from:"Márcio Elias"

Fiz, mais ainda assim não alterou o resultado final!!!

On Fri, Jun 24, 2016 at 5:27 PM Otavio Augusto <otavi...@gmail.com> wrote:

> Em 24 de junho de 2016 17:17, Márcio Elias <marcioel...@gmail.com>
> escreveu:
> > Então, eu faço assim:
> >
> > map INTF ip-privado -> ip-publico portmap tcp/udp 2000:5000
> > map INTF ip-privado -> ip-publico
> >
> > Desta forma ele faz o map na primeira regra para TCP/UDP usando o range
> de
> > portas, e demais protocolos na regra abaixo.
> >
> > Já tentei reescrever a segunda regra acrescentando o protocolo ICMP e
> > utilizando uma terceira regra para o restante, mais o resultado é o
> mesmo!
> >
> > On Fri, Jun 24, 2016 at 3:53 PM Otavio Augusto <otavi...@gmail.com>
> wrote:
> >
> >> Em 24 de junho de 2016 15:33, Márcio Elias <marcioel...@gmail.com>
> >> escreveu:
> >> > Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT?
> >> >
> >> > Configurei um servidor com vários IP's públicos para atender a muitos
> >> > clientes (uma espécie de CGNat para o ISP que trabalho).
> >> >
> >> > Setei um range de portas TCP/UDP para cada IP privado, para poder
> >> > identificar usuários caso necessário e tudo funcionou muito bem,
> alias,
> >> > quase tudo.
> >> >
> >> > Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não
> >> > retornam a interface com o IP privado atras do NAT, chegam na
> interface
> >> > pública mais não são traduzidos corretamente.
> >> >
> >> > O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de
> um PC
> >> > atras desse servidor de NAT eu vejo os hops até o servidor de nat,
> tenho
> >> > timeout nos demais e finalmente recebo o retorno do último hop, já que
> >> esse
> >> > não é um TTL Exceeded.
> >> >
> >> > Pode ser até maquiagem, uma vez que não reparei nenhum outro problema
> >> sério
> >> > nesses tipos de conexões, mais gostaria muito de solucionar isso.
> >> >
> >> > Alguém usando algo parecido ou com algum knowhow sobre esse ambiente
> para
> >> > dar um auxilio?
> >> > -
> >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >> Quando vc setá um range de portas para cada ip invalido vc taz nat de
> >> tcp e udp agora vc precisa de uma regra para icmp.
> >> Coloque uma regra única de icmp para cada ip publico fazendo nat para
> >> os ips que devem sair por este ip.
> >>
> >> --
> >> Otavio Augusto
> >> -
> >> Consultor de TI
> >> Citius Tecnologia
> >> 31 37761866
> >> 31 88651242
> >> http://www.citiustecnologia.com.br
> >> -
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> Esperimenta colcoarr estes ips validos  em uma interface loopback .
> --
> Otavio Augusto
> -
> Consultor de TI
> Citius Tecnologia
> 31 37761866
> 31 88651242
> http://www.citiustecnologia.com.br
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPNAT vs Traceroute

Então, eu faço assim:

map INTF ip-privado -> ip-publico portmap tcp/udp 2000:5000
map INTF ip-privado -> ip-publico

Desta forma ele faz o map na primeira regra para TCP/UDP usando o range de
portas, e demais protocolos na regra abaixo.

Já tentei reescrever a segunda regra acrescentando o protocolo ICMP e
utilizando uma terceira regra para o restante, mais o resultado é o mesmo!

On Fri, Jun 24, 2016 at 3:53 PM Otavio Augusto <otavi...@gmail.com> wrote:

> Em 24 de junho de 2016 15:33, Márcio Elias <marcioel...@gmail.com>
> escreveu:
> > Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT?
> >
> > Configurei um servidor com vários IP's públicos para atender a muitos
> > clientes (uma espécie de CGNat para o ISP que trabalho).
> >
> > Setei um range de portas TCP/UDP para cada IP privado, para poder
> > identificar usuários caso necessário e tudo funcionou muito bem, alias,
> > quase tudo.
> >
> > Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não
> > retornam a interface com o IP privado atras do NAT, chegam na interface
> > pública mais não são traduzidos corretamente.
> >
> > O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC
> > atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho
> > timeout nos demais e finalmente recebo o retorno do último hop, já que
> esse
> > não é um TTL Exceeded.
> >
> > Pode ser até maquiagem, uma vez que não reparei nenhum outro problema
> sério
> > nesses tipos de conexões, mais gostaria muito de solucionar isso.
> >
> > Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para
> > dar um auxilio?
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> Quando vc setá um range de portas para cada ip invalido vc taz nat de
> tcp e udp agora vc precisa de uma regra para icmp.
> Coloque uma regra única de icmp para cada ip publico fazendo nat para
> os ips que devem sair por este ip.
>
> --
> Otavio Augusto
> -
> Consultor de TI
> Citius Tecnologia
> 31 37761866
> 31 88651242
> http://www.citiustecnologia.com.br
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPNAT vs Traceroute

Então, eu faço assim:

map INTF ip-privado -> ip-publico portmap tcp/udp 2000:5000
map INTF ip-privado -> ip-publico

Desta forma ele faz o map na primeira regra para TCP/UDP usando o range de
portas, e demais protocolos na regra abaixo.

Já tentei reescrever a segunda regra acrescentando o protocolo ICMP e
utilizando uma terceira regra para o restante, mais o resultado é o mesmo!

On Fri, Jun 24, 2016 at 3:53 PM Otavio Augusto <otavi...@gmail.com> wrote:

> Em 24 de junho de 2016 15:33, Márcio Elias <marcioel...@gmail.com>
> escreveu:
> > Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT?
> >
> > Configurei um servidor com vários IP's públicos para atender a muitos
> > clientes (uma espécie de CGNat para o ISP que trabalho).
> >
> > Setei um range de portas TCP/UDP para cada IP privado, para poder
> > identificar usuários caso necessário e tudo funcionou muito bem, alias,
> > quase tudo.
> >
> > Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não
> > retornam a interface com o IP privado atras do NAT, chegam na interface
> > pública mais não são traduzidos corretamente.
> >
> > O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC
> > atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho
> > timeout nos demais e finalmente recebo o retorno do último hop, já que
> esse
> > não é um TTL Exceeded.
> >
> > Pode ser até maquiagem, uma vez que não reparei nenhum outro problema
> sério
> > nesses tipos de conexões, mais gostaria muito de solucionar isso.
> >
> > Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para
> > dar um auxilio?
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> Quando vc setá um range de portas para cada ip invalido vc taz nat de
> tcp e udp agora vc precisa de uma regra para icmp.
> Coloque uma regra única de icmp para cada ip publico fazendo nat para
> os ips que devem sair por este ip.
>
> --
> Otavio Augusto
> -
> Consultor de TI
> Citius Tecnologia
> 31 37761866
> 31 88651242
> http://www.citiustecnologia.com.br
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] IPNAT vs Traceroute

Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT?

Configurei um servidor com vários IP's públicos para atender a muitos
clientes (uma espécie de CGNat para o ISP que trabalho).

Setei um range de portas TCP/UDP para cada IP privado, para poder
identificar usuários caso necessário e tudo funcionou muito bem, alias,
quase tudo.

Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não
retornam a interface com o IP privado atras do NAT, chegam na interface
pública mais não são traduzidos corretamente.

O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC
atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho
timeout nos demais e finalmente recebo o retorno do último hop, já que esse
não é um TTL Exceeded.

Pode ser até maquiagem, uma vez que não reparei nenhum outro problema sério
nesses tipos de conexões, mais gostaria muito de solucionar isso.

Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para
dar um auxilio?
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Dúvida com roteamento

2016-04-14 Por tôpico Márcio Elias

Seguinte pessoal preciso montar um cenário e não estou vendo como, por isso
peço a ajuda dos colegas.

Trabalho em um ISP e temos muitos clientes autenticados via PPPoE, porém
não temos IPv4 suficientes para todos (já entregamos IPv6, pena que o
conteúdo disponível seja tão pequeno ainda).

Bom para resolver esse problema é inevitável o uso do NAT. Nossos
concentradores de acesso são CCR's 1036, e para não sobrecarregar a mesma
com NAT, estou setando uma rota default para um servidor FreeBSD, onde é
feito o NAT.

Até ai tudo certo, o que ocorre é que não posso inundar esse servidor com
usuários (embora ele suporte) por que vou começar a ter dores de cabeça com
acesso a alguns serviços por partes dos usuários saindo todos pelo mesmo IP
Público.

Pensando nisso estou tentando formular um laboratório onde este mesmo
servidor tenha:

em0 - conectada ao BRAS (LAN para os usuários).
nas demais interfaces (VLAN's provavelmente) gostaria de adicionar
diferentes IP's públicos e se possível balancear a saída por estes outros
endereços (provavelmente usando probation).

Estou fazendo o NAT diretamente no IPFW (não tenho conhecimento em PF) e
não uso NATD (por motivos de performance).

Alguém já fez algo parecido, já ouviu falar, pode me dar um norte?

O que tentei foi criar diversas VLAN's, com IP's de classes /30 com o
router de borda, adicionei uma tabela fib para cada interface com um
gateway para cada uma, o que está pegando é fazer o IPFW-NAT funcionar
nisso.

Qualquer ajuda é bem vinda.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] MPLS qual BSD utilizar?

2015-05-21 Por tôpico Márcio Elias

Ta ai uma coisa que eu conto as horas pra ver funcionando, mais não sei por
que isso não sai...

On Thu, May 21, 2015 at 4:09 PM Fabricio Lima lis...@fabriciolima.com.br
wrote:

 acho q alem desta q vc citou, so http://bird.mpls.in/

 [ ]'s
 Fabricio Lima
 Sendmail administration is not black magic. There are legitimate technical
 reasons why it requires the sacrifice of a live chicken.

 Em 21 de maio de 2015 14:42, Felipe N. Oliva fel...@felipeoliva.eti.br
 escreveu:

  Boa tarde senhores,
 
  Quero começar a trabalhar com MPLS, mas não quero abrir mão dos BSD's.
 
  Infelizmente o capetinha não esta pronto ainda: http://freebsd.mpls.in
  (se estou errado me corrijam)
 
  Pois bem, pelo que li ate agora as alternativas são OpenBSD e NetBSD.
 
  Estou tentado utilizar OpenBSD, mas gostaria de saber se alguém roda em
  produção algo do tipo ou não e o mais importante, o motivo.
 
  Comecei a testar o OpenBSD e o release já tem um bugzinho quando vai
  configurar a label, mas no ultimo snapshot esta corrigido.
 
  Agora lógico, se existe uma alternativa no FreeBSD, quero utilizar.
 
  O que me dizem?
 
  Att,
 
  --
  Felipe N. Oliva
  Administração de Redes e Sistemas
  Skype: felipe.no88
 
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] FreeBSD e XenServer

2015-05-18 Por tôpico Márcio Elias

Opa,

Eu uso vários guests FreeBSD virtualizados no XenServer, quanto a USB, o
máximo que faço é colocar um pendrive no host e mapear ele no Free sem
problemas.

Qual a sua finalidade em rodar este ambiente?

On Sun, May 17, 2015 at 8:13 PM Samuel . lista.freebsd.bra...@outlook.com
wrote:

 Olá Lista!
 Alguém tem um caso de sucesso?
 Como anda a compatibilidade de USB com sistemas FreeBSD/Linux/Windows
 virtualizados ?






 Att,
 Samuel .Rio Grande do Sul - RS
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] MIPS64 500MHZ no FreeBSD e Pfsense 2.2

2015-04-28 Por tôpico Márcio Elias

Sim Thiago, entendi, mais a base do pfSense é FreeBSD, e o mesmo roda legal
neste hardware. Basta apenas uma compilação por parte dos desenvolvedores.

Mas no meu caso, que prefiro o FreeBSD puro, estou testando aqui. É um
achado um hardware destes rodar o Free redondinho.

On Tue, Apr 28, 2015 at 11:25 AM Thiago Gomes thiagome...@gmail.com wrote:

 
  Pode ser que tenhamos novidades em ARM no pfSense num futuro próximo,
 mas MIPS vai ter que esperar um pouco.
 

 ARM seria algo com os MK ?? onde vc observou o bug para MIPS, pq digo
 isso que alguns estão rodando o freebsd em edge router.


 --
 Thiago Gomes
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] MIPS64 500MHZ no FreeBSD e Pfsense 2.2

2015-04-28 Por tôpico Márcio Elias

Que tal?

http://rtfm.net/FreeBSD/ERL/#build

On Tue, Apr 28, 2015 at 7:10 AM Thiago Gomes thiagome...@gmail.com wrote:

 Alguma novidade sobre pfsense em uma MIPS/Edge router ?
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] FreeBSD x natd x Xenserver

2015-03-24 Por tôpico Márcio Elias

Não creio seja isso, uma vez que ele consegue comunicação ICMP.

Acredito que o problema seja do Layer 5 acima, talvez até Layer 8 rsrs

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel:   (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve

2015-03-24 17:07 GMT-03:00 Victório v...@wa.pro.br:

 On 24-03-2015 16:03, Marcelo da Silva wrote:

 fiz uma instalacao  virtualizada do freebsd10.1 amd64 em um Xenserver 6.2

 para usar como proxy/nat/cache da minha rede interna..

 Ta acontecendo algo estranho que não estou axando resposta.


 Neste xen server tem 4 interfaces de rede, e tem outros servidores
 virtualizado, web, dns.

 a primeira interface do xen esta disponivel para todos os servers e estao
 na mesma rede logica, 186.x.x.0/25
 para o server freebsd esta disponivel 2 interfaces e primeira que tem o
 ip valido
 e a ultima que tem ip invalido e ta em outro switch que vai para minha
 rede interna.

 os pc da rede interna funciona quase tudu normal, exceto que nao consigo
 acessar nada em servidores que
 estao virtualizados no mesmo xenserver, até pinga normalmente., mas nao
 acessa nenhum servico ( ssh, web, ftp, etc )

 Alguem tem alguma ideia  do que pode ser ? ( nao é firewall )
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


 Se o IP do seu servidor FreeBSD é do mesmo bloco 186.x.x.0/25, então essa
 interface (virtual) tem que estar na mesma bridge que estão os outros
 servidores.

 Eu não consegui entender bem o cenário, mas pelo que eu entendi, acho que
 o problema é esse.

 att.

 --
 Victório


 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvida NAS, freebsd + zfs , freenas ou nas4free

2015-03-22 Por tôpico Márcio Elias

Tenho o FreeNAS rodando a mais de um ano em um Storage Webster. Uso iSCSI e
hypervisor o XenServer

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel:   (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve

2015-03-22 12:51 GMT-03:00 mantunes mantunes.lis...@gmail.com:

 o uso o nas4free sem nenhum problema.. usei o freenas, porem depois
 que mudou a interface achei mais complicado



 --
 Marcio Antunes
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Homenagem Irado furioso com tudo

2014-12-04 Por tôpico Márcio Elias

Baita homenagem.

Eu que fiquei estarrecido. Nunca o conheci, nem nunca nos falamos
diretamente, mais lá pras bandas de 2003/2006 quando eu era uma
SlackManíaco e participava muito do VOL (mais como aprendiz do que tutor),
sempre gostei das respostas dele. Depois me apaixonei pelo BSD e lá estava
ele na FUG novamente.

Ando trabalhando tanto e participando tão pouco da lista e da comunidade
como um todo que sou sincero ao dizer que não fazia ideia que o tínhamos
perdido, ainda mais a tanto tempo. Parece um Deja'vu mais eu lembro da
assinatura dele em posts que me vem na memória como tão recentes.


-- 
Att.
__
Márcio Elias Hahn do Nascimento

Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel:   (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve

2014-12-04 22:23 GMT-02:00 Joao Rocha Braga Filho goffr...@gmail.com:

 2014-12-04 12:35 GMT-02:00 Patrick Tracanelli eks...@freebsdbrasil.com.br
 :

  Hoje eu sem querer cai numa thread de 2004 onde o Irado dava uma das suas
  sarcásticas e divertidas respostas. E resolvi que ja tinha passado da
 hora
  de fazer uma homenagem permanente a ele.
 
  Atualizei no site da FreeBSD Brasil. Estou compartilhando pq reproduzi
  algumas citações então se alguém quiser que eu remova, pvt-me.
 
  http://www.freebsdbrasil.com.br/home.php?area=1conteudo=54sub=99
 
  Esse mes tem 3 anos que demos falta do Irado aqui na FUG, tem muita gente
  nova aqui que provavelmente não teve o prazer da convivência então espero
  que essa homenagem ajude a fazer jus à memória do grande Irado. E como a
  FUG ficou mais séria (aka,  menos divertida/sarcástica) nesses últimas 3
  anos né? :-(
 

 Boa ideia homenagear ele.

 Era legal ver as mensagens dele na lista. Faz falta.



 Abraços,
 João.

 PS: Desculpe-me por estar meio sumido. Ando ocupado trabalhando como
 programador
 C em ambiente Linux com estação Windows. Mas em casa, no meu Desktop, e no
 meu
 notebook, uso FreeBSD.




  Abraços.
 
  --
  Patrick Tracanelli
 
  FreeBSD Brasil LTDA.
  Tel.: (31) 3516-0800
  316...@sip.freebsdbrasil.com.br
  http://www.freebsdbrasil.com.br
  Long live Hanin Elias, Kim Deal!
 
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 



 --
 Sempre se apanha mais com as menores besteiras. Experiência própria.

 http://jgoffredo.blogspot.com
 goffr...@gmail.com
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] ipfw nat in-kernel FreeBSD 9.2

Bom dia pessoal, devido a um problema com Pipe + MAC Address no FreeBSD 10
para controle de upload (thread antiga aqui), estou fazendo testes na
versão 9.2 do Nat do IPFW usando libalias.

Pois bem, independentemente das demais regras (testei somente com as de
NAT) o comportamento no FreeBSD 9.2 ficou diferente do FreeBSD 10.

Considerem o seguinte:

ipfw nat 123 config if WAN_IF log
ipfw add 50 nat 123 ip from any to me in recv WAN_IF
ipfw add 51 nat 123 ip from 192.168.0.0/16 to any out xmit WAN_IF
ipfw add 52 nat 123 ip from 172.16.1.0/24 to any out xmit WAN_IF
ipfw add 65000 allow ip from any to any

Pois bem, esse cenário na versão 10 funciona, mais na 9 não, todos os
pacotes incrementam somente a regra 50, mesmo que eu tente acessar o
endereço IP configurado na interface WAN.

outros detalhes
sysctl: net.inet.ip.forwarding=1
net.inet.ip.fastforwarding=1
net.inet.ip.fw.one_pass=1

kernel:
options IPFIREWALL
options IPFIREWALL_FORWARD #(somente no 9, no 10 não existe)
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_DEFAULT_TO_ACCEPT
options DUMMYNET
options DEVICE_POLLING
options HZ=1000
options IPFIREWALL_NAT
options LIBALIAS

Alguma ideia de como configurar essas regras de NAT usando IPFW no FreeBSD
9?



-- 
Att.
__
Márcio Elias Hahn do Nascimento

Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel:   (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw nat in-kernel FreeBSD 9.2

Fabricio, eu uso o divert em alguns cases (mais de 20), só que o consumo de
cpu e a latência conforme a banda consumida e o número de sub-redes com
alias na placa interna aumenta está ficando inviável.

A tentativa de utilizar essa forma de NAT é reduzir esse consumo de CPU e
também manter uma latência mais baixa na rede.

Já tentei com one_pass 1 e 0.

Estava testando o FreeBSD 10.1 RC4 para ver se ainda tinha o bug do MAC com
PIPE mais o mesmo está dando kernel panic assim que eu ativo o dummynet
para controlar a banda (subo as regras do firewall).

Vejo relatos deste nat usando libalias deste a versão 8, deve ser algum
tratamento diferenciado nos pacotes que obriga a criação de regras de nat
diferentes na versão 9, e por isso esteja errando, mais não encontrei a
lógica correta.

Vi alguns usuários usando duas FIBs, mais não sei se isso seria necessário.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel:   (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve

2014-11-11 12:13 GMT-02:00 Fabricio Lima lis...@fabriciolima.com.br:

 Talvez o divert natd seja o q esteja funcionando no seu script

 add divert natd all from 192.168.0.0/16 to any via wan0

 eu costumava usar assim, inclusive com pipes.

 mas o seu one_pass está me fazendo refletir se deveria ser setado em 1 ou
 nao...


 [ ]'s
 Fabricio Lima
 When your hammer is C++, everything begins to look like a thumb.

 Em 11 de novembro de 2014 11:37, Márcio Elias marcioel...@gmail.com
 escreveu:

  Bom dia pessoal, devido a um problema com Pipe + MAC Address no FreeBSD
 10
  para controle de upload (thread antiga aqui), estou fazendo testes na
  versão 9.2 do Nat do IPFW usando libalias.
 
  Pois bem, independentemente das demais regras (testei somente com as de
  NAT) o comportamento no FreeBSD 9.2 ficou diferente do FreeBSD 10.
 
  Considerem o seguinte:
 
  ipfw nat 123 config if WAN_IF log
  ipfw add 50 nat 123 ip from any to me in recv WAN_IF
  ipfw add 51 nat 123 ip from 192.168.0.0/16 to any out xmit WAN_IF
  ipfw add 52 nat 123 ip from 172.16.1.0/24 to any out xmit WAN_IF
  ipfw add 65000 allow ip from any to any
 
  Pois bem, esse cenário na versão 10 funciona, mais na 9 não, todos os
  pacotes incrementam somente a regra 50, mesmo que eu tente acessar o
  endereço IP configurado na interface WAN.
 
  outros detalhes
  sysctl: net.inet.ip.forwarding=1
  net.inet.ip.fastforwarding=1
  net.inet.ip.fw.one_pass=1
 
  kernel:
  options IPFIREWALL
  options IPFIREWALL_FORWARD #(somente no 9, no 10 não existe)
  options IPFIREWALL_VERBOSE
  options IPFIREWALL_VERBOSE_LIMIT=100
  options IPFIREWALL_DEFAULT_TO_ACCEPT
  options DUMMYNET
  options DEVICE_POLLING
  options HZ=1000
  options IPFIREWALL_NAT
  options LIBALIAS
 
  Alguma ideia de como configurar essas regras de NAT usando IPFW no
 FreeBSD
  9?
 
 
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Bacharel em Tecnologias da Informação e Comunicação - TIC
  Cel:   (55) 48-8469-1819
  Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
  Skype: marcioeliash...@hotmail.com
  FreeBSD - The Power To Serve
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Saiu o 10.1R no releng/10.1

Testes que eu fiz com a versão 10.1-RC4, se alguem puder fazer algo
semelhante no PRERELEASE pra ver se o resultado é o mesmo.

Options no Kernel:

options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_DEFAULT_TO_ACCEPT
options DUMMYNET
options DEVICE_POLLING
options HZ=1000
options IPFIREWALL_NAT
options LIBALIAS

Variáveis sysctl:
sysctl net.inet.ip.forwarding=1
sysctl net.inet.ip.fastforwarding=1
sysctl net.inet.ip.fw.one_pass=1
sysctl net.link.ether.ipfw=1
sysctl net.inet.ip.dummynet.pipe_slot_limit=4096


Regras de Firewall:
ipfw -f flush
ipfw pipe -f flush
ipfw nat -f flush

ipfw pipe 10 config bw 10Mbps
ipfw pipe 20 config bw 10Mbps

ipfw nat 123 config if xn0 log

ipfw add 50 nat 123 ip from any to me in recv WAN_IF
ipfw add 51 nat 123 ip from 172.16.1.0/24 to any out xmit WAN_IF

ipfw add 100 pipe 10 ip from any to 172.16.1.2 MAC xx:xx:xx:xx:xx:xx any
ipfw add 110 pipe 20 ip from 172.16.1.2 to any MAC any xx:xx:xx:xx:xx:xx
ipfw add 120 allow ip from any to 172.16.1.2 not layer2
ipfw add 130 allow ip from 172.16.1.2 to any not layer2


Configuração da rede:
onde o IP da placa conectada a rede interna é: 172.16.1.1/24, o IP do
cliente é 172.16.1.2 e o MAC da interface do cliente é xx:xx:xx:xx:xx:xx


Aqui está o resultado:

Nov 11 14:29:12 freebsd101 kernel:
Nov 11 14:29:12 freebsd101 kernel:
Nov 11 14:29:12 freebsd101 kernel: Fatal trap 12: page fault while in
kernel mode
Nov 11 14:29:12 freebsd101 kernel:
Nov 11 14:29:12 freebsd101 kernel: cpuid = 0;
Nov 11 14:29:12 freebsd101 kernel: apic id = 00
Nov 11 14:29:12 freebsd101 kernel: Fatal trap 12: page fault while in
kernel mode
Nov 11 14:29:12 freebsd101 kernel: fault virtual address= 0x188
Nov 11 14:29:12 freebsd101 kernel: cpuid = 3; fault code=
supervisor read data, page not present
Nov 11 14:29:12 freebsd101 kernel: apic id = 06
Nov 11 14:29:12 freebsd101 kernel: instruction pointer  =
0x20:0x809f0b1f
Nov 11 14:29:12 freebsd101 kernel: fault virtual address= 0x188
Nov 11 14:29:12 freebsd101 kernel: stack pointer=
0x28:0xfe003d0a5a90
Nov 11 14:29:12 freebsd101 kernel: fault code   = supervisor read
data, page not present
Nov 11 14:29:12 freebsd101 kernel: frame pointer=
0x28:0xfe003d0a5ab0
Nov 11 14:29:12 freebsd101 kernel: instruction pointer  =
0x20:0x809f0b1f
Nov 11 14:29:12 freebsd101 kernel: code segment = base 0x0, limit
0xf, type 0x1b
Nov 11 14:29:12 freebsd101 kernel: stack pointer=
0x28:0xfe003d1fe640
Nov 11 14:29:12 freebsd101 kernel: = DPL 0, pres 1, long 1, def32 0, gran 1
Nov 11 14:29:12 freebsd101 kernel: frame pointer=
0x28:0xfe003d1fe660
Nov 11 14:29:12 freebsd101 kernel: processor eflags = code segment
 = base 0x0, limit 0xf, type 0x1b
Nov 11 14:29:12 freebsd101 kernel: interrupt enabled,   =
DPL 0, pres 1, long 1, def32 0, gran 1

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel:   (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve

On Tue, Nov 11, 2014 at 1:15 PM, Tiago Ribeiro sha...@gmail.com wrote:


  Em 11/11/2014, à(s) 12:05, Marcelo Gondim gon...@bsdinfo.com.br
 escreveu:
 
  On 11/11/2014 11:07, Paulo Henrique - BSDs Brasil wrote:
 
  Em 11/11/2014 10:42, Marcelo Gondim escreveu:
  Ainda não é oficial mas se nada absurdo acontecer rsrsrsr o 10.1R já
 pode ser atualizado à partir da árvore releng/10.1 através do svn. :)
 
  []´s
  Gondim
 
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 

 O STABLE está ainda como PRERELEASE

 root@fw:/usr/src # svnlite info
 Path: .
 Working Copy Root Path: /usr/src
 URL: svn://svn.freebsd.org/base/stable/10
 Relative URL: ^/stable/10
 Repository Root: svn://svn.freebsd.org/base
 Repository UUID: ccf9f872-aa2e-dd11-9fc8-001c23d0bc1f
 Revision: 274379
 Node Kind: directory
 Schedule: normal
 Last Changed Author: kib
 Last Changed Rev: 274375
 Last Changed Date: 2014-11-11 09:06:10 -0200 (Tue, 11 Nov 2014)

 root@fw:/usr/src # uname -sr
 FreeBSD 10.1-PRERELEASE


 --
 www.bsdjf.com.br




 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw nat in-kernel FreeBSD 9.2

Entendi...

seu objetivo (q estaria causando o kernel panic) é o MAC + pipes

Não dá Kernel Panic no 9.2, somente no 10.1, no 10 simplesmente não há
navegação, nem com MAC nem com IP direto.

Sobre PPPoE é meu futuro, estou caminhando para isso mais são muitos
clientes e tenho muitos concentradores que preciso otimizar antes de tudo
virar PPPoE.

Estamos falando de 600 aliases de IP em média por concentrador, e de até
uns 60Mb de banda.

Eu já uso o que vc sugeriu, DHCP por MAC + IPFW + dummynet + scripts. O
problema de deixar o IP atrelado somente ao DHCP é que algum usuário mal
intencionado pode setar um IP manualmente de alguma subrede roteada e sair
navegando. Ou seja, eu limito a banda ao IP e ao MAC atrelados.


2014-11-11 15:31 GMT-02:00 Fabricio Lima lis...@fabriciolima.com.br:

 Entendi...

 seu objetivo (q estaria causando o kernel panic) é o MAC + pipes

 Duvida:

 -sem as regras de mac address, está tudo carregando normal ne? (pipes por
 IP) e baixa cpu?

 -pra estar gerando tanta carga na cpu assim, qual o throughput q estamos
 falando? (pra saber se a alta demanda de cpu é a filtragem dos MAC, ou o
 dummynet em si)  geralmente eu nao tinha problemas de cpu qndo usava, mas
 eram poucos clientes aplicados dummynet.

 tenta refazer suas regras em pf (mas ele so suporta filtragem por mac
 operando como bridge)
 ou poderia cogitar migrar os usuarios para pppoe, levantando um servidor de
 pppoe na sua ponta.

 se tudo mais falhar, poderia usar uma integraçao dhcp + reserva por mac +
 dummynet + script levantando o firewall pra este ip dinamicamente,
 validando a origem do mac, e aplicando sua limitaçao de banda por IP ao
 inves de mac.

 ou seja, caso nao resolva, tem 2 paleativos pra vc fugir da alta cpu, com
 outras soluçoes. ou refazendo em outro fw.  mas nao esqueça de responder as
 perguntas acima.

 [ ]'s
 Fabricio Lima
 When your hammer is C++, everything begins to look like a thumb.

 Em 11 de novembro de 2014 14:36, Márcio Elias marcioel...@gmail.com
 escreveu:

  Fabricio, eu uso o divert em alguns cases (mais de 20), só que o consumo
 de
  cpu e a latência conforme a banda consumida e o número de sub-redes com
  alias na placa interna aumenta está ficando inviável.
 
  A tentativa de utilizar essa forma de NAT é reduzir esse consumo de CPU e
  também manter uma latência mais baixa na rede.
 
  Já tentei com one_pass 1 e 0.
 
  Estava testando o FreeBSD 10.1 RC4 para ver se ainda tinha o bug do MAC
 com
  PIPE mais o mesmo está dando kernel panic assim que eu ativo o dummynet
  para controlar a banda (subo as regras do firewall).
 
  Vejo relatos deste nat usando libalias deste a versão 8, deve ser algum
  tratamento diferenciado nos pacotes que obriga a criação de regras de nat
  diferentes na versão 9, e por isso esteja errando, mais não encontrei a
  lógica correta.
 
  Vi alguns usuários usando duas FIBs, mais não sei se isso seria
 necessário.
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Bacharel em Tecnologias da Informação e Comunicação - TIC
  Cel:   (55) 48-8469-1819
  Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
  Skype: marcioeliash...@hotmail.com
  FreeBSD - The Power To Serve
 
  2014-11-11 12:13 GMT-02:00 Fabricio Lima lis...@fabriciolima.com.br:
 
   Talvez o divert natd seja o q esteja funcionando no seu script
  
   add divert natd all from 192.168.0.0/16 to any via wan0
  
   eu costumava usar assim, inclusive com pipes.
  
   mas o seu one_pass está me fazendo refletir se deveria ser setado em 1
 ou
   nao...
  
  
   [ ]'s
   Fabricio Lima
   When your hammer is C++, everything begins to look like a thumb.
  
   Em 11 de novembro de 2014 11:37, Márcio Elias marcioel...@gmail.com
   escreveu:
  
Bom dia pessoal, devido a um problema com Pipe + MAC Address no
 FreeBSD
   10
para controle de upload (thread antiga aqui), estou fazendo testes na
versão 9.2 do Nat do IPFW usando libalias.
   
Pois bem, independentemente das demais regras (testei somente com as
 de
NAT) o comportamento no FreeBSD 9.2 ficou diferente do FreeBSD 10.
   
Considerem o seguinte:
   
ipfw nat 123 config if WAN_IF log
ipfw add 50 nat 123 ip from any to me in recv WAN_IF
ipfw add 51 nat 123 ip from 192.168.0.0/16 to any out xmit WAN_IF
ipfw add 52 nat 123 ip from 172.16.1.0/24 to any out xmit WAN_IF
ipfw add 65000 allow ip from any to any
   
Pois bem, esse cenário na versão 10 funciona, mais na 9 não, todos os
pacotes incrementam somente a regra 50, mesmo que eu tente acessar o
endereço IP configurado na interface WAN.
   
outros detalhes
sysctl: net.inet.ip.forwarding=1
net.inet.ip.fastforwarding=1
net.inet.ip.fw.one_pass=1
   
kernel:
options IPFIREWALL
options IPFIREWALL_FORWARD #(somente no 9, no 10 não existe)
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options

Re: [FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address

2014-11-10 Por tôpico Márcio Elias

Boa tarde.

Desculpem reabrir este tópico, mais alguém tem alguma novidade neste
assunto?

Hoje perdi algumas horas novamente tentando atualizar o FreeBSD 9 para o
10-RELEASE e caí no mesmo problema, tanto que nem lembrava mais disso e ai
cai aqui nesta thread aberta por mim mesmo com o mesmo problema.

Enfim, agora estou migrando de NATD para in-Kernel NAT, mais o problema do
controle de MAC para Pipes configurados como Upload está o mesmo.

Será que o pessoal do desenvolvimento ficou a par deste bug?

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel:   (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve

2014-02-14 9:47 GMT-02:00 Márcio Elias marcioel...@gmail.com:

 2014-02-14 2:08 GMT-02:00 Marcelo Gondim gon...@bsdinfo.com.br:

 Em 14/02/14 00:09, Márcio Elias escreveu:
  2014-02-13 15:24 GMT-02:00 Marcelo Gondim gon...@bsdinfo.com.br:
 
  Em 13/02/14 11:31, Márcio Elias escreveu:
  2014-02-12 23:59 GMT-02:00 Márcio Elias marcioel...@gmail.com:
 
  2014-02-12 23:42 GMT-02:00 Renato Frederick ren...@frederick.eti.br
 :
 
  Em 12/02/14 23:31, Márcio Elias escreveu:
  Se funcionar, antes de relatar como BUG ainda vou fazer mais um
 teste,
  excluindo e recriando a máquina virtual da versão 10, pra realmente
  descartar qualquer possibilidade de erro de  configuração.
  Se puder virtualizar em vmware e mandar o feedback prá nós, fico
  agradecido!
  -
 
  Não tenho VMWare aqui fera, soh que eu instale a versão Desktop na
 minha
  máquina e faça os testes, o difícil vai ser tempo pra isso.
 
  Se alguém tiver um ambiente que possa testar, mando o conjunto de
  configurações/regras mínimas que estou usando pra ver se funciona.
 
 
  Infelizmente tenho os resultados dos testes realizados em uma máquina
  real
  com FreeBSD 10-release.
 
  O resultado foi o mesmo da máquina virtualizada, não sei por que mais
 ao
  jogar o tráfego de upload para o pipe, o cliente não navega mais...
 
  *00100  2786 1389706 divert 8668 ip from any to me in recv re0*
  *00200  1796  444771 divert 8668 ip from 192.168.0.0/16
  http://192.168.0.0/16 to any out xmit re0*
  *00300  1621 1013920 pipe 150 ip from any to 192.168.5.18
  MAC XX:XX:XX:XX:XX:XX any*
  *--- 00400   534   74471 pipe 155 ip from 192.168.5.18 to any
  ##aqui
  tinha controle de MAC, mais testei sem e mesmo assim não foi*
  *65535 19188 6448077 allow ip from any to any*
 
  Não acredito que seja um BUG, deve ter mudado alguma coisa com o
 FreeBSD
  10, alguém ai tem a oportunidade de reproduzir esse teste?
 
  Marcio fiz um teste aqui e deu o mesmo erro também. Mandei até um
 e-mail
  pros caras explicando. Aí fui fazer o mesmo teste entrando com as
 regras
  manualmente e acho que descobri o problema.
 
  Quando rodo as regras através do script não aparece o erro que dá na
  hora do pipe. Minhas regras de teste:
 
  ipfw add pipe 1 ip from 67.xxx.89.78 to any 80 out via xn0
  ipfw add pipe 2 ip from any 80 to 67.xxx.89.78 in via xn0
  ipfw pipe 1 config bw 1024Kbit/s queue 128 burst 2M
  ipfw pipe 2 config bw 1024Kbit/s queue 128 burst 2M
 
  Rodando as 2 do pipe manualmente deu a mensagem abaixo que a queue size
  tinha que ser maior igual à 2 e menor igual à 100. Refiz a regra usando
  queue com 100 e funcionou normalmente. Existe uma sysctl que permite
  aumentar o valor da queue: net.inet.ip.dummynet.pipe_slot_limit onde
  posso aumentar para 128 e aí minhas regras também funcionariam. Por um
  acaso não é isso que está acontecendo contigo?
 
  # ipfw pipe 1 config bw 1024Kbit/s queue 128 burst 2M
  ipfw: 2 = queue size = 100
 
  # ipfw pipe 2 config bw 1024Kbit/s queue 128 burst 2M
  ipfw: 2 = queue size = 100
 
  []'s
  Gondim
  -
 
 
  Humm, mais eu não estou configurando o pipe desta forma, estou
  especificando somente a largura de banda, veja como estou fazendo:
 
  ipfw pipe 1 config bw 10Mbits#exemplo para um pipe de 10M
 
  Outra coisa é que para o meu caso não especifico portas, todo o tráfego
  passa por esse pipe, isso é o que uso para limitar a velocidade
 contratada
  pelos clientes, por isso tenho um pipe de up e um de down pra cada
 cliente.
 
  Será que é o mesmo caso?
 
 Eu coloquei a porta específica apenas para fazer um teste, porque senão
 poderia travar meu acesso remoto naquela VM, aí para não correr o risco,
 fiz somente com a porta 80.  :)
 Pro controle ficar legal é bom setar a queue que seria a velocidade / 8
 que no seu caso daria uma queue de 1280 mas aí você precisa setar o
 net.inet.ip.dummynet.pipe_slot_limit para 1280.

 Quando você seta o seu pipe... o que aparece quando você faz: ipfw pipe
 show  ?

 No meu caso deu o problema porque os pipes não carregavam, não apareciam
 no comando acima.

 []'s
 Gondim
 


 Fica assim por exemplo:

 [root@teste /home/sulonline]# ipfw

Re: [FUG-BR] [Off Topic] BGP Balanceamento

2014-09-09 Por tôpico Márcio Elias

Tinha essa mesma ideia até ontem me dizerem que vão me provar a existência
de melhores Opções (AS-Path?). Alguém poderia me dizer qual a recomendação
global de balanceamento de download, segundo as boas práticas,
recomendações dos principais fabricantes (Cisco, Juniper, etc) é realmente
a diferenciação de prefixos anunciados entre operadoras (mais e menos
específicos)?

Atualmente essa é a solução que usamos aqui na empresa.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel:   (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve

2014-09-09 14:45 GMT-03:00 Eduardo Schoedler lis...@esds.com.br:

 Em 9 de setembro de 2014 13:57, Luis ...@gmail.com escreveu:
  Pessoal,
 
  Preciso de algumas dicas, devido a limitação de velocidade do meu
 provedor
  ( OP_A ) em minha regiao,
  contratamos um link com outra operadora ( OP_B ) ambos os link's são de
  mesma velocidade.
 
  Nossa configuração BGP até o momento é básica, pois, publicamos toda rede
  em unica operadora ( OP_A ).
 
  Precisamos publicar as redes, se possível balancear o tráfego de saída.
 
  Com a contatação do segundo link, também adquirimos um novo roteador para
  rodar os dois link's no
  mesmo roteador e estou enfrentando algumas dificuldades que em somente um
  link nao tive.
 
  Rota default com a operadora é necessário deixar?Pois quando tiro a rota
  não consigo navegar.
 
 
  No momento estou usando somente a operadora OP_A.
 
  Segue abaixo a configuração do roteador com ip's simbólicos. Implementei
  outros filtros no entanto em testes acabei retirando, por exemplo,
  route-map especifico com prepend, mas nao consegui balancear o tráfego.
 
  Conf Atual==
 
  interface FastEthernet 0/0
   description Conexao - OP_A
   ip address 10.1.1.2 255.255.255.252
 
  interface FastEthernet 2/0
   description Conexao - OP_B
   ip address 11.1.1.2 255.255.255.252
 
  router bgp 2
   bgp log-neighbor-changes
   neighbor OP_A peer-group
   neighbor OP_A remote-as 1
   neighbor OP_B peer-group
   neighbor OP_B remote-as 3000
   neighbor 10.1.1.1 peer-group OP_A
   neighbor 11.1.1.1 peer-group OP_B
   !
   address-family ipv4
neighbor OP_A soft-reconfiguration inbound
neighbor OP_A prefix-list REDES-BLOQUEADAS in
neighbor OP_A prefix-list REDES-BLOQUEADAS out
neighbor OP_A route-map OP_A-IN in
neighbor OP_B soft-reconfiguration inbound
neighbor OP_B prefix-list REDES-BLOQUEADAS in
neighbor OP_B prefix-list REDES-BLOQUEADAS out
neighbor OP_B route-map OP_B-IN in
neighbor 10.1.1.1 activate
neighbor 11.1.1.1 activate
no auto-summary
no synchronization
network 192.168.0.0 mask 255.255.252.0
network 192.168.0.0 mask 255.255.254.0
network 192.168.2.0 mask 255.255.254.0
   exit-address-family
 
  !
 
 
  ip prefix-list BLOCO_DIVIDIDO_1_23 seq 5 permit 192.168.0.0/23
  !
  ip prefix-list BLOCO_DIVIDIDO_2_23 seq 5 permit 192.168.2.0/23
  !
  ip prefix-list BLOCO_INTEIRO_22 seq 5 permit 192.168.0.0/22
  !
 
  route-map OP_B-IN permit 10
  !
  route-map OP_A-IN permit 10
  !
  route-map OP_B-OUT permit 10
   match ip address prefix-list BLOCO_INTEIRO_22 BLOCO_DIVIDIDO_2_23
  BLOCO_DIVIDIDO_1_23
  !
  route-map OP_A-OUT permit 10
   match ip address prefix-list BLOCO_INTEIRO_22  BLOCO_DIVIDIDO_2_23
  BLOCO_DIVIDIDO_1_23
 
  ip prefix-list REDES-BLOQUEADAS description REDES NAO AUTORIZADAS
  ip prefix-list REDES-BLOQUEADAS seq 5 deny 99.99.99.0/24 le 32
  ip prefix-list REDES-BLOQUEADAS seq 10 deny 99.99.98.0/24 le 32
  ip prefix-list REDES-BLOQUEADAS seq 15 deny 99.99.97.0/24 le 32
  ip prefix-list REDES-BLOQUEADAS seq 20 deny 99.99.96.0/24 le 32
  ip prefix-list REDES-BLOQUEADAS seq 25 permit 0.0.0.0/0 le 24
 
  ip route 192.168.0.0 255.255.255.254 null 0 name Rota-BGP
 
  ip route 0.0.0.0 0.0.0.0 10.1.1.1 name Rota-OP_A
  ip route 0.0.0.0 0.0.0.0 11.1.1.1 name Rota-OP_B
  =

 Sugiro postar tuas dúvidas de BGP na lista GTER.
 Para adiantar, balanceamento de download é feito por anúncio de
 prefixos mais específicos em um determinado circuito.
 Balanceamento de upload é feito por local-pref.


 --
 Eduardo Schoedler
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] freenas + link agregation + virtualização

2014-06-17 Por tôpico Márcio Elias

Cara, tenho o mesmo ambiente, tentei usar LACP com um Switch PC6248 e Jumbo
Frames, não ficou legal, tentei de todas as formas, mais o link hora não
subia outra hora caia, por fim acabei deixando sem o Jumbo Frame
habilitado. Acredito que usando LACP vc tem a opção de desconectar um cabo
sem perder a conexão do link, apenas o estreitamento da banda.

Meu XenServer 6.2 está meio provisório, e estou montando uma máquina mais
adequada para o mesmo, ai farei novos testes, mais o meu ambiente é
exatamente o mesmo que o seu. Vou acompanhar para ver a resolução deste
assunto.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel:   (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve


2014-06-17 22:55 GMT-03:00 Diogo Rodrigo diogo1...@gmail.com:

 prezados to montando um storage freenas para usar com xenserver 6.2

 coloquei 3 placas de rede.

 como vcs recomendam usar o link agregation ?

 quais opcoes

 failover
 loadbalance
 round robin
 *LACP*
 *none*

 *quais destas opções recomendam para trabalhar neste ambiente
 de virtualização *

 *att DIogo *

 *obrigado*
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] firewall e sessão SSH

2014-04-29 Por tôpico Márcio Elias

Certeza que isso funciona? tive problemas a algum tempo e nunca mais
testei...

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel:   (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve


2014-04-29 6:17 GMT-03:00 Wenderson Souza wendersonso...@gmail.com:

 Em terça-feira, 29 de abril de 2014, Paulo Henrique - BSDs Brasil 
 paulo.rd...@bsd.com.br escreveu:

 
  Em 29/04/2014 01:01, Márcio Elias escreveu:
   2014-04-29 0:22 GMT-03:00 Renato Sousa renso...@gmail.com
 javascript:;
  :
  
   Boa noite a todos,
  
   Estou implementando um firewall para um dos servidores FreeBSD que
   administro.  Alterei o script padrão (/etc/rc.firewall) com as regras
  que
   necessito utilizando firewall_type=client no arquivo /etc/rc.conf
   Toda vez que vou rodar o firewall para testar minha sessão ssh é
  terminada
   e quando vejo na maquina fisicamente o firewall só tem a ultima regra
   dropando todas as conexões.
   Observei melhor e notei que a sessão trava quando o comando ipfw -f é
   executado, limpando todas as regras e deixando a ultima regra fixa de
  drop.
   Lembro-me que já utilizei esse script em versões anteriores do
 FreeBSD e
   funcionava legal.  Como fazer para que o resto do script seja
 executado
  e o
   comando  ${fwcmd} add pass tcp from any to any established garanta o
   funcionamento da sessão em andamento ?
  
   Abraços,
  
   Renato
   -
   Histórico: http://www.fug.com.br/historico/html/freebsd/
   Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
  
   O que acontece é que quando vc executa um flush via ssh, antes de ele
   recarregar as regras ele já matou sua sessão e o comando de
  reinicialização
   do firewall atrelado a ela tmb.
  
   Coloca isso na sua configuração de kernel:
  
   options IPFIREWALL_DEFAULT_TO_ACCEPT
  
   Com isso vc sempre terá a regra 65535 allow all from any to any, mesmo
   rodando um ipfw -f flush. Durante aqueles instantes que o seu script
 está
   aplicando as regras, seu firewall estará todo aberto, não chega a ser
 um
   problema já que é por um período muito curto de tempo, e sua sessão ssh
  não
   vai cair.
  
   Ai se vc quer aplicar uma politica de negação por padrão, acrescente no
  seu
   script de firewall uma regra tipo:
  
   ${fwcmd} add 65534 deny all from any to any
  
  Ou para manter ainda a politica padrão do firewall para denied nada mais
  simples e confortavel que um belo shell
 
  ipfw -f  /etc/rc.d/ipfw start
 
  ou mais simples ainda,
 
  Caso tenha configurado corretamente as variaveis do seu /etc/rc.conf
 
  basta um /etc/rc.d/ipfw restart
 
  Que ele mesmo irá dar um flush e carregar suas regras.
 
  Att.
 
  --
  Paulo Henrique.
  Grupo de Usuários do FreeBSD no Brasil.
  Fone: (21) 96713-5042
 
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 

 Isso mesmo, geralmente faço pelo service ipfw restart


 --
 Atenciosamente,

 Wenderson Souza - wendersonso...@gmail.com
 Gerente de TI - 6P Telecom
 +55 (43) 3235-1720 Oi Fixo
 +55 (43) 9162-4333 Vivo Mobile
 Skype: wendersonsouza
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] firewall e sessão SSH

2014-04-28 Por tôpico Márcio Elias

2014-04-29 0:22 GMT-03:00 Renato Sousa renso...@gmail.com:

 Boa noite a todos,

 Estou implementando um firewall para um dos servidores FreeBSD que
 administro.  Alterei o script padrão (/etc/rc.firewall) com as regras que
 necessito utilizando firewall_type=client no arquivo /etc/rc.conf
 Toda vez que vou rodar o firewall para testar minha sessão ssh é terminada
 e quando vejo na maquina fisicamente o firewall só tem a ultima regra
 dropando todas as conexões.
 Observei melhor e notei que a sessão trava quando o comando ipfw -f é
 executado, limpando todas as regras e deixando a ultima regra fixa de drop.
 Lembro-me que já utilizei esse script em versões anteriores do FreeBSD e
 funcionava legal.  Como fazer para que o resto do script seja executado e o
 comando  ${fwcmd} add pass tcp from any to any established garanta o
 funcionamento da sessão em andamento ?

 Abraços,

 Renato
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


O que acontece é que quando vc executa um flush via ssh, antes de ele
recarregar as regras ele já matou sua sessão e o comando de reinicialização
do firewall atrelado a ela tmb.

Coloca isso na sua configuração de kernel:

options IPFIREWALL_DEFAULT_TO_ACCEPT

Com isso vc sempre terá a regra 65535 allow all from any to any, mesmo
rodando um ipfw -f flush. Durante aqueles instantes que o seu script está
aplicando as regras, seu firewall estará todo aberto, não chega a ser um
problema já que é por um período muito curto de tempo, e sua sessão ssh não
vai cair.

Ai se vc quer aplicar uma politica de negação por padrão, acrescente no seu
script de firewall uma regra tipo:

${fwcmd} add 65534 deny all from any to any

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel:   (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Cache em https

2014-04-24 Por tôpico Márcio Elias

Olha, que eu saiba, pra fazer isso o Cache teria que agir como man in the
middle, interceptar a conexão do usuário na porta 443, ele mesmo fazer a
conexão, e devolver para o usuário usando um certificado próprio.

Bom, falando somente da parte técnica, isso é uma grande M*¨%#$, o
usuário vai ter 1499 avisos de certificado inválido para confirmar exceção
a cada acesso a um site, isso usando FF, ou IE, se usar o Chrome, este por
sua vez se recusa a abrir o site categoricamente.

Agora da parte legal. Não é permitido fazer o armazenamento ou tratamento
de conteúdo HTTPS que eu saiba, até por que, quem gostaria de ter suas
conexões ao Internet Banking em cache?

Enfim, eu uso o Hyper da Thagos, e já não tem o mesmo desempenho de
antigamente, por que muito conteúdo é entregue em HTTPS hoje, mais ainda me
salva algums Mbs de banda para windows update, downloads de HTTP, entre
outras coisinhas. Por hora ainda está valendo a pena, mais estamos pensando
na próxima renovação de licença se vamos fazer.

O ideal é investir em link mesmo...

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel:   (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve


2014-04-24 8:40 GMT-03:00 Gustavo Freitas gst.frei...@gmail.com:

 Pessoal,

 alguns colegas de lista estão informando que alguns aplicance, está
 sendo possível fazer cache em https.. até onde eu sei. é um pouco
 complicado, alguns de vocês tem conhecimento ?

 Agradeço a explicação.

 --
 Gustavo Freitas
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW

2014-04-12 Por tôpico Márcio Elias

2014-04-12 14:01 GMT-03:00 Tiago Drumond ti...@freebsdbrasil.com.br:

 Pessoal,
 Estou com uma dúvida sobre ipfw.
 Meu cenário é o seguinte:em0(interna): 172.30.0.9em1(internet):
 192.168.0.22 - Gateway 192.168.0.1
 O que estou querendo é que todo trafego que chegar na em1 encaminhe
 para o ip 173.30.0.10 que é uma maquina da rede interna. E todo
 tráfego que chegar da 173.30.0.10 encaminhe para o 192.168.0.1.Ou
 seja, quero encaminhar todos os dados da internet para a maquina
 interna e todo trafego que chegar nessa interna encaminhe para a
 internet.Queria com ipfw diretamente pois terei umas regras de filtro
 rodando nela.

 -
 Email sent using ProApps
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Não seria o caso de criar uma interface Bridge e aplicar as regras de IPFW
sobre essa bridge?

Handbook - http://www.freebsd.org/doc/handbook/network-bridging.html

ifconfig bridge0 addm em0 addm em1 up# ifconfig em0 up# ifconfig em1 up


Para tornar permanente, colocar no rc.conf

cloned_interfaces=bridge0
ifconfig_bridge0=addm em0 addm em1 up
ifconfig_em0=up
ifconfig_em1=up


Depois usa a interface bridge0 nas regras do firewall.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel:   (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Fw: Few reasons to stay with BSD

2014-03-24 Por tôpico Márcio Elias

Ao ler este e-mail, até senti orgulho do meu trabalho...:D

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel:   (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve


On Mon, Mar 24, 2014 at 10:31 PM, Nilton Jose Rizzo ri...@i805.com.brwrote:



   Desculpem-me o cross-post mas vale a pena ler

 Rizzo
 -- Mensagem Encaminhada ---
 De:Sergio de Almeida Lenzi lenzi.ser...@gmail.com
 Para:freebsd-po...@freebsd.org
 Enviada:Mon, 24 Mar 2014 17:07:04 -0300
 Assunto:Few reasons to stay with BSD

 FreeBSD is still much better,

 until 7.X there was pkg_*  for a system with few
 packages ( less than 100) it worked. but
 as the system goes beyound 1000 packages, pkg_* becomes
 very slow, and broken.

 pkg, solved the problem, of working with freebsd if you work
 WITH pkg, and not against.

 See my case, for example, I have hundreds of users, that runs
 8.X, 9.X and now 10.X. all of them uses gnome 2.32 and software
 written from gtk2, glade2, python2  The system have more than
 1000 packages, last count shows 1032.. and are updated once a
 week, everything works..   Some of them uses windows software
 that now runs on Virtualbox under FreeBSD.

 I have my OWN server (indeed, 2) for 9.X and 10.X, and all the other
 servers
 do is pkg upgrade -y  sometimes they update about 1GB (in the case of
 libconv, for example)
 and everything works as expected..

 If I used pkg_*  plus portupgrade or portmaster in each server, that
 woud be
 impossible to mantain..  pkg really made FreeBSD usable  for hundreds of
 servers.

 I have some linux on notebooks, that now the FreeBSD have KMS, are
 being
 moved to FreeBSD too.
 On the notebooks (using archlinux), kernel 3.12.3 the notebooks must
 have a
 cold start  from time to time (once a day), if not, the disk access
 becomes too slow
 to the point it is useless.. so a cold start resolv the problem..
 besides, the software layout
 that is now all in /usr/bin, the inittab is now systemd, the syslog is
 journal... and the
 file system is still ext4, as zfs for inux is not for production yet..

 Today, as the machines are powerfull,  you can buy an 32 core system
 with
 1TB of memory, 12TB of disk for less than US$10,000.  What you will
 do???
 Install windows 8??  no way, windows 2012??? microsoft says it is
 unstable,
 2008??? perhaps, 2003?? phased out..

 how many users will you put in an Microsoft OS??  at what price???

 A FreeBSD server running several windows 2008, can handle 200 users (20
 users per OS)
 using Virtualbox and ISCSI.  Never stops, never breaks, you can buy ONE
 windows 2008 and
 install the other 99 by cloning the machine.  Here the EULA says I must
 use ONE windows 2008
 licence in ONE machine,  does not mention what to do if I  Activate 100
 time the SAME image of  an OVA.  or VHD.
 (the same for windows 2012).

 Linux is good???  for sure!!, but FreeBSD+ZFS is better..

 ___
 freebsd-po...@freebsd.org mailing list
 http://lists.freebsd.org/mailman/listinfo/freebsd-ports
 To unsubscribe, send any mail to freebsd-ports-unsubscr...@freebsd.org
 --- Fim da Mensagem Encaminhada ---

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Radius + PPPoE com FreeBSD + MPD5

2014-03-04 Por tôpico Márcio Elias

Humm, vou ver isso.

Sobre o controle de banda, trabalho em um ISP e preciso limitar planos de
velocidades de clientes, 2M, 3M, 5M etc. Por isso é um controle simples, a
única coisa a mais é a franquia mensal, que quando ultrapassada o plano do
cliente é reduzido para a velocidade mínima garantida.

Acho que o controle de banda que vc quer envolve filas, tipo com PF + ALTQ
não seria isso?

Como não é minha realidade, acabei não vendo se tem algo neste sentido no
MPD, mais acho que não, pelo menos a documentação fala sobre pipes no IPFW
e mpd-limit usando Netgraph.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2014-03-04 10:11 GMT-03:00 Bruno Araújo bjara...@gmail.com:

 Em 03/03/2014, às 17:34, Márcio Elias marcioel...@gmail.com escreveu:

  2014-03-03 16:44 GMT-03:00 Bruno Araújo bjara...@gmail.com:
 
  Em 03/03/2014, às 15:48, Márcio Elias marcioel...@gmail.com escreveu:
 
  Estive meio ausente da lista, mais estou progredindo neste assunto.
 
  Atualmente estou apto a conectar usuários, e logo que conectado limitar
  sua
  banda usando mpd-limit (não estou usando pipes, e sim a interface
  netgraph
  criada para o cliente).
 
  Estou também conseguindo obter informações do tráfego do usuário, e
 apto
  a
  enviar pacotes CoA para o MPD de modo que este possa atualizar o link
 do
  usuário sem desconectá-lo, ou seja, mesmo no meio de um download, se o
  usuário ultrapassar a quota mensal, o mesmo verá sua taxa de
  transferencia
  cair até o limite do plano.
 
  Minha solução até agora está envolvendo alguns AVPs personalizados,
  alguns
  códigos em Perl (modulos para checar a banda usada e para resetar o
  contador de tempo de sessão) e uma boa dose de código em UnLang nas
  sessões
  authorize e accounting.
 
  Está ficando bem interessante, como disse ainda tenho intenção de fazer
  um
  artigo detalhando esse assunto, mais vou fazê-lo assim que tiver a
  solução
  completamente pronta.
 
  Atualmente minha dúvida está em enviar o pacote CoA para o MPD somente
  se o
  usuário ultrapassar a quota mensal, ou se virar o mes conectado, por
 que
  atualmente estou enviando o pacote a cada accounting update.
 
  Volto quando tiver maiores novidades, e começo a escrever o artigo
 assim
  que sanar essa dúvida. Não pretendo fazer um pequeno artigo do tipo
  copiar
  e colar, mais sim explicar e referenciar cada ponto, para que se possa
  entender o assunto e saber o que se está fazendo. Senti muita
 dificuldade
  em encontrar materiais, as principais dicas (tirando a documentação do
  MPD
  e do FreeRadius) tirei de fóruns Russos, (traduzindo para o ingles).
 Por
  isso quero contribuir para comunidade brasileira e escrever tudo em bom
  Portuguès.
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
 
 
  2014-02-13 8:59 GMT-02:00 Márcio Elias marcioel...@gmail.com:
 
  Ai que está, eu já fui um pouco mais longe, não usei Dummynet nem IPFW
  pra
  controle de banda, usei ng_bpf+ng_car (
  http://mpd.sourceforge.net/doc5/mpd30.html#radius). Quanto a troca de
  velocidade, queria fazer isso de modo transparente, sem derrubar o
  usuário.
  Dependendo do usuário ou do que o mesmo está fazendo, não é
  interessante vc
  derrubar ele.
 
  Minha ideia era conseguir fazer algo semelhante ao que fala este
 artigo.
 
  http://revk.www.me.uk/2012/11/usage-quotas.html
 
  Tentei até entrar em contato com o autor mais não tive resposta até
  agora.
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
 
 
  2014-02-13 8:40 GMT-02:00 Marcelo Gondim gon...@bsdinfo.com.br:
 
  Em 13/02/14 02:25, Márcio Elias escreveu:
  Alguém na lista tem uma solução usando radius+mysql (ou postgresql)
  como
  servidor de autenticação com MPD5 e que tenha implementado um
 sistema
  de
  controle de banda relativo a um sistema de quotas?
 
  Um exemplo básico, tenho um plano de acesso de 10Mbits e queria
  limitar
  ele
  a 100GB de transferencia mensal, desta forma ao atingir o limite da
  franquia o usuário estaria limitado a uma velocidade equivalente a
 40%
  do
  seu plano por exemplo. Ao iniciar o mês seguinte essa regra
 reinicia.
 
  Consegui implementar o servidor Radius, (FreeRadius) com banco de
  dados,
  autenticação PPPoE com MPD5, Controle de banda, tudo certinho. O
  problema
  está em criar as quotas e controlar o limite de banda baseado nisso.
 
  Vi que a FUG está meio desatualizada em artigos, e acho que isso é
 um
  assunto interessante para aqueles que como eu trabalham em ISPs, e
  principalmente que utilizam FreeBSD. Gostaria do apoio da comunidade
  para
  implementar isso e lançar um artigo detalhado sobre o assunto para
  favorecer os pobres mortais que futuramente terão a mesma

Re: [FUG-BR] Radius + PPPoE com FreeBSD + MPD5

Estive meio ausente da lista, mais estou progredindo neste assunto.

Atualmente estou apto a conectar usuários, e logo que conectado limitar sua
banda usando mpd-limit (não estou usando pipes, e sim a interface netgraph
criada para o cliente).

Estou também conseguindo obter informações do tráfego do usuário, e apto a
enviar pacotes CoA para o MPD de modo que este possa atualizar o link do
usuário sem desconectá-lo, ou seja, mesmo no meio de um download, se o
usuário ultrapassar a quota mensal, o mesmo verá sua taxa de transferencia
cair até o limite do plano.

Minha solução até agora está envolvendo alguns AVPs personalizados, alguns
códigos em Perl (modulos para checar a banda usada e para resetar o
contador de tempo de sessão) e uma boa dose de código em UnLang nas sessões
authorize e accounting.

Está ficando bem interessante, como disse ainda tenho intenção de fazer um
artigo detalhando esse assunto, mais vou fazê-lo assim que tiver a solução
completamente pronta.

Atualmente minha dúvida está em enviar o pacote CoA para o MPD somente se o
usuário ultrapassar a quota mensal, ou se virar o mes conectado, por que
atualmente estou enviando o pacote a cada accounting update.

Volto quando tiver maiores novidades, e começo a escrever o artigo assim
que sanar essa dúvida. Não pretendo fazer um pequeno artigo do tipo copiar
e colar, mais sim explicar e referenciar cada ponto, para que se possa
entender o assunto e saber o que se está fazendo. Senti muita dificuldade
em encontrar materiais, as principais dicas (tirando a documentação do MPD
e do FreeRadius) tirei de fóruns Russos, (traduzindo para o ingles). Por
isso quero contribuir para comunidade brasileira e escrever tudo em bom
Portuguès.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2014-02-13 8:59 GMT-02:00 Márcio Elias marcioel...@gmail.com:

 Ai que está, eu já fui um pouco mais longe, não usei Dummynet nem IPFW pra
 controle de banda, usei ng_bpf+ng_car (
 http://mpd.sourceforge.net/doc5/mpd30.html#radius). Quanto a troca de
 velocidade, queria fazer isso de modo transparente, sem derrubar o usuário.
 Dependendo do usuário ou do que o mesmo está fazendo, não é interessante vc
 derrubar ele.

 Minha ideia era conseguir fazer algo semelhante ao que fala este artigo.

 http://revk.www.me.uk/2012/11/usage-quotas.html

 Tentei até entrar em contato com o autor mais não tive resposta até agora.

 --
 Att.
 __
 Márcio Elias Hahn do Nascimento

 Araranguá - SC
 Cel:   (55) 48-9661-0233
 msn: marcioeliash...@hotmail.com


 2014-02-13 8:40 GMT-02:00 Marcelo Gondim gon...@bsdinfo.com.br:

 Em 13/02/14 02:25, Márcio Elias escreveu:
  Alguém na lista tem uma solução usando radius+mysql (ou postgresql) como
  servidor de autenticação com MPD5 e que tenha implementado um sistema de
  controle de banda relativo a um sistema de quotas?
 
  Um exemplo básico, tenho um plano de acesso de 10Mbits e queria limitar
 ele
  a 100GB de transferencia mensal, desta forma ao atingir o limite da
  franquia o usuário estaria limitado a uma velocidade equivalente a 40%
 do
  seu plano por exemplo. Ao iniciar o mês seguinte essa regra reinicia.
 
  Consegui implementar o servidor Radius, (FreeRadius) com banco de dados,
  autenticação PPPoE com MPD5, Controle de banda, tudo certinho. O
 problema
  está em criar as quotas e controlar o limite de banda baseado nisso.
 
