[FUG-BR] FREEBSD + IPFW/PF + VLAN + BRIDGE + IPS/IDS MINI-HOWTO
Oi pessoal. Fiz um pequeno howto pra quem quiser implementar um firewall-bridge com vlan. Eu coloquei o snort_inline na jogada, mas ele tem algumas limitacões. É possivel usar snort apenas como IDS, evitando qualquer problema. Fiz em inglês, com alguns erros é claro, mas se acharem legal, posso refazer em portugues. Não testei suficientemente o Howto e o fiz de memória. Está tudo funcionando bem por aqui, no entanto não fiz teste de desempenho. Há um pequeno aumento de latencia apenas pelo fato de usar a bridge, mas de resto não houve mudanca significativa. Não vi nenhum howto para essa arquitetura, por isso estou postando. Se estiver enganado, desculpem... :) Correcões tb são bem vindas! O intúito do HOWTO é ser possivel controlar todas as portas do switch com firewall e, possivelmente, com um IPS (ou um IDS). Ou seja, ao final do howto, será possivel controlar toda a comunicacão da rede, pois todas as maquinas poderão se comunicar apenas pelo firewall-bridge. Elimina a necessidade de roving analisys port em muitos dos casos, característica presente apenas nos switches mais caros. Espero ajudar a alguém e, também, reunir mais usuários nessa arquitetura, resolvendo possiveis problemas, como o do IPS descrito aqui. Abracos, -- Aristeu Gil Alves Jr FREEBSD + IPFW/PF + VLAN + BRIDGE + IPS/IDS MINI-HOWTO - Author: Aristeu Gil Alves Jr * Fist step - the switch * First you need to enable some VLANs on the switch. Of course, a suitable switch that supports tagged VLAN is mandatory. In this case, I will call client port any untagged port on any VLAN. The firewall port will be a tagged port that will be present on all VLANs. A client port can only access another client port through the firewall port. You'll need to make a VLAN to each client port of the switch, and the firewall port will be a member of those VLANs as a tagged port. For the firewall port, prefer a Gigabit port (or the highest bitrate port available) for traffic throughput purposes. As said before, the client port of each VLAN will be set as untagged, and the firewall port will be set as a tagged port. For example, if you have a 26 port switch (24 ports 10/100mbps and 2 ports 1000mbps), you will choose 1 gigabit port for the firewall, other gigabit port for switch interconnection, and the other 24 ports will be setted for client connection. In my case, only for testing purposes I used a cheep realtek NIC (rl0) and a 3Com Superstack 3 4228G switch, but the only premise is to use a VLAN enabled switch and NIC (on the firewall). So there would be 24 VLANs with two members (one gigabit tagged port and one 10/100 mbps untagged port). Second step - The firewall The firewall SO chosen for this task is the FreeBSD 6.2. The first thing you need to do is create the bridge and vlan ports on the firewall. The easy way to do that is creating the entries on /boot/loader.conf, /etc/sysctl.conf and /etc/rc.conf. On /boot/loader.conf # load the bridge modules if_bridge_load=YES bridgestp_load=YES # load the ipdivert module ipdivert_load=YES - On /etc/rc.conf # # create the clone interfaces clone_interfaces=bridge0 vlan0 vlan1 vlan2 vlan3 ... # # bind the VLANs to the bridge autobridge_interfaces=bridge0 autobridge_bridge0=vlan* # # bind the VLANs interfaces to the switch vlans ifconfig_vlan0=vlan 1 vlandev rl0 ifconfig_vlan1=vlan 2 vlandev rl0 ifconfig_vlan2=vlan 3 vlandev rl0 ifconfig_vlan3=vlan 4 vlandev rl0 ifconfig_vlan4=vlan 5 vlandev rl0 (...) # # Put an IP on the bridge interface and an default route going out on it. # Without this snort_inline reinjection would be lost and it won't work!! ifconfig_bridge0=192.168.100.10 netmask 0xff00 ifconfig_rl0=up defaultrouter=192.168.100.1 # # Enable IPFW and PF checkings firewall_enable=YES firewall_script=/etc/rc.firewall firewall_type=OPEN firewall_quiet=YES firewall_logging=YES pf_enable=YES pflog_enable=YES -- On /etc/sysctl.conf # # Enable ipfw on bridge net.link.bridge.ipfw=1 net.link.bridge.ipfw_arp=1 net.link.bridge.pfil_member=1 net.link.bridge.pfil_onlyip=1 -- Now the firewall and bridge are up and running. Put the rules you want on rc.firewall and on pf.conf. * Third Step - The IPS * A quick installation of snort_rules from FreeBSD packages. You can use the http://snort_inline.sourceforge.net site to download and install the sources. # pkg_add -r snort_inline OK. Don't forget you have to edit /usr/local/etc/snort_inline.conf and check the right location for things. Download the rules for 2.3 (the version for the current FreeBSD
Re: [FUG-BR] RES: Spam aumentando.
Em 10/05/07, Joao Rocha Braga Filho[EMAIL PROTECTED] escreveu: On 5/10/07, Louis . [EMAIL PROTECTED] wrote: Uso o tambem o Sendmail + MailScanner + SpamAssassin e reforço a pergunta do Junior. Algum para SENDMAIL??? Tambem gostaria de saber! Tem um milter para gray list nos ports. Procurem por milter-greylist. Para qmail, alguém aconselha algum filtro que utilize spf+graylist, verificando a origem antes de colocar na geladeira? Abs -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] FREEBSD + IPFW/PF + VLAN + BRIDGE + IPS/IDS MINI-HOWTO
Talvez não tenha deixado claro alguns pontos do howto. Revisando aqui vi já alguns erros de digitação que vou melhorar... POR QUE USAR BRIDGE COM VLAN? Usei para implementar, em FreeBSD, a mesma infra que os colegas implementaram em linux, mostrado nas referencias (ftp://ftp.registro.br/pub/gts/gts07/05-filtrobridges.pdf). Ali, vc vai encontrar uma vasta listagem de motivações que não colocarei aqui. Eu achei aquela apresentação muito legal, pois já possíuamos um switch com VLAN, mas sem roving analysis, impossibilitando a copia de trafego para a porta do IDS. Assim, fazendo bridge entre VLANs, matamos dois problemas em um só. Alem de substituir a necessidade da característica Roving Analysis no switch, usei VLAN para fazer um controle de todo trafego no switch de forma transparente, usando uma mesma infra-estrutura já utilizada, e evitando completamente o acesso de um cliente ao outro sem passar pelo filtro. Veja que as outras formas citadas, até agora, de contornar o problema sem VLAN não impedem o acesso de um cliente ao outro sem passar pelo filtro. Logo, ao invés de encarecer a infra, como alguns falam, ela infinitamente barateia a infra, depende muito de como vc vê a coisa. Quanto sai um switch L3 com IDS ou IPS? PQ COLOCAR PF NO SCRIPT? Bom, eu pessoalmente uso direto o PF como firewall, gosto pessoal. Botei lá pq meus filtros são todos em pf. :) Uso o ipfw apenas para fazer o divert e fazer os filtros de MAC, se for o caso. Vc pode optar qualquer um dos dois para fazer controle de banda. O documento não está pronto, mas meu intuito não era colocar as regras ali, apenas mostrar a possibilidade de atuar dessa forma. Tb quis mostrar a configuração de bridge com if_bridge ao invés de bridge (mostrado no handbook do freebsd), possibilitando a utilização do pf com bridge, como ocorre no OpenBSD. Outra coisa que passou despercebida é que falam que snort_inline não funciona com bridge no freebsd, e, mesmo que meio capenga (mudando o src MAC), dá pra fazer funcionar dessa forma. Coloco mais algumas observações de possibilidades que vislumbro com isso: 1-Ligar um IP-MAC a uma localização física via filtro (vc pode filtrar os acessos na entrada de cada VLAN-Porta com o ipfw) 2- Corretamente castradas as localizações/porta e correlacionado com as respostas do IDS e com, possivelmente, um sistema 3D bem feito (ae já é um luxo de cinema), vc pode dar com precisão e praticamente instantaneamente (se a instalação fisica estiver intacta) o local fisico da origem/destino de um ataque. Em redes como localização fisica complexa seria interessante isso. Enfim, elucubrações! -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] AJUDA!!!!
Em 31/05/07, [EMAIL PROTECTED][EMAIL PROTECTED] escreveu: Cara Sinceramente acho que nao precisa ser tao rude assim so pedir pro cara explicar um pouco mais o seu problema e tentaremos dar uma solucao na medida do possivel como voce diz flames /dev/null O pessoal anda nervoso. Ainda bem que cara não enviou uma proposta de emprego especificando salário, pq senão ia ser um dia d'aqueles... Acho que o algorítmo está errado. Deveriam botar o filtro flames /dev/null antes do texto começar, não depois da mensagem. Acaba não filtrando os flames... ;) Abs -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Criptografia de HD - Prós e contras
Ae galera, Quero saber da experiência de quem já implementou servidor ou laptop com criptografia no HD. Gostaria de me focar nos seguintes problemas 1- manutenção - como se portará um sistema criptografado com a incidência de bad-blocks, chave corrompida, blablabla... Como fazer o backup desse sistema sem compromenter a criptografia (abre brecha para alguem ter a versão sem cripto)? 2- gerenciamento das chaves - Tá valendo criptografar sem o uso de chaves em pendrive, só com a passphrase? Me refiro ao invasor ter acesso fisico ao sistema, onde parte dele é descriptografada e a chave está no servidor - é possivel colocar um keylogger e pegar a senha, e as chaves consequentemente. O hd completamente criptografado, bootando por pendrive, impediria isto. Estou muito paranoico? :) Que tipo de servidor valeria colocar isto? 3- Alguém viu ou foi no evento da SANS que falava de experiências de Criptografia de HD? Poderia dar uma palhinha? Há braços, -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Debian com FreeBSD
Já ouvi falar tb que o kernel do openbsd rodava no debian, inclusive era uma das motivações da escolha do debian para aquele projeto linux seguro, que não sei em que é ficou. Tb não busquei mais informações, pq achei que pudesse ficar meio frankstein: rodando, mas com algumas sequelas... informações em contrário são bem-vindas. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Debian com FreeBSD
Em 13/06/07, Aristeu Gil Alves Jr[EMAIL PROTECTED] escreveu: Já ouvi falar tb que o kernel do openbsd rodava no debian, inclusive era uma das motivações da escolha do debian para aquele projeto linux seguro, que não sei em que é ficou. ..., que não sei em que _pé ficou. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Instalação de pacotes dentro da jail
Problemas de acesso à rede na jail. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OFF-Analise de Sinal Wireless
http://darkircop.org/barbelo/ Achei por acaso, mas não testei este ainda... - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SLBD
Este vem com o PFSense. Ainda há, no FreeBSD, dificuldade no roteamento usando rotas no PF e pacotes gerados pelo proprio firewall, o que impede um uso mais efetivo desse software pra fail-over de rotas. Pra fail-over ou balanceamento de servidores acho que dá legal. 2008/7/15 Robson Peripolli Rodrigues [EMAIL PROTECTED]: Alguem ja usou esse programinha? http://slbd.sourceforge.net/ Abraços. -- Robson Peripolli Rodrigues [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Erros após modificar sysctl.conf
poxa... olhando assim... primeiro vc parece ter um erro no rc.conf depois de setar o securelevel. Segundo, vc parece ter o bind configurado para rodar na interface loopback. Ela existe? net.inet.udp.blackhole. parece ter apenas valor 0 ou 1. O que faria o valor 2? Abs. -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Erros após modificar sysctl.conf
2008/7/16 MArvelrat [EMAIL PROTECTED]: A loopback existe... e o net.inet.udp.blackhole o valor 2 Experimentou mexer no valor dele? Abs -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PFSENSE: Onde acho QUICK nas regras do Firewall?
