Re: [FUG-BR] Duvidas freebsd-update

[João Luis]

Valeu !!!

Grato.

[]s

JL

On Thu, Aug 11, 2016 at 11:00 AM, Vinícius Zavam 
wrote:

> 2016-08-11 10:38 GMT-03:00, João Luis :
> > Saudaçoes,
> >
> > Estou tentando entender o que se passa com o freebsd-update, que a meu
> ver
> > serve para atualizar o sistema. Ei-las entao :
> >
> > $ uname -a
> >
> > FreeBSD Daredevil 10.3-RELEASE-p6 FreeBSD 10.3-RELEASE-p6 #5 r303736: Thu
> > Aug  4 09:47:53 AMT 2016 root@Daredevil:/usr/obj/usr/
> src/sys/DAREDEVIL
> > i386
> >
> > Compilado "a la FreeBSD way"
> >
> > $ freebsd-version -ku
> > 10.3-RELEASE-p6
> > 10.3-RELEASE-p6
> >
> > # freebsd-update fetch
> >
> > ...
> >
> > The following files will be updated as part of updating to
> 10.3-RELEASE-p6:
> >
> > ...
> >
> > # freebsd-update install
> > Installing updates... done.
> >
> > $ uname -a
> > FreeBSD Daredevil 10.3-RELEASE-p6 FreeBSD 10.3-RELEASE-p6 #5 r303736: Thu
> > Aug  4 09:47:53 AMT 2016 root@Daredevil:/usr/obj/usr/
> src/sys/DAREDEVIL
> > i386
> >
> > $ freebsd-version -ku
> > 10.3-RELEASE-p4
> > 10.3-RELEASE-p6
> >
> > O freebsd-update fez um downgrade nos arquivos do kernel ???
> >
> > Atualizo /usr/src via svn.
> >
> > Grato
> >
> > JL
>
> " Only the GENERIC kernel can be automatically updated by
> freebsd-update. If a custom kernel is installed, it will have to be
> rebuilt and reinstalled after freebsd-update finishes installing the
> updates. However, freebsd-update will detect and update the GENERIC
> kernel if /boot/GENERIC exists, even if it is not the current running
> kernel of the system. "
>
> " Note: Always keep a copy of the GENERIC kernel in /boot/GENERIC. It
> will be helpful in diagnosing a variety of problems and in performing
> version upgrades. Refer to Section 23.2.3.1, “Custom Kernels with
> FreeBSD 9.X and Later” for instructions on how to get a copy of the
> GENERIC kernel. "
>
> https://www.freebsd.org/doc/handbook/updating-upgrading-freebsdupdate.html
>
>
> --
> Vinícius Zavam
> keybase.io/egypcio/key.asc
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas freebsd-update

[Vinícius Zavam]

2016-08-11 10:38 GMT-03:00, João Luis :
> Saudaçoes,
>
> Estou tentando entender o que se passa com o freebsd-update, que a meu ver
> serve para atualizar o sistema. Ei-las entao :
>
> $ uname -a
>
> FreeBSD Daredevil 10.3-RELEASE-p6 FreeBSD 10.3-RELEASE-p6 #5 r303736: Thu
> Aug  4 09:47:53 AMT 2016 root@Daredevil:/usr/obj/usr/src/sys/DAREDEVIL
> i386
>
> Compilado "a la FreeBSD way"
>
> $ freebsd-version -ku
> 10.3-RELEASE-p6
> 10.3-RELEASE-p6
>
> # freebsd-update fetch
>
> ...
>
> The following files will be updated as part of updating to 10.3-RELEASE-p6:
>
> ...
>
> # freebsd-update install
> Installing updates... done.
>
> $ uname -a
> FreeBSD Daredevil 10.3-RELEASE-p6 FreeBSD 10.3-RELEASE-p6 #5 r303736: Thu
> Aug  4 09:47:53 AMT 2016 root@Daredevil:/usr/obj/usr/src/sys/DAREDEVIL
> i386
>
> $ freebsd-version -ku
> 10.3-RELEASE-p4
> 10.3-RELEASE-p6
>
> O freebsd-update fez um downgrade nos arquivos do kernel ???
>
> Atualizo /usr/src via svn.
>
> Grato
>
> JL

" Only the GENERIC kernel can be automatically updated by
freebsd-update. If a custom kernel is installed, it will have to be
rebuilt and reinstalled after freebsd-update finishes installing the
updates. However, freebsd-update will detect and update the GENERIC
kernel if /boot/GENERIC exists, even if it is not the current running
kernel of the system. "

" Note: Always keep a copy of the GENERIC kernel in /boot/GENERIC. It
will be helpful in diagnosing a variety of problems and in performing
version upgrades. Refer to Section 23.2.3.1, “Custom Kernels with
FreeBSD 9.X and Later” for instructions on how to get a copy of the
GENERIC kernel. "

https://www.freebsd.org/doc/handbook/updating-upgrading-freebsdupdate.html


-- 
Vinícius Zavam
keybase.io/egypcio/key.asc
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Duvidas freebsd-update

[João Luis]

Saudaçoes,

Estou tentando entender o que se passa com o freebsd-update, que a meu ver
serve para atualizar o sistema. Ei-las entao :

$ uname -a

FreeBSD Daredevil 10.3-RELEASE-p6 FreeBSD 10.3-RELEASE-p6 #5 r303736: Thu
Aug  4 09:47:53 AMT 2016 root@Daredevil:/usr/obj/usr/src/sys/DAREDEVIL
i386

Compilado "a la FreeBSD way"

$ freebsd-version -ku
10.3-RELEASE-p6
10.3-RELEASE-p6

# freebsd-update fetch

...

The following files will be updated as part of updating to 10.3-RELEASE-p6:

...

# freebsd-update install
Installing updates... done.

$ uname -a
FreeBSD Daredevil 10.3-RELEASE-p6 FreeBSD 10.3-RELEASE-p6 #5 r303736: Thu
Aug  4 09:47:53 AMT 2016 root@Daredevil:/usr/obj/usr/src/sys/DAREDEVIL
i386

$ freebsd-version -ku
10.3-RELEASE-p4
10.3-RELEASE-p6

O freebsd-update fez um downgrade nos arquivos do kernel ???

Atualizo /usr/src via svn.

Grato

JL
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvidas freebsd 10 + quaggua / zebra

[Eduardo Schoedler]

Em 3 de setembro de 2014 17:14, Denis Granato  escreveu:
> Boa tarde senhores,
>
> Comecei a instalar um servidor com o quaggua hoje e gostaria
> de saber se alguém chegou a fazer um tutorial do básico.
>
> estou no make install clean ainda e paro no seguinte erro
>
> Stop.
> make[2]: stopped in /usr/ports/devel/libdlmalloc
> *** Error code 1

Poupe seu trabalho e instale o BSDRP.
É um pacote FreeBSD + quagga (sem U) + Bird + um monte de outros acessórios.
É feito para trabalhar com pendrive ou compact flash.
Vale o teste!