  Vi que a FUG está meio desatualizada em artigos, e acho que isso é um
  assunto interessante para aqueles que como eu trabalham em ISPs, e
  principalmente que utilizam FreeBSD. Gostaria do apoio da comunidade
 para
  implementar isso e lançar um artigo detalhado sobre o assunto para
  favorecer os pobres mortais que futuramente terão a mesma dificuldade
 que
  estou tendo hoje para implementar essa solução.
 
  Conto com o apoio dos mestres. ;)
 
 Opa Marcio,

 Um certo tempo fiz alguns testes como esses que você tá fazendo e
 consegui fazer funcionar sem o controle de franquia, que é o que você tá
 querendo.
 Não implantei pois precisava fazer umas mudanças internas e também eu
 ainda não tinha IPv6 para fazer os testes que eu queria.
 Levando-se em conta que no sistema que eu testava eu criei os planos de
 velocidades em tables no ipfw e dummynet, assim quando o cliente
 conectava, eu checava de qual plano ele era e jogava o IP dele da
 conexão, na table certa. No seu caso poderia ser feito um script em php
 que checasse a tabela radacct do radius  e calculasse se ele ultrapassou
 a quantidade de bytes trafegados da franquia e se sim desconectaria ele
 e jogaria ele na table de velocidade nova. Isso pode ser feito em php
 tranquilamente.  :)

 Abração,
 Gondim
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-
Histórico: http://www.fug.com.br

Re: [FUG-BR] Radius + PPPoE com FreeBSD + MPD5

2014-03-03 16:44 GMT-03:00 Bruno Araújo bjara...@gmail.com:

 Em 03/03/2014, às 15:48, Márcio Elias marcioel...@gmail.com escreveu:

  Estive meio ausente da lista, mais estou progredindo neste assunto.
 
  Atualmente estou apto a conectar usuários, e logo que conectado limitar
 sua
  banda usando mpd-limit (não estou usando pipes, e sim a interface
 netgraph
  criada para o cliente).
 
  Estou também conseguindo obter informações do tráfego do usuário, e apto
 a
  enviar pacotes CoA para o MPD de modo que este possa atualizar o link do
  usuário sem desconectá-lo, ou seja, mesmo no meio de um download, se o
  usuário ultrapassar a quota mensal, o mesmo verá sua taxa de
 transferencia
  cair até o limite do plano.
 
  Minha solução até agora está envolvendo alguns AVPs personalizados,
 alguns
  códigos em Perl (modulos para checar a banda usada e para resetar o
  contador de tempo de sessão) e uma boa dose de código em UnLang nas
 sessões
  authorize e accounting.
 
  Está ficando bem interessante, como disse ainda tenho intenção de fazer
 um
  artigo detalhando esse assunto, mais vou fazê-lo assim que tiver a
 solução
  completamente pronta.
 
  Atualmente minha dúvida está em enviar o pacote CoA para o MPD somente
 se o
  usuário ultrapassar a quota mensal, ou se virar o mes conectado, por que
  atualmente estou enviando o pacote a cada accounting update.
 
  Volto quando tiver maiores novidades, e começo a escrever o artigo assim
  que sanar essa dúvida. Não pretendo fazer um pequeno artigo do tipo
 copiar
  e colar, mais sim explicar e referenciar cada ponto, para que se possa
  entender o assunto e saber o que se está fazendo. Senti muita dificuldade
  em encontrar materiais, as principais dicas (tirando a documentação do
 MPD
  e do FreeRadius) tirei de fóruns Russos, (traduzindo para o ingles). Por
  isso quero contribuir para comunidade brasileira e escrever tudo em bom
  Portuguès.
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
 
 
  2014-02-13 8:59 GMT-02:00 Márcio Elias marcioel...@gmail.com:
 
  Ai que está, eu já fui um pouco mais longe, não usei Dummynet nem IPFW
 pra
  controle de banda, usei ng_bpf+ng_car (
  http://mpd.sourceforge.net/doc5/mpd30.html#radius). Quanto a troca de
  velocidade, queria fazer isso de modo transparente, sem derrubar o
 usuário.
  Dependendo do usuário ou do que o mesmo está fazendo, não é
 interessante vc
  derrubar ele.
 
  Minha ideia era conseguir fazer algo semelhante ao que fala este artigo.
 
  http://revk.www.me.uk/2012/11/usage-quotas.html
 
  Tentei até entrar em contato com o autor mais não tive resposta até
 agora.
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
 
 
  2014-02-13 8:40 GMT-02:00 Marcelo Gondim gon...@bsdinfo.com.br:
 
  Em 13/02/14 02:25, Márcio Elias escreveu:
  Alguém na lista tem uma solução usando radius+mysql (ou postgresql)
 como
  servidor de autenticação com MPD5 e que tenha implementado um sistema
 de
  controle de banda relativo a um sistema de quotas?
 
  Um exemplo básico, tenho um plano de acesso de 10Mbits e queria
 limitar
  ele
  a 100GB de transferencia mensal, desta forma ao atingir o limite da
  franquia o usuário estaria limitado a uma velocidade equivalente a 40%
  do
  seu plano por exemplo. Ao iniciar o mês seguinte essa regra reinicia.
 
  Consegui implementar o servidor Radius, (FreeRadius) com banco de
 dados,
  autenticação PPPoE com MPD5, Controle de banda, tudo certinho. O
  problema
  está em criar as quotas e controlar o limite de banda baseado nisso.
 
  Vi que a FUG está meio desatualizada em artigos, e acho que isso é um
  assunto interessante para aqueles que como eu trabalham em ISPs, e
  principalmente que utilizam FreeBSD. Gostaria do apoio da comunidade
  para
  implementar isso e lançar um artigo detalhado sobre o assunto para
  favorecer os pobres mortais que futuramente terão a mesma dificuldade
  que
  estou tendo hoje para implementar essa solução.
 
  Conto com o apoio dos mestres. ;)
 
  Opa Marcio,
 
  Um certo tempo fiz alguns testes como esses que você tá fazendo e
  consegui fazer funcionar sem o controle de franquia, que é o que você
 tá
  querendo.
  Não implantei pois precisava fazer umas mudanças internas e também eu
  ainda não tinha IPv6 para fazer os testes que eu queria.
  Levando-se em conta que no sistema que eu testava eu criei os planos de
  velocidades em tables no ipfw e dummynet, assim quando o cliente
  conectava, eu checava de qual plano ele era e jogava o IP dele da
  conexão, na table certa. No seu caso poderia ser feito um script em php
  que checasse a tabela radacct do radius  e calculasse se ele
 ultrapassou
  a quantidade de bytes trafegados da franquia e se sim desconectaria ele
  e jogaria ele na table de velocidade nova. Isso

Re: [FUG-BR] Radius + PPPoE com FreeBSD + MPD5

2014-03-03 17:34 GMT-03:00 Márcio Elias marcioel...@gmail.com:

 2014-03-03 16:44 GMT-03:00 Bruno Araújo bjara...@gmail.com:

 Em 03/03/2014, às 15:48, Márcio Elias marcioel...@gmail.com escreveu:

  Estive meio ausente da lista, mais estou progredindo neste assunto.
 
  Atualmente estou apto a conectar usuários, e logo que conectado limitar
 sua
  banda usando mpd-limit (não estou usando pipes, e sim a interface
 netgraph
  criada para o cliente).
 
  Estou também conseguindo obter informações do tráfego do usuário, e
 apto a
  enviar pacotes CoA para o MPD de modo que este possa atualizar o link do
  usuário sem desconectá-lo, ou seja, mesmo no meio de um download, se o
  usuário ultrapassar a quota mensal, o mesmo verá sua taxa de
 transferencia
  cair até o limite do plano.
 
  Minha solução até agora está envolvendo alguns AVPs personalizados,
 alguns
  códigos em Perl (modulos para checar a banda usada e para resetar o
  contador de tempo de sessão) e uma boa dose de código em UnLang nas
 sessões
  authorize e accounting.
 
  Está ficando bem interessante, como disse ainda tenho intenção de fazer
 um
  artigo detalhando esse assunto, mais vou fazê-lo assim que tiver a
 solução
  completamente pronta.
 
  Atualmente minha dúvida está em enviar o pacote CoA para o MPD somente
 se o
  usuário ultrapassar a quota mensal, ou se virar o mes conectado, por que
  atualmente estou enviando o pacote a cada accounting update.
 
  Volto quando tiver maiores novidades, e começo a escrever o artigo assim
  que sanar essa dúvida. Não pretendo fazer um pequeno artigo do tipo
 copiar
  e colar, mais sim explicar e referenciar cada ponto, para que se possa
  entender o assunto e saber o que se está fazendo. Senti muita
 dificuldade
  em encontrar materiais, as principais dicas (tirando a documentação do
 MPD
  e do FreeRadius) tirei de fóruns Russos, (traduzindo para o ingles). Por
  isso quero contribuir para comunidade brasileira e escrever tudo em bom
  Portuguès.
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
 
 
  2014-02-13 8:59 GMT-02:00 Márcio Elias marcioel...@gmail.com:
 
  Ai que está, eu já fui um pouco mais longe, não usei Dummynet nem IPFW
 pra
  controle de banda, usei ng_bpf+ng_car (
  http://mpd.sourceforge.net/doc5/mpd30.html#radius). Quanto a troca de
  velocidade, queria fazer isso de modo transparente, sem derrubar o
 usuário.
  Dependendo do usuário ou do que o mesmo está fazendo, não é
 interessante vc
  derrubar ele.
 
  Minha ideia era conseguir fazer algo semelhante ao que fala este
 artigo.
 
  http://revk.www.me.uk/2012/11/usage-quotas.html
 
  Tentei até entrar em contato com o autor mais não tive resposta até
 agora.
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
 
 
  2014-02-13 8:40 GMT-02:00 Marcelo Gondim gon...@bsdinfo.com.br:
 
  Em 13/02/14 02:25, Márcio Elias escreveu:
  Alguém na lista tem uma solução usando radius+mysql (ou postgresql)
 como
  servidor de autenticação com MPD5 e que tenha implementado um
 sistema de
  controle de banda relativo a um sistema de quotas?
 
  Um exemplo básico, tenho um plano de acesso de 10Mbits e queria
 limitar
  ele
  a 100GB de transferencia mensal, desta forma ao atingir o limite da
  franquia o usuário estaria limitado a uma velocidade equivalente a
 40%
  do
  seu plano por exemplo. Ao iniciar o mês seguinte essa regra reinicia.
 
  Consegui implementar o servidor Radius, (FreeRadius) com banco de
 dados,
  autenticação PPPoE com MPD5, Controle de banda, tudo certinho. O
  problema
  está em criar as quotas e controlar o limite de banda baseado nisso.
 
  Vi que a FUG está meio desatualizada em artigos, e acho que isso é um
  assunto interessante para aqueles que como eu trabalham em ISPs, e
  principalmente que utilizam FreeBSD. Gostaria do apoio da comunidade
  para
  implementar isso e lançar um artigo detalhado sobre o assunto para
  favorecer os pobres mortais que futuramente terão a mesma dificuldade
  que
  estou tendo hoje para implementar essa solução.
 
  Conto com o apoio dos mestres. ;)
 
  Opa Marcio,
 
  Um certo tempo fiz alguns testes como esses que você tá fazendo e
  consegui fazer funcionar sem o controle de franquia, que é o que você
 tá
  querendo.
  Não implantei pois precisava fazer umas mudanças internas e também eu
  ainda não tinha IPv6 para fazer os testes que eu queria.
  Levando-se em conta que no sistema que eu testava eu criei os planos
 de
  velocidades em tables no ipfw e dummynet, assim quando o cliente
  conectava, eu checava de qual plano ele era e jogava o IP dele da
  conexão, na table certa. No seu caso poderia ser feito um script em
 php
  que checasse a tabela radacct do radius  e calculasse se ele
 ultrapassou
  a quantidade de bytes trafegados da franquia e se sim

Re: [FUG-BR] gdb e dwarf

On Mon, Mar 3, 2014 at 1:40 PM, Nilton Jose Rizzo ri...@i805.com.br wrote:

 olhem só que error deu no debugger

 rizzo@valfenda:~/src/Doutorado % gdb mainqueue
   GNU gdb 6.1.1 [FreeBSD]
 Copyright 2004 Free Software Foundation, Inc.
 GDB is free software, covered by the GNU General Public License, and you
 are
 welcome to change it and/or distribute copies of it under certain
 conditions.
 Type show copying to see the conditions.
 There is absolutely no warranty for GDB.  Type show warranty for details.
 This GDB was configured as amd64-marcel-freebsd...Dwarf Error: wrong
 version
 in compilation unit header (is 4, should be 2) [in module
 /home2/rizzo/src/Doutorado/mainqueue]

 (gdb) quit
 rizzo@valfenda:~/src/Doutorado %
 apesar de o executável rodar no sistema ok
 porém não consigo debugar


 vejam

 (gdb) run
 Starting program: /home2/rizzo/src/Doutorado/mainqueue
 (no debugging symbols found)...(no debugging symbols found)...(no debugging
 symbols found)...(no debugging symbols found)...(no debugging symbols
 found)...(no debugging symbols found)...Empty Queue
 Element Value = 215
 Element Value = 122
 Element Value = 215
 Element Value = 41
 Element Value = 41
 Element Value = 215
 Element Value = 41
 Element Value = 295
 Element Value = 295
 Element Value = 215
 Element Value = 41
 Element Value = 295
 Element Value = 197
 Element Value = 197
 Element Value = 215
 Element Value = 41
 Element Value = 295
 Element Value = 197
 Element Value = 255
 Element Value = 255
 Queue Size = 6
 Element Value = 215
 Element Value = 41
 Element Value = 295
 Element Value = 197
 Element Value = 255
 Element Value = 255

 Program exited normally.
 (gdb)

 e o pior é que atualizei o sistema ontem

 rizzo@valfenda:~/src/Doutorado % uname -a
 FreeBSD valfenda 11.0-CURRENT FreeBSD 11.0-CURRENT #14 r262682: Sun Mar  2
 08:20:10 BRT 2014 root@:/usr/obj/usr/src/sys/VALFENDA  amd64
 rizzo@valfenda:~/src/Doutorado %

 Alguma luz no fim do tunel?

 Rizzo


 -


Olá desculpe a curiosidade, mais vc está fazendo uma tese de doutorado
baseado em FreeBSD? Fiquei curioso, pode dar uma dica do que se trata?

Desculpe não ter lhe ajudado na dúvida, era melhor ficar quieto mais a
curiosidade falou mais alto rsrs.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] gdb e dwarf

On Mon, Mar 3, 2014 at 11:21 PM, Danilo Egea daniloe...@yahoo.com.brwrote:

 On 03/03/14 13:40, Nilton Jose Rizzo wrote:
  olhem só que error deu no debugger
 
  rizzo@valfenda:~/src/Doutorado % gdb mainqueue
GNU gdb 6.1.1 [FreeBSD]
  Copyright 2004 Free Software Foundation, Inc.
  GDB is free software, covered by the GNU General Public License, and you
 are
  welcome to change it and/or distribute copies of it under certain
 conditions.
  Type show copying to see the conditions.
  There is absolutely no warranty for GDB.  Type show warranty for
 details.
  This GDB was configured as amd64-marcel-freebsd...Dwarf Error: wrong
 version
  in compilation unit header (is 4, should be 2) [in module
  /home2/rizzo/src/Doutorado/mainqueue]
 
  (gdb) quit
  rizzo@valfenda:~/src/Doutorado %
  apesar de o executável rodar no sistema ok
  porém não consigo debugar
 
 
  vejam
 
  (gdb) run
  Starting program: /home2/rizzo/src/Doutorado/mainqueue
  (no debugging symbols found)...(no debugging symbols found)...(no
 debugging
  symbols found)...(no debugging symbols found)...(no debugging symbols
  found)...(no debugging symbols found)...Empty Queue
  Element Value = 215
  Element Value = 122
  Element Value = 215
  Element Value = 41
  Element Value = 41
  Element Value = 215
  Element Value = 41
  Element Value = 295
  Element Value = 295
  Element Value = 215
  Element Value = 41
  Element Value = 295
  Element Value = 197
  Element Value = 197
  Element Value = 215
  Element Value = 41
  Element Value = 295
  Element Value = 197
  Element Value = 255
  Element Value = 255
  Queue Size = 6
  Element Value = 215
  Element Value = 41
  Element Value = 295
  Element Value = 197
  Element Value = 255
  Element Value = 255
 
  Program exited normally.
  (gdb)
 
  e o pior é que atualizei o sistema ontem
 
  rizzo@valfenda:~/src/Doutorado % uname -a
  FreeBSD valfenda 11.0-CURRENT FreeBSD 11.0-CURRENT #14 r262682: Sun Mar
  2
  08:20:10 BRT 2014 root@:/usr/obj/usr/src/sys/VALFENDA  amd64
  rizzo@valfenda:~/src/Doutorado %
 
  Alguma luz no fim do tunel?
 
  Rizzo
 
 
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 

 Use o gdb do ports...
 -


Ba, muito bacana mesmo. A cada dia descubro o FreeBSD em um cenário
diferente, ele não para de me surpreender. Boa sorte na sua tese, vou ficar
somente acompanhando, computação gráfica não é muito a minha praia, então
não posso contribuir com muita coisa rsrs. Parabéns pela iniciativa.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Radius + PPPoE com FreeBSD + MPD5

Outra dúvida. rsrs... vc não está usando nat de uma interface para outra?
somente ng_nat?

Cara, essa parte ainda não parei pra estudar, meu principal objetivo é o
controle inteligente de banda, e desempenho. Pelo que li sobre o Netgraph,
ele tem mesmo um desempenho maior.

Você poderia compartilhar em troca ai além de como fez para nomear as
interfaces, como fez o ng_nat funcionar? Está usando uma interface para
entrada do link e outra para conexão aos usuários certo?

Estou empolgado em fazer este cenário dar certo, e publicar o artigo. Ao
ser publicado, se vc permitir, darei a vc os créditos pela ajuda.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2014-03-03 16:44 GMT-03:00 Bruno Araújo bjara...@gmail.com:

 Em 03/03/2014, às 15:48, Márcio Elias marcioel...@gmail.com escreveu:

  Estive meio ausente da lista, mais estou progredindo neste assunto.
 
  Atualmente estou apto a conectar usuários, e logo que conectado limitar
 sua
  banda usando mpd-limit (não estou usando pipes, e sim a interface
 netgraph
  criada para o cliente).
 
  Estou também conseguindo obter informações do tráfego do usuário, e apto
 a
  enviar pacotes CoA para o MPD de modo que este possa atualizar o link do
  usuário sem desconectá-lo, ou seja, mesmo no meio de um download, se o
  usuário ultrapassar a quota mensal, o mesmo verá sua taxa de
 transferencia
  cair até o limite do plano.
 
  Minha solução até agora está envolvendo alguns AVPs personalizados,
 alguns
  códigos em Perl (modulos para checar a banda usada e para resetar o
  contador de tempo de sessão) e uma boa dose de código em UnLang nas
 sessões
  authorize e accounting.
 
  Está ficando bem interessante, como disse ainda tenho intenção de fazer
 um
  artigo detalhando esse assunto, mais vou fazê-lo assim que tiver a
 solução
  completamente pronta.
 
  Atualmente minha dúvida está em enviar o pacote CoA para o MPD somente
 se o
  usuário ultrapassar a quota mensal, ou se virar o mes conectado, por que
  atualmente estou enviando o pacote a cada accounting update.
 
  Volto quando tiver maiores novidades, e começo a escrever o artigo assim
  que sanar essa dúvida. Não pretendo fazer um pequeno artigo do tipo
 copiar
  e colar, mais sim explicar e referenciar cada ponto, para que se possa
  entender o assunto e saber o que se está fazendo. Senti muita dificuldade
  em encontrar materiais, as principais dicas (tirando a documentação do
 MPD
  e do FreeRadius) tirei de fóruns Russos, (traduzindo para o ingles). Por
  isso quero contribuir para comunidade brasileira e escrever tudo em bom
  Portuguès.
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
 
 
  2014-02-13 8:59 GMT-02:00 Márcio Elias marcioel...@gmail.com:
 
  Ai que está, eu já fui um pouco mais longe, não usei Dummynet nem IPFW
 pra
  controle de banda, usei ng_bpf+ng_car (
  http://mpd.sourceforge.net/doc5/mpd30.html#radius). Quanto a troca de
  velocidade, queria fazer isso de modo transparente, sem derrubar o
 usuário.
  Dependendo do usuário ou do que o mesmo está fazendo, não é
 interessante vc
  derrubar ele.
 
  Minha ideia era conseguir fazer algo semelhante ao que fala este artigo.
 
  http://revk.www.me.uk/2012/11/usage-quotas.html
 
  Tentei até entrar em contato com o autor mais não tive resposta até
 agora.
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
 
 
  2014-02-13 8:40 GMT-02:00 Marcelo Gondim gon...@bsdinfo.com.br:
 
  Em 13/02/14 02:25, Márcio Elias escreveu:
  Alguém na lista tem uma solução usando radius+mysql (ou postgresql)
 como
  servidor de autenticação com MPD5 e que tenha implementado um sistema
 de
  controle de banda relativo a um sistema de quotas?
 
  Um exemplo básico, tenho um plano de acesso de 10Mbits e queria
 limitar
  ele
  a 100GB de transferencia mensal, desta forma ao atingir o limite da
  franquia o usuário estaria limitado a uma velocidade equivalente a 40%
  do
  seu plano por exemplo. Ao iniciar o mês seguinte essa regra reinicia.
 
  Consegui implementar o servidor Radius, (FreeRadius) com banco de
 dados,
  autenticação PPPoE com MPD5, Controle de banda, tudo certinho. O
  problema
  está em criar as quotas e controlar o limite de banda baseado nisso.
 
  Vi que a FUG está meio desatualizada em artigos, e acho que isso é um
  assunto interessante para aqueles que como eu trabalham em ISPs, e
  principalmente que utilizam FreeBSD. Gostaria do apoio da comunidade
  para
  implementar isso e lançar um artigo detalhado sobre o assunto para
  favorecer os pobres mortais que futuramente terão a mesma dificuldade
  que
  estou tendo hoje para implementar essa solução.
 
  Conto com o apoio dos mestres. ;)
 
  Opa Marcio,
 
  Um

Re: [FUG-BR] Termômetro USB

2014-02-19 Por tôpico Márcio Elias

2014-02-19 11:55 GMT-03:00 Renata Dias renatchi...@gmail.com:

mantunes,

Eu pedi para o meu setor de compras confirmar se não encontra esse TEMPer
no
Brasil, no http://www.portaldasantaifigenia.com.br por exemplo... rs
No deal extreme levaria meses...
De qualquer forma ainda estou bastante insegura se vai rodar bem no
FreeBSD.

Márcio Elias,
Pelo que pesquisei sobre essa linha da Ubiquiti, ela necessita de conexão
2.4GHz, não tem nenhuma entrada RJ45 ou outra.

Para quem me sugeriu o Arduino, teria algum material (for dummies) para me
indicar ? Essa placa LM75 é apenas o sensor, correto? eu preciso de mais o
que pra funcionar o conjunto todo? Como é a conexão do conjunto todo com o
servidor (serial, rj45 ..)?

Obrigada a todos !

Em 17 de fevereiro de 2014 23:05, Márcio Elias marcioel...@gmail.com
escreveu:

2014-02-17 20:26 GMT-03:00 Luis Barcellos luisbarcel...@gmail.com:

OI Renata,
Dê uma olhada neste produtos, são bem interessantes.

http://www.nagios.org/products/environmental

[]s
Luis Barcellos

Em 17 de fevereiro de 2014 15:50, Renata Dias renatchi...@gmail.com
escreveu:

Boa tarde,

Alguém poderia me indicar uma marca e modelo de Termômetro USB para
conectar a um servidor FreeBSD e controlar a temperatura do ambiente?

A intenção é que eu consiga através deste FreeBSD gerar alertas no
Nagios
quando a temperatura do datacenter oscilar.

Obrigada.

--
Renata Dias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Olha, não vai rodar no FreeBSD (pelo menos não no console, ou no Nagios)
mais tem a linha da Ubiquiti pra medir temperatura, aqui na empresa
usamos
2 sensores pra monitorar a temperatura do CPD e sala de Nobreaks. Nos
Nobreaks ainda utilizamos outros sensores da mesma linha pra monitorar a
amperagem sendo consumida de cada equipamento.

Não é uma linha de produtos específicos para monitoramento de Datacenters
ou nada do tipo, é mais pra automação residencial pelo que entendi, tem
tmb
sensores de abertura entre outros. Mais no nosso caso está atendendo
muito
bem.

Segue o link: http://www.ubnt.com/mfi

Pelo que faz e o custo que tem, com certeza vale pelo menos uma
tentativa.

--
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel: (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

--
Renata Dias
-

Não, vc compra um módulo mFi com 2 portas RJ45 pra ligação de até 2
sensores, e depois monitora esse módulo mFi.

Seguem os links.

sensor de temperatura:
http://www.flytec.com.py/?inc=viewp=1298prod=UBIQUITI%20MFI-THS%20SENSOR%20DE%20TEMPERATURA

sensor de corrente (Amperagem):
http://www.flytec.com.py/?inc=viewp=1297prod=UBIQUITI%20MFI-CS%20CURRENT%20SENSOR

Modulo mFi:
http://www.flytec.com.py/?inc=viewp=1300prod=UBIQUITI%20MFI%20MPORT

Tudo isso funciona com cabos UTP e conectores RJ45.

Esses links são do Paraguai, se não tiver como trazer de la, a WDC Networks
é revendedor Ubiquiti aqui no Brasil, sem contar que vc pode comprar no
Mercado Livre, ou qq outro lugar. Os produtos da Ubiquiti são muito
conhecidos por provedores de internet a rádio.

--
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel: (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Termômetro USB

2014-02-19 Por tôpico Márcio Elias

2014-02-19 13:53 GMT-03:00 Listas Discussão dl.la...@gmail.com:

Em 19 de fevereiro de 2014 12:04, Márcio Elias marcioel...@gmail.com
escreveu:

2014-02-19 11:55 GMT-03:00 Renata Dias renatchi...@gmail.com:

mantunes,

Eu pedi para o meu setor de compras confirmar se não encontra esse
TEMPer
no
Brasil, no http://www.portaldasantaifigenia.com.br por exemplo... rs
No deal extreme levaria meses...
De qualquer forma ainda estou bastante insegura se vai rodar bem no
FreeBSD.

Márcio Elias,
Pelo que pesquisei sobre essa linha da Ubiquiti, ela necessita de
conexão
2.4GHz, não tem nenhuma entrada RJ45 ou outra.

Para quem me sugeriu o Arduino, teria algum material (for dummies) para
me
indicar ? Essa placa LM75 é apenas o sensor, correto? eu preciso de
mais
o
que pra funcionar o conjunto todo? Como é a conexão do conjunto todo
com
o
servidor (serial, rj45 ..)?

Obrigada a todos !

Em 17 de fevereiro de 2014 23:05, Márcio Elias marcioel...@gmail.com
escreveu:

2014-02-17 20:26 GMT-03:00 Luis Barcellos luisbarcel...@gmail.com:

OI Renata,
Dê uma olhada neste produtos, são bem interessantes.

http://www.nagios.org/products/environmental

[]s
Luis Barcellos

Em 17 de fevereiro de 2014 15:50, Renata Dias
renatchi...@gmail.com
escreveu:

Boa tarde,

Alguém poderia me indicar uma marca e modelo de Termômetro USB
para
conectar a um servidor FreeBSD e controlar a temperatura do
ambiente?

A intenção é que eu consiga através deste FreeBSD gerar alertas
no
Nagios
quando a temperatura do datacenter oscilar.

Obrigada.

--
Renata Dias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Olha, não vai rodar no FreeBSD (pelo menos não no console, ou no
Nagios)
mais tem a linha da Ubiquiti pra medir temperatura, aqui na empresa
usamos
2 sensores pra monitorar a temperatura do CPD e sala de Nobreaks. Nos
Nobreaks ainda utilizamos outros sensores da mesma linha pra
monitorar
a
amperagem sendo consumida de cada equipamento.

Não é uma linha de produtos específicos para monitoramento de
Datacenters
ou nada do tipo, é mais pra automação residencial pelo que entendi,
tem
tmb
sensores de abertura entre outros. Mais no nosso caso está atendendo
muito
bem.

Segue o link: http://www.ubnt.com/mfi

Pelo que faz e o custo que tem, com certeza vale pelo menos uma
tentativa.

--
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel: (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

--
Renata Dias
-

Não, vc compra um módulo mFi com 2 portas RJ45 pra ligação de até 2
sensores, e depois monitora esse módulo mFi.

Seguem os links.

sensor de temperatura:

http://www.flytec.com.py/?inc=viewp=1298prod=UBIQUITI%20MFI-THS%20SENSOR%20DE%20TEMPERATURA

sensor de corrente (Amperagem):

http://www.flytec.com.py/?inc=viewp=1297prod=UBIQUITI%20MFI-CS%20CURRENT%20SENSOR

Modulo mFi:
http://www.flytec.com.py/?inc=viewp=1300prod=UBIQUITI%20MFI%20MPORT

Tudo isso funciona com cabos UTP e conectores RJ45.

Esses links são do Paraguai, se não tiver como trazer de la, a WDC
Networks
é revendedor Ubiquiti aqui no Brasil, sem contar que vc pode comprar no
Mercado Livre, ou qq outro lugar. Os produtos da Ubiquiti são muito
conhecidos por provedores de internet a rádio.

--
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel: (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Detalhe é que esse equipamento da Ubiquiti tem que usar o software dele pra
configurar/verificar informações. Não tem suporte SNMP, fica dependente do
software deles.
-

Sim, o da Ubiquiti vc fica dependente do software deles e não tem suporte a
SNMP, só mesmo alertas por e-mail. Mais pelo valor e a praticidade, se for
para um monitoramento simples como nosso caso, está atendendo. Muito útil
especialmente o monitoramento de corrente saindo dos nobreaks.

--
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel: (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd

Re: [FUG-BR] Termômetro USB

2014-02-19 Por tôpico Márcio Elias

2014-02-19 14:51 GMT-03:00 Luiz Otavio O Souza lists...@gmail.com:

2014-02-19 12:34 GMT-03:00 Patrick Tracanelli:

On 19/02/2014, at 11:55, Renata Dias wrote:

mantunes,

Eu pedi para o meu setor de compras confirmar se não encontra esse
TEMPer no
Brasil, no http://www.portaldasantaifigenia.com.br por exemplo... rs
No deal extreme levaria meses...
De qualquer forma ainda estou bastante insegura se vai rodar bem no
FreeBSD.

Márcio Elias,
Pelo que pesquisei sobre essa linha da Ubiquiti, ela necessita de
conexão
2.4GHz, não tem nenhuma entrada RJ45 ou outra.

Para quem me sugeriu o Arduino, teria algum material (for dummies) para
me
indicar ? Essa placa LM75 é apenas o sensor, correto? eu preciso de
mais o
que pra funcionar o conjunto todo? Como é a conexão do conjunto todo
com o
servidor (serial, rj45 ..)?

Obrigada a todos !

Renata, eu sempre sugiro aos meus clientes o EM01B, que pode ser
comprado aqui:

http://eesensors.com/products/websensors/websensor-classic.html

A maioria dos clientes de Data Center vão com essa opção, pq além de
temp você monitora humidade (e outras coisas como luminosidade mas a
maioria não da atenção a isso).

Não sai tão barato quanto Arduino, especialmente se cair na receita, mas
chega rápido, é confiável e tem um aspecto profissional.

Um outro cliente que tenho comprou esse:
https://store.serverscheck.com/também gostei mas prefiro o primeiro, que é
mais discreto e tem menos
funções inúteis.

Isso dito vamos ao arduino. Eu aconselharia essa opção não só por ser
mais barato mas especialmente por ser mais divertido.

Sugiro o uso do sensor DHT11 que te da temperatura e humidade, custa no
máximo 16 reais. Além desse sensor você vai precisar da Protoboard, custa
99 reais o kit arduino start pra começar a brincar de lego. Você pode
pegar as informações por serial (USB-serial) no FreeBSD sem qualquer
problema.

Se quiser tem esse kit também, que ainda vem com rede e display, ai voce
pode mostrar a temp e humid no display e pegar via rede as informações.

http://produto.mercadolivre.com.br/MLB-541582730-kit-arduino-uno-r3-ethernet-shield-fonte12v-lcd-dht11-_JM

Enfim tudo depende do seu tempo e disposição pra brincar de lego ;-)

Os dois produtos prontos vão chegar rápido. O arduino vai ser
divertido. Faça sua escolha hehehe

Pessoal,

Por conta do meu trabalho com o gpio(4) no FreeBSD e como eu tenho
interesse em fomentar o uso do FreeBSD para uso em sensores e outras
soluções embarcadas eu vou fornecer kits contendo todos os componentes
necessários para se fazer isso com FreeBSD.

Os kits serão compostos por:

- Beaglebone Black ou Raspberry Pi (dependendo da disponibilidade das
placas);
- Sensor DHT11 para leitura de humidade e temperatura;
- Todos os cabos e conexões para conexão do sensor;
- Cartão microSD com imagem testada e pronta para funcionamento,
incluindo acesso dos valores medidos (humidade e temperatura) via cli
(sysctl(8)) e SNMP, acesso do sistema via ssh;
- Fonte com todos cabos e conexões.

(Kit pronto para utilização - não sendo necessário nenhum
desenvolvimento ou customização para uso)

Outros sensores (e também entradas e saídas) também podem ser
fornecidas no kit sob encomenda.

Lembrando-se que se trata de um sensor com interface ethernet e acesso
SNMP (fácil integração com sistemas de monitoramento).

Para quem se interessar, por favor, me contate fora da lista.

Att.,
Luiz
-

Dependendo do custo eu tenho interesse, me passe seu e-mail para maiores
detalhes.

--
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel: (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Termômetro USB

2014-02-17 Por tôpico Márcio Elias

2014-02-17 20:26 GMT-03:00 Luis Barcellos luisbarcel...@gmail.com:

 OI Renata,
 Dê uma olhada neste produtos, são bem interessantes.

 http://www.nagios.org/products/environmental


 []s
 Luis Barcellos


 Em 17 de fevereiro de 2014 15:50, Renata Dias renatchi...@gmail.com
 escreveu:

  Boa tarde,
 
  Alguém poderia me indicar uma marca e modelo de Termômetro USB para
  conectar a um servidor FreeBSD e controlar a temperatura do ambiente?
 
  A intenção é que eu consiga através deste FreeBSD gerar alertas no Nagios
  quando a temperatura do datacenter oscilar.
 
  Obrigada.
 
  --
  Renata Dias
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 -


Olha, não vai rodar no FreeBSD (pelo menos não no console, ou no Nagios)
mais tem a linha da Ubiquiti pra medir temperatura, aqui na empresa usamos
2 sensores pra monitorar a temperatura do CPD e sala de Nobreaks. Nos
Nobreaks ainda utilizamos outros sensores da mesma linha pra monitorar a
amperagem sendo consumida de cada equipamento.

Não é uma linha de produtos específicos para monitoramento de Datacenters
ou nada do tipo, é mais pra automação residencial pelo que entendi, tem tmb
sensores de abertura entre outros. Mais no nosso caso está atendendo muito
bem.

Segue o link: http://www.ubnt.com/mfi

Pelo que faz e o custo que tem, com certeza vale pelo menos uma tentativa.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address

2014-02-14 Por tôpico Márcio Elias

2014-02-14 2:08 GMT-02:00 Marcelo Gondim gon...@bsdinfo.com.br:

 Em 14/02/14 00:09, Márcio Elias escreveu:
  2014-02-13 15:24 GMT-02:00 Marcelo Gondim gon...@bsdinfo.com.br:
 
  Em 13/02/14 11:31, Márcio Elias escreveu:
  2014-02-12 23:59 GMT-02:00 Márcio Elias marcioel...@gmail.com:
 
  2014-02-12 23:42 GMT-02:00 Renato Frederick ren...@frederick.eti.br
 :
 
  Em 12/02/14 23:31, Márcio Elias escreveu:
  Se funcionar, antes de relatar como BUG ainda vou fazer mais um
 teste,
  excluindo e recriando a máquina virtual da versão 10, pra realmente
  descartar qualquer possibilidade de erro de  configuração.
  Se puder virtualizar em vmware e mandar o feedback prá nós, fico
  agradecido!
  -
 
  Não tenho VMWare aqui fera, soh que eu instale a versão Desktop na
 minha
  máquina e faça os testes, o difícil vai ser tempo pra isso.
 
  Se alguém tiver um ambiente que possa testar, mando o conjunto de
  configurações/regras mínimas que estou usando pra ver se funciona.
 
 
  Infelizmente tenho os resultados dos testes realizados em uma máquina
  real
  com FreeBSD 10-release.
 
  O resultado foi o mesmo da máquina virtualizada, não sei por que mais
 ao
  jogar o tráfego de upload para o pipe, o cliente não navega mais...
 
  *00100  2786 1389706 divert 8668 ip from any to me in recv re0*
  *00200  1796  444771 divert 8668 ip from 192.168.0.0/16
  http://192.168.0.0/16 to any out xmit re0*
  *00300  1621 1013920 pipe 150 ip from any to 192.168.5.18
  MAC XX:XX:XX:XX:XX:XX any*
  *--- 00400   534   74471 pipe 155 ip from 192.168.5.18 to any
  ##aqui
  tinha controle de MAC, mais testei sem e mesmo assim não foi*
  *65535 19188 6448077 allow ip from any to any*
 
  Não acredito que seja um BUG, deve ter mudado alguma coisa com o
 FreeBSD
  10, alguém ai tem a oportunidade de reproduzir esse teste?
 
  Marcio fiz um teste aqui e deu o mesmo erro também. Mandei até um e-mail
  pros caras explicando. Aí fui fazer o mesmo teste entrando com as regras
  manualmente e acho que descobri o problema.
 
  Quando rodo as regras através do script não aparece o erro que dá na
  hora do pipe. Minhas regras de teste:
 
  ipfw add pipe 1 ip from 67.xxx.89.78 to any 80 out via xn0
  ipfw add pipe 2 ip from any 80 to 67.xxx.89.78 in via xn0
  ipfw pipe 1 config bw 1024Kbit/s queue 128 burst 2M
  ipfw pipe 2 config bw 1024Kbit/s queue 128 burst 2M
 
  Rodando as 2 do pipe manualmente deu a mensagem abaixo que a queue size
  tinha que ser maior igual à 2 e menor igual à 100. Refiz a regra usando
  queue com 100 e funcionou normalmente. Existe uma sysctl que permite
  aumentar o valor da queue: net.inet.ip.dummynet.pipe_slot_limit onde
  posso aumentar para 128 e aí minhas regras também funcionariam. Por um
  acaso não é isso que está acontecendo contigo?
 
  # ipfw pipe 1 config bw 1024Kbit/s queue 128 burst 2M
  ipfw: 2 = queue size = 100
 
  # ipfw pipe 2 config bw 1024Kbit/s queue 128 burst 2M
  ipfw: 2 = queue size = 100
 
  []'s
  Gondim
  -
 
 
  Humm, mais eu não estou configurando o pipe desta forma, estou
  especificando somente a largura de banda, veja como estou fazendo:
 
  ipfw pipe 1 config bw 10Mbits#exemplo para um pipe de 10M
 
  Outra coisa é que para o meu caso não especifico portas, todo o tráfego
  passa por esse pipe, isso é o que uso para limitar a velocidade
 contratada
  pelos clientes, por isso tenho um pipe de up e um de down pra cada
 cliente.
 
  Será que é o mesmo caso?
 
 Eu coloquei a porta específica apenas para fazer um teste, porque senão
 poderia travar meu acesso remoto naquela VM, aí para não correr o risco,
 fiz somente com a porta 80.  :)
 Pro controle ficar legal é bom setar a queue que seria a velocidade / 8
 que no seu caso daria uma queue de 1280 mas aí você precisa setar o
 net.inet.ip.dummynet.pipe_slot_limit para 1280.

 Quando você seta o seu pipe... o que aparece quando você faz: ipfw pipe
 show  ?

 No meu caso deu o problema porque os pipes não carregavam, não apareciam
 no comando acima.

 []'s
 Gondim
 


Fica assim por exemplo:

[root@teste /home/sulonline]# ipfw pipe show 150
00150:   4.000 Mbit/s0 ms burst 0
q131222  50 sl. 0 flows (1 buckets) sched 65686 weight 0 lmax 0 pri 0
droptail
 sched 65686 type FIFO flags 0x0 0 buckets 0 active

Não tenho problemas em carregar os pipes, soh em jogar o tráfego de up para
eles.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Radius + PPPoE com FreeBSD + MPD5

Ai que está, eu já fui um pouco mais longe, não usei Dummynet nem IPFW pra
controle de banda, usei ng_bpf+ng_car (
http://mpd.sourceforge.net/doc5/mpd30.html#radius). Quanto a troca de
velocidade, queria fazer isso de modo transparente, sem derrubar o usuário.
Dependendo do usuário ou do que o mesmo está fazendo, não é interessante vc
derrubar ele.

Minha ideia era conseguir fazer algo semelhante ao que fala este artigo.

http://revk.www.me.uk/2012/11/usage-quotas.html

Tentei até entrar em contato com o autor mais não tive resposta até agora.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2014-02-13 8:40 GMT-02:00 Marcelo Gondim gon...@bsdinfo.com.br:

 Em 13/02/14 02:25, Márcio Elias escreveu:
  Alguém na lista tem uma solução usando radius+mysql (ou postgresql) como
  servidor de autenticação com MPD5 e que tenha implementado um sistema de
  controle de banda relativo a um sistema de quotas?
 
  Um exemplo básico, tenho um plano de acesso de 10Mbits e queria limitar
 ele
  a 100GB de transferencia mensal, desta forma ao atingir o limite da
  franquia o usuário estaria limitado a uma velocidade equivalente a 40% do
  seu plano por exemplo. Ao iniciar o mês seguinte essa regra reinicia.
 
  Consegui implementar o servidor Radius, (FreeRadius) com banco de dados,
  autenticação PPPoE com MPD5, Controle de banda, tudo certinho. O problema
  está em criar as quotas e controlar o limite de banda baseado nisso.
 
  Vi que a FUG está meio desatualizada em artigos, e acho que isso é um
  assunto interessante para aqueles que como eu trabalham em ISPs, e
  principalmente que utilizam FreeBSD. Gostaria do apoio da comunidade para
  implementar isso e lançar um artigo detalhado sobre o assunto para
  favorecer os pobres mortais que futuramente terão a mesma dificuldade que
  estou tendo hoje para implementar essa solução.
 
  Conto com o apoio dos mestres. ;)
 
 Opa Marcio,

 Um certo tempo fiz alguns testes como esses que você tá fazendo e
 consegui fazer funcionar sem o controle de franquia, que é o que você tá
 querendo.
 Não implantei pois precisava fazer umas mudanças internas e também eu
 ainda não tinha IPv6 para fazer os testes que eu queria.
 Levando-se em conta que no sistema que eu testava eu criei os planos de
 velocidades em tables no ipfw e dummynet, assim quando o cliente
 conectava, eu checava de qual plano ele era e jogava o IP dele da
 conexão, na table certa. No seu caso poderia ser feito um script em php
 que checasse a tabela radacct do radius  e calculasse se ele ultrapassou
 a quantidade de bytes trafegados da franquia e se sim desconectaria ele
 e jogaria ele na table de velocidade nova. Isso pode ser feito em php
 tranquilamente.  :)

 Abração,
 Gondim
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address

2014-02-12 23:59 GMT-02:00 Márcio Elias marcioel...@gmail.com:

 2014-02-12 23:42 GMT-02:00 Renato Frederick ren...@frederick.eti.br:

 Em 12/02/14 23:31, Márcio Elias escreveu:
  Se funcionar, antes de relatar como BUG ainda vou fazer mais um teste,
  excluindo e recriando a máquina virtual da versão 10, pra realmente
  descartar qualquer possibilidade de erro de  configuração.
 Se puder virtualizar em vmware e mandar o feedback prá nós, fico
 agradecido!
 -



 Não tenho VMWare aqui fera, soh que eu instale a versão Desktop na minha
 máquina e faça os testes, o difícil vai ser tempo pra isso.

 Se alguém tiver um ambiente que possa testar, mando o conjunto de
 configurações/regras mínimas que estou usando pra ver se funciona.


Infelizmente tenho os resultados dos testes realizados em uma máquina real
com FreeBSD 10-release.

O resultado foi o mesmo da máquina virtualizada, não sei por que mais ao
jogar o tráfego de upload para o pipe, o cliente não navega mais...

*00100  2786 1389706 divert 8668 ip from any to me in recv re0*
*00200  1796  444771 divert 8668 ip from 192.168.0.0/16
http://192.168.0.0/16 to any out xmit re0*
*00300  1621 1013920 pipe 150 ip from any to 192.168.5.18
MAC XX:XX:XX:XX:XX:XX any*
*--- 00400   534   74471 pipe 155 ip from 192.168.5.18 to any  ##aqui
tinha controle de MAC, mais testei sem e mesmo assim não foi*
*65535 19188 6448077 allow ip from any to any*

Não acredito que seja um BUG, deve ter mudado alguma coisa com o FreeBSD
10, alguém ai tem a oportunidade de reproduzir esse teste?

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address

2014-02-13 12:20 GMT-02:00 Marcelo Gondim gon...@bsdinfo.com.br:

 Em 13/02/14 11:31, Márcio Elias escreveu:
  2014-02-12 23:59 GMT-02:00 Márcio Elias marcioel...@gmail.com:
 
  2014-02-12 23:42 GMT-02:00 Renato Frederick ren...@frederick.eti.br:
 
  Em 12/02/14 23:31, Márcio Elias escreveu:
  Se funcionar, antes de relatar como BUG ainda vou fazer mais um teste,
  excluindo e recriando a máquina virtual da versão 10, pra realmente
  descartar qualquer possibilidade de erro de  configuração.
  Se puder virtualizar em vmware e mandar o feedback prá nós, fico
  agradecido!
  -
 
 
  Não tenho VMWare aqui fera, soh que eu instale a versão Desktop na minha
  máquina e faça os testes, o difícil vai ser tempo pra isso.
 
  Se alguém tiver um ambiente que possa testar, mando o conjunto de
  configurações/regras mínimas que estou usando pra ver se funciona.
 
 
  Infelizmente tenho os resultados dos testes realizados em uma máquina
 real
  com FreeBSD 10-release.
 
  O resultado foi o mesmo da máquina virtualizada, não sei por que mais ao
  jogar o tráfego de upload para o pipe, o cliente não navega mais...
 
  *00100  2786 1389706 divert 8668 ip from any to me in recv re0*
  *00200  1796  444771 divert 8668 ip from 192.168.0.0/16
  http://192.168.0.0/16 to any out xmit re0*
  *00300  1621 1013920 pipe 150 ip from any to 192.168.5.18
  MAC XX:XX:XX:XX:XX:XX any*
  *--- 00400   534   74471 pipe 155 ip from 192.168.5.18 to any  ##aqui
  tinha controle de MAC, mais testei sem e mesmo assim não foi*
  *65535 19188 6448077 allow ip from any to any*
 
  Não acredito que seja um BUG, deve ter mudado alguma coisa com o FreeBSD
  10, alguém ai tem a oportunidade de reproduzir esse teste?
 
 Fiz o teste aqui com a minha VM no Xen que tenho e realmente está
 ocorrendo isso mas o mais interessante é que ocorrem 2 problemas:

 O up contabiliza os pacotes no pipe mas com ele não navega por nada e o
 down não contabiliza nenhum pacote no pipe o que me sugere que a regra
 de down nem tá sendo usada, ou seja, tem algo errado mesmo. Funciona
 removendo o up mas acho que nem controle de banda no down deve estar
 funcionando.


 Temos que fazer um PR disso e mandar na lista stable. Tu faz Marcio?
 Senão vou fazer aqui quando voltar do almoço.

 []'s
 Gondim
 -



Não fiz cara, está bem corrido aqui essa semana, se vc quiser e puder fazer
fico grato, depois passa os dados para acompanharmos.

Lembrando que isso não é um BUG exclusivo de máquinas virtualizadas, a
situação é a mesma em uma máquina física dedicada ao Free.

Na versão 9.1, funciona tanto em uma máquina física, quanto virtualizada
(com e sem os drivers de virtualização instalados).

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address

2014-02-13 15:24 GMT-02:00 Marcelo Gondim gon...@bsdinfo.com.br:

 Em 13/02/14 11:31, Márcio Elias escreveu:
  2014-02-12 23:59 GMT-02:00 Márcio Elias marcioel...@gmail.com:
 
  2014-02-12 23:42 GMT-02:00 Renato Frederick ren...@frederick.eti.br:
 
  Em 12/02/14 23:31, Márcio Elias escreveu:
  Se funcionar, antes de relatar como BUG ainda vou fazer mais um teste,
  excluindo e recriando a máquina virtual da versão 10, pra realmente
  descartar qualquer possibilidade de erro de  configuração.
  Se puder virtualizar em vmware e mandar o feedback prá nós, fico
  agradecido!
  -
 
 
  Não tenho VMWare aqui fera, soh que eu instale a versão Desktop na minha
  máquina e faça os testes, o difícil vai ser tempo pra isso.
 
  Se alguém tiver um ambiente que possa testar, mando o conjunto de
  configurações/regras mínimas que estou usando pra ver se funciona.
 
 
  Infelizmente tenho os resultados dos testes realizados em uma máquina
 real
  com FreeBSD 10-release.
 
  O resultado foi o mesmo da máquina virtualizada, não sei por que mais ao
  jogar o tráfego de upload para o pipe, o cliente não navega mais...
 
  *00100  2786 1389706 divert 8668 ip from any to me in recv re0*
  *00200  1796  444771 divert 8668 ip from 192.168.0.0/16
  http://192.168.0.0/16 to any out xmit re0*
  *00300  1621 1013920 pipe 150 ip from any to 192.168.5.18
  MAC XX:XX:XX:XX:XX:XX any*
  *--- 00400   534   74471 pipe 155 ip from 192.168.5.18 to any  ##aqui
  tinha controle de MAC, mais testei sem e mesmo assim não foi*
  *65535 19188 6448077 allow ip from any to any*
 
  Não acredito que seja um BUG, deve ter mudado alguma coisa com o FreeBSD
  10, alguém ai tem a oportunidade de reproduzir esse teste?
 
 Marcio fiz um teste aqui e deu o mesmo erro também. Mandei até um e-mail
 pros caras explicando. Aí fui fazer o mesmo teste entrando com as regras
 manualmente e acho que descobri o problema.

 Quando rodo as regras através do script não aparece o erro que dá na
 hora do pipe. Minhas regras de teste:

 ipfw add pipe 1 ip from 67.xxx.89.78 to any 80 out via xn0
 ipfw add pipe 2 ip from any 80 to 67.xxx.89.78 in via xn0
 ipfw pipe 1 config bw 1024Kbit/s queue 128 burst 2M
 ipfw pipe 2 config bw 1024Kbit/s queue 128 burst 2M

 Rodando as 2 do pipe manualmente deu a mensagem abaixo que a queue size
 tinha que ser maior igual à 2 e menor igual à 100. Refiz a regra usando
 queue com 100 e funcionou normalmente. Existe uma sysctl que permite
 aumentar o valor da queue: net.inet.ip.dummynet.pipe_slot_limit onde
 posso aumentar para 128 e aí minhas regras também funcionariam. Por um
 acaso não é isso que está acontecendo contigo?

 # ipfw pipe 1 config bw 1024Kbit/s queue 128 burst 2M
 ipfw: 2 = queue size = 100

 # ipfw pipe 2 config bw 1024Kbit/s queue 128 burst 2M
 ipfw: 2 = queue size = 100

 []'s
 Gondim
 -


Humm, mais eu não estou configurando o pipe desta forma, estou
especificando somente a largura de banda, veja como estou fazendo:

ipfw pipe 1 config bw 10Mbits#exemplo para um pipe de 10M

Outra coisa é que para o meu caso não especifico portas, todo o tráfego
passa por esse pipe, isso é o que uso para limitar a velocidade contratada
pelos clientes, por isso tenho um pipe de up e um de down pra cada cliente.

Será que é o mesmo caso?

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address

2014-02-12 Por tôpico Márcio Elias

2014-02-11 15:11 GMT-02:00 Marcelo Gondim gon...@bsdinfo.com.br:

 Em 11/02/14 14:20, Márcio Elias escreveu:
  2014-02-11 9:27 GMT-02:00 Márcio Elias marcioel...@gmail.com:
 
  2014-02-11 1:06 GMT-02:00 Renato Frederick ren...@frederick.eti.br:
 
  Em 11/02/14 00:13, Márcio Elias escreveu:
  Então, como havia respondido anteriormente, já ví que o problema não é
  com
  o controle de mac, se eu colocar a mesma regra jogando o tráfego de
  saída
  para um determinado pipe, sem considerar o mac, também não funciona.
 
  Já tinha virtualizado a versão 9, mais a performance no Xen não ficou
  tão
  boa quanto eu esperava, usei as mesmas regras e funcionava.
  Não querendo ser xiita, mas testa no vmware o que acontece.. não
 esquece
  de instalar o port open-vm-tools-nox11(algo assim) não lembro de
 cabeça.
 
 
 
  Acho que a questão aí é algo entre o BSD e o hypervisor, na hora de
  entregar a interface de rede.
 
  Lá no vmware 3.0, a muito tempo atrás, tive uns casos meio estranhos
  assim, degradava a rede do nada, você olhava o gráfico, estava em 3mb,
  mas um SCP local entre as VM agarrava talvez seja parecido
  -
 
  Então pessoal, para disimar a dúvida amanhã (hoje no caso) vou fazer o
 que
  falei anteriormente, virtualizar o 9 e instalar o 10 na local, se ambos
  funcionarem chego a 2 conclusões, algo está bugado na versão 10 para o
 Xen,
  se a 9 tmb não funcionar, ai tem algo errado no Xen, ou nas VLANs ou em
  alguma outra estrutura empregada, se o 9 funcionar e o 10 não, é por
 que a
  virtualização e todo o resto está OK, e realmente tem alguma
 configuração
  diferente a ser feita no 10.
 
  Se nenhum dos 2 funcionar, ai vou fazer faculdade de Educação física
 rsrs
 
 
  É, já instalei o FreeBSD 9.1 no mesmo servidor de virtualização, o único
  porém é que essa versão tem uns bugs se compilar o kernel para reconhecer
  os drivers do hypervisor, sendo assim, ao invés de reconhecer as placas
 de
  rede como xn0, xn1 ele reconhece como re0, re1. O mesmo acontece com os
  discos, etc.
 
  Mais o interessante mesmo é que o mesmo conjunto de regras funciona.
 
  Agora para ter certeza, vou tentar instalar o 10 em uma máquina real com
  essas mesmas regras, se funcionar, é algum bug relacionado a integração
 do
  Free com o Xen, provavelmente nos drivers XNx.
 
  Se alguém tiver mais alguma novidade coloca ai que to branqueando o resto
  dos cabelos com isso rsrs.
 
 É estranho mesmo. Ainda mais que o pessoal estava falando muito bem das
 melhorias do Xen no FreeBSD 10.x.
 Confirmando isso manda uma PR e e-mail para a lista freebsd-stable pra
 ser corrigido logo.

 []'s
 Gondim
 -


Consegui instalar os drivers e o kernel para virtualização na versão 9.1
que antes não havia conseguido (tudo bem que ainda tem o bug de não
inicializar com o drive de CD instalado).

Adivinhem, também funcionou assim.

Terminei de instalar e configurar uma máquina com a versão 10, mais não
tive tempo de testá-la hoje, irei efetuar os testes amanhã e passo o
resultado.

Se funcionar, antes de relatar como BUG ainda vou fazer mais um teste,
excluindo e recriando a máquina virtual da versão 10, pra realmente
descartar qualquer possibilidade de erro de  configuração.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address

2014-02-12 Por tôpico Márcio Elias

2014-02-12 23:42 GMT-02:00 Renato Frederick ren...@frederick.eti.br:

 Em 12/02/14 23:31, Márcio Elias escreveu:
  Se funcionar, antes de relatar como BUG ainda vou fazer mais um teste,
  excluindo e recriando a máquina virtual da versão 10, pra realmente
  descartar qualquer possibilidade de erro de  configuração.
 Se puder virtualizar em vmware e mandar o feedback prá nós, fico
 agradecido!
 -



Não tenho VMWare aqui fera, soh que eu instale a versão Desktop na minha
máquina e faça os testes, o difícil vai ser tempo pra isso.

Se alguém tiver um ambiente que possa testar, mando o conjunto de
configurações/regras mínimas que estou usando pra ver se funciona.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Radius + PPPoE com FreeBSD + MPD5

2014-02-12 Por tôpico Márcio Elias

Alguém na lista tem uma solução usando radius+mysql (ou postgresql) como
servidor de autenticação com MPD5 e que tenha implementado um sistema de
controle de banda relativo a um sistema de quotas?

Um exemplo básico, tenho um plano de acesso de 10Mbits e queria limitar ele
a 100GB de transferencia mensal, desta forma ao atingir o limite da
franquia o usuário estaria limitado a uma velocidade equivalente a 40% do
seu plano por exemplo. Ao iniciar o mês seguinte essa regra reinicia.

Consegui implementar o servidor Radius, (FreeRadius) com banco de dados,
autenticação PPPoE com MPD5, Controle de banda, tudo certinho. O problema
está em criar as quotas e controlar o limite de banda baseado nisso.

Vi que a FUG está meio desatualizada em artigos, e acho que isso é um
assunto interessante para aqueles que como eu trabalham em ISPs, e
principalmente que utilizam FreeBSD. Gostaria do apoio da comunidade para
implementar isso e lançar um artigo detalhado sobre o assunto para
favorecer os pobres mortais que futuramente terão a mesma dificuldade que
estou tendo hoje para implementar essa solução.

Conto com o apoio dos mestres. ;)

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address

2014-02-11 Por tôpico Márcio Elias

2014-02-11 1:06 GMT-02:00 Renato Frederick ren...@frederick.eti.br:

 Em 11/02/14 00:13, Márcio Elias escreveu:
  Então, como havia respondido anteriormente, já ví que o problema não é
 com
  o controle de mac, se eu colocar a mesma regra jogando o tráfego de saída
  para um determinado pipe, sem considerar o mac, também não funciona.
 
  Já tinha virtualizado a versão 9, mais a performance no Xen não ficou tão
  boa quanto eu esperava, usei as mesmas regras e funcionava.
 Não querendo ser xiita, mas testa no vmware o que acontece.. não esquece
 de instalar o port open-vm-tools-nox11(algo assim) não lembro de cabeça.



 Acho que a questão aí é algo entre o BSD e o hypervisor, na hora de
 entregar a interface de rede.

 Lá no vmware 3.0, a muito tempo atrás, tive uns casos meio estranhos
 assim, degradava a rede do nada, você olhava o gráfico, estava em 3mb,
 mas um SCP local entre as VM agarrava talvez seja parecido
 -


Então pessoal, para disimar a dúvida amanhã (hoje no caso) vou fazer o que
falei anteriormente, virtualizar o 9 e instalar o 10 na local, se ambos
funcionarem chego a 2 conclusões, algo está bugado na versão 10 para o Xen,
se a 9 tmb não funcionar, ai tem algo errado no Xen, ou nas VLANs ou em
alguma outra estrutura empregada, se o 9 funcionar e o 10 não, é por que a
virtualização e todo o resto está OK, e realmente tem alguma configuração
diferente a ser feita no 10.

Se nenhum dos 2 funcionar, ai vou fazer faculdade de Educação física rsrs
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address

Bom dia pessoal da lista,

eu tenho diversos servidores FreeBSD rodando (versões 8.x e 9.x) como
routers para subredes de meus clientes (trabalho em um ISP).

Pois bem, agora com o lançamento do FreeBSD 10 e seus aperfeiçoamentos para
virtualização estou virtualizando meus servidores, mais estou tento um
problema que não tinha nas versões anteriores do Free.

Basicamente eu controlo o acesso de meus clientes por MAC, com IPs fixados
no DHCP e jogo cada cliente em um pipe para Upload e outro para Download.

Cada servidor tem 2 interfaces de rede e estou utilizando o Natd (divert,
ainda não tentei o IPFIREWALL_NAT).

Abaixo seguem as regras (mínimo para facilitar o entendimento) para um
cliente, que funcionavam em versoes anteriores e não estão funcionando na
versão 10.

ipfw add 50 divert natd ip from any to me in recv ${natd_interface}
ipfw add 50 divert natd ip from 192.168.0.0/16 to any out xmit
${natd_interface}
ipfw add 1000 pipe 150 ip from any to 192.168.5.18 MAC XX:XX:XX:XX:XX:XX any
ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC any XX:XX:XX:XX:XX:XX
ipfw add 65535 allow ip from any to any

os pipes:

00155:   1.000 Mbit/s0 ms burst 0
q131227  50 sl. 0 flows (1 buckets) sched 65691 weight 0 lmax 0 pri 0
droptail
 sched 65691 type FIFO flags 0x0 0 buckets 0 active

00150:   4.000 Mbit/s0 ms burst 0
q131222  50 sl. 0 flows (1 buckets) sched 65686 weight 0 lmax 0 pri 0
droptail
 sched 65686 type FIFO flags 0x0 0 buckets 0 active

dentro do dhcpd.conf tenho essa configuração para este cliente:

host 1570 {  hardware ethernet XX:XX:XX:XX:XX:XX;   fixed-address
192.168.5.18;   }

O cliente pega o IP esperado, vejo tráfego normal em todas as regras, mais
um tráfego muito baixo na regra 1010, consigo pingar pra qq lugar, (pq não
estou colocando ICMP nas regras de restrição) mais não consigo ter
navegação no cliente.

Se eu deixo tudo como está e retiro a regra 1010, a navegação ocorre
normalmente, o único problema é que o upload não estará restrito ao mac
address do cliente.

Alguém pode me dar alguma ideia de o que pode estar acontecendo? Sabem se
teve alguma alteração no IPFW ou no Free na versão 10 que alterou esse
comportamento?

O estranho é que a mesma regra de firewall para tráfego de fora para o
cliente funciona, mais do cliente pra fora não.

Agradeço qualquer ideia.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address

 Cara, as únicas variáveis que alterei foi:

net.link.ether.ipfw=1 ##habilitar checagens L2

net.link.ether.ipfw=1 ##habilita o roteamento

Mais nada, não cheguei a notar alguma variável nova na versão 10 para isso...

Ainda não consegui fazer funcionar.


-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2014-02-10 13:50 GMT-02:00 Rafael Aquino raf...@lk6.com.br:


 - Mensagem original -
  De: Márcio Elias marcioel...@gmail.com
  Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
 freebsd@fug.com.br
  Enviadas: Segunda-feira, 10 de fevereiro de 2014 12:04:24
  Assunto: [FUG-BR]  FreeBSD 10-RELEASE + IPFW + MAC Address
 
  Bom dia pessoal da lista,
 
  eu tenho diversos servidores FreeBSD rodando (versões 8.x e 9.x) como
  routers para subredes de meus clientes (trabalho em um ISP).
 
  Pois bem, agora com o lançamento do FreeBSD 10 e seus aperfeiçoamentos
 para
  virtualização estou virtualizando meus servidores, mais estou tento um
  problema que não tinha nas versões anteriores do Free.
 
  Basicamente eu controlo o acesso de meus clientes por MAC, com IPs
 fixados
  no DHCP e jogo cada cliente em um pipe para Upload e outro para Download.
 
  Cada servidor tem 2 interfaces de rede e estou utilizando o Natd (divert,
  ainda não tentei o IPFIREWALL_NAT).
 
  Abaixo seguem as regras (mínimo para facilitar o entendimento) para um
  cliente, que funcionavam em versoes anteriores e não estão funcionando na
  versão 10.
 
  ipfw add 50 divert natd ip from any to me in recv ${natd_interface}
  ipfw add 50 divert natd ip from 192.168.0.0/16 to any out xmit
  ${natd_interface}
  ipfw add 1000 pipe 150 ip from any to 192.168.5.18 MAC XX:XX:XX:XX:XX:XX
 any
  ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC any
 XX:XX:XX:XX:XX:XX
  ipfw add 65535 allow ip from any to any
 
  os pipes:
 
  00155:   1.000 Mbit/s0 ms burst 0
  q131227  50 sl. 0 flows (1 buckets) sched 65691 weight 0 lmax 0 pri 0
  droptail
   sched 65691 type FIFO flags 0x0 0 buckets 0 active
 
  00150:   4.000 Mbit/s0 ms burst 0
  q131222  50 sl. 0 flows (1 buckets) sched 65686 weight 0 lmax 0 pri 0
  droptail
   sched 65686 type FIFO flags 0x0 0 buckets 0 active
 
  dentro do dhcpd.conf tenho essa configuração para este cliente:
 
  host 1570 {  hardware ethernet XX:XX:XX:XX:XX:XX;   fixed-address
  192.168.5.18;   }
 
  O cliente pega o IP esperado, vejo tráfego normal em todas as regras,
 mais
  um tráfego muito baixo na regra 1010, consigo pingar pra qq lugar, (pq
 não
  estou colocando ICMP nas regras de restrição) mais não consigo ter
  navegação no cliente.
 