Se não me engano, todas regras são quick. Vai em diagostic - command. lá digita: pfctl -s all E verifica como estão as coisas. Abs 2008/7/18 Welkson Renny de Medeiros [EMAIL PROTECTED]: Pessoal, Já tinha visto falar bastante do PFSENSE mas nunca tinha instalado... instalei essa semana e achei fantástico... passo uns 2 dias para deixar um BSD pronto (kernel, squid, sarg, dns, firewall), em poucos minutos o PFSENSE já estava funcionando no HD.. show de bola... enviei um cd para um amigo que nunca instalou um BSD, e ele também conseguiu... muito legal mesmo ;-) Uma coisa que não vi no firewall foi como criar regras QUICK no firewall... alguém sabe informar? Sei que ele usa PF, tem que ter em algum lugar =) Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PFSENSE: Onde acho QUICK nas regras do Firewall?
se tiver um block all por exemplo... depois um pass... qual QUICK o PF vai obedecer? na sequência? (último da lista). A primeira regra com QUICK que bater é executada, as outras são ignoradas. Sem o quick(que não é o caso do pfsense), a ultima regra que bater é que vale. Como todas regras no pfsense são QUICK, a primeira regra cadastrada no pfsense que bater vai ser executada, as outras não. Se vc cadastrar uma açào block de any para any no pfsense no inicio das regras, bloquearia todos os acessos e teria que corrigir o caso no console... Abs -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Pacotes grandes não passam
2008/7/21 João Paulo Just [EMAIL PROTECTED]: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Marcello wrote: | Sim bloqueia a menos que vc tenha liberado icmp , recomenda-se usar: | | # Allow out ping | $cmd 00250 allow icmp from any to any out via $pif keep-state | # Deny public pings | $cmd 00310 deny icmp from any to any in via $pif Como havia dito na primeira mensagem, os pings funcionam, só não funcionam os pings com carga acima de 1472 bytes. Meu ipfw também tem: $cmd add allow ip from any to me icmptypes 0,8,11 Os pacotes fragmentados posteriores ao primeiro não estão entrando nas tuas regras (de estado ou não) por não possuírem informação suficiente no cabeçalho (L4). Sobre o que o amigo Marcello mandou, liberar ICMP é para PMTUD[1], Fragmentation Needed, ICMP Tipo 3, Codigo 4, se não me engano. Se seu problema persistir, não passando fragmentação e usando PMTUD, vai ter que liberar os pacotes fragmentados. Se fosse teste com TCP, MSS poderia ser ajustado e o pacote não fragmentaria, mas como usas o ping, vai fragmentado na origem. Enfim, vc pode resolver isso usando PMTUD e/ou liberando acesso a pacotes fragmentados (a flag frag no ipfw). Eu uso PF, com scrub. -- aristeu [1] http://www.tcpipguide.com/free/t_toc.htm - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] pfSense x Untangle
2008/7/22 Igor [EMAIL PROTECTED]: Na versao 5.3 já está disponível: http://wiki.untangle.com/index.php/5.3_Changelog Gostei desse untangle. Vou testar. Em que linguagem é feita a interface? Abs -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] pfSense x Untangle
2008/7/22 Igor [EMAIL PROTECTED]: A desvantagem que ele leva nesse sentido é que você não consegue gerenciar um servidor (ou pelo menos verificar o status) a partir de um celular (ex: iphone) - a não ser que seja diretamente via SSH / Nao sei quantas pessoas se preocupam com isso, mas pra mim é muito importante. Vi algumas dificuldades na parte de rede. Aparentemente o Untangle tem um numero fixo de interfaces (4) e não suporta VLAN. O Firewall não faz roteamento, que limita uma série de aplicações, entre outra coisas que faltam. Realmente, parece ser bem mais simples nesse quesito. Mas para ficar como um controle de usuários, algo mais interno ou menos complexo, ele me pareceu bem atrativo e mais completo (pelo menos pareceu), começando pela checagem de spam, virus, IPS, Filtro de conteúdo web, etc. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + 3 Links
O firewall não consegue trabalhar a rota de pacotes que ele mesmo
cria, ou seja, syn-proxy, modulate state, pftpx, etc ..., vão sempre
sair pela rota padrão.
Experimente trocar o modulate state por keep state.
Abs
2008/7/23 Robson Peripolli Rodrigues [EMAIL PROTECTED]:
nat on $WAN from ativos_1 to any - WAN
nat on $WAN2 from ativos_2 to any - WAN2
nat on $WAN3 from ativos_3 to any - WAN3
pass in quick on $LAN route-to ($WAN3 $GW3 ) round-robin inet proto tcp from
10.13.0.0/16 to any flags S/SA modulate
pass in quick on $LAN route-to ($WAN3 $GW3 ) inet proto { udp, icmp } from
10.13.0.0/16 to any keep state
pass out on $WAN3 route-to ($WAN3 $GW3 ) from $WAN3 to any
pass in quick on $LAN route-to ($WAN2 $GW2) round-robin inet proto tcp from
10.12.0.0/16 to any flags S/SA modulate state
pass in quick on $LAN route-to ($WAN2 $GW2) inet proto { udp, icmp } from
10.12.0.0/16 to any keep state
pass out on $WAN2 route-to ($WAN2 $GW2) from $WAN2 to any
Se alguem tem alguma dica, ficarei muito grato, estou a tempos tentando
achar uma solução mas não consigo.
--
Aristeu Gil Alves Jr
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + 3 Links
2008/7/24 Robson Peripolli Rodrigues [EMAIL PROTECTED]: Certo, vo dar uma pesquisada sobre esse Routed. Já substituindo a opção modulate state por keep state continuou mesma coisa. Será que não uma solução para esse problema, e vou ter que ficar fazendo redirecionamento de portas? Problemas com bancos normalmente acontecem por utilização de IPs diferentes para uma mesma sessão da aplicação bancária. Duas dicas. 1- Verifica se o NAT não esta fazendo, para uma mesma interface usando aliases ou proxyarp, rotatividade de IPs. 2- Verifica se pacotes não iniciam a conexão em uma interface e depois saem por outra. Usa tcpdump nas três interfaces e verifica. Sobre suas regras: Vc não precisa colocar round-robin no route-to quando há apenas uma rota. É apenas por uma questão de simplicidade nas regras. Outra coisa, a mais importante que não havia percebido, falta keep state na suas regras de saída das interfaces WAN. Até e boa sorte -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Falha de DNS está longe de ser resolvid a
Os problemas seriam com os cache resolvers/dns recursivos (dnscache) e não com os autoritativos (tinydns). 2008/7/28 Renato Frederick [EMAIL PROTECTED]: Os testes que fiz com meu dns autoritativo rodando DJB, não apresentou falha. Em princípio, o cache resolver do DJB não tem problema. Claro, tudo tem um limite. Com o aumento da banda e do poder computacional, o que parecia impossível fica possível. O problema é que o DJB tem ojeriza ao DNSSEC. Quando esse dia chegar epero que ele, ou alguma RFC que ele goste, apareça pra resolver o problema. Vamos aguardar pra ver. Por enquanto estamos bem! -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] UltraVNC Repeater (Single Click) no BSD
Estranho. O Repeater tem no ports. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC e ISAKMP
On Wed, 2008-09-24 at 12:24 -0300, Matheus Cucoloto wrote: Bom dia. Estou erguendo uma VPN com Ipsec usando ISAKMP. O Cenário é: FreeBSD(ISAKMP) - CheckPoint O que foi definido: Fase1: Cripto AES256 Hash: sha1 Fase2 Cripto: AES128 Hash: md5 Chave=123456 Rede1= 192.168.254.0 Rede2= 192.168.210.0 Peer Freebsd=100.1.1.1 Peer CheckPoint=100.1.1.2 Analisando os pacotes com tcpdump o checkpoint me manda o seguinte: -- 12:04:07.792500 00:19:e0:73:9b:0a 00:00:5e:00:01:0b, ethertype IPv4 (0x0800), length 174: (tos 0x0, ttl 60, id 61431, offset 0, flags [DF], proto: UDP (17), length: 160) 100.1.1.2.500 100.1.1.1.500: [udp sum ok] isakmp 1.0 msgid cookie -: phase 1 I ident: (sa: doi=ipsec situation=identity (p: #1 protoid=isakmp transform=1 (t: #1 id=ike (type=enc value=aes)(type=keylen value=0100)(type=hash value=sha1)(type=auth value=preshared)(type=group desc value=modp1024)(type=lifetype value=sec)(type=lifeduration len=4 value=00015180 (vid: len=40 f4ed19e0c114eb516faaac0ee37daf2807b4381f0001138d48da54a21820) -- E o FreeBSD retorna: -- 11:57:35.663230 00:60:97:0c:5d:10 00:00:5e:00:01:0a, ethertype IPv4 (0x0800), length 82: (tos 0x0, ttl 64, id 47232, offset 0, flags [none], proto: UDP (17), length: 68) 100.1.1.1.500 100.1.1.2..500: [udp sum ok] isakmp 1.0 msgid cookie -: phase 1 I inf: (n: doi=ipsec proto=isakmp type=NO-PROPOSAL-CHOSEN) -- No Debug do ISAKMP eu tenho apenas o seguinte: -- 115703.724192 Default dropped message from 100.1.1.2 port 500 due to notification type NO_PROPOSAL_CHOSEN -- O que tem de errado?? Vejam as minhas configurações: -- # cat isakmpd.conf Retransmits=5 Exchange-max-time= 120 Listen-on= 100.1.1.1 [Phase 1] 100.1.1.2= ISAKMP-peer-checkpoint [ISAKMP-peer-checkpoint] Phase= 1 Transport= udp Local-address= 100.1.1.1 Address=100.1.1.2 Configuration= Conf-fase1 Authentication= 123456 [Phase 2] Connections=VPN-freebsd-checkpoint [VPN-freebsd-checkpoint] Phase= 2 ISAKMP-peer=ISAKMP-peer-checkpoint Configuration= Conf-fase2 Local-ID= rede-freebsd-192.168.254.0/255.255.255.0 Remote-ID= rede-checkpoint-192.168.210.0/255.255.255.0 [rede-freebsd-192.168.254.0/255.255.255.0] ID-type=IPV4_ADDR_SUBNET Network=192.168.254.0 Netmask=255.255.255.0 [rede-checkpoint-192.168.210.0/255.255.255.0] ID-type=IPV4_ADDR_SUBNET Network=192.168.210.0 Netmask=255.255.255.0 [Conf-fase1] DOI=IPSEC EXCHANGE_TYPE= ID_PROT Transforms= CRIPTO-FASE1 [Conf-fase2] DOI=IPSEC EXCHANGE_TYPE= QUICK_MODE Suites= QM-ESP-AES-MD5-PFS-SUITE [CRIPTO-FASE1] ENCRYPTION_ALGORITHM= AES HASH_ALGORITHM= SHA AUTHENTICATION_METHOD= PRESHARED GROUP_DESCRIPTION= modp1024 Life= TEMPO [TEMPO] LIFE_TYPE= SECONDS LIFE_DURATION= 86400,79200:93600 -- -- Matheus Cucoloto System Admin. Net Admin. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Matheus, Voce tem que usar o mesmo esquema de criptografia em ambos os lados, bem como a psk. A mensagem NO_PROPOSAL_CHOSEN esta informando que as propostas de criptografia ou informacoes de rede configuradas em uma das pontas nao conferem. Informe, se possivel, as configuracoes do VPN1 e compare os timers, eles tambem influenciam no start da VPN. []s Sergio Lima - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Enlightenment - icones e modulos
Ola Amigos, Instalei o Free7 (i386) no meu laptop, e estou em clima nostaugico, usando o Enlightenmente DR17, que por sinal esta muito estavel e com bons recursos graficos. Porem, como nem tudo sao flores, alguns icones de aplicativos escritos em GTK nao sao exibidos, a exemplo do evolution. Alguem se lembra onde eu seto as configuracoes de icones no enlightenment? Outra coisa, peguei alguns modulos da comunidade escritos para o DR17, mas nao estou conseguindo executa-los junto com os temas. alguem tem alguma ideia de como eu faco isso? Desde ja, agradeco a ajuda de todos. []s Sergio Lima - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC e ISAKMP
On Wed, 2008-09-24 at 15:01 -0300, Matheus Cucoloto wrote: Alterei um monte, mudei as cripto e outras configuracoes agora aparentemente a fase 1 passa mas depois começa a pipocar de novo, veja o log o isakmpd: 144852.295219 Default isakmpd: phase 1 done: initiator id c8b45402: 100.1.1.2, responder id c9378c04: 100.1.1.1, src: 100.1.1.1 dst: 100.1.1.2 144852.430833 Default isakmpd: quick mode done: src: 100.1.1.1 dst: 100.1.1.2 144852.535963 Default message_parse_payloads: reserved field non-zero: ff 144852.535988 Default dropped message from 100.1.1.2 port 500 due to notification type PAYLOAD_MALFORMED 144852.650157 Default message_parse_payloads: reserved field non-zero: ff 144852.650181 Default dropped message from 100.1.1.2 port 500 due to notification type PAYLOAD_MALFORMED Alguma dica? OBS: Valeu Sergio Segue a minha conf nova: [General] Retransmits=5 Exchange-max-time= 120 Listen-on= 100.1.1.1 [Phase 1] 100.1.1.1= local-remote [local-remote] Phase= 1 Transport= udp Local-address= 100.1.1.1 Address=100.1.1.2 Configuration= Default-main-mode Authentication= 123456 [Phase 2] Connections=VPN-local-remote-10.9.2.0/255.255.255.0 [VPN-local-remote-10.9.2.0/255.255.255.0] Phase= 2 ISAKMP-peer=local-remote Configuration= Default-quick-mode Local-ID= network-192.168.254.0/255.255.255.0 Remote-ID= network-10.9.2.0/255.255.255.0 [network-192.168.254.0/255.255.255.0] ID-type=IPV4_ADDR_SUBNET Network=192.168.254.0 Netmask=255.255.255.0 [network-10.9.2.0/255.255.255.0] ID-type=IPV4_ADDR_SUBNET Network=10.9.2.0 Netmask=255.255.255.0 [Default-main-mode] DOI=IPSEC EXCHANGE_TYPE= ID_PROT Transforms= 3DES-SHA [Default-quick-mode] DOI=IPSEC EXCHANGE_TYPE= QUICK_MODE Suites= QM-ESP-3DES-SHA-PFS-GRP2-SUITE Matheus, Experiencia propria, sempre que fui negociar circuitos IPSec com gateways checkpoint, tive problemas principalmente com chaves AES e com os timers configurados. Eu recomendo, se nao houver problemas, que voce utilize SHA2-3DES e confira todos os timers (keylifetime, ike lifetime, etc). Outro problema constante que as vezes tenho que contornar, sao relativos ao IKE. Vou montar um lab aqui e te passo o resultado. []s Sergio Lima - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Solução Mikrotik em cima de um Free BSD
On Thu, 2008-09-25 at 16:39 -0300, Rodrigo de Oliveira Gomes wrote: Pessoal, Ba tarde! Por favor, alguém utiliza alguma solução Mikrotik via hardware ou software juntamente com um FreeBSD? Se for via software, roda em bsd? Alguém faz loadbalancing com ele? Fico no aguardo. Obrigado, Atenciosamente, Rodrigo Gomes - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Boa tarde Rodrigo, Há algum tempo atrás, eu participei de um projeto de firewall appliance onde usavamos as placas usadas pelo MK (o MK é apenas o software), as famosas routerboards. Na ocasião, optamos por usar o pfSense (rc1.2) instalado em um CF. Todos os recursos do pfSense se comportaram muito bem, inclusive o recurso de loadbalance e Carp. Eu recomendo fortemente que você de uma olhada nesse software (http://pfsense.org). []s Sergio Lima - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Solução Mikrotik em cima de um Free BSD
On Fri, 2008-09-26 at 12:01 -0300, Alexandre Correa wrote: essa alix roda até windows xp ehhehe rodar bsd entao ta facil !! acredito que para transferir o SO para uma RB .. precisa ser via jtag ai vai um seculo e meio !! 2008/9/26 Eduardo Schoedler [EMAIL PROTECTED]: Wrap não existe mais, foram substituidas pelas Alix. Não vejo porque reinventar a roda... se tem routerboard, use winbox que foi compilado para aquele hardware. Se for montar um, acho melhor utilizar Alix mesmo. Alix tem gente vendendo até no Mercado Livre. Abraço! -- From: Renato Frederick [EMAIL PROTECTED] Subject: Re: [FUG-BR]Solução Mikrotik em cima de um FreeBSD Acho que daí é melhor comprar uma placa WRAP ou Soekris, tem mais processamento e pode rodar tranquilamente pfsense/freebsd/tinybsd. As RBs já vêm com a licença do RouterOS. Será que dá pra comprar ela sem licença nenhuma com preço mais barato? - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 Blog: http://just.rg3.net/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Amigos, Se vocês tiverem usando um RB com CF (o que é mais comum), seguir a documentação do pfSense para instalar nessas boards (pode ser AILX, RB, SOekris): ftp://reflection.ncsa.uiuc.edu/pub/pfSense//tutorials/wrap_install/wrap_install.htm Eu particularmente, prefiro esse. Eu o segui e consegui instalar ele em um CF. Rodou muito bem com loadbalance e tudo que tinha direito (CF de 256MB). A RB (RB230: http://www.routerboard.com/comparison.html; http://www.routerboard.com/pdf/RouterBOARD200SeriesA4-3-0.pdf ) tinha 256MB de RAM. http://devwiki.pfsense.org/BuildingpFSense Bom estudo. []s Sergio Lima - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Asterisk
2008/9/26 Danilo Bedani [EMAIL PROTECTED]: zapata = zaptel Sendo um pouco mais detalhista Zaptel - Driver para placas de telefonia da Digium, etc... - etc/zaptel.conf Zapata - Canal do Asterisk - vem com asterisk, usa o driver zaptel, e configura no etc/asterisk/zapata.conf abs - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Off Topic]OS Cluster
On Fri, 2008-09-26 at 15:24 -0300, Luis wrote: Olá amigos, Gostaria de saber se alguem conhece algum UNIX para rodar num cluster que rode com no maximo 256 de hd? eu gostaria usar FreeBSD mas ele ocupa um espaço maior... alguem teria alguma dica? obrigado a todos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Luis, Como assim, ocupa mais de 256(MB/KB) de HD? Ja fiz instalações com Free6 com até 64MB de espaço, isso, colocando até o Beowulf. Faça os testes com uma jail. Crie uma instalação realmente minima, você vai ver que terá em um espaço igual ou inferior a 32MB, o necessário para administrar o sistema. Você também tentar usar o OpenSolaris, que já possui um kit pronto, basta customizar a instalação de qualquer zona e gerar um kit-cd de instalação. []s Sergio Lima - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Off Topic]OS Cluster
On Fri, 2008-09-26 at 17:01 -0300, Luis wrote: Sergio, Interessante... o projeto de cluster que estou fazendo tem no maximo 256 de capacidade de armazenamento HD por acaso vc fez alguma documentação do projeto que vc fez? Irado, eu n posso usar o pfsense pq n estou fazendo um gateway nem firewall se não seria bem interessante o projeto... e um projeto para fazer uns calculos para germinação de plantas - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Luis, Eu tenho a documentação, mas não aqui comigo (estou trabalhando em um projeto de datacenter em outra cidade). Posso gerar um bem simples pra você usando o jails e te mandar. []s Sergio Lima - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Off Topic]OS Cluster
On Fri, 2008-09-26 at 17:37 -0300, Luis wrote: Sergio, Se vc pudesse fazer isso pra mim...mas que não te atrapalhe no teu trabalho...ficaria muito agradecido :-) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Pode deixar Luis, Assim que tiver um tempo livre (final de semana, provavelmente) eu libero para você a documentacão. []s Sergio Lima - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Desktop free
On Tue, 2008-09-30 at 10:08 -0700, Aguiar Magalhaes wrote: Pessoal, Estou utilizando um desktop com free 7 e estou encontrando problemas em alguns sites que enviam a mensagem Click here to download plugin para exibir determinada figura, seja no firefox ou mesmo no Epiphany. Entretanto, quando clico recebo um aviso que a plataforma não foi identificada !! O que devo fazer ? Existe solução ? Aguiar Novos endereços, o Yahoo! que você conhece. Crie um email novo com a sua cara @ymail.com ou @rocketmail.com. http://br.new.mail.yahoo.com/addresses - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Aguiar, Se for o plugin flash, use esse artigo para solutionar o problema; http://www.fug.com.br/content/view/347/60/ []s Sergio Lima - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Interface de Rede
On Fri, 2008-10-03 at 16:06 -0300, Eduardo Schoedler wrote: Pessoal. O ifconfig do linux dá um monte de informações que não aparecem no FreeBSD. # ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:00:00:00:00:00 inet addr:2xx.xxx.xxx.xxx Bcast:2xx.xxx.xxx.xxx Mask:255.255.255.xxx UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1169197968 errors:0 dropped:7610 overruns:0 frame:0 TX packets:1104331899 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:265812347 (253.4 MiB) TX bytes:4233048869 (3.9 GiB) Base address:0xdce0 Memory:fd9e-fda0 Onde eu encontro as informações de RX e TX packets/errors/dropped/overruns no FreeBSD ??? Nem usando verbose (-v) aparecem essas informações. Abraço. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Eduardo, Tenta esse comando: $ netstat -s -I iface []s Sergio Lima - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Interface de Rede
On Fri, 2008-10-03 at 16:06 -0300, Eduardo Schoedler wrote: Pessoal. O ifconfig do linux dá um monte de informações que não aparecem no FreeBSD. # ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:00:00:00:00:00 inet addr:2xx.xxx.xxx.xxx Bcast:2xx.xxx.xxx.xxx Mask:255.255.255.xxx UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1169197968 errors:0 dropped:7610 overruns:0 frame:0 TX packets:1104331899 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:265812347 (253.4 MiB) TX bytes:4233048869 (3.9 GiB) Base address:0xdce0 Memory:fd9e-fda0 Onde eu encontro as informações de RX e TX packets/errors/dropped/overruns no FreeBSD ??? Nem usando verbose (-v) aparecem essas informações. Abraço. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Podes usar tambem: $ netstat -b -I iface []s Sergio Lima - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] linux f8 no FreeBSD
Olá Amigos, Estou instalando o linux compatible no FreeBSD7 e optei por usar como base o Fedora 8. Segui os procedimentos do /usr/ports/UPDATING: 20070327: AFFECTS: users of emulators/linux_base-fc6 AUTHOR: [EMAIL PROTECTED] ATTENTION! The port is experimental for now. Use it at your own risk. This port may be used only with 7-CURRENT and compat.linux.osrelease=2.6.16. To use/test the port (along with linux FC4 infrastructure ports) you should do: 0. Backup all your vital information! 1. Remove the current linux base port. 2. Add to your /etc/make.conf OVERRIDE_LINUX_BASE_PORT=fc6. 3. Make sure no linux application is running. 4. Set appropriate sysctl (compat.linux.osrelease=2.6.16). 5. Install emulation/linux_base-fc6. 5a. Those who use linux ports with automatic plist building should apply the following patch: ftp://mail.ipt.ru/pub/FreeBSD/patches/bsd.linux-rpm.mk-autoplist.diff Claro que alguma modificações: De: 2. Add to your /etc/make.conf OVERRIDE_LINUX_BASE_PORT=fc6. Para: 2. Add to your /etc/make.conf OVERRIDE_LINUX_BASE_PORT=f6. O procedimento 5a não executou corretamente, o patch foi rejeitado e, pelo que li, as alteracões já estão aplicadas em bsd.linux-rpm.mk. Com isso, não estou conseguindo instalar alguns ports, como por exemplo linux-openssl, este sempre chama o linux_base-fc4. Alguém já passou por isso? Sabe como resolver? Desde já, muito obrigado a todos. []s Sergio Lima - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] linux f8 no FreeBSD
On Sat, 2008-10-04 at 13:23 -0300, Renato Botelho wrote: 2008/10/4 Sergio A Lima Jr [EMAIL PROTECTED]: Olá Amigos, Fala Serginho.. tudo tranquilo? Estou instalando o linux compatible no FreeBSD7 e optei por usar como base o Fedora 8. Segui os procedimentos do /usr/ports/UPDATING: 20070327: AFFECTS: users of emulators/linux_base-fc6 AUTHOR: [EMAIL PROTECTED] ATTENTION! The port is experimental for now. Use it at your own risk. This port may be used only with 7-CURRENT and compat.linux.osrelease=2.6.16. To use/test the port (along with linux FC4 infrastructure ports) you should do: 0. Backup all your vital information! 1. Remove the current linux base port. 2. Add to your /etc/make.conf OVERRIDE_LINUX_BASE_PORT=fc6. 3. Make sure no linux application is running. 4. Set appropriate sysctl (compat.linux.osrelease=2.6.16). 5. Install emulation/linux_base-fc6. 5a. Those who use linux ports with automatic plist building should apply the following patch: ftp://mail.ipt.ru/pub/FreeBSD/patches/bsd.linux-rpm.mk-autoplist.diff Claro que alguma modificações: De: 2. Add to your /etc/make.conf OVERRIDE_LINUX_BASE_PORT=fc6. Para: 2. Add to your /etc/make.conf OVERRIDE_LINUX_BASE_PORT=f6. Aqui entendo que vc pos f8, certo: O procedimento 5a não executou corretamente, o patch foi rejeitado e, pelo que li, as alteracões já estão aplicadas em bsd.linux-rpm.mk. O procedimento 5a só serve pra quem usa automatic plist, que não é o padrão, eu nunca o segui, aconselho que vc também passe por cima dele, o patch não é necessário. Fazendo isso, acho que tudo dará certo... Fala Garga, Eu fiz isso, sim, nao usei o path, ma quando vou instalar o linux-flashXX ele torna pedindo o linux_base-fc4. Estranho né. Algum jeito de resolver isso? []s Sergio Lima - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] comando include no pf
On Sun, 2008-10-05 at 16:26 -0200, Dilson Moreira wrote: Ola, Tenho encontrado na net referencias ao comando include no arquivo do pf, ou seja, dentro do arquivo pf.conf seria possivel incluir outro arquivo de regras. Testei nao FreeBSD 6.3 e não deu certo. Alguem já usou? Grato DM Novos endereços, o Yahoo! que você conhece. Crie um email novo com a sua cara @ymail.com ou @rocketmail.com. http://br.new.mail.yahoo.com/addresses - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Olá, Você já tentou usar ancoras (http://www.openbsd.org/faq/pf/anchors.html). São bem uteis e podem ser a solucão que você precisa. []s Sérgio Lima - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Descobrir placa-mae
On Thu, 2008-10-09 at 12:45 -0300, Rodrigo Monteiro wrote: Oi pessoal, alguem sabe um programa ou outro jeito de descobrir o modelo da placa mae dos meus servidores??? abraço Rodrigo, Você já tentou usar o comando dmidecode? Há informacões completas sobre a board nesse comando. Se não tiver instalado, instale-o via ports (/usr/ports/sysutils/dmidecode) []s Sergio Lima - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] balancear trafego local
Olá Amigos,
Estou com dois links ligados no meu notebook (ADSL/Wifi), e quero
dividir o trafego em modo dinâmico e também manter uma certa
redundância.
