[FUG-BR] IPFilter- que lixo!
ja testei TODOS os scripts que encontrei na lista e nos tutoriais da net e nenhum, absolutamente nenhum permite vc filtrar pacotes sem perda de performance! Neste item o iptables, que muitos criticam, faz seu trabalho sem reclamar e com eficiencia, mas como estou no freebsd, vou testar o PF. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFilter- que lixo!
On Monday 27 August 2007, Gustavo Polillo Correa wrote: ja testei TODOS os scripts que encontrei na lista e nos tutoriais da net e nenhum, absolutamente nenhum permite vc filtrar pacotes sem perda de performance! Neste item o iptables, que muitos criticam, faz seu trabalho sem reclamar e com eficiencia, mas como estou no freebsd, vou testar o PF. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Acho que voce vai gostar !! -- ** //| //| Mario Lobo // |// | http://www.ipad.com.br // // ||| FreeBSD since 2.2.8 - 100% Rwindows-free ** - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Compilar o kernel na versão 7
Ola Marcelo... Eh isso mesmo, alias, tudo o que o FreeBSD tem de driver ele compila como modulo, e o que vc coloca no conf ele compila como built-in, além de gerar o modulo tbm. abraços... Marcelo/Porks wrote: Pode parecer uma pergunta meio ignorante, mas não consegui visualizar também... Onde eu defino que 'tal coisa' será um módulo? Pelo o que eu entendi se eu definir no arquivo de configuração do kernel essa 'coisa' será compilada dentro do kernel (built-in, como o Matheus falou)... E o que eu não definir será compilada como módulo... é isso mesmo? Valeu! On 8/25/07, Nenhum_de_Nos [EMAIL PROTECTED] wrote: On 8/25/07, Danilo Egea [EMAIL PROTECTED] wrote: Olá Matheus... para nao gerar os modulos compile o kernel com makeoptions NO_MODULES=yes abraços... massa, valeu a info ;) matheus -- We will call you cygnus, The God of balance you shall be - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ___ Yahoo! Mail - Sempre a melhor opção para você! Experimente já e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] radiusd enorme
João, bom dia. Veja o meu radius, com 120k users: 85666 nobody 3 1130 31960K 11892K RUN 15:04 0.00% radiusd # radwho | wc -l 19838 # pkg_info | grep freeradius freeradius-1.1.6A free RADIUS server implementation Abs, Felipe Neuwald. João Paulo Just escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Olá, pessoal. Estava vendo o top e me deparei com isso: 1681 root4 200 135M 5172K kserel 0 0:13 0.00% radiusd O radiusd ocupa isso tudo mesmo (135 MB)? É normal? - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Ilhéus, BA, Brasil. +55 75 8104 8473 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFGzt2GXL+vuN2d7ZwRAungAKCMirnZCgPQ4bCTUOVpeLT1bHp8xgCeNhVA 89s1tOsVHV40XxO39YrYDqo= =YzbW -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Compilar o kernel na versão 7
On 8/27/07, Danilo Egea [EMAIL PROTECTED] wrote: Ola Marcelo... Olá! Eh isso mesmo, alias, tudo o que o FreeBSD tem de driver ele compila como modulo, e o que vc coloca no conf ele compila como built-in, além de gerar o modulo tbm. Ahhh! Beleza! Valeu pela explicação abraços... Abraços Marcelo/Porks wrote: Pode parecer uma pergunta meio ignorante, mas não consegui visualizar também... Onde eu defino que 'tal coisa' será um módulo? Pelo o que eu entendi se eu definir no arquivo de configuração do kernel essa 'coisa' será compilada dentro do kernel (built-in, como o Matheus falou)... E o que eu não definir será compilada como módulo... é isso mesmo? Valeu! On 8/25/07, Nenhum_de_Nos [EMAIL PROTECTED] wrote: On 8/25/07, Danilo Egea [EMAIL PROTECTED] wrote: Olá Matheus... para nao gerar os modulos compile o kernel com makeoptions NO_MODULES=yes abraços... massa, valeu a info ;) matheus -- We will call you cygnus, The God of balance you shall be - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ___ Yahoo! Mail - Sempre a melhor opção para você! Experimente já e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcelo Rossi This e-mail is provided AS IS with no warranties, and confers no rights. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFilter- que lixo!
On Mon, 2007-08-27 at 08:37 -0300, Gustavo Polillo Correa wrote: ja testei TODOS os scripts que encontrei na lista e nos tutoriais da net e nenhum, absolutamente nenhum permite vc filtrar pacotes sem perda de performance! Neste item o iptables, que muitos criticam, faz seu trabalho sem reclamar e com eficiencia, mas como estou no freebsd, vou testar o PF. Nao sei que droga tas usando mas é forte!!! Qualquer linha de codigo, seja um IF ou um A++ vai ter perda de performance, ainda mais se isso for executado a CADA pacote q passa na if de rede, logo é impossivel que um firewall não aumente minimamente a latencia de rede. Quando ao ip-LIXO-tables acho q vc falou uma grande besteira pois eu aposto que ele é mais lerdo que qualquer firewall do mundo BSD. E se o PF não te agradar então desista do mundo dos firewalls, pois apesar de usar ipfw, eu sei que o PF é o firewall mais avancado e poderoso que EXISTE e faz até pipoca com cobertura de chocolate! []s Nilson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFilter- que lixo!
O PF resolveu meu problema.. realmente ela faz pipoca com cobertura de chocolate e acompanha refri de 700 ml! É claro que qualquer filtro vai causar uma latencia na rede, mas em comparacao com o iptables do linux, ipfilter deixa muito a desejar em termos de performance.. foi so um comentario, sem ofensas!! ja testei TODOS os scripts que encontrei na lista e nos tutoriais da net e nenhum, absolutamente nenhum permite vc filtrar pacotes sem perda de performance! Neste item o iptables, que muitos criticam, faz seu trabalho sem reclamar e com eficiencia, mas como estou no freebsd, vou testar o PF. Nao sei que droga tas usando mas é forte!!! Qualquer linha de codigo, seja um IF ou um A++ vai ter perda de performance, ainda mais se isso for executado a CADA pacote q passa na if de rede, logo é impossivel que um firewall não aumente minimamente a latencia de rede. Quando ao ip-LIXO-tables acho q vc falou uma grande besteira pois eu aposto que ele é mais lerdo que qualquer firewall do mundo BSD. E se o PF não te agradar então desista do mundo dos firewalls, pois apesar de usar ipfw, eu sei que o PF é o firewall mais avancado e poderoso que EXISTE e faz até pipoca com cobertura de chocolate! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFilter- que lixo!
Gustavo, Não sei qual seu ambiente ou o que vc tem configurado de servicos nesse servidor... Mas uma experiencia que tive com iptables e CBQ (Red Hat 9) passando pra FreeBSD 6-Stable usando IPFW e DummyNet foi uma maravilha... Sobrou maquina e melhorou o tempo de tudo... Mas foram reconfigurados DNS (primario e secundario) com visoes para acesso interno e externo (rede local e internet). Abraços, -- Flávio Alexsandro Silva Unix is user friendly. It's just selective about who its friends are. Linux is for people who hate Windows. BSD is for people who love UNIX. Gustavo Polillo Correa wrote: O PF resolveu meu problema.. realmente ela faz pipoca com cobertura de chocolate e acompanha refri de 700 ml! É claro que qualquer filtro vai causar uma latencia na rede, mas em comparacao com o iptables do linux, ipfilter deixa muito a desejar em termos de performance.. foi so um comentario, sem ofensas!! ja testei TODOS os scripts que encontrei na lista e nos tutoriais da net e nenhum, absolutamente nenhum permite vc filtrar pacotes sem perda de performance! Neste item o iptables, que muitos criticam, faz seu trabalho sem reclamar e com eficiencia, mas como estou no freebsd, vou testar o PF. Nao sei que droga tas usando mas é forte!!! Qualquer linha de codigo, seja um IF ou um A++ vai ter perda de performance, ainda mais se isso for executado a CADA pacote q passa na if de rede, logo é impossivel que um firewall não aumente minimamente a latencia de rede. Quando ao ip-LIXO-tables acho q vc falou uma grande besteira pois eu aposto que ele é mais lerdo que qualquer firewall do mundo BSD. E se o PF não te agradar então desista do mundo dos firewalls, pois apesar de usar ipfw, eu sei que o PF é o firewall mais avancado e poderoso que EXISTE e faz até pipoca com cobertura de chocolate! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd GET FREE SMILEYS FOR YOUR IM EMAIL - Learn more at http://www.inbox.com/smileys Works with AIM®, MSN® Messenger, Yahoo!® Messenger, ICQ®, Google TalkT and most webmails - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFilter- que lixo!
Sinceramente... Acho isto uma tremenda idiotice de sua parte (sem ofenças), ficar menosprezando outras tecnologias, e parecer um evangelico vanglorizando outra e coisa de gente alucinada. já que você odeia tanto o netfilter do Linux, por que num escreve algo melhor? ou que tal portar a idéia/lógica do PF para o Linux? a ja sei, o Linux e uma porcaria e não merece isto. engraçado, gostaria de saber o por que de tanta raiva de uma outra tecnologia que procura ganhar espaço e manter tanto a qualidade assim como outros sistemas OS, inclusive o próprio FreeBSD. Concordo com você que o FreeBSD realmente e formidável, desde de seu FS ate sua pilha TCP e muito superior, mais nada que precise uma pessoa ficar menosprezando a tecnologia. favor, sem flames! mandei este e-mail, pois acho inutil este tipo de ofensas (inclusive este meu e-mail, pois gente assim tem a cabeça BITOLADA e de nada irá adiantar meu flame) Sem mais, e desculpe caso tenha se sentido ofendido! On 8/27/07, Nilson Debatin [EMAIL PROTECTED] wrote: On Mon, 2007-08-27 at 08:37 -0300, Gustavo Polillo Correa wrote: ja testei TODOS os scripts que encontrei na lista e nos tutoriais da net e nenhum, absolutamente nenhum permite vc filtrar pacotes sem perda de performance! Neste item o iptables, que muitos criticam, faz seu trabalho sem reclamar e com eficiencia, mas como estou no freebsd, vou testar o PF. Nao sei que droga tas usando mas é forte!!! Qualquer linha de codigo, seja um IF ou um A++ vai ter perda de performance, ainda mais se isso for executado a CADA pacote q passa na if de rede, logo é impossivel que um firewall não aumente minimamente a latencia de rede. Quando ao ip-LIXO-tables acho q vc falou uma grande besteira pois eu aposto que ele é mais lerdo que qualquer firewall do mundo BSD. E se o PF não te agradar então desista do mundo dos firewalls, pois apesar de usar ipfw, eu sei que o PF é o firewall mais avancado e poderoso que EXISTE e faz até pipoca com cobertura de chocolate! []s Nilson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Regards, + -+ Jorge Pereira, From: Olinda/Pe/Brazil Home: http://www.jorgepereira.com.br/ E-mail: [EMAIL PROTECTED], [EMAIL PROTECTED] Mobile: +55 (81) 8833-2484 My Public Key: http://www.jorgepereira.com.br/public.pgp + -+ Se você ama alguma coisa, liberte-a; Se ela não voltar a ti, cace-a e mate-a. +--+ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PPPoE em duas interfaces
Alguem sabe quais fontes eu precisaria mudar pra ter o PPPoEd server do FreeBSD 4.11 na versao 6.2? Eu alerei os fontes do ppp e do pppd, mas creio que falte algo mais Cansei, abri até um ticket no freebsd.org e ninguem me respondeu até hoje, o PPPoE como servidor no 4.11 funciona bem, no 6.2 ele nao percebe desconexao e fica a conexao como morta, presa no servidor. Não adianta LQR, Echo, cd 5, etc vou partir pra usar o ppp do 4.11 no 6.2. Grato pela ajuda, caso alguem possa me ajudar. Frederico Boechat - Original Message - From: Joao Rocha Braga Filho [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, August 25, 2007 11:53 AM Subject: Re: [FUG-BR] PPPoE em duas interfaces On 8/24/07, ThOLOko [EMAIL PROTECTED] wrote: CErto, colocando somente a linha: pppoed_interface=vr0 ath0 (com minhas duas interfaces) dará certo??? Acho que deu certo nos testes. Outra pergunta: Qual a melhor forma de parar o serviço (kill pid???) e start novamente (/etc/netstart restart) Tente usar /etc/rc.d/pppoed com as opções restart, ou stop, ou start, conforme o caso. É bem mais pontual. Abraços, João Rocha. abraços! Em 24/08/07, Joao Rocha Braga Filho [EMAIL PROTECTED] escreveu: On 8/24/07, ThOLOko [EMAIL PROTECTED] wrote: BOm dia galerinhaBSD!!! Tenho um servidor PPPoE rodando REDONDINHO aqui na interface xl0. Gostaria de permitir que o servidor escutasse em mais uma interface bge0. Tem como??? ## SERVIDOR PPPOE pppoed_enable=YES pppoed_flags=-d -P /var/run/pppoed.pid -a server -l default pppoed_interface=xl0 # + bge0 Eu coloquei as seguintes linhas no /etc/rc.local /usr/libexec/pppoed -d -P /var/run/pppoed_sk0.pid -a rede_ethernet -l default -p meu.provedor sk0 /usr/libexec/pppoed -d -P /var/run/pppoed_rl0.pid -a rede_ethernet -l default -p meu.provedor rl0 /usr/libexec/pppoed -d -P /var/run/pppoed_rl1.pid -a rede_ethernet -l default -p meu.provedor rl1 /usr/libexec/pppoed -d -P /var/run/pppoed_rl2.pid -a rede_ethernet -l default -p meu.provedor rl2 /usr/libexec/pppoed -d -P /var/run/pppoed_rl3.pid -a rede_ethernet -l default -p meu.provedor rl3 Mas já fiz também, em um teste usando outra máquina, no /etc/rc.conf: # Implementado por Joao Rocha em 17/09/2006. pppoed_enable=YES #turn on pppoed pppoed_flags=-d -P /var/run/pppoed.pid -a rede_ethernet -l default #tell pppoed what flags to run. Man pppoed tells you what all these mean. #please see Lessons Learned, 3 for a note on this # Troca entre vr0 e rl0 feita em 27/11/2006 por Joao Rocha. pppoed_interface=vr0 ath0 #tell pppoed what interface to João Rocha. ABraços! -- ThOLOko -FreeBSD- UniX TeaM - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. [EMAIL PROTECTED] [EMAIL PROTECTED] http://www.goffredo.eti.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ThOLOko -FreeBSD- UniX TeaM - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. [EMAIL PROTECTED] [EMAIL PROTECTED] http://www.goffredo.eti.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFilter- que lixo!
hahahah... putz cara acorda .. em nenhum momento eu desprezei o iptables,pelo contrario, eu o elogiei em comparacao ao ipfilter!! mas isso é minha opiniao, por favor, leia melhor o que escrevi abaixo..rsrsr eu afirmo que achei o desempenho do iptables melhor, no meu caso, que o ipfilter e que testei o PF e achei excelente. Agora vc nao le direito a msg e me acha ACHA BITOLADO? da um tempo...rsrsr eu testei os 3 firewalls - Iptables, Ipfilter e PF.. e so falei minha opiniao a respeito.. Nao confunda IPfilter com NetFilter !!! abracos e sem ofensas, eu tambem adoro linux e o iptables!... -- Original Message --- From: Jorge Pereira [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Mon, 27 Aug 2007 11:03:39 -0300 Subject: Re: [FUG-BR] IPFilter- que lixo! Sinceramente... Acho isto uma tremenda idiotice de sua parte (sem ofenças), ficar menosprezando outras tecnologias, e parecer um evangelico vanglorizando outra e coisa de gente alucinada. já que você odeia tanto o netfilter do Linux, por que num escreve algo melhor? ou que tal portar a idéia/lógica do PF para o Linux? a ja sei, o Linux e uma porcaria e não merece isto. engraçado, gostaria de saber o por que de tanta raiva de uma outra tecnologia que procura ganhar espaço e manter tanto a qualidade assim como outros sistemas OS, inclusive o próprio FreeBSD. Concordo com você que o FreeBSD realmente e formidável, desde de seu FS ate sua pilha TCP e muito superior, mais nada que precise uma pessoa ficar menosprezando a tecnologia. favor, sem flames! mandei este e-mail, pois acho inutil este tipo de ofensas (inclusive este meu e-mail, pois gente assim tem a cabeça BITOLADA e de nada irá adiantar meu flame) Sem mais, e desculpe caso tenha se sentido ofendido! On 8/27/07, Nilson Debatin [EMAIL PROTECTED] wrote: On Mon, 2007-08-27 at 08:37 -0300, Gustavo Polillo Correa wrote: ja testei TODOS os scripts que encontrei na lista e nos tutoriais da net e nenhum, absolutamente nenhum permite vc filtrar pacotes sem perda de performance! Neste item o iptables, que muitos criticam, faz seu trabalho sem reclamar e com eficiencia, mas como estou no freebsd, vou testar o PF. Nao sei que droga tas usando mas é forte!!! Qualquer linha de codigo, seja um IF ou um A++ vai ter perda de performance, ainda mais se isso for executado a CADA pacote q passa na if de rede, logo é impossivel que um firewall não aumente minimamente a latencia de rede. Quando ao ip-LIXO-tables acho q vc falou uma grande besteira pois eu aposto que ele é mais lerdo que qualquer firewall do mundo BSD. E se o PF não te agradar então desista do mundo dos firewalls, pois apesar de usar ipfw, eu sei que o PF é o firewall mais avancado e poderoso que EXISTE e faz até pipoca com cobertura de chocolate! []s Nilson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Regards, + -+ Jorge Pereira, From: Olinda/Pe/Brazil Home: http://www.jorgepereira.com.br/ E-mail: [EMAIL PROTECTED], [EMAIL PROTECTED] Mobile: +55 (81) 8833-2484 My Public Key: http://www.jorgepereira.com.br/public.pgp + -+ Se você ama alguma coisa, liberte-a; Se ela não voltar a ti, cace-a e mate-a. + --+ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd --- End of Original Message --- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFilter- que lixo!