  Se eu deixo tudo como está e retiro a regra 1010, a navegação ocorre
  normalmente, o único problema é que o upload não estará restrito ao mac
  address do cliente.
 
  Alguém pode me dar alguma ideia de o que pode estar acontecendo? Sabem se
  teve alguma alteração no IPFW ou no Free na versão 10 que alterou esse
  comportamento?
 
  O estranho é que a mesma regra de firewall para tráfego de fora para o
  cliente funciona, mais do cliente pra fora não.
 
  Agradeço qualquer ideia.
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 

 Oi, Marcio,

 Chegaste a comparar variáveis com o sysctl, para ver se alguma variável
 default não mudou,
 ou nova variável surgiu?

 Rafael Mentz Aquino
 LK6 Soluções em TI
 Rua Domingos de Almeida, 135 sala 1102
 Centro - Novo Hamburgo - RS
 (51) 3035-6997 - -7030
 www.lk6.com.br

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address

2014-02-10 17:04 GMT-02:00 Márcio Elias marcioel...@gmail.com:

  Cara, as únicas variáveis que alterei foi:

 net.link.ether.ipfw=1 ##habilitar checagens L2

 net.link.ether.ipfw=1 ##habilita o roteamento

 Mais nada, não cheguei a notar alguma variável nova na versão 10 para isso...

 Ainda não consegui fazer funcionar.


 --
 Att.
 __
 Márcio Elias Hahn do Nascimento

 Araranguá - SC
 Cel:   (55) 48-9661-0233
 msn: marcioeliash...@hotmail.com


 2014-02-10 13:50 GMT-02:00 Rafael Aquino raf...@lk6.com.br:


 - Mensagem original -
  De: Márcio Elias marcioel...@gmail.com
  Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
 freebsd@fug.com.br
  Enviadas: Segunda-feira, 10 de fevereiro de 2014 12:04:24
  Assunto: [FUG-BR]  FreeBSD 10-RELEASE + IPFW + MAC Address
 
  Bom dia pessoal da lista,
 
  eu tenho diversos servidores FreeBSD rodando (versões 8.x e 9.x) como
  routers para subredes de meus clientes (trabalho em um ISP).
 
  Pois bem, agora com o lançamento do FreeBSD 10 e seus aperfeiçoamentos
 para
  virtualização estou virtualizando meus servidores, mais estou tento um
  problema que não tinha nas versões anteriores do Free.
 
  Basicamente eu controlo o acesso de meus clientes por MAC, com IPs
 fixados
  no DHCP e jogo cada cliente em um pipe para Upload e outro para
 Download.
 
  Cada servidor tem 2 interfaces de rede e estou utilizando o Natd
 (divert,
  ainda não tentei o IPFIREWALL_NAT).
 
  Abaixo seguem as regras (mínimo para facilitar o entendimento) para um
  cliente, que funcionavam em versoes anteriores e não estão funcionando
 na
  versão 10.
 
  ipfw add 50 divert natd ip from any to me in recv ${natd_interface}
  ipfw add 50 divert natd ip from 192.168.0.0/16 to any out xmit
  ${natd_interface}
  ipfw add 1000 pipe 150 ip from any to 192.168.5.18 MAC
 XX:XX:XX:XX:XX:XX any
  ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC any
 XX:XX:XX:XX:XX:XX
  ipfw add 65535 allow ip from any to any
 
  os pipes:
 
  00155:   1.000 Mbit/s0 ms burst 0
  q131227  50 sl. 0 flows (1 buckets) sched 65691 weight 0 lmax 0 pri 0
  droptail
   sched 65691 type FIFO flags 0x0 0 buckets 0 active
 
  00150:   4.000 Mbit/s0 ms burst 0
  q131222  50 sl. 0 flows (1 buckets) sched 65686 weight 0 lmax 0 pri 0
  droptail
   sched 65686 type FIFO flags 0x0 0 buckets 0 active
 
  dentro do dhcpd.conf tenho essa configuração para este cliente:
 
  host 1570 {  hardware ethernet XX:XX:XX:XX:XX:XX;   fixed-address
  192.168.5.18;   }
 
  O cliente pega o IP esperado, vejo tráfego normal em todas as regras,
 mais
  um tráfego muito baixo na regra 1010, consigo pingar pra qq lugar, (pq
 não
  estou colocando ICMP nas regras de restrição) mais não consigo ter
  navegação no cliente.
 
  Se eu deixo tudo como está e retiro a regra 1010, a navegação ocorre
  normalmente, o único problema é que o upload não estará restrito ao mac
  address do cliente.
 
  Alguém pode me dar alguma ideia de o que pode estar acontecendo? Sabem
 se
  teve alguma alteração no IPFW ou no Free na versão 10 que alterou esse
  comportamento?
 
  O estranho é que a mesma regra de firewall para tráfego de fora para o
  cliente funciona, mais do cliente pra fora não.
 
  Agradeço qualquer ideia.
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 

 Oi, Marcio,

 Chegaste a comparar variáveis com o sysctl, para ver se alguma variável
 default não mudou,
 ou nova variável surgiu?

 Rafael Mentz Aquino
 LK6 Soluções em TI
 Rua Domingos de Almeida, 135 sala 1102
 Centro - Novo Hamburgo - RS
 (51) 3035-6997 - -7030
 www.lk6.com.br

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd




Desculpem o top posting, usando gmail... :(

-- 
Att.
__
Márcio Elias Hahn do Nascimento
Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address

2014-02-10 17:16 GMT-02:00 Márcio Luciano Donada mdon...@gmail.com:

 Em 10 de fevereiro de 2014 17:04, Márcio Elias marcioel...@gmail.com
 escreveu:

 
  net.link.ether.ipfw=1 ##habilita o roteamento
 
 

 Roteamento que você fala não é o forwarding? net.inet.ip.forwarding


isso, desculpem...

[root@teste /home/teste]# sysctl net.inet.ip.forwarding
net.inet.ip.forwarding: 1



-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address

2014-02-10 17:22 GMT-02:00 Edinilson - ATINET edinil...@atinet.com.br:

 - Mensagem original -
  De: Márcio Elias marcioel...@gmail.com
  Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
  freebsd@fug.com.br
  Enviadas: Segunda-feira, 10 de fevereiro de 2014 12:04:24
  Assunto: [FUG-BR]  FreeBSD 10-RELEASE + IPFW + MAC Address
 
  Bom dia pessoal da lista,
 
  eu tenho diversos servidores FreeBSD rodando (versões 8.x e 9.x) como
  routers para subredes de meus clientes (trabalho em um ISP).
 
  Pois bem, agora com o lançamento do FreeBSD 10 e seus aperfeiçoamentos
  para
  virtualização estou virtualizando meus servidores, mais estou tento um
  problema que não tinha nas versões anteriores do Free.
 
  Basicamente eu controlo o acesso de meus clientes por MAC, com IPs
 fixados
  no DHCP e jogo cada cliente em um pipe para Upload e outro para Download.
 
  Cada servidor tem 2 interfaces de rede e estou utilizando o Natd (divert,
  ainda não tentei o IPFIREWALL_NAT).
 
  Abaixo seguem as regras (mínimo para facilitar o entendimento) para um
  cliente, que funcionavam em versoes anteriores e não estão funcionando na
  versão 10.
 
  ipfw add 50 divert natd ip from any to me in recv ${natd_interface}
  ipfw add 50 divert natd ip from 192.168.0.0/16 to any out xmit
  ${natd_interface}
  ipfw add 1000 pipe 150 ip from any to 192.168.5.18 MAC XX:XX:XX:XX:XX:XX
  any
  ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC any
  XX:XX:XX:XX:XX:XX
  ipfw add 65535 allow ip from any to any
 
  os pipes:
 
  00155:   1.000 Mbit/s0 ms burst 0
  q131227  50 sl. 0 flows (1 buckets) sched 65691 weight 0 lmax 0 pri 0
  droptail
   sched 65691 type FIFO flags 0x0 0 buckets 0 active
 
  00150:   4.000 Mbit/s0 ms burst 0
  q131222  50 sl. 0 flows (1 buckets) sched 65686 weight 0 lmax 0 pri 0
  droptail
   sched 65686 type FIFO flags 0x0 0 buckets 0 active
 
  dentro do dhcpd.conf tenho essa configuração para este cliente:
 
  host 1570 {  hardware ethernet XX:XX:XX:XX:XX:XX;   fixed-address
  192.168.5.18;   }
 
  O cliente pega o IP esperado, vejo tráfego normal em todas as regras,
 mais
  um tráfego muito baixo na regra 1010, consigo pingar pra qq lugar, (pq
 não
  estou colocando ICMP nas regras de restrição) mais não consigo ter
  navegação no cliente.
 
  Se eu deixo tudo como está e retiro a regra 1010, a navegação ocorre
  normalmente, o único problema é que o upload não estará restrito ao mac
  address do cliente.
 
  Alguém pode me dar alguma ideia de o que pode estar acontecendo? Sabem se
  teve alguma alteração no IPFW ou no Free na versão 10 que alterou esse
  comportamento?
 
  O estranho é que a mesma regra de firewall para tráfego de fora para o
  cliente funciona, mais do cliente pra fora não.
 
  Agradeço qualquer ideia.
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 

 A regra
 ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC any
 XX:XX:XX:XX:XX:XX

 está correta?


 Nao seria:
 ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC XX:XX:XX:XX:XX:XX

 Edinilson
 --
 ATINET
 Tel Voz: (0xx11) 4412-0876
 http://www.atinet.com.br



 Não, ao contrário do IP, a sintaxe do MAC é destino, origem...

ai está a explicação do man page do IPFW

{ MAC | mac } dst-mac src-mac
 Match packets with a given dst-mac and src-mac addresses,
speci-
 fied as the any keyword (matching any MAC address), or six
groups
 of hex digits separated by colons, and optionally followed by a
 mask indicating the significant bits.


Ou seja esta regra era supostamente para adicionar ao pipe 155 todo o
tráfego vindo do IP 192.168.5.18 com MAC XX:XX:XX:XX:XX:XX e indo a
qualquer lugar (any) com qualquer MAC (any).

Funciona perfeitamente nas versões anteriores...

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address

2014-02-10 17:27 GMT-02:00 Márcio Elias marcioel...@gmail.com:


 2014-02-10 17:22 GMT-02:00 Edinilson - ATINET edinil...@atinet.com.br:

 - Mensagem original -
  De: Márcio Elias marcioel...@gmail.com
  Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
  freebsd@fug.com.br
  Enviadas: Segunda-feira, 10 de fevereiro de 2014 12:04:24
  Assunto: [FUG-BR]  FreeBSD 10-RELEASE + IPFW + MAC Address
 
  Bom dia pessoal da lista,
 
  eu tenho diversos servidores FreeBSD rodando (versões 8.x e 9.x) como
  routers para subredes de meus clientes (trabalho em um ISP).
 
  Pois bem, agora com o lançamento do FreeBSD 10 e seus aperfeiçoamentos
  para
  virtualização estou virtualizando meus servidores, mais estou tento um
  problema que não tinha nas versões anteriores do Free.
 
  Basicamente eu controlo o acesso de meus clientes por MAC, com IPs
 fixados
  no DHCP e jogo cada cliente em um pipe para Upload e outro para
 Download.
 
  Cada servidor tem 2 interfaces de rede e estou utilizando o Natd
 (divert,
  ainda não tentei o IPFIREWALL_NAT).
 
  Abaixo seguem as regras (mínimo para facilitar o entendimento) para um
  cliente, que funcionavam em versoes anteriores e não estão funcionando
 na
  versão 10.
 
  ipfw add 50 divert natd ip from any to me in recv ${natd_interface}
  ipfw add 50 divert natd ip from 192.168.0.0/16 to any out xmit
  ${natd_interface}
  ipfw add 1000 pipe 150 ip from any to 192.168.5.18 MAC XX:XX:XX:XX:XX:XX
  any
  ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC any
  XX:XX:XX:XX:XX:XX
  ipfw add 65535 allow ip from any to any
 
  os pipes:
 
  00155:   1.000 Mbit/s0 ms burst 0
  q131227  50 sl. 0 flows (1 buckets) sched 65691 weight 0 lmax 0 pri 0
  droptail
   sched 65691 type FIFO flags 0x0 0 buckets 0 active
 
  00150:   4.000 Mbit/s0 ms burst 0
  q131222  50 sl. 0 flows (1 buckets) sched 65686 weight 0 lmax 0 pri 0
  droptail
   sched 65686 type FIFO flags 0x0 0 buckets 0 active
 
  dentro do dhcpd.conf tenho essa configuração para este cliente:
 
  host 1570 {  hardware ethernet XX:XX:XX:XX:XX:XX;   fixed-address
  192.168.5.18;   }
 
  O cliente pega o IP esperado, vejo tráfego normal em todas as regras,
 mais
  um tráfego muito baixo na regra 1010, consigo pingar pra qq lugar, (pq
 não
  estou colocando ICMP nas regras de restrição) mais não consigo ter
  navegação no cliente.
 
  Se eu deixo tudo como está e retiro a regra 1010, a navegação ocorre
  normalmente, o único problema é que o upload não estará restrito ao mac
  address do cliente.
 
  Alguém pode me dar alguma ideia de o que pode estar acontecendo? Sabem
 se
  teve alguma alteração no IPFW ou no Free na versão 10 que alterou esse
  comportamento?
 
  O estranho é que a mesma regra de firewall para tráfego de fora para o
  cliente funciona, mais do cliente pra fora não.
 
  Agradeço qualquer ideia.
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 

 A regra
 ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC any
 XX:XX:XX:XX:XX:XX

 está correta?


 Nao seria:
 ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC XX:XX:XX:XX:XX:XX

 Edinilson
 --
 ATINET
 Tel Voz: (0xx11) 4412-0876
 http://www.atinet.com.br



 Não, ao contrário do IP, a sintaxe do MAC é destino, origem...

 ai está a explicação do man page do IPFW

 { MAC | mac } dst-mac src-mac
  Match packets with a given dst-mac and src-mac addresses,
 speci-
  fied as the any keyword (matching any MAC address), or six
 groups
  of hex digits separated by colons, and optionally followed by
 a
  mask indicating the significant bits.


 Ou seja esta regra era supostamente para adicionar ao pipe 155 todo o
 tráfego vindo do IP 192.168.5.18 com MAC XX:XX:XX:XX:XX:XX e indo a
 qualquer lugar (any) com qualquer MAC (any).

 Funciona perfeitamente nas versões anteriores...

 --
 Att.
 __
 Márcio Elias Hahn do Nascimento

 Araranguá - SC
 Cel:   (55) 48-9661-0233
 msn: marcioeliash...@hotmail.com



Pessoal, o que estava estranho, ficou mais estranho ainda.

a dita regra 1010 que considerava o IP + MAC, fiz um teste considerando
somente o IP ficando assim

ipfw add 1010 pipe 155 ip from 192.168.5.18 to any

e pasmem, não funcionou

Ou seja, o problema está em filtrar o Upload, agora porque será?


-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address

2014-02-10 20:31 GMT-02:00 Renato Frederick ren...@frederick.eti.br:

 Em 10/02/14 12:04, Márcio Elias escreveu:
  Bom dia pessoal da lista,
 
  eu tenho diversos servidores FreeBSD rodando (versões 8.x e 9.x) como
  routers para subredes de meus clientes (trabalho em um ISP).
 
  Pois bem, agora com o lançamento do FreeBSD 10 e seus aperfeiçoamentos
 para
  virtualização estou virtualizando meus servidores, mais estou tento um
  problema que não tinha nas versões anteriores do Free.
 
 o que melhorou pra virtualizar? tenho uns 8 e ate 7 em cima de vmware
 com tools instalo tudo direitinho :)
 -


Estou usando o Citrix XenServer 6.2.

http://blog.xen.org/index.php/2014/01/21/improved-xen-support-in-freebsd/


-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] FreeBSD 10-RELEASE + IPFW + MAC Address

2014-02-10 22:10 GMT-02:00 Renato Frederick ren...@frederick.eti.br:

 Em 10/02/14 12:04, Márcio Elias escreveu:
  Abaixo seguem as regras (mínimo para facilitar o entendimento) para um
  cliente, que funcionavam em versoes anteriores e não estão funcionando na
  versão 10.
 
  ipfw add 50 divert natd ip from any to me in recv ${natd_interface}
  ipfw add 50 divert natd ip from 192.168.0.0/16 to any out xmit
  ${natd_interface}
  ipfw add 1000 pipe 150 ip from any to 192.168.5.18 MAC XX:XX:XX:XX:XX:XX
 any
  ipfw add 1010 pipe 155 ip from 192.168.5.18 to any MAC any
 XX:XX:XX:XX:XX:XX
  ipfw add 65535 allow ip from any to any
 Opa

 olha aqui[1]...

   Sempre coloco um not layer2, isto já me deu lentidão ou tráfego que
 não alcançava o que eu mandava, assim eu sempre faço agora:

 112945525 398239003 pipe 1234 ip from 11.2.3.4 to any in via xl0
 not layer2
 1242579974135972152 pipe 4567 ip from any to 11.2.3.4 out via
 xl0 not layer2


 Pela sua saída do pipe, acho que não mudou nada do free antigo, tá igual
 a minha

 pipe 1234 show
 1234: 256.000 Kbit/s0 ms burst 0
 q135100  50 sl. 0 flows (1 buckets) sched 69564 weight 0 lmax 0 pri 0
 droptail
   sched 69564 type FIFO flags 0x0 0 buckets 0 active


 Sobre a sysctl, tá igual aqui tb

 net.link.ether.ipfw=1


 [1]http://www.fug.com.br/historico/html/freebsd/2010-01/msg00099.html
 -


Então, como havia respondido anteriormente, já ví que o problema não é com
o controle de mac, se eu colocar a mesma regra jogando o tráfego de saída
para um determinado pipe, sem considerar o mac, também não funciona.

Já tinha virtualizado a versão 9, mais a performance no Xen não ficou tão
boa quanto eu esperava, usei as mesmas regras e funcionava.

Até cheguei a pensar em algum erro na configuração das VLANs entre o Server
rodando do Xen e o Switch Dell onde o mesmo está conectado, mais está tudo
certo, fiz e refiz, tanto é que sem a regra que joga o tráfego de saída
para o pipe, o nat funciona passando pela máquina virtual como gateway.

Não sei muito bem o que fazer, acho que vou reinstalar o 9 em outra máquina
virtual no mesmo servidor físico, fazer a mesma configuração e ver se
funciona, depois vou instalar o 10 em um servidor físico dedicado e fazer o
mesmo teste.

Pode ser que assim eu encontre alguma coisa.

Tá certo que o 10-RELEASE é recente, mais a documentação mais rica que
achei foi o RELEASE NOTES.

Por exemplo IPFIREWALL_NAT tem um texto minúsculo no man page do IPFW.
Espero que com o passar do tempo essas documentações sejam atualizadas.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RES: Thundercache para conteúdos dinâmicos [OFF - TOPIC]

2014-01-12 Por tôpico Márcio Elias

2014/1/9 Evandro Nunes evandronune...@gmail.com

 2014/1/9 Márcio Elias marcioel...@gmail.com

  Evandro, se essa pergunta voce teve esse aumento de cpu com wccp com
  quantos Mbit/s passando? from pra mim, queria dizer que o aumento de CPU
  que me refiro foi do Router e não do cache, pois o router tem que
  direcionar o tráfego pro cache.
 

 era sim, sim estou falando do router mesmo pra entender qual impacto do
 wccp e se é maior ou menor que um mikrotik com mangle ou ipfw fwd


 
  Hoje temos um Hyper 300, link dedicado de 300M e a minha máquina onde o
 

 desses 300 quantos mbit/s é de porta 80 (ou seja passa pelo wccp)?


  Hyper está instalado é essa:
 
  Dual Xeon 3.2
 
  48GB Ram
 
  25 discos sata 7200rpm de 500G cada.
 
  Segundo o suporte da Thagos, nossa máquina nesta configuração suportaria
  até o T-500 (versão do Hyper para até 500MB de tráfego).
 
  Não conheco o PeerApp, mais pelo que vejo o pessoal comentando e
  principalmente sobre os orçamentos dele, acho que eh algo muito além de
  qualquer outra solução citada aqui.
 
  O mais importante não é ter a melhor e mais cara solução, e sim aquela
 que
  melhor se enquadra nas necessidades de cada cenário e te da possibilidade
  de evolução, com estabilidade e um bom custo benefício. Por isso acho que
  há mercado para todos.
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
 
 
  2014/1/9 Evandro Nunes evandronune...@gmail.com
 
   hoje o thunder ja suporta wccp
   no passado era possivel fazer wccp pro lusca e o lusca redir pro
 thunder
   mas o thunder sozinho da mais conta que o lusca
  
   o thunder evoluiu muito e com um hardware confiavel nao deve nada a
  solucao
   da taghos mas ainda deve pro peer app que cacheia outros conteudos alem
  de
   web, mas o custo beneficio do thunder é melhor
  
   voce teve esse aumento de cpu com wccp com quantos Mbit/s passando?
  
  
   2014/1/4 Ciro Cardoso de Meneses cirodemene...@gmail.com
  
Meu melhor site com o thundercache é este:
   
924 clientes
   
Gateway:
   xeon dell quadcore (antigo)
  8G Mem
  6Hds (1 sistema, 3 lusca, 2 thunder)
  Freebsd 9.2
  unbound
  lusca
  thundercache
   
   
Controlador de Banda: core i7 (xinglig) com placa intel dual giga +
   Freebsd 8.4
   unbound
   dummynet
   
/0   /1   /2   /3   /4   /5   /6   /7   /8   /9
  /10
 Load Average   |||
   
  Interface   Traffic   Peak
   Total
  tun16  in  0.000 Mb/s  0.001 Mb/s
  24.848
   KB
 out 0.000 Mb/s  0.000 Mb/s
  51.946
   MB
   
   tun0  in  0.000 Mb/s  0.000 Mb/s
  72.280
   MB
 out 0.000 Mb/s  0.000 Mb/s
  84.155
   MB
   
lo0  in 31.293 Mb/s 42.755 Mb/s
   3.588
   TB
 out31.293 Mb/s 42.755 Mb/s
   3.588
   TB
   
   bge0  in 86.964 Mb/s 93.284 Mb/s
   6.892
   TB
 out 8.955 Mb/s  9.078 Mb/s
   1.018
   TB
   
   igb0  in  9.008 Mb/s 10.272 Mb/s
   1.083
   TB
 out   191.210 Mb/s205.633 Mb/s
  16.764
   TB
   
   
last pid: 16702;  load averages:  1.14,  1.20,
1.10
up 16+19:19:32  13:28:47
61 processes:  2 running, 58 sleeping, 1 waiting
CPU 0:  2.2% user,  0.0% nice, 12.7% system,  6.0% interrupt, 79.0%
  idle
CPU 1:  1.5% user,  0.0% nice, 24.0% system,  8.2% interrupt, 66.3%
  idle
CPU 2:  4.9% user,  0.0% nice, 12.7% system,  5.2% interrupt, 77.2%
  idle
CPU 3:  3.7% user,  0.0% nice, 13.9% system,  7.5% interrupt, 74.9%
  idle
Mem: 4230M Active, 1400M Inact, 1443M Wired, 95M Cache, 827M Buf,
 743M
   Free
ARC: 243M Total, 1008K MFU, 114M MRU, 23M Anon, 4177K Header, 101M
  Other
Swap: 4096M Total, 9616K Used, 4086M Free
   
  PID USERNAMETHR PRI NICE   SIZERES STATE   C   TIMECPU
COMMAND
   11 root  4 171 ki31 0K64K RUN 0 1403.9 322.51%
   idle
   12 root 27 -60- 0K   432K WAIT0  57.7H 22.90%
  intr
0 root885  -80 0K 14160K -   0  49.6H 18.95%
   kernel
49295 squid37  440  4520M  4414M ucond   0 256:40 18.36%
   squid
49258 root216  470   727M   647M ucond   2 180:14  0.98%
thunder71_f64_r972
   
   
   
Em 4 de janeiro de 2014 11:16, Márcio Elias marcioel...@gmail.com
escreveu:
   
 Já usei o SpeedBR (uma MERDA SEM TAMANHO), o Thunder íamos usar
 inicialmente mais este não tinha implementação para WCCP e
 queríamos
 redirecionar o tráfego do nosso border router pra ele, ai chegamos
 ao
 Thagos que usamos hoje. O nome da solução deles é Hyper Cache.

 Para terem uma ideia já que mencionaram

Re: [FUG-BR] FreeBSD 10.0 RC3 disponível para download

Sai do Slackware para o FreBSD (5 na época), nunca conseguia entender o
iptables, altamente complexo na minha opinião, o IPFW foi minha maior
motivação, sem contar Ports e Kernel que por mais incrível que pareça, na
minha primeira tentativa de compilação no Free saiu tudo como eu queria (no
linux essa alegria vinha depois de muitas tentativas).

Uso hoje FreeBSD para servidores, e estou aguardando com muita anciedade,
por que quero virtualizar algumas máquinas com XenServer, e vi que os RC
que testei se comportaram muito melhor que as versões 9.x.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2014/1/9 Wenderson Souza wendersonso...@gmail.com

 Em 7 de janeiro de 2014 15:36, Renato Frederick
 ren...@frederick.eti.brescreveu:

  Em 07/01/14 15:28, Renato Botelho escreveu:
  
   Uma regressão foi corrigida, então um novo RC é necessário. :)
  
   http://svnweb.freebsd.org/base?view=revisionrevision=260378
  
  Meio off topic meu comentário mas... credo tô velho, tô lembrando
  que foi o BSD 4.(alguma coisa) quando eu comecei a brincadeira de deixar
  de usar LINUX SLACKWARE para usar o BSD, devido a facilidade e
  integridade de ports na época eu fazia tudo na unha ./configure 
  make  hehehheeh
 
  disto aí para o 10 é coisa para caramba :)
 

 Eu estou há uns 3 anos no FreeBSD. Eu saí do Linux exatamente pelo mesmo
 motivo.

 Sem contar:
 - as recompiladas de kernel que eram um martírio;
 - as placas que rede que não eram reconhecidas pelo kernel genérico;
 - a total integração do firewall com o controle de banda (em linux tinha
 que ir ou de htb e do outro que nem lembro mais. rsrsr)
 - entre outras.


 Atenciosamente,

 Wenderson Souza - wendersonso...@gmail.com
 Gerente de TI - 6P Telecom
 Skype: wendersonsouza
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RES: Thundercache para conteúdos dinâmicos [OFF - TOPIC]

Evandro, se essa pergunta voce teve esse aumento de cpu com wccp com
quantos Mbit/s passando? from pra mim, queria dizer que o aumento de CPU
que me refiro foi do Router e não do cache, pois o router tem que
direcionar o tráfego pro cache.

Hoje temos um Hyper 300, link dedicado de 300M e a minha máquina onde o
Hyper está instalado é essa:

Dual Xeon 3.2

48GB Ram

25 discos sata 7200rpm de 500G cada.

Segundo o suporte da Thagos, nossa máquina nesta configuração suportaria
até o T-500 (versão do Hyper para até 500MB de tráfego).

Não conheco o PeerApp, mais pelo que vejo o pessoal comentando e
principalmente sobre os orçamentos dele, acho que eh algo muito além de
qualquer outra solução citada aqui.

O mais importante não é ter a melhor e mais cara solução, e sim aquela que
melhor se enquadra nas necessidades de cada cenário e te da possibilidade
de evolução, com estabilidade e um bom custo benefício. Por isso acho que
há mercado para todos.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2014/1/9 Evandro Nunes evandronune...@gmail.com

 hoje o thunder ja suporta wccp
 no passado era possivel fazer wccp pro lusca e o lusca redir pro thunder
 mas o thunder sozinho da mais conta que o lusca

 o thunder evoluiu muito e com um hardware confiavel nao deve nada a solucao
 da taghos mas ainda deve pro peer app que cacheia outros conteudos alem de
 web, mas o custo beneficio do thunder é melhor

 voce teve esse aumento de cpu com wccp com quantos Mbit/s passando?


 2014/1/4 Ciro Cardoso de Meneses cirodemene...@gmail.com

  Meu melhor site com o thundercache é este:
 
  924 clientes
 
  Gateway:
 xeon dell quadcore (antigo)
8G Mem
6Hds (1 sistema, 3 lusca, 2 thunder)
Freebsd 9.2
unbound
lusca
thundercache
 
 
  Controlador de Banda: core i7 (xinglig) com placa intel dual giga +
 Freebsd 8.4
 unbound
 dummynet
 
  /0   /1   /2   /3   /4   /5   /6   /7   /8   /9   /10
   Load Average   |||
 
Interface   Traffic   PeakTotal
tun16  in  0.000 Mb/s  0.001 Mb/s   24.848
 KB
   out 0.000 Mb/s  0.000 Mb/s   51.946
 MB
 
 tun0  in  0.000 Mb/s  0.000 Mb/s   72.280
 MB
   out 0.000 Mb/s  0.000 Mb/s   84.155
 MB
 
  lo0  in 31.293 Mb/s 42.755 Mb/s3.588
 TB
   out31.293 Mb/s 42.755 Mb/s3.588
 TB
 
 bge0  in 86.964 Mb/s 93.284 Mb/s6.892
 TB
   out 8.955 Mb/s  9.078 Mb/s1.018
 TB
 
 igb0  in  9.008 Mb/s 10.272 Mb/s1.083
 TB
   out   191.210 Mb/s205.633 Mb/s   16.764
 TB
 
 
  last pid: 16702;  load averages:  1.14,  1.20,
  1.10
  up 16+19:19:32  13:28:47
  61 processes:  2 running, 58 sleeping, 1 waiting
  CPU 0:  2.2% user,  0.0% nice, 12.7% system,  6.0% interrupt, 79.0% idle
  CPU 1:  1.5% user,  0.0% nice, 24.0% system,  8.2% interrupt, 66.3% idle
  CPU 2:  4.9% user,  0.0% nice, 12.7% system,  5.2% interrupt, 77.2% idle
  CPU 3:  3.7% user,  0.0% nice, 13.9% system,  7.5% interrupt, 74.9% idle
  Mem: 4230M Active, 1400M Inact, 1443M Wired, 95M Cache, 827M Buf, 743M
 Free
  ARC: 243M Total, 1008K MFU, 114M MRU, 23M Anon, 4177K Header, 101M Other
  Swap: 4096M Total, 9616K Used, 4086M Free
 
PID USERNAMETHR PRI NICE   SIZERES STATE   C   TIMECPU
  COMMAND
 11 root  4 171 ki31 0K64K RUN 0 1403.9 322.51%
 idle
 12 root 27 -60- 0K   432K WAIT0  57.7H 22.90% intr
  0 root885  -80 0K 14160K -   0  49.6H 18.95%
 kernel
  49295 squid37  440  4520M  4414M ucond   0 256:40 18.36%
 squid
  49258 root216  470   727M   647M ucond   2 180:14  0.98%
  thunder71_f64_r972
 
 
 
  Em 4 de janeiro de 2014 11:16, Márcio Elias marcioel...@gmail.com
  escreveu:
 
   Já usei o SpeedBR (uma MERDA SEM TAMANHO), o Thunder íamos usar
   inicialmente mais este não tinha implementação para WCCP e queríamos
   redirecionar o tráfego do nosso border router pra ele, ai chegamos ao
   Thagos que usamos hoje. O nome da solução deles é Hyper Cache.
  
   Para terem uma ideia já que mencionaram a mudança no youtube, a alguns
  dias
   (quando isso ocorreu) notei que meu percentual de economia diminuiu
  muito,
   e voltou a crescer, ai entrei em contato com o suporte deles (24x7) e
 me
   disseram que tinham tirado o youtube (o que causou a diminuição da
   economia), fizeram a implementação de acordo com o novo protocolo
 deles,
   limparam o conteúdo em cache antigo (somente referente ao youtube) e
   colocaram o mesmo para funcionar novamente, sem eu nem ficar sabendo.
  
   Ou seja

Re: [FUG-BR] RES: Thundercache para conteúdos dinâmicos [OFF - TOPIC]

Desculpem, onde disse 25 discos está errado, são 15 discos.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2014/1/9 Márcio Elias marcioel...@gmail.com

 Evandro, se essa pergunta voce teve esse aumento de cpu com wccp com
 quantos Mbit/s passando? from pra mim, queria dizer que o aumento de CPU
 que me refiro foi do Router e não do cache, pois o router tem que
 direcionar o tráfego pro cache.

 Hoje temos um Hyper 300, link dedicado de 300M e a minha máquina onde o
 Hyper está instalado é essa:

 Dual Xeon 3.2

 48GB Ram

 25 discos sata 7200rpm de 500G cada.

 Segundo o suporte da Thagos, nossa máquina nesta configuração suportaria
 até o T-500 (versão do Hyper para até 500MB de tráfego).

 Não conheco o PeerApp, mais pelo que vejo o pessoal comentando e
 principalmente sobre os orçamentos dele, acho que eh algo muito além de
 qualquer outra solução citada aqui.

 O mais importante não é ter a melhor e mais cara solução, e sim aquela que
 melhor se enquadra nas necessidades de cada cenário e te da possibilidade
 de evolução, com estabilidade e um bom custo benefício. Por isso acho que
 há mercado para todos.

 --
 Att.
 __
 Márcio Elias Hahn do Nascimento

 Araranguá - SC
 Cel:   (55) 48-9661-0233
 msn: marcioeliash...@hotmail.com


 2014/1/9 Evandro Nunes evandronune...@gmail.com

 hoje o thunder ja suporta wccp
 no passado era possivel fazer wccp pro lusca e o lusca redir pro thunder
 mas o thunder sozinho da mais conta que o lusca

 o thunder evoluiu muito e com um hardware confiavel nao deve nada a
 solucao
 da taghos mas ainda deve pro peer app que cacheia outros conteudos alem de
 web, mas o custo beneficio do thunder é melhor

 voce teve esse aumento de cpu com wccp com quantos Mbit/s passando?


 2014/1/4 Ciro Cardoso de Meneses cirodemene...@gmail.com

  Meu melhor site com o thundercache é este:
 
  924 clientes
 
  Gateway:
 xeon dell quadcore (antigo)
8G Mem
6Hds (1 sistema, 3 lusca, 2 thunder)
Freebsd 9.2
unbound
lusca
thundercache
 
 
  Controlador de Banda: core i7 (xinglig) com placa intel dual giga +
 Freebsd 8.4
 unbound
 dummynet
 
  /0   /1   /2   /3   /4   /5   /6   /7   /8   /9
 /10
   Load Average   |||
 
Interface   Traffic   Peak
  Total
tun16  in  0.000 Mb/s  0.001 Mb/s
 24.848 KB
   out 0.000 Mb/s  0.000 Mb/s
 51.946 MB
 
 tun0  in  0.000 Mb/s  0.000 Mb/s
 72.280 MB
   out 0.000 Mb/s  0.000 Mb/s
 84.155 MB
 
  lo0  in 31.293 Mb/s 42.755 Mb/s
  3.588 TB
   out31.293 Mb/s 42.755 Mb/s
  3.588 TB
 
 bge0  in 86.964 Mb/s 93.284 Mb/s
  6.892 TB
   out 8.955 Mb/s  9.078 Mb/s
  1.018 TB
 
 igb0  in  9.008 Mb/s 10.272 Mb/s
  1.083 TB
   out   191.210 Mb/s205.633 Mb/s
 16.764 TB
 
 
  last pid: 16702;  load averages:  1.14,  1.20,
  1.10
  up 16+19:19:32  13:28:47
  61 processes:  2 running, 58 sleeping, 1 waiting
  CPU 0:  2.2% user,  0.0% nice, 12.7% system,  6.0% interrupt, 79.0% idle
  CPU 1:  1.5% user,  0.0% nice, 24.0% system,  8.2% interrupt, 66.3% idle
  CPU 2:  4.9% user,  0.0% nice, 12.7% system,  5.2% interrupt, 77.2% idle
  CPU 3:  3.7% user,  0.0% nice, 13.9% system,  7.5% interrupt, 74.9% idle
  Mem: 4230M Active, 1400M Inact, 1443M Wired, 95M Cache, 827M Buf, 743M
 Free
  ARC: 243M Total, 1008K MFU, 114M MRU, 23M Anon, 4177K Header, 101M Other
  Swap: 4096M Total, 9616K Used, 4086M Free
 
PID USERNAMETHR PRI NICE   SIZERES STATE   C   TIMECPU
  COMMAND
 11 root  4 171 ki31 0K64K RUN 0 1403.9 322.51%
 idle
 12 root 27 -60- 0K   432K WAIT0  57.7H 22.90%
 intr
  0 root885  -80 0K 14160K -   0  49.6H 18.95%
 kernel
  49295 squid37  440  4520M  4414M ucond   0 256:40 18.36%
 squid
  49258 root216  470   727M   647M ucond   2 180:14  0.98%
  thunder71_f64_r972
 
 
 
  Em 4 de janeiro de 2014 11:16, Márcio Elias marcioel...@gmail.com
  escreveu:
 
   Já usei o SpeedBR (uma MERDA SEM TAMANHO), o Thunder íamos usar
   inicialmente mais este não tinha implementação para WCCP e queríamos
   redirecionar o tráfego do nosso border router pra ele, ai chegamos ao
   Thagos que usamos hoje. O nome da solução deles é Hyper Cache.
  
   Para terem uma ideia já que mencionaram a mudança no youtube, a alguns
  dias
   (quando isso ocorreu) notei que meu percentual de economia diminuiu
  muito,
   e voltou a crescer, ai entrei em contato com o suporte deles (24x7) e
 me
   disseram que tinham tirado o youtube (o que causou a diminuição da
   economia), fizeram a implementação de acordo com o novo

Re: [FUG-BR] RES: Thundercache para conteúdos dinâmicos [OFF - TOPIC]



 Márcio, qual nível de RAID está utilizando nessa configuração, ou não está
 utilizando? Realmente, uma bela máquina!



Olá Alexandre, não tinha visto sua pergunta, na verdade não está sendo
usando RAID (pelo menos com intuito de agilidade ou segurança), o que
acontece é que para cada disco físico crio um virtual na controladora, mais
não estou fazendo arranjos dos mesmos em RAID.

Não tenho acesso a configuração do Hyper (é toda feita pelo suporte da
própria Thagos) somente posso visualizar a parte gerencial do produto, por
isso não posso afirmar como eles configuraram, mais o que posso te dizer é
que já ouve casos de um disco corromper (muita leitura e escrita) e eles
retirarem esse disco do sistema (Hyper).

Sei que o produto da Thagos roda em cima do Gentoo Linux, por que vi na
inicialização da máquina, eles devem fazer via software os arranjos, até
por que assim eles tem controle absoluto sobre a máquina, restando pra mim
fazer apenas as alterações físicas.

Curiosidade: Saiu uma propaganda do Hyper na BSD Magazine de 11/2013, achei
que lá apareciam produtos relacionados ao mundo BSD.


-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RES: Thundercache para conteúdos dinâmicos [OFF - TOPIC]

2014-01-04 Por tôpico Márcio Elias

Já usei o SpeedBR (uma MERDA SEM TAMANHO), o Thunder íamos usar
inicialmente mais este não tinha implementação para WCCP e queríamos
redirecionar o tráfego do nosso border router pra ele, ai chegamos ao
Thagos que usamos hoje. O nome da solução deles é Hyper Cache.

Para terem uma ideia já que mencionaram a mudança no youtube, a alguns dias
(quando isso ocorreu) notei que meu percentual de economia diminuiu muito,
e voltou a crescer, ai entrei em contato com o suporte deles (24x7) e me
disseram que tinham tirado o youtube (o que causou a diminuição da
economia), fizeram a implementação de acordo com o novo protocolo deles,
limparam o conteúdo em cache antigo (somente referente ao youtube) e
colocaram o mesmo para funcionar novamente, sem eu nem ficar sabendo.

Ou seja, vc paga a licença pra eles, tem suporte 24x7, e desenvolvimento
constante, vc nem sabe que precisa se preocupar com isso, eles se preocupam
por vc.

Quanto a filtros de conteúdo, pelo que ví não tem no Hyper da Thagos, mais
acho que isso hoje em dia, não sei seu cenário, mais é um tanto complicado,
até mesmo o google nas buscas usa protocolo HTTPS, sendo assim o proxy tem
que interceptar as conexões na porta 443, fazer uma nova requisição como se
fosse o cliente, (para ter acesso aos dados da conexão) e então devolver o
resultado ao cliente original usando um certificado SSL do próprio proxy,
que não é o certificado original do endereço visitado, o que para o Chrome
por exemplo é o bastante para impedir a navegação, outros browsers como
Firefox ou IE até permitem, mais o cliente fica louco de tanto ter que
aceitar certificados não assinados.

Quanto a filtragem, acredito que tería que ser feita por um firewall, (do
meu ponto de vista).

Um ultimo concelho, o tráfego de dados entre todos seus usuários e a
internet pode ser demasiadamente grande para colocar uma máquina em bridge
no meio e esperar que funcione, (acima de 50M de link já não aconcelho),
por que vai ser muito fácil essa máquina entrar em colapso e deixar todos
seus usuários sem acesso, por isso, continue com a ideia de
redirecionamento de tráfego.

Uma coisa que posso dizer (e que um colega citou acima) é que o
redirecionamento de tráfego consome muita CPU, nosso router (um Cisco 7200)
subiu certa de 25% o processamento a partir do momento que foi habilitado o
protocolo WCCP para o redirecionamento de pacotes.

Bom isso é um apanhado geral entre meus conhecimentos e experiências,
espero que ajude, e se notarem que estou equivocado em algum ponto, é só
falar.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2014/1/4 Cobausque cobaus...@ig.com.br

 Realmente utilizo ele aqui é show de bola consigo um ótimo desempenho e um
 retorno considerável.
 Mas estou usando ele com Tproxy e com plataforma LINUX
 Havia postado um exemplo na underlinux
 https://under-linux.org/showthread.php?t=160329

 -Mensagem original-
 De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome
 de Alexandre Silva Nano
 Enviada em: sexta-feira, 3 de janeiro de 2014 17:50
 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 Assunto: Re: [FUG-BR] Thundercache para conteúdos dinâmicos [OFF - TOPIC]

 Em 3 de janeiro de 2014 16:36, Lucas FL lucas.f.lot...@gmail.com
 escreveu:

  Olá,
 
  Também existe o InComum:
  http://sourceforge.net/projects/incomum/
  https://lists.sourceforge.net/lists/listinfo/incomum-users
 
  Apesar da recente mudança do youtube, que dificulta ainda mais o
  cache, acredito que seja a opção mais transparente, leve e funcional
  que podemos encontrar.
 
  Att.
 
  Lucas F. Lotaif
 

 Verdade! Esqueci de mencionar o inComum, porém o mesmo não funciona mais
 com
 o Youtube depois da mudança do método de streaming. Já usei bastante e com
 sucesso em vários locais.

 Ele ainda é excelente para fazer cache de outros conteúdos.

 --
 Att, Alexandre Silva Nano
 Nanotec Consultoria TIC
 Enterasys Security Systems Engineer - IPS/SIEM Enterasys Certified
 Specialist - NAC, Switching

 Analista de Tecnologia da Informação e Comunicação

 Perfil LinkedIn: http://br.linkedin.com/pub/alexandre-silva-nano/33/59/77a
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ISO do FreeBSD 10 - RC4 não inicializa

2014-01-02 Por tôpico Márcio Elias

Então acho que o colega já entendeu heheh, depois dessa nunca mais vai
trocar amd64 por ia64 hehehehe

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2014/1/2 Paulo Henrique - BSDs Brasil paulo.rd...@bsd.com.br

 Em 02/01/2014 13:34, Nicolas Wildner escreveu:
  - Mensagem original -
  De: Otacílio otacilio.n...@bsd.com.br
  Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
 freebsd@fug.com.br
  Enviadas: Quinta-feira, 2 de Janeiro de 2014 13:26:04
  Assunto: [FUG-BR] ISO do FreeBSD 10 - RC4 não inicializa
 
  Fiz o download do iso
 
 ftp://ftp.freebsd.org/pub/FreeBSD/releases/ia64/ia64/ISO-IMAGES/10.0/FreeBSD-10.0-RC4-ia64-disc1.iso
  e estou tentando instalá-lo em uma máquina virtual, mas esta insiste
  em
  dizer que o disco não é bootável. Alguém está passando por algo
  semelhante ou pode me dar alguma dica do problema?
 
  []'s
  -Otacílio
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
  O virtualizador que tu usa, suporta as instruções
  EMT64(arquitetura ia64)? Lembrando que EMT64 e AMD64
  são incompatíveis.
 
  Se sim, que software de virtualização estas utilizando?
 
 
  Nícolas Wildner
  Analista de Infraestrutura de TI
  Transportes Bertolini Ltda.
  www.tbl.com.br
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 Ao que bem me recordo não á virtualizador para arquiteturas RISC IA64 (
 Itanium e Itanium 2 ) sobre processadores x86-64, ao contrario é
 nativo,  há porém  emuladores apenas para essa arquitetura, com diversas
 restrições de operação quanto ao assembler utilizado.
 As instrusções EMT64 e AMD64 são ambos conjuntos de instruções de 64Bits
 para arquiteturas x86-64, vulgarmente conhecidas como AMD64 pois os
 primeiros processadores a te-las foram os antigos Atlhon 64 Soquete 754
 ( tambem conhecidos como K8 ) e ambas são compativeis.

 O que ele está tendo problemas é que está usando uma imagem para
 processadores Itanium/Itanium 2 ( RISC IA64 ) e não para AMD/EMT64 que
 possivelmente é o que ele tem como processador.
 Uma breve leitura quanto a tipo de arquiteturas de processadores,
 caracteristicas e classificações iria ser o suficiente para compreender
 qual é a iso correta.


 Att. Paulo Henrique.


 --
 Paulo Henrique.
 BSDs Brasil / UnixBSD.

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] FreeBSD 10.0 RC3 disponível para download

2013-12-27 Por tôpico Márcio Elias

Também rodo a 10-RC2 em alguns servidores virtualizados (para testes)
usando Xen da Citrix, a versão 10 está muitos anos luz a frente das
anteriores. Estou esperando a versão final para colocar estes servidores em
produção.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2013/12/27 Nicolas Wildner nico...@tbl.com.br

 - Mensagem original -
  De: Paulo Henrique - BSDs Brasil paulo.rd...@bsd.com.br
  Para: freebsd@fug.com.br
  Enviadas: Sexta-feira, 27 de Dezembro de 2013 4:11:07
  Assunto: Re: [FUG-BR] FreeBSD 10.0 RC3 disponível para download
 
 
  Em 26/12/2013 20:39, Renato Botelho escreveu:
   On 26-12-2013 20:33, Paulo Henrique - BSDs Brasil wrote:
   Em 26/12/2013 20:21, Renato Botelho escreveu:
   On 26-12-2013 17:29, Márcio Elias wrote:
   Será que o RELEASE vai sair dia 2/1/2014 como previsto?
   Se nenhum bug stopper aparecer, eu acredito que sim.
  
   Como está a relação do 10.0 com maquinas UEFI ?
  
   Dei uma olhada no site mais não achei nada relacionado.
   https://wiki.freebsd.org/UEFI
  
  Valeu Renato, tinha esquecido de ver na wiki, vi apenas na pagina
  official.
 
  Infelizmente na pagina da nvidia o suporte a tecnologia optimus ainda
  não é suportado para notebooks, o jeito é sentar e testar, se funfar
  o
  UFEI framebuffer consigo instalar o driver da nvidia se não é tirar e
  continuar com o windows 8.
 
  Att.
 
  --
  Paulo Henrique.
  Grupo de Usuários do FreeBSD no Brasil.
  Fone: (21) 96713-5042
 
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 

 Vou testar o 10-RC3, pois o 11-Current ficou meio broken no meu
 laptop, e dá panics no ndis, que é o único subterfúgio disponível
 para funcionar meu drive wireless :)



 Nícolas Wildner
 Analista de Infraestrutura de TI
 Transportes Bertolini Ltda.
 54 3455- - ramal 3319
 54 3455-1120
 www.tbl.com.br
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] FreeBSD 10.0 RC3 disponível para download

2013-12-26 Por tôpico Márcio Elias

Será que o RELEASE vai sair dia 2/1/2014 como previsto?

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


On Thu, Dec 26, 2013 at 4:25 PM, Paulo Olivier Cavalcanti 
procavalca...@gmail.com wrote:

 Anúncio oficial:

 http://lists.freebsd.org/pipermail/freebsd-stable/2013-December/076590.html

 --
 http://about.me/paulocavalcanti

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] MPD5 + FreeRadius

2013-12-20 Por tôpico Márcio Elias

Sobre o fornecimento de IPs válidos para clientes, esqueçam... era erro meu
já funcionou.

O que acontece é que eu estava fazendo nat no IPFW de todo o tráfego da
interface ligada a meu router de borda, quando na verdade precisava fazer
somente o nat do tráfego chegando nesta interface, uma vez que o meu router
tem rotas estáticas para o IP desta interface para acesso aos ips da
sub-rede que estou fornecendo aos clientes...

Agora estou focado na criação das franquias de tráfego, contadores de bytes
e controle de tráfego diferenciado para clientes com franquia estourada...

Conforme for progredindo vou compartilhando com vcs minha experiência, caso
tenham algo a contribuir, por favor o façam.


-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2013/12/19 Márcio Elias marcioel...@gmail.com

 Humm, como é que acontece nas conexões PPPoE das ADSL da vida então?

 Minha intenção é me livrar do NAT e proporcionar o IP válido pra cada
 cliente, é uma missão quase impossível logar toda santa requisição no
 servidor de todo santo cliente a todo santo site todos os santos dias para
 se um dia eu precisar saber quem acessou tal coisa com tal ip (que na
 verdade é o do servidor NAT) vasculhar os logs deste dia e apresentar o
 bendito cliente

 Sem contar que tenho que armazenar esses logs por 5 anos!!!

 Minha esperança com o PPPoE é aproveitar cada endereço válido que tenho
 disponível e atribui-los para clientes, necessitando armazenar apenas os
 logs de conexão data, usuário, ip... não todos os endereços visitados por
 ele...

 --
 Att.
 __
 Márcio Elias Hahn do Nascimento

 Araranguá - SC
 Cel:   (55) 48-9661-0233
 msn: marcioeliash...@hotmail.com


 2013/12/19 Bruno Araújo bjara...@gmail.com

 Em 19/12/2013, às 08:38, Márcio Elias marcioel...@gmail.com escreveu:

  Bueno, já estou conseguindo autenticar usuários no Radius (usando
  Postgresql como bando de dados), fazendo controle de banda usando
 ng_bpf +
  ng_car.
 
  Estou na etapa de configurar os contadores para totalizar a banda
 trafegada
  durante o mes e com base nisso limitar a velocidade do usuário.
 
  Uma coisa que não ficou clara pra mim é como fornecer IPs válidos
  diretamente ao cliente final. Exemplo, meu servidor tem o ip
  xxx.xxx.xxx.xxx (válido) e tem um range de IPs válidos xxx.xxx.xxx.aaa -
  xxx.xxx.xxx.nnn (disponível para os clientes).
 
  O problema é que a única forma de haver navegação foi fazendo o NAT no
 ipfw
  (divert da interface WAN), desta forma meus clientes aparecem na
 internet
  com o IP da Wan do Servidor e não o válido que repassei a eles
 
  Alguém tem alguma ideia de como fazer isso e onde estou errando?
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
 
 
  2013/12/18 Márcio Elias marcioel...@gmail.com
 
  Minha ideia é implantar um ambiente semelhante a este
  http://www.freebsdonline.com/content/view/511/506/
 
  Porém com acréscimo principalmente de Franquia de tráfego mensal. O
  cliente contrata 10M de banda, mais tem uma franquia de 50G/mês por
  exemplo, ao estourar essa franquia ele fica com a velocidade máxima
 igual a
  mínima garantida até o final do mês quando a franquia volta a zero e
 começa
  a contabilizar novamente.
 
  Problema que esse material é para a versão 4 e como ainda não estou
 muito
  habituado no MPD, adaptar para a 5 não foi um sucesso, por isso,
 enquanto
  algum colega não tiver algo mais simples, vou seguir estudando a
  documentação do MPD mesmo, o problema que eu achei ela muito mais
 dispersa
  e voltada a arquitetura do software vinculada ao protocolo PPP do que
  orientada a prática, o que dificulta o aprendizado.
 
  Seria bom um norte para inciar os trabalhos e seguir usando a
 documentação
  como fonte de consulta para eventuais dúvidas de implementação.
 
  Será que algum colega da lista tem algo a oferecer para nos ajudar? Já
  implementou estrutura semelhante?
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
 
 
  2013/12/17 Christian Sant'Ana christian.li...@eloinet.com.br
 
  Em 17/12/2013 19:16, Bruno Araújo escreveu:
  Em 17/12/2013, às 16:28, Marcelo Gondim gon...@bsdinfo.com.br
  escreveu:
 
  Em 17/12/13 16:57, Márcio Elias escreveu:
  Pessoal, estou engatinhando no MPD e estou apanhando para colocar
 em
  funcionamento.
 
  Minha necessidade é de subir um server PPPoE fazendo AAA em um
  FreeRadius.
 
  Achei alguns materiais na net, mais muito vagos ou para versão 4.
 
  Estou estudando a documentação do próprio MDP mais é massante
 
  Alguém sabe de algum material (de preferencia atualizado) sobre o
  assunto
  mais mão na massa ou pelo menos mais focado e menos abrangente
 que o
  manual

Re: [FUG-BR] MPD5 + FreeRadius

2013-12-19 Por tôpico Márcio Elias

Bueno, já estou conseguindo autenticar usuários no Radius (usando
Postgresql como bando de dados), fazendo controle de banda usando ng_bpf +
ng_car.

Estou na etapa de configurar os contadores para totalizar a banda trafegada
durante o mes e com base nisso limitar a velocidade do usuário.

Uma coisa que não ficou clara pra mim é como fornecer IPs válidos
diretamente ao cliente final. Exemplo, meu servidor tem o ip
xxx.xxx.xxx.xxx (válido) e tem um range de IPs válidos xxx.xxx.xxx.aaa -
xxx.xxx.xxx.nnn (disponível para os clientes).

O problema é que a única forma de haver navegação foi fazendo o NAT no ipfw
(divert da interface WAN), desta forma meus clientes aparecem na internet
com o IP da Wan do Servidor e não o válido que repassei a eles

Alguém tem alguma ideia de como fazer isso e onde estou errando?

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2013/12/18 Márcio Elias marcioel...@gmail.com

 Minha ideia é implantar um ambiente semelhante a este
 http://www.freebsdonline.com/content/view/511/506/

 Porém com acréscimo principalmente de Franquia de tráfego mensal. O
 cliente contrata 10M de banda, mais tem uma franquia de 50G/mês por
 exemplo, ao estourar essa franquia ele fica com a velocidade máxima igual a
 mínima garantida até o final do mês quando a franquia volta a zero e começa
 a contabilizar novamente.

 Problema que esse material é para a versão 4 e como ainda não estou muito
 habituado no MPD, adaptar para a 5 não foi um sucesso, por isso, enquanto
 algum colega não tiver algo mais simples, vou seguir estudando a
 documentação do MPD mesmo, o problema que eu achei ela muito mais dispersa
 e voltada a arquitetura do software vinculada ao protocolo PPP do que
 orientada a prática, o que dificulta o aprendizado.

 Seria bom um norte para inciar os trabalhos e seguir usando a documentação
 como fonte de consulta para eventuais dúvidas de implementação.

 Será que algum colega da lista tem algo a oferecer para nos ajudar? Já
 implementou estrutura semelhante?

 --
 Att.
 __
 Márcio Elias Hahn do Nascimento

 Araranguá - SC
 Cel:   (55) 48-9661-0233
 msn: marcioeliash...@hotmail.com


 2013/12/17 Christian Sant'Ana christian.li...@eloinet.com.br

 Em 17/12/2013 19:16, Bruno Araújo escreveu:
  Em 17/12/2013, às 16:28, Marcelo Gondim gon...@bsdinfo.com.br
 escreveu:
 
  Em 17/12/13 16:57, Márcio Elias escreveu:
  Pessoal, estou engatinhando no MPD e estou apanhando para colocar em
  funcionamento.
 
  Minha necessidade é de subir um server PPPoE fazendo AAA em um
 FreeRadius.
 
  Achei alguns materiais na net, mais muito vagos ou para versão 4.
 
  Estou estudando a documentação do próprio MDP mais é massante
 
  Alguém sabe de algum material (de preferencia atualizado) sobre o
 assunto
  mais mão na massa ou pelo menos mais focado e menos abrangente que o
  manual do próprio software?
 
 
  Marcio,
 
  Eu estou adiantado nesse esquema mas parei de mexer tem um tempo porque
  surgiram outras prioridades aqui na empresa. Eu tenho salvo aqui em um
  HD o que cheguei à fazer. Autenticava tranquilo no freeradius e o
  controle de velocidade eu fazia por scripts no up e no down da conexão.
  Se você puder esperar, quando eu tiver um momento tranquilo aqui eu
 pego
  o hd, monto aqui e lhe passo as confs que fiz.  :)
 
  []'s
  Gondim
 
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
  estou na mesma, rsrsrs. Quero criar imagem nanobsd e um script de
 configuração para se integrar em qualquer rede; porém preciso do controle
 de tráfego individual em hfsc. Além das prioridades que existem e surgem
 algumas interrupções tornam a tarefa ainda mais árdua.
 
  Breve esse trabalho de parto chegará ao fim.
 
  ___
  Bruno Araújo
 
 
  Antes de imprimir, verifique se tem papel e tinta suficiente na
 impressora.
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 Também tenho interesse neste material.

 Christian Sant'Ana
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] MPD5 + FreeRadius

2013-12-19 Por tôpico Márcio Elias

Humm, como é que acontece nas conexões PPPoE das ADSL da vida então?

Minha intenção é me livrar do NAT e proporcionar o IP válido pra cada
cliente, é uma missão quase impossível logar toda santa requisição no
servidor de todo santo cliente a todo santo site todos os santos dias para
se um dia eu precisar saber quem acessou tal coisa com tal ip (que na
verdade é o do servidor NAT) vasculhar os logs deste dia e apresentar o
bendito cliente

Sem contar que tenho que armazenar esses logs por 5 anos!!!

Minha esperança com o PPPoE é aproveitar cada endereço válido que tenho
disponível e atribui-los para clientes, necessitando armazenar apenas os
logs de conexão data, usuário, ip... não todos os endereços visitados por
ele...

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2013/12/19 Bruno Araújo bjara...@gmail.com

 Em 19/12/2013, às 08:38, Márcio Elias marcioel...@gmail.com escreveu:

  Bueno, já estou conseguindo autenticar usuários no Radius (usando
  Postgresql como bando de dados), fazendo controle de banda usando ng_bpf
 +
  ng_car.
 
  Estou na etapa de configurar os contadores para totalizar a banda
 trafegada
  durante o mes e com base nisso limitar a velocidade do usuário.
 
  Uma coisa que não ficou clara pra mim é como fornecer IPs válidos
  diretamente ao cliente final. Exemplo, meu servidor tem o ip
  xxx.xxx.xxx.xxx (válido) e tem um range de IPs válidos xxx.xxx.xxx.aaa -
  xxx.xxx.xxx.nnn (disponível para os clientes).
 
  O problema é que a única forma de haver navegação foi fazendo o NAT no
 ipfw
  (divert da interface WAN), desta forma meus clientes aparecem na internet
  com o IP da Wan do Servidor e não o válido que repassei a eles
 
  Alguém tem alguma ideia de como fazer isso e onde estou errando?
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
 
 
  2013/12/18 Márcio Elias marcioel...@gmail.com
 
  Minha ideia é implantar um ambiente semelhante a este
  http://www.freebsdonline.com/content/view/511/506/
 
  Porém com acréscimo principalmente de Franquia de tráfego mensal. O
  cliente contrata 10M de banda, mais tem uma franquia de 50G/mês por
  exemplo, ao estourar essa franquia ele fica com a velocidade máxima
 igual a
  mínima garantida até o final do mês quando a franquia volta a zero e
 começa
  a contabilizar novamente.
 
  Problema que esse material é para a versão 4 e como ainda não estou
 muito
  habituado no MPD, adaptar para a 5 não foi um sucesso, por isso,
 enquanto
  algum colega não tiver algo mais simples, vou seguir estudando a
  documentação do MPD mesmo, o problema que eu achei ela muito mais
 dispersa
  e voltada a arquitetura do software vinculada ao protocolo PPP do que
  orientada a prática, o que dificulta o aprendizado.
 
  Seria bom um norte para inciar os trabalhos e seguir usando a
 documentação
  como fonte de consulta para eventuais dúvidas de implementação.
 
  Será que algum colega da lista tem algo a oferecer para nos ajudar? Já
  implementou estrutura semelhante?
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
 
 
  2013/12/17 Christian Sant'Ana christian.li...@eloinet.com.br
 
  Em 17/12/2013 19:16, Bruno Araújo escreveu:
  Em 17/12/2013, às 16:28, Marcelo Gondim gon...@bsdinfo.com.br
  escreveu:
 
  Em 17/12/13 16:57, Márcio Elias escreveu:
  Pessoal, estou engatinhando no MPD e estou apanhando para colocar em
  funcionamento.
 
  Minha necessidade é de subir um server PPPoE fazendo AAA em um
  FreeRadius.
 
  Achei alguns materiais na net, mais muito vagos ou para versão 4.
 
  Estou estudando a documentação do próprio MDP mais é massante
 
  Alguém sabe de algum material (de preferencia atualizado) sobre o
  assunto
  mais mão na massa ou pelo menos mais focado e menos abrangente
 que o
  manual do próprio software?
 
 
  Marcio,
 
  Eu estou adiantado nesse esquema mas parei de mexer tem um tempo
 porque
  surgiram outras prioridades aqui na empresa. Eu tenho salvo aqui em
 um
  HD o que cheguei à fazer. Autenticava tranquilo no freeradius e o
  controle de velocidade eu fazia por scripts no up e no down da
 conexão.
  Se você puder esperar, quando eu tiver um momento tranquilo aqui eu
  pego
  o hd, monto aqui e lhe passo as confs que fiz.  :)
 
  []'s
  Gondim
 
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
  estou na mesma, rsrsrs. Quero criar imagem nanobsd e um script de
  configuração para se integrar em qualquer rede; porém preciso do
 controle
  de tráfego individual em hfsc. Além das prioridades que existem e
 surgem
  algumas interrupções tornam a tarefa ainda mais árdua.
 
  Breve esse

[FUG-BR] MPD5 + FreeRadius

2013-12-17 Por tôpico Márcio Elias

Pessoal, estou engatinhando no MPD e estou apanhando para colocar em
funcionamento.

Minha necessidade é de subir um server PPPoE fazendo AAA em um FreeRadius.

Achei alguns materiais na net, mais muito vagos ou para versão 4.

Estou estudando a documentação do próprio MDP mais é massante

Alguém sabe de algum material (de preferencia atualizado) sobre o assunto
mais mão na massa ou pelo menos mais focado e menos abrangente que o
manual do próprio software?


-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] MPD5 + FreeRadius

2013-12-17 Por tôpico Márcio Elias

Opa, ficaria muito grato, como diz o Prof Girafalez Se não for muito
incômodo hehehhe

Obrigado mesmo.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2013/12/17 Marcelo Gondim gon...@bsdinfo.com.br

 Em 17/12/13 16:57, Márcio Elias escreveu:
  Pessoal, estou engatinhando no MPD e estou apanhando para colocar em
  funcionamento.
 
  Minha necessidade é de subir um server PPPoE fazendo AAA em um
 FreeRadius.
 
  Achei alguns materiais na net, mais muito vagos ou para versão 4.
 
  Estou estudando a documentação do próprio MDP mais é massante
 
  Alguém sabe de algum material (de preferencia atualizado) sobre o assunto
  mais mão na massa ou pelo menos mais focado e menos abrangente que o
  manual do próprio software?
 
 
 Marcio,

 Eu estou adiantado nesse esquema mas parei de mexer tem um tempo porque
 surgiram outras prioridades aqui na empresa. Eu tenho salvo aqui em um
 HD o que cheguei à fazer. Autenticava tranquilo no freeradius e o
 controle de velocidade eu fazia por scripts no up e no down da conexão.
 Se você puder esperar, quando eu tiver um momento tranquilo aqui eu pego
 o hd, monto aqui e lhe passo as confs que fiz.  :)

 []'s
 Gondim

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] MPD5 + FreeRadius

2013-12-17 Por tôpico Márcio Elias

Minha ideia é implantar um ambiente semelhante a este
http://www.freebsdonline.com/content/view/511/506/

Porém com acréscimo principalmente de Franquia de tráfego mensal. O cliente
contrata 10M de banda, mais tem uma franquia de 50G/mês por exemplo, ao
estourar essa franquia ele fica com a velocidade máxima igual a mínima
garantida até o final do mês quando a franquia volta a zero e começa a
contabilizar novamente.

Problema que esse material é para a versão 4 e como ainda não estou muito
habituado no MPD, adaptar para a 5 não foi um sucesso, por isso, enquanto
algum colega não tiver algo mais simples, vou seguir estudando a
documentação do MPD mesmo, o problema que eu achei ela muito mais dispersa
e voltada a arquitetura do software vinculada ao protocolo PPP do que
orientada a prática, o que dificulta o aprendizado.

Seria bom um norte para inciar os trabalhos e seguir usando a documentação
como fonte de consulta para eventuais dúvidas de implementação.

Será que algum colega da lista tem algo a oferecer para nos ajudar? Já
implementou estrutura semelhante?

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2013/12/17 Christian Sant'Ana christian.li...@eloinet.com.br

 Em 17/12/2013 19:16, Bruno Araújo escreveu:
  Em 17/12/2013, às 16:28, Marcelo Gondim gon...@bsdinfo.com.br
 escreveu:
 
  Em 17/12/13 16:57, Márcio Elias escreveu:
  Pessoal, estou engatinhando no MPD e estou apanhando para colocar em
  funcionamento.
 
  Minha necessidade é de subir um server PPPoE fazendo AAA em um
 FreeRadius.
 
  Achei alguns materiais na net, mais muito vagos ou para versão 4.
 
  Estou estudando a documentação do próprio MDP mais é massante
 
  Alguém sabe de algum material (de preferencia atualizado) sobre o
 assunto
  mais mão na massa ou pelo menos mais focado e menos abrangente que o
  manual do próprio software?
 
 
  Marcio,
 
  Eu estou adiantado nesse esquema mas parei de mexer tem um tempo porque
  surgiram outras prioridades aqui na empresa. Eu tenho salvo aqui em um
  HD o que cheguei à fazer. Autenticava tranquilo no freeradius e o
  controle de velocidade eu fazia por scripts no up e no down da conexão.
  Se você puder esperar, quando eu tiver um momento tranquilo aqui eu pego
  o hd, monto aqui e lhe passo as confs que fiz.  :)
 
  []'s
  Gondim
 
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
  estou na mesma, rsrsrs. Quero criar imagem nanobsd e um script de
 configuração para se integrar em qualquer rede; porém preciso do controle
 de tráfego individual em hfsc. Além das prioridades que existem e surgem
 algumas interrupções tornam a tarefa ainda mais árdua.
 
  Breve esse trabalho de parto chegará ao fim.
 
  ___
  Bruno Araújo
 
 
  Antes de imprimir, verifique se tem papel e tinta suficiente na
 impressora.
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 Também tenho interesse neste material.

 Christian Sant'Ana
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] [OFF-TOPIC]

2013-11-20 Por tôpico Márcio Elias

RELEASE builds begin18 November 2013-10.0-RELEASE build.
Cadê???

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw + 3 way handshake

2013-08-31 Por tôpico Márcio Elias

Entao, corrijam-me se estiver equivocado, mais ele nao conta na regra do
check-state, por que na verdade quem eh processada eh a regra dinamica
criada pelo argumento setup... por isso da necessidade de rodar o ipfw -d
show e constatar se de fato, essas regras estao sendo criadas e estao
contando pacotes...

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2013/8/31 Marcelo Gondim gon...@bsdinfo.com.br

 Em 31/08/13 00:39, Márcio Elias escreveu:
  As regras postadas estao corretas, se bloqueou no stablished eh por que o
  ipfw nao achou a regra dinamica criada, ou seja nao caiu no check-state.
 
  Como ficaram as regras que vc implementou ai?
 
  experimenta executar o comando: ipfw -d show
 
  Veja se vc encontra regras dinamicas (criadas pelo setup keep-state).
 
 Pois é Marcio,

 Uma coisa que sempre achei estranho no ipfw é que sempre aparece zerado
 o contador do check-state. Como se não tivesse passando nada ali.
 Tem alguma sysctl pra habilitar ele? Porque comigo nunca apareceu nada
 no contador dele.

 []'s
 Gondim
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw + 3 way handshake

2013-08-30 Por tôpico Márcio Elias

As regras postadas estao corretas, se bloqueou no stablished eh por que o
ipfw nao achou a regra dinamica criada, ou seja nao caiu no check-state.

Como ficaram as regras que vc implementou ai?

experimenta executar o comando: ipfw -d show

Veja se vc encontra regras dinamicas (criadas pelo setup keep-state).

--
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel: (55) 48-9661-0233
msn: marcioeliash...@hotmail.com

2013/8/30 Marcelo Gondim gon...@bsdinfo.com.br

Em 30/08/13 20:09, Luiz Gustavo S. Costa escreveu:
Em 30 de agosto de 2013 20:01, Marcelo Gondim gon...@bsdinfo.com.br
escreveu:
Pessoal,

Estou com um problema que é o seguinte. Quando coloco essa regra:

ipfw add allow tcp from any to me 80 in via em0 setup limit src-addr 10

Na minha concepção só seria registrado como regra consumindo stateful se
houvesse o 3 way handshake na tentativa de conexão, por causa do setup.
Ou o ipfw não faz dessa forma? Eu sei que o pf tem esse recurso usando o
synproxy.

The synproxy state option can be used to cause
pf(4) itself to complete the handshake with the active endpoint,
perform
a handshake with the passive endpoint, and then forward packets
between
the endpoints.

[]'s
Gondim
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Godim,

Por padrão, o ipfw não mantem estado (state), você tem que especificar
isso, veja no man [1], na sessão de examplos, tem um exemplo do que
você quer fazer:

ipfw add check-state
ipfw add deny tcp from any to any established
ipfw add allow tcp from my-net to any setup keep-state

ipfw add allow tcp from my-net/24 to any setup limit src-addr 10
ipfw add allow tcp from any to me setup limit src-addr 4

[1]
http://www.freebsd.org/cgi/man.cgi?query=ipfwapropos=0sektion=0manpath=FreeBSD+9.1-RELEASEarch=defaultformat=html#EXAMPLES

Guga, não rolou. Quando tentei fazer isso o deny do established bloqueou
minha conexão. Ou eu estou fazendo algo bem errado ou esse esquema aí
tem algo errado. :(

[]'s
Gondim
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Painel de Controle free pra FreeBSD

2013-08-27 Por tôpico Márcio Elias

cPanel e WHM atualmente nao suportam mais FreeBSD... Infelizmente

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2013/8/27 Rafael Aquino raf...@lk6.com.br

 - Mensagem original -

  De: Claudio Pereira claudiopere...@gmail.com
  Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
  freebsd@fug.com.br
  Enviadas: Terça-feira, 27 de Agosto de 2013 16:31:56
  Assunto: Re: [FUG-BR] Painel de Controle free pra FreeBSD

  2013/8/27 Marcelo Gondim gon...@bsdinfo.com.br

   Pessoal,
  
   Sei que no histórico já teve uma discussão sobre esse assunto mas
   isso
   já faz algum tempo e por isso gostaria de retomar o assunto.
   Um cliente nosso aqui quer que instalemos um servidor para ele onde
   ele
   precisa hospedar o site e e-mails mas eles gostariam que tivesse
   algum
   painel de controle que desse à eles autonomia para criar base de
   dados,
   contas para hospedagens dos sites e contas de e-mail. Um ISPConfig
   da
   vida. Já usei muito o ISPConfig nesse tipo de solução baseada em
   Linux
   mas eu gostaria de instalar um servidor FreeBSD para esse cliente.
   Se eu
   não conseguir um Painel de Controle legal, já funcional no FreeBSD,
   vou
   ter que instalar um Debian mesmo e colocar o ISPConfig para eles. O
   que
   me sugerem? :)
  
   Grande abraço,
  
   Gondim
   -
  

  Salve Gondim, tão perto e respondendo por aqui. ;-)

  http://www.froxlor.org
  Parece que este é o antigo projeto SysCP.de http://syscp.de

  Abraços, ÍndioX

  --
  Claudio P Costa
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

 Opa.. sorry.. só agora vi o post do Claudio.

 Mas é sim baseado no SysCP.

 Abraço!

 Rafael Mentz Aquino
 LK6 Soluções em TI
 Rua Domingos de Almeida, 135 sala 1102
 Centro - Novo Hamburgo - RS
 (51) 3035-6997 - -7030
 www.lk6.com.br
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Current em produção

2013-08-21 Por tôpico Márcio Elias

O 10-CURRENT, serviu como uma luva para meus propositos (Firewall), uso
IPFW e nesta versao do SO o IPFW ja vem com suporte a ToS, DSCP e algumas
cositas mas nativamente...

em versoes anteriores teria que aplicar patches de terceiros nos fontes do
IPFW e fazer um build world para ter essas funcionalidades...

Estou  migrando meus servidores 9.1 para 10-CURRENT...


-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2013/8/21 Marcelo Gondim gon...@bsdinfo.com.br

 Em 13/08/13 00:35, Paulo Henrique - BSDs Brasil escreveu:
  On 11/08/2013 19:33, Nenhum_de_Nos wrote:
  Vi vocês falando do 10, e animei. Principalmente pq deu problema aqui
 no Optimus com o 9. Mas não
  adiantou, nada funciona. Nem X, nem a atheros N.
 
  alguém com o 10 e optimus e X usável ? :)
 
  matheus
 
  Acabei de responder uma mensagem sua na Current,
 
  Tem que ativar o efifb ( EFI Framebuffer ) resumo, não adianta mesmo de
  nada ter o notebook utilizando a compatibilidade de boot legado da bios,
  tem que ter a EFI ativado para funcionar o driver a controladora.
 
  http://www.nvidia.com/object/freebsd-x64-319.12-driver.html
 
  Olha essa parte:
 
 
 
   Added initial support for restoration of efifb consoles on UEFI
  systems where the primary display is driven over VGA or TMDS (e.g. DVI,
  HDMI, or LVDS).
 
  Pelo que entendi tem um suporte mais não é completo, mas está vindo,
  assim como ti estou ansioso por isso.
 
  Eu tenho um Ultrabook Vaio com Intel HD4000 e uma Nvidia GT 640M LE,
  sempre da kernel panic se eu ativar o driver da nvidia, mesmo usando o
  nv do proprio Xorg não funciona, só tenho suporte a vesa sobre o driver
  da intel embora tem um lance quanto a suporte a esse tipo de hardware
  por um outro projeto em desenvolvimento.
 
 
  Abraços e valeu, não tinha pensado em ter lido o readme do driver da
  Nvidia antes.
 
  Att.
 
 Coloquei o current aqui em uma máquina pra ficar testando. Parece estar
 bem legal, até acredito que se você não precisa ficar atualizando o
 source o tempo todo, dá pra usar com alguma coisa em produção. Sem falar
 que dá pra ir testando coisas novas e ajudar à reportar problemas.
 Acredito que dê mais problemas no cenário desktop.
 Mas confesso que desabilitei os DEBUGs, coloquei o MALLOC_PRODUCTION
 habilitado e compilei tudo só pra ver a diferença de performance. Me
 pareceu bem mais rápido que a série 9. Alguém está fazendo testes de
 performance com o current?

 []'s
 Gondim
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] DSCP IPFW

Na configuração do Kernel IP_FORWARD já não existe na versão 10...

Quais são as disponíveis, onde eu vejo o que tem de opções para compilação
do kernel para IPFW?

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2013/8/15 Márcio Elias marcioel...@gmail.com

 Humm, muito obrigado pela dica! Baixando o Snapshot...após os testes volto
 com os resultados.

 --
 Att.

 __
 Márcio Elias Hahn do Nascimento

 Araranguá - SC
 Cel:   (55) 48-9661-0233
 msn: marcioeliash...@hotmail.com


 2013/8/15 Nilton Jose Rizzo ri...@i805.com.br

 Em Wed, 14 Aug 2013 23:57:30 -0300, Márcio Elias escreveu
  Boa noite pessoal,
 
  estou exausto de procurar na internet e não achar (pelo menos o quão
  detalhado eu preciso) informações sobre como utilizar DSCP com IPFW...
 
  Achei esse patch
  http://svnweb.freebsd.org/base?view=revisionrevision=248552
 
  Alguém usando?
 
  Já faz parte da versão 9.1 STABLE? Se não faz, como aplicá-lo a uma
  instalação nova da versão 9.1?
 
  E se já faz parte (não achei nada sobre DSCP no manpage), é preciso
  habilitar algum módulo no kernel assim como DUMMINET por exemplo?
 
  Meus conhecimentos no SO começam e praticamente terminam em seu uso,
  compilação do fonte é novo pra mim, assim como a aplicação de
  Patches como esse, se alguém tiver ideias, todas são bem vindas.
 
  --
  Att.

   Márcio, dê uma olhada no man do ipfw do FreeBSD 10 (iak -current)

 LOOKUP TABLES
  ipfw table number add addr[/masklen] [value]
  ipfw table number delete addr[/masklen]
  ipfw table {number | all} flush
  ipfw table {number | all} list

 DUMMYNET CONFIGURATION (TRAFFIC SHAPER AND PACKET SCHEDULER)
  ipfw {pipe | queue | sched} number config config-options
  ipfw [-s [field]] {pipe | queue | sched} {delete | list | show}
   [number ...]
 ...skipping...
  setdscp DSCP | number | tablearg
  Set specified DiffServ codepoint for an IPv4/IPv6 packet.
  Pro-
  cessing continues at the next rule.  Supported values are:

  CS0 (00), CS1 (001000), CS2 (01), CS3 (011000), CS4
  (10), CS5 (101000), CS6 (11), CS7 (111000), AF11
  (001010), AF12 (001100), AF13 (001110), AF21 (010010), AF22
  (010100), AF23 (010110), AF31 (011010), AF32 (011100), AF33
  (00), AF41 (100010), AF42 (100100), AF43 (100110), EF
  (101110), BE (00).  Additionally, DSCP value can be
 specified
  by number (0..64).  It is also possible to use the tablearg
 key-
  word with setdscp.  If the tablearg value is not within the
 0..64
  range, lower 6 bits of supplied value are used.



  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] DSCP IPFW

Achei em /usr/src/sys/conf/NOTES

options IPFIREWALL_FORWARD   -- Não existe mais

Entraram essas 2 que não me lembro de existir em versões anteriores (me
corrijam se estiver errado)

options MROUTING   -- roteamento Multicast
options IPFIREWALL_NAT -- suporte a NAT no kernel


Sigo testando...

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2013/8/15 Márcio Elias marcioel...@gmail.com

 Na configuração do Kernel IP_FORWARD já não existe na versão 10...

 Quais são as disponíveis, onde eu vejo o que tem de opções para compilação
 do kernel para IPFW?

 --
 Att.
 __
 Márcio Elias Hahn do Nascimento

 Araranguá - SC
 Cel:   (55) 48-9661-0233
 msn: marcioeliash...@hotmail.com


 2013/8/15 Márcio Elias marcioel...@gmail.com

 Humm, muito obrigado pela dica! Baixando o Snapshot...após os testes
 volto com os resultados.

 --
 Att.

 __
 Márcio Elias Hahn do Nascimento

 Araranguá - SC
 Cel:   (55) 48-9661-0233
 msn: marcioeliash...@hotmail.com


 2013/8/15 Nilton Jose Rizzo ri...@i805.com.br

 Em Wed, 14 Aug 2013 23:57:30 -0300, Márcio Elias escreveu
  Boa noite pessoal,
 
  estou exausto de procurar na internet e não achar (pelo menos o quão
  detalhado eu preciso) informações sobre como utilizar DSCP com IPFW...
 
  Achei esse patch
  http://svnweb.freebsd.org/base?view=revisionrevision=248552
 
  Alguém usando?
 
  Já faz parte da versão 9.1 STABLE? Se não faz, como aplicá-lo a uma
  instalação nova da versão 9.1?
 
  E se já faz parte (não achei nada sobre DSCP no manpage), é preciso
  habilitar algum módulo no kernel assim como DUMMINET por exemplo?
 
  Meus conhecimentos no SO começam e praticamente terminam em seu uso,
  compilação do fonte é novo pra mim, assim como a aplicação de
  Patches como esse, se alguém tiver ideias, todas são bem vindas.
 
  --
  Att.

   Márcio, dê uma olhada no man do ipfw do FreeBSD 10 (iak -current)

 LOOKUP TABLES
  ipfw table number add addr[/masklen] [value]
  ipfw table number delete addr[/masklen]
  ipfw table {number | all} flush
  ipfw table {number | all} list

 DUMMYNET CONFIGURATION (TRAFFIC SHAPER AND PACKET SCHEDULER)
  ipfw {pipe | queue | sched} number config config-options
  ipfw [-s [field]] {pipe | queue | sched} {delete | list | show}
   [number ...]
 ...skipping...
  setdscp DSCP | number | tablearg
  Set specified DiffServ codepoint for an IPv4/IPv6 packet.
  Pro-
  cessing continues at the next rule.  Supported values are:

  CS0 (00), CS1 (001000), CS2 (01), CS3 (011000), CS4
  (10), CS5 (101000), CS6 (11), CS7 (111000), AF11
  (001010), AF12 (001100), AF13 (001110), AF21 (010010), AF22
  (010100), AF23 (010110), AF31 (011010), AF32 (011100), AF33
  (00), AF41 (100010), AF42 (100100), AF43 (100110), EF
  (101110), BE (00).  Additionally, DSCP value can be
 specified
  by number (0..64).  It is also possible to use the tablearg
 key-
  word with setdscp.  If the tablearg value is not within the
 0..64
  range, lower 6 bits of supplied value are used.



  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd




-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] DSCP IPFW

options IPFIREWALL_FORWARD

Essa opção está acusando um erro na chamada de biblioteca durante a
compilação, pelo que vi, ainda posso usar o Natd, por isso comentei e
continuo os testes...

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2013/8/15 Marcelo Gondim gon...@bsdinfo.com.br

 Em 15/08/13 08:55, Márcio Elias escreveu:
  Achei em /usr/src/sys/conf/NOTES
 
  options IPFIREWALL_FORWARD   -- Não existe mais
 
  Entraram essas 2 que não me lembro de existir em versões anteriores (me
  corrijam se estiver errado)
 
  options MROUTING   -- roteamento Multicast
  options IPFIREWALL_NAT -- suporte a NAT no kernel
 
 
  Sigo testando...
 
 Se quiser saber todas as opções possíveis para amd64 você pode fazer assim:

 cd /sys/amd64/conf
 cat NOTES ../../conf/NOTES  NOTES-FULL

 Se quiser para i386 é só seguir a lógica acima rsrsrsrs

 O NOTES-FULL terá todas as opções genéricas e mais as da arquitetura
 especifica.

 []'s
 Gondim

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] DSCP IPFW

Consegui utilizar perfeitamente o IPFW com DSCP no FreeBSD 10. Muito
obrigado.

Somente para informação, a opção de compilação de Kernel IPFIREWALL_NAT se
setada no arquivo de configuração, na versão dos fontes que tenho aqui
causa um erro de compilação...

No mais tudo certo.


-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2013/8/15 Nilton Jose Rizzo ri...@i805.com.br

 Em Thu, 15 Aug 2013 09:12:50 -0300, Marcelo Gondim escreveu
  Em 15/08/13 08:55, Márcio Elias escreveu:
   Achei em /usr/src/sys/conf/NOTES
  
   options IPFIREWALL_FORWARD   -- Não existe mais
  
   Entraram essas 2 que não me lembro de existir em versões anteriores (me
   corrijam se estiver errado)
  
   options MROUTING   -- roteamento Multicast
   options IPFIREWALL_NAT -- suporte a NAT no kernel
  
  
   Sigo testando...
  
  Se quiser saber todas as opções possíveis para amd64 você pode fazer
  assim:
 
  cd /sys/amd64/conf
  cat NOTES ../../conf/NOTES  NOTES-FULL

make LINT tbm resolve


 
  Se quiser para i386 é só seguir a lógica acima rsrsrsrs
 
  O NOTES-FULL terá todas as opções genéricas e mais as da arquitetura
  especifica.
 
  []'s
  Gondim


 Rizzo


 
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] SNMP x IPFW Pipes

Gostaria de poder monitorar via SNMP o tráfego sobre determinados pipes
criados no IPFW eu meu servidor...

Alguém tem alguma ideia?


-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] DSCP IPFW

2013-08-14 Por tôpico Márcio Elias

Boa noite pessoal,

estou exausto de procurar na internet e não achar (pelo menos o quão
detalhado eu preciso) informações sobre como utilizar DSCP com IPFW...

Achei esse patch
http://svnweb.freebsd.org/base?view=revisionrevision=248552

Alguém usando?

Já faz parte da versão 9.1 STABLE? Se não faz, como aplicá-lo a uma
instalação nova da versão 9.1?

E se já faz parte (não achei nada sobre DSCP no manpage), é preciso
habilitar algum módulo no kernel assim como DUMMINET por exemplo?

Meus conhecimentos no SO começam e praticamente terminam em seu uso,
compilação do fonte é novo pra mim, assim como a aplicação de Patches como
esse, se alguém tiver ideias, todas são bem vindas.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] DSCP IPFW

2013-08-14 Por tôpico Márcio Elias

Humm, muito obrigado pela dica! Baixando o Snapshot...após os testes volto
com os resultados.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2013/8/15 Nilton Jose Rizzo ri...@i805.com.br

 Em Wed, 14 Aug 2013 23:57:30 -0300, Márcio Elias escreveu
  Boa noite pessoal,
 
  estou exausto de procurar na internet e não achar (pelo menos o quão
  detalhado eu preciso) informações sobre como utilizar DSCP com IPFW...
 
  Achei esse patch
  http://svnweb.freebsd.org/base?view=revisionrevision=248552
 
  Alguém usando?
 
  Já faz parte da versão 9.1 STABLE? Se não faz, como aplicá-lo a uma
  instalação nova da versão 9.1?
 
  E se já faz parte (não achei nada sobre DSCP no manpage), é preciso
  habilitar algum módulo no kernel assim como DUMMINET por exemplo?
 
  Meus conhecimentos no SO começam e praticamente terminam em seu uso,
  compilação do fonte é novo pra mim, assim como a aplicação de
  Patches como esse, se alguém tiver ideias, todas são bem vindas.
 
  --
  Att.

   Márcio, dê uma olhada no man do ipfw do FreeBSD 10 (iak -current)

 LOOKUP TABLES
  ipfw table number add addr[/masklen] [value]
  ipfw table number delete addr[/masklen]
  ipfw table {number | all} flush
  ipfw table {number | all} list

 DUMMYNET CONFIGURATION (TRAFFIC SHAPER AND PACKET SCHEDULER)
  ipfw {pipe | queue | sched} number config config-options
  ipfw [-s [field]] {pipe | queue | sched} {delete | list | show}
   [number ...]
 ...skipping...
  setdscp DSCP | number | tablearg
  Set specified DiffServ codepoint for an IPv4/IPv6 packet.
  Pro-
  cessing continues at the next rule.  Supported values are:

  CS0 (00), CS1 (001000), CS2 (01), CS3 (011000), CS4
  (10), CS5 (101000), CS6 (11), CS7 (111000), AF11
  (001010), AF12 (001100), AF13 (001110), AF21 (010010), AF22
  (010100), AF23 (010110), AF31 (011010), AF32 (011100), AF33
  (00), AF41 (100010), AF42 (100100), AF43 (100110), EF
  (101110), BE (00).  Additionally, DSCP value can be
 specified
  by number (0..64).  It is also possible to use the tablearg
 key-
  word with setdscp.  If the tablearg value is not within the
 0..64
  range, lower 6 bits of supplied value are used.



  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] TCP PORT SCAN

2013-06-21 Por tôpico Márcio Elias

2013/6/21 Nilton Jose Rizzo ri...@i805.com.br



 No seu caso, diga ao registro.br e aos destinatários do email, que
   estão sendo tomadas providências para que isso não se repita, e crie
   os logs do sistema, se foi um scan mesmo o cara irá repetir ai você
   bloqueia o teu usuário e entra em contato com ele, explicando que
   esse procedimento é inaceitável e que irá reportar para a polícia
   federal caso venha a realizar novamente esse procedimento.

 Com os logs na mão isso é possível caso contrário  o registro.br
   irá fazer isso com você.


 Se mais alguem tem outra sugestão e possa enriquecer a nossa conversa
  agradeceria.


Rizzo



  Então Nilton, é do tipo aberto, por que esses usuários conectados são
  pessoas físicas, empresas, qualquer tipo de cliente. É quase inviável
  bloquear alguma coisa. As únicas regras que uso é para bloqueio de acesso
  ao servidor propriamente dito. Esses servidores fazem basicamente o nat
  entre as sub-redes e a rede onde está o router cisco com os links das
  operadoras.
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



Segui seu conselho, vamos ver no que vai dar. Obrigado pelas dicas.



-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] TCP PORT SCAN

Bom dia colegas,

trabalho em um ISP e recebi um e-mail do registro.br que me gerou algumas
dúvidas. Pelo que entendi no e-mail, a reclamação é de um port scan
realizado a partir de um de nossos IPs para um determinado ip na porta 6881.

Abaixo vou colocar o e-mail recebido (com dados mascarados) para que vcs
possam me dar a opinião de vcs sobre isso,

Título do e-mail: [NicBr-20130619-133 ] TCP PORT SCAN x.x.x.x -
xxx.xxx.3.103/32 (PORT:6881)

Caro Sr. ,

Favor investigar o incidente descrito com os logs parciais abaixo,
e dar o devido tratamento reportando com copia para todos os enderecos
listados acima com as providencias/medidas tomadas para que tal evento
nao volte a se repetir.

No caso de tratamento indevido deste evento com reincidencia, serao
adotadas politicas unilaterais de protecao pelo Registro.br.


Logs---
2013-06-18 15:53:34 x.x.x.x/52218-xxx.xxx.3.103/6881 6(0)
2013-06-18 15:53:37 x.x.x.x/52218-xxx.xxx.3.103/6881 6(0)
2013-06-18 15:53:43 x.x.x.x/52218-xxx.xxx.3.103/6881 6(0)
2013-06-18 15:54:59 x.x.x.x/52518-xxx.xxx.3.103/6881 6(0)
2013-06-18 15:55:02 x.x.x.x/52518-xxx.xxx.3.103/6881 6(0)
2013-06-18 15:55:08 x.x.x.x/52518-xxx.xxx.3.103/6881 6(0)
2013-06-18 15:55:58 x.x.x.x/52676-xxx.xxx.3.103/6881 6(0)
2013-06-18 15:56:01 x.x.x.x/52676-xxx.xxx.3.103/6881 6(0)
2013-06-18 15:56:07 x.x.x.x/52676-xxx.xxx.3.103/6881 6(0)
2013-06-18 16:00:39 x.x.x.x/53190-xxx.xxx.3.103/6881 6(0)


Pois bem, pesquisando descobri que o range de portas 6881-6999 é usado
por DHT no protocolo BitTorrent.


Mais pelo que entendi no e-mail (ou melhor pelo título do mesmo) é que
trata-se de um port scan...


Vcs acham que é essa mesma a reclamação? Quais seus conselhos para
evitar este tipo de problema?


Tenho aproximadamente 20 servidores rodando FreeBSD com IPFW para
rotear sub-redes do meu bloco de IPs.


Obrigado.


-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] TCP PORT SCAN

2013/6/20 Marcelo Gondim gon...@bsdinfo.com.br

 Em 20/06/13 09:35, Márcio Elias escreveu:
  Bom dia colegas,
 
  trabalho em um ISP e recebi um e-mail do registro.br que me gerou
 algumas
  dúvidas. Pelo que entendi no e-mail, a reclamação é de um port scan
  realizado a partir de um de nossos IPs para um determinado ip na porta
 6881.
 
  Abaixo vou colocar o e-mail recebido (com dados mascarados) para que vcs
  possam me dar a opinião de vcs sobre isso,
 
  Título do e-mail: [NicBr-20130619-133 ] TCP PORT SCAN x.x.x.x -
  xxx.xxx.3.103/32 (PORT:6881)
 
  Caro Sr. ,
 
  Favor investigar o incidente descrito com os logs parciais abaixo,
  e dar o devido tratamento reportando com copia para todos os enderecos
  listados acima com as providencias/medidas tomadas para que tal evento
  nao volte a se repetir.
 
  No caso de tratamento indevido deste evento com reincidencia, serao
  adotadas politicas unilaterais de protecao pelo Registro.br.
 
 
 
 Logs---
  2013-06-18 15:53:34 x.x.x.x/52218-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:53:37 x.x.x.x/52218-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:53:43 x.x.x.x/52218-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:54:59 x.x.x.x/52518-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:55:02 x.x.x.x/52518-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:55:08 x.x.x.x/52518-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:55:58 x.x.x.x/52676-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:56:01 x.x.x.x/52676-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:56:07 x.x.x.x/52676-xxx.xxx.3.103/6881 6(0)
  2013-06-18 16:00:39 x.x.x.x/53190-xxx.xxx.3.103/6881 6(0)
 
 
  Pois bem, pesquisando descobri que o range de portas 6881-6999 é usado
  por DHT no protocolo BitTorrent.
 
 
  Mais pelo que entendi no e-mail (ou melhor pelo título do mesmo) é que
  trata-se de um port scan...
 
 
  Vcs acham que é essa mesma a reclamação? Quais seus conselhos para
  evitar este tipo de problema?
 
 
  Tenho aproximadamente 20 servidores rodando FreeBSD com IPFW para
  rotear sub-redes do meu bloco de IPs.
 
 
  Obrigado.
 
 
 Marcio,

 Primeiro de tudo. De onde partiu o provável scan é um servidor seu ou um
 cliente de IP dinâmico?
 Acredito que seja um servidor e se for sugiro olhar os processos rodando
 e checagens habituais pois você poderia estar com algo rodando nele.
 Como você mesmo disse essa porta é utilizada para conexões entrantes de
 torrents. O deluged mesmo é um server que escuta nessa porta por padrão
 se eu não estou enganado. Dá uma auditada nesse seu servidor.

 Grande abraço,
 Gondim

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Humm, Valeu Marcelo, vou verificar isso. Embora o acesso a esses servidores
seja bem restrito. Todas as portas de acesso a ele estão abertas somente
para um servidor que controla nossa intranet...

Bom, auditarei o mesmo como vc falou e qualquer coisa volto a questionar
aqui.

Obrigado por hora.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] TCP PORT SCAN

2013/6/20 Márcio Elias marcioel...@gmail.com

 2013/6/20 Marcelo Gondim gon...@bsdinfo.com.br

 Em 20/06/13 09:35, Márcio Elias escreveu:
  Bom dia colegas,
 
  trabalho em um ISP e recebi um e-mail do registro.br que me gerou
 algumas
  dúvidas. Pelo que entendi no e-mail, a reclamação é de um port scan
  realizado a partir de um de nossos IPs para um determinado ip na porta
 6881.
 
  Abaixo vou colocar o e-mail recebido (com dados mascarados) para que vcs
  possam me dar a opinião de vcs sobre isso,
 
  Título do e-mail: [NicBr-20130619-133 ] TCP PORT SCAN x.x.x.x -
  xxx.xxx.3.103/32 (PORT:6881)
 
  Caro Sr. ,
 
  Favor investigar o incidente descrito com os logs parciais abaixo,
  e dar o devido tratamento reportando com copia para todos os enderecos
  listados acima com as providencias/medidas tomadas para que tal evento
  nao volte a se repetir.
 
  No caso de tratamento indevido deste evento com reincidencia, serao
  adotadas politicas unilaterais de protecao pelo Registro.br.
 
 
 
 Logs---
  2013-06-18 15:53:34 x.x.x.x/52218-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:53:37 x.x.x.x/52218-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:53:43 x.x.x.x/52218-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:54:59 x.x.x.x/52518-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:55:02 x.x.x.x/52518-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:55:08 x.x.x.x/52518-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:55:58 x.x.x.x/52676-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:56:01 x.x.x.x/52676-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:56:07 x.x.x.x/52676-xxx.xxx.3.103/6881 6(0)
  2013-06-18 16:00:39 x.x.x.x/53190-xxx.xxx.3.103/6881 6(0)
 
 
  Pois bem, pesquisando descobri que o range de portas 6881-6999 é usado
  por DHT no protocolo BitTorrent.
 
 
  Mais pelo que entendi no e-mail (ou melhor pelo título do mesmo) é que
  trata-se de um port scan...
 
 
  Vcs acham que é essa mesma a reclamação? Quais seus conselhos para
  evitar este tipo de problema?
 
 
  Tenho aproximadamente 20 servidores rodando FreeBSD com IPFW para
  rotear sub-redes do meu bloco de IPs.
 
 
  Obrigado.
 
 
 Marcio,

 Primeiro de tudo. De onde partiu o provável scan é um servidor seu ou um
 cliente de IP dinâmico?
 Acredito que seja um servidor e se for sugiro olhar os processos rodando
 e checagens habituais pois você poderia estar com algo rodando nele.
 Como você mesmo disse essa porta é utilizada para conexões entrantes de
 torrents. O deluged mesmo é um server que escuta nessa porta por padrão
 se eu não estou enganado. Dá uma auditada nesse seu servidor.

 Grande abraço,
 Gondim

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


 Humm, Valeu Marcelo, vou verificar isso. Embora o acesso a esses
 servidores seja bem restrito. Todas as portas de acesso a ele estão abertas
 somente para um servidor que controla nossa intranet...

 Bom, auditarei o mesmo como vc falou e qualquer coisa volto a questionar
 aqui.

 Obrigado por hora.



 Bom, verifiquei os processos, e não encontrei nenhuma anomalia. Não
contente com isso, instalei o chkrootkit e rodei ele no server em questão
para verificar algum possível rootkit instalado, mais também nada...

Acho mesmo que esse port scan partiu de um cliente de de uma rede atrás
deste servidor (os clientes tem ips inválidos e passam por um NAT).

Algum conselho pra evitar esse tipo de serviço por parte dos usuários
conectados a meu servidor por meio de IPFW?

Ou que seja por outro software..

Obrigado
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] TCP PORT SCAN

2013/6/20 Nilton Jose Rizzo ri...@i805.com.br

 Em Thu, 20 Jun 2013 11:26:16 -0300, Márcio Elias escreveu
  2013/6/20 Márcio Elias marcioel...@gmail.com
 
   2013/6/20 Marcelo Gondim gon...@bsdinfo.com.br
  
   Em 20/06/13 09:35, Márcio Elias escreveu:
Bom dia colegas,
   
trabalho em um ISP e recebi um e-mail do registro.br que me gerou
   algumas
dúvidas. Pelo que entendi no e-mail, a reclamação é de um port scan
realizado a partir de um de nossos IPs para um determinado ip na
 porta
   6881.
   
Abaixo vou colocar o e-mail recebido (com dados mascarados) para que
 vcs
possam me dar a opinião de vcs sobre isso,
   
Título do e-mail: [NicBr-20130619-133 ] TCP PORT SCAN x.x.x.x -
xxx.xxx.3.103/32 (PORT:6881)
   
Caro Sr. ,
   
Favor investigar o incidente descrito com os logs parciais abaixo,
e dar o devido tratamento reportando com copia para todos os
 enderecos
listados acima com as providencias/medidas tomadas para que tal
 evento
nao volte a se repetir.
   
No caso de tratamento indevido deste evento com reincidencia, serao
adotadas politicas unilaterais de protecao pelo Registro.br.
   
   
   
  
 Logs-
 --
2013-06-18 15:53:34 x.x.x.x/52218-xxx.xxx.3.103/6881 6(0)
2013-06-18 15:53:37 x.x.x.x/52218-xxx.xxx.3.103/6881 6(0)
2013-06-18 15:53:43 x.x.x.x/52218-xxx.xxx.3.103/6881 6(0)
2013-06-18 15:54:59 x.x.x.x/52518-xxx.xxx.3.103/6881 6(0)
2013-06-18 15:55:02 x.x.x.x/52518-xxx.xxx.3.103/6881 6(0)
2013-06-18 15:55:08 x.x.x.x/52518-xxx.xxx.3.103/6881 6(0)
2013-06-18 15:55:58 x.x.x.x/52676-xxx.xxx.3.103/6881 6(0)
2013-06-18 15:56:01 x.x.x.x/52676-xxx.xxx.3.103/6881 6(0)
2013-06-18 15:56:07 x.x.x.x/52676-xxx.xxx.3.103/6881 6(0)
2013-06-18 16:00:39 x.x.x.x/53190-xxx.xxx.3.103/6881 6(0)
   
   
Pois bem, pesquisando descobri que o range de portas 6881-6999 é
 usado
por DHT no protocolo BitTorrent.
   
   
Mais pelo que entendi no e-mail (ou melhor pelo título do mesmo) é
 que
trata-se de um port scan...
   
   
Vcs acham que é essa mesma a reclamação? Quais seus conselhos para
evitar este tipo de problema?
   
   
Tenho aproximadamente 20 servidores rodando FreeBSD com IPFW para
rotear sub-redes do meu bloco de IPs.
   
   
Obrigado.
   
   
   Marcio,
  
   Primeiro de tudo. De onde partiu o provável scan é um servidor seu ou
 um
   cliente de IP dinâmico?
   Acredito que seja um servidor e se for sugiro olhar os processos
 rodando
   e checagens habituais pois você poderia estar com algo rodando nele.
   Como você mesmo disse essa porta é utilizada para conexões entrantes
 de
   torrents. O deluged mesmo é um server que escuta nessa porta por
 padrão
   se eu não estou enganado. Dá uma auditada nesse seu servidor.
  
   Grande abraço,
   Gondim
  
   -
   Histórico: http://www.fug.com.br/historico/html/freebsd/
   Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
  
  
   Humm, Valeu Marcelo, vou verificar isso. Embora o acesso a esses
   servidores seja bem restrito. Todas as portas de acesso a ele estão
 abertas
   somente para um servidor que controla nossa intranet...
  
   Bom, auditarei o mesmo como vc falou e qualquer coisa volto a
 questionar
   aqui.
  
   Obrigado por hora.
  
  
  
   Bom, verifiquei os processos, e não encontrei nenhuma anomalia. Não
  contente com isso, instalei o chkrootkit e rodei ele no server em questão
  para verificar algum possível rootkit instalado, mais também nada...
 
  Acho mesmo que esse port scan partiu de um cliente de de uma rede atrás
  deste servidor (os clientes tem ips inválidos e passam por um NAT).
 
  Algum conselho pra evitar esse tipo de serviço por parte dos usuários
  conectados a meu servidor por meio de IPFW?
 
  Ou que seja por outro software..
 
  Obrigado

   Você loga as conexões nesse servidor, se não, deveria pois só assim
 poderá indentificar que originou essa conexeão.

   Eu sou meio neurótico com isso .. tinha uma regra no meu ipfw assim

 ipfw add 1 count log logamount 0 ip from any to any

isso gera Kilos de logs, você deve ter uma maneira eficiente de
 gerenciar essa montueira de informações.

Eu fazia o seguinte:

  a cada 24h fazia o rotate do log e criava um backup em uma máquina
  remota, só para armazenar os backups dos logs compactados apos 6 meses
  gerava um dvd com os logs mais antigos e os apagava da máquina, e assim
  ficavam armazenados por mais 2 anos

  A maquina de log ficava em uma rede privada própria sem conexão direta
  com nenhuma outra máquina sem ser os servidores e o servidor de backup é
 quem
  iniciava a cópia dos arquivos e não ao contrário.


S1S2...S5
  \   |   /
   \  |  /
  SB


 Estou colocando no passado pois hoje não administro mais nenhum servidor
 em produção ( mudei de área

Re: [FUG-BR] TCP PORT SCAN

2013/6/20 Nilton Jose Rizzo ri...@i805.com.br

 Em Thu, 20 Jun 2013 14:40:31 -0300, Márcio Elias escreveu
  2013/6/20 Nilton Jose Rizzo ri...@i805.com.br
 
   Em Thu, 20 Jun 2013 11:26:16 -0300, Márcio Elias escreveu
2013/6/20 Márcio Elias marcioel...@gmail.com
   
 2013/6/20 Marcelo Gondim gon...@bsdinfo.com.br

 Em 20/06/13 09:35, Márcio Elias escreveu:
  Bom dia colegas,
 
  trabalho em um ISP e recebi um e-mail do registro.br que me
 gerou
 algumas
  dúvidas. Pelo que entendi no e-mail, a reclamação é de um port
 scan
  realizado a partir de um de nossos IPs para um determinado ip na
   porta
 6881.
 
  Abaixo vou colocar o e-mail recebido (com dados mascarados) para
 que
   vcs
  possam me dar a opinião de vcs sobre isso,
 
  Título do e-mail: [NicBr-20130619-133 ] TCP PORT SCAN x.x.x.x -
  xxx.xxx.3.103/32 (PORT:6881)
 
  Caro Sr. ,
 
  Favor investigar o incidente descrito com os logs parciais
 abaixo,
  e dar o devido tratamento reportando com copia para todos os
   enderecos
  listados acima com as providencias/medidas tomadas para que tal
   evento
  nao volte a se repetir.
 
  No caso de tratamento indevido deste evento com reincidencia,
 serao
  adotadas politicas unilaterais de protecao pelo Registro.br.
 
 
 

  
 Logs-
   --
  2013-06-18 15:53:34 x.x.x.x/52218-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:53:37 x.x.x.x/52218-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:53:43 x.x.x.x/52218-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:54:59 x.x.x.x/52518-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:55:02 x.x.x.x/52518-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:55:08 x.x.x.x/52518-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:55:58 x.x.x.x/52676-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:56:01 x.x.x.x/52676-xxx.xxx.3.103/6881 6(0)
  2013-06-18 15:56:07 x.x.x.x/52676-xxx.xxx.3.103/6881 6(0)
  2013-06-18 16:00:39 x.x.x.x/53190-xxx.xxx.3.103/6881 6(0)
 
 
  Pois bem, pesquisando descobri que o range de portas 6881-6999 é
   usado
  por DHT no protocolo BitTorrent.
 
 
  Mais pelo que entendi no e-mail (ou melhor pelo título do
 mesmo) é
   que
  trata-se de um port scan...
 
 
  Vcs acham que é essa mesma a reclamação? Quais seus conselhos
 para
  evitar este tipo de problema?
 
 
  Tenho aproximadamente 20 servidores rodando FreeBSD com IPFW
 para
  rotear sub-redes do meu bloco de IPs.
 
 
  Obrigado.
 
 
 Marcio,

 Primeiro de tudo. De onde partiu o provável scan é um servidor
 seu ou
   um
 cliente de IP dinâmico?
 Acredito que seja um servidor e se for sugiro olhar os processos
   rodando
 e checagens habituais pois você poderia estar com algo rodando
 nele.
 Como você mesmo disse essa porta é utilizada para conexões
 entrantes
   de
 torrents. O deluged mesmo é um server que escuta nessa porta por
   padrão
 se eu não estou enganado. Dá uma auditada nesse seu servidor.

 Grande abraço,
 Gondim

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


 Humm, Valeu Marcelo, vou verificar isso. Embora o acesso a esses
 servidores seja bem restrito. Todas as portas de acesso a ele estão
   abertas
 somente para um servidor que controla nossa intranet...

 Bom, auditarei o mesmo como vc falou e qualquer coisa volto a
   questionar
 aqui.

 Obrigado por hora.



 Bom, verifiquei os processos, e não encontrei nenhuma anomalia. Não
contente com isso, instalei o chkrootkit e rodei ele no server em
 questão
para verificar algum possível rootkit instalado, mais também nada...
   
Acho mesmo que esse port scan partiu de um cliente de de uma rede
 atrás
deste servidor (os clientes tem ips inválidos e passam por um NAT).
   
Algum conselho pra evitar esse tipo de serviço por parte dos usuários
conectados a meu servidor por meio de IPFW?
   
Ou que seja por outro software..
   
Obrigado
  
 Você loga as conexões nesse servidor, se não, deveria pois só assim
   poderá indentificar que originou essa conexeão.
  
 Eu sou meio neurótico com isso .. tinha uma regra no meu ipfw assim
  
   ipfw add 1 count log logamount 0 ip from any to any
  
  isso gera Kilos de logs, você deve ter uma maneira eficiente de
   gerenciar essa montueira de informações.
  
  Eu fazia o seguinte:
  
a cada 24h fazia o rotate do log e criava um backup em uma máquina
remota, só para armazenar os backups dos logs compactados apos 6 meses
gerava um dvd com os logs mais antigos e os apagava da máquina, e
 assim
ficavam armazenados por mais 2 anos
  
A maquina de log ficava

Re: [FUG-BR] [OFF-TOPIC] Qual criador de BSD que disse que fez conteúdo que ensina propositalmente errado usar o BSD que ele criou?

2013-05-08 Por tôpico Márcio Elias

2013/5/8 Luiz Henrique Coletto henri...@cirp.usp.br



 - Mensagem original -
  Em 8 de maio de 2013 04:11, Klaus Schneider klau...@gmail.com
  escreveu:
 
   Otávio.
  
   Este e-mail é a prova de que, quem não sabe ler, também não sabe
   escrever
  
   Da próxima vez escreva com virgulas e pontos e palavras da forma
   correta e
   com o mínimo de concordância e também é e que a inclusão digital é
   uma
   M%$@#$ e que eu sei que não sei de mais nada e ponto e final e acho
   que ele
   escreve assim é pq ele quer irritar e pode ser um pouco ignorante e
   mais
   algumas coisas e quem sabe um dia ele aprenda.
  
  
   uhauhuhauhauha
  
  
  
   2013/5/7 Otavio Augusto otavi...@gmail.com
  
Perdoe São Ritchie  ele não sabe o que diz, nem entende o que lê!
   
   
   
Em 7 de maio de 2013 15:55, Jorge Luis Carvalho Santos
jorgeassembl...@outlook.com escreveu:
 Está escrito no capítulo 1 no primeiro parágrafo do  livro C -
 A
linguagem de programação ANSI de autoria de Brian Kernighan e
Dennis
Ritchie que é segundo esse livro, um dos responsáveis pelo
   desenvolvimento,
na Bell, da linguagem C e do sistema operacional UNIX:
 Vamos começar com uma rápida introdução ao C. Nosso objetivo é
 mostrar
os elementos essemciais da linguagem em programas reaism mas sem
esmiuçar
detalhes, regras formais, e exceções. Neste ponto, não estamos
tentando
   ser
completos ou mesmo precisos (salvo os exemplos, que são
corretos).

 Fiquei surpreso quando li esses autores dizendo que ensinam
propositalmente errado parte do conteúdo desse livro.

 A FreeBSD Brasil entrega aos seus alunos conteúdo de BSD que
 ensina
propositalmente errado?
 Qual criador de BSD  que disse que fez conteúdo que ensina
propositalmente errado usar o BSD que ele criou?

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
   
   
   
--
Otavio Augusto
-
   [snip]
  
  
  Klaus, não é por que quer sacanear com o cara que deve usar
  top-posting,
  vamos manter a regra da lista, mesmo para threads cujo o carater é
  notavelmente direcionado a difamação da didática do ensino ou dos
  sistemas
  operacionais Unix-Like for Berkeley.
 
  Outra coisa, as linhas abaixo são direcionadas estritamente ao Jorge.
  Aconselho a pagar um cursinho de português.
  Todos aqui quer colaborar com o aprendizado próprio e de outrem. Aqui
  não é
  lista de discussão de lunixer ou hacker(neeba), se veio aqui apenas
  difamar
  dos BSDs, considero ser um local inadequado.
  Se não tiver duvidas referente ao sistema/metodologia de BSDs por
  favor,
  limite as suas postagens no c...@fug.com.br, isso evitará poluir o
  histórico da lista freebsd@fug.com.br.
 
  Att.
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

 é trollagem! e ainda fazem o top-posting!
 
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Acredito que a famosa frase que deu origem a discussão, venha a completar
o que foi dito imediatamente anterior a sua citação no livro.

Our aim is to *show the essential elements* of the language* in real
programs*, but *without* getting bogged down in *details*, *rules*, and *
exceptions*.

Ou seja, pelo meu humilde entendimento, este livro não pretende extinguir
todo o conteúdo, servindo de referencia completa sobre todos os aspectos
compreendidos pela linguagem, mais sim mostrar os elementos básicos da
mesma em programas reais.

At this point, we are not trying to be complete or even precise (save that
the examples are
meant to be correct).

Por isso (ainda na minha opinião) do emprego das palavras completo e
preciso citadas na frase. Os exemplos devem estar corretos, ora,
pensemos... o meio proposto pelo autor para apresentação da linguagem foi
pela apresentação de programas reais, logo, tais programas devem empregar
técnicas e particularidades da linguagem não abordados no escopo do livro,
muito embora, sejam corretos.

Concluindo, acho que o que o autor tentou esclarecer para os mais leigos,
que mesmo não sendo abordados pelo livro (que pode ser a única fonte de
conhecimento do leitor neste momento) alguns códigos de exemplo (desta
forma não totalmente entendidos pelo leitor) estão corretos, apenas não
foram abordados em sua plenitude.

Deixo minha dica pessoal, não peguem traduções de livros técnicos, prefiram
sempre no idioma original (desde que seja inglês, claro). Muitas das
traduções são feitas por pessoas sem os conhecimentos do domínio do livro e
acabam fazendo traduções equivocadas o que acaba por dificultar o
entendimento do conhecimento proposto pelo autor originalmente.
-

Re: [FUG-BR] Finalmente IPFW com suporte a DSCP.

2013-03-21 Por tôpico Márcio Elias

2013/3/21 Marcelo Araujo araujobsdp...@gmail.com

 Pessoal,

 Depois de alguns anos, finalmente o ipfw vai ter suporte ao DSCP.
 Para ter uma ideia, um dos patches eu mandei a mais ou menos 5 anos atrás.

 http://svnweb.freebsd.org/base?view=revisionrevision=248552

 Antes tarde do que nunca. :(

 Abraços.
 --
 Marcelo Araujo
 ara...@freebsd.org
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



E isso vai pro Release oficial, ou vai ficar somente por patch mesmo?

Márcio Elias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Servidores de e-mail - DNS x Webmail

2013-03-19 Por tôpico Márcio Elias

2013/3/19 Marcelo Gondim gon...@bsdinfo.com.br

 Em 19/03/13 02:17, Márcio Elias escreveu:
  2013/3/19 Paulo Henrique paulo.rd...@bsd.com.br
 
  Em 19 de março de 2013 01:13, Márcio Elias marcioel...@gmail.com
  escreveu:
 
  Bom, pra não misturar no outro tópico que abri sobre o storage, mesmo
 já
  tendo mencionado isso lá, preciso fazer o seguinte:
 
  registrar o mx1.dominio.com.br e o mx2.dominio.com.br no DNS, onde
 cada
  um
  seria um registro MX (10 e 20 por exemplo). Até ai tudo bem, acredito
  que o
  próprio DNS se encarregaria de se cair um MTA, (o do registro MX 10 por
  exemplo) seria acionado o próximo MTA (do MX 20 neste caso).
 
  Até ai tudo bem, mais e no caso de usar webmail, como centralizo as
  mensagens recebidas nos 2 MTA's?
 
  Como vcs fazem isso hoje? Acredito que muitos aqui na lista devam
 possuir
  esta solução rodado e gostaria de opiniões suas.
 
  vou usar Postfix como MTA.
 
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Araranguá - SC
  Cel:   (55) 48-9661-0233
  msn: marcioeliash...@hotmail.com
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
  Vejo o geom_gate no seu futuro !!!
 
 
 
  --
  :=)(=:
  Rip NoRm4nD.
  Flamers  /dev/null !!!
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 
  Não vamos tão longe ainda, andei pesquisando sobre multiplos MX, e
 entendi
  que caso o MX primário não responda, o secundário assume, tão logo o
  primário volte, o secundário sincroniza as mensagens que recebeu. O que
 não
  ficou claro, é se o primário enquanto estiver funcionando faz o mesmo
  processo, sincronizando sempre as mensagens com o MX secundário.
 
  Desta forma a integração entre os MX seria transparente para mim, ou
 seja,
  o próprio MTA se encarregaria de trocar as mensagens entre os MX
 primário e
  secundário, como acontece com o DNS.
 
  Essa afirmação está correta ou eu entendi errado?
 
 Márcio,

 Os MXs não se sincronizam do jeito que você está achando. O que ocorre é
 o seguinte: quando o MX menor não responde, o outro MX passa à receber
 os e-mails e lá eles ficam. Quando o primário retorna o secundário pára
 de receber os e-mails e o primário passa à recebê-los. Eu vejo que você
 pode fazer isso que você quer de 2 formas:

 1º Fazer com que o secundário receba mas deixe em fila para quando o
 primário voltar, este repassa os e-mails para o primário. Nesse caso o
 secundário não precisa ter contas de e-mail nele. No postfix você
 poderia fazer assim:

 No MX secundário em main.cf você faria algo assim:

 smtpd_recipient_restrictions = permit_sasl_authenticated,
 permit_mynetworks, reject_unauth_destination
 relay_domains = $mydestination, seudominio1.com.br, seudominio2.com.br
 relay_recipient_maps =

 Obs: os domínios não podem estar listados nesses caras abaixo:
  * mydestination
  * virtual_alias_domains
  * virtual_mailbox_domains

 Desse jeito, quando o primário retornar, o secundário vai descarregar os
 e-mails que ele recebeu no primário.

 2º Fazer um sistema de arquivos centralizado usando um NFS da vida ou
 outro que te permita fazer isso. Dessa forma ambos os MX descarregarão
 no mesmo lugar.

 []'s
 Gondim
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



Muito obrigado pelas dicas Marcelo, vc esclareceu muitas das minhas
dúvidas. Vou partir para os testes e ver qual das duas opções vai se
comportar melhor no meu ambiente.

Márcio Elias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Servidores de e-mail - DNS x Webmail

2013-03-19 Por tôpico Márcio Elias

2013/3/19 Renato Botelho rbga...@gmail.com

 2013/3/19 Márcio Elias marcioel...@gmail.com:
  Bom, pra não misturar no outro tópico que abri sobre o storage, mesmo já
  tendo mencionado isso lá, preciso fazer o seguinte:
 
  registrar o mx1.dominio.com.br e o mx2.dominio.com.br no DNS, onde cada
 um
  seria um registro MX (10 e 20 por exemplo). Até ai tudo bem, acredito
 que o
  próprio DNS se encarregaria de se cair um MTA, (o do registro MX 10 por
  exemplo) seria acionado o próximo MTA (do MX 20 neste caso).
 
  Até ai tudo bem, mais e no caso de usar webmail, como centralizo as
  mensagens recebidas nos 2 MTA's?
 
  Como vcs fazem isso hoje? Acredito que muitos aqui na lista devam possuir
  esta solução rodado e gostaria de opiniões suas.

 Bom dia Márcio,

 Existem muitas maneiras diferentes de se planejar um serviço de e-mail.
 Eu acho que a primeira coisa a ser feita é separar os serviços, nesse caso
 você tem 3 tipos básicos de serviço:

 1. MX - Serve para receber os emails vindos de outros domínios, na porta
 25,
 sem autenticação.

 2. SMTP - Serve para que os seus usuários enviem emails para outros
 domínios.
 Deve funcionar apenas de forma autenticada e preferencialmente apenas com
 SSL/TLS, na porta 465 e/ou 587.

 3. POP/IMAP - Local onde as mensagens ficam armazenadas nas caixas dos
 usuários e onde eles irão baixar as mensagens. Também preferencialmente
 apenas com SSL portas 993 o/ou 995.

 Todos esses serviços precisam fazer consultas a uma base única de usuários,
 pode ser um banco de dados ou um LDAP por exemplo.

 Separados os serviços dessa maneira, você pode começar a desenhar o seu
 cenário. Por exemplo, se o serviço de POP/IMAP for rodar na mesma máquina
 do MX primário, então o MX secundário terá que ser configurado para guardar
 uma fila e aguardar o retorno do MX primário pra enviar os emails.

 Já se o POP/IMAP ficar em um outro servidor, ambos os MX podem entregar
 diretamente o e-mail pra ele, e se o MX primário cair, seu serviço de
 e-mail
 continuará funcionando normalmente. Aliás, se essa for a sua opção, os MX
 podem inclusive ser configurados com prioridades iguais no DNS para
 balancear
 a carga de recebimento.

 Meus $0,02

 []s
 --
 Renato Botelho
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



Ok, muito obrigado pelos esclarecimentos. Acho que com o que foi me passado
aqui, já tenho o que fazer por uns dias. Obrigado a todos que contribuiram.

Márcio Elias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Storage Webster + FreeNAS

Boa tarde galera da lista...

Seguinte, tenho um Storage Webster com capacidade para 24 discos SAS/SATA,
e mais uma unidade flash de 4 GB para instalação do SO.

Para usar FreeNAS, vcs me aconcelhariam fazer os arranjos de discos
diretamente via ZFS, ou criar os arranjos na controladora (RAID via
Hardware) e em cima disso colocar o ZFS?

Alguém da lista tem algum cenário semelhante? Qualquer ideia é bem vinda...

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Storage Webster + FreeNAS

Certo, mais minha controladora tem 512MB de cache, suporte a hot-swap, e
hot-spare, não paguei barato por ela, e por este motivo tinha intenção de
usá-la

Se eu criar um Raid 5 na controladora, e particionar ele em volumes (ainda
na controladora) depois cada um desses volumes criar uma volume ZFS, (sem
usar o RaidZ) e utilizar iSCSI para conectar a esses volumes ZFS? É
indicado?

Outra coisa, nesse Storage, vou ter ligado os servidores de e-mail mx1 e
mx2, é possível eles compartilharem o mesmo target iSCSI, ou seja, tanto um
quanto outro armazenar as mensagens na mesma unidade???

Agradeço as dicas...

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2013/3/18 William Grzybowski willia...@gmail.com

 2013/3/18 Márcio Elias marcioel...@gmail.com:
  Boa tarde galera da lista...
 
  Seguinte, tenho um Storage Webster com capacidade para 24 discos
 SAS/SATA,
  e mais uma unidade flash de 4 GB para instalação do SO.
 
  Para usar FreeNAS, vcs me aconcelhariam fazer os arranjos de discos
  diretamente via ZFS, ou criar os arranjos na controladora (RAID via
  Hardware) e em cima disso colocar o ZFS?
 
  Alguém da lista tem algum cenário semelhante? Qualquer ideia é bem
 vinda...

 Hardware RAID com ZFS não é recomendado devido a fatores como double
 checksum e o próprio gerenciamento de discos do ZFS, o que acarreta na
 não redundância de estruturas de dados do ZFS.
 Se optar por RAID use UFS.

 PS: Essa história de raid hardware ser mais rápido é coisa dos anos
 90. Atualmente existem outros fatores que levam isso a ser
 praticamente irrelevante.


 --
 William Grzybowski
 --
 Agência Livre - www.agencialivre.com.br
 Curitiba/PR - Brasil
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Storage Webster + FreeNAS

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


On Tue, Mar 19, 2013 at 12:58 AM, Paulo Henrique paulo.rd...@bsd.com.brwrote:

 2013/3/18 Eduardo Schoedler lis...@esds.com.br

  Em 18 de março de 2013 17:58, Antônio Pessoa atnpes...@gmail.com
  escreveu:
 
   Siga as regras da lista [1] e evite o top-posting [2].
  
   [1] http://www.fug.com.br/content/view/20/69/
   [2] http://en.wikipedia.org/wiki/Posting_style#Top-posting
 
 
  A lista FUG-BR tem um watchdog: Antônio Pessoa.
 
  Desculpe a brincadeira, não resisti. :-)
 
  --
  Eduardo Schoedler
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 


 Watchdog realmente eficiente !!!
 Está mudando a postura por aqui e o historico já está voltando a ficar mais
 agradavel !!!


 Abraços !!
 --
 :=)(=:
 Rip NoRm4nD.
 Flamers  /dev/null !!!
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



Então, trata-se de um Equipamento com grande capacidade de armazenamento,
nele quero armazenar, os e-mails das aproximadamente 3500 contas que tenho,
hospedagem de mais ou menos 35 dominios com banco de dados, banco de dados
interno, e demais dados de outros servidores em minha rede

Ou seja, pretendo centralizar nele uma grande variedade de aplicações,
penso inicialmente na segurança, mais também não posso abrir mão do
desempenho...

Acho que minhas intenções ficaram claras. Agradeço a ajuda de todos, mais
ainda não tomei uma decisão de o que e melhor para meu caso.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Servidores de e-mail - DNS x Webmail

Bom, pra não misturar no outro tópico que abri sobre o storage, mesmo já
tendo mencionado isso lá, preciso fazer o seguinte:

registrar o mx1.dominio.com.br e o mx2.dominio.com.br no DNS, onde cada um
seria um registro MX (10 e 20 por exemplo). Até ai tudo bem, acredito que o
próprio DNS se encarregaria de se cair um MTA, (o do registro MX 10 por
exemplo) seria acionado o próximo MTA (do MX 20 neste caso).

Até ai tudo bem, mais e no caso de usar webmail, como centralizo as
mensagens recebidas nos 2 MTA's?

Como vcs fazem isso hoje? Acredito que muitos aqui na lista devam possuir
esta solução rodado e gostaria de opiniões suas.

vou usar Postfix como MTA.


-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Storage Webster + FreeNAS

2013/3/19 Eduardo Schoedler lis...@esds.com.br

 Em 19/03/2013, às 01:03, Márcio Elias marcioel...@gmail.com escreveu:

 
  On Tue, Mar 19, 2013 at 12:58 AM, Paulo Henrique paulo.rd...@bsd.com.br
 wrote:
 
  2013/3/18 Eduardo Schoedler lis...@esds.com.br
 
  Em 18 de março de 2013 17:58, Antônio Pessoa atnpes...@gmail.com
  escreveu:
 
  Siga as regras da lista [1] e evite o top-posting [2].
 
  [1] http://www.fug.com.br/content/view/20/69/
  [2] http://en.wikipedia.org/wiki/Posting_style#Top-posting
 
 
  A lista FUG-BR tem um watchdog: Antônio Pessoa.
 
  Desculpe a brincadeira, não resisti. :-)
 
  --
  Eduardo Schoedler
 
 
  Watchdog realmente eficiente !!!
  Está mudando a postura por aqui e o historico já está voltando a ficar
 mais
  agradavel !!!
 
 
  Abraços !!
  --
  :=)(=:
  Rip NoRm4nD.
  Flamers  /dev/null !!!
 
  Então, trata-se de um Equipamento com grande capacidade de armazenamento,
  nele quero armazenar, os e-mails das aproximadamente 3500 contas que
 tenho,
  hospedagem de mais ou menos 35 dominios com banco de dados, banco de
 dados
  interno, e demais dados de outros servidores em minha rede
 
  Ou seja, pretendo centralizar nele uma grande variedade de aplicações,
  penso inicialmente na segurança, mais também não posso abrir mão do
  desempenho...
 
  Acho que minhas intenções ficaram claras. Agradeço a ajuda de todos, mais
  ainda não tomei uma decisão de o que e melhor para meu caso.

 Tenta usar um raid50 ou 60, tem desempenho com segurança.

 Banco de dados é melhor usar discos SSD.

 Ainda acho que você esta querendo colocar muita coisa para rodar junto.

 --
 Eduardo Schoedler
 Enviado via iPhone
 
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Não é um volume tão grande de dados, o storage está equipado com um Xeon de
2.13Ghz 4 nucleos e 8GB de RAM ECC...

Atualmente tem um 6 discos SAS 10K de 640GB cada, e mais 5 SATA 7.2K de
500GB (os discos SATA, devido ao menor desempenho, pretendo deixar somente
para backup a ser efetuado em horários oportunos, como de madrugada por
exemplo).

Garanto que em matéria de hardware tem capacidade de sobra pro I/O atual.

O equipamento é praticamente todo redundante, fonte, memória, discos, só
mesmo se queimar a placa mão ou o processador para ele parar. Sem contar
que temos nobreaks suficientes para todos os servidores por 3 horas, mais
um gerador capaz de segurar a energia por dias...

O fato é que todo esse potencial desse equipamento está parado, e pretendo
colocá-lo em uso.

Sei da vantagem do SSD, mais atualmente tenho que aproveitar o que já
tenho, estamos investindo em outras tecnologias atualmente e não tenho
verba pra investir nisso agora.

Em resumo: Ou uso Raid via hardware com UFS, ou ZFS com RaidZ, é isso?

E afinal de contas, qual destes vcs me aconcelham, depois de todos os
detalhes de infra-estrutura que passei?

Obrigado a todos pelas dicas.

Márcio Elias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Servidores de e-mail - DNS x Webmail