Peguei essas regras do FAQ do openBSD e coloquei no pf, mas não estão
surtindo muito efeito:
ext_if0 = wlan0
ext_if1 = re0
ext_gw0 = 10.0.0.1
ext_gw1 = 192.168.0.1
int_if = vlan5
lan_net = 192.168.5.0/24
jails_vlan = { vlan5 }
table firewall const { self }
table jails const { 192.168.5.2, 192.168.5.3, 192.168.5.4 }
thishost = { 192.168.0.215 }
out_services = { ftp ftp-data ssh telnet smtp nicname domain www pop3
ntp imap ldap https isakmp xmpp-client 4662 4672 4675 2401 5999 }
database_services = { 523 1433 1434 1525 1527 2041 3050 3306 5432 }
NoRouteIPs = { 127.0.0.0/8, 10.0.0.0/8, 172.16.0.0/12 }
nat on $ext_if0
from !($ext_if0) - ($ext_if0:0)
nat on $ext_if1
from !($ext_if1) - ($ext_if1:0)
block return in quick on $int_if proto tcp from ! ($ext_if0:0) to
($int_if:network) port ssh
block return in quick on $int_if proto tcp from ! ($ext_if1:0) to
($int_if:network) port ssh
pass in on $ext_if0 route-to { ($ext_if0 $ext_gw0), ($ext_if1
$ext_gw1) } round-robin proto tcp from $thishost to any flags S/SA
modulate state
pass in on $ext_if1 route-to { ($ext_if0 $ext_gw0), ($ext_if1
$ext_gw1) } round-robin proto tcp from $thishost to any flags S/SA
modulate state
pass in on $ext_if0 route-to { ($ext_if0 $ext_gw0), ($ext_if1
$ext_gw1) } round-robin proto { udp, icmp } from $thishost to any keep
state
pass in on $ext_if1 route-to { ($ext_if0 $ext_gw0), ($ext_if1
$ext_gw1) } round-robin proto { udp, icmp } from $thishost to any keep
state
pass in on $int_if route-to { ($ext_if0 $ext_gw0), ($ext_if1 $ext_gw1) }
round-robin proto tcp from $lan_net to any flags S/SA modulate
state
pass in on $int_if route-to { ($ext_if0 $ext_gw0), ($ext_if1 $ext_gw1) }
round-robin proto { udp, icmp } from $lan_net to any keep state
Alguma dica?
[]s
Sergio Lima
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN
On Fri, 2008-10-17 at 15:09 -0200, Márcio Luciano Donada wrote: Pessoal, Ja tenho uma conexao vpn entre uma unidade e a matriz. Neste momento estou utilizando o IPSEC, mas como ainda estou testando estou vendo que o cliente ao utilizar a Internet nao esta indo ate a matriz para utilizar a internet, vejo que o mesmo esta tentando sair pela ADSL que faz a conexao com a VPN que esta na matriz. Ja tenho todo um controle para acesso a internet e gostaria que o mesmo utilizasse o link da matriz. Existe alguma fora de proceder isso, tendo em vista que eu nao posso alterar a rota default do servidor onde existe a ADSL? Obrigado, Márcio, Eu acredito que nesse caso, não se trata de alterar a default route do server e sim, alterar o trafego web proveniente da sua rede local, encaminhando-o para o seu controle de acesso. Qual o gateway VPN que vc está utilizando na filial? Ele permite criação de regras de redirecionamento de trafego? Se for linux, use essa regra (se for o squid, por exemplo): iptables -t nat -A PREROUTING -s rede_local -d ! rede_local \ -p tcp --dport 80 -j REDIRECT controle_acesso:3128 Se for BSD, use essa regra (para squid, com pf): rdr on $int_if proto tcp from $localnet to ! $localnet port 80 - controle_acesso port 3128 Acredito que isso deva resolver. Ainda no Linux, já tive problemas com controles especificos que monitoravam o hosts da rede, daí revolvi dessa maneira: ip ro rep rede_local dev ipsec0 Isso, apenas no linux. []s Sergio Lima - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
parece que está executando o arquivo pf.conf como script. deve ser erro no rc.conf. tente fazer # pfctl -f /etc/pf.conf 2008/10/28 Cleyton Bertolim [EMAIL PROTECTED] Mande mais informacoes sobre seu arquivo Eduardo! quando da o erro, o PF nao mostra em qual linha do arquivo esta errado? Cleyton. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OFF: Notebook Evolute
Acredito eu, que atualmente estou forçosamente usando meu note com linux, que deveríamos tratar note com freeba de forma mais aberta. Conversar sobre marcas, modelos, etc. Acho que é uma thread cabível, mas sem mencionar PREÇOS OU LOJAS. E o colega criou mensagem diretamente perguntando a marca no TÍTULO - vacilou. Deveria ter perguntado genericamente por informações sobre notes e depois perguntar sobre marcas. Falar apenas de hardware, principalmente notebooks, sou a favor. Sabemos que, hoje, principalmente com FreeBSD, devemos escolher o hardware a dedo. Eu sempre levo meus discos de boot pra loja, para analisar o que o kernel consegue ver, de freebsd e linux. Comprar pela internet acho complicado. E se não for possível comprar em loja, vejo nas listas a única alternativa. Abs, -- Aristeu - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Alterar a senha com apenas uma linha de comando
Pode tb usar algo assim
pw useradd ${usuario} -w random | awk ' { print O NOVO usuário $3
tem a senha $5; } '
pw usermod ${usuario} -w random | awk ' { print O usuário $3 tem a
NOVA senha $5; } '
... e tratar a saída como necessário.
--
Aristeu Gil Alves Jr
WAH Tecnologia de Informação
Fone: +55 51 32265497
Cel: +55 51 84089000
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Regra contra nmap
Alguem sabe a regra IPFW para o nmap não desconbrir o meu sistema operacional, passei em meus servidores e o mesmo apareceu essa mensagem. O nmap descobre o SO da vítima de acordo com dicas na formatação dos pacotes tcp/ip gerados. Cada SO tem certas características e por isso, acredito eu, seja impossível mascarar isto. - breno bf Amigos, Uma opção mais fácil para impedir que o sistema operacional seja descoberto pelos sniffers, é alterar o ip_ttl, que é por onde eles descobrem a assinatura do SO. Consultem: $ sysctl -a | grep ttl O padrão para o FreeBSD é 64, do rWindows 128 e por ai vai. Alterem: $ sysctl -w net.inet.ip.ttl=12 Isso deve ajudar. Mais informações: http://secfr.nerim.net/docs/fingerprint/en/ttl_default.html Espero ter ajudado. []s Sérgio Lima A procura de uma nova oportunidade, começa pelo vontade de aceitar mudanças O CH3 R || | \ || N \ / \ / \ N\/\ ||||| ||||| // \ /--N // \ / O N | | CH3 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Copiar arquivo do hospedeiro para uma jail
2008/11/21 Cleyton Agapito [EMAIL PROTECTED]: Olá, Andei procurando por aí e não encontrei nada a respeito. Pode dar algum problema copiar arquivos do anfitrião direto para uma jail em execução? Eu tenho um apache rodando na jail e gostaria de colocar as páginas do mrtg direto lá dentro. Abraços. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Não há problema nenhum. E o mount_nullfs também pode ajudar a fazer troca de dados. []s -- Aristeu Gil Alves Jr WAH Tecnologia de Informação - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Copiar arquivo do hospedeiro para uma jail
2008/11/23 Cleyton Agapito [EMAIL PROTECTED] Pra deixar registrado, caso alguém tenha algum problema parecido, tem uma pegadinha com links simbólicos: /usr/jails/node1/usr/local/www/data é um link simbólico para data-dist, mas seguindo ele vai para o /usr/local/www/data do anfitrião e não da jail. Demorei pra descobir... Cleyton, Se isso ocorre vc estando dentro da jail: (entrando na Jail) # jexec ID da Jail /bin/tcsh (entrando em diretório com symlink para fora) # cd /usr/local/www/data e vc conseguir listar o diretório do anfitrião, vc acaba de descobrir uma vulnerabilidade que deve ser reportada. Deves verificar melhor pois essa seria uma falha, apesar de séria, um tanto quanto ingênua. Duas coisas que vc deve levar em conta: 1- A jail deve ter uma raiz diferente e totalmente fora do FS normal; 2- De preferência, utilize a Jail em outra partição/label, separada para ela. -- Aristeu Gil Alves Jr WAH Tecnologia de Informação - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] camera chicony
Amigos, Estou precisando de uma ajuda a mais de vocês: falta apenas mais um dispositivo a ser configurado no meu laptop: a webcam. Eu até identifico ela no dmesg: uhub5: 10 ports with 10 removable, self powered ugen0: Chicony Electronics Co., Ltd. Chicony USB 2.0 Camera, class 239/2, rev 2.00/3.35, addr 2 on uhub5 Alguém já configurou essa camera por ai. []s Sérgio Lima - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Res: Evoluindo com FreBSD
Onde consiguo essas placas ? 2009/4/1 Leo Garcia getz@gmail.com: Melho voce pegar placas ethernet com 4 portas! 2 delas resolvem seu problema. --Mensagem original-- De: Beatriz Magalhaes Remetente: freebsd-boun...@fug.com.br Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Responder a: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: [FUG-BR] Evoluindo com FreBSD Enviada em: Abr 1, 2009 17:17 Ola lista,estou precisando de uma placa mae,que contenha 5 ou + slots PCI ,mas que nao compartilhem o mesmo irq,para o seguinte cenario: Cada placa receberia uma conexao ADSL Ex:Placa 1 link 10mb Dinamico Placa 2 link 10mb Dinamico Placa 3 link 10mb Dinamico Placa 4 link 2mb fixo Placa 5 link 1mb fixo Placa 6 LAN (no caso de possuir on board) Obs: Nao sei se estou fazendo besteira,ou se `e o melhor caminho, mas essa maquina seria um firewall ,recebendo os links e a minha rede estaria atras dessa estrutura.Essa estrutura `e para rodar um sistema um sistema web (biblioteca) de consulta com o FAMP,ainda tenho disponivel um switch da 3com 3824 para essa estrutura,como `e o meu primeiro projeto,gostaria da imensa ajuda de voces. http://www.3com.com/products/en_US/detail.jsp?tab=featurespathtype=purchasesku=3C17400 Muito Obrigada a todos! Beatriz Magalhaes. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Enviado via BlackBerry® - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] (off-topic) Tomcat4.1 + FreeBSD 6.1
Não seria o usuário pelo qual ele está sendo iniciado? Pegar portas abaixo da 1024 só como root, enquanto a 8180 qualquer user inclusive nobody consegue bindear... Há como remover a limitação de ligar as portas baixas ao root a partir do FreeBSD 6.1. # sysctl net.inet.ip.portrange.reservedhigh=0 -- Aristeu - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Compilar Kernel com Intel C++ Compiler
Aproveitando o ensejo A lista está bloqueando mensagens do gmail ou é só eu? -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] xtensoftphone
Em 28/09/06, Mario Lobo[EMAIL PROTECTED] escreveu: Alo gente; Alguem ja conseguiu que o xtensoftphone p/linux do x-lite funcionasse no Free? Eu baixei e tentei rodar (tenho linux_base_fc4) e da esse erro: xtensoftphone: error while loading shared libraries: libglade-2.0.so.0: cannot open shared object file: No such file or directory compilei o /usr/ports/devel/linux-libglade mas a versao que ele instala é 0.17 tenta mapear na libmap.conf. man libmap.conf Boa sorte -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Cyclade PC300
Uma pergunta: essa placa, hoje em dia, só usada né? Tentei encontrar uma serial dessas e nenhum distribuidor da cyclades tinha. Acabei comprando um roteador cisco, serie 800, no final... Abs -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Chroot - como implementar
Em 26/10/06, Cristina Fernandes Silva[EMAIL PROTECTED] escreveu: Alguem pode explicar como eu faço uma aplicação rodar em chroot, qual seria a vantagem e desvantagem ? alguem tem algum how-to explicando isso.. quais são as principais aplicações que roda em chroot.. ouvi dizer que o openbsd é por padrao ?? Vc restringe o acesso do sistema de arquivos usado pelo daemon. Veja os aquivos que o programa usa em seu ambiente normal, pode ser com ktrace e kdump e copie os arquivos que o mesmo utiliza durante a execução para dentro de um diretório, usando o diretório como nova raiz da nova hierarquia. Execute, então chroot diretório nome do programa, pelo que me lembro de cabeça. Existem daemons (como o apache, entre outros) que fazem chroot dentro do programa com chamada de sistema. Após carregarem alguns arquivos do sistema (configs, bibliotecas dinamicas, etc), para então executarem no ambiente protegido, limitando este ainda mais. Dizem que é possível escapar de um chroot, por isso considera-se melhor utilizar jail, que seria um chroot com ambiente controlado, limitando os poderes que um invasor dentro da jail, impossibilitando fuga. Há mais coisas no man, wikipedia, securityfocus e google. Abs -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF Anchor e Macros
2006/10/26, Rogério Schneider [EMAIL PROTECTED]: Olá pessoal. alguém sabe se tem como um Anchor ler as Macros definidas em um local centralizado? Não quero ter que copiar e colar as Macros em todos os files dos Anchors. Tem como incluir Macros dentor de um pf.conf a partir de um arquivo externo? Talvez com isso se resolvesse a centralização das definições. Pode parecer simplorio mas que tal um shell assim para inicialização: - #!/bin/sh cat /shared/pf.macros /etc/pf.conf cat /shared/pf.settings /etc/pf.conf cat /shared/pf.nat /etc/pf.conf cat /shared/pf.rules /etc/pf.conf pfctl -f /etc/pf.conf - As definições de anchors ficam nos arquivos pf.nat e pf.rules. -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF Anchor e Macros
Pode parecer simplorio mas que tal um shell assim para inicialização: hmmm agora verifiquei melhor a pergunta. mas se puder colocar macros nos arquivos de anchors, vc pode usar essa mesma tecnica nas regras usadas nas anchors. enfim... -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida PF (mais uma)
Use anchors (http://www.openbsd.org/faq/pf/anchors.html). Ex do site: ext_if = fxp0 block on $ext_if all pass out on $ext_if all keep state anchor ssh in on $ext_if proto tcp from any to any port 22 # echo pass in from 192.0.2.10 to any | pfctl -a ssh -f - -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Arquivos deletados.
Estava brincando com a partição UFS e UFS2. Ao passo que recuperar arquivos deletados do UFS é relativamente barbada, percebi que no UFS2 os endereços dos blocos são zerados. Confirmam? Falo isto, pois sem ter o endereço dos blocos no inode, a eficácia da recuperação diminui bastante. Eu uso foremost pra pegar aquivos quando não tenho alternativa. Como o pessoal recupera arquivos com multiplos blocos diretos, mais alguns indiretos, quando estes foram apagados pelo file system? Só tateando mesmo? Abs -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] [off-topic] FUD na FUG. Que tal lermos e comentarmos o projeto de lei?
E discutirmos abertamente ao invés de aceitar o FUD instaurado por geral. Por favor, citem texto da lei, não da midia em pânico (intencional ou não). Eu li, pude identificar alguns trechos. Entendi o seguinte: a parte envolvida no provimento da comunicação com o usuário final será obrigada a recolher a identidade de forma a deixá-la corretamente cadastrada (sem fraude ou comprometimento da privacidade). Estou procurando referencia a algumas declarações referentes ao cadastro quando da interatividade, e, PASMEM(!!!) não achei. Mais comentários abaixo. Tenho a cópia do projeto de lei em questão. Passei para formato texto e tem 70k. Vou mandar e aguardar a liberação do moderador. Não à FUD!! -- Aristeu Gil Alves Jr Art. 339-C. Para os efeitos penais considera-se: I – dispositivo de comunicação: o computador, o computador de mão, o telefone celular, o processador de dados, os meios de armazenamento de dados eletrônicos ou digitais ou similares, os meios de captura de dados, ou qualquer outro meio capaz de processar, armazenar, capturar ou transmitir dados utilizando-se de tecnologias magnéticas, óticas ou qualquer outra tecnologia eletrônica ou digital ou similar; II – sistema informatizado: o equipamento ativo da rede de comunicação de dados com ou sem fio, a rede de telefonia fixa ou móvel, a rede de televisão, a base de dados, o programa de computador ou qualquer outro sistema capaz de processar, capturar, armazenar ou transmitir dados eletrônica ou digitalmente ou de forma equivalente; III – rede de computadores: os meios físicos e lógicos através dos quais é possível trocar dados e informações, compartilhar recursos, entre máquinas, representada pelo conjunto de computadores, dispositivos de comunicação e sistemas informatizados, que obedecem de comum acordo a um conjunto de regras, parâmetros, códigos, formatos e outras informações agrupadas em protocolos, em nível topológico local, regional, nacional ou mundial, este nível conhecido como internet, ou quanto ao proprietário, privado ou público; IV – identificação de usuário: os dados de identificador de acesso, senha ou similar, nome completo, data de nascimento e endereço completo e outros dados que sejam requeridos no momento do cadastramento de um novo usuário de rede de computadores, dispositivo de comunicação ou sistema informatizado; V – autenticação de usuário: procedimentos de verificação e conferência da identificação do usuário, quando este tem acesso a rede de computadores, dispositivo de comunicação ou sistema informatizado, realizado por quem torna disponível o acesso pelo usuário; VI – provedor: o prestador de serviços de acesso à rede de computadores e o prestador de serviços relacionados a esse acesso; VII – dados de conexões realizadas: aqueles dados aptos à identificação do usuário, os endereços eletrônicos de origem das conexões, a data, o horário de início e término e a referência GMT dos horários, relativos à cada conexão realizada pelos equipamentos de uma rede de computadores. --- Aqui abro um parenteses. Estão (midia) tratando todos como provedor (o genérico acima), enquanto quem tem que registrar usuário é o provedor de ACESSO a redes de computadores, e não o provedor de SERVIÇO relacionado a esse acesso. Aqui estaria acontecendo o FUD? Há um outro projeto que fala disso, do Deucidio Amaral, que não está nem em questão nessa matéria, que envolve servidores de email. - Art. 20. Todo aquele que acessar uma rede de computadores, local, regional, nacional ou mundial, deverá identificar-se e cadastrar-se naquele provedor que torna disponível este acesso. Parágrafo único. Os atuais usuários terão prazo de cento e vinte dias, após a entrada em vigor desta Lei, para providenciarem ou revisarem sua identificação e cadastro junto ao provedor que torna disponível o acesso. Art. 21. Todo provedor de acesso a uma rede de computadores sob sua responsabilidade somente admitirá como usuário pessoa natural, dispositivo de comunicação ou sistema informatizado que for autenticado por meio hábil e legal à verificação positiva da identificação de usuário, ficando facultado o uso de tecnologia que garanta a autenticidade e integridade dos dados e informações digitais ou o uso de outras entidades de dados de identificação de usuário já existentes que tenham sido constitutidas de maneira presencial, de forma a prover a autenticidade das conexões, a integridade dos dados e informações e a segurança das comunicações e transações na rede de computadores, dispositivo de comunicação e sistema informatizado. Parágrafo único. A identificação do usuário de rede de computadores poderá ser definida nos termos de regulamento, sendo obrigatórios para a pessoa natural os dados de identificador de acesso, senha ou similar, nome completo, data de nascimento, um número de documento hábil e legal
Re: [FUG-BR] [off-topic] FUD na FUG. Que tal lermos e comentarmos o projeto de lei?
Quando não tem projeto de Lei para aumentar o salário dos caras eles fazem esse tipo de coisa, invetam coisas do outro mundo!!! Viva Brasil terra dos sem leis!!! Pior é vc (nós) sermos joguete da mídia. Leia o projeto em anexo. Ali tem uma bela descrição da motivação. As leis são apenas ao final. Abs! -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Off-Topic] Senador Eduardo Azeredo quer Estado Policial na Internet
Por isso que fico chocado as vezes. Imagino umas 300 rasões para este FUD gerado pela midia com informações inverídicas. As duas principais: lobby dos provedores (uma das partes que ganha obrigação e pena no projeto) e a velha politicagem PT vs PSDB. Espero que o pais consiga ir pra frente com um querendo puxar o tapete do outro. -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] FUD na FUG. Que tal lermos e comentarmos o projeto de lei?
2006/11/8, Victor Loureiro Lima [EMAIL PROTECTED]: Achei interessante o fato dele mencionar redes locais tambem! Ou seja, aqui em casa ou entao na mini-LAN do trabalho eu ia ter que me autenticar tambem? Nao ficou muito claro para mim Entendi da seguinte forma: É uma questão de passar a responsabilidade pra quem deve ter, o usuario final ou o dono do acesso. Caso vc seja o usuário final do provedor, ele tem registrado o teu acesso então vc ou o dono da rede local, que assina a conexão, pagará o pato. Caso seja uma lanhouse (que é usuária de provedor), tem que registrar e logas os acessos dos usuários para transferir a responsa pro usuário final (evitando anonimato), se não ela paga o pato. Entendi assim. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] FUD na FUG. Que tal lermos e comentarmos o projeto de lei?
Aí um usuário final, cliente de um provedor qualquer, que mal sabe navegar na internet tem sua máquina transformada num zumbi... muita gente inocente pode se ferrar de graça, sem ter culpa nenhuma... ou todos serão obrigados a se tornarem experts em segurança. Os advogados vão fazer a festa... Vai ser a mesma coisa que hoje. Há analise forense da maquina, ampla defesa do reu, etc. Não serão ingênuos em simplesmente pegar o IP e dizer quem é o culpado, até pq lê-se que invasores costumam usar em media uma/duas maquinas até o alvo. Acho que li isso num livro do Nelson Murilo. Entendo que o processo penal não vai mudar, a não ser a adição das clausulas de gerar provas para perícia. Vai ser a mesma coisa. Só que o que simplesmente algumas coisas que eram seguindas como recomendação viram lei. A questão da prisão por não controlar usuários que acho forte demais. Essa parte gostaria de entender melhor. É multa mais prisão? multa e prisão na reincidencia? ... - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: [off-topic] FUD na FUG. Que tal lermos e comentarmos oprojeto de lei?
Em 08/11/06, Renato Frederick[EMAIL PROTECTED] escreveu: Senhores, se não me engano isso já foi adiada, engavetada, seja lá o nome jurídico dessa porqueira: http://ultimainstancia.uol.com.br/noticia/32941.shtml Só fica a ideia que pode-se buscar informação e não dar razão pra pânico da midia. Essa parada tá ai a seis anos. Pode ser que volte daqui a seis meses ou mais para votação. Dá pra trabalhare melhorar a questào. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] FUD na FUG. Que tal lermos e comentarmos o projeto de lei?
2006/11/8, Henry Lenzi [EMAIL PROTECTED]: Art. 21. Todo provedor de acesso a uma rede de computadores sob sua responsabilidade somente admitirá como usuário pessoa natural, dispositivo de comunicação ou sistema informatizado que for autenticado por meio hábil e legal à verificação positiva da identificação de usuário, ficando facultado o uso de tecnologia que garanta a autenticidade e integridade dos dados e informações digitais ou o uso de outras entidades de dados de identificação de usuário já existentes que tenham sido constitutidas de maneira presencial, de forma a prover a autenticidade das conexões, a integridade dos dados e informações e a segurança das comunicações e transações na rede de computadores, dispositivo de comunicação e sistema informatizado. Tadução: CERTIFICADO DIGITAL QUE O CIDADÃO DEVE COMPRAR. Fiquei curioso, onde vc viu isso. Não é obrigatório o uso de certificação digital. Sim, usar a certificação sem enviar dados adicionais seria apenas um conforto. O registro que acontece é uma vez e no provedor, coisa que já acontece, mas estaria sendo obrigado em lei, neste caso. O mesmo dos 3 anos de log do servidor, que é apenas uma recomendação do CGI.br. Estaria em lei neste caso. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] FUD na FUG. Que tal lermos e comentarmos o projeto de lei?
IV – informar, de maneira sigilosa, à autoridade competente à qual está jurisdicionado, fato do qual tenha tomado conhecimento e que contenha indícios de conduta delituosa na rede de computadores sob sua responsabilidade; Provedores monitorando ou simplesmente reportar ataques detectados ou recebidos no abuse? Gostaria de saber mais sobre essa. -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: [off-topic] FUD na FUG. Que tal lermos e comentarmos oprojeto de lei?
2006/11/8, Henry Lenzi [EMAIL PROTECTED]: Só fica a ideia que pode-se buscar informação e não dar razão pra pânico da midia. Essa parada tá ai a seis anos. Pode ser que volte daqui a seis meses ou mais para votação. Dá pra trabalhare melhorar a questào. Vai voltar em 2 semanas, segundo foi amplamente divulgado n'O Globo e n'A Folha. Isso é uma boa. -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] FUD na FUG. Que tal lermos e comentarmos o projeto de lei?
Sim, mas esse registro não pode ser usando com fins identificação do usuário. O que o projeto implica, é que, uma vez que o teu provedor te identificou, é você quem está do outro lado, sofrendo todas as aplicações de leis penais. Não entendi essa colocação. Os dados ainda são sigilosos, apenas não poderão ser fictícios. Ainda que haja fraude, não pode-se esquecer os controles. O usuário já não era responsável se fazia crimes com sua máquina? fornecer, quando solicitado pela autoridade competente no curso de investigação, os dados de conexões realizadas e os dados de identificação de usuário; Isso já não havia possibilidade de acontecer com ordem de juiz? Como os policiais monitoravam grupos de crackers? Quem for de provedor pode falar se ja foi obrigado a fazer um dump de trafego para autoridade policial, se possivel. IV – informar, de maneira sigilosa, à autoridade competente à qual está jurisdicionado, fato do qual tenha tomado conhecimento e que contenha indícios de conduta delituosa na rede de computadores sob sua responsabilidade; provedores podem finalmente desatolar o trafego p2p aqui. Essa eu acho bastante curiosa, talves mais que a anterior. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Problema no envio de arquivo para lista
Estou com o projeto de lei, com uma análise bem feita em cima dele. Tudo direto do senado. Passei ele para txt, mas está trancado no servidor. Não há como disponibilizar no servidor da lista? -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [off-topic] FUD na FUG. Que tal lermos e comentarmos o projeto de lei?
2006/11/8, c0re dumped [EMAIL PROTECTED]: IV – informar, de maneira sigilosa, à autoridade competente à qual está jurisdicionado, fato do qual tenha tomado conhecimento e que contenha indícios de conduta delituosa na rede de computadores sob sua responsabilidade; provedores podem finalmente desatolar o trafego p2p aqui. Essa eu acho bastante curiosa, talves mais que a anterior. Acho que nao e funcao de nenhum ISP ser um X9. Quem vai querer ser cliente de um ISP que passa informacoes de maneira sigilosa pra autoridades competentes ? Mandei email para um acessor do relator e vc tem razão. Os provedores __não__ serão fiscalizadores como o texto deixa brechas para pensar. Denuncias para o do provedor deverão ser encaminhados para autoridade competente. Ponto. Era para ser só isso. Aparentemente, haverá revisão da redação ainda. O usuario eh responsavel somente se forem encontradas provas fisicas. O que entendi ao ler o paragrafo eh que basta encontrar evidencias nos logs do ISP para que o cidadao seja condenado. Da mesma forma que os dados podem ser ficticios beneficiando criminosos, eles tambem podem ser ficticios prejudicando inocentes. Vide o nosso sistema judiciario. No meu entendimento, não haverá grandes novidades na justiça brasileira para investigação do culpado. Isso já não havia possibilidade de acontecer com ordem de juiz? Como os policiais monitoravam grupos de crackers? Quem for de provedor pode falar se ja foi obrigado a fazer um dump de trafego para autoridade policial, se possivel. Isso acontece pq nao temos uma legislacao de verdade no que se refere a direitos ciberneticos. Nos EUA pro FBI fazer esse tipo de hacking no computador de uma pessoa, para fins de coleta de provas, eh necessaria autorizacao judicial. Vai ser que nem nos EUA então. Colocaram na lei a tortura pra mostrar pro cidadão que é possivel, mas eles sempre fizeram isso. Provavelmente o carnivore esteja na lei deles tb. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Atenção: Projeto Azeredo pode volta r à pauta em 2 semanas.
2006/11/9, Henry Lenzi [EMAIL PROTECTED]: Segundo me dizem, retirar da pauta significa que: 1) ou vai desistir dele; ou 2) refazer e reapresentar. Definitivamente é o dois. Pelo que falei com um acessor, estão corrigindo alguns pontos na redação. E, aparentemente, ainda há tempo para emendas, se for o caso. -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: [completamente off-topic] FUD na FUG. Que tal lermos e comentarmos oprojeto de lei?
A lei não passa de um instrumento do Estado para manter-se. Não se esqueçam que muita gente faminta foi enforcada, na inglaterra, por comer coelhos ou outras caças, que pertenciam ao Rei (quem mais?) finalmente, by Irado: A lei gera o crime (just think) Com certeza. ...Não há crime sem uma prévia lei que o condene...(by codigo penal) parece que aqui ninguem esteve do outro lado, como vítima, né? Quem sabe, ao invés de destruir, criarmos soluçòes. Perguntas interessantes que ainda estão sem resposta: - Como fazer um mecanismo legal que proteja contra provas plantadas? Acho que foi o coredump que levantou esse problema. Como fazer isso sem dar ao bandido a chance da negativa plausível (Ex: antes de cometer um crime, instalo um trojan na minha maquina)? - Como fazer justiça sem leis? Esse é o novo assunto. Olho por olho? E quando começar a ser Dente por Vida? E como pegar um dente de um desdentado? Lembrem-se, caso sejam anarquistas, a anarquia (o regime de governo) também tem leis. -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN com OpenVPN
Aproveitando o ensejo, alguém já usou essas placas aceleradoras de SSL com OpenVPN? Houve melhora significativa? Fornecedores locais? Abs -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Interface de Gerenciamento IPFW
Ola pessoal, Para usar o pfsense com o ipfw uso assim: criei o /usr/local/etc/rc.d/firewall.sh: #!/bin/sh /sbin/pfctl -d /sbin/kldload ipfw /sbin/kldload dummynet /sbin/ipfw -f flush /sbin/ipfw -f pipe flush /sbin/ipfw -f queue flush /sbin/ipfw add 10 allow ip from any to any via lo0 /sbin/ipfw add 20 allow ip from any to 127.0.0.0/8 /sbin/ipfw add 30 allow ip from 127.0.0.0/8 to any #aqui voce coloca as regras #ex: #filtro de velocidade /sbin/ipfw pipe 10 config mask src-ip 0x00ff bw 512Kbits/s /sbin/ipfw pipe 20 config mask dst-ip 0x00ff bw 512Kbits/s /sbin/ipfw add 1 pipe 10 ip from any to any in via vr0 /sbin/ipfw add 11000 pipe 20 ip from any to any out via vr0 /sbin/pfctl -e **Note que o pf é desabilitado para o ipfw subir ***detalhe importante tambem são as regras para o localhost, sem elas o ftp help não funciona porque ele escuta nessa porta: proxypftpx 657 3 tcp4 127.0.0.1:8021*:* ipfw funciona muito bem no pfsense porem nao totalmente automatizado, mas vc pode editar o arquivo firewall.sh via painel e executa-lo :) e pelo fato do dummynet fazer o controle preciso da velocidade e ainda por IP acredito que vale a pena :) Att., Alfredo Tomio Junior On 10/15/10, Neerlan Amorim neer...@gmail.com wrote: Um detalhe interessante no site do m0n0wall: Software based on m0n0wall: AstokiaPBX FreeNAS pfSense Em 15 de outubro de 2010 00:57, Neerlan Amorim neer...@gmail.com escreveu: Olá Renata, Se não me engano o m0n0wall utiliza o ipfw também é FreeBSD e possui uma ótima interface web. http://m0n0.ch/wall/ Abraço Em 14 de outubro de 2010 16:32, Josias L.G josia...@bsd.com.br escreveu: Boa tarde. Tambem se tem o proprio webmin, com o modulo firewall compativel com ipfw. http://www.webmin.com/standard.html Procurar modulo BSD Firewall. Se nao me engano, ele tambem faz controle de roteamento em Routing and Gateways. Em 14/10/2010, às 17:19, Welkson Renny de Medeiros escreveu: Renata Dias escreveu: Caros, Alguém conhece ou utiliza alguma interface grafica (via WEB e não com o X) para configuração e gerenciamento das regras do IPFW, Roteamentos, QoS ? Básicamente o que procuro é algum gerenciador que me permita aproximar o Servidor FreeBSD ao CISCO, no quesito gereciador gráfico. Obrigada. Nunca usei... http://sourceforge.net/projects/freepfw/ -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Neerlan Amorim -- Neerlan Amorim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Atenciosamente, Alfredo Tomio Junior +55 48 91026867 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ref. excesso de arquivos
com o find você conseguira:
find /var/spool/clientmqueue -name qf* -exec rm -rf {} \;
esse exemplo apaga arquivos que comecem com 'qf' e estiverem
no var/spool/clientmqueue
uso muito ele, um outro exemplo:
find /usr/mail -size 1024c -exec rm -rf {} \;
(apaga todos os arquivos de tamanho 1024)
On 7/5/05, Rafael Rubleske [EMAIL PROTECTED] wrote:
Bom dia!
Estou com um problema na partição /var de um server. Ela está com + de
6 arquivos de log de vários tipos e não me deixa apagar de jeito
nenhum. Já tentei 'rm', laços 'for', etc.. e nada. Não deixa nem trocar
as permissões do diretório em si muito menos dos arquivos. Já tentei
entrar como mono usuário mapeando apenas o var e nada. nem o fsck
reportou qquer coisa..
Nunca vi uma coisa dessas..
Alguém pode me dar uma luz??
--
Rafael R.
___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
--
--
Att.
Alfredo Tomio Jr
+55 4888120272
[EMAIL PROTECTED]
___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
[FUG-BR] Off- Venda de RAS-PR4000
Olá Pessoal... Estou vendendo um Ras - PR4000 da Cyclades, equipamente em otimo estado.. Preço muito bom!! Interessados me contatem Obrigado Wagner Cisco Certified ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
[FUG-BR] FIlesystem com 290887 arquivos no diretorio.
Ola lista ! tenho um site de grupos/listas gerenciado pelo ezmlm e instalado no Freebsd 4.10 e todos os emails enviados agora voltam com: failure: Sorry,_no_mailbox_here_by_that_name._(#5.1.1)/ verificando a configuracao, percebi que tudo esta OK, ate mesmo criei um outro dominio no mesmo server e o email é entregue sem problemas. O diretorio: /usr/home/vpopmail/domains/meudominio.com.br esta com 290887 arquivos/diretorios. Nao ha outro motivo senao este, para os emais nao serem entregues. Eu poderia reinstalar o sistema com diferentes tamanhos de blocos e fragment size para resolver isso ? Ou como eu poderia quebrar estes grupos em varios diretorios, haja visto que sao todos do mesmo dominio? -- -- Att. Alfredo Tomio Jr +55 4888120272 [EMAIL PROTECTED] ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] FIlesystem com 290887 arquivos no diretorio.
Resolvido, Usei uma ferramenta muito legal que me reportou um erro: http://www.xach.com/qdc/ mostrando que o dominio estava no: /var/qmail/control/locals fazendo a entrega procurando pela conta no /etc/passwd e nao no /home/vpopmail/domains/meudominio.com.br Sugiro o uso dele para detectar problemas desta natureza. Nao era o numero dos arquivos, porem, vou verificar o UFS_DIRHASH nao conheco ainda. Obrigado, pelas dicas ! On 8/12/05, Giovanni P. Tirloni [EMAIL PROTECTED] wrote: Alfredo Tomio Jr wrote: Ola lista ! tenho um site de grupos/listas gerenciado pelo ezmlm e instalado no Freebsd 4.10 e todos os emails enviados agora voltam com: failure: Sorry,_no_mailbox_here_by_that_name._(#5.1.1)/ verificando a configuracao, percebi que tudo esta OK, ate mesmo criei um outro dominio no mesmo server e o email é entregue sem problemas. O diretorio: /usr/home/vpopmail/domains/meudominio.com.br esta com 290887 arquivos/diretorios. Nao ha outro motivo senao este, para os emais nao serem entregues. Eu poderia reinstalar o sistema com diferentes tamanhos de blocos e fragment size para resolver isso ? Ou como eu poderia quebrar estes grupos em varios diretorios, haja visto que sao todos do mesmo dominio? Apenas o qmail que da esse problema ou voce tambem nao consegue acessar essa caixa postal por pop3/imap ? Nao me lembro mais se o 4.x tem aquela opcao UFS_DIRHASH no kernel para otimizar diretorios com muitos arquivos. -- Giovanni P. Tirloni / [EMAIL PROTECTED] ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br -- -- Att. Alfredo Tomio Jr +55 4888120272 [EMAIL PROTECTED] ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
[FUG-BR] FreeBSD 5.4 nao instala em placa mae ASUS P4VP-MX
Ola! Li alguns emails na rede mas ninguem com solucao ainda, para o problema do FreeBSD 5.4 com a MB ASUS P4VP-MX que reporta o erro: failure - ATA_IDENTIFY timed out quando tentamos instalacao, ja tentei desabilitar ACPI APIC e outros features na bios mas nada adiantou. Agradeco qualquer sugestao ! -- -- Att. Alfredo Tomio Jr +55 4888120272 [EMAIL PROTECTED] ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Rotear ip válido
Ola Marcilio, Tambem precisei fazer isso aqui e apos regras para limitar a banda e outros controles, usei o skipto para 'pular' regra do NAT: /sbin/ipfw add 16000 skipto 65535 ip from [ipdocliente] to any /sbin/ipfw add 17000 skipto 65535 ip from any to [ipdocliente] /sbin/ipfw add 45000 divert natd all from any to any via xl0 Coloquei 65535 porque meu firewall esta DEFAULT_TO_ACCEPT mas caso o seu nao esteja crie uma regra liberando ele. Qualquer duvida é so falar :) On 8/18/05, Marcilio [EMAIL PROTECTED] wrote: Boa tarde Lista , estou como uma dúvida na configuração de um IP válido em um servidor que faz nat na Wi0. Segue a estrutura atual no sistema: wi0 IP 192.168.6.34 ( faz nat em 200.196.39.xxx ) vr0 IP 192.168.0.1 Tenho um arquivo : /usr/local/etc/rc.d/ipcliente.sh Com as conf. #!/bin/sh # SALA XXX # ifconfig vr0 alias 192.168.1.1 netmask 255.255.255.252 ipfw add pipe 10 all from 192.168.1.2/32 to any in ipfw add pipe 20 all from any to 192.168.1.2/32 out ipfw pipe 10 config bw 128kbits/s ipfw pipe 20 config bw 128kbits/s # #ifconfig vr0 -alias 192.168.1.1 ## Regra do NAT ## ipfw add 65000 divert natd all from any to any via wi0 ## Gostaria de saber como criar um ip valido na Interface vr0 sem fazer NAT na wi0, quando paro o Firewall e coloco na mão ifconfig vr0 alias 200.196.41.xxx netmask 255.255.255.252 o cliente sai com o IP beleza ( Fiz o teste no site meu ip.com.br ) mas quando rodo o arquivo /usr/local/etc/rc.d/ipcliente.sh que tem a regra do nat ele sai com o IP 200.196.39.xxx,( ou seja fazendo nat na WI0, gostaria de saber como posso resolver isso, porque a empresa em que trabalho começou a vender IP válido para os clientes, quem puder ajudar agradeço. Att Marcilio ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br -- -- Att. Alfredo Tomio Jr +55 4888120272 [EMAIL PROTECTED] ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Dúvida - Plugin Flash no Firefox
Ola pessoal ! Só complementando, no Freebsd6 resolvi o flash fazendo o seguinte: cd /usr/X11R6/lib/firefox/plugins/ rm libflashplayer.so flashplayer.xp ln -s /usr/X11R6/lib/linux-flashplugin6/libflashplayer.so ln -s /usr/X11R6/lib/linux-flashplugin6/flashplayer.xpt Os caminhos sao diferente! On 12/7/05, Gelsimauro Batista dos Santos [EMAIL PROTECTED] wrote: FreeBSD 6.0 - Firefox e Flash plugin Instalando o Firefox 1 - cd /usr/ports/www/firefox make install clean 2 - Instalando o Flash Player cd /usr/ports/www/linuxpluginwrapper/ make install clean Caso a compilação de erro atualiza o ports como abaixo cd /usr/local/share/examples/linuxpluginwrapper/ cp libmap.conf-FreeBSD6 /etc/libmap.conf cd /usr/X11R6/lib/firefox/plugins/ rm libflashplayer.so flashplayer.xpt ln -s ../linux-flashplugin6/flashplayer.xpt ln -s ../linux-flashplugin6/libflashplayer.so On Wed, 7 Dec 2005 11:49:03 -0200, Alexandre Andrade wrote Pelo que li na lista, algum de vocês tem o Flash funcionando muito bem no FreeBSD + Firefox. Gostaria de saber como faz pra instalar ele ? Valeu -- Alexandre Andrade São Paulo - SP BSD User: 051253 Linux User: 390467 [EMAIL PROTECTED] ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Gelsimauro Batista dos Santos ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br -- -- Att. Alfredo Tomio Jr +55 4888120272 [EMAIL PROTECTED] ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
[FUG-BR] Apresentação
Sou novo na lista, Meu nome é Aristeu e trabalho com consultoria em PoA. Vi no histórico da lista que tenho conhecidos aqui... :) Entrei na lista para contribuir e pegar boas dicas dos colegas. Sou um usuário do sistema, e trabalho com adm de redes, entre outros... Um abraço a todos. -- Aristeu Gil Alves Jr WAH Tecnologia de Informação ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] LDAP
O howto do samba+ldap no idealx.org acho uma boa documentação pra inicio, visto que eles implementam a utilização de nss_ldap e pam_ldap autenticando os usuários posix (estes ultimos vc pega no ports). Claro smbldap-tools gera autenticação no samba e no unix, mas se vc quiser tirar ou colocar funcionalidades, fica a seu critério. Depois que criou a estrutura da sua arvore, colocar os usuários autenticando no unix, samba, qmail, squid, etc. fica fácil. Pra criar usuários do qmail, modifiquei de leve o smbldap-useradd para inserir os atributos pertinentes e fica tudo integrado, na autenticação, na inserção e deleção de usuários. abs - Original Message - From: Luiz Morte [EMAIL PROTECTED] To: Lista de discussao do grupo FUG-BR Freebsd@fug.com.br Sent: Saturday, January 07, 2006 12:16 PM Subject: Re: [FUG-BR] LDAP Márcio Luciano Donada wrote: Pessoal, Alguém tem FreeBSD 6.0-STABLE autenticando numa base LDAP os usuários? Tem alguma doc especifica? []'s Oi Márcio, Não sei que usuários vc precisa. Eu tenho usuarios de qmail autenticando em LDAP. Se for isso e puder ajudar, da um toque. []s, Luiz Morte. ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] LDAP
Isso não funcionou muito bem pra mim não. Apesar de estar escrito isso textualmente no ports, não está em conformidade com o pam.d, mas, sim, com o pam.conf. Não sei se foi só comigo, mas tá estranha essa mensagem pós-instalação do ports... Insira dentro do serviço q vc quer autenticar com o ldap as seguintes linhas nos devidos lugares (/etc/pam.d/nome): -- (...) authsufficient /usr/local/lib/pam_ldap.so (...) accountsufficient /usr/local/lib/pam_ldap.so (...) -- Cabe lembrar que, depois de preenchida a estrutura da árvore e inseridos o usuários com os devidos atributos, vc tem que configurar os arquivos /usr/local/etc/nss_ldap.conf para o nss e /usr/local/etc/ldap.conf para o pam. E criar os arquivos .secret correspondentes... Abraços, -- aristeu - Original Message - From: Mauro Felipe [EMAIL PROTECTED] To: Lista de discussao do grupo FUG-BR Freebsd@fug.com.br Sent: Wednesday, January 11, 2006 4:28 PM Subject: Re: [FUG-BR] LDAP Eu tenho! Para isso basta instalar o pam_ldap e o nss_ldap e configurar: o /etc/pam.d/ldap Exemplo: login authsufficient /usr/local/lib/pam_ldap.so o nsswitch.conf Exemplo: group: files ldap group_compat: nis hosts: files dns networks: files passwd: files ldap passwd_compat: nis shells: files Abraços, Mauro Felipe Em 10/01/06, Aristeu Gil Alves Jr[EMAIL PROTECTED] escreveu: O howto do samba+ldap no idealx.org acho uma boa documentação pra inicio, visto que eles implementam a utilização de nss_ldap e pam_ldap autenticando os usuários posix (estes ultimos vc pega no ports). Claro smbldap-tools gera autenticação no samba e no unix, mas se vc quiser tirar ou colocar funcionalidades, fica a seu critério. Depois que criou a estrutura da sua arvore, colocar os usuários autenticando no unix, samba, qmail, squid, etc. fica fácil. Pra criar usuários do qmail, modifiquei de leve o smbldap-useradd para inserir os atributos pertinentes e fica tudo integrado, na autenticação, na inserção e deleção de usuários. abs - Original Message - From: Luiz Morte [EMAIL PROTECTED] To: Lista de discussao do grupo FUG-BR Freebsd@fug.com.br Sent: Saturday, January 07, 2006 12:16 PM Subject: Re: [FUG-BR] LDAP Márcio Luciano Donada wrote: Pessoal, Alguém tem FreeBSD 6.0-STABLE autenticando numa base LDAP os usuários? Tem alguma doc especifica? []'s Oi Márcio, Não sei que usuários vc precisa. Eu tenho usuarios de qmail autenticando em LDAP. Se for isso e puder ajudar, da um toque. []s, Luiz Morte. ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br -- [ ]´s Mauro Felipe ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Openvpn X Ipsec
Acho o OpenVPN mais portável... digo, vc pode usar com mais facilidade nas diferentes localidades remotas por rodar em cima de TCP/UDP. Tem até opção de proxy, quando usando TCP, facilitando ainda mais a vida do vivente. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: RES: Openvpn X Ipsec
Em 26/06/07, Renato Frederick[EMAIL PROTECTED] escreveu: O bsd 4 não chegou no end of life com relação a portabilidade? Tá bom, tá bom... já entendi vou ser mais pressizo da próxima vez. portável != portável Ou seja, com as aspas fica uma licença poética. :) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Teste de Storage
Em 21/06/07, Caio Viana[EMAIL PROTECTED] escreveu: foi utilizado us2 em bsd e ext3 em fedora Apenas um fs tem journal, não sei se isso influencia na gravação... Tem um site que o cara usa uma metodologia usando rawio, dd e bonnie++ pra testar o geom_gate ente outros [1]. Não sou entendido de benchmark, mas seria interessante separar a leitura da escrita, e fazer os diferentes testes para deixar o teste mais imparcial. Parabéns pela iniciativa! Abs -- Aristeu Gil Alves Jr [1] http://phaq.phunsites.net/2007/01/08/freebsd-software-raid-comparison-introduction/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] bsdstats
Marcelo, desculpe a minha ignorância, mas o que seria isso??? [2] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Loucuras do fsck
Em 03/07/07, João Paulo Just[EMAIL PROTECTED] escreveu: Então, entro no modo mono-usuário pra corrigir os erros e rodo o fsck -y em /var e /usr, um de cada vez, mas ele não acusa nenhum erro. Experimenta rodar com -f. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] coda
Em 06/07/07, Celso Viana[EMAIL PROTECTED] escreveu: Por falar em fs de rede... alguém sabe como anda a implementação do NFSv4? Já tem alguma coisa (server) para FreeBSD? Oi Celso. Vi que o NFSv4 implementa replicação tb. Parei de usar NFS faz um tempo, quando ainda estava na faculdade, e acabei perdendo um pouco as novidades dessa facilidade. Vc tem usado NFSv4? Replica legal? Como está funcionando ai? Há conflitos, como split brain, etc...? Os servidores ficam realmente independentes (antigamente, se um caia, dava m...)? E realmente, apesar do modulo do coda estar por padrão no FreeBSD, ele dá kernel panic com a aplicação user level. Os caras do coda confirmam isso, e parece terem feito uma correção que ainda não entrou no código, logo, aceito suas dicas para o NFSv4, usando replicação. Abraços -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Alta disponibilidade em Servidor Web
Em 12/07/07, Bruno Torres Viana[EMAIL PROTECTED] escreveu: Você deve instalar o servidor rsync no servidor principal, você pode criar um alias para atualizar somente o que você quer, porem se for atualizar toda a pasta, basta configurar o path. O rsync verifica tudo e atualiza somente o que foi alterado. Deixa eu ver se entendi. O CARP e o pfsync ajudariam na questão da disponibilidade em rede. Mas no ponto da disponibilidade de dados recaem algumas dúvidas. Supomos que haja uma necessidade de balanceamento, e haja escrita, tanto em arquivo quanto em banco de dados. Sendo uma hierarquia de espelhamento, com provedor e consumidor (no rsync, no geom_gate, ou outros), suponha que caia o servidor errado, a estrutura pode ser quebrada. Na minha opinião, uma boa solução teria que unir um file system distribuido para os arquivos, junto com um cluster de banco de dados, usando os mesmos servidores ou não. Enfim, como resolver algo assim? Abs -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: squid passo a passo
Em 17/07/07, Cleber Fabio dos Santos[EMAIL PROTECTED] escreveu: http://www.google.com.br/custom?domains=www.vivaolinux.com.brsitesearch=www.vivaolinux.com.brclient=pub-3535276187000580forid=1ie=ISO-8859-1oe=ISO-8859-1cof=GALT%3A%230066CC%3BGL%3A1%3BDIV%3A%2399%3BVLC%3A336633%3BAH%3Acenter%3BBGC%3AFF%3BLBGC%3AFF%3BALC%3A0066CC%3BLC%3A0066CC%3BT%3A00%3BGFNT%3A66%3BGIMP%3A66%3BLH%3A45%3BLW%3A98%3BL%3Ahttp%3A%2F%2Fwww.vivaolinux.com.br%2Fimagens%2Fbanners%2Flogo_vol_google.jpg%3BS%3Ahttp%3A%2F%2Fwww.vivaolinux.com.br%3BLP%3A1%3BFORID%3A1%3Bhl=ptq=squid+autenticadotipoBusca=0sa.x=18sa.y=5 Eh uma bela URL! =) -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] squid lento
Lutieri, Experimanta rodar com ktrace e kdump. É possivel que vejas algumas coisas diferentes ai. Abs Em 29/08/07, Lutieri G.[EMAIL PROTECTED] escreveu: Não. Não é essa a questão. O comando squid -z prepara o diretório especificado no squid.conf para fazer cache. O que eu quis dizer é que, como essa é uma operação que usa muito o disco, sem o soft-update ativo demora 2min e 44 seg para esse processo terminar. Já com o soft-update ativo nessa partição demora algo em torno de 2 segundos para concluir o mesmo processo. O meu problema agora é a velocidade de escrita. Algo em torno de 3mb/s no máximo. Tenho uma controladora LSI Logic SAS 1064. Ela tem velocidade 3Gb/s. To tentando descobrir porque tenho essa limitação na velocidade. -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: FreeBSD x Windows2003
BIP BIP BIP BIP Troll detected... - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Procedimento para atualizar PORT vulner ável
Em 21/09/07, Alexandre Biancalana[EMAIL PROTECTED] escreveu: On 9/21/07, Giancarlo Rubio [EMAIL PROTECTED] wrote: Alexandre creio q vc esta se enganando vc deve rodar apenas uma vez o portsnap para baixar a arvore do ports #portsnap fetch extract a partir dai basta vc usar #portsnap fetch update Teste ai e vc vera como ele eh mtooo mais rapido e mto mais leve (ao menos para o cliente) Ta certoo... não vamos brigar por isso, tmtowtdi[1], eu prefiro o csup ;-) O portsnap baixa o arquivão apenas na primeira vez. Depois é só as diferenças. Alem de ser mais fácil e automatizado, contém features de segurança que impedem que alguem no meio do caminho faça vc baixar um repositório feito especialmente para vc... ;) -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] desligar
Um bom assunto para uma nova thread: Título: Porque a senha não aparece? Estou com uma duvida tremenda. Começou a aparecer depois que mudei a senha pela primeira vez. Quando aparece, na inicialização, a palavra login, eu digito root. OK. Mas quando aparece password, eu digito minha senha e não aparece nada, nem os asteriscos! :( Acho que não vou mais conseguir fazer login. Devo reinstalar o servidor? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Samba-br] permissao
Se não me engano, os usuários em admin users acessam o sistema como root. Já testou com alguém fora deste grupo? [] -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW + Dummynet
Olá Welkson, Porque não usa o skipto no ipfw para que suas exceções não batam na regra? Já tentei usar o NOT em regras do Dummynet e sempre deu pau. Abcs, Jaime Cesar Jr. Em 07/11/07, Welkson Renny de Medeiros [EMAIL PROTECTED] escreveu: Eu tenho esse arquivo... já olhei ele... revisei agora a parte que você pediu, fiz mais testes, mas não consegui... tô procurando no google algum exemplo parecido com o meu, usando NOT e variáveis com vários ips... (talvez table)... -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Jean Zanuzo [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Wednesday, November 07, 2007 2:20 PM Subject: Re: [FUG-BR] IPFW + Dummynet Welkson Renny de Medeiros escreveu: Amador, fiz os testes, ficou assim: # Controle de banda (Rede FOCUS) ipfw add pipe 2 ip from any src-port 80, 110, 25, 465, 995 to not 192.168.0.200 ipfw pipe 2 config bw 100Kbit/s queue 20 mask dst-ip 0x00ff Ocorre o seguinte erro: ipfw: missing ``to'' Alessandro, sua sugestão: ipfw add pipe 2 ip from not 192.168.0.200 to not src-port 80, 110, 25, 465, 995 ipfw pipe 2 config bw 100Kbit/s queue 20 mask dst-ip 0x00ff Erro: ipfw: hostname ``src-port'' unknown Pessoal, com certeza alguém já implementou isso... limitar TODOS usuários a uma velocidade baixa, e somente alguns a uma velocidade maior... esqueçam essa regra que tentei fazer, tá meio bizarra mesmo... postem e me ajudem :-) Recomendo a leitura do man ipfw ou em portugues http://www.freebsdbrasil.com.br/fbsdbr_files/File/public_docs/ipfw-howto.pdf disponibilizado pela freebsd brasil (obrigado pelo trabalho). Olhe a seção 4.2 Controle de Interface e de Fluxo e seção 8 Fluxo do Tráfego pelo Firewall. com certeza já te ajuda um pouco Jean Zanuzo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Jaime Cesar Jr. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tamanho Disco Firewall
HD de 250? puts, meu deus, é muito importante essa questão. Com o preço da bagaça barateando, ficar economizando em HD (de tamanho básico no mercado, diga-se de passagem), é ser muito mão de vaca. No final, o camarada vai pegar um HD de dois giga duma maquina com fat e win95 e botar o firewall nela. Pense com um pouco de escalabilidade ao comprar o hardware, se dinheiro não for problema é claro. Se não, o freeba pode rodar num pentium 100 só pra filtrar pacote. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Invitation to connect on LinkedIn
LinkedIn Alfredo Tomio Jr solicitou sua adição como uma conexão no LinkedIn: -- Josué, I'd like to add you to my professional network on LinkedIn. - Alfredo Aceitar convite de Alfredo Tomio Jr http://www.linkedin.com/e/2f6eoc-glwhiwvs-l/vygvwGeYOxrKsuFfvEgzeXJJXemj7O/blk/I123197651_10/1BpC5vrmRLoRZcjkkZt5YCpnlOt3RApnhMpmdzgmhxrSNBszYMclYNdjoTej4Pcz59bT56pB9Vj55WbP0Nd3gNc3kMdz8LrCBxbOYWrSlI/EML_comm_afe/ Visualizar convite de Alfredo Tomio Jr http://www.linkedin.com/e/2f6eoc-glwhiwvs-l/vygvwGeYOxrKsuFfvEgzeXJJXemj7O/blk/I123197651_10/30NnP4RdzsVcjcOckALqnpPbOYWrSlI/svi/ -- Você sabia que pode ser o primeiro a saber quando um usuário confiável da sua rede mudar de emprego? Com as Atualizações de rede na sua página inicial do LinkedIn, você será notificado quando os usuários da sua rede mudarem de cargo. Seja o primeiro a saber e a entrar em contato! http://www.linkedin.com/ -- (c) 2011, LinkedIn Corporation - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] apache
Bom dia lista, tudo bem colegas, estou tendo problema com ataques no apache, quase todo dia estou sofrendo ataques no servidor web da empresa, gostaria de saber se tem algum jeito de bloquear o ip do atacante ... algo que depois de 5 requisicoes ele bloqueace o ip por uma 30 hora ... Antono Carlos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: apache
valeu rapazes... vou tentar a solucao com snort + iptables... assim que conseguir fazer funcionar mando um email abracos a todos Obrigado Em Seg, 2008-06-30 às 11:40 -0300, Welkson Renny de Medeiros escreveu: Você pode usar SNORT + OSSEC. OSSEC funfa com IPFW e PF. Welkson - Original Message - From: Augusto Ferronato [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, June 30, 2008 11:36 AM Subject: Re: [FUG-BR] RES: apache Tem como Snort + PF ?? Já vi Snort + IPTABLES e foi ralado pra configurar! Abs[] 2008/6/30 Gilliatt Borges Bastos [ Atrium SP Consultores ] [EMAIL PROTECTED]: Antonio Carlos, Eu acho a melhor opção nesses casos é utilizar um IDS, como o Snort, para identificar e criar uma regra dinâmica no seu firewall bloqueando o atacante. Gilliatt Borges Bastos Atrium São Paulo Consultores www.atriumsp.com.br Fone: 55 11 3049-1175 skype: gilliattbastos Msn: [EMAIL PROTECTED] P Antes de imprimir pense em seu compromisso com o Meio Ambiente e o comprometimento com os Custos As informações existentes nessa mensagem e nos arquivos anexados são para uso restrito, sendo seu sigilo protegido por lei. Caso não seja destinatário, saiba que leitura, divulgação ou cópia são proibidas. Favor apagar as informações e notificar o remetente. O uso impróprio será tratado conforme as normas da empresa e a legislação em vigor. The information contained in this message and in the attached files are restricted, and its confidentiality protected by law. In case you are not the addressee, be aware that the reading, spreading and copy of this message is unauthorized. Please, delete this message and notify the sender. The improper use of this information will be treated according the company's internal rules and legal laws. -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Jorge Petry Enviada em: segunda-feira, 30 de junho de 2008 11:16 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] apache qual firewall vc usa??? Antonio Carlos da Rocha Jr escreveu: Bom dia lista, tudo bem colegas, estou tendo problema com ataques no apache, quase todo dia estou sofrendo ataques no servidor web da empresa, gostaria de saber se tem algum jeito de bloquear o ip do atacante ... algo que depois de 5 requisicoes ele bloqueace o ip por uma 30 hora ... Antono Carlos - Histórico: [1]http://www.fug.com.br/historico/html/freebsd/ Sair da lista: [2]https://www.fug.com.br/mailman/listinfo/freebsd -- _ Jorge Petry Neto Administrador de Redes e Servidores (48) 8401-4436 [EMAIL PROTECTED] [4]www.jspnet.com.br References 1. http://www.fug.com.br/historico/html/freebsd/ 2. https://www.fug.com.br/mailman/listinfo/freebsd 3. mailto:[EMAIL PROTECTED] 4. http://www.jspnet.com.br/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