eu ainda nao testei o IPFW... mas ja li muita coisa boa a respeito. Vou testar ainda esta semana.. ;p Gustavo. -- Original Message --- From: Flavio Alexsandro Silva [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Mon, 27 Aug 2007 10:58:29 -0300 Subject: Re: [FUG-BR] IPFilter- que lixo! Gustavo, Não sei qual seu ambiente ou o que vc tem configurado de servicos nesse servidor...Mas uma experiencia que tive com iptables e CBQ (Red Hat 9) passando pra FreeBSD 6-Stable usando IPFW e DummyNet foi uma maravilha...Sobrou maquina e melhorou o tempo de tudo...Mas foram reconfigurados DNS (primario e secundario) com visoes para acesso interno e externo (rede local e internet). Abraços, -- Flávio Alexsandro Silva Unix is user friendly. It's just selective about who its friends are. Linux is for people who hate Windows. BSD is for people who love UNIX. Gustavo Polillo Correa wrote: O PF resolveu meu problema.. realmente ela faz pipoca com cobertura de chocolate e acompanha refri de 700 ml! É claro que qualquer filtro vai causar uma latencia na rede, mas em comparacao com o iptables do linux, ipfilter deixa muito a desejar em termos de performance.. foi so um comentario, sem ofensas!! ja testei TODOS os scripts que encontrei na lista e nos tutoriais da net e nenhum, absolutamente nenhum permite vc filtrar pacotes sem perda de performance! Neste item o iptables, que muitos criticam, faz seu trabalho sem reclamar e com eficiencia, mas como estou no freebsd, vou testar o PF. Nao sei que droga tas usando mas é forte!!! Qualquer linha de codigo, seja um IF ou um A++ vai ter perda de performance, ainda mais se isso for executado a CADA pacote q passa na if de rede, logo é impossivel que um firewall não aumente minimamente a latencia de rede. Quando ao ip-LIXO-tables acho q vc falou uma grande besteira pois eu aposto que ele é mais lerdo que qualquer firewall do mundo BSD. E se o PF não te agradar então desista do mundo dos firewalls, pois apesar de usar ipfw, eu sei que o PF é o firewall mais avancado e poderoso que EXISTE e faz até pipoca com cobertura de chocolate! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd GET FREE SMILEYS FOR YOUR IM EMAIL - Learn more at http://www.inbox.com/smileys Works with AIM®, MSN® Messenger, Yahoo!® Messenger, ICQ®, Google TalkT and most webmails - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd --- End of Original Message --- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFilter- que lixo!
On 8/27/07, Gustavo Polillo Correa [EMAIL PROTECTED] wrote: hahahah... putz cara acorda .. em nenhum momento eu desprezei o iptables,pelo contrario, eu o elogiei em comparacao ao ipfilter!! mas isso é minha opiniao, por favor, leia melhor o que escrevi abaixo..rsrsr eu afirmo que achei o desempenho do iptables melhor, no meu caso, que o ipfilter e que testei o PF e achei excelente. Agora vc nao le direito a msg e me acha ACHA BITOLADO? da um tempo...rsrsr eu testei os 3 firewalls - Iptables, Ipfilter e PF.. e so falei minha opiniao a respeito.. Nao confunda IPfilter com NetFilter !!! abracos e sem ofensas, eu tambem adoro linux e o iptables!... Ae galera, nao eh por nada nao, mas como alguns de voces mesmo disseram, pra q q serve isso?? Vamo para com esse negocio que nao presta pra NADA, cada um tem um opiniao e acabou, nao tem q ficar discutindo coisas como essas na lista nao, soh acho que deveriam fazer isso em PVT se quisessem continuar, a lista do FUG eh ponto de referencia de buscas no google... nao custa pensar um pouco antes... FLAMES /dev/null -- Original Message --- From: Jorge Pereira [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Mon, 27 Aug 2007 11:03:39 -0300 Subject: Re: [FUG-BR] IPFilter- que lixo! Sinceramente... Acho isto uma tremenda idiotice de sua parte (sem ofenças), ficar menosprezando outras tecnologias, e parecer um evangelico vanglorizando outra e coisa de gente alucinada. já que você odeia tanto o netfilter do Linux, por que num escreve algo melhor? ou que tal portar a idéia/lógica do PF para o Linux? a ja sei, o Linux e uma porcaria e não merece isto. engraçado, gostaria de saber o por que de tanta raiva de uma outra tecnologia que procura ganhar espaço e manter tanto a qualidade assim como outros sistemas OS, inclusive o próprio FreeBSD. Concordo com você que o FreeBSD realmente e formidável, desde de seu FS ate sua pilha TCP e muito superior, mais nada que precise uma pessoa ficar menosprezando a tecnologia. favor, sem flames! mandei este e-mail, pois acho inutil este tipo de ofensas (inclusive este meu e-mail, pois gente assim tem a cabeça BITOLADA e de nada irá adiantar meu flame) Sem mais, e desculpe caso tenha se sentido ofendido! On 8/27/07, Nilson Debatin [EMAIL PROTECTED] wrote: On Mon, 2007-08-27 at 08:37 -0300, Gustavo Polillo Correa wrote: ja testei TODOS os scripts que encontrei na lista e nos tutoriais da net e nenhum, absolutamente nenhum permite vc filtrar pacotes sem perda de performance! Neste item o iptables, que muitos criticam, faz seu trabalho sem reclamar e com eficiencia, mas como estou no freebsd, vou testar o PF. Nao sei que droga tas usando mas é forte!!! Qualquer linha de codigo, seja um IF ou um A++ vai ter perda de performance, ainda mais se isso for executado a CADA pacote q passa na if de rede, logo é impossivel que um firewall não aumente minimamente a latencia de rede. Quando ao ip-LIXO-tables acho q vc falou uma grande besteira pois eu aposto que ele é mais lerdo que qualquer firewall do mundo BSD. E se o PF não te agradar então desista do mundo dos firewalls, pois apesar de usar ipfw, eu sei que o PF é o firewall mais avancado e poderoso que EXISTE e faz até pipoca com cobertura de chocolate! []s Nilson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Regards, + -+ Jorge Pereira, From: Olinda/Pe/Brazil Home: http://www.jorgepereira.com.br/ E-mail: [EMAIL PROTECTED], [EMAIL PROTECTED] Mobile: +55 (81) 8833-2484 My Public Key: http://www.jorgepereira.com.br/public.pgp + -+ Se você ama alguma coisa, liberte-a; Se ela não voltar a ti, cace-a e mate-a. + --+ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd --- End of Original Message --- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- William Grzybowski -- Jabber: william88 at gmail dot com Msn: william.grz at hotmail dot com Curitiba/PR - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFilter- que lixo!
Veja Gustavo, Tudo que necessite de firewall consegui resolver com IPFW, Natd e DummyNet... Vejo que muito gente que naum conseguiu se resolver com o IPFW partiu para o PF e acredito que seja esse o caminho natural... No que tive de experiencia com o IPFW (como modulo, ou compilado direto no kernel) ele funciona que eh uma maravilha Bons testes!!! Abraços, -- Flávio Alexsandro Silva Unix is user friendly. It's just selective about who its friends are. Linux is for people who hate Windows. BSD is for people who love UNIX. Gustavo Polillo Correa wrote: eu ainda nao testei o IPFW... mas ja li muita coisa boa a respeito. Vou testar ainda esta semana.. ;p Gustavo. -- Original Message --- From: Flavio Alexsandro Silva [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Mon, 27 Aug 2007 10:58:29 -0300 Subject: Re: [FUG-BR] IPFilter- que lixo! Gustavo, Não sei qual seu ambiente ou o que vc tem configurado de servicos nesse servidor...Mas uma experiencia que tive com iptables e CBQ (Red Hat 9) passando pra FreeBSD 6-Stable usando IPFW e DummyNet foi uma maravilha...Sobrou maquina e melhorou o tempo de tudo...Mas foram reconfigurados DNS (primario e secundario) com visoes para acesso interno e externo (rede local e internet). Abraços, -- Flávio Alexsandro Silva Unix is user friendly. It's just selective about who its friends are. Linux is for people who hate Windows. BSD is for people who love UNIX. Gustavo Polillo Correa wrote: O PF resolveu meu problema.. realmente ela faz pipoca com cobertura de chocolate e acompanha refri de 700 ml! É claro que qualquer filtro vai causar uma latencia na rede, mas em comparacao com o iptables do linux, ipfilter deixa muito a desejar em termos de performance.. foi so um comentario, sem ofensas!! ja testei TODOS os scripts que encontrei na lista e nos tutoriais da net e nenhum, absolutamente nenhum permite vc filtrar pacotes sem perda de performance! Neste item o iptables, que muitos criticam, faz seu trabalho sem reclamar e com eficiencia, mas como estou no freebsd, vou testar o PF. Nao sei que droga tas usando mas é forte!!! Qualquer linha de codigo, seja um IF ou um A++ vai ter perda de performance, ainda mais se isso for executado a CADA pacote q passa na if de rede, logo é impossivel que um firewall não aumente minimamente a latencia de rede. Quando ao ip-LIXO-tables acho q vc falou uma grande besteira pois eu aposto que ele é mais lerdo que qualquer firewall do mundo BSD. E se o PF não te agradar então desista do mundo dos firewalls, pois apesar de usar ipfw, eu sei que o PF é o firewall mais avancado e poderoso que EXISTE e faz até pipoca com cobertura de chocolate! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd GET FREE SMILEYS FOR YOUR IM EMAIL - Learn more at http://www.inbox.com/smileys Works with AIM®, MSN® Messenger, Yahoo!® Messenger, ICQ®, Google TalkT and most webmails - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd --- End of Original Message --- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] squid lento
Olá! Antes de tudo gostaria de dizer que googliei e li o histórico da lista, porém continuo sem solução. Tinha o squid2.4stable13 instalado e acabei de atualizar para o stable14. Porém o problema continua. Tenho hoje um squid rodando em um servidor V20z da Sun em Debian tá que é um doce. Tenho um servidor novo da Sun x4100, uma baita máquina, rodando Free 6.2 e como disse squid 2.4 stable 14. Copiei todas ACL's do linux e coloquei no servidor novo com Free. Fiz a migração dos usuários alterando apenas o registro PROXY no dns. Em cerca de 5 minutos depois de mudar o dns vejo o tráfego chegando ao novo proxy e a conexão a internet fica lentíssima. Já alterei algumas opções no kernel de acordo com a documentação do squid: #cat /boot/loader.conf kern.ipc.msgmnb=16384 kern.ipc.msgmni=40 kern.ipc.msgseg=2048 kern.ipc.msgssz=64 kern.ipc.msgtql=2048 A CPU fica em torno de 60%. iostat, gstat não retornam nada fora do comum. Meu squid.conf # cat /usr/local/etc/squid/squid.conf | grep -v ^$ | grep -v ^# http_port 172.16.7.240:3128 http_port 127.0.0.1:3128 icp_port 0 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? cache deny QUERY acl apache rep_header Server ^Apache broken_vary_encoding allow apache cache_mem 100 MB cache_dir ufs /cache 8000 16 256 access_log /usr/local/squid/logs/access.log squid cache_store_log none auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 25 auth_param ntlm keep_alive on auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm XYZ Proxy server auth_param basic credentialsttl 2 hours refresh_pattern ^ftp: 144020% 10080 refresh_pattern ^gopher:14400% 1440 refresh_pattern . 0 20% 4320 acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl password proxy_auth REQUIRED acl redelocal src 192.168.0.0/16 acl redelocal src 172.16.0.0/16 acl paginapare dstdomain squidweb.xyz.gov.br acl usuarioslib proxy_auth -i /usr/local/etc/squid/xyz/usuarioslib.txt acl usuariosrestritos proxy_auth -i /usr/local/etc/squid/xyz/usuariosrestritos.txt acl usuariosthorga proxy_auth -i /usr/local/etc/squid/xyz/usuariosthorga.txt acl sitesthorga url_regex -i /usr/local/etc/squid/xyz/sitesthorga.txt acl usuariosthorga_eng proxy_auth -i /usr/local/etc/squid/xyz/usuariosthorga_eng.txt acl sitesthorga_eng url_regex -i /usr/local/etc/squid/xyz/sitesthorga_eng.txt acl usuarios_chineses proxy_auth -i /usr/local/etc/squid/xyz/chineses_msn.txt acl msn_chineses url_regex -i gateway.messenger. acl msn_chineses url_regex -i login.live.com acl msn_chineses url_regex -i gateway.dll acl msn_chineses url_regex -i msn.com acl usuario_tabajara proxy_auth -i tabajara acl palavra_radio url_regex -i radio acl usuario_mcarmo proxy_auth -i mcarmo acl usuario_janice proxy_auth -i janice acl site_biruta url_regex -i birutadosul acl site_votorantim url_regex -i webmail.votorantim.com.br acl site_votorantim url_regex -i portal.votoran.com.br acl site_votorantim url_regex -i portal.votorantim-cimentos.com.br acl usuario_nilsons proxy_auth -i nilsons acl usuario_direito proxy_auth -i isabelf acl palavra_direito url_regex -i direitodoestado.com acl malwares url_regex -i /usr/local/etc/squid/xyz/malware.txt acl bloqueados url_regex -i /usr/local/etc/xyz/xyz/bloqueados.txt acl liberados url_regex -i /usr/local/etc/xyz/xyz/liberados.txt acl servidores src /usr/local/etc/squid/xyz/servidores.txt follow_x_forwarded_for deny all http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny malwares deny_info http://malware.hiperlinks.com.br/denied.shtml malwares http_access allow liberados password http_access allow servidores http_access allow usuarioslib http_access deny usuariosthorga !sitesthorga http_access deny usuariosthorga_eng !sitesthorga_eng http_access allow usuario_direito palavra_direito http_access allow usuarios_chineses msn_chineses http_access allow usuario_nilsons site_votorantim http_access allow palavra_radio usuario_tabajara http_access allow palavra_radio usuario_mcarmo http_access allow usuario_janice site_biruta http_access deny usuariosrestritos http_access deny bloqueados all deny_info http://squidweb.xyz.gov.br bloqueados http_access allow localhost http_access allow
Re: [FUG-BR] IPFilter- que lixo!
eu utilizo o IPFW e o PF (no PFSense) e ambos atendem o que eu quero, também tenho firewalls iptables, acho que ficar discutindo quem é o melhor é que nem discutir religião, cada um segue o que quer :) Abraços Em 27/08/07, Flavio Alexsandro Silva [EMAIL PROTECTED] escreveu: Veja Gustavo, Tudo que necessite de firewall consegui resolver com IPFW, Natd e DummyNet... Vejo que muito gente que naum conseguiu se resolver com o IPFW partiu para o PF e acredito que seja esse o caminho natural... No que tive de experiencia com o IPFW (como modulo, ou compilado direto no kernel) ele funciona que eh uma maravilha Bons testes!!! Abraços, -- Flávio Alexsandro Silva Unix is user friendly. It's just selective about who its friends are. Linux is for people who hate Windows. BSD is for people who love UNIX. Gustavo Polillo Correa wrote: eu ainda nao testei o IPFW... mas ja li muita coisa boa a respeito. Vou testar ainda esta semana.. ;p Gustavo. -- Original Message --- From: Flavio Alexsandro Silva [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Mon, 27 Aug 2007 10:58:29 -0300 Subject: Re: [FUG-BR] IPFilter- que lixo! Gustavo, Não sei qual seu ambiente ou o que vc tem configurado de servicos nesse servidor...Mas uma experiencia que tive com iptables e CBQ (Red Hat 9) passando pra FreeBSD 6-Stable usando IPFW e DummyNet foi uma maravilha...Sobrou maquina e melhorou o tempo de tudo...Mas foram reconfigurados DNS (primario e secundario) com visoes para acesso interno e externo (rede local e internet). Abraços, -- Flávio Alexsandro Silva Unix is user friendly. It's just selective about who its friends are. Linux is for people who hate Windows. BSD is for people who love UNIX. Gustavo Polillo Correa wrote: O PF resolveu meu problema.. realmente ela faz pipoca com cobertura de chocolate e acompanha refri de 700 ml! É claro que qualquer filtro vai causar uma latencia na rede, mas em comparacao com o iptables do linux, ipfilter deixa muito a desejar em termos de performance.. foi so um comentario, sem ofensas!! ja testei TODOS os scripts que encontrei na lista e nos tutoriais da net e nenhum, absolutamente nenhum permite vc filtrar pacotes sem perda de performance! Neste item o iptables, que muitos criticam, faz seu trabalho sem reclamar e com eficiencia, mas como estou no freebsd, vou testar o PF. Nao sei que droga tas usando mas é forte!!! Qualquer linha de codigo, seja um IF ou um A++ vai ter perda de performance, ainda mais se isso for executado a CADA pacote q passa na if de rede, logo é impossivel que um firewall não aumente minimamente a latencia de rede. Quando ao ip-LIXO-tables acho q vc falou uma grande besteira pois eu aposto que ele é mais lerdo que qualquer firewall do mundo BSD. E se o PF não te agradar então desista do mundo dos firewalls, pois apesar de usar ipfw, eu sei que o PF é o firewall mais avancado e poderoso que EXISTE e faz até pipoca com cobertura de chocolate! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd GET FREE SMILEYS FOR YOUR IM EMAIL - Learn more at http://www.inbox.com/smileys Works with AIM(r), MSN(r) Messenger, Yahoo!(r) Messenger, ICQ(r), Google TalkT and most webmails - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd --- End of Original Message --- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência de treinamentos. Porque você treina macacos. Pessoas,você educa. Se a gente se lança sem vigor, sete de dez ações tomadas não dão certo. É extremamente difícil tomar decisões num estado de agitação. Por outro lado, se sem se preocupar com as conseqüências menores, abordamos os problemas com o espíito afiado como uma lâmina, sempre encontramos a solução em menos tempo do que é necessáio para respirar sete vezes. Nabeshima Naoshige (1538-1618) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
Lutieri G. wrote: Olá! Antes de tudo gostaria de dizer que googliei e li o histórico da lista, porém continuo sem solução. Tinha o squid2.4stable13 instalado e acabei de atualizar para o stable14. Porém o problema continua. Tenho hoje um squid rodando em um servidor V20z da Sun em Debian tá que é um doce. Tenho um servidor novo da Sun x4100, uma baita máquina, rodando Free 6.2 e como disse squid 2.4 stable 14. Copiei todas ACL's do linux e coloquei no servidor novo com Free. Fiz a migração dos usuários alterando apenas o registro PROXY no dns. Em cerca de 5 minutos depois de mudar o dns vejo o tráfego chegando ao novo proxy e a conexão a internet fica lentíssima. Já alterei algumas opções no kernel de acordo com a documentação do squid: #cat /boot/loader.conf kern.ipc.msgmnb=16384 kern.ipc.msgmni=40 kern.ipc.msgseg=2048 kern.ipc.msgssz=64 kern.ipc.msgtql=2048 A CPU fica em torno de 60%. iostat, gstat não retornam nada fora do comum. Meu squid.conf # cat /usr/local/etc/squid/squid.conf | grep -v ^$ | grep -v ^# http_port 172.16.7.240:3128 http_port 127.0.0.1:3128 icp_port 0 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? cache deny QUERY acl apache rep_header Server ^Apache broken_vary_encoding allow apache cache_mem 100 MB cache_dir ufs /cache 8000 16 256 access_log /usr/local/squid/logs/access.log squid cache_store_log none auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 25 auth_param ntlm keep_alive on auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm XYZ Proxy server auth_param basic credentialsttl 2 hours refresh_pattern ^ftp: 144020% 10080 refresh_pattern ^gopher:14400% 1440 refresh_pattern . 0 20% 4320 acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl password proxy_auth REQUIRED acl redelocal src 192.168.0.0/16 acl redelocal src 172.16.0.0/16 acl paginapare dstdomain squidweb.xyz.gov.br acl usuarioslib proxy_auth -i /usr/local/etc/squid/xyz/usuarioslib.txt acl usuariosrestritos proxy_auth -i /usr/local/etc/squid/xyz/usuariosrestritos.txt acl usuariosthorga proxy_auth -i /usr/local/etc/squid/xyz/usuariosthorga.txt acl sitesthorga url_regex -i /usr/local/etc/squid/xyz/sitesthorga.txt acl usuariosthorga_eng proxy_auth -i /usr/local/etc/squid/xyz/usuariosthorga_eng.txt acl sitesthorga_eng url_regex -i /usr/local/etc/squid/xyz/sitesthorga_eng.txt acl usuarios_chineses proxy_auth -i /usr/local/etc/squid/xyz/chineses_msn.txt acl msn_chineses url_regex -i gateway.messenger. acl msn_chineses url_regex -i login.live.com acl msn_chineses url_regex -i gateway.dll acl msn_chineses url_regex -i msn.com acl usuario_tabajara proxy_auth -i tabajara acl palavra_radio url_regex -i radio acl usuario_mcarmo proxy_auth -i mcarmo acl usuario_janice proxy_auth -i janice acl site_biruta url_regex -i birutadosul acl site_votorantim url_regex -i webmail.votorantim.com.br acl site_votorantim url_regex -i portal.votoran.com.br acl site_votorantim url_regex -i portal.votorantim-cimentos.com.br acl usuario_nilsons proxy_auth -i nilsons acl usuario_direito proxy_auth -i isabelf acl palavra_direito url_regex -i direitodoestado.com acl malwares url_regex -i /usr/local/etc/squid/xyz/malware.txt acl bloqueados url_regex -i /usr/local/etc/xyz/xyz/bloqueados.txt acl liberados url_regex -i /usr/local/etc/xyz/xyz/liberados.txt acl servidores src /usr/local/etc/squid/xyz/servidores.txt follow_x_forwarded_for deny all http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny malwares deny_info http://malware.hiperlinks.com.br/denied.shtml malwares http_access allow liberados password http_access allow servidores http_access allow usuarioslib http_access deny usuariosthorga !sitesthorga http_access deny usuariosthorga_eng !sitesthorga_eng http_access allow usuario_direito palavra_direito http_access allow usuarios_chineses msn_chineses http_access allow usuario_nilsons site_votorantim http_access allow palavra_radio usuario_tabajara http_access allow palavra_radio usuario_mcarmo http_access allow usuario_janice site_biruta http_access deny
Re: [FUG-BR] squid lento
a versão é 2.4 mesmo ou vc errou..? pois o squid ja esta na 2.6.. Em 27/08/07, Lutieri G.[EMAIL PROTECTED] escreveu: Olá! Antes de tudo gostaria de dizer que googliei e li o histórico da lista, porém continuo sem solução. Tinha o squid2.4stable13 instalado e acabei de atualizar para o stable14. Porém o problema continua. Tenho hoje um squid rodando em um servidor V20z da Sun em Debian tá que é um doce. Tenho um servidor novo da Sun x4100, uma baita máquina, rodando Free 6.2 e como disse squid 2.4 stable 14. Copiei todas ACL's do linux e coloquei no servidor novo com Free. Fiz a migração dos usuários alterando apenas o registro PROXY no dns. Em cerca de 5 minutos depois de mudar o dns vejo o tráfego chegando ao novo proxy e a conexão a internet fica lentíssima. Já alterei algumas opções no kernel de acordo com a documentação do squid: #cat /boot/loader.conf kern.ipc.msgmnb=16384 kern.ipc.msgmni=40 kern.ipc.msgseg=2048 kern.ipc.msgssz=64 kern.ipc.msgtql=2048 A CPU fica em torno de 60%. iostat, gstat não retornam nada fora do comum. Meu squid.conf # cat /usr/local/etc/squid/squid.conf | grep -v ^$ | grep -v ^# http_port 172.16.7.240:3128 http_port 127.0.0.1:3128 icp_port 0 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? cache deny QUERY acl apache rep_header Server ^Apache broken_vary_encoding allow apache cache_mem 100 MB cache_dir ufs /cache 8000 16 256 access_log /usr/local/squid/logs/access.log squid cache_store_log none auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 25 auth_param ntlm keep_alive on auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm XYZ Proxy server auth_param basic credentialsttl 2 hours refresh_pattern ^ftp: 144020% 10080 refresh_pattern ^gopher:14400% 1440 refresh_pattern . 0 20% 4320 acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl password proxy_auth REQUIRED acl redelocal src 192.168.0.0/16 acl redelocal src 172.16.0.0/16 acl paginapare dstdomain squidweb.xyz.gov.br acl usuarioslib proxy_auth -i /usr/local/etc/squid/xyz/usuarioslib.txt acl usuariosrestritos proxy_auth -i /usr/local/etc/squid/xyz/usuariosrestritos.txt acl usuariosthorga proxy_auth -i /usr/local/etc/squid/xyz/usuariosthorga.txt acl sitesthorga url_regex -i /usr/local/etc/squid/xyz/sitesthorga.txt acl usuariosthorga_eng proxy_auth -i /usr/local/etc/squid/xyz/usuariosthorga_eng.txt acl sitesthorga_eng url_regex -i /usr/local/etc/squid/xyz/sitesthorga_eng.txt acl usuarios_chineses proxy_auth -i /usr/local/etc/squid/xyz/chineses_msn.txt acl msn_chineses url_regex -i gateway.messenger. acl msn_chineses url_regex -i login.live.com acl msn_chineses url_regex -i gateway.dll acl msn_chineses url_regex -i msn.com acl usuario_tabajara proxy_auth -i tabajara acl palavra_radio url_regex -i radio acl usuario_mcarmo proxy_auth -i mcarmo acl usuario_janice proxy_auth -i janice acl site_biruta url_regex -i birutadosul acl site_votorantim url_regex -i webmail.votorantim.com.br acl site_votorantim url_regex -i portal.votoran.com.br acl site_votorantim url_regex -i portal.votorantim-cimentos.com.br acl usuario_nilsons proxy_auth -i nilsons acl usuario_direito proxy_auth -i isabelf acl palavra_direito url_regex -i direitodoestado.com acl malwares url_regex -i /usr/local/etc/squid/xyz/malware.txt acl bloqueados url_regex -i /usr/local/etc/xyz/xyz/bloqueados.txt acl liberados url_regex -i /usr/local/etc/xyz/xyz/liberados.txt acl servidores src /usr/local/etc/squid/xyz/servidores.txt follow_x_forwarded_for deny all http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny malwares deny_info http://malware.hiperlinks.com.br/denied.shtml malwares http_access allow liberados password http_access allow servidores http_access allow usuarioslib http_access deny usuariosthorga !sitesthorga http_access deny usuariosthorga_eng !sitesthorga_eng http_access allow usuario_direito palavra_direito http_access allow usuarios_chineses msn_chineses http_access allow usuario_nilsons site_votorantim http_access allow palavra_radio usuario_tabajara http_access allow
[FUG-BR] problema sendmail
Boa tarde a todos, Tenho um servidor DNS, apache ( hospedagem de paginas) , rodando 4.11 e as vezes quando dou o comando top aparecem muitos processos do sendmail (consumindo boa parte do processador) no rc.conf consta a linha sendmail_enable=NONE o que devo verificar? Att. DENIS GRANATO - Coordenador Suporte Técnico E-COMP Provedor Internet Afiliado à Rede Global Info Rua Santos Dumont, 521 Birigüi - SP - 16200-095 FoneFax (18) 3644-6000 email: [EMAIL PROTECTED] msn: [EMAIL PROTECTED] skype: ecomp.provedor - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] problema sendmail
Pensei que o sendmail_enable=NONE cancelasse completamente o funcionamento do sendmail...tente por essas opções: sendmail_enable=NO sendmail_submit_enable=NO sendmail_outbound_enable=NO sendmail_msp_queue_enable=NO Em 27/08/07, Denis gmail[EMAIL PROTECTED] escreveu: Boa tarde a todos, Tenho um servidor DNS, apache ( hospedagem de paginas) , rodando 4.11 e as vezes quando dou o comando top aparecem muitos processos do sendmail (consumindo boa parte do processador) no rc.conf consta a linha sendmail_enable=NONE o que devo verificar? Att. DENIS GRANATO - Coordenador Suporte Técnico E-COMP Provedor Internet Afiliado à Rede Global Info Rua Santos Dumont, 521 Birigüi - SP - 16200-095 FoneFax (18) 3644-6000 email: [EMAIL PROTECTED] msn: [EMAIL PROTECTED] skype: ecomp.provedor - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Diego Queiroz dos Santos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFilter- que lixo!
Senhores, Sei que não tem nada haver, mas alguém sabe como faço para bloquear portscan? Obrigado! Em 27/08/07, Jose Augusto [EMAIL PROTECTED] escreveu: eu utilizo o IPFW e o PF (no PFSense) e ambos atendem o que eu quero, também tenho firewalls iptables, acho que ficar discutindo quem é o melhor é que nem discutir religião, cada um segue o que quer :) Abraços Em 27/08/07, Flavio Alexsandro Silva [EMAIL PROTECTED] escreveu: Veja Gustavo, Tudo que necessite de firewall consegui resolver com IPFW, Natd e DummyNet... Vejo que muito gente que naum conseguiu se resolver com o IPFW partiu para o PF e acredito que seja esse o caminho natural... No que tive de experiencia com o IPFW (como modulo, ou compilado direto no kernel) ele funciona que eh uma maravilha Bons testes!!! Abraços, -- Flávio Alexsandro Silva Unix is user friendly. It's just selective about who its friends are. Linux is for people who hate Windows. BSD is for people who love UNIX. Gustavo Polillo Correa wrote: eu ainda nao testei o IPFW... mas ja li muita coisa boa a respeito. Vou testar ainda esta semana.. ;p Gustavo. -- Original Message --- From: Flavio Alexsandro Silva [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Mon, 27 Aug 2007 10:58:29 -0300 Subject: Re: [FUG-BR] IPFilter- que lixo! Gustavo, Não sei qual seu ambiente ou o que vc tem configurado de servicos nesse servidor...Mas uma experiencia que tive com iptables e CBQ (Red Hat 9) passando pra FreeBSD 6-Stable usando IPFW e DummyNet foi uma maravilha...Sobrou maquina e melhorou o tempo de tudo...Mas foram reconfigurados DNS (primario e secundario) com visoes para acesso interno e externo (rede local e internet). Abraços, -- Flávio Alexsandro Silva Unix is user friendly. It's just selective about who its friends are. Linux is for people who hate Windows. BSD is for people who love UNIX. Gustavo Polillo Correa wrote: O PF resolveu meu problema.. realmente ela faz pipoca com cobertura de chocolate e acompanha refri de 700 ml! É claro que qualquer filtro vai causar uma latencia na rede, mas em comparacao com o iptables do linux, ipfilter deixa muito a desejar em termos de performance.. foi so um comentario, sem ofensas!! ja testei TODOS os scripts que encontrei na lista e nos tutoriais da net e nenhum, absolutamente nenhum permite vc filtrar pacotes sem perda de performance! Neste item o iptables, que muitos criticam, faz seu trabalho sem reclamar e com eficiencia, mas como estou no freebsd, vou testar o PF. Nao sei que droga tas usando mas é forte!!! Qualquer linha de codigo, seja um IF ou um A++ vai ter perda de performance, ainda mais se isso for executado a CADA pacote q passa na if de rede, logo é impossivel que um firewall não aumente minimamente a latencia de rede. Quando ao ip-LIXO-tables acho q vc falou uma grande besteira pois eu aposto que ele é mais lerdo que qualquer firewall do mundo BSD. E se o PF não te agradar então desista do mundo dos firewalls, pois apesar de usar ipfw, eu sei que o PF é o firewall mais avancado e poderoso que EXISTE e faz até pipoca com cobertura de chocolate! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd GET FREE SMILEYS FOR YOUR IM EMAIL - Learn more at http://www.inbox.com/smileys Works with AIM(r), MSN(r) Messenger, Yahoo!(r) Messenger, ICQ(r), Google TalkT and most webmails - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd --- End of Original Message --- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência de treinamentos. Porque você treina macacos. Pessoas,você educa. Se a gente se lança sem vigor, sete de dez ações tomadas não dão certo. É extremamente difícil tomar decisões num estado de agitação. Por outro lado, se sem se preocupar com as conseqüências menores, abordamos os problemas com o espíito afiado como uma lâmina, sempre encontramos a solução em menos tempo do que é necessáio para respirar sete vezes. Nabeshima Naoshige (1538-1618)
Re: [FUG-BR] PPPoE em duas interfaces
On 8/27/07, Frederico Terra Boechat [EMAIL PROTECTED] wrote: Alguem sabe quais fontes eu precisaria mudar pra ter o PPPoEd server do FreeBSD 4.11 na versao 6.2? Eu alerei os fontes do ppp e do pppd, mas creio que falte algo mais Cansei, abri até um ticket no freebsd.org e ninguem me respondeu até hoje, o PPPoE como servidor no 4.11 funciona bem, no 6.2 ele nao percebe desconexao e fica a conexao como morta, presa no servidor. Não adianta LQR, Echo, cd 5, etc O LQR funciona em 99 %, ou mais, mas percebi alguns casos no qual nem kill -15 morre. Só morre com kill -9. João Rocha. vou partir pra usar o ppp do 4.11 no 6.2. Grato pela ajuda, caso alguem possa me ajudar. Frederico Boechat - Original Message - From: Joao Rocha Braga Filho [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, August 25, 2007 11:53 AM Subject: Re: [FUG-BR] PPPoE em duas interfaces On 8/24/07, ThOLOko [EMAIL PROTECTED] wrote: CErto, colocando somente a linha: pppoed_interface=vr0 ath0 (com minhas duas interfaces) dará certo??? Acho que deu certo nos testes. Outra pergunta: Qual a melhor forma de parar o serviço (kill pid???) e start novamente (/etc/netstart restart) Tente usar /etc/rc.d/pppoed com as opções restart, ou stop, ou start, conforme o caso. É bem mais pontual. Abraços, João Rocha. abraços! Em 24/08/07, Joao Rocha Braga Filho [EMAIL PROTECTED] escreveu: On 8/24/07, ThOLOko [EMAIL PROTECTED] wrote: BOm dia galerinhaBSD!!! Tenho um servidor PPPoE rodando REDONDINHO aqui na interface xl0. Gostaria de permitir que o servidor escutasse em mais uma interface bge0. Tem como??? ## SERVIDOR PPPOE pppoed_enable=YES pppoed_flags=-d -P /var/run/pppoed.pid -a server -l default pppoed_interface=xl0 # + bge0 Eu coloquei as seguintes linhas no /etc/rc.local /usr/libexec/pppoed -d -P /var/run/pppoed_sk0.pid -a rede_ethernet -l default -p meu.provedor sk0 /usr/libexec/pppoed -d -P /var/run/pppoed_rl0.pid -a rede_ethernet -l default -p meu.provedor rl0 /usr/libexec/pppoed -d -P /var/run/pppoed_rl1.pid -a rede_ethernet -l default -p meu.provedor rl1 /usr/libexec/pppoed -d -P /var/run/pppoed_rl2.pid -a rede_ethernet -l default -p meu.provedor rl2 /usr/libexec/pppoed -d -P /var/run/pppoed_rl3.pid -a rede_ethernet -l default -p meu.provedor rl3 Mas já fiz também, em um teste usando outra máquina, no /etc/rc.conf: # Implementado por Joao Rocha em 17/09/2006. pppoed_enable=YES #turn on pppoed pppoed_flags=-d -P /var/run/pppoed.pid -a rede_ethernet -l default #tell pppoed what flags to run. Man pppoed tells you what all these mean. #please see Lessons Learned, 3 for a note on this # Troca entre vr0 e rl0 feita em 27/11/2006 por Joao Rocha. pppoed_interface=vr0 ath0 #tell pppoed what interface to João Rocha. ABraços! -- ThOLOko -FreeBSD- UniX TeaM - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. [EMAIL PROTECTED] [EMAIL PROTECTED] http://www.goffredo.eti.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ThOLOko -FreeBSD- UniX TeaM - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. [EMAIL PROTECTED] [EMAIL PROTECTED] http://www.goffredo.eti.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. [EMAIL PROTECTED] [EMAIL PROTECTED] http://www.goffredo.eti.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] problema sendmail
tem alguns sites que usam um formulario pra mandar email, agora nao sei se eh o sendmail Att. DENIS GRANATO - Coordenador Suporte Técnico E-COMP Provedor Internet Afiliado à Rede Global Info Rua Santos Dumont, 521 Birigüi - SP - 16200-095 FoneFax (18) 3644-6000 email: [EMAIL PROTECTED] msn: [EMAIL PROTECTED] skype: ecomp.provedor - Original Message - From: Diego Queiroz dos Santos [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, August 27, 2007 12:30 PM Subject: Re: [FUG-BR] problema sendmail Pensei que o sendmail_enable=NONE cancelasse completamente o funcionamento do sendmail...tente por essas opções: sendmail_enable=NO sendmail_submit_enable=NO sendmail_outbound_enable=NO sendmail_msp_queue_enable=NO Em 27/08/07, Denis gmail[EMAIL PROTECTED] escreveu: Boa tarde a todos, Tenho um servidor DNS, apache ( hospedagem de paginas) , rodando 4.11 e as vezes quando dou o comando top aparecem muitos processos do sendmail (consumindo boa parte do processador) no rc.conf consta a linha sendmail_enable=NONE o que devo verificar? Att. DENIS GRANATO - Coordenador Suporte Técnico E-COMP Provedor Internet Afiliado à Rede Global Info Rua Santos Dumont, 521 Birigüi - SP - 16200-095 FoneFax (18) 3644-6000 email: [EMAIL PROTECTED] msn: [EMAIL PROTECTED] skype: ecomp.provedor - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Diego Queiroz dos Santos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
perdão! Eu tinha a 2.6stable13 e atualizei para a 2.6stable14 Problemas de dns eu já descartei pois o que demora é o carregamento da página, isso quer dizer ela já resolveu o dns.. tah soh fazendo download dos objetos. Em 27/08/07, Marcio Antunes[EMAIL PROTECTED] escreveu: a versão é 2.4 mesmo ou vc errou..? pois o squid ja esta na 2.6.. Em 27/08/07, Lutieri G.[EMAIL PROTECTED] escreveu: Olá! Antes de tudo gostaria de dizer que googliei e li o histórico da lista, porém continuo sem solução. Tinha o squid2.4stable13 instalado e acabei de atualizar para o stable14. Porém o problema continua. Tenho hoje um squid rodando em um servidor V20z da Sun em Debian tá que é um doce. Tenho um servidor novo da Sun x4100, uma baita máquina, rodando Free 6.2 e como disse squid 2.4 stable 14. Copiei todas ACL's do linux e coloquei no servidor novo com Free. Fiz a migração dos usuários alterando apenas o registro PROXY no dns. Em cerca de 5 minutos depois de mudar o dns vejo o tráfego chegando ao novo proxy e a conexão a internet fica lentíssima. Já alterei algumas opções no kernel de acordo com a documentação do squid: #cat /boot/loader.conf kern.ipc.msgmnb=16384 kern.ipc.msgmni=40 kern.ipc.msgseg=2048 kern.ipc.msgssz=64 kern.ipc.msgtql=2048 A CPU fica em torno de 60%. iostat, gstat não retornam nada fora do comum. Meu squid.conf # cat /usr/local/etc/squid/squid.conf | grep -v ^$ | grep -v ^# http_port 172.16.7.240:3128 http_port 127.0.0.1:3128 icp_port 0 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? cache deny QUERY acl apache rep_header Server ^Apache broken_vary_encoding allow apache cache_mem 100 MB cache_dir ufs /cache 8000 16 256 access_log /usr/local/squid/logs/access.log squid cache_store_log none auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 25 auth_param ntlm keep_alive on auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm XYZ Proxy server auth_param basic credentialsttl 2 hours refresh_pattern ^ftp: 144020% 10080 refresh_pattern ^gopher:14400% 1440 refresh_pattern . 0 20% 4320 acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl password proxy_auth REQUIRED acl redelocal src 192.168.0.0/16 acl redelocal src 172.16.0.0/16 acl paginapare dstdomain squidweb.xyz.gov.br acl usuarioslib proxy_auth -i /usr/local/etc/squid/xyz/usuarioslib.txt acl usuariosrestritos proxy_auth -i /usr/local/etc/squid/xyz/usuariosrestritos.txt acl usuariosthorga proxy_auth -i /usr/local/etc/squid/xyz/usuariosthorga.txt acl sitesthorga url_regex -i /usr/local/etc/squid/xyz/sitesthorga.txt acl usuariosthorga_eng proxy_auth -i /usr/local/etc/squid/xyz/usuariosthorga_eng.txt acl sitesthorga_eng url_regex -i /usr/local/etc/squid/xyz/sitesthorga_eng.txt acl usuarios_chineses proxy_auth -i /usr/local/etc/squid/xyz/chineses_msn.txt acl msn_chineses url_regex -i gateway.messenger. acl msn_chineses url_regex -i login.live.com acl msn_chineses url_regex -i gateway.dll acl msn_chineses url_regex -i msn.com acl usuario_tabajara proxy_auth -i tabajara acl palavra_radio url_regex -i radio acl usuario_mcarmo proxy_auth -i mcarmo acl usuario_janice proxy_auth -i janice acl site_biruta url_regex -i birutadosul acl site_votorantim url_regex -i webmail.votorantim.com.br acl site_votorantim url_regex -i portal.votoran.com.br acl site_votorantim url_regex -i portal.votorantim-cimentos.com.br acl usuario_nilsons proxy_auth -i nilsons acl usuario_direito proxy_auth -i isabelf acl palavra_direito url_regex -i direitodoestado.com acl malwares url_regex -i /usr/local/etc/squid/xyz/malware.txt acl bloqueados url_regex -i /usr/local/etc/xyz/xyz/bloqueados.txt acl liberados url_regex -i /usr/local/etc/xyz/xyz/liberados.txt acl servidores src /usr/local/etc/squid/xyz/servidores.txt follow_x_forwarded_for deny all http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny malwares deny_info http://malware.hiperlinks.com.br/denied.shtml malwares http_access allow liberados
Re: [FUG-BR] squid lento
Lutieri G. wrote: perdão! Eu tinha a 2.6stable13 e atualizei para a 2.6stable14 Problemas de dns eu já descartei pois o que demora é o carregamento da página, isso quer dizer ela já resolveu o dns.. tah soh fazendo download dos objetos. Em 27/08/07, Marcio Antunes[EMAIL PROTECTED] escreveu: a versão é 2.4 mesmo ou vc errou..? pois o squid ja esta na 2.6.. Em 27/08/07, Lutieri G.[EMAIL PROTECTED] escreveu: Olá! Antes de tudo gostaria de dizer que googliei e li o histórico da lista, porém continuo sem solução. Tinha o squid2.4stable13 instalado e acabei de atualizar para o stable14. Porém o problema continua. Tenho hoje um squid rodando em um servidor V20z da Sun em Debian tá que é um doce. Tenho um servidor novo da Sun x4100, uma baita máquina, rodando Free 6.2 e como disse squid 2.4 stable 14. Copiei todas ACL's do linux e coloquei no servidor novo com Free. Fiz a migração dos usuários alterando apenas o registro PROXY no dns. Em cerca de 5 minutos depois de mudar o dns vejo o tráfego chegando ao novo proxy e a conexão a internet fica lentíssima. Já alterei algumas opções no kernel de acordo com a documentação do squid: #cat /boot/loader.conf kern.ipc.msgmnb=16384 kern.ipc.msgmni=40 kern.ipc.msgseg=2048 kern.ipc.msgssz=64 kern.ipc.msgtql=2048 A CPU fica em torno de 60%. iostat, gstat não retornam nada fora do comum. Meu squid.conf # cat /usr/local/etc/squid/squid.conf | grep -v ^$ | grep -v ^# http_port 172.16.7.240:3128 http_port 127.0.0.1:3128 icp_port 0 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? cache deny QUERY acl apache rep_header Server ^Apache broken_vary_encoding allow apache cache_mem 100 MB cache_dir ufs /cache 8000 16 256 access_log /usr/local/squid/logs/access.log squid cache_store_log none auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 25 auth_param ntlm keep_alive on auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm XYZ Proxy server auth_param basic credentialsttl 2 hours refresh_pattern ^ftp: 144020% 10080 refresh_pattern ^gopher:14400% 1440 refresh_pattern . 0 20% 4320 acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl password proxy_auth REQUIRED acl redelocal src 192.168.0.0/16 acl redelocal src 172.16.0.0/16 acl paginapare dstdomain squidweb.xyz.gov.br acl usuarioslib proxy_auth -i /usr/local/etc/squid/xyz/usuarioslib.txt acl usuariosrestritos proxy_auth -i /usr/local/etc/squid/xyz/usuariosrestritos.txt acl usuariosthorga proxy_auth -i /usr/local/etc/squid/xyz/usuariosthorga.txt acl sitesthorga url_regex -i /usr/local/etc/squid/xyz/sitesthorga.txt acl usuariosthorga_eng proxy_auth -i /usr/local/etc/squid/xyz/usuariosthorga_eng.txt acl sitesthorga_eng url_regex -i /usr/local/etc/squid/xyz/sitesthorga_eng.txt acl usuarios_chineses proxy_auth -i /usr/local/etc/squid/xyz/chineses_msn.txt acl msn_chineses url_regex -i gateway.messenger. acl msn_chineses url_regex -i login.live.com acl msn_chineses url_regex -i gateway.dll acl msn_chineses url_regex -i msn.com acl usuario_tabajara proxy_auth -i tabajara acl palavra_radio url_regex -i radio acl usuario_mcarmo proxy_auth -i mcarmo acl usuario_janice proxy_auth -i janice acl site_biruta url_regex -i birutadosul acl site_votorantim url_regex -i webmail.votorantim.com.br acl site_votorantim url_regex -i portal.votoran.com.br acl site_votorantim url_regex -i portal.votorantim-cimentos.com.br acl usuario_nilsons proxy_auth -i nilsons acl usuario_direito proxy_auth -i isabelf acl palavra_direito url_regex -i direitodoestado.com acl malwares url_regex -i /usr/local/etc/squid/xyz/malware.txt acl bloqueados url_regex -i /usr/local/etc/xyz/xyz/bloqueados.txt acl liberados url_regex -i /usr/local/etc/xyz/xyz/liberados.txt acl servidores src /usr/local/etc/squid/xyz/servidores.txt follow_x_forwarded_for deny all http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny malwares deny_info http://malware.hiperlinks.com.br/denied.shtml malwares http_access allow liberados password http_access allow servidores http_access allow usuarioslib http_access deny
Re: [FUG-BR] Dúvida Natd (fluxo de pacotes pelo ip fw)
Luiz Otavio Souza escreveu:
Rodolfo Zappa escreveu:
(...)
Ok, mas o pacote é reavaliado desde o início das regras, ou a partir do
ponto do divert?
O problema que eu tenho é o seguinte: eu quero bloquear ou liberar
pacotes da minha lan para a internet, baseados no ip de origem. Mas,
após passar pelo natd, o pacote perde a referência do ip de origem, e a
terceira regra abaixo, nunca é acionada.
${ipfw} 100 divert natd ip from any to any via ${ext_if}
${ipfw} 101 chek-state
${ipfw} 102 allow tcp from 192.168.0.25 to any 80 out via ${ext_if}
Estou estudando o IPFW, acho a sintaxe maravilhosa e simples, os
controles de banda facílimos de aprender, mas o fluxo do pacote pelo
firewall, quando tem um divert para o natd, são muito mal documentados
e completamente diferentes do PF, IPF e até do IPTABLES do netfilter.
Por exemplo, no netfilter o fluxo é assim (simplificando):
nat prerouting -- forward -- nat postrouting
e quando eu quero liberar ou bloquear um pacote, baseado na origem, uso
a chain forward, que memso depois de pasara pelo nat, não perde a
referência do ip de origem.
Alguém tem um bom doc sobre ipfw + natd, mostrando o fluxo dos pacotes
pelo firewall?
Patrick, pode dar uma mãozinha de novo?
Rodolfo,
Os são pacotes enviados para o natd através do divert no ipfw e voltam
(do natd para o ipfw) na mesma regra, o processamento continua a partir
da linha do natd.
Mas seu problema é que você esta procurando pelo pacote depois que ele
já foi nateado e ai realmente você perde a referencia ao IP interno.
É só fazer a regra utilizando a interface interna e não a externa.
O fluxo do ipfw (com duas placas e pacotes passando da rede interna para
a rede externa) é o seguinte: in via intif - out via intif - in via
outif - out via outif.
Já o fluxo do natd é o seguinte:
- O IP de origem é substituido apenas em pacotes que estão saindo pela
interface (out via outif) e é criado um estado para essa tradução.
- Já os pacotes chegando na interface (in via outif) são verificados
contra a tabela de estados do natd e caso seja identificado como um
pacote traduzido ele é nateado de volta (o IP de destino dessa vez é
alterado para o IP interno utilizando as informações salvas na tabela de
estado).
Ou seja, para o natd funcionar são necessárias duas linhas:
# ipfw add divert natd ip from 192.168.0.0/24 to any out via bge0 # =
faz o nat de saída
# ipfw add divert natd ip from any to 200.200.200.200 in via bge0 # =
faz o nat do retorno
Considerando que sua rede interna seja 192.168.0.0/24 e o IP do seu
servidor seja 200.200.200.200.
Como nem sempre o servidor tem IP fixo, a maioria dos exemplo simplifica
essas duas regras em uma única (como nos exemplos em /etc/rc.firewall),
mas isso normalmente acaba passando mais trafego do que o preciso pelo
natd (o trafego que não precisa ser nateado é ignorado, mas consome
alguns recursos extras, já que o natd roda no espaço usuário e os
pacotes precisam ser copiados do kernel para o natd e depois reinjetados
pelo natd através de outra copia no sentido inverso).
[]s
Luiz
PS: Regras check-state e stablished após o natd são potencialmente
perigosas, elas passam os pacotes baseados no estado de cada conexão e
podem confundir bastante. Faça todo trabalho sujo (fwd por exemplo) logo
depois do natd para evitar problemas.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
!DSPAM:8,46d19726816441013332718!
Luiz,
Muito grato pela informação!!!
Mas gostaria também de ler mais sobre o assunto. Neste aspecto em
particular, o handbook é bem fraco. Já vi o ipfw-howto e o ipfw-advanced
howto, e eles se atém muito a sintaxe, em vez da lógica do firewall
(como o fluxo).
Além disso, muito pouca documentação sobre ipfw + natd, ambas
documentações tratam deles em separado, ou em ambientes pobres, para
exemplos.
Até hoje não consegui formar uma opinião, sobre a viabilidade do uso do
natd para ambientes grandes (mais de 300 usuários simultâneos), se ele
comporta (obviamente, num mesmo hardware que hoje tem o pf).
Apesar do pf estar atendendo, tenho cogitado mudar para o ipfw, por
conta do maior controle de pacotes e traffic shapping do ipfw, mas o
natd é de tirar o sono.
Pelo menos pra mim, as regras com natd não são tão claras quanto as
regras do nat com o pf.
A propósito, alguém na lista comentou que o ipfw no freebsd 7 vem com
nat builtin no kernel. É verdade? Faz sentido?
--
Cordialmente,
Rodolfo Zappa
Archive TSP - Total Solution Provider
Nosso negócio é garantir que a sua rede de informações não pare!
(21) 2567-1842
[EMAIL PROTECTED]
http://www.archive.com.br
Se a gente se lança sem vigor, sete de dez ações tomadas não dão certo. É
extremamente difícil tomar decisões num estado de agitação. Por outro lado, se
sem se preocupar com as
Re: [FUG-BR] squid lento
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Lutieri G. escreveu: Acabou de ficar lento quase travando: # netstat -m 807/1698/2505 mbufs in use (current/cache/total) 806/1162/1968/25600 mbuf clusters in use (current/cache/total/max) 806/1016 mbuf+clusters out of packet secondary zone in use (current/cache) 0/0/0/0 4k (page size) jumbo clusters in use (current/cache/total/max) 0/0/0/0 9k jumbo clusters in use (current/cache/total/max) 0/0/0/0 16k jumbo clusters in use (current/cache/total/max) 1813K/2748K/4562K bytes allocated to network (current/cache/total) 0/0/0 requests for mbufs denied (mbufs/clusters/mbuf+clusters) 0/0/0 requests for jumbo clusters denied (4k/9k/16k) 0/0/0 sfbufs in use (current/peak/max) 0 requests for sfbufs denied 0 requests for sfbufs delayed 0 requests for I/O initiated by sendfile 46 calls to protocol drain routines Qual é a saída do comando mount? Abraço, -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (MingW32) iD8DBQFG0wT4bjyCr4Ixg0wRAkQSAKCHZSckB6cvzZwFfqWmCnl1pie3GgCeOtnD Fe+O+Oz+N1AqlU1Mkdp+Eso= =qHoO -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
2007/8/27, Márcio Luciano Donada [EMAIL PROTECTED]: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Lutieri G. escreveu: Acabou de ficar lento quase travando: # netstat -m 807/1698/2505 mbufs in use (current/cache/total) 806/1162/1968/25600 mbuf clusters in use (current/cache/total/max) 806/1016 mbuf+clusters out of packet secondary zone in use (current/cache) 0/0/0/0 4k (page size) jumbo clusters in use (current/cache/total/max) 0/0/0/0 9k jumbo clusters in use (current/cache/total/max) 0/0/0/0 16k jumbo clusters in use (current/cache/total/max) 1813K/2748K/4562K bytes allocated to network (current/cache/total) 0/0/0 requests for mbufs denied (mbufs/clusters/mbuf+clusters) 0/0/0 requests for jumbo clusters denied (4k/9k/16k) 0/0/0 sfbufs in use (current/peak/max) 0 requests for sfbufs denied 0 requests for sfbufs delayed 0 requests for I/O initiated by sendfile 46 calls to protocol drain routines Qual é a saída do comando mount? # mount /dev/da0s1a on / (ufs, local) devfs on /dev (devfs, local) /dev/da0s1e on /tmp (ufs, local, soft-updates) /dev/da0s1f on /usr (ufs, local, soft-updates) /dev/da0s1d on /var (ufs, local, soft-updates) /dev/da0s2a on /cache (ufs, local) devfs on /var/chroot/named/dev (devfs, local) Abraço, -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Lutieri G. escreveu: Qual é a saída do comando mount? # mount /dev/da0s1a on / (ufs, local) devfs on /dev (devfs, local) /dev/da0s1e on /tmp (ufs, local, soft-updates) /dev/da0s1f on /usr (ufs, local, soft-updates) /dev/da0s1d on /var (ufs, local, soft-updates) /dev/da0s2a on /cache (ufs, local) devfs on /var/chroot/named/dev (devfs, local) Abraço, Custumo fazer o seguinte: no squid.conf cache_dir diskd /cache/0 4096 16 256 Q1=72 Q2=62 cache_dir diskd /cache/1 4096 16 256 Q1=72 Q2=62 cache_dir diskd /cache/2 4096 16 256 Q1=72 Q2=62 cache_dir diskd /cache/3 4096 16 256 Q1=72 Q2=62 cache_dir diskd /cache/4 4096 16 256 Q1=72 Q2=62 cache_dir diskd /cache/5 4096 16 256 Q1=72 Q2=62 quando monto essa partição /cache, da seguinte forma: defaults,noexec,async,noatime,nodev,nosuid, seu problema deve-se, talvez, ao tamanho da partição, acho que com o diskd, você irá ganhar em performance. Abraço, -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (MingW32) iD8DBQFG0wgtbjyCr4Ixg0wRApfeAJwKk/n9O/kOVIo1avueIlkdZjAZZgCfYhoz Okes7RuHqWTE6TBV1+G+Wiw= =PYFw -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
tambem ja que seja isso..o uso do diskd Em 27/08/07, Márcio Luciano Donada[EMAIL PROTECTED] escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Lutieri G. escreveu: Qual é a saída do comando mount? # mount /dev/da0s1a on / (ufs, local) devfs on /dev (devfs, local) /dev/da0s1e on /tmp (ufs, local, soft-updates) /dev/da0s1f on /usr (ufs, local, soft-updates) /dev/da0s1d on /var (ufs, local, soft-updates) /dev/da0s2a on /cache (ufs, local) devfs on /var/chroot/named/dev (devfs, local) Abraço, Custumo fazer o seguinte: no squid.conf cache_dir diskd /cache/0 4096 16 256 Q1=72 Q2=62 cache_dir diskd /cache/1 4096 16 256 Q1=72 Q2=62 cache_dir diskd /cache/2 4096 16 256 Q1=72 Q2=62 cache_dir diskd /cache/3 4096 16 256 Q1=72 Q2=62 cache_dir diskd /cache/4 4096 16 256 Q1=72 Q2=62 cache_dir diskd /cache/5 4096 16 256 Q1=72 Q2=62 quando monto essa partição /cache, da seguinte forma: defaults,noexec,async,noatime,nodev,nosuid, seu problema deve-se, talvez, ao tamanho da partição, acho que com o diskd, você irá ganhar em performance. Abraço, -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (MingW32) iD8DBQFG0wgtbjyCr4Ixg0wRApfeAJwKk/n9O/kOVIo1avueIlkdZjAZZgCfYhoz Okes7RuHqWTE6TBV1+G+Wiw= =PYFw -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
Lutieri G. wrote: 2007/8/27, Márcio Luciano Donada [EMAIL PROTECTED]: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Lutieri G. escreveu: Acabou de ficar lento quase travando: # netstat -m 807/1698/2505 mbufs in use (current/cache/total) 806/1162/1968/25600 mbuf clusters in use (current/cache/total/max) 806/1016 mbuf+clusters out of packet secondary zone in use (current/cache) 0/0/0/0 4k (page size) jumbo clusters in use (current/cache/total/max) 0/0/0/0 9k jumbo clusters in use (current/cache/total/max) 0/0/0/0 16k jumbo clusters in use (current/cache/total/max) 1813K/2748K/4562K bytes allocated to network (current/cache/total) 0/0/0 requests for mbufs denied (mbufs/clusters/mbuf+clusters) 0/0/0 requests for jumbo clusters denied (4k/9k/16k) 0/0/0 sfbufs in use (current/peak/max) 0 requests for sfbufs denied 0 requests for sfbufs delayed 0 requests for I/O initiated by sendfile 46 calls to protocol drain routines Qual é a saída do comando mount? # mount /dev/da0s1a on / (ufs, local) devfs on /dev (devfs, local) /dev/da0s1e on /tmp (ufs, local, soft-updates) /dev/da0s1f on /usr (ufs, local, soft-updates) /dev/da0s1d on /var (ufs, local, soft-updates) /dev/da0s2a on /cache (ufs, local) devfs on /var/chroot/named/dev (devfs, local) Abraço, Lutieri, Ative o soft-updates no /dev/da0s2a! -- Flávio Alexsandro Silva Unix is user friendly. It's just selective about who its friends are. Linux is for people who hate Windows. BSD is for people who love UNIX. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFilter
http://www.icir.org/vern/papers/norm-usenix-sec-01-html/norm.html IPFW : # Bloqueia pacotes com opções de Source Routing e Record Route do Cabecalho IP ativadas. add 1 deny tcp from any to any ipoptions ssrr,lsrr,rr # Bloqueio de pacotes com combinações estranhas de flags do protocolo TCP add 3 deny tcp from any to any tcpflags syn,fin add 4 deny tcp from any to any tcpflags syn,rst PF : ## NORMALIZATION - Scrubbing will automatically drop TCP packets that have invalid flag combinations, so there's no need for typical 'anti-portscan' scrub in on $ext_if scrub out on $ext_if no-df random-id min-ttl 24 max-mss 1492 Nota : PF não sei se é bem assim ... Alguem falou em portsentry , é uma boa alternativa , principalmente deixando ele ficar escutando 23 e 1080 []'s Em Seg, 2007-08-27 às 12:33 -0300, Bruno Torres Viana escreveu: Senhores, Sei que não tem nada haver, mas alguém sabe como faço para bloquear portscan? Obrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
On 8/27/07, Lutieri G. [EMAIL PROTECTED] wrote: Acabou de ficar lento quase travando: Lento, quase travando, a máquina no shell ou a navegação via squid ?? Você só tem squid rodando nesse server ou tem mais alguma coisa ??? Quando a navegação/servidor fica lenta(o) o que o top mostra ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
Apenas a navegação via squid. o shell fica normal. Pelo menos isso ;-) O link não pode ser. até pq é o mesmo no proxy em linux e no bsd. portanto se um usuário deixa de acessar um servidor e começa a acessar o outro a banda que é utilizada é a mesma. Em 27/08/07, Alexandre Biancalana[EMAIL PROTECTED] escreveu: On 8/27/07, Lutieri G. [EMAIL PROTECTED] wrote: Acabou de ficar lento quase travando: Lento, quase travando, a máquina no shell ou a navegação via squid ?? Você só tem squid rodando nesse server ou tem mais alguma coisa ??? Quando a navegação/servidor fica lenta(o) o que o top mostra ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
Ele está ficando lento, quando se tem mais usuários, ou independente do numero de usuário o proxy fica lento? Pode acontecer do seu linux estar por si só sendo o dono do link :) isso aconteceu quando eu coloquei outro proxy aqui no mesmo link, tive que fazer um QoS e CBQ da banda :) Abs[] Em 27/08/07, Lutieri G. [EMAIL PROTECTED] escreveu: Apenas a navegação via squid. o shell fica normal. Pelo menos isso ;-) O link não pode ser. até pq é o mesmo no proxy em linux e no bsd. portanto se um usuário deixa de acessar um servidor e começa a acessar o outro a banda que é utilizada é a mesma. Em 27/08/07, Alexandre Biancalana[EMAIL PROTECTED] escreveu: On 8/27/07, Lutieri G. [EMAIL PROTECTED] wrote: Acabou de ficar lento quase travando: Lento, quase travando, a máquina no shell ou a navegação via squid ?? Você só tem squid rodando nesse server ou tem mais alguma coisa ??? Quando a navegação/servidor fica lenta(o) o que o top mostra ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência de treinamentos. Porque você treina macacos. Pessoas,você educa. Se a gente se lança sem vigor, sete de dez ações tomadas não dão certo. É extremamente difícil tomar decisões num estado de agitação. Por outro lado, se sem se preocupar com as conseqüências menores, abordamos os problemas com o espíito afiado como uma lâmina, sempre encontramos a solução em menos tempo do que é necessáio para respirar sete vezes. Nabeshima Naoshige (1538-1618) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
Acabei de ver isso. Vou ativar. Porém antes fiz um teste. criei dentro do /var uma pasta cache_squid mkdir /var/cache_squid chown -R squid:squid /var/cache_squid squid -z /usr/local/etc/rc.d/squid start e coloquei no squid.conf cache_dir ufs /var/cache_squid 1000 16 256 E o /var já tah montado com o soft-updates ativo. Porém o problema continua. Migrei os usuários, 4 minutos depois a lentidão toma conta!!! Acabei de comentar todas as minhas acl's. Só sobrou uma liberando o acesso a todo mundo, desativei a autenticação também. E continua lento... Nesse exato momento voltei os usuário pro proxy antigo e to usando sozinho o novo(BSD) tah mais do que perfeito... Aliás, antes de migrar todos usuários eu havia alterado os proxies de todas máquinas da TI, em torno de 17, e tava perfeito. Conclui que acima de 45 usuários é que começa a trovar... 2007/8/27, Flavio Alexsandro Silva [EMAIL PROTECTED]: Lutieri G. wrote: 2007/8/27, Márcio Luciano Donada [EMAIL PROTECTED]: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Lutieri G. escreveu: Acabou de ficar lento quase travando: # netstat -m 807/1698/2505 mbufs in use (current/cache/total) 806/1162/1968/25600 mbuf clusters in use (current/cache/total/max) 806/1016 mbuf+clusters out of packet secondary zone in use (current/cache) 0/0/0/0 4k (page size) jumbo clusters in use (current/cache/total/max) 0/0/0/0 9k jumbo clusters in use (current/cache/total/max) 0/0/0/0 16k jumbo clusters in use (current/cache/total/max) 1813K/2748K/4562K bytes allocated to network (current/cache/total) 0/0/0 requests for mbufs denied (mbufs/clusters/mbuf+clusters) 0/0/0 requests for jumbo clusters denied (4k/9k/16k) 0/0/0 sfbufs in use (current/peak/max) 0 requests for sfbufs denied 0 requests for sfbufs delayed 0 requests for I/O initiated by sendfile 46 calls to protocol drain routines Qual é a saída do comando mount? # mount /dev/da0s1a on / (ufs, local) devfs on /dev (devfs, local) /dev/da0s1e on /tmp (ufs, local, soft-updates) /dev/da0s1f on /usr (ufs, local, soft-updates) /dev/da0s1d on /var (ufs, local, soft-updates) /dev/da0s2a on /cache (ufs, local) devfs on /var/chroot/named/dev (devfs, local) Abraço, Lutieri, Ative o soft-updates no /dev/da0s2a! -- Flávio Alexsandro Silva Unix is user friendly. It's just selective about who its friends are. Linux is for people who hate Windows. BSD is for people who love UNIX. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Lutieri G. escreveu: Acabei de ver isso. Vou ativar. Porém antes fiz um teste. criei dentro do /var uma pasta cache_squid mkdir /var/cache_squid chown -R squid:squid /var/cache_squid squid -z /usr/local/etc/rc.d/squid start e coloquei no squid.conf cache_dir ufs /var/cache_squid 1000 16 256 Então, Seria interessante você gerenciar a io do disco. systat -iostat 1 iostat -w 1 Abraço, -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (MingW32) iD8DBQFG0xDCbjyCr4Ixg0wRAvIWAKCamaP0inRL0pcMLmsgwOUc8lWgHwCgnEEX 0I37gjuvtaslP7mS3JwpERs= =6c6/ -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
Jose Augusto wrote: Ele está ficando lento, quando se tem mais usuários, ou independente do numero de usuário o proxy fica lento? Pode acontecer do seu linux estar por si só sendo o dono do link :) isso aconteceu quando eu coloquei outro proxy aqui no mesmo link, tive que fazer um QoS e CBQ da banda :) Abs[] Em 27/08/07, Lutieri G. [EMAIL PROTECTED] escreveu: Apenas a navegação via squid. o shell fica normal. Pelo menos isso ;-) O link não pode ser. até pq é o mesmo no proxy em linux e no bsd. portanto se um usuário deixa de acessar um servidor e começa a acessar o outro a banda que é utilizada é a mesma. Em 27/08/07, Alexandre Biancalana[EMAIL PROTECTED] escreveu: On 8/27/07, Lutieri G. [EMAIL PROTECTED] wrote: Acabou de ficar lento quase travando: Lento, quase travando, a máquina no shell ou a navegação via squid ?? Você só tem squid rodando nesse server ou tem mais alguma coisa ??? Quando a navegação/servidor fica lenta(o) o que o top mostra ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Jose Augusto, Pelo que entendi, o Lutieri pretende substituir o antigo proxy (linux) por essa maquina nova com BSD! Confirma isto Lutieri? -- Flávio Alexsandro Silva Unix is user friendly. It's just selective about who its friends are. Linux is for people who hate Windows. BSD is for people who love UNIX. FREE 3D EARTH SCREENSAVER - Watch the Earth right on your desktop! Check it out at http://www.inbox.com/earth - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
acima de , em torno, 45 usuários o squid começa a ficar cada vez mais lento. Em 27/08/07, Jose Augusto[EMAIL PROTECTED] escreveu: Ele está ficando lento, quando se tem mais usuários, ou independente do numero de usuário o proxy fica lento? Pode acontecer do seu linux estar por si só sendo o dono do link :) isso aconteceu quando eu coloquei outro proxy aqui no mesmo link, tive que fazer um QoS e CBQ da banda :) Será?!!? que doideira isso... Vou fazer um download de um arquivo quando estiver lerdo, a partir do bsd, se for o linux que tá robando a banda o download vai ter que estar lah em baixo. Mas eu axo complicado ser o linux roubando a banda pois eu tenho um router do provedor q vai ligado no meu switch. e os meus dois servidores tanto o linux quanto o bsd também estão ligados nesse mesmo switch. Não poderia haver prioridade para nenhum deles. Abs[] Em 27/08/07, Lutieri G. [EMAIL PROTECTED] escreveu: Apenas a navegação via squid. o shell fica normal. Pelo menos isso ;-) O link não pode ser. até pq é o mesmo no proxy em linux e no bsd. portanto se um usuário deixa de acessar um servidor e começa a acessar o outro a banda que é utilizada é a mesma. Em 27/08/07, Alexandre Biancalana[EMAIL PROTECTED] escreveu: On 8/27/07, Lutieri G. [EMAIL PROTECTED] wrote: Acabou de ficar lento quase travando: Lento, quase travando, a máquina no shell ou a navegação via squid ?? Você só tem squid rodando nesse server ou tem mais alguma coisa ??? Quando a navegação/servidor fica lenta(o) o que o top mostra ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência de treinamentos. Porque você treina macacos. Pessoas,você educa. Se a gente se lança sem vigor, sete de dez ações tomadas não dão certo. É extremamente difícil tomar decisões num estado de agitação. Por outro lado, se sem se preocupar com as conseqüências menores, abordamos os problemas com o espíito afiado como uma lâmina, sempre encontramos a solução em menos tempo do que é necessáio para respirar sete vezes. Nabeshima Naoshige (1538-1618) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
Sim eu entendi, o que eu falei foi, o proxy antigo pode estar consumindo mais banda...deixando novo meio que limitado...isso aconteceu comigo quando migrei de um linux para outro, o que pode acontecer saindo de um linux para um BSD, correto? Abraços Em 27/08/07, Flavio Alexsandro Silva [EMAIL PROTECTED] escreveu: Jose Augusto wrote: Ele está ficando lento, quando se tem mais usuários, ou independente do numero de usuário o proxy fica lento? Pode acontecer do seu linux estar por si só sendo o dono do link :) isso aconteceu quando eu coloquei outro proxy aqui no mesmo link, tive que fazer um QoS e CBQ da banda :) Abs[] Em 27/08/07, Lutieri G. [EMAIL PROTECTED] escreveu: Apenas a navegação via squid. o shell fica normal. Pelo menos isso ;-) O link não pode ser. até pq é o mesmo no proxy em linux e no bsd. portanto se um usuário deixa de acessar um servidor e começa a acessar o outro a banda que é utilizada é a mesma. Em 27/08/07, Alexandre Biancalana[EMAIL PROTECTED] escreveu: On 8/27/07, Lutieri G. [EMAIL PROTECTED] wrote: Acabou de ficar lento quase travando: Lento, quase travando, a máquina no shell ou a navegação via squid ?? Você só tem squid rodando nesse server ou tem mais alguma coisa ??? Quando a navegação/servidor fica lenta(o) o que o top mostra ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Jose Augusto, Pelo que entendi, o Lutieri pretende substituir o antigo proxy (linux) por essa maquina nova com BSD! Confirma isto Lutieri? -- Flávio Alexsandro Silva Unix is user friendly. It's just selective about who its friends are. Linux is for people who hate Windows. BSD is for people who love UNIX. FREE 3D EARTH SCREENSAVER - Watch the Earth right on your desktop! Check it out at http://www.inbox.com/earth - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência de treinamentos. Porque você treina macacos. Pessoas,você educa. Se a gente se lança sem vigor, sete de dez ações tomadas não dão certo. É extremamente difícil tomar decisões num estado de agitação. Por outro lado, se sem se preocupar com as conseqüências menores, abordamos os problemas com o espíito afiado como uma lâmina, sempre encontramos a solução em menos tempo do que é necessáio para respirar sete vezes. Nabeshima Naoshige (1538-1618) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
Lutieri G. wrote: Acabei de ver isso. Vou ativar. Porém antes fiz um teste. criei dentro do /var uma pasta cache_squid mkdir /var/cache_squid chown -R squid:squid /var/cache_squid squid -z /usr/local/etc/rc.d/squid start e coloquei no squid.conf cache_dir ufs /var/cache_squid 1000 16 256 E o /var já tah montado com o soft-updates ativo. Porém o problema continua. Migrei os usuários, 4 minutos depois a lentidão toma conta!!! Acabei de comentar todas as minhas acl's. Só sobrou uma liberando o acesso a todo mundo, desativei a autenticação também. E continua lento... Nesse exato momento voltei os usuário pro proxy antigo e to usando sozinho o novo(BSD) tah mais do que perfeito... Aliás, antes de migrar todos usuários eu havia alterado os proxies de todas máquinas da TI, em torno de 17, e tava perfeito. Conclui que acima de 45 usuários é que começa a trovar... 2007/8/27, Flavio Alexsandro Silva [EMAIL PROTECTED]: Lutieri G. wrote: 2007/8/27, Márcio Luciano Donada [EMAIL PROTECTED]: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Lutieri G. escreveu: Acabou de ficar lento quase travando: # netstat -m 807/1698/2505 mbufs in use (current/cache/total) 806/1162/1968/25600 mbuf clusters in use (current/cache/total/max) 806/1016 mbuf+clusters out of packet secondary zone in use (current/cache) 0/0/0/0 4k (page size) jumbo clusters in use (current/cache/total/max) 0/0/0/0 9k jumbo clusters in use (current/cache/total/max) 0/0/0/0 16k jumbo clusters in use (current/cache/total/max) 1813K/2748K/4562K bytes allocated to network (current/cache/total) 0/0/0 requests for mbufs denied (mbufs/clusters/mbuf+clusters) 0/0/0 requests for jumbo clusters denied (4k/9k/16k) 0/0/0 sfbufs in use (current/peak/max) 0 requests for sfbufs denied 0 requests for sfbufs delayed 0 requests for I/O initiated by sendfile 46 calls to protocol drain routines Qual é a saída do comando mount? # mount /dev/da0s1a on / (ufs, local) devfs on /dev (devfs, local) /dev/da0s1e on /tmp (ufs, local, soft-updates) /dev/da0s1f on /usr (ufs, local, soft-updates) /dev/da0s1d on /var (ufs, local, soft-updates) /dev/da0s2a on /cache (ufs, local) devfs on /var/chroot/named/dev (devfs, local) Abraço, Lutieri, Ative o soft-updates no /dev/da0s2a! -- Flávio Alexsandro Silva Unix is user friendly. It's just selective about who its friends are. Linux is for people who hate Windows. BSD is for people who love UNIX. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Lutieri, Estes problemas podem estar relacionados sim ao numero de usuários e sua configuracao, principalmente de kernel... Tente fazer aquela modificacao sugerida pelo amigo de utilizar o skid com diskd, mas pra isso seria correto estar uitlizando o VFS_AIO no kernel!!! Abraços, -- Flávio Alexsandro Silva Unix is user friendly. It's just selective about who its friends are. Linux is for people who hate Windows. BSD is for people who love UNIX. FREE ONLINE PHOTOSHARING - Share your photos online with your friends and family! Visit http://www.inbox.com/photosharing to find out more! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
Em 27/08/07, Flavio Alexsandro Silva[EMAIL PROTECTED] escreveu: Jose Augusto wrote: Ele está ficando lento, quando se tem mais usuários, ou independente do numero de usuário o proxy fica lento? Pode acontecer do seu linux estar por si só sendo o dono do link :) isso aconteceu quando eu coloquei outro proxy aqui no mesmo link, tive que fazer um QoS e CBQ da banda :) Abs[] Em 27/08/07, Lutieri G. [EMAIL PROTECTED] escreveu: Apenas a navegação via squid. o shell fica normal. Pelo menos isso ;-) O link não pode ser. até pq é o mesmo no proxy em linux e no bsd. portanto se um usuário deixa de acessar um servidor e começa a acessar o outro a banda que é utilizada é a mesma. Em 27/08/07, Alexandre Biancalana[EMAIL PROTECTED] escreveu: On 8/27/07, Lutieri G. [EMAIL PROTECTED] wrote: Acabou de ficar lento quase travando: Lento, quase travando, a máquina no shell ou a navegação via squid ?? Você só tem squid rodando nesse server ou tem mais alguma coisa ??? Quando a navegação/servidor fica lenta(o) o que o top mostra ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Jose Augusto, Pelo que entendi, o Lutieri pretende substituir o antigo proxy (linux) por essa maquina nova com BSD! Confirma isto Lutieri? -- exatamente!!! E estou fazendo as migrações via DNS. vou lah e altero o registro proxy.xyz.com.br para o ip do bsd. Quando começa a travar eu volto pro IP do linux. Faço mais algumas alterações e coloco o IP do bsd, dá problema e eu volto pro IP do linux. e assim vai... Flávio Alexsandro Silva Unix is user friendly. It's just selective about who its friends are. Linux is for people who hate Windows. BSD is for people who love UNIX. FREE 3D EARTH SCREENSAVER - Watch the Earth right on your desktop! Check it out at http://www.inbox.com/earth - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
Márcio Luciano Donada escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Lutieri G. escreveu: Acabei de ver isso. Vou ativar. Porém antes fiz um teste. criei dentro do /var uma pasta cache_squid mkdir /var/cache_squid chown -R squid:squid /var/cache_squid squid -z /usr/local/etc/rc.d/squid start e coloquei no squid.conf cache_dir ufs /var/cache_squid 1000 16 256 Então, Seria interessante você gerenciar a io do disco. systat -iostat 1 iostat -w 1 Abraço, -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (MingW32) iD8DBQFG0xDCbjyCr4Ixg0wRAvIWAKCamaP0inRL0pcMLmsgwOUc8lWgHwCgnEEX 0I37gjuvtaslP7mS3JwpERs= =6c6/ -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd So uma pergunta? Quantas e quais placas de rede Ta me parecendo Interrupt Storm!!! manda um a saida: # vmstat -c 20 -w 1 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
Crie o dominio proxy2.xyz.com.br e deixe o BSD lá, veja se ocorre tudo ok...só um comentário, não pode ser ARP? Dos Switchs? Aconteceu quando eu sai de um Linux para um ISA Server, o servidor demorava cerca de 15 minutos para encontrar o dono do ARP novo :P Abs[] Em 27/08/07, Lutieri G. [EMAIL PROTECTED] escreveu: Em 27/08/07, Flavio Alexsandro Silva[EMAIL PROTECTED] escreveu: Jose Augusto wrote: Ele está ficando lento, quando se tem mais usuários, ou independente do numero de usuário o proxy fica lento? Pode acontecer do seu linux estar por si só sendo o dono do link :) isso aconteceu quando eu coloquei outro proxy aqui no mesmo link, tive que fazer um QoS e CBQ da banda :) Abs[] Em 27/08/07, Lutieri G. [EMAIL PROTECTED] escreveu: Apenas a navegação via squid. o shell fica normal. Pelo menos isso ;-) O link não pode ser. até pq é o mesmo no proxy em linux e no bsd. portanto se um usuário deixa de acessar um servidor e começa a acessar o outro a banda que é utilizada é a mesma. Em 27/08/07, Alexandre Biancalana[EMAIL PROTECTED] escreveu: On 8/27/07, Lutieri G. [EMAIL PROTECTED] wrote: Acabou de ficar lento quase travando: Lento, quase travando, a máquina no shell ou a navegação via squid ?? Você só tem squid rodando nesse server ou tem mais alguma coisa ??? Quando a navegação/servidor fica lenta(o) o que o top mostra ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Jose Augusto, Pelo que entendi, o Lutieri pretende substituir o antigo proxy (linux) por essa maquina nova com BSD! Confirma isto Lutieri? -- exatamente!!! E estou fazendo as migrações via DNS. vou lah e altero o registro proxy.xyz.com.br para o ip do bsd. Quando começa a travar eu volto pro IP do linux. Faço mais algumas alterações e coloco o IP do bsd, dá problema e eu volto pro IP do linux. e assim vai... Flávio Alexsandro Silva Unix is user friendly. It's just selective about who its friends are. Linux is for people who hate Windows. BSD is for people who love UNIX. FREE 3D EARTH SCREENSAVER - Watch the Earth right on your desktop! Check it out at http://www.inbox.com/earth - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência de treinamentos. Porque você treina macacos. Pessoas,você educa. Se a gente se lança sem vigor, sete de dez ações tomadas não dão certo. É extremamente difícil tomar decisões num estado de agitação. Por outro lado, se sem se preocupar com as conseqüências menores, abordamos os problemas com o espíito afiado como uma lâmina, sempre encontramos a solução em menos tempo do que é necessáio para respirar sete vezes. Nabeshima Naoshige (1538-1618) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
Lutieri G. wrote: acima de , em torno, 45 usuários o squid começa a ficar cada vez mais lento. Em 27/08/07, Jose Augusto[EMAIL PROTECTED] escreveu: Ele está ficando lento, quando se tem mais usuários, ou independente do numero de usuário o proxy fica lento? Pode acontecer do seu linux estar por si só sendo o dono do link :) isso aconteceu quando eu coloquei outro proxy aqui no mesmo link, tive que fazer um QoS e CBQ da banda :) Será?!!? que doideira isso... Vou fazer um download de um arquivo quando estiver lerdo, a partir do bsd, se for o linux que tá robando a banda o download vai ter que estar lah em baixo. Mas eu axo complicado ser o linux roubando a banda pois eu tenho um router do provedor q vai ligado no meu switch. e os meus dois servidores tanto o linux quanto o bsd também estão ligados nesse mesmo switch. Não poderia haver prioridade para nenhum deles. Abs[] Em 27/08/07, Lutieri G. [EMAIL PROTECTED] escreveu: Apenas a navegação via squid. o shell fica normal. Pelo menos isso ;-) O link não pode ser. até pq é o mesmo no proxy em linux e no bsd. portanto se um usuário deixa de acessar um servidor e começa a acessar o outro a banda que é utilizada é a mesma. Em 27/08/07, Alexandre Biancalana[EMAIL PROTECTED] escreveu: On 8/27/07, Lutieri G. [EMAIL PROTECTED] wrote: Acabou de ficar lento quase travando: Lento, quase travando, a máquina no shell ou a navegação via squid ?? Você só tem squid rodando nesse server ou tem mais alguma coisa ??? Quando a navegação/servidor fica lenta(o) o que o top mostra ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência de treinamentos. Porque você treina macacos. Pessoas,você educa. Se a gente se lança sem vigor, sete de dez ações tomadas não dão certo. É extremamente difícil tomar decisões num estado de agitação. Por outro lado, se sem se preocupar com as conseqüências menores, abordamos os problemas com o espíito afiado como uma lâmina, sempre encontramos a solução em menos tempo do que é necessáio para respirar sete vezes. Nabeshima Naoshige (1538-1618) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Lutieri, Vc tem regras de firewall (IPFW) rodando nesta maquina nova tambem? -- Flávio Alexsandro Silva Unix is user friendly. It's just selective about who its friends are. Linux is for people who hate Windows. BSD is for people who love UNIX. FREE 3D MARINE AQUARIUM SCREENSAVER - Watch dolphins, sharks orcas on your desktop! Check it out at http://www.inbox.com/marineaquarium - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
So uma pergunta? Quantas e quais placas de rede são quatro placas de rede. Mas por enquanto estou usando apenas duas delas. #pciconf -lv [EMAIL PROTECTED]:1:0: class=0x02 card=0x10118086 chip=0x10108086 rev=0x03 hdr=0x00 vendor = 'Intel Corporation' device = '82546EB Dual Port Gigabit Ethernet Controller (Copper)' class= network subclass = ethernet Ta me parecendo Interrupt Storm!!! manda um a saida: # vmstat -c 20 -w 1 # vmstat -c 20 -w 1 procs memory pagedisks faults cpu r b w avmfre flt re pi po fr sr da0 da1 in sy cs us sy id 0 3 0 87576 2381892 99 0 0 0 109 4 0 0 314 906 710 6 0 94 0 3 0 87576 23821843 0 0 0 73 0 174 0 567 520 1546 0 1 99 0 1 0 82872 2383812 517 0 0 0 833 0 164 0 535 757 1604 0 1 99 0 1 0 82872 23841200 0 0 0 77 0 163 0 514 238 1440 0 1 99 0 1 0 82872 23842520 0 0 0 33 0 162 0 516 506 1431 0 1 99 0 1 0 82872 23845080 0 0 0 64 0 171 0 524 246 1486 0 2 98 0 1 0 82872 23846560 0 0 0 41 0 180 0 582 230 1547 0 1 99 0 1 0 82872 23848640 0 0 0 52 0 163 0 510 505 1420 0 1 99 0 1 0 82872 23849640 0 0 0 25 0 164 0 538 244 1485 0 1 99 0 1 0 82872 23855521 0 0 0 147 0 159 0 508 238 1416 0 2 98 0 1 0 82872 23859920 0 0 0 110 0 163 0 560 522 1519 0 1 99 0 1 0 82872 23859920 0 0 0 0 0 164 0 518 235 1432 0 1 99 0 1 0 82872 23860966 0 0 0 60 0 161 0 507 283 1405 0 1 99 0 1 0 82872 23861040 0 0 0 2 0 163 0 527 510 1456 0 1 99 0 1 0 82872 23861040 0 0 0 16 0 211 0 611 228 1608 0 1 99 0 1 0 82872 23861960 0 0 0 27 0 162 0 500 239 1390 0 2 98 0 1 0 82872 23862040 0 0 0 2 0 177 0 556 514 1540 0 1 99 0 1 0 82872 23862960 0 0 0 23 0 163 0 550 238 1493 0 1 99 0 1 0 82872 23869440 0 0 0 162 0 158 0 547 241 1503 0 1 99 0 1 0 82872 23872000 0 0 0 64 0 164 0 529 507 1468 0 1 99 -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
Lutieri, Vc tem regras de firewall (IPFW) rodando nesta maquina nova tambem? -- Flávio Alexsandro Silva Unix is user friendly. It's just selective about who its friends are. Linux is for people who hate Windows. BSD is for people who love UNIX. Tenho PF rodando. aceito conexões da rede interna na porta 3128 com keep state e deixo sair qualquer coisa na porta 53, 80 e 443 com keep state também. Nada de mais. tenho scrub ativo na interface com IP externo. Não faço NAT pra rede interna. e tenho algumas regras rdr. -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
Em 27/08/07, Jose Augusto[EMAIL PROTECTED] escreveu: Crie o dominio proxy2.xyz.com.br e deixe o BSD lá, veja se ocorre tudo ok...só um comentário, não pode ser ARP? Dos Switchs? Aconteceu quando eu sai de um Linux para um ISA Server, o servidor demorava cerca de 15 minutos para encontrar o dono do ARP novo :P Abs[] Minha situação é a seguinte: todos os meus usuários tem windows xp ou 2000 e tem uma GPO que diz as configurações do internet explorer dizendo qual o proxy a ser usado. e aponta para proxy.xyz.com.br portanto eu não posso mudar a config. dos navegadores. Posso mudar o IP pra onde aponta esse registro. Problemas com ARP eu acho que não pode ser. Já tive esse problema de arp cache e quando isso acontece não é possível nem acessar a máquina de destino. -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
Marcio Antunes wrote: tambem ja que seja isso..o uso do diskd Em 27/08/07, Márcio Luciano Donada[EMAIL PROTECTED] escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Lutieri G. escreveu: Qual é a saída do comando mount? # mount /dev/da0s1a on / (ufs, local) devfs on /dev (devfs, local) /dev/da0s1e on /tmp (ufs, local, soft-updates) /dev/da0s1f on /usr (ufs, local, soft-updates) /dev/da0s1d on /var (ufs, local, soft-updates) /dev/da0s2a on /cache (ufs, local) devfs on /var/chroot/named/dev (devfs, local) Abraço, Custumo fazer o seguinte: no squid.conf cache_dir diskd /cache/0 4096 16 256 Q1=72 Q2=62 cache_dir diskd /cache/1 4096 16 256 Q1=72 Q2=62 cache_dir diskd /cache/2 4096 16 256 Q1=72 Q2=62 cache_dir diskd /cache/3 4096 16 256 Q1=72 Q2=62 cache_dir diskd /cache/4 4096 16 256 Q1=72 Q2=62 cache_dir diskd /cache/5 4096 16 256 Q1=72 Q2=62 quando monto essa partição /cache, da seguinte forma: defaults,noexec,async,noatime,nodev,nosuid, seu problema deve-se, talvez, ao tamanho da partição, acho que com o diskd, você irá ganhar em performance. Abraço, -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (MingW32) iD8DBQFG0wgtbjyCr4Ixg0wRApfeAJwKk/n9O/kOVIo1avueIlkdZjAZZgCfYhoz Okes7RuHqWTE6TBV1+G+Wiw= =PYFw -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Pessoal!! De posse das informações sobre o hardware e ambiente de trabalho dele vow tentar fazer um tunne-up do servidor, quem puder contribuir será muito bem vindo... A um tempo atras tentei escrever um 'recipe' mas naum tive muito sucesso... Por favor contribuam!!! Considerações: - Checkout do src do kernel e build para 6-Stable! Hardware: - Quad Core Opteron 64 bits - 4 Gb de Ram - Discos SAS Ambiente: - Para acesso a 500 usuários simultaneos Servicos: - Squid - DNS (Cache) ? Configurações no Kernel: - Comentar options SCHED_4BSD # 4BSD scheduler - Adicionar options SCHED_ULE # ULE scheduler - Comentar options INET6 # IPv6 communications protocols - Incluir: options SYSVSHM #SYSV-style shared memory options SYSVMSG #SYSV-style message queues options SYSVSEM #SYSV-style semaphores - Incluir conf para SMP: options SMP # Symmetric MultiProcessor Kernel - Incluir conf para HZ e Polling: options HZ=2000 options DEVICE_POLLING # Soft intrrupt's - Incluir conf para I/O assincrono; options VFS_AIO - Incluir conf de shared memory e msg segments: # options MAXDSIZ=(4096UL*1024*1024) # Conf para 4Gb options MAXSSIZ=(256UL*1024*1024) # E aqui vai pra 128 options DFLDSIZ=(4096UL*1024*1024) # 4096 tb! ## # Message Queues [Based on Squid FAQ] ## option MSGMNB=262144 # Number of bytes in a queue option MSGMNI=128 # Need to be at least 2 times the number of cache_dir entries in the squid option MSGSSZ=256 # Size of the message segment in a queue option MSGTQL=16384 # Number of max queue identifiers versus 128 messages per queue (is the high mark of performance of messages per queue) option MSGSEG=2048 # Number of messages segments # ## ## # Shared Memory [Based on Squid FAQ] ## options SHMMNI=256 # The half of the message queues at least [1 for each cache_dir] options SHMALL=65536 # options SHMMAX=(128UL*1024*1024) # options SHMSEG=128 Configurações no sistema: - Modificar o rc.conf para que suas placas de rede tenham algo parecido com: ifconfig_bge0_alias0=polling # Onde bge0 seria sua placa de rede interna! - Modificar o arquivo sysctl.conf no /etc: kern.polling.idle_poll=1 kern.polling.user_frac=25 E para encerar no meu squid tenho configurado/sugiro: - Cache Dir cache_dir diskd
Re: [FUG-BR] squid lento
Vou dar uns pitacos tb OK ? =D http_port 172.16.7.240:3128 http_port 127.0.0.1:3128 Só por curiosidade: algum motivo especial para usar duas portas ? cache_mem 100 MB Vc tem uma máquina com quatro processadores. Imagino que tenha um monte de ram disponível... só tá usando 100 Mb ? Quantos usuários vc espera atender com esse proxy ? Qual a média de tráfego diário ? auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 25 auth_param ntlm keep_alive on auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic Autenticação NTLM demora um pouco mais, embora não acredite que seja esse o motivo da demora. Só por desencargo de consciencia, o teu AD fica na mesma sub-rede do seu proxy ? Como vc faz para alcança-lo a partir do squid ? existe algum FW ow GW entre eles ? acl CONNECT method CONNECT acl password proxy_auth REQUIRED acl redelocal src 192.168.0.0/16 acl redelocal src 172.16.0.0/16 acl paginapare dstdomain squidweb.xyz.gov.br acl usuarioslib proxy_auth -i /usr/local/etc/squid/xyz/usuarioslib.txt acl usuariosrestritos proxy_auth -i /usr/local/etc/squid/xyz/usuariosrestritos.txt acl usuariosthorga proxy_auth -i /usr/local/etc/squid/xyz/usuariosthorga.txt acl sitesthorga url_regex -i /usr/local/etc/squid/xyz/sitesthorga.txt acl usuariosthorga_eng proxy_auth -i /usr/local/etc/squid/xyz/usuariosthorga_eng.txt acl sitesthorga_eng url_regex -i /usr/local/etc/squid/xyz/sitesthorga_eng.txt acl usuarios_chineses proxy_auth -i /usr/local/etc/squid/xyz/chineses_msn.txt acl msn_chineses url_regex -i gateway.messenger. acl msn_chineses url_regex -i login.live.com acl msn_chineses url_regex -i gateway.dll acl msn_chineses url_regex -i msn.com acl usuario_tabajara proxy_auth -i tabajara acl palavra_radio url_regex -i radio acl usuario_mcarmo proxy_auth -i mcarmo acl usuario_janice proxy_auth -i janice acl site_biruta url_regex -i birutadosul acl site_votorantim url_regex -i webmail.votorantim.com.br acl site_votorantim url_regex -i portal.votoran.com.br acl site_votorantim url_regex -i portal.votorantim-cimentos.com.br acl usuario_nilsons proxy_auth -i nilsons acl usuario_direito proxy_auth -i isabelf acl palavra_direito url_regex -i direitodoestado.com acl malwares url_regex -i /usr/local/etc/squid/xyz/malware.txt acl bloqueados url_regex -i /usr/local/etc/xyz/xyz/bloqueados.txt acl liberados url_regex -i /usr/local/etc/xyz/xyz/liberados.txt acl servidores src /usr/local/etc/squid/xyz/servidores.txt Nossa, quanto regex... vc tem uma puta máquina nas maos. Pq não usa um filtro de conteúdo e deixa o squid só pra fazer proxy ? é só uma sugestão mas depois de feito vc vai ver o quanto é melhor pra se administrar, sem contar nas inúmeras possibilidades de configuração. Dá uma olhada em www.dansguardian.org Volta e meia aparecem mensagens assim no cache.log: httpAccept: FD 41: accept failure: (53) Software caused connection abort Já vi isso acontecer algumas vezes em Hardware da SUN no squid-users mailinglist. Sugiro que dê um olhada nos arquivos por lá, podem ser de grande ajuda. Seria possível vc postar a saída do seu cache.log após um squid -k reconfigure ? []'s -- http://www.webcrunchers.com/crunch/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] AIC 9405
All, Alguém sabe se existe suporte no FreeBSD para a controladora Adaptec AIC 9405? Thanks -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
Em 27/08/07, c0re dumped[EMAIL PROTECTED] escreveu: Vou dar uns pitacos tb OK ? =D http_port 172.16.7.240:3128 http_port 127.0.0.1:3128 Só por curiosidade: algum motivo especial para usar duas portas ? posso retirar o bind da interface 127.0.0.1 sem problemas. cache_mem 100 MB Vc tem uma máquina com quatro processadores. Imagino que tenha um monte de ram disponível... só tá usando 100 Mb ? Quantos usuários vc espera atender com esse proxy ? Qual a média de tráfego diário ? Eu tinha setado 200 MB aí mas resolvi baixar pra testar Usuário cerca de 500. Trafega em torno de 7Gb por dia! em torno de 30% o cache atende. auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 25 auth_param ntlm keep_alive on auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic Autenticação NTLM demora um pouco mais, embora não acredite que seja esse o motivo da demora. Só por desencargo de consciencia, o teu AD fica na mesma sub-rede do seu proxy ? Como vc faz para alcança-lo a partir do squid ? existe algum FW ow GW entre eles ? Pra descarrego de consciência eu removi a autenticação e continuou lento. Então podemos descartar a autenticação. acl CONNECT method CONNECT acl password proxy_auth REQUIRED acl redelocal src 192.168.0.0/16 acl redelocal src 172.16.0.0/16 acl paginapare dstdomain squidweb.xyz.gov.br acl usuarioslib proxy_auth -i /usr/local/etc/squid/xyz/usuarioslib.txt acl usuariosrestritos proxy_auth -i /usr/local/etc/squid/xyz/usuariosrestritos.txt acl usuariosthorga proxy_auth -i /usr/local/etc/squid/xyz/usuariosthorga.txt acl sitesthorga url_regex -i /usr/local/etc/squid/xyz/sitesthorga.txt acl usuariosthorga_eng proxy_auth -i /usr/local/etc/squid/xyz/usuariosthorga_eng.txt acl sitesthorga_eng url_regex -i /usr/local/etc/squid/xyz/sitesthorga_eng.txt acl usuarios_chineses proxy_auth -i /usr/local/etc/squid/xyz/chineses_msn.txt acl msn_chineses url_regex -i gateway.messenger. acl msn_chineses url_regex -i login.live.com acl msn_chineses url_regex -i gateway.dll acl msn_chineses url_regex -i msn.com acl usuario_tabajara proxy_auth -i tabajara acl palavra_radio url_regex -i radio acl usuario_mcarmo proxy_auth -i mcarmo acl usuario_janice proxy_auth -i janice acl site_biruta url_regex -i birutadosul acl site_votorantim url_regex -i webmail.votorantim.com.br acl site_votorantim url_regex -i portal.votoran.com.br acl site_votorantim url_regex -i portal.votorantim-cimentos.com.br acl usuario_nilsons proxy_auth -i nilsons acl usuario_direito proxy_auth -i isabelf acl palavra_direito url_regex -i direitodoestado.com acl malwares url_regex -i /usr/local/etc/squid/xyz/malware.txt acl bloqueados url_regex -i /usr/local/etc/xyz/xyz/bloqueados.txt acl liberados url_regex -i /usr/local/etc/xyz/xyz/liberados.txt acl servidores src /usr/local/etc/squid/xyz/servidores.txt Nossa, quanto regex... vc tem uma puta máquina nas maos. Pq não usa um filtro de conteúdo e deixa o squid só pra fazer proxy ? é só uma sugestão mas depois de feito vc vai ver o quanto é melhor pra se administrar, sem contar nas inúmeras possibilidades de configuração. Dá uma olhada em www.dansguardian.org sim sim... to pensando em colocar também... assim que estiver estável eu coloco. Volta e meia aparecem mensagens assim no cache.log: httpAccept: FD 41: accept failure: (53) Software caused connection abort Já vi isso acontecer algumas vezes em Hardware da SUN no squid-users mailinglist. Sugiro que dê um olhada nos arquivos por lá, podem ser de grande ajuda. vou olhar.. aparece direto as vezes cerca de 20x por minuto. Seria possível vc postar a saída do seu cache.log após um squid -k reconfigure ? squid start 2007/08/27 16:15:26| Starting Squid Cache version 2.6.STABLE14 for amd64-portbld-freebsd6.2... 2007/08/27 16:15:26| Process ID 2692 2007/08/27 16:15:26| With 11072 file descriptors available 2007/08/27 16:15:26| Using kqueue for the IO loop 2007/08/27 16:15:26| DNS Socket created at 0.0.0.0, port 50859, FD 5 2007/08/27 16:15:26| Adding nameserver 172.16.2.11 from /etc/resolv.conf 2007/08/27 16:15:26| Adding domain cgtee.com.br from /etc/resolv.conf 2007/08/27 16:15:26| Unlinkd pipe opened on FD 10 2007/08/27 16:15:26| Swap maxSize 8388608 KB, estimated 645277 objects 2007/08/27 16:15:26| Target number of buckets: 32263 2007/08/27 16:15:26| Using 32768 Store buckets 2007/08/27 16:15:26| Max Mem size: 102400 KB 2007/08/27 16:15:26| Max Swap size: 8388608 KB 2007/08/27 16:15:26| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec 2007/08/27 16:15:26| Store logging disabled 2007/08/27 16:15:26| Rebuilding storage in /cache/0 (DIRTY) 2007/08/27 16:15:26| Rebuilding storage in /cache/1 (DIRTY) 2007/08/27 16:15:26| Using Least Load store dir selection 2007/08/27 16:15:26| Set Current Directory to /usr/local/squid/cache 2007/08/27
Re: [FUG-BR] AIC 9405
Celso Viana escreveu: All, Alguém sabe se existe suporte no FreeBSD para a controladora Adaptec AIC 9405? Thanks Acho que ainda não... No FreeBSD ela não figura como hardware compatível...: http://www.freebsd.org/releases/6.2R/hardware-i386.html#DISK Abraço fraterno Evaldo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] *** Usar mais de 4GIGA RAM **
Olá lista, boa tarde! Coonseguimos adquirir três máquinas Supermicro - cujas controladoras ATA ainda estão em trabalho de parto - e que contam com 8 GIGABytes de RAM cada uma. Como fazer para que o FreeBSD possa fazer uso de tudo isso. Parece-nos que ele se limita em 4GIGA e cabô. ? Estamos usando : maxusers0 e options MAXMEM=(8*1024*1024) Não era para ele enxergar e usar se necessário os 8Giga de RAM? Muito gratos desde já pelas explicações que poderão nos dar. Abraço fraterno Evaldo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] *** Usar mais de 4GIGA RAM **
Evaldo Silva escreveu: Olá lista, boa tarde! Coonseguimos adquirir três máquinas Supermicro - cujas controladoras ATA ainda estão em trabalho de parto - e que contam com 8 GIGABytes de RAM cada uma. Como fazer para que o FreeBSD possa fazer uso de tudo isso. Parece-nos que ele se limita em 4GIGA e cabô. ? Estamos usando : maxusers0 e options MAXMEM=(8*1024*1024) Não era para ele enxergar e usar se necessário os 8Giga de RAM? Muito gratos desde já pelas explicações que poderão nos dar. Abraço fraterno Evaldo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ou usa versão 64 bits ou usa PAE! Sem isto o limite é 2^32 Abs! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
Opa, Nao sou muito técnico como o pessoal que está te ajudando.. mas uma dúvida: Voce fez o teste de efetuar um download passando pelo proxy do BSD? Ele fica lento o tempo todo ou só demora pra comecar? Se ele tiver problemas só para começar sugiro dar uma conferida nos reversos... Como voce disse.. pode ser alguma coisa muito simples que está passando sem ser notada :) Abraços On 8/27/07, Lutieri G. [EMAIL PROTECTED] wrote: Em 27/08/07, c0re dumped[EMAIL PROTECTED] escreveu: Vou dar uns pitacos tb OK ? =D http_port 172.16.7.240:3128 http_port 127.0.0.1:3128 Só por curiosidade: algum motivo especial para usar duas portas ? posso retirar o bind da interface 127.0.0.1 sem problemas. cache_mem 100 MB Vc tem uma máquina com quatro processadores. Imagino que tenha um monte de ram disponível... só tá usando 100 Mb ? Quantos usuários vc espera atender com esse proxy ? Qual a média de tráfego diário ? Eu tinha setado 200 MB aí mas resolvi baixar pra testar Usuário cerca de 500. Trafega em torno de 7Gb por dia! em torno de 30% o cache atende. auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 25 auth_param ntlm keep_alive on auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic Autenticação NTLM demora um pouco mais, embora não acredite que seja esse o motivo da demora. Só por desencargo de consciencia, o teu AD fica na mesma sub-rede do seu proxy ? Como vc faz para alcança-lo a partir do squid ? existe algum FW ow GW entre eles ? Pra descarrego de consciência eu removi a autenticação e continuou lento. Então podemos descartar a autenticação. acl CONNECT method CONNECT acl password proxy_auth REQUIRED acl redelocal src 192.168.0.0/16 acl redelocal src 172.16.0.0/16 acl paginapare dstdomain squidweb.xyz.gov.br acl usuarioslib proxy_auth -i /usr/local/etc/squid/xyz/usuarioslib.txt acl usuariosrestritos proxy_auth -i /usr/local/etc/squid/xyz/usuariosrestritos.txt acl usuariosthorga proxy_auth -i /usr/local/etc/squid/xyz/usuariosthorga.txt acl sitesthorga url_regex -i /usr/local/etc/squid/xyz/sitesthorga.txt acl usuariosthorga_eng proxy_auth -i /usr/local/etc/squid/xyz/usuariosthorga_eng.txt acl sitesthorga_eng url_regex -i /usr/local/etc/squid/xyz/sitesthorga_eng.txt acl usuarios_chineses proxy_auth -i /usr/local/etc/squid/xyz/chineses_msn.txt acl msn_chineses url_regex -i gateway.messenger. acl msn_chineses url_regex -i login.live.com acl msn_chineses url_regex -i gateway.dll acl msn_chineses url_regex -i msn.com acl usuario_tabajara proxy_auth -i tabajara acl palavra_radio url_regex -i radio acl usuario_mcarmo proxy_auth -i mcarmo acl usuario_janice proxy_auth -i janice acl site_biruta url_regex -i birutadosul acl site_votorantim url_regex -i webmail.votorantim.com.br acl site_votorantim url_regex -i portal.votoran.com.br acl site_votorantim url_regex -i portal.votorantim-cimentos.com.br acl usuario_nilsons proxy_auth -i nilsons acl usuario_direito proxy_auth -i isabelf acl palavra_direito url_regex -i direitodoestado.com acl malwares url_regex -i /usr/local/etc/squid/xyz/malware.txt acl bloqueados url_regex -i /usr/local/etc/xyz/xyz/bloqueados.txt acl liberados url_regex -i /usr/local/etc/xyz/xyz/liberados.txt acl servidores src /usr/local/etc/squid/xyz/servidores.txt Nossa, quanto regex... vc tem uma puta máquina nas maos. Pq não usa um filtro de conteúdo e deixa o squid só pra fazer proxy ? é só uma sugestão mas depois de feito vc vai ver o quanto é melhor pra se administrar, sem contar nas inúmeras possibilidades de configuração. Dá uma olhada em www.dansguardian.org sim sim... to pensando em colocar também... assim que estiver estável eu coloco. Volta e meia aparecem mensagens assim no cache.log: httpAccept: FD 41: accept failure: (53) Software caused connection abort Já vi isso acontecer algumas vezes em Hardware da SUN no squid-users mailinglist. Sugiro que dê um olhada nos arquivos por lá, podem ser de grande ajuda. vou olhar.. aparece direto as vezes cerca de 20x por minuto. Seria possível vc postar a saída do seu cache.log após um squid -k reconfigure ? squid start 2007/08/27 16:15:26| Starting Squid Cache version 2.6.STABLE14 for amd64-portbld-freebsd6.2... 2007/08/27 16:15:26| Process ID 2692 2007/08/27 16:15:26| With 11072 file descriptors available 2007/08/27 16:15:26| Using kqueue for the IO loop 2007/08/27 16:15:26| DNS Socket created at 0.0.0.0, port 50859, FD 5 2007/08/27 16:15:26| Adding nameserver 172.16.2.11 from /etc/resolv.conf 2007/08/27 16:15:26| Adding domain cgtee.com.br from /etc/resolv.conf 2007/08/27 16:15:26| Unlinkd pipe opened on FD 10 2007/08/27 16:15:26| Swap maxSize 8388608 KB, estimated 645277 objects 2007/08/27 16:15:26| Target number of buckets:
[FUG-BR] Problemas com Squid
Pessoal, Estou enfrentando o seguinte problema: Instalamos o squid que está funcionando bem. Porém, desde que o instalamos não conseguimos mais fazer conexões de vídeo utilizando o MSN. O interessante é que internamente conseguimos conectar normalmente. Outra informação é que o MSN conecta normalmente. Alguma dica? Aqui estamos usando: - FreeBSD 6.2-STABLE FreeBSD 6.2-STABLE #4: Fri Aug 17 11:37:10 ACT 2007 - squid-2.6.14 - PF Abraço, -- [cid:part1.09090003.06090406@cpafac.embrapa.br] inline: assinatura.gif- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Unidade de Fita DAT - Padrão USB!
Olá pessoal, Estamos querendo adquirir um dispositivo de Backup DLT com capacidade máxima compatacdo de 72GBs e Mínima de 36 GBs de dados. Estou usando Servidores com FreeBSD 5.3 e 6.2. Minha pergunta é: É simples fazer backup com um dispositivo como esses com entrada USB em SO FreeBSD??? Alguém tem experiência nisso? É análogo às fitas DATs internas SCSI, IDE? Obrigado a quaquer informação! -- Quanto mais sei, mais sei que nada sei By Sócrates. Homem, conhece-te a ti mesmo e conhecerás o Universo de Deus! By Sócrates. -- I belong to Jesus -- _ Verifique já a segurança do seu PC com o Verificador de Segurança do Windows Live OneCare! http://onecare.live.com/site/pt-br/default.htm - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PPPoE em duas interfaces
Certo João,, testei as config no rc.conf e funcionou... Estou com algum tipo de problema no DNS... estranho!!! Mas fixando na config de pppoe na maquina consegui resolver os dominios! Abraços!!! Em 27/08/07, Joao Rocha Braga Filho [EMAIL PROTECTED] escreveu: On 8/27/07, Frederico Terra Boechat [EMAIL PROTECTED] wrote: Alguem sabe quais fontes eu precisaria mudar pra ter o PPPoEd server do FreeBSD 4.11 na versao 6.2? Eu alerei os fontes do ppp e do pppd, mas creio que falte algo mais Cansei, abri até um ticket no freebsd.org e ninguem me respondeu até hoje, o PPPoE como servidor no 4.11 funciona bem, no 6.2 ele nao percebe desconexao e fica a conexao como morta, presa no servidor. Não adianta LQR, Echo, cd 5, etc O LQR funciona em 99 %, ou mais, mas percebi alguns casos no qual nem kill -15 morre. Só morre com kill -9. João Rocha. vou partir pra usar o ppp do 4.11 no 6.2. Grato pela ajuda, caso alguem possa me ajudar. Frederico Boechat - Original Message - From: Joao Rocha Braga Filho [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, August 25, 2007 11:53 AM Subject: Re: [FUG-BR] PPPoE em duas interfaces On 8/24/07, ThOLOko [EMAIL PROTECTED] wrote: CErto, colocando somente a linha: pppoed_interface=vr0 ath0 (com minhas duas interfaces) dará certo??? Acho que deu certo nos testes. Outra pergunta: Qual a melhor forma de parar o serviço (kill pid???) e start novamente (/etc/netstart restart) Tente usar /etc/rc.d/pppoed com as opções restart, ou stop, ou start, conforme o caso. É bem mais pontual. Abraços, João Rocha. abraços! Em 24/08/07, Joao Rocha Braga Filho [EMAIL PROTECTED] escreveu: On 8/24/07, ThOLOko [EMAIL PROTECTED] wrote: BOm dia galerinhaBSD!!! Tenho um servidor PPPoE rodando REDONDINHO aqui na interface xl0. Gostaria de permitir que o servidor escutasse em mais uma interface bge0. Tem como??? ## SERVIDOR PPPOE pppoed_enable=YES pppoed_flags=-d -P /var/run/pppoed.pid -a server -l default pppoed_interface=xl0 # + bge0 Eu coloquei as seguintes linhas no /etc/rc.local /usr/libexec/pppoed -d -P /var/run/pppoed_sk0.pid -a rede_ethernet -l default -p meu.provedor sk0 /usr/libexec/pppoed -d -P /var/run/pppoed_rl0.pid -a rede_ethernet -l default -p meu.provedor rl0 /usr/libexec/pppoed -d -P /var/run/pppoed_rl1.pid -a rede_ethernet -l default -p meu.provedor rl1 /usr/libexec/pppoed -d -P /var/run/pppoed_rl2.pid -a rede_ethernet -l default -p meu.provedor rl2 /usr/libexec/pppoed -d -P /var/run/pppoed_rl3.pid -a rede_ethernet -l default -p meu.provedor rl3 Mas já fiz também, em um teste usando outra máquina, no /etc/rc.conf: # Implementado por Joao Rocha em 17/09/2006. pppoed_enable=YES #turn on pppoed pppoed_flags=-d -P /var/run/pppoed.pid -a rede_ethernet -l default #tell pppoed what flags to run. Man pppoed tells you what all these mean. #please see Lessons Learned, 3 for a note on this # Troca entre vr0 e rl0 feita em 27/11/2006 por Joao Rocha. pppoed_interface=vr0 ath0 #tell pppoed what interface to João Rocha. ABraços! -- ThOLOko -FreeBSD- UniX TeaM - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. [EMAIL PROTECTED] [EMAIL PROTECTED] http://www.goffredo.eti.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ThOLOko -FreeBSD- UniX TeaM - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. [EMAIL PROTECTED] [EMAIL PROTECTED] http://www.goffredo.eti.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. [EMAIL PROTECTED] [EMAIL PROTECTED] http://www.goffredo.eti.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ThOLOko -FreeBSD- UniX TeaM
[FUG-BR] problemas firebird2
pessoal boa noite alguem ai ja viu esse erro na hora de instalar o firebird2-server do ports ../src/include/gen/iberror.h:817: error: expected unqualified-id before numeric constant nao estou conseguindo instalar ele, que na verdade preciso somente do php4-interbase rodando, so que ele puxa o bendito tambem Se alguem puder me ajudar desde ja agradeço Sandro -- Esta mensagem foi verificada pelo sistema de antiv�rus e acredita-se estar livre de perigo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] problemas firebird2
To com o mesmo problema =( On 8/27/07, Sandro Consoli [EMAIL PROTECTED] wrote: pessoal boa noite alguem ai ja viu esse erro na hora de instalar o firebird2-server do ports ../src/include/gen/iberror.h:817: error: expected unqualified-id before numeric constant nao estou conseguindo instalar ele, que na verdade preciso somente do php4-interbase rodando, so que ele puxa o bendito tambem Se alguem puder me ajudar desde ja agradeço Sandro -- Esta mensagem foi verificada pelo sistema de antivírus e acredita-se estar livre de perigo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