--
Eduardo Schoedler
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] duvidas freebsd 10 + quaggua / zebra

[Denis Granato]

Boa tarde senhores,

Comecei a instalar um servidor com o quaggua hoje e gostaria
de saber se alguém chegou a fazer um tutorial do básico.

estou no make install clean ainda e paro no seguinte erro

Stop.
make[2]: stopped in /usr/ports/devel/libdlmalloc
*** Error code 1



Obrigado
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas - ZFS

[Paulo Henrique - BSDs Brasil]

On 16/08/2013 10:24, vic wrote:
> Em 2013-08-16 6:43, Paulo Henrique - BSDs Brasil escreveu:
>> Saudações,
>>
>> Resolvi entrar na onda dos usuários do ZFS e estou subindo um cluster
>> utilizando ele ( ZFS ) junto com o Hast.
>>
>> Bom como era um tecnologia que li por cima anteriormente tinha meus
>> receios empiricos porem agora que estou brincando um pouco com os pools
>> estou impressionado, gerenciamento de espaço em disco ficou muito mais
>> simples alem de um recurso que o UFS não tem que é a comprensão, UFS
>> perdeu um fã.
>>
>> Um ponto negativo é que ele realmente é bem guloso quanto a memoria, 
>> uma
>> maquina com 8G de ram e um zpool de 450Gb o top retorna a informação
>> abaixo para mim.
>>
>> Mem: 36M Active, 261M Inact, 7223M Wired, 88K Cache, 311M Free
>>
>> A menos que eu esteja equivocado mais 7223M de ram foram simplesmente
>> comprometido pelo kernel, como não tenho ainda nenhuma aplicação, estou
>> executando só o FreeBSD o mais limpo possivel isso me deixou um pouco
>> preocupado, cansei de ver esse servidor com 2G a 3G de ram sobrando
>> sobre uma carga pesada de trabalho ( PostgreSQL + Samba + OpenLDAP ) e
>> agora vejo só 311M livres, achei isso estranho e é a primeira duvida,
>> para mim a memoria do nucleo é dinamica e será liberado conforme os
>> serviços vão requisitando ?
>> Alem do que esse é o pool para o sistema, ainda terá um segundo pool de
>> 1TB onde ficará os arquivos os 8 Gb mais será suficiente para o
>> PostgreSQL, Samba e LDAP mais o ZFS ?
>>
>> Na customização do kernel é necessário setar a opção abaixo ?
>> options ROOTDEVNAME=\"zfs:system\"
>>
>> Ou não é necessário, basta deixar a configuração do /boot/loader.conf e
>> remover essa linha do kernel?
>>
>> O projeto é para um servidor PDC utilizando o Samba 3.6 com OpenLDAP, e
>> uma das coisas que não se abre mais mão dentro da empresa é 
>> criptografar
>> os discos, sempre usei o GELI sobre gmirror, agora sobre o ZFS pelo que
>> pesquisei a ordem é criar o GELI device e depois sobre o device do GELI
>> criar o zpool, contudo será um cluster utilizando sincronização de 
>> disco
>> com o Hastd onde presumo que a ordem correta deva ser:
>> 1 - Criar os devices GELI.
>> 2 - Criar os devices Hast.
>> 3 - Criar o Zpool sobre os devices Hast.
>>
>> Estou correto sobre está analise ?
>>
>> Qualquer sugestão ou orientação é bem vinda.
>>
>> Abraços e um ótimo dia para todos.
> 
> O ZFS tem o habito de sugar a memória, então isso é normal. O que sua a 
> memória é o ARC, e é possível (e recomendado para ter uma super 
> performance) é colocá-lo num HD SSD, assim como o ZIL. Leia esse artigo 
>   
>   
> /blog/2011/02/frequently-asked-questions-about-flash-memory-ssds-and-zfs
> 
> Para ver as estatística do ZFS, instale o port sysutils/zfs-stats.
> 
> Eu nunca precisei configurar nada no kernel em relação ao ZFS e para o 
> boot, basta usar a configuração do /boot/loader.conf.
> 
> Ainda sobre a memória, você pode limitar o espaço do ARC com a variável 
> vfs.zfs.arc_max="2048M" no /boot/loader.conf. De uma lida na wiki 
> http://wiki.freebsd.org/ZFSTuningGuide
> 
> Sobre a ordem dos devices eu não tenho certeza, mas acho que você está 
> certo. Ah, não sei se serve, mas o zfs tem o zfs zend/receive que pode 
> usado para mandar o filesystem direto para outro servidor remoto.
> 
> Na seção de Howtos do forums.freebsd.org tem um monte de artigos com o 
> ZFS, dê uma procurada lá. Alguns que achei e que podem servir para você:
> 
> 
> http://forums.freebsd.org/showthread.php?t=38154
> http://forums.freebsd.org/showthread.php?t=29639
> 
Opa Vic,
valeu, esses dois artigos é o que estou usando para obter o norte da
solução, como em ambos o ZFS é por ultimo e em um outro artigo o com
geli + hastd o geli vem primeiro pensei ser essa a ordem, bom testar
hoje se for estaremos confirmando apenas.

Quanto ao arc agora que compilei o kernel ele aparece no top :D achei
muito intessante isso.
Pelo visto a linha em si não interfere em nada mesmo, contudo ainda não
experimentei comentar a linha do /boot/loader.conf

Não vou limitar de momento o espaço do arc na memoria, mais se ver que
começará a ficar fora de controle vejo como unica solução.
Quanto A SSD para isso está fora de consideração no momento ( alto custo ).

Segue uma linha do arc que aparece no top agora.
ARC: 1861M Total, 78M MFU, 997M MRU, 16K Anon, 81M Header, 706M Other

Vou ficar de olho nessa opção de momento.


-- 
Paulo Henrique.

/*
 * Não tenho apego material,
 * Só que tambem não vivemos em um mundo socialista.
 */
BSDs Brasil.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas - ZFS

[vic]

Em 2013-08-16 6:43, Paulo Henrique - BSDs Brasil escreveu:
> Saudações,
> 
> Resolvi entrar na onda dos usuários do ZFS e estou subindo um cluster
> utilizando ele ( ZFS ) junto com o Hast.
> 
> Bom como era um tecnologia que li por cima anteriormente tinha meus
> receios empiricos porem agora que estou brincando um pouco com os pools
> estou impressionado, gerenciamento de espaço em disco ficou muito mais
> simples alem de um recurso que o UFS não tem que é a comprensão, UFS
> perdeu um fã.
> 
> Um ponto negativo é que ele realmente é bem guloso quanto a memoria, 
> uma
> maquina com 8G de ram e um zpool de 450Gb o top retorna a informação
> abaixo para mim.
> 
> Mem: 36M Active, 261M Inact, 7223M Wired, 88K Cache, 311M Free
> 
> A menos que eu esteja equivocado mais 7223M de ram foram simplesmente
> comprometido pelo kernel, como não tenho ainda nenhuma aplicação, estou
> executando só o FreeBSD o mais limpo possivel isso me deixou um pouco
> preocupado, cansei de ver esse servidor com 2G a 3G de ram sobrando
> sobre uma carga pesada de trabalho ( PostgreSQL + Samba + OpenLDAP ) e
> agora vejo só 311M livres, achei isso estranho e é a primeira duvida,
> para mim a memoria do nucleo é dinamica e será liberado conforme os
> serviços vão requisitando ?
> Alem do que esse é o pool para o sistema, ainda terá um segundo pool de
> 1TB onde ficará os arquivos os 8 Gb mais será suficiente para o
> PostgreSQL, Samba e LDAP mais o ZFS ?
> 
> Na customização do kernel é necessário setar a opção abaixo ?
> options ROOTDEVNAME=\"zfs:system\"
> 
> Ou não é necessário, basta deixar a configuração do /boot/loader.conf e
> remover essa linha do kernel?
> 
> O projeto é para um servidor PDC utilizando o Samba 3.6 com OpenLDAP, e
> uma das coisas que não se abre mais mão dentro da empresa é 
> criptografar
> os discos, sempre usei o GELI sobre gmirror, agora sobre o ZFS pelo que
> pesquisei a ordem é criar o GELI device e depois sobre o device do GELI
> criar o zpool, contudo será um cluster utilizando sincronização de 
> disco
> com o Hastd onde presumo que a ordem correta deva ser:
> 1 - Criar os devices GELI.
> 2 - Criar os devices Hast.
> 3 - Criar o Zpool sobre os devices Hast.
> 
> Estou correto sobre está analise ?
> 
> Qualquer sugestão ou orientação é bem vinda.
> 
> Abraços e um ótimo dia para todos.

O ZFS tem o habito de sugar a memória, então isso é normal. O que sua a 
memória é o ARC, e é possível (e recomendado para ter uma super 
performance) é colocá-lo num HD SSD, assim como o ZIL. Leia esse artigo 
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
/blog/2011/02/frequently-asked-questions-about-flash-memory-ssds-and-zfs

Para ver as estatística do ZFS, instale o port sysutils/zfs-stats.

Eu nunca precisei configurar nada no kernel em relação ao ZFS e para o 
boot, basta usar a configuração do /boot/loader.conf.

Ainda sobre a memória, você pode limitar o espaço do ARC com a variável 
vfs.zfs.arc_max="2048M" no /boot/loader.conf. De uma lida na wiki 
http://wiki.freebsd.org/ZFSTuningGuide

Sobre a ordem dos devices eu não tenho certeza, mas acho que você está 
certo. Ah, não sei se serve, mas o zfs tem o zfs zend/receive que pode 
usado para mandar o filesystem direto para outro servidor remoto.

Na seção de Howtos do forums.freebsd.org tem um monte de artigos com o 
ZFS, dê uma procurada lá. Alguns que achei e que podem servir para você:


http://forums.freebsd.org/showthread.php?t=38154
http://forums.freebsd.org/showthread.php?t=29639

-- 
vic
choppnerd.com
donttrack.us | dontbubble.us
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Duvidas - ZFS

[Paulo Henrique - BSDs Brasil]

Saudações,

Resolvi entrar na onda dos usuários do ZFS e estou subindo um cluster
utilizando ele ( ZFS ) junto com o Hast.

Bom como era um tecnologia que li por cima anteriormente tinha meus
receios empiricos porem agora que estou brincando um pouco com os pools
estou impressionado, gerenciamento de espaço em disco ficou muito mais
simples alem de um recurso que o UFS não tem que é a comprensão, UFS
perdeu um fã.

Um ponto negativo é que ele realmente é bem guloso quanto a memoria, uma
maquina com 8G de ram e um zpool de 450Gb o top retorna a informação
abaixo para mim.

Mem: 36M Active, 261M Inact, 7223M Wired, 88K Cache, 311M Free

A menos que eu esteja equivocado mais 7223M de ram foram simplesmente
comprometido pelo kernel, como não tenho ainda nenhuma aplicação, estou
executando só o FreeBSD o mais limpo possivel isso me deixou um pouco
preocupado, cansei de ver esse servidor com 2G a 3G de ram sobrando
sobre uma carga pesada de trabalho ( PostgreSQL + Samba + OpenLDAP ) e
agora vejo só 311M livres, achei isso estranho e é a primeira duvida,
para mim a memoria do nucleo é dinamica e será liberado conforme os
serviços vão requisitando ?
Alem do que esse é o pool para o sistema, ainda terá um segundo pool de
1TB onde ficará os arquivos os 8 Gb mais será suficiente para o
PostgreSQL, Samba e LDAP mais o ZFS ?

Na customização do kernel é necessário setar a opção abaixo ?
options ROOTDEVNAME=\"zfs:system\"

Ou não é necessário, basta deixar a configuração do /boot/loader.conf e
remover essa linha do kernel?

O projeto é para um servidor PDC utilizando o Samba 3.6 com OpenLDAP, e
uma das coisas que não se abre mais mão dentro da empresa é criptografar
os discos, sempre usei o GELI sobre gmirror, agora sobre o ZFS pelo que
pesquisei a ordem é criar o GELI device e depois sobre o device do GELI
criar o zpool, contudo será um cluster utilizando sincronização de disco
com o Hastd onde presumo que a ordem correta deva ser:
1 - Criar os devices GELI.
2 - Criar os devices Hast.
3 - Criar o Zpool sobre os devices Hast.

Estou correto sobre está analise ?

Qualquer sugestão ou orientação é bem vinda.

Abraços e um ótimo dia para todos.



-- 
Paulo Henrique.

/*
 * Não tenho apego material,
 * Só que tambem não vivemos em um mundo socialista.
 */
BSDs Brasil.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas e problemas com PF

[Danilo Neves]

Acredito que pelo que você ta querendo com route-to no PF você faz isso.

# NAT OPERADORA X
nat on $interface-wan1 from { 192.168.0.0/24 } to any ->
$IP-INTERFACE-operadora_x

# NAT OPERADORA Y
nat on $interface-wan2 from { 192.168.2.0/24   } to any ->
$IP-INTERFACE-operadora_Y
pass in quick on $interface-lan route-to ($interface-wan2 gateway) proto {
tcp udp } from 192.168.2.0/24 to !192.168.2.0/24 port { 80, 443, 1024:65535
}

Em 18 de janeiro de 2013 21:20, Saul Figueiredo
escreveu:

> Correção: Optantes não, iptables!
> Em 18/01/2013 23:20, "Saul Figueiredo"  escreveu:
>
> > Humn... No Linux eu usaria o IP route e a tabela mangle do optantes pra
> > fazer isso. O que há de mais parecido com esses dois no mundo freebsd?
> > Em 18/01/2013 23:05, "Jose Nilton"  escreveu:
> >
> >> Boa noite Mario...
> >> >
> >> > Obrigado pelas dicas, fiz o testes com estas configurações e sei que
> >> > funciona num ambiente onde existe NAT, porem, existe um detalhe que
> nao
> >> > deixei claro. Este servidor seria uma bridge entre o meu firewall
> >> (cisco) e
> >> > as operadoras (A) e (B) para que todo trafego que esteja saindo com os
> >> > endereços IP da operadora (A) não seja forçado a ser entregue na
> >> operadora
> >> > (B), infelizmente o Cisco não faz pre-routing ou seja, nao consigo
> >> pegar a
> >> > origem e dizer que ele deve sair pela interface do router (A) ele
> sempre
> >> > vai sair pela (B) e vai dar problema.
> >> >
> >> > Esta bridge seria uma "arapuca" temporaria ate eu migrar todos os
> >> clientes
> >> > da operadora (B) para a (A) foi uma tentativa de "enganar" o firewall
> >> pois
> >> > tudo que vem pela interface (B) ele retorna mas a saida não...
> >> >
> >> > Se alguem ja fez uma arapuca dessa e puder mostrar o caminho das
> pedras
> >> > seria interessante
> >> >
> >> > Mas de qualquer forma obrigado.
> >> >
> >> > Diogo Dalfovo
> >> > -
> >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> >
> >>
> >>
> >> Diogo, cara coloca ai um Mikrotik, 5 Portas, até 4 Links de Wan
> >> http://informatica.mercadolivre.com.br/routerboards/rb-750
> >>
> >> Só foi uma dica.
> >>
> >>
> >> --
> >>
> >>
> ..
> >> *Com Deus todas as coisas são possíveis* :::
> >> LinuxPro
> >>
> >> *"A qualidade nunca se obtém por acaso; ela é sempre o resultado do
> >> esforço
> >> inteligente." (John Ruskin)
> >> "A mente que se abre a uma nova ideia jamais volta ao seu tamanho
> >> original"
> >> (Albert Einstein)*
> >> -
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas e problemas com PF

[Saul Figueiredo]

Correção: Optantes não, iptables!
Em 18/01/2013 23:20, "Saul Figueiredo"  escreveu:

> Humn... No Linux eu usaria o IP route e a tabela mangle do optantes pra
> fazer isso. O que há de mais parecido com esses dois no mundo freebsd?
> Em 18/01/2013 23:05, "Jose Nilton"  escreveu:
>
>> Boa noite Mario...
>> >
>> > Obrigado pelas dicas, fiz o testes com estas configurações e sei que
>> > funciona num ambiente onde existe NAT, porem, existe um detalhe que nao
>> > deixei claro. Este servidor seria uma bridge entre o meu firewall
>> (cisco) e
>> > as operadoras (A) e (B) para que todo trafego que esteja saindo com os
>> > endereços IP da operadora (A) não seja forçado a ser entregue na
>> operadora
>> > (B), infelizmente o Cisco não faz pre-routing ou seja, nao consigo
>> pegar a
>> > origem e dizer que ele deve sair pela interface do router (A) ele sempre
>> > vai sair pela (B) e vai dar problema.
>> >
>> > Esta bridge seria uma "arapuca" temporaria ate eu migrar todos os
>> clientes
>> > da operadora (B) para a (A) foi uma tentativa de "enganar" o firewall
>> pois
>> > tudo que vem pela interface (B) ele retorna mas a saida não...
>> >
>> > Se alguem ja fez uma arapuca dessa e puder mostrar o caminho das pedras
>> > seria interessante
>> >
>> > Mas de qualquer forma obrigado.
>> >
>> > Diogo Dalfovo
>> > -
>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >
>>
>>
>> Diogo, cara coloca ai um Mikrotik, 5 Portas, até 4 Links de Wan
>> http://informatica.mercadolivre.com.br/routerboards/rb-750
>>
>> Só foi uma dica.
>>
>>
>> --
>>
>> ..
>> *Com Deus todas as coisas são possíveis* :::
>> LinuxPro
>>
>> *"A qualidade nunca se obtém por acaso; ela é sempre o resultado do
>> esforço
>> inteligente." (John Ruskin)
>> "A mente que se abre a uma nova ideia jamais volta ao seu tamanho
>> original"
>> (Albert Einstein)*
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas e problemas com PF

[Saul Figueiredo]

Humn... No Linux eu usaria o IP route e a tabela mangle do optantes pra
fazer isso. O que há de mais parecido com esses dois no mundo freebsd?
Em 18/01/2013 23:05, "Jose Nilton"  escreveu:

> Boa noite Mario...
> >
> > Obrigado pelas dicas, fiz o testes com estas configurações e sei que
> > funciona num ambiente onde existe NAT, porem, existe um detalhe que nao
> > deixei claro. Este servidor seria uma bridge entre o meu firewall
> (cisco) e
> > as operadoras (A) e (B) para que todo trafego que esteja saindo com os
> > endereços IP da operadora (A) não seja forçado a ser entregue na
> operadora
> > (B), infelizmente o Cisco não faz pre-routing ou seja, nao consigo pegar
> a
> > origem e dizer que ele deve sair pela interface do router (A) ele sempre
> > vai sair pela (B) e vai dar problema.
> >
> > Esta bridge seria uma "arapuca" temporaria ate eu migrar todos os
> clientes
> > da operadora (B) para a (A) foi uma tentativa de "enganar" o firewall
> pois
> > tudo que vem pela interface (B) ele retorna mas a saida não...
> >
> > Se alguem ja fez uma arapuca dessa e puder mostrar o caminho das pedras
> > seria interessante
> >
> > Mas de qualquer forma obrigado.
> >
> > Diogo Dalfovo
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
> Diogo, cara coloca ai um Mikrotik, 5 Portas, até 4 Links de Wan
> http://informatica.mercadolivre.com.br/routerboards/rb-750
>
> Só foi uma dica.
>
>
> --
>
> ..
> *Com Deus todas as coisas são possíveis* :::
> LinuxPro
>
> *"A qualidade nunca se obtém por acaso; ela é sempre o resultado do esforço
> inteligente." (John Ruskin)
> "A mente que se abre a uma nova ideia jamais volta ao seu tamanho original"
> (Albert Einstein)*
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas e problemas com PF

[Jose Nilton]

Boa noite Mario...
>
> Obrigado pelas dicas, fiz o testes com estas configurações e sei que
> funciona num ambiente onde existe NAT, porem, existe um detalhe que nao
> deixei claro. Este servidor seria uma bridge entre o meu firewall (cisco) e
> as operadoras (A) e (B) para que todo trafego que esteja saindo com os
> endereços IP da operadora (A) não seja forçado a ser entregue na operadora
> (B), infelizmente o Cisco não faz pre-routing ou seja, nao consigo pegar a
> origem e dizer que ele deve sair pela interface do router (A) ele sempre
> vai sair pela (B) e vai dar problema.
>
> Esta bridge seria uma "arapuca" temporaria ate eu migrar todos os clientes
> da operadora (B) para a (A) foi uma tentativa de "enganar" o firewall pois
> tudo que vem pela interface (B) ele retorna mas a saida não...
>
> Se alguem ja fez uma arapuca dessa e puder mostrar o caminho das pedras
> seria interessante
>
> Mas de qualquer forma obrigado.
>
> Diogo Dalfovo
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


Diogo, cara coloca ai um Mikrotik, 5 Portas, até 4 Links de Wan
http://informatica.mercadolivre.com.br/routerboards/rb-750

Só foi uma dica.


-- 
..
*Com Deus todas as coisas são possíveis* :::
LinuxPro

*"A qualidade nunca se obtém por acaso; ela é sempre o resultado do esforço
inteligente." (John Ruskin)
"A mente que se abre a uma nova ideia jamais volta ao seu tamanho original"
(Albert Einstein)*
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas e problemas com PF

[Diogo Dalfovo]

Em 18 de janeiro de 2013 17:46, Mario Lobo  escreveu:

> Em 18 de janeiro de 2013 16:44, Mario Lobo  escreveu:
>
> >
> >
> > Em 18 de janeiro de 2013 06:27, Diogo Dalfovo  >escreveu:
> >
> > Bom dia pessoal...
> >>
> >> Estou com problema que acredito ser no retorno do pacote usando PF no
> >> Freebsd. Meu cenario é seguinte:
> >> O firewall ligado em duas operadoras A e B e duas LANs 192.168.0.0/24 e
> >> 192.168.2.0/24 faço NAT de cada rede pra cada saida da operadora e
> tambem
> >> ja testei configurando uma WAN com os IPs configurados tanto da
> operadora
> >> A
> >> como da B mas em nenhum dos caso deu certo. Por ultimo depois da
> madrugada
> >> se estiver tudo "certo" ele pinga uma vez de em cada operadora e para.
> >>
> >> Mas resumindo a historia toda preciso que o venha da rede
> >> 192.168.0.0/24saia e retorne pela operada A e a rede
> >> 192.168.2.0/24 saia e retorne somente pela B ou se tem como fazer com
> que
> >> tudo que vier de uma interface saia e retorne pela interface da rede A e
> >> igualmente pela B.
> >>
> >> Lembrando que o meu gateway esta pela rede B, segue o meu PF.
> >>
> >> ###
> >> # 1 - Interfaces
> >> ###
> >> #Externa WAN
> >> if_bgp  = "fxp1"
> >> if_gvt  = "fxp0"
> >> if_fw   = "rl0"
> >> if_bridge = "bridge0"
> >>
> >> ##
> >> # 2 - IPs do Firewall
> >> ##
> >> ip_fw=""
> >> ip_ebt = "A.A.187.0/24"
> >> ip_gvt = "B.B.115.0/24"
> >>
> >>
> >> ##
> >> # 3 - IPs Gateways
> >> ##
> >>
> >> ip_gw_gvt = "B.B.115.5"
> >> ip_gw_ebt = "A.A.187.5"
> >>
> >>
> >>
> >> #pass in quick on $if_gvt reply-to ( $if_gvt $ip_gw_gvt ) from ip_gvt
> >> #pass in quick on $if_ebt reply-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt
> >>
> >> #pass out quick log on $if_ebt route-to ( $if_ebt $ip_gw_ebt ) from
> >> $ip_ebt label "ebt"
> >> #pass out quick log on $if_bgp route-to ( $if_gvt $ip_gw_gvt ) from
> >> $ip_gvt  label "gvt"
> >>
> >> pass out quick log on $if_bridge route-to ( $if_ebt $ip_gw_ebt ) from
> >> $ip_ebt label "ebt"
> >> pass out quick log on $if_bridge route-to ( $if_gvt $ip_gw_gvt ) from
> >> $ip_gvt  label "gvt"
> >>
> >> como ele é uma bridge tanto faz se uso interface bridge ou a fisica o
> >> resultado é o mesmo o pacote vai mais nao volta... alguem ja passou por
> >> isso? ou ve onde estou errando?
> >>
> >> Diogo Dalfovo
> >> -
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> > Diogo;
> >
> > Voce tem que dizer no pacote entrante da LAN pra onde voce quer que ele
> > seja roteado.
> >
> > Ex.
> >
> > pass in log quick on $lan_ebt_if route-to ($if_ebt $ip_gw_ebt ) inet
> proto
> > tcp from $lan_ebt_if:network to any
> >
> > pass in log quick on $lan_gvt_if route-to ($if_gvt $ip_gw_gvt ) inet
> proto
> > tcp from $lan_ebt_if:network to any
> >
> > Faz o NAT de tudo pra tudo que o keep state vai fazer o pacote voltar pro
> > lugar certo.
> >
> > Esse exemplo eu peguei do nosso servidor de produção. 2 link (OI e
> > EMBRATEL). Tenho o controle ate da rota de hosts individuais.
> >
> > Pode testar que vai rolar.
> > --
> > Mario Lobo
> > http://www.mallavoodoo.com.br
> > FreeBSD since version 2.2.8 [not Pro-Audio YET!!] (99,7% winfoes
> FREE)
>
>
> OOOPS ! na segunda linha leia-se: $lan_gvt_if:network
>
> Desculpe
> --
> Mario Lobo
> http://www.mallavoodoo.com.br
> FreeBSD since version 2.2.8 [not Pro-Audio YET!!] (99,7% winfoes FREE)
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Boa noite Mario...

Obrigado pelas dicas, fiz o testes com estas configurações e sei que
funciona num ambiente onde existe NAT, porem, existe um detalhe que nao
deixei claro. Este servidor seria uma bridge entre o meu firewall (cisco) e
as operadoras (A) e (B) para que todo trafego que esteja saindo com os
endereços IP da operadora (A) não seja forçado a ser entregue na operadora
(B), infelizmente o Cisco não faz pre-routing ou seja, nao consigo pegar a
origem e dizer que ele deve sair pela interface do router (A) ele sempre
vai sair pela (B) e vai dar problema.

Esta bridge seria uma "arapuca" temporaria ate eu migrar todos os clientes
da operadora (B) para a (A) foi uma tentativa de "enganar" o firewall pois
tudo que vem pela interface (B) ele retorna mas a saida não...

Se alguem ja fez uma arapuca dessa e puder mostrar o caminho das pedras
seria interessante

Mas de qualquer forma obrigado.

Diogo Dalfovo
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas e problemas com PF

[Mario Lobo]

Em 18 de janeiro de 2013 16:44, Mario Lobo  escreveu:

>
>
> Em 18 de janeiro de 2013 06:27, Diogo Dalfovo escreveu:
>
> Bom dia pessoal...
>>
>> Estou com problema que acredito ser no retorno do pacote usando PF no
>> Freebsd. Meu cenario é seguinte:
>> O firewall ligado em duas operadoras A e B e duas LANs 192.168.0.0/24 e
>> 192.168.2.0/24 faço NAT de cada rede pra cada saida da operadora e tambem
>> ja testei configurando uma WAN com os IPs configurados tanto da operadora
>> A
>> como da B mas em nenhum dos caso deu certo. Por ultimo depois da madrugada
>> se estiver tudo "certo" ele pinga uma vez de em cada operadora e para.
>>
>> Mas resumindo a historia toda preciso que o venha da rede
>> 192.168.0.0/24saia e retorne pela operada A e a rede
>> 192.168.2.0/24 saia e retorne somente pela B ou se tem como fazer com que
>> tudo que vier de uma interface saia e retorne pela interface da rede A e
>> igualmente pela B.
>>
>> Lembrando que o meu gateway esta pela rede B, segue o meu PF.
>>
>> ###
>> # 1 - Interfaces
>> ###
>> #Externa WAN
>> if_bgp  = "fxp1"
>> if_gvt  = "fxp0"
>> if_fw   = "rl0"
>> if_bridge = "bridge0"
>>
>> ##
>> # 2 - IPs do Firewall
>> ##
>> ip_fw=""
>> ip_ebt = "A.A.187.0/24"
>> ip_gvt = "B.B.115.0/24"
>>
>>
>> ##
>> # 3 - IPs Gateways
>> ##
>>
>> ip_gw_gvt = "B.B.115.5"
>> ip_gw_ebt = "A.A.187.5"
>>
>>
>>
>> #pass in quick on $if_gvt reply-to ( $if_gvt $ip_gw_gvt ) from ip_gvt
>> #pass in quick on $if_ebt reply-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt
>>
>> #pass out quick log on $if_ebt route-to ( $if_ebt $ip_gw_ebt ) from
>> $ip_ebt label "ebt"
>> #pass out quick log on $if_bgp route-to ( $if_gvt $ip_gw_gvt ) from
>> $ip_gvt  label "gvt"
>>
>> pass out quick log on $if_bridge route-to ( $if_ebt $ip_gw_ebt ) from
>> $ip_ebt label "ebt"
>> pass out quick log on $if_bridge route-to ( $if_gvt $ip_gw_gvt ) from
>> $ip_gvt  label "gvt"
>>
>> como ele é uma bridge tanto faz se uso interface bridge ou a fisica o
>> resultado é o mesmo o pacote vai mais nao volta... alguem ja passou por
>> isso? ou ve onde estou errando?
>>
>> Diogo Dalfovo
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
> Diogo;
>
> Voce tem que dizer no pacote entrante da LAN pra onde voce quer que ele
> seja roteado.
>
> Ex.
>
> pass in log quick on $lan_ebt_if route-to ($if_ebt $ip_gw_ebt ) inet proto
> tcp from $lan_ebt_if:network to any
>
> pass in log quick on $lan_gvt_if route-to ($if_gvt $ip_gw_gvt ) inet proto
> tcp from $lan_ebt_if:network to any
>
> Faz o NAT de tudo pra tudo que o keep state vai fazer o pacote voltar pro
> lugar certo.
>
> Esse exemplo eu peguei do nosso servidor de produção. 2 link (OI e
> EMBRATEL). Tenho o controle ate da rota de hosts individuais.
>
> Pode testar que vai rolar.
> --
> Mario Lobo
> http://www.mallavoodoo.com.br
> FreeBSD since version 2.2.8 [not Pro-Audio YET!!] (99,7% winfoes FREE)


OOOPS ! na segunda linha leia-se: $lan_gvt_if:network

Desculpe
-- 
Mario Lobo
http://www.mallavoodoo.com.br
FreeBSD since version 2.2.8 [not Pro-Audio YET!!] (99,7% winfoes FREE)
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas e problemas com PF

[Mario Lobo]

Em 18 de janeiro de 2013 06:27, Diogo Dalfovo escreveu:

> Bom dia pessoal...
>
> Estou com problema que acredito ser no retorno do pacote usando PF no
> Freebsd. Meu cenario é seguinte:
> O firewall ligado em duas operadoras A e B e duas LANs 192.168.0.0/24 e
> 192.168.2.0/24 faço NAT de cada rede pra cada saida da operadora e tambem
> ja testei configurando uma WAN com os IPs configurados tanto da operadora A
> como da B mas em nenhum dos caso deu certo. Por ultimo depois da madrugada
> se estiver tudo "certo" ele pinga uma vez de em cada operadora e para.
>
> Mas resumindo a historia toda preciso que o venha da rede
> 192.168.0.0/24saia e retorne pela operada A e a rede
> 192.168.2.0/24 saia e retorne somente pela B ou se tem como fazer com que
> tudo que vier de uma interface saia e retorne pela interface da rede A e
> igualmente pela B.
>
> Lembrando que o meu gateway esta pela rede B, segue o meu PF.
>
> ###
> # 1 - Interfaces
> ###
> #Externa WAN
> if_bgp  = "fxp1"
> if_gvt  = "fxp0"
> if_fw   = "rl0"
> if_bridge = "bridge0"
>
> ##
> # 2 - IPs do Firewall
> ##
> ip_fw=""
> ip_ebt = "A.A.187.0/24"
> ip_gvt = "B.B.115.0/24"
>
>
> ##
> # 3 - IPs Gateways
> ##
>
> ip_gw_gvt = "B.B.115.5"
> ip_gw_ebt = "A.A.187.5"
>
>
>
> #pass in quick on $if_gvt reply-to ( $if_gvt $ip_gw_gvt ) from ip_gvt
> #pass in quick on $if_ebt reply-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt
>
> #pass out quick log on $if_ebt route-to ( $if_ebt $ip_gw_ebt ) from
> $ip_ebt label "ebt"
> #pass out quick log on $if_bgp route-to ( $if_gvt $ip_gw_gvt ) from
> $ip_gvt  label "gvt"
>
> pass out quick log on $if_bridge route-to ( $if_ebt $ip_gw_ebt ) from
> $ip_ebt label "ebt"
> pass out quick log on $if_bridge route-to ( $if_gvt $ip_gw_gvt ) from
> $ip_gvt  label "gvt"
>
> como ele é uma bridge tanto faz se uso interface bridge ou a fisica o
> resultado é o mesmo o pacote vai mais nao volta... alguem ja passou por
> isso? ou ve onde estou errando?
>
> Diogo Dalfovo
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Diogo;

Voce tem que dizer no pacote entrante da LAN pra onde voce quer que ele
seja roteado.

Ex.

pass in log quick on $lan_ebt_if route-to ($if_ebt $ip_gw_ebt ) inet proto
tcp from $lan_ebt_if:network to any

pass in log quick on $lan_gvt_if route-to ($if_gvt $ip_gw_gvt ) inet proto
tcp from $lan_ebt_if:network to any

Faz o NAT de tudo pra tudo que o keep state vai fazer o pacote voltar pro
lugar certo.

Esse exemplo eu peguei do nosso servidor de produção. 2 link (OI e
EMBRATEL). Tenho o controle ate da rota de hosts individuais.

Pode testar que vai rolar.
-- 
Mario Lobo
http://www.mallavoodoo.com.br
FreeBSD since version 2.2.8 [not Pro-Audio YET!!] (99,7% winfoes FREE)
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Duvidas e problemas com PF

[Diogo Dalfovo]

Bom dia pessoal...

Estou com problema que acredito ser no retorno do pacote usando PF no
Freebsd. Meu cenario é seguinte:
O firewall ligado em duas operadoras A e B e duas LANs 192.168.0.0/24 e
192.168.2.0/24 faço NAT de cada rede pra cada saida da operadora e tambem
ja testei configurando uma WAN com os IPs configurados tanto da operadora A
como da B mas em nenhum dos caso deu certo. Por ultimo depois da madrugada
se estiver tudo "certo" ele pinga uma vez de em cada operadora e para.

Mas resumindo a historia toda preciso que o venha da rede
192.168.0.0/24saia e retorne pela operada A e a rede
192.168.2.0/24 saia e retorne somente pela B ou se tem como fazer com que
tudo que vier de uma interface saia e retorne pela interface da rede A e
igualmente pela B.

Lembrando que o meu gateway esta pela rede B, segue o meu PF.

###
# 1 - Interfaces
###
#Externa WAN
if_bgp  = "fxp1"
if_gvt  = "fxp0"
if_fw   = "rl0"
if_bridge = "bridge0"

##
# 2 - IPs do Firewall
##
ip_fw=""
ip_ebt = "A.A.187.0/24"
ip_gvt = "B.B.115.0/24"


##
# 3 - IPs Gateways
##

ip_gw_gvt = "B.B.115.5"
ip_gw_ebt = "A.A.187.5"



#pass in quick on $if_gvt reply-to ( $if_gvt $ip_gw_gvt ) from ip_gvt
#pass in quick on $if_ebt reply-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt

#pass out quick log on $if_ebt route-to ( $if_ebt $ip_gw_ebt ) from
$ip_ebt label "ebt"
#pass out quick log on $if_bgp route-to ( $if_gvt $ip_gw_gvt ) from
$ip_gvt  label "gvt"

pass out quick log on $if_bridge route-to ( $if_ebt $ip_gw_ebt ) from
$ip_ebt label "ebt"
pass out quick log on $if_bridge route-to ( $if_gvt $ip_gw_gvt ) from
$ip_gvt  label "gvt"

como ele é uma bridge tanto faz se uso interface bridge ou a fisica o
resultado é o mesmo o pacote vai mais nao volta... alguem ja passou por
isso? ou ve onde estou errando?

Diogo Dalfovo
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio) [RESOLVIDO]

[Welinaldo Lopes Nascimento]

Resolví implementar com duas instâncias mesmo;

O material do site do nosso amigo Saul Figueiredo é excelente:

http://www.pinguimteajuda.com.br/node/224

Obrigado pela ajuda Saul!

Abração!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)

[Welinaldo Lopes Nascimento]

O problema é que não consigo startar as duas instâncias;
alguma coisa acontece ao subir a segunda instância, pois registra-se o erro
em /var/log/message:

Oct 14 23:14:08 bsd-server squid[3714]: failed to find or read error text
file.
Oct 14 23:14:08 bsd-server squid[3710]: Squid Parent: child process 3714
exited due to signal 6
Oct 14 23:14:08 bsd-server kernel: pid 3714 (squid), uid 62: exited on
signal 6

Se vc puder, envie seus squids.confs pra eu dar uma olhada.

Obrigado.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)

[Saul Figueiredo]

uai, então não entendi qual o problema de fato

--
"Deve-se aprender sempre, até mesmo com um inimigo."
(Isaac Newton)

Atenciosamente,
Saul Figueiredo
Analista FreeBSD/Linux
Linux Professional Institute Certification Level 2
Linux User: #554651
saulfelip...@gmail.com




Em 14 de outubro de 2012 23:55, Welinaldo Lopes Nascimento <
welina...@bsd.com.br> escreveu:

> Ainda estou fazendo testes, mas estou executando assim:
>
> #squid start   #para primeira instância na porta 3128
> # /usr/local/sbin/squid -f /usr/local/etc/squid/squidtransp.conf   #para
> segunda instância que definí o nome para squidtransp na porta 3129
>
> quando executo uma de cada vez, ambas funcionam, inclusive testando as
> portas com telnet, ta tudo OK;
>
> E consigo ver os processos rodando dos dois comandos executados.
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)

[Welinaldo Lopes Nascimento]

Ainda estou fazendo testes, mas estou executando assim:

#squid start   #para primeira instância na porta 3128
# /usr/local/sbin/squid -f /usr/local/etc/squid/squidtransp.conf   #para
segunda instância que definí o nome para squidtransp na porta 3129

quando executo uma de cada vez, ambas funcionam, inclusive testando as
portas com telnet, ta tudo OK;

E consigo ver os processos rodando dos dois comandos executados.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)

[Saul Figueiredo]

Detalhe importante: como está fazendo pra subir as instâncias?
Pelo script de /usr/sbin ou pelo de rc.d ?
Manda ae o comando ^^
Em 14/10/2012 23:45, "Welinaldo Lopes Nascimento" 
escreveu:

> rs
> Blz..
> Eu fiz as confs diferentes, incluindo estes detalhes: portas, pid_file,
> nome do arquivo.conf..
> enfim, está funcionando uma por vez;
> se eu subir as duas, ocorre este erro aí.
> Se você puder, amanhã com mais calma você me explicar melhor, agradeço
> muito.
>
> Abração.
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)

[Welinaldo Lopes Nascimento]

rs
Blz..
Eu fiz as confs diferentes, incluindo estes detalhes: portas, pid_file,
nome do arquivo.conf..
enfim, está funcionando uma por vez;
se eu subir as duas, ocorre este erro aí.
Se você puder, amanhã com mais calma você me explicar melhor, agradeço
muito.

Abração.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)

[Saul Figueiredo]

Ah ia esquecendo, defina arquivos de log e cache_dir diferentes para
cada instância também
Em 14/10/2012 23:41, "Saul Figueiredo"  escreveu:

> Primeiramente você deve criar squid.confs diferentes, para que neles você
> especifique http_ports diferentes, icmp_ports diferentes, pid_file
> diferentes e visible_hostname diferentes
>
> Na hora de iniciar cada instância, você deverá informar o nome do arquivo
> .conf; o mesmo vale para o -k reconfigure.
>
> Eu tenho vários servidores com múltiplas infâncias, aí faço meus
> squid.confs com as opções anteriormente ditas + um include para o arquivo
> que tem as regras - squid.conf.include, por exemplo - aproveitando assim o
> mesmo arquivo de regras para cada instancia.
>
> Desculpe a falta de detalhes, rs, teclado de smartphone Já viu né rsrs
> Em 14/10/2012 23:20, "Welinaldo Lopes Nascimento" 
> escreveu:
>
>> Saul,
>> o meu já está funcionando assim;
>> Mas estou tentando subir as duas instâncias em portas diferentes, o que
>> também já funciona uma de cada vez;
>> Só que ao subir as duas simultaneamente, ocorre o seguinte erro em
>> /var/log/message:
>>
>> Oct 14 23:14:08 bsd-server squid[3714]: failed to find or read error text
>> file.
>> Oct 14 23:14:08 bsd-server squid[3710]: Squid Parent: child process 3714
>> exited due to signal 6
>> Oct 14 23:14:08 bsd-server kernel: pid 3714 (squid), uid 62: exited on
>> signal 6
>>
>> O que pode ser?
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)

[Saul Figueiredo]

Primeiramente você deve criar squid.confs diferentes, para que neles você
especifique http_ports diferentes, icmp_ports diferentes, pid_file
diferentes e visible_hostname diferentes

Na hora de iniciar cada instância, você deverá informar o nome do arquivo
.conf; o mesmo vale para o -k reconfigure.

Eu tenho vários servidores com múltiplas infâncias, aí faço meus
squid.confs com as opções anteriormente ditas + um include para o arquivo
que tem as regras - squid.conf.include, por exemplo - aproveitando assim o
mesmo arquivo de regras para cada instancia.

Desculpe a falta de detalhes, rs, teclado de smartphone Já viu né rsrs
Em 14/10/2012 23:20, "Welinaldo Lopes Nascimento" 
escreveu:

> Saul,
> o meu já está funcionando assim;
> Mas estou tentando subir as duas instâncias em portas diferentes, o que
> também já funciona uma de cada vez;
> Só que ao subir as duas simultaneamente, ocorre o seguinte erro em
> /var/log/message:
>
> Oct 14 23:14:08 bsd-server squid[3714]: failed to find or read error text
> file.
> Oct 14 23:14:08 bsd-server squid[3710]: Squid Parent: child process 3714
> exited due to signal 6
> Oct 14 23:14:08 bsd-server kernel: pid 3714 (squid), uid 62: exited on
> signal 6
>
> O que pode ser?
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)

[Welinaldo Lopes Nascimento]

Saul,
o meu já está funcionando assim;
Mas estou tentando subir as duas instâncias em portas diferentes, o que
também já funciona uma de cada vez;
Só que ao subir as duas simultaneamente, ocorre o seguinte erro em
/var/log/message:

Oct 14 23:14:08 bsd-server squid[3714]: failed to find or read error text
file.
Oct 14 23:14:08 bsd-server squid[3710]: Squid Parent: child process 3714
exited due to signal 6
Oct 14 23:14:08 bsd-server kernel: pid 3714 (squid), uid 62: exited on
signal 6

O que pode ser?
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas em relacao aos charsets utilizados

[Otacílio]

On 14/10/2012 09:09, Paulo Olivier Cavalcanti wrote:
> Em 13/10/2012 21:23, Otacílio escreveu:
>> On 13/10/2012 13:28, Nilton Jose Rizzo wrote:
>>>
>>> Estou com uma dúvida e ainda não consegui visualizar se a minha
>>> opção é a mais correta ou se existe uma mais correta.
>>>
>>> Antigamente, quando os ASCII eram 7 bits não podiamos seguer ter
>>> letras maiusculas/minuscular, hoje temos a facilidade de optar por
>>> um determinado charset que nos agrade, a minha dúvida é em relação
>>> a melhor escolha, se é o utf-8 ou o iso.8859.1, por que falo isso,
>>> eu adotei como padrão para mim o utf-8 por ter uma definição mais
>>> abrangente e talvés se torne o padrão mundial.  Mas por hora ainda
>>> tenho problemas com algumas codificações, em especial em páginas da
>>> web.  Quando faço uma página procuro acentuar no padrão HTML
>>> (&LETRAacento), mas muita gente usar o acento direto
>>> (acentoLETRA).
>>>
>>> Gostaria de saber a opinião de vocês em relação a essa questão?
>>>
>>
>> Eu entendo que o mais correto é usar o UTF-8 porém o FreeBSD tem uma
>> deficiência grave (se eu estiver errado alguém me corrija). O FreeBSD
>> não ordena corretamente quando usando o charset UTF-8 e a linguagem
>> pt_BR. Por exemplo, na minha máquina está assim:
>>
> 
> Este problema de ordenação eu nunca reparei, mas as principais 
> deficiências do FreeBSD com UTF-8 estão no console e no Samba. O console 
> só suporta iso-8859-1 e o Samba não funciona legal com algumas estações 
> Windows; alguns caracteres de arquivos ficam "sujos" em determinadas 
> situações.
> 
> O suporte a Unicode no Linux está anos-luz adiantado em relação a nós, 
> infelizmente é a verdade...
> 

Então são três as principais ao meu ver:

Suporte ao UTF-8
Suporte deficiente às placas gráficas recentes
Suporte quase inexistente ao suspend/resume (pelo menos eu aqui nunca
retornei de um suspend)

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas em relacao aos charsets utilizados

[Paulo Olivier Cavalcanti]

Em 13/10/2012 21:23, Otacílio escreveu:
> On 13/10/2012 13:28, Nilton Jose Rizzo wrote:
>>
>> Estou com uma dúvida e ainda não consegui visualizar se a minha
>> opção é a mais correta ou se existe uma mais correta.
>>
>> Antigamente, quando os ASCII eram 7 bits não podiamos seguer ter
>> letras maiusculas/minuscular, hoje temos a facilidade de optar por
>> um determinado charset que nos agrade, a minha dúvida é em relação
>> a melhor escolha, se é o utf-8 ou o iso.8859.1, por que falo isso,
>> eu adotei como padrão para mim o utf-8 por ter uma definição mais
>> abrangente e talvés se torne o padrão mundial.  Mas por hora ainda
>> tenho problemas com algumas codificações, em especial em páginas da
>> web.  Quando faço uma página procuro acentuar no padrão HTML
>> (&LETRAacento), mas muita gente usar o acento direto
>> (acentoLETRA).
>>
>> Gostaria de saber a opinião de vocês em relação a essa questão?
>>
>
> Eu entendo que o mais correto é usar o UTF-8 porém o FreeBSD tem uma
> deficiência grave (se eu estiver errado alguém me corrija). O FreeBSD
> não ordena corretamente quando usando o charset UTF-8 e a linguagem
> pt_BR. Por exemplo, na minha máquina está assim:
>

Este problema de ordenação eu nunca reparei, mas as principais 
deficiências do FreeBSD com UTF-8 estão no console e no Samba. O console 
só suporta iso-8859-1 e o Samba não funciona legal com algumas estações 
Windows; alguns caracteres de arquivos ficam "sujos" em determinadas 
situações.

O suporte a Unicode no Linux está anos-luz adiantado em relação a nós, 
infelizmente é a verdade...

-- 
http://about.me/paulocavalcanti

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas em relacao aos charsets utilizados

[Otacílio]

On 13/10/2012 13:28, Nilton Jose Rizzo wrote:
> 
> 
> Estou com uma dúvida e ainda não consegui visualizar se a minha
> opção é a mais correta ou se existe uma mais correta.
> 
> Antigamente, quando os ASCII eram 7 bits não podiamos seguer ter
> letras maiusculas/minuscular, hoje temos a facilidade de optar por
> um determinado charset que nos agrade, a minha dúvida é em relação
> a melhor escolha, se é o utf-8 ou o iso.8859.1, por que falo isso,
> eu adotei como padrão para mim o utf-8 por ter uma definição mais
> abrangente e talvés se torne o padrão mundial.  Mas por hora ainda
> tenho problemas com algumas codificações, em especial em páginas da
> web.  Quando faço uma página procuro acentuar no padrão HTML
> (&LETRAacento), mas muita gente usar o acento direto 
> (acentoLETRA).
> 
> Gostaria de saber a opinião de vocês em relação a essa questão?
> 


Eu entendo que o mais correto é usar o UTF-8 porém o FreeBSD tem uma
deficiência grave (se eu estiver errado alguém me corrija). O FreeBSD
não ordena corretamente quando usando o charset UTF-8 e a linguagem
pt_BR. Por exemplo, na minha máquina está assim:

[ota@squitch Desktop]$ locale
LANG=pt_BR.UTF-8
LC_CTYPE="pt_BR.UTF-8"
LC_COLLATE="pt_BR.UTF-8"
LC_TIME="pt_BR.UTF-8"
LC_NUMERIC="pt_BR.UTF-8"
LC_MONETARY="pt_BR.UTF-8"
LC_MESSAGES="pt_BR.UTF-8"
LC_ALL=


Eu tenho um arquivo texto com as seguintes vogais:
[ota@squitch Desktop]$ cat ordenar
e
u
i
o
a
E
U
I
O
A
é
ú
í
ó
á
É
Ú
Í
Ó
Á


Depois eu mando ordenar:
[ota@squitch Desktop]$ cat ordenar  | sort
A
E
I
O
U
a
e
i
o
u
Á
É
Í
Ó
Ú
á
é
í
ó
ú

Eu entendo que esta ordenação está errada. Quando eu mando fazer a
mesma coisa no PostgreSQL ele ordena da seguinte forma:

SELECT * FROM (VALUES
('e'),
('u'),
('i'),
('o'),
('a'),
('E'),
('U'),
('I'),
('O'),
('A'),
('é'),
('ú'),
('í'),
('ó'),
('á'),
('É'),
('Ú'),
('Í'),
('Ó'),
('Á')
)AS letras(vogais) order by Vogais

"a"
"A"
"á"
"Á"
"e"
"E"
"é"
"É"
"i"
"I"
"í"
"Í"
"o"
"O"
"ó"
"Ó"
"u"
"U"
"ú"
"Ú"


Eu entendo que a ordenação do PostgreSQL é a mais correta. O banco
onde eu rodei esta ordenação tem as características:
CREATE DATABASE "AES"
  WITH OWNER = trac
   ENCODING = 'UTF8'
   TABLESPACE = pg_default
   LC_COLLATE = 'pt_BR.UTF-8'
   LC_CTYPE = 'pt_BR.UTF-8'
   CONNECTION LIMIT = -1;


Veja que a ordenação do FreeBSD deveria ser a mesma do PostrgeSQL mas
infelizmente não é. Lembro que quando fiz o mesmo teste usando LATIN1
a ordenação no terminal do FreeBSD era correta, mas tem uns softwares
que exigem que o sistema esteja usando UTF-8.

Bem, se os outros colegas tiverem mais comentários...

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Duvidas em relacao aos charsets utilizados

[Nilton Jose Rizzo]

Estou com uma dúvida e ainda não consegui visualizar se a minha opção
  é a mais correta ou se existe uma mais correta.

Antigamente, quando os ASCII eram 7 bits não podiamos seguer ter letras
  maiusculas/minuscular, hoje temos a facilidade de optar por um determinado
  charset que nos agrade, a minha dúvida é em relação a melhor escolha, se é
  o utf-8 ou o iso.8859.1, por que falo isso, eu adotei como padrão para mim
  o utf-8 por ter uma definição mais abrangente e talvés se torne o padrão 
  mundial.  Mas por hora ainda tenho problemas com algumas codificações, em
  especial em páginas da web.  Quando faço uma página procuro acentuar no
  padrão HTML (&LETRAacento), mas muita gente usar o acento direto 
  (acentoLETRA).

Gostaria de saber a opinião de vocês em relação a essa questão?

-- 
Nilton José Rizzo

---
A: Because it messes up the order in which people normally read text.
Q: Why is top-posting such a bad thing?
A: Top-posting.
Q: What is the most annoying thing in e-mail?

http://en.wikipedia.org/wiki/Posting_style

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)

[Saul Figueiredo]

Eu faço isso e não preciso de duas instancias.
Quando um notebook entra na minha rede, ele não consegue autenticar, logo,
"sobe" uma popup pedindo usuário e senha... ou você digita o
dominio\usuario ou faz como eu, cria uma regra especificamente para essas
maquinas antes de onde você define que será usada a autenticação é batata
que dá certo ^^

--
"Deve-se aprender sempre, até mesmo com um inimigo."
(Isaac Newton)

Atenciosamente,
Saul Figueiredo
Analista FreeBSD/Linux
Linux Professional Institute Certification Level 2
Linux User: #554651
saulfelip...@gmail.com




Em 12 de outubro de 2012 17:10, Welinaldo Lopes Nascimento <
welina...@bsd.com.br> escreveu:

> Ou será se eu usar 2 instâncias do squid neste caso resolve?
> Uma com proxy transparente e a outra com proxy autenticado, em portas
> diferentes.
> Tipo, se não setar o proxy, vai navegar pelo proxy transparente, e setando
> o proxy vai pra instância do proxy com autenticação.
> Funciona?
> :D
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)

[Welinaldo Lopes Nascimento]

Ou será se eu usar 2 instâncias do squid neste caso resolve?
Uma com proxy transparente e a outra com proxy autenticado, em portas
diferentes.
Tipo, se não setar o proxy, vai navegar pelo proxy transparente, e setando
o proxy vai pra instância do proxy com autenticação.
Funciona?
:D
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)

[Welinaldo Lopes Nascimento]

prevendo***
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)

[Welinaldo Lopes Nascimento]

Então fiz testes aqui seguindo a recomendação do Saul de colocar "allow
rede_interna" antes de todas as regras, mas aconteceu realmente o que eu
estava pre-vendo... todos os usuários caem nesta ACL rede_interna e nem
autenticam.
E se eu deixar a "rede_intena" abaixo de tudo, como está atualmente, se não
reconhecer o usuário, é solicitado autenticação via pop-up;

Alguem sabe se há um meio, ou algum script, para onde o squid não detectar
um usuário válido, o mesmo se autenticasse automaticamente para um usuário
restrito pelo menos?
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)

[Welinaldo Lopes Nascimento]

tranquilo, vou fazer este teste a noite.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)

[Saul Figueiredo]

bom, você deve fazer este teste para pelo menos ver o que acontece... faço
muito isso, o instinto "fuçador" é o meu maior solucionador de problemas.
Só salve um backup do arquivo antes (as vezes mechemos tanto que chega num
ponto que não lembramos mais quantas coisas mechemos).

--
"Deve-se aprender sempre, até mesmo com um inimigo."
(Isaac Newton)

Atenciosamente,
Saul Figueiredo
Analista FreeBSD/Linux
Linux Professional Institute Certification Level 2
Linux User: #554651
saulfelip...@gmail.com




Em 10 de outubro de 2012 11:53, Welinaldo Lopes Nascimento <
welina...@bsd.com.br> escreveu:

> Saul, eu sabia que pelo menos você responderia, a final, tens me ajudado
> muito nesta parte de integração com domínio;
> Mas veja só, se eu fizer isto, não vai ficar liberado tudo, pra todo mundo?
> Ou mesmo eu colocando isto ainda vai prevalecer as acls dos usuários
> autenticados?
>
>
>
> Em 9 de outubro de 2012 23:35, Saul Figueiredo  >escreveu:
>
> > Boa noite Welinaldo
> >
> > Coloque
> > http_access allow rede_interna
> >
> > antes de todas as outras acls e remova a deny all do final.
> >
> >
> >
> > --
> > "Deve-se aprender sempre, até mesmo com um inimigo."
> > (Isaac Newton)
> >
> > Atenