prefixlen= 16 deny from any prefix 169.254.0.0/16 prefixlen= 16 deny from any prefix 192.0.2.0/24 prefixlen= 24 deny from any prefix 224.0.0.0/4 prefixlen= 4 deny from any prefix 240.0.0.0/4 prefixlen= Dei uma procurada mas ainda não consegui entender como eles funcionam. Alguém com experiência e um pouco de paciência pode exclare-los de forma mais clara. Grato desde já a todos pela atenção. Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att Flávio Marcelo Network and Systems Administrator souza@gmail.com flavio...@hotmail.com www.fug.com.br “Se não posso fazer tudo que devo, devo ao menos fazer tudo que posso. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas com PF
2012/1/31 Diogo Dalfovo b1n4r1w...@gmail.com Bom dia pessoal!!! A um bom tempo atras eu ja tinha recorrido lista por uma duvida parecida, mas gostaria de saber se é possivel eu fazer o filtro de uma regra binat? Ex: # Redireionamento bidirecional para email binat on $ext_if from 192.168.0.12/32 to any - x.x.x.244/32-- BRT binat on $ext_if2 from 192.168.0.12/32 to any - y.y.y.226/32 -- Embratel Bloqueia tudo por padrao block in log on $ext_if block in log on $ext_if2 pass in log quick on $ext_if2 proto tcp from any to y.y.y.226 port 22 keep state -- não libera conexão ssh do binat. O ssh esta sendo usado apenas como exemplo ... pass in log quick on $ext_if2 proto tcp to $ip_ext2_alias0 port 22 keep state \ (max-src-conn 3,max-src-conn-rate 5/3, overload bruteforce flush global) label Acesso SSH Embratel -- acessa normal FW $ip_ext2_alias0 = y.y.y.227 pass in log quick on $ext_if proto tcp to $ip_ext port 22 keep state \ (max-src-conn 3,max-src-conn-rate 5/3, overload bruteforce flush global) label Acesso SSH BRT -- acessa normal FW $ip_ext = x.x.x.242 Agora se eu alterar a regra do binat para: binat pass on $ext_if from 192.168.0.12/32 to any - x.x.x.244/32 binat pass on $ext_if2 from 192.168.0.12/32 to any - y.y.y.226/32 Funciona 100%, poderia deixar assim mas gostaria de deixar passar somente algumas portas é possivel sem ter que deixar passar tudo na regra do binat? Obs: Infelizmente não foi possivel ainda colocar o servidor de email em uma DMZ. E o contrario tb deixando o binat com pass e tentando bloquear o acesso tb não funcionou. Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd opa boa tarde Diogo, não sou entendido do PF não, mas por acaso você já tentou usar a opção tag e tagged para marcar os pacotes? da uma olhada: http://www.openbsd.org/faq/pf/tagging.html -- *ENIO RODRIGO MARCONCINI* @eniomarconcini http://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcini http://www.facebook.com/eniomarconcini *H**ave a trouble with windows: reboot!* *Have a trouble with unix: be root!* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas com PF
Buenas, A primeira dúvida tá parecendo tabela de estado. talvez se você tentar limpar a tabela com o comando: pfctl -Fs Em relação a segunda dúvida, para o uso de reply-to/route-to você não precisa usar a tabela FIB, o próprio pf faz o roteamento. no caso ai, eu não sei se já tem ou não nas suas regras, mas você precisa especificar a saida dos links, tipo: pass out quick on $if_link1 route-to ($if_link1 $gw_link1) from any to $if_link2 pass out quick on $if_link2 route-to ($if_link2 $gw_link2) from any to $if_link1 *** Eu fiz de cabeça, não sei se é exatamente assim, mas é mais para entendimento (to sem tempo aqui pra pegar cola). abços Em Qua, 2011-12-07 às 15:31 -0200, Diogo Dalfovo escreveu: Boa Tarde Pessoal!! Estou refazendo o meu PF e surgiram algumas duvidas em relação ao bloqueio e liberação, vamos la: tenho como padrao bloquear tudo que entra: #set block-policy drop set block-policy return #bloqueia tudo por padrao block in log all e depois eu libero o icmp por exemplo #teste pass in log quick on $int_if proto icmp from $lan_net to $ip_firewall ele vai pingar sem problemas, agora quando eu comento essa regra do icmp ou coloco block no lugar do pass e do um pfctl -f /etc/pf.conf no monitoramento do pftop ele desaparece mas continua o ping agora se eu depois de comentar a regra eu desabilitar e reabilitar o PF o bloqueio funciona. Pergunta: Existe alguma forma de fazer essa liberaçao e bloqueio sem que seja necessario parar e iniciar o PF? apenas usando o pfctl? Eu imagino o seguinte, estou recebendo um brute-force por exemplo se eu bloquear esse IP que ja tem uma sessao aberta no meu firewall so vou ter resultado se eu desabilitar e habilitar o PF? Segunda duvida. Estava lendo sobre o reply-to, configurei a tabela FIB para eu ter dois gateways OI/BRT e Embratel preciso que tudo que venha por um link volte pelo mesmo link ai que entra a duvida. Faço isso na regra de entrada da interface com o reply-to ou existe outra forma? #Link OI/BRT pass in log on $ext_if1 reply-to ($ext_if1 ($ext_if1)) inet proto tcp \ from any to any port { ssh } \ (max-src-conn 10, max-src-conn-rate 5/3, \ overload bruteforce flush global) #Link Embratel pass in log on $ext_if2 reply-to ($ext_if2 ($ext_if2)) inet proto tcp \ from any to any port { ssh } \ (max-src-conn 10, max-src-conn-rate 5/3, \ overload bruteforce flush global) Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas com PF
On Wed, 07 Dec 2011 15:47:26 -0200, Luiz Gustavo wrote: Buenas, A primeira dúvida tá parecendo tabela de estado. talvez se você tentar limpar a tabela com o comando: pfctl -Fs Em relação a segunda dúvida, para o uso de reply-to/route-to você não precisa usar a tabela FIB, o próprio pf faz o roteamento. no caso ai, eu não sei se já tem ou não nas suas regras, mas você precisa especificar a saida dos links, tipo: pass out quick on $if_link1 route-to ($if_link1 $gw_link1) from any to $if_link2 pass out quick on $if_link2 route-to ($if_link2 $gw_link2) from any to $if_link1 *** Eu fiz de cabeça, não sei se é exatamente assim, mas é mais para entendimento (to sem tempo aqui pra pegar cola). abços Em Qua, 2011-12-07 às 15:31 -0200, Diogo Dalfovo escreveu: Boa Tarde Pessoal!! Estou refazendo o meu PF e surgiram algumas duvidas em relação ao bloqueio e liberação, vamos la: tenho como padrao bloquear tudo que entra: #set block-policy drop set block-policy return #bloqueia tudo por padrao block in log all e depois eu libero o icmp por exemplo #teste pass in log quick on $int_if proto icmp from $lan_net to $ip_firewall ele vai pingar sem problemas, agora quando eu comento essa regra do icmp ou coloco block no lugar do pass e do um pfctl -f /etc/pf.conf no monitoramento do pftop ele desaparece mas continua o ping agora se eu depois de comentar a regra eu desabilitar e reabilitar o PF o bloqueio funciona. Pergunta: Existe alguma forma de fazer essa liberaçao e bloqueio sem que seja necessario parar e iniciar o PF? apenas usando o pfctl? Eu imagino o seguinte, estou recebendo um brute-force por exemplo se eu bloquear esse IP que ja tem uma sessao aberta no meu firewall so vou ter resultado se eu desabilitar e habilitar o PF? Segunda duvida. Estava lendo sobre o reply-to, configurei a tabela FIB para eu ter dois gateways OI/BRT e Embratel preciso que tudo que venha por um link volte pelo mesmo link ai que entra a duvida. Faço isso na regra de entrada da interface com o reply-to ou existe outra forma? #Link OI/BRT pass in log on $ext_if1 reply-to ($ext_if1 ($ext_if1)) inet proto tcp \ from any to any port { ssh } \ (max-src-conn 10, max-src-conn-rate 5/3, \ overload bruteforce flush global) #Link Embratel pass in log on $ext_if2 reply-to ($ext_if2 ($ext_if2)) inet proto tcp \ from any to any port { ssh } \ (max-src-conn 10, max-src-conn-rate 5/3, \ overload bruteforce flush global) Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Para bloquear sem precisar reinciar o pf, você pode usar table: # touch /var/db/pf/icmp_liberados pf.conf: table icmp_liberados persist file /var/db/pf/icmp_liberados pass in log quick on $int_if proto icmp from icmp_liberados to $ip_firewall Então você pode adicionar os endereços IP/faixas em /var/db/pf/icmp_liberados (1 por linha) ou via pfctl -t icmp_liberados -T add IP. Veja mais em man pf.conf(5) att. -- vic http://choppnerd.com http://donttrack.us | http://dontbubble.us - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas com PF
Boa Tarde Luiz... Muito obrigado pelas dicas... neste caso entao nao vou precisar da tabela FIB pergunto isso pelo seguinte atras do firewall vou ter um servidor de email oq eu fiz: duas regras do binat para testar ver se vai funcionar uma para cada link se nao funcionar iria usar o reply-to para tudo que entrar pelo link sair por ele mesmo o route-to eu ja tenho aqui para trafego de saida http,https e funciona maravilhosamente bem... não sei se estou na caminho certo ou so estou fazendo confusao hehehe... E sobre a regra eu escrevi errado mesmo hehehe Muito obrigado Diogo Em 7 de dezembro de 2011 15:47, Luiz Gustavo luizgust...@luizgustavo.pro.br escreveu: Buenas, A primeira dúvida tá parecendo tabela de estado. talvez se você tentar limpar a tabela com o comando: pfctl -Fs Em relação a segunda dúvida, para o uso de reply-to/route-to você não precisa usar a tabela FIB, o próprio pf faz o roteamento. no caso ai, eu não sei se já tem ou não nas suas regras, mas você precisa especificar a saida dos links, tipo: pass out quick on $if_link1 route-to ($if_link1 $gw_link1) from any to $if_link2 pass out quick on $if_link2 route-to ($if_link2 $gw_link2) from any to $if_link1 *** Eu fiz de cabeça, não sei se é exatamente assim, mas é mais para entendimento (to sem tempo aqui pra pegar cola). abços Em Qua, 2011-12-07 às 15:31 -0200, Diogo Dalfovo escreveu: Boa Tarde Pessoal!! Estou refazendo o meu PF e surgiram algumas duvidas em relação ao bloqueio e liberação, vamos la: tenho como padrao bloquear tudo que entra: #set block-policy drop set block-policy return #bloqueia tudo por padrao block in log all e depois eu libero o icmp por exemplo #teste pass in log quick on $int_if proto icmp from $lan_net to $ip_firewall ele vai pingar sem problemas, agora quando eu comento essa regra do icmp ou coloco block no lugar do pass e do um pfctl -f /etc/pf.conf no monitoramento do pftop ele desaparece mas continua o ping agora se eu depois de comentar a regra eu desabilitar e reabilitar o PF o bloqueio funciona. Pergunta: Existe alguma forma de fazer essa liberaçao e bloqueio sem que seja necessario parar e iniciar o PF? apenas usando o pfctl? Eu imagino o seguinte, estou recebendo um brute-force por exemplo se eu bloquear esse IP que ja tem uma sessao aberta no meu firewall so vou ter resultado se eu desabilitar e habilitar o PF? Segunda duvida. Estava lendo sobre o reply-to, configurei a tabela FIB para eu ter dois gateways OI/BRT e Embratel preciso que tudo que venha por um link volte pelo mesmo link ai que entra a duvida. Faço isso na regra de entrada da interface com o reply-to ou existe outra forma? #Link OI/BRT pass in log on $ext_if1 reply-to ($ext_if1 ($ext_if1)) inet proto tcp \ from any to any port { ssh } \ (max-src-conn 10, max-src-conn-rate 5/3, \ overload bruteforce flush global) #Link Embratel pass in log on $ext_if2 reply-to ($ext_if2 ($ext_if2)) inet proto tcp \ from any to any port { ssh } \ (max-src-conn 10, max-src-conn-rate 5/3, \ overload bruteforce flush global) Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas com PF
Boa tarde Vic Muito obrigado eu vo da uma olha nisso tambem... Diogo Para bloquear sem precisar reinciar o pf, você pode usar table: # touch /var/db/pf/icmp_liberados pf.conf: table icmp_liberados persist file /var/db/pf/icmp_liberados pass in log quick on $int_if proto icmp from icmp_liberados to $ip_firewall Então você pode adicionar os endereços IP/faixas em /var/db/pf/icmp_liberados (1 por linha) ou via pfctl -t icmp_liberados -T add IP. Veja mais em man pf.conf(5) att. -- vic http://choppnerd.com http://donttrack.us | http://dontbubble.us - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas quanto ao kernel, device.hints e loader.conf
On Apr 3, 2011, at 10:10 PM, ricardomos...@yahoo.com.br wrote: Boa noite pessoal, Estou com uma duvida quanto ao processo de descoberta de hardware no momento em que o kernel eh carregado para a memoria. Duvidas: 1) Digamos que o kernel que esta sendo carregado para a memoria eh o GENERIC. Ele vai iniciar a descoberta de dispositivos (device.probing). Caso o meu kernel generico nao esteja possua suporte para uma determinada placa de rede, ele simplesmente nao vai mostrar a placa ou mesmo nao suportando a placa ele mostraria a placa (na saida do comando dmesg) embora nao ligaria nenhum device pra mesma assim como tambem nao carregaria o mudulo de controle pra mesma? Queria saber se a palavra nao suportar significa que ele nem mesmo mostra o dispositivo na saida do dmesg ou ao menos mostra mas nao carrega o seu drive (jah que ele nao suporta). 2) Sei que posso passar valores de variaveis (device.hints) com o comando set.Sei tambem que posso devinir esses valores no /boot/device.hints.Mas me perco quando falam que o /boot/loader.conf pode ser usado para definir variaveis. Qual seria entao a grande diferenca entre os dois jah que eu posso definir variaveis nos dois arquivos? 1) Depende de onde sua placa esta conectada. Existem vários tipos de bus para conexão de dispositivos, sendo que alguns fazem a auto numeração dos dispositivos no bus (PCI, PCIe, USB, ISA com PnP) enquanto em outros casos isso não é possível (geralmente dispositivos embarcados). Nesses casos (de bus auto numerado) você consegue listar os dispositivos no bus independente do kernel ter ou não um driver para o dispositivo (pciconf -lv, usbconfig [dump_device_desc|dump_info|show_ifdrv]). Quando um dispositivo esta em um bus sem auto numeração, a única forma do kernel saber que o dispositivo esta lá, no bus X, na irq Y e utilizando MMIO no endereço Z é através do arquivo de hints (ou mais recentemente através de FDT - somente disponível na plataforma ARM). 2) O arquivo de hints esta ligado ao kernel somente (como o próprio nome diz: device.hints) e não pode ser utilizado para setar o valor de 'sysctls'. A confusão vem do uso do bootloader do FreeBSD (/boot/loader), que fornece a interface para que você configure tanto device hints quanto variáveis de sistema (sysctls e parametros/argumentos para o kernel). Toda configuração feita em /boot/loader.conf é carregada pelo bootloader no momento do boot, que 'prepara o terreno' e carrega o kernel na memória (também é possível aproveitar e carregar módulos do kernel através do loader). Então o correto é fazer as configurações no /boot/loader.conf (e deixar o device.hints apenas para configuração de dispositivos que realmente não funcionam de outra forma). Att., Luiz - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas quanto ao kernel, device.hints e loader.conf
2011/4/3 ricardomos...@yahoo.com.br Boa noite pessoal, Estou com uma duvida quanto ao processo de descoberta de hardware no momento em que o kernel eh carregado para a memoria. Duvidas: 1) Digamos que o kernel que esta sendo carregado para a memoria eh o GENERIC. Ele vai iniciar a descoberta de dispositivos (device.probing). Caso o meu kernel generico nao esteja possua suporte para uma determinada placa de rede, ele simplesmente nao vai mostrar a placa ou mesmo nao suportando a placa ele mostraria a placa (na saida do comando dmesg) embora nao ligaria nenhum device pra mesma assim como tambem nao carregaria o mudulo de controle pra mesma? Queria saber se a palavra nao suportar significa que ele nem mesmo mostra o dispositivo na saida do dmesg ou ao menos mostra mas nao carrega o seu drive (jah que ele nao suporta). 2) Sei que posso passar valores de variaveis (device.hints) com o comando set.Sei tambem que posso devinir esses valores no /boot/device.hints.Mas me perco quando falam que o /boot/loader.conf pode ser usado para definir variaveis. Qual seria entao a grande diferenca entre os dois jah que eu posso definir variaveis nos dois arquivos? obrigado. RicardoMoscou - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd 1) O dmesg só vai mostrar o que o kernel reconheceu durante o processo de boot. 2) Achei interessante essa dúvida, gostaria que alguém pudesse dizer mais detalhes sobre isso. Pelo que pude ver, você pode setar as suas configurações em ambos os arquivos, mas caso queira manter essas configurações depois de alguma atualização do FBSD, o /boot/loader.conf é o mais indicado, já o /boot/device.hints pode sofrer modificações durante alguma atualização e você vai perder as suas configurações. -- Airton Arantes Coelho Filho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas quanto ao kernel, device.hints e loader.conf
Airton,Voce disse que o kernel vai mostrar somente o que ele reconheceu durante o boot.A minha duvida eh exatamente essa.O kernel so vai mostrar o que ele reconheceu e pode controlar (ou seja, tem driver para controlar o dispositivo) ou o kernel vai mostrar o que ele reconheceu e pode controlar como tambem o que ele nao pode controlar? Ou seja, o barramento eh lido e tudo que esta plugado vai ser mostrado independente do kernel poder controlar ou nao. Qual dessas afirmacoes eh valida? obrigado --- Em seg, 4/4/11, Airton Arantes airton.aran...@gmail.com escreveu: De: Airton Arantes airton.aran...@gmail.com Assunto: Re: [FUG-BR] Duvidas quanto ao kernel, device.hints e loader.conf Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Data: Segunda-feira, 4 de Abril de 2011, 2:34 2011/4/3 ricardomos...@yahoo.com.br Boa noite pessoal, Estou com uma duvida quanto ao processo de descoberta de hardware no momento em que o kernel eh carregado para a memoria. Duvidas: 1) Digamos que o kernel que esta sendo carregado para a memoria eh o GENERIC. Ele vai iniciar a descoberta de dispositivos (device.probing). Caso o meu kernel generico nao esteja possua suporte para uma determinada placa de rede, ele simplesmente nao vai mostrar a placa ou mesmo nao suportando a placa ele mostraria a placa (na saida do comando dmesg) embora nao ligaria nenhum device pra mesma assim como tambem nao carregaria o mudulo de controle pra mesma? Queria saber se a palavra nao suportar significa que ele nem mesmo mostra o dispositivo na saida do dmesg ou ao menos mostra mas nao carrega o seu drive (jah que ele nao suporta). 2) Sei que posso passar valores de variaveis (device.hints) com o comando set.Sei tambem que posso devinir esses valores no /boot/device.hints.Mas me perco quando falam que o /boot/loader.conf pode ser usado para definir variaveis. Qual seria entao a grande diferenca entre os dois jah que eu posso definir variaveis nos dois arquivos? obrigado. RicardoMoscou - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd 1) O dmesg só vai mostrar o que o kernel reconheceu durante o processo de boot. 2) Achei interessante essa dúvida, gostaria que alguém pudesse dizer mais detalhes sobre isso. Pelo que pude ver, você pode setar as suas configurações em ambos os arquivos, mas caso queira manter essas configurações depois de alguma atualização do FBSD, o /boot/loader.conf é o mais indicado, já o /boot/device.hints pode sofrer modificações durante alguma atualização e você vai perder as suas configurações. -- Airton Arantes Coelho Filho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas com FIB
Boa Tarde pessoal... Valeu Rogerio obrigado pelas informaçoes. Outra pergunta posso ter 2 binat pra um mesmo servidor? um binat da BRT e outro binat da Embratel? Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas com FIB
Cara, acho que não rola, porque como é mapeamento de 1:1, pode ser que o PF se perca no momento da tradução, não sabendo qual IP real usar... mas não custa fazer um teste... até mais. Em 22 de outubro de 2010 14:11, Diogo Dalfovo b1n4r1w...@gmail.comescreveu: Boa Tarde pessoal... Valeu Rogerio obrigado pelas informaçoes. Outra pergunta posso ter 2 binat pra um mesmo servidor? um binat da BRT e outro binat da Embratel? Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas com FIB
olha se resolve este link http://kimattree.blogspot.com/2009/05/setting-up-multi-gateway-freebsd.html Em 21 de outubro de 2010 10:04, Diogo Dalfovo b1n4r1w...@gmail.com escreveu: Bom dia pessoal!!! Desculpem se as duvidas forem basicas mas não achei o que eu precisava... Tenho 2 links BRT/OI e Embratel ate aqui tudo bem. Vou fazer o balanceamento com PF as regras ainda nao testei mas acredito que estejam ok. Pelo que eu entendi nao vou precisar mais do defaultrouter do rc.conf certo? so preciso adicionar as duas rotas pelo setfib dentro do rc.local? #setfib 0 route add default 200.x.x.x #setfib 1 route add default 201.x.x.x ate aqui tudo certo? a partir daqui que começam as duvidas com PF e FIB: Neste mesmo servidor tenho proxy (duas instancias uma autenticada e outra transparente) vou precisar apontar por qual rota o squid vai sair? setfib 1 squid -D por exemplo ou so usando o tcp_outgoing_address ja vai funcionar? poise nao vou ter mais uma rota padrao ou ele vai usar a 0 como se fosse a principal? tb tenho um binat isso nao vai se alterar certo? e pra definir que a porta 443 saia somente por um link isso esta correto?: pass in quick on $int_if route-to { ($ext_if2 $ip_gw_emb) } round-robin proto tcp from $lan_net to any port 443 flags S/SA modulate state ou no lugar do round-robin altero para o sticky-address? E a ultima duvida é a seguinte: quando faço as regras no PF ele pede o GW da rede blz coloco o ip do meu roteador. caso o roteador1 por exemplo caia a conexao , ele ta funcionando, pingo ele tudo porem dele pra frente nao trafega nada como o PF vai tratar isso? vou precisar montar um script para que mude de rota? ele vai entender e vai começar a mandar pra outra rota? ou vou precisar montar um script pra isso? Acho q é isso hehe Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas com FIB
Valeu Alessandro pela dica... vou adaptar pra o PF... Vou dar mais uma fuçada e qualquer coisa eu posto ae pra voces... Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas com FIB
Diogo, Se você vai usar PF, não precisa de FIB, basta usar route-to para o tráfego que sai da usa rede e reply-to para o tráfego que entra, dai você seleciona qual operadora quer que determinado serviço ou faixa IP vai usar A máquina não precisa ter rota padrão, e em relação ao squid acho que com tcp_outgoing_address Se os links são de mesma velocidade o PF vai suar o roud-robin Usa também ifstated, é um excelente daemon que monitorar seus links e executar ações determinadas por você, segue um link bacana do cara: https://calomel.org/ifstated.html Falou Em 21 de outubro de 2010 15:04, Diogo Dalfovo b1n4r1w...@gmail.comescreveu: Valeu Alessandro pela dica... vou adaptar pra o PF... Vou dar mais uma fuçada e qualquer coisa eu posto ae pra voces... Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas Updates Jail
Em 20 de julho de 2010 09:04, Diogo Dalfovo b1n4r1w...@gmail.com escreveu: Bom dia pessoal!!! Hoje tirei um tempinho pra tirar a poeira das jails e me deparei com o seguinte problema: Na maquina host eu corrigi todos os patchs de segurança (freebsd-update fetch/install) ate ae tudo bem. Porem quando eu criei as jails, estas nao tem esses patchs logo estao vulneraveis correto? Como faço para corrigir isso? Por desencargo executei (freebsd-update fetch/install) mas como era de se esperar ele diz q so tem permissao de somente leitura [1] [1] [r...@webserver ~]# freebsd-update install Installing updates...mkdir: /boot/kernel.old: Read-only file system touch: /boot/kernel.old/.freebsd-update: No such file or directory Could not create kernel backup directory Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Diogo, Acredito que a resposta a sua pergunta não é nada simples. Explico porque: o erro que você mostrou no e-mail é normal, vamos pensar bem. Jail é virtualização a nível de sistema operacional [1], ou seja, o sistema tem um único kernel rodando e os múltiplos sistemas virtuais são instâncias isoladas da userland, então o correto mesmo é que dê o erro que você atualizou. Agora, para fazer o update da jail vai depender de como você construiu ela. Por exemplo: Se você construiu a jail usando o método proposto no FreeBSD Handbook, lá no artigo tem como fazer o upgrade (item 15.6.4.1) [2] Se você usou o ezjail, a ferramenta tem suporte a upgrade (ezjail-admin update ...). Um link para ajudar está em [3]. Referências [1] http://en.wikipedia.org/wiki/Operating_system-level_virtualization [2] http://www.freebsd.org/doc/en/books/handbook/jails-application.html [3] http://www.cyberciti.biz/faq/howto-setup-freebsd-jail-with-ezjail/ -- FreeBSD - The Power to Serve www.freebsd.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas Updates Jail
Francisco... Cara muito obrigado... eu construi a jail usando o ezjail ... vou fazer os testes ali mas acho q é isso mesmo... Qualquer coisa volto a abrir o topico Obrigado. Diogo Dalfovo Em 21 de julho de 2010 09:37, Francisco Cardoso frica...@bsd.com.brescreveu: Em 20 de julho de 2010 09:04, Diogo Dalfovo b1n4r1w...@gmail.com escreveu: Bom dia pessoal!!! Hoje tirei um tempinho pra tirar a poeira das jails e me deparei com o seguinte problema: Na maquina host eu corrigi todos os patchs de segurança (freebsd-update fetch/install) ate ae tudo bem. Porem quando eu criei as jails, estas nao tem esses patchs logo estao vulneraveis correto? Como faço para corrigir isso? Por desencargo executei (freebsd-update fetch/install) mas como era de se esperar ele diz q so tem permissao de somente leitura [1] [1] [r...@webserver ~]# freebsd-update install Installing updates...mkdir: /boot/kernel.old: Read-only file system touch: /boot/kernel.old/.freebsd-update: No such file or directory Could not create kernel backup directory Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Diogo, Acredito que a resposta a sua pergunta não é nada simples. Explico porque: o erro que você mostrou no e-mail é normal, vamos pensar bem. Jail é virtualização a nível de sistema operacional [1], ou seja, o sistema tem um único kernel rodando e os múltiplos sistemas virtuais são instâncias isoladas da userland, então o correto mesmo é que dê o erro que você atualizou. Agora, para fazer o update da jail vai depender de como você construiu ela. Por exemplo: Se você construiu a jail usando o método proposto no FreeBSD Handbook, lá no artigo tem como fazer o upgrade (item 15.6.4.1) [2] Se você usou o ezjail, a ferramenta tem suporte a upgrade (ezjail-admin update ...). Um link para ajudar está em [3]. Referências [1] http://en.wikipedia.org/wiki/Operating_system-level_virtualization [2] http://www.freebsd.org/doc/en/books/handbook/jails-application.html [3] http://www.cyberciti.biz/faq/howto-setup-freebsd-jail-with-ezjail/ -- FreeBSD - The Power to Serve www.freebsd.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas Updates Jail
Em 20 de julho de 2010 09:04, Diogo Dalfovo b1n4r1w...@gmail.com escreveu: Bom dia pessoal!!! Hoje tirei um tempinho pra tirar a poeira das jails e me deparei com o seguinte problema: Na maquina host eu corrigi todos os patchs de segurança (freebsd-update fetch/install) ate ae tudo bem. Porem quando eu criei as jails, estas nao tem esses patchs logo estao vulneraveis correto? Como faço para corrigir isso? Por desencargo executei (freebsd-update fetch/install) mas como era de se esperar ele diz q so tem permissao de somente leitura [1] Nas jails desatualizadas só estão vulneráveis às falhas da userland (falha no bind, por exemplo) É recomendável atualizar pelo host, por exemplo: freebsd-update -b /caminho/ṕara/jail install - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas com forwarding de saida com PF
Jorge Petry escreveu: Olá pessoal. Minha dúvida é a seguinte: como fazer forward no PF como faço no ipfw como descrito: ipfw add fwd 192.168.2.253 ip from $red_int to www.dominio.com.br 22 ipfw add fwd 192.168.2.253 ip from $red_int to www.dominio2.com.br 3389 ipfw add fwd 192.168.2.253 ip from $red_int to www.dominio3.com.br Tentei isso no pf mas não funcionou: rdr pass on $int_if inet proto tcp from $red_int to any port 22 - $server rdr pass on $int_if inet proto tcp from $red_int to www.dominio.com.br port 3389 - $server Tenho um gateway de rede padrão com adsl e quero redirecionar essas conexões para sair pelo link corporativo com ips fixos. Fico no aguardo. Obrigado. Jorge Petry. Se eu entendi certo, seu problema será resolvido usando route-to do pf. -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas sobre pppoed e mdp
Muito se fala de pppoe Server mas não achei informações concretas, temos vários emails no histórico da lista mas nada que me esclarece algumas duvidas, no google não achei muita coisa. Gostaria de saber do pessoal que usa o pppoe Server ou md5 os prós e contras O pppoed nativo do freebsd está rodando legal na versão 6.x e 7.x (pois antes sei que tinha problemas com rotas e outras coisas na versão 7.x) Sim existiam (ou ainda existem) alguns problemas no ppp(8), mas que não afetam tanta gente assim. As correções já foram aceitas (estão no -current) mas só devem aparecer no 7-STABLE depois do release 7.2 para evitar qualquer incompatibilidade com as versões anteriores. Com os patches aplicados tudo funciona 100%. Qual seria o uso da memória por usuário ? Aprox. 3MB (ou um pouco mais) por usuário. O que séria melhor usar os usuários do sistema ou radius+mysql ? Não existe essa opção de usuários no sistema, existe a opção de utilizar o ppp.secret (um arquivo de usuarios e senhas para conexão do ppp) e a opção do radius. Tudo depende da quantidade de usuários que você pretende utilizar, para alguns poucos usuários o ppp.secret pode lhe atender e para algumas dezenas ou mais de usuários o radius deve ser a sua opção (além de permitir o cadastro de usuario+senha+mac-address e outras features por usuário - controle de banda por exemplo). Para pessoal que usa o mpd5 : Onde acho exemplos, pois já virei a net ? Se tiver exemplos pode me enviar ? Já olhou a documentação do software ? Infelizmente não tenho nenhum exemplo. Como via de regra, para poucas conexões você pode ir de ppp(8) e para algumas centenas ou mais de conexões simultaneas, utilize o mpd. Eu já vi algumas pessoas com quase mil (isso mesmo 1000) conexões pppoe simultaneas com o mpd. Isso é praticamente impossível com o ppp(8) devido ao alto uso de memória por usuário. O mpd também é uma implementação ppp no kernel (netgraph) enquanto o ppp(8) é implementado no userland (que faz alguma diferença se você for ter muitos acessos simultaneos). Será que pppoe é a melhor opção para um isp wireless ? Teria outra boa opção ? Captive portal, 802.1x, certificados, etc... Tudo depende do seu ambiente, SO dos clientes e mesmo da sua estrutura wireless. []'s Luiz - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas sobre pppoed e mdp
Muito obrigado pela sua explanação é que não tenho experiencia com pppoe só fiz alguns teste na bancada mas tem gente que asusta agente falando um monte de coisas sobre o pppoe que é bom que é ruim e para dar um tiro no escuro é dificil Estou pensando em fazer o seguinte montar em dois sites um com pppoe e outro com um captive portal que estou escrevendo em php para ver qual a melhor solução para meu caso depois colocar tudo isso em uma mini distro do freebsd para rodar em flash Muitos falam tb do pfsense mas eu não tive muita sorte com ele sempre que pego uma maquina para teste ele não rodar por algum motivo seila oq mas sei que muitos usam e gostam. Eu venho trabalando em uma mini distro já faz algum tempo usei como base o tinybsd e o próprio pfsense e monowall mas hoje ja tenho algumas técnicas para reduzir o freebsd e fircar bem perfeito só me falta mesmo acertar com o pppoe ou alguma outra solução para facilitar a conexão Luis voce poderia me explicar como eu faria para prender o mac no radius e o controle de banda, já vi muitos falando disso mas numca achei nada falando sobre isso, eu fiz dois script aqui que quando sobre o tunnel pppoe ele executa o up.sh e crias as regras do ipfw o e down.sh para remover as regras. seria algo parecido com isso ? muito obrigado !!! 2009/5/2 Luiz Otavio O Souza l...@visualconnect.com.br Muito se fala de pppoe Server mas não achei informações concretas, temos vários emails no histórico da lista mas nada que me esclarece algumas duvidas, no google não achei muita coisa. Gostaria de saber do pessoal que usa o pppoe Server ou md5 os prós e contras O pppoed nativo do freebsd está rodando legal na versão 6.x e 7.x (pois antes sei que tinha problemas com rotas e outras coisas na versão 7.x) Sim existiam (ou ainda existem) alguns problemas no ppp(8), mas que não afetam tanta gente assim. As correções já foram aceitas (estão no -current) mas só devem aparecer no 7-STABLE depois do release 7.2 para evitar qualquer incompatibilidade com as versões anteriores. Com os patches aplicados tudo funciona 100%. Qual seria o uso da memória por usuário ? Aprox. 3MB (ou um pouco mais) por usuário. O que séria melhor usar os usuários do sistema ou radius+mysql ? Não existe essa opção de usuários no sistema, existe a opção de utilizar o ppp.secret (um arquivo de usuarios e senhas para conexão do ppp) e a opção do radius. Tudo depende da quantidade de usuários que você pretende utilizar, para alguns poucos usuários o ppp.secret pode lhe atender e para algumas dezenas ou mais de usuários o radius deve ser a sua opção (além de permitir o cadastro de usuario+senha+mac-address e outras features por usuário - controle de banda por exemplo). Para pessoal que usa o mpd5 : Onde acho exemplos, pois já virei a net ? Se tiver exemplos pode me enviar ? Já olhou a documentação do software ? Infelizmente não tenho nenhum exemplo. Como via de regra, para poucas conexões você pode ir de ppp(8) e para algumas centenas ou mais de conexões simultaneas, utilize o mpd. Eu já vi algumas pessoas com quase mil (isso mesmo 1000) conexões pppoe simultaneas com o mpd. Isso é praticamente impossível com o ppp(8) devido ao alto uso de memória por usuário. O mpd também é uma implementação ppp no kernel (netgraph) enquanto o ppp(8) é implementado no userland (que faz alguma diferença se você for ter muitos acessos simultaneos). Será que pppoe é a melhor opção para um isp wireless ? Teria outra boa opção ? Captive portal, 802.1x, certificados, etc... Tudo depende do seu ambiente, SO dos clientes e mesmo da sua estrutura wireless. []'s Luiz - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas do IPFW
Quando você faz um requisição em um servidor e começa a carregar arquivos provenientes desse servidor, vocês está fazendo download, o trafego fica no sentido Origem externa para a rede interna no caso é IN quando você disponibilisa um arquivo para download, o trafego está no sentido Origem interna para a rede externa no caso OUT ficou esclarecido ? Até mais.. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas
to 192.168.1.57 out via xl0 01059 0 0 pipe 1059 ip from 192.168.1.59 to any in via xl0 01060 0 0 pipe 1060 ip from any to 192.168.1.59 out via xl0 01061 0 0 pipe 1061 ip from 192.168.1.60 to any in via xl0 01062 0 0 pipe 1062 ip from any to 192.168.1.60 out via xl0 01063 0 0 pipe 1063 ip from 192.168.1.61 to any in via xl0 01064 0 0 pipe 1064 ip from any to 192.168.1.61 out via xl0 65000 222 40016 divert 8668 ip from any to any via xl0 65500 144 deny log logamount 100 ip from any to any { src-ip 10.0.0.0/8 or dst-ip 10.0.0.0/8 } out via xl0 65500 0 0 deny log logamount 100 ip from any to any { src-ip 172.16.0.0/12 or dst-ip 172.16.0.0/12 } out via xl0 65500 0 0 deny log logamount 100 ip from any to any { src-ip 192.168.0.0/16 or dst-ip 192.168.0.0/16 } out via xl0 65535 237 41575 allow ip from any to any - Original Message - From: [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Wednesday, January 23, 2008 12:47 AM Subject: Re: [FUG-BR] duvidas opa melhorando :) Digite ai: ipfw show e cole as regras de firewall. Alessandro Fortuna escreveu: Amigo aqui eu tenho um switch 3Com que nele vao todos os meus cabos de rede tanto servidores como radios e cisco router, antigamente eu tinha um servidor FreeBSD que ´até então antes de apresentar problemas de Hardware nunca havia dado nenhum problema na rede, agora acabei de montar um servidor FreeBSD 6.2, quando coloco eu diretamente na placa de rede interna dele eu navego normalmente mas quando eu coloco ele no switch que no caso todos os clientes iram começar passar pelo meu servidor que ele faz nat para meus clientes, ninguem consegue ping ele inclusive eu. xl0: flags=8843UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST mtu 1500 options=9RXCSUM,VLAN_MTU inet 201.91.x.60 netmask 0xff00 broadcast 201.91.x.255 ether 00:0a:0d:d4:5f:c5 media: Ethernet autoselect (100baseTX full-duplex) status: active rl0: flags=8843UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST mtu 1500 options=8VLAN_MTU inet 192.168.1.254 netmask 0xff00 broadcast 192.168.1.255 ether 00:40:f4:61:66:2e media: Ethernet autoselect (100baseTX full-duplex) status: active plip0: flags=108810POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT mtu 1500 lo0: flags=8049UP,LOOPBACK,RUNNING,MULTICAST mtu 16384 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 inet6 ::1 prefixlen 128 inet 127.0.0.1 netmask 0xff00 2008/1/22, [EMAIL PROTECTED] [EMAIL PROTECTED]: Seja mais objetivo, mostre os erros por completo... nao tem como adivinhar sua duvida... T+ Alessandro Fortuna escreveu: Boa noite pessoal, monte um servidor FreeBSD com duas placas de rede uma com ip real e outra com ip de rede interna, vem um cabo de rede direto que liga na placa de IP Real e outra placa de rede liga em um hub que ficam ligadas duas maquinas clientes, entao com nos dois o servidores o servidor funciona tranquilamente e quando eu coloco ele na rede para meus clientes navegarem eu nao consigo ping meu gateway que no caso eh ele e fica dando erros Kernel: arp: alguém pode me ajudar, meu controle de banda eh feito por ipfw e squid para cache de paginas. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas
192.168.1.55 to any in via xl0 01052 0 0 pipe 1052 ip from any to 192.168.1.55 out via xl0- 01053 0 0 pipe 1053 ip from 192.168.1.56 to any in via xl0 01054 0 0 pipe 1054 ip from any to 192.168.1.56 out via xl0 01055 0 0 pipe 1055 ip from 192.168.1.57 to any in via xl0 01056 0 0 pipe 1056 ip from any to 192.168.1.57 out via xl0 01059 0 0 pipe 1059 ip from 192.168.1.59 to any in via xl0 01060 0 0 pipe 1060 ip from any to 192.168.1.59 out via xl0 01061 0 0 pipe 1061 ip from 192.168.1.60 to any in via xl0 01062 0 0 pipe 1062 ip from any to 192.168.1.60 out via xl0 01063 0 0 pipe 1063 ip from 192.168.1.61 to any in via xl0 01064 0 0 pipe 1064 ip from any to 192.168.1.61 out via xl0 65000 222 40016 divert 8668 ip from any to any via xl0 65500 144 deny log logamount 100 ip from any to any { src-ip 10.0.0.0/8 or dst-ip 10.0.0.0/8 } out via xl0 65500 0 0 deny log logamount 100 ip from any to any { src-ip 172.16.0.0/12 or dst-ip 172.16.0.0/12 } out via xl0 65500 0 0 deny log logamount 100 ip from any to any { src-ip 192.168.0.0/16 or dst-ip 192.168.0.0/16 } out via xl0 65535 237 41575 allow ip from any to any - Original Message - From: [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Wednesday, January 23, 2008 12:47 AM Subject: Re: [FUG-BR] duvidas opa melhorando :) Digite ai: ipfw show e cole as regras de firewall. Alessandro Fortuna escreveu: Amigo aqui eu tenho um switch 3Com que nele vao todos os meus cabos de rede tanto servidores como radios e cisco router, antigamente eu tinha um servidor FreeBSD que ´até então antes de apresentar problemas de Hardware nunca havia dado nenhum problema na rede, agora acabei de montar um servidor FreeBSD 6.2, quando coloco eu diretamente na placa de rede interna dele eu navego normalmente mas quando eu coloco ele no switch que no caso todos os clientes iram começar passar pelo meu servidor que ele faz nat para meus clientes, ninguem consegue ping ele inclusive eu. xl0: flags=8843UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST mtu 1500 options=9RXCSUM,VLAN_MTU inet 201.91.x.60 netmask 0xff00 broadcast 201.91.x.255 ether 00:0a:0d:d4:5f:c5 media: Ethernet autoselect (100baseTX full-duplex) status: active rl0: flags=8843UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST mtu 1500 options=8VLAN_MTU inet 192.168.1.254 netmask 0xff00 broadcast 192.168.1.255 ether 00:40:f4:61:66:2e media: Ethernet autoselect (100baseTX full-duplex) status: active plip0: flags=108810POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT mtu 1500 lo0: flags=8049UP,LOOPBACK,RUNNING,MULTICAST mtu 16384 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 inet6 ::1 prefixlen 128 inet 127.0.0.1 netmask 0xff00 2008/1/22, [EMAIL PROTECTED] [EMAIL PROTECTED]: Seja mais objetivo, mostre os erros por completo... nao tem como adivinhar sua duvida... T+ Alessandro Fortuna escreveu: Boa noite pessoal, monte um servidor FreeBSD com duas placas de rede uma com ip real e outra com ip de rede interna, vem um cabo de rede direto que liga na placa de IP Real e outra placa de rede liga em um hub que ficam ligadas duas maquinas clientes, entao com nos dois o servidores o servidor funciona tranquilamente e quando eu coloco ele na rede para meus clientes navegarem eu nao consigo ping meu gateway que no caso eh ele e fica dando erros Kernel: arp: alguém pode me ajudar, meu controle de banda eh feito por ipfw e squid para cache de paginas. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas
from 192.168.1.53 to any in via xl0 01050 0 0 pipe 1050 ip from any to 192.168.1.53 out via xl0 01051 0 0 pipe 1051 ip from 192.168.1.55 to any in via xl0 01052 0 0 pipe 1052 ip from any to 192.168.1.55 out via xl0- 01053 0 0 pipe 1053 ip from 192.168.1.56 to any in via xl0 01054 0 0 pipe 1054 ip from any to 192.168.1.56 out via xl0 01055 0 0 pipe 1055 ip from 192.168.1.57 to any in via xl0 01056 0 0 pipe 1056 ip from any to 192.168.1.57 out via xl0 01059 0 0 pipe 1059 ip from 192.168.1.59 to any in via xl0 01060 0 0 pipe 1060 ip from any to 192.168.1.59 out via xl0 01061 0 0 pipe 1061 ip from 192.168.1.60 to any in via xl0 01062 0 0 pipe 1062 ip from any to 192.168.1.60 out via xl0 01063 0 0 pipe 1063 ip from 192.168.1.61 to any in via xl0 01064 0 0 pipe 1064 ip from any to 192.168.1.61 out via xl0 65000 222 40016 divert 8668 ip from any to any via xl0 65500 144 deny log logamount 100 ip from any to any { src-ip 10.0.0.0/8 or dst-ip 10.0.0.0/8 } out via xl0 65500 0 0 deny log logamount 100 ip from any to any { src-ip 172.16.0.0/12 or dst-ip 172.16.0.0/12 } out via xl0 65500 0 0 deny log logamount 100 ip from any to any { src-ip 192.168.0.0/16 or dst-ip 192.168.0.0/16 } out via xl0 65535 237 41575 allow ip from any to any - Original Message - From: [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Wednesday, January 23, 2008 12:47 AM Subject: Re: [FUG-BR] duvidas opa melhorando :) Digite ai: ipfw show e cole as regras de firewall. Alessandro Fortuna escreveu: Amigo aqui eu tenho um switch 3Com que nele vao todos os meus cabos de rede tanto servidores como radios e cisco router, antigamente eu tinha um servidor FreeBSD que ´até então antes de apresentar problemas de Hardware nunca havia dado nenhum problema na rede, agora acabei de montar um servidor FreeBSD 6.2, quando coloco eu diretamente na placa de rede interna dele eu navego normalmente mas quando eu coloco ele no switch que no caso todos os clientes iram começar passar pelo meu servidor que ele faz nat para meus clientes, ninguem consegue ping ele inclusive eu. xl0: flags=8843UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST mtu 1500 options=9RXCSUM,VLAN_MTU inet 201.91.x.60 netmask 0xff00 broadcast 201.91.x.255 ether 00:0a:0d:d4:5f:c5 media: Ethernet autoselect (100baseTX full-duplex) status: active rl0: flags=8843UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST mtu 1500 options=8VLAN_MTU inet 192.168.1.254 netmask 0xff00 broadcast 192.168.1.255 ether 00:40:f4:61:66:2e media: Ethernet autoselect (100baseTX full-duplex) status: active plip0: flags=108810POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT mtu 1500 lo0: flags=8049UP,LOOPBACK,RUNNING,MULTICAST mtu 16384 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 inet6 ::1 prefixlen 128 inet 127.0.0.1 netmask 0xff00 2008/1/22, [EMAIL PROTECTED] [EMAIL PROTECTED]: Seja mais objetivo, mostre os erros por completo... nao tem como adivinhar sua duvida... T+ Alessandro Fortuna escreveu: Boa noite pessoal, monte um servidor FreeBSD com duas placas de rede uma com ip real e outra com ip de rede interna, vem um cabo de rede direto que liga na placa de IP Real e outra placa de rede liga em um hub que ficam ligadas duas maquinas clientes, entao com nos dois o servidores o servidor funciona tranquilamente e quando eu coloco ele na rede para meus clientes navegarem eu nao consigo ping meu gateway que no caso eh ele e fica dando erros Kernel: arp: alguém pode me ajudar, meu controle de banda eh feito por ipfw e squid para cache de paginas. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Ola chara, vc nao esta ligando a xl0 no mesmo switch qye esta a outra placa porque isso vai da esta msg mesmo. -- Alessandro de
Re: [FUG-BR] duvidas
Amigo aqui eu tenho um switch 3Com que nele vao todos os meus cabos de rede tanto servidores como radios e cisco router, antigamente eu tinha um servidor FreeBSD que ´até então antes de apresentar problemas de Hardware nunca havia dado nenhum problema na rede, agora acabei de montar um servidor FreeBSD 6.2, quando coloco eu diretamente na placa de rede interna dele eu navego normalmente mas quando eu coloco ele no switch que no caso todos os clientes iram começar passar pelo meu servidor que ele faz nat para meus clientes, ninguem consegue ping ele inclusive eu. xl0: flags=8843UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST mtu 1500 options=9RXCSUM,VLAN_MTU inet 201.91.x.60 netmask 0xff00 broadcast 201.91.x.255 ether 00:0a:0d:d4:5f:c5 media: Ethernet autoselect (100baseTX full-duplex) status: active rl0: flags=8843UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST mtu 1500 options=8VLAN_MTU inet 192.168.1.254 netmask 0xff00 broadcast 192.168.1.255 ether 00:40:f4:61:66:2e media: Ethernet autoselect (100baseTX full-duplex) status: active plip0: flags=108810POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT mtu 1500 lo0: flags=8049UP,LOOPBACK,RUNNING,MULTICAST mtu 16384 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 inet6 ::1 prefixlen 128 inet 127.0.0.1 netmask 0xff00 2008/1/22, [EMAIL PROTECTED] [EMAIL PROTECTED]: Seja mais objetivo, mostre os erros por completo... nao tem como adivinhar sua duvida... T+ Alessandro Fortuna escreveu: Boa noite pessoal, monte um servidor FreeBSD com duas placas de rede uma com ip real e outra com ip de rede interna, vem um cabo de rede direto que liga na placa de IP Real e outra placa de rede liga em um hub que ficam ligadas duas maquinas clientes, entao com nos dois o servidores o servidor funciona tranquilamente e quando eu coloco ele na rede para meus clientes navegarem eu nao consigo ping meu gateway que no caso eh ele e fica dando erros Kernel: arp: alguém pode me ajudar, meu controle de banda eh feito por ipfw e squid para cache de paginas. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas
opa melhorando :) Digite ai: ipfw show e cole as regras de firewall. Alessandro Fortuna escreveu: Amigo aqui eu tenho um switch 3Com que nele vao todos os meus cabos de rede tanto servidores como radios e cisco router, antigamente eu tinha um servidor FreeBSD que ´até então antes de apresentar problemas de Hardware nunca havia dado nenhum problema na rede, agora acabei de montar um servidor FreeBSD 6.2, quando coloco eu diretamente na placa de rede interna dele eu navego normalmente mas quando eu coloco ele no switch que no caso todos os clientes iram começar passar pelo meu servidor que ele faz nat para meus clientes, ninguem consegue ping ele inclusive eu. xl0: flags=8843UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST mtu 1500 options=9RXCSUM,VLAN_MTU inet 201.91.x.60 netmask 0xff00 broadcast 201.91.x.255 ether 00:0a:0d:d4:5f:c5 media: Ethernet autoselect (100baseTX full-duplex) status: active rl0: flags=8843UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST mtu 1500 options=8VLAN_MTU inet 192.168.1.254 netmask 0xff00 broadcast 192.168.1.255 ether 00:40:f4:61:66:2e media: Ethernet autoselect (100baseTX full-duplex) status: active plip0: flags=108810POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT mtu 1500 lo0: flags=8049UP,LOOPBACK,RUNNING,MULTICAST mtu 16384 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 inet6 ::1 prefixlen 128 inet 127.0.0.1 netmask 0xff00 2008/1/22, [EMAIL PROTECTED] [EMAIL PROTECTED]: Seja mais objetivo, mostre os erros por completo... nao tem como adivinhar sua duvida... T+ Alessandro Fortuna escreveu: Boa noite pessoal, monte um servidor FreeBSD com duas placas de rede uma com ip real e outra com ip de rede interna, vem um cabo de rede direto que liga na placa de IP Real e outra placa de rede liga em um hub que ficam ligadas duas maquinas clientes, entao com nos dois o servidores o servidor funciona tranquilamente e quando eu coloco ele na rede para meus clientes navegarem eu nao consigo ping meu gateway que no caso eh ele e fica dando erros Kernel: arp: alguém pode me ajudar, meu controle de banda eh feito por ipfw e squid para cache de paginas. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas sobre Oracle + firebird
segundo a oracle, nao ha suporte para o freebsd, se vc quer instalar o banco 10g/11g em um ambiente que a oracle de suporte , instale o oracle enterprise linux 5, que é baixado do proprio site da oracle, é gratuito e de facil instalacao. Aqui temos 2 servidores dell com o linux da oracle e o banco 10g. Gustavo Polillo. -- Original Message --- From: Diogo Rodrigo [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tue, 8 Jan 2008 13:32:50 -0200 Subject: [FUG-BR] Duvidas sobre Oracle + firebird Caros amigos queria tirar duas duvidas básicas . Oracle para freebsd é Freebsd é pago ? qto seria ? é estavel para ambiente de produção Firebird para freebsd já tem a versão Server , me lembro que so tinha versão classic no ports att Diogo Rodrigo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd --- End of Original Message --- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas php 5.2.4
sem duvidas, mas ele puxa O FIREBIRD 2 MESMO, tem uma opção em que vc exclui o que nao quer fazer, tipo assim, nao quero instalar o firebird 2, mas nao me recordo, o duro é que to precisando urgente disso!! Valeu Abraços sandro Em Qui, 2007-10-25 às 18:45, Welkson Renny de Medeiros escreveu: Dei uma olhada no Makefile, não vi nada. Mas o php com extensão interbase faz tempo que instalei, e me recordo que ele não instalou o firebird server (tanto que conecto o php a um servidor firebird no win2003)... só recente que por curiosidade instalei o firebird no freebsd (mas não uso, só o do 2003)... Não sei se você observou, mas no portaudit tá reclamando do port Firebird Server 1.5.3... não sei se o sistema detecta que tá desatualizado e já instala o novo (2.0)... bem estranho... pior que o 2 a estrutura do banco é totalmente diferente... esquema de segurança, etc... Fica a questão para os experts... - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas php 5.2.4 (resolvido)
fiz o seguinte: ln -s /usr/local/lib/libfbclient.so.1.5.4 /usr/local/lib/libfbclient.so.2 entrei novamente no ports e instalei php5-interbase e funfu valeu moçada sandro Em Sex, 2007-10-26 às 08:15, Sandro Consoli escreveu: sem duvidas, mas ele puxa O FIREBIRD 2 MESMO, tem uma opção em que vc exclui o que nao quer fazer, tipo assim, nao quero instalar o firebird 2, mas nao me recordo, o duro é que to precisando urgente disso!! Valeu Abraços sandro Em Qui, 2007-10-25 às 18:45, Welkson Renny de Medeiros escreveu: Dei uma olhada no Makefile, não vi nada. Mas o php com extensão interbase faz tempo que instalei, e me recordo que ele não instalou o firebird server (tanto que conecto o php a um servidor firebird no win2003)... só recente que por curiosidade instalei o firebird no freebsd (mas não uso, só o do 2003)... Não sei se você observou, mas no portaudit tá reclamando do port Firebird Server 1.5.3... não sei se o sistema detecta que tá desatualizado e já instala o novo (2.0)... bem estranho... pior que o 2 a estrutura do banco é totalmente diferente... esquema de segurança, etc... Fica a questão para os experts... - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas php 5.2.4
Como você está instalando? Se for só a extensão, acredito que isso resolve: cd /usr/ports/lang/php5-extensions make config marca interbase depois roda o make install Eu fiz assim, e não instala firebird... Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Sandro Consoli [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Thursday, October 25, 2007 12:48 PM Subject: [FUG-BR] duvidas php 5.2.4 Pessoal boa tarde, estou com uma duvida aq estou tentando instalar o php 5.2.4 via ports, com o extensions do interbase, ja tenho instalado no servidor o firebird 1.5, e o ports do php insiste em querer instalar o firebird 2.0, e nao quero trocar o firebird, tem como eu instalar o extension do interbase via ports sem instalar o firebird 2.0? abraços sandro - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas php 5.2.4
nao, ele puxa do mesmo jeito, nao tem alguma opção junto ao make pra nao puxa o firebird 2.0? abraços sandro Em Qui, 2007-10-25 às 14:53, Welkson Renny de Medeiros escreveu: Como você está instalando? Se for só a extensão, acredito que isso resolve: cd /usr/ports/lang/php5-extensions make config marca interbase depois roda o make install Eu fiz assim, e não instala firebird... Abraço, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas php 5.2.4
Dei uma olhada no Makefile, não vi nada. Mas o php com extensão interbase faz tempo que instalei, e me recordo que ele não instalou o firebird server (tanto que conecto o php a um servidor firebird no win2003)... só recente que por curiosidade instalei o firebird no freebsd (mas não uso, só o do 2003)... Não sei se você observou, mas no portaudit tá reclamando do port Firebird Server 1.5.3... não sei se o sistema detecta que tá desatualizado e já instala o novo (2.0)... bem estranho... pior que o 2 a estrutura do banco é totalmente diferente... esquema de segurança, etc... Fica a questão para os experts... -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Sandro Consoli [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Thursday, October 25, 2007 4:57 PM Subject: Re: [FUG-BR] duvidas php 5.2.4 nao, ele puxa do mesmo jeito, nao tem alguma opção junto ao make pra nao puxa o firebird 2.0? abraços sandro Em Qui, 2007-10-25 às 14:53, Welkson Renny de Medeiros escreveu: Como você está instalando? Se for só a extensão, acredito que isso resolve: cd /usr/ports/lang/php5-extensions make config marca interbase depois roda o make install Eu fiz assim, e não instala firebird... Abraço, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas sobre Implementação de uma Re de
Em 28/11/06, Gustavo Gomes[EMAIL PROTECTED] escreveu: Galera, O que eu quero é proteger os meus servidores web, email, dns por atras do firewall, estes terão ip valido, Para que isso seja possível você precisa segmentar a sua rede ou colocar o firewall como bridge. A minha duvida se irá funcionar normal, tipo DNS. Para isso basta registrar no Registro.br o ip do Firewal para que ele possar redirecionar para o DNS ? Não! Se vc estiver usando a mesma rede tanto no firewall como no DNS não vai ser preciso redirecionamento. Agora se forem redes diferentes aí sim! Outra coisa nele posso implementar o controle de trafego com as priorização ou terei que ter outro firewall na minha rede interna ? Sim. Funciona tanto no modo bridge ou no modo com rede segmentada. Desculpe se essas duvidas são de iniciante, mas é isso que eu sou. Não precisa pedir desculpas! A lista serve para isso mesmo! -- [ ]´s Mauro Felipe - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas sobre Implementação de uma Re de
Em Tue, 28 Nov 2006 23:43:25 + (GMT) Gustavo Gomes [EMAIL PROTECTED] escreveu: O que eu quero é proteger os meus servidores web, email, dns por atras do firewall, estes terão ip valido, é apenas uma opinião, mas enfim.. pq vc não os coloca com ip-addr não-roteaveis (rfc-1918), fazendo o redirecionamento pelo pf/ipf/ipfw2? Se vc faz meramente um roteamento, a probabilidade é que isso seja feito antes de serem (os pacotes) avaliados pelo fwll, embora seja possível fazê-lo depois, óbvio. Mas apenas me parece mais fácil usar tudo num script só :) Em prosseguindo: se houver um server apache vc pode usar, no fwll-box mesmo, um apache reverse-proxy e também um dns jailed servindo como proxy para o seu real (ambos lá na dmz). Com isso, se qualquer dos dois apresentar vulnerabilidades e/ou forem owneds, os REAIS não sofrerão - salvo vc seja do tipo esquecido, que nunca olha o que está acontecendo até que aconteça. Enfim, são opiniões, e vc sabe como é, opinião é como bunda, todo mundo tem a sua, mas só a do outro fede. flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 100% Miko$hit-free A experiencia ensina que a mulher ideal é sempre a dos outros - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas sobre Implementação de uma Re de
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 irado furioso com tudo wrote: Em Tue, 28 Nov 2006 23:43:25 + (GMT) Gustavo Gomes [EMAIL PROTECTED] escreveu: O que eu quero é proteger os meus servidores web, email, dns por atras do firewall, estes terão ip valido, é apenas uma opinião, mas enfim.. pq vc não os coloca com ip-addr não-roteaveis (rfc-1918), fazendo o redirecionamento pelo pf/ipf/ipfw2? Se vc faz meramente um roteamento, a probabilidade é que isso seja feito antes de serem (os pacotes) avaliados pelo fwll, embora seja possível fazê-lo depois, óbvio. Mas apenas me parece mais fácil usar tudo num script só :) Em prosseguindo: se houver um server apache vc pode usar, no fwll-box mesmo, um apache reverse-proxy e também um dns jailed servindo como proxy para o seu real (ambos lá na dmz). Com isso, se qualquer dos dois apresentar vulnerabilidades e/ou forem owneds, os REAIS não sofrerão - salvo vc seja do tipo esquecido, que nunca olha o que está acontecendo até que aconteça. Enfim, são opiniões, e vc sabe como é, opinião é como bunda, todo mundo tem a sua, mas só a do outro fede. flames /dev/null Na verdade irá ficar a mesma coisa. Até antes estava escrevendo um e-mail para reponder esse topico e acabei desistindo, mas ai vai. Você pode ter também, se você quer segurança mesmo, uma Honeynet dentro dessa sua rede ou no processo de segmentação dessa rede para criar a DMZ, criar a honeynet também, e colocar 'n' Honeypots dentro da Honeynet. Claro que você deverá criar algumas entradas no seu DNS para falsificar as entradas dos seus servidores reais, mas essa falsa rede irá lhe ajudar na segurança. Enfim, existem muitas coisas que podem ser feitas, mas é como o Irado falou, é apenas uma opinião e é como bunda mesmo!!! Abraço, - -- Márcio Luciano Donada mdonada at auroraalimentos dot com dot br Aurora Alimentos - Cooperativa Central Oeste Catarinense - Departamento de T.I. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (FreeBSD) iD8DBQFFbXXkyJq2hZEymxcRAslUAKCwdJYqhloRxMFzovaM4tccoMw7ZwCeNmMy FkcPKqfF4LisJPaMZkRUlUQ= =FUT/ -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas sobre Implementação de uma Re de
Aqui eu uso assim: Internet || Firewall = Servidores (192.168.0.0/24) || Redes internas (10.0.0.0/8) No firewall (PF) existem regras de redirecionamento de um ip real (200.x.x.1) para um ip falso (192.168.0.1) Exemplos: rdr on { em0 em2 } proto tcp from any to 200.x.x.1 port { 80 21 } - 192.168.0.2 nat on { em0 em2 } from 192.168.0.2 to any - 200.x.x.1 rdr on { em0 em2 } proto tcp from any to 200.x.x.2 port { 25 110 } - 192.168.0.3 nat on { em0 em2 } from 192.168.0.3 to any - 200.x.x.2 em0 = interface wan em1 = interface DMZ em2 = interface interna Abracos Gilberto Em 28/11/06, Gustavo Gomes[EMAIL PROTECTED] escreveu: Galera, Estou com uma duvidas sobre uma implementação de uma de rede com utilização de DMZ. Assim: No registro.br esta registrado os seguintes endereço 200.X.X.12 - DNS 1 200.X.X.13 - DNS 2 Gostaria de implementar o Firewall WAN 1 -- 200.X.X.12 Firewall DMZ -- 200.X.X.14 Firewall LAN -- 172.16.0.1 Com redirecionamento de DNS para uma DMZ que esta incluso os servidores: 200.X.X.15 - DNS (dominio empresa.com.br) 200.X.X.16 - WEB 200.X.X.17 - CORREIOS Rede Interna Proxy --- 172.16.0.2 Este metodo esta correto ? Não gostaria de colocar os servidores de cara com a internet, como esta atualmente, por preciso de modelo ideal, usando na DMZ com ip valido passando araves do firewal. Alguem tem uma sugestão ? Obrigado Gustavo. Gomes ___ O Yahoo! está de cara nova. Venha conferir! http://br.yahoo.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas sobre Implementação de uma Re de
Em 28/11/06, Gustavo Gomes[EMAIL PROTECTED] escreveu: Galera, Estou com uma duvidas sobre uma implementação de uma de rede com utilização de DMZ. Assim: No registro.br esta registrado os seguintes endereço 200.X.X.12 - DNS 1 200.X.X.13 - DNS 2 Gostaria de implementar o Firewall WAN 1 -- 200.X.X.12 Firewall DMZ -- 200.X.X.14 Firewall LAN -- 172.16.0.1 Com redirecionamento de DNS para uma DMZ que esta incluso os servidores: 200.X.X.15 - DNS (dominio empresa.com.br) 200.X.X.16 - WEB 200.X.X.17 - CORREIOS Rede Interna Proxy --- 172.16.0.2 Este metodo esta correto ? Não gostaria de colocar os servidores de cara com a internet, como esta atualmente, por preciso de modelo ideal, usando na DMZ com ip valido passando araves do firewal. Gustavo. Gomes Gustavo, Se você não tiver como segmentar sua rede válida, então pode utilizar uma bridge entre os servidores e o roteador. Agora se for possível criar a sub-net, basta colocar 3 placas de rede no firewall e o resto é configuração. Situação 1: sem segmentação da rede válida (200.X.X.0) |router| | |bridge| | |switch| (servidores) | |Firewall Interno| Situação 2: segmentando a sua rede válida |router| | |Firewall Externo| --- Rede DMZ (servidores) | Rede Interna Acho que é isso! [ ]´s Mauro Felipe - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas sobre Implementação de uma Re de
Galera, O que eu quero é proteger os meus servidores web, email, dns por atras do firewall, estes terão ip valido, A minha duvida se irá funcionar normal, tipo DNS. Para isso basta registrar no Registro.br o ip do Firewal para que ele possar redirecionar para o DNS ? Outra coisa nele posso implementar o controle de trafego com as priorização ou terei que ter outro firewall na minha rede interna ? Desculpe se essas duvidas são de iniciante, mas é isso que eu sou. Gustavo Gomes --- Mauro Felipe [EMAIL PROTECTED] escreveu: Em 28/11/06, Gustavo Gomes[EMAIL PROTECTED] escreveu: Galera, Estou com uma duvidas sobre uma implementação de uma de rede com utilização de DMZ. Assim: No registro.br esta registrado os seguintes endereço 200.X.X.12 - DNS 1 200.X.X.13 - DNS 2 Gostaria de implementar o Firewall WAN 1 -- 200.X.X.12 Firewall DMZ -- 200.X.X.14 Firewall LAN -- 172.16.0.1 Com redirecionamento de DNS para uma DMZ que esta incluso os servidores: 200.X.X.15 - DNS (dominio empresa.com.br) 200.X.X.16 - WEB 200.X.X.17 - CORREIOS Rede Interna Proxy --- 172.16.0.2 Este metodo esta correto ? Não gostaria de colocar os servidores de cara com a internet, como esta atualmente, por preciso de modelo ideal, usando na DMZ com ip valido passando araves do firewal. Gustavo. Gomes Gustavo, Se você não tiver como segmentar sua rede válida, então pode utilizar uma bridge entre os servidores e o roteador. Agora se for possível criar a sub-net, basta colocar 3 placas de rede no firewall e o resto é configuração. Situação 1: sem segmentação da rede válida (200.X.X.0) |router| | |bridge| | |switch| (servidores) | |Firewall Interno| Situação 2: segmentando a sua rede válida |router| | |Firewall Externo| --- Rede DMZ (servidores) | Rede Interna Acho que é isso! [ ]´s Mauro Felipe - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ___ Você quer respostas para suas perguntas? Ou você sabe muito e quer compartilhar seu conhecimento? Experimente o Yahoo! Respostas ! http://br.answers.yahoo.com/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas rotas
Em Fri, 10 Nov 2006 20:46:32 -0200 listas diogo [EMAIL PROTECTED] escreveu: porem a maquina da rede 192.168.2.0 nao consegue pingar o gateway são redes distintas (caso seja netmask /24), então não vão se ver mesmo. Vc pode por um alias na placa de rede do servidor. Mas precisa tomar cuidado pq senão as redes vão se enxergar uma à outra. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 100% Miko$hit-free A experiencia ensina que a mulher ideal é sempre a dos outros - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas rotas continua , algo estranho
Em Sat, 11 Nov 2006 16:09:21 -0200 listas diogo [EMAIL PROTECTED] escreveu: na vr 1 q é o gateway coloquei a mascara 255.255.0.0 ai todas as redes não existe mais todas as redes.. a mascara transformou tudo numa rede só ;) típica condição de atirou no que viu, acertou no que não viu. Só espero que não tenha que vir a disfarçar (risos). flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 100% Miko$hit-free A experiencia ensina que a mulher ideal é sempre a dos outros - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas rotas
Em 14/11/06, irado furioso com tudo[EMAIL PROTECTED] escreveu: Em Fri, 10 Nov 2006 20:46:32 -0200 listas diogo [EMAIL PROTECTED] escreveu: porem a maquina da rede 192.168.2.0 nao consegue pingar o gateway são redes distintas (caso seja netmask /24), então não vão se ver mesmo. Vc pode por um alias na placa de rede do servidor. Mas precisa tomar cuidado pq senão as redes vão se enxergar uma à outra. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 100% Miko$hit-free A experiencia ensina que a mulher ideal é sempre a dos outros - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd alias difrente e 2 nats..adicionar regras no firewalll para bliquear uma rede de enxergar a outras. -- Alessandro de Souza Rocha Administrador de Redes e Sistemas Freebsd-BR User #117 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas rotas continua , algo estranho
On 11/11/06, listas diogo [EMAIL PROTECTED] wrote: caros amigos li o tutorial q o amigo mandou fiz tudo conforme o q parece certo porem a maquina da outra de nao pinga, desabilitei o firewall .. ifconfig vr 0 ip valido vr1 192.168.1.254 preciso interligar uma maquina da rede 192.168.2.0 , utilizando este gateway 192.168.1.254 Diogo, você está colocando a rota estática para o IP da própria máquina, quando deveria colocar o IP do next-hop para se chegar na rede 192.168.2.0. Qual o IP do gateway para se alcançar a rede 192.168.2.0? Caso não exista gateway, provavelmente as duas redes estão na mesma LAN (rede de camada 2) então é desnecessário configurar uma rota estática. O que você precisa é incluir a interface vr1 na rede 192.168.2.0 através de um IP secundário. Se for isto, tente fazer como no exemplo abaixo: ifconfig vr1 inet 192.168.2.254 255.255.255.0 alias OBS: A máscara de rede tem que ser a mesma em uso na rede 192.168.2.0. Daí bastará testar pings do servidor com IP 192.168.2.x para o 192.168.2.254 e depois para 192.168.1.254 e para o IP da vr0. Se o roteamento estiver corretamente habilitado no FreeBSD, todos estes pings vão funcionar. Alex - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas rotas continua , algo estranho
--- reply --- From: [EMAIL PROTECTED] To: freebsd@fug.com.br Subject: [FUG-BR] duvidas rotas continua , algo estranho Date: 2006-11-11 10:41:42 -- caros amigos li o tutorial q o amigo mandou fiz tudo conforme o q parece certo porem a maquina da outra de nao pinga, desabilitei o firewall .. ifconfig vr0ip valido vr1 192.168.1.254 preciso interligar uma maquina da rede 192.168.2.0 , utilizando este gateway 192.168.1.254 pois to migrando um server linux pra bsd , no linux ta funfando eu adicionei a seguinte linha no rc.conf static_routes=net1 route_net1=-net 192.168.2.0/24 192.168.1.254 tb já tentei colocar a linha na mão e nada route add 192.168.2.0/24 192.168.1.254 meu netstat -nr esta assim 192.168.2 192.168.1.254 UGS 0 9984vr1 Na estação winxp ta dando esgotado tempo limite do pedido e no bsd pingando para o winxp ele tb da a mesma mensagem att diogo ifconfig A; vr0; 10.0.0.2 vr1; 192.168.1.1 ifconfig B; vr0; 192.168.1.2 vr1; 192.168.2.1 __NET__A.vr0___A.vr1_B.vr0__B.vr1__ 10.0.0.1 -- 10.0.0.2 -- 192.168.1.1 -- 192.168.1.2 -- 192.168.2.1 A; # route add -net 0.0.0.0/0 10.0.0.1 # route add -net 192.168.2.0/24 192.168.1.2 # sysctl net.inet.ip.forwarding=1 B; # route add -net 0.0.0.0/0 192.168.1.1 # sysctl net.inet.ip.forwarding=1 * deixar as rotas estaticas seria interessante (; * espero que seja isso mesmo que vc precisa. * uma lida, direitinho, nos links que mandei pode dar uma luz. []'s \o/ vinícius _ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas rotas continua , algo estranho
é eu viajei fiz o seguinte p funcionar na vr 1 q é o gateway coloquei a mascara 255.255.0.0 ai todas as redes estao pingando numa boa sem precisar de rota nenhuma , e que estou migrando um servidor de uma empresa q lá e linux e vi nas regras regras de roteamento mas pelo q vi agora nem precisava eheh de qualquer forma obrigado att diogo - Original Message - From: Vinícius Zavam [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Saturday, November 11, 2006 2:18 PM Subject: Re: [FUG-BR] duvidas rotas continua , algo estranho --- reply --- From: [EMAIL PROTECTED] To: freebsd@fug.com.br Subject: [FUG-BR] duvidas rotas continua , algo estranho Date: 2006-11-11 10:41:42 -- caros amigos li o tutorial q o amigo mandou fiz tudo conforme o q parece certo porem a maquina da outra de nao pinga, desabilitei o firewall .. ifconfig vr0ip valido vr1 192.168.1.254 preciso interligar uma maquina da rede 192.168.2.0 , utilizando este gateway 192.168.1.254 pois to migrando um server linux pra bsd , no linux ta funfando eu adicionei a seguinte linha no rc.conf static_routes=net1 route_net1=-net 192.168.2.0/24 192.168.1.254 tb já tentei colocar a linha na mão e nada route add 192.168.2.0/24 192.168.1.254 meu netstat -nr esta assim 192.168.2 192.168.1.254 UGS 0 9984vr1 Na estação winxp ta dando esgotado tempo limite do pedido e no bsd pingando para o winxp ele tb da a mesma mensagem att diogo ifconfig A; vr0; 10.0.0.2 vr1; 192.168.1.1 ifconfig B; vr0; 192.168.1.2 vr1; 192.168.2.1 __NET__A.vr0___A.vr1_B.vr0__B.vr1__ 10.0.0.1 -- 10.0.0.2 -- 192.168.1.1 -- 192.168.1.2 -- 192.168.2.1 A; # route add -net 0.0.0.0/0 10.0.0.1 # route add -net 192.168.2.0/24 192.168.1.2 # sysctl net.inet.ip.forwarding=1 B; # route add -net 0.0.0.0/0 192.168.1.1 # sysctl net.inet.ip.forwarding=1 * deixar as rotas estaticas seria interessante (; * espero que seja isso mesmo que vc precisa. * uma lida, direitinho, nos links que mandei pode dar uma luz. []'s \o/ vinícius _ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas rotas continua , algo estranho
On 11/11/06, listas diogo [EMAIL PROTECTED] wrote: é eu viajei fiz o seguinte p funcionar na vr 1 q é o gateway coloquei a mascara 255.255.0.0 ai todas as redes estao pingando numa boa sem precisar de rota nenhuma , e que estou migrando um servidor de uma empresa q lá e linux e vi nas regras regras de roteamento mas pelo q vi agora nem precisava eheh de qualquer forma obrigado att diogo foi o que eu falei, ele recebia o pacote e não sabia como devolvê-lo. Com esta máscara ele sabe como devolver. Uma rota resolve, e fica mais interessante já que só o gateway tá com máscara /16 -- We will call you cygnus, The God of balance you shall be - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas rotas continua , algo estranho
blz obrigado pela força att Diogo Rodrigo - Original Message - From: Nenhum _de_Nos [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, November 11, 2006 4:38 PM Subject: Re: [FUG-BR] duvidas rotas continua , algo estranho On 11/11/06, listas diogo [EMAIL PROTECTED] wrote: é eu viajei fiz o seguinte p funcionar na vr 1 q é o gateway coloquei a mascara 255.255.0.0 ai todas as redes estao pingando numa boa sem precisar de rota nenhuma , e que estou migrando um servidor de uma empresa q lá e linux e vi nas regras regras de roteamento mas pelo q vi agora nem precisava eheh de qualquer forma obrigado att diogo foi o que eu falei, ele recebia o pacote e não sabia como devolvê-lo. Com esta máscara ele sabe como devolver. Uma rota resolve, e fica mais interessante já que só o gateway tá com máscara /16 -- We will call you cygnus, The God of balance you shall be - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas rotas
2006/11/10, listas diogo [EMAIL PROTECTED]: caros amigos eu tenho um gateway de ip 192.168.1.254 e preciso q uma rede 192.168.2.0 use este gateway eu criei a rota no servidor route add 192.168.2.0/24 192.168.1.254 porem a maquina da rede 192.168.2.0 nao consegue pingar o gateway alguem sabe me dizer o que pode esta errado ? att diogo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd porque vc nao cria dois natd um para cada rede. -- Alessandro de Souza Rocha Administrador de Redes e Sistemas Freebsd-BR User #117 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas rotas
--- reply --- From: [EMAIL PROTECTED] To: freebsd@fug.com.br Subject: [FUG-BR] duvidas rotas Date: 2006-11-10 19:46:32 -- caros amigos eu tenho um gateway de ip 192.168.1.254 e preciso q uma rede 192.168.2.0 use este gateway eu criei a rota no servidor route add 192.168.2.0/24 192.168.1.254 porem a maquina da rede 192.168.2.0 nao consegue pingar o gateway alguem sabe me dizer o que pode esta errado ? att diogo creio que sua dúvida pode ser sanada aqui; freebsd.org/doc/en_US.ISO8859-1/books/handbook/network-routing.html pt_BR; fug.com.br/component/option,com_wrapper/Itemid,45 _ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas rotas
On 11/10/06, listas diogo [EMAIL PROTECTED] wrote: caros amigos eu tenho um gateway de ip 192.168.1.254 e preciso q uma rede 192.168.2.0 use este gateway eu criei a rota no servidor route add 192.168.2.0/24 192.168.1.254 porem a maquina da rede 192.168.2.0 nao consegue pingar o gateway alguem sabe me dizer o que pode esta errado ? att diogo lembre-se, para o ping ir e voltar, a máquina que manda tem que saber chegar na destino, e a destino tb precisa saber chegar na que manda ! :) -- We will call you cygnus, The God of balance you shall be - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas no qmail
Olá Sandro. Esse problema se resolve na configuração do Outlook: diga a ele que o servidor precisa se autenticação. Boa sorte, JH -Original Message- From: [EMAIL PROTECTED] To: Lista Brasileira de =?ISO-8859-1?Q?Discuss=E3o?= sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Mon, 9 Oct 2006 11:28 AM Subject: [FUG-BR] duvidas no qmail fala galera, bom dia acabei de colocar um server com qmail seguindo os passos do swcat, dentro da rede ele ta funcionando, esta recebendo e-mail e mandando tambem, mas quando vou mandar um e-mail para fora ele da o seguinte erro no outlook 553 sorry, that domain ins't in my list of allowed rcpthosts o que pode ser isso, ja tentei de tudo!!! quem puder me ajudar agradeço desde já Sandro - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Check Out the new free AIM(R) Mail -- 2 GB of storage and industry-leading spam and email virus protection. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvidas no qmail
oi amigo ja fiz isso e nada ta dificil srsrs sandro Em Seg, 2006-10-09 às 11:30, [EMAIL PROTECTED] escreveu: Olá Sandro. Esse problema se resolve na configuração do Outlook: diga a ele que o servidor precisa se autenticação. Boa sorte, JH -Original Message- From: [EMAIL PROTECTED] To: Lista Brasileira de =?ISO-8859-1?Q?Discuss=E3o?= sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Mon, 9 Oct 2006 11:28 AM Subject: [FUG-BR] duvidas no qmail fala galera, bom dia acabei de colocar um server com qmail seguindo os passos do swcat, dentro da rede ele ta funcionando, esta recebendo e-mail e mandando tambem, mas quando vou mandar um e-mail para fora ele da o seguinte erro no outlook 553 sorry, that domain ins't in my list of allowed rcpthosts o que pode ser isso, ja tentei de tudo!!! quem puder me ajudar agradeço desde já Sandro - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Check Out the new free AIM(R) Mail -- 2 GB of storage and industry-leading spam and email virus protection. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas sobre pf + ip dinamico
Original Message Subject: [FUG-BR] Duvidas sobre pf + ip dinamico From: wildes miranda [EMAIL PROTECTED] Date: Wed, October 04, 2006 11:51 pm To: freebsd@fug.com.br Saudacoes , Pessoal tenho algumas regras de seguranca e redirecionamento configuradas no pf sobre uma conexao PPPoE utilizando o ppp.Minha duvida e a seguinte : preciso recarregar essas regras sempre que meu ip mudar ? Se sim, o ppp da suporte a algum evento deste tipo ? como executar algum script quando receber uma ordem de renovacao de endereco ? Se nao devo estar configurando alguma coisa errada, e se possivel gostaria de uma orientacao sobre. Isto esta descrito no FAQ. http://www.openbsd.org/faq/pf/pt/filter.html#syntax O nome de uma interface de rede entre parenteses ( ). Isto informa ao PF para atualizar a regra caso o endereço(os) da interface sofra alteração. Útil em interfaces que obtém seu endereço IP via DHCP ou dial-up, pois as outras regras não precisarão ser recarregadas toda vez que o endereço mudar. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas sobre pós instalação do fre e
Leandro Disconzi Vieira wrote: Bom dia a todos!! Minha dúvida é como controlar as atualizações do freebsd. Ex: Faço uma instalação básica do free em uma máquina e logo após faço um cvsup? O problema que o cvsup baixa tudo.. e depois eu tenho que compilar todo os sistema ao invés de compilar apenas a instalação básica. Tem alguma ferramenta para controlar os pacotes instalados assim como no portupgrade? Como faço, pois quero uma instalação enxuta. Você não precisa baixar tudo com o cvsup, dentro do supfile, ao inves de usar src-all, você pode usar apenas os pedaços que você quer. (Exemplos no /usr/share/examples/cvsup/standard-supfile) Depois de baixar os fontes apenas do que você quer, copie o make.conf de /usr/share/examples/etc/ para o /etc, edite-o e você verá opções para não compilar determinadas partes, descomente-as e depois prossiga com o roteiro de compilação normal do sistema. -- Renato Botelho garga @ FreeBSD.org freebsd @ galle.com.br GnuPG Key: http://www.FreeBSD.org/~garga/pubkey.asc - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas de ex-tux
k2flag wrote: Depois de longos 5 anos com o pinguin migrei de vez pro free ;-) . Vai meu primeiro abacaxi. Tenho 20 gigas em um hd com xfs , na particao sda4. 1 - criar ufs2 no sda4 e editar o fstab. 2 - vou pegar esses arquivos que estao no sda4 colocar em um hd ata, e depois voltar com eles pro sda4 com ufs2, qual sistema de arquivo vcs me recomendam ? Digo na formatacao do hd ata so para eu colocar os dados e depois passar pro sda4 com freebsd. Vou fazer com um livecd linux. Se o problema é compatibilidade de r/w entre diversos S.O., use FAT32 !! Ruindows, DOS, Telefone celular, máquina fotográfica, geladeira, etc. lê e grava FAT32 sem problemas !! É claro que tem algumas limitações: se quiser preservar datas, permissões, links, nomes_muito_longos, etc. use o GNUTar para criar archives com o SO-origem e depois extraia com o SO-destino. []s Antonio Torres - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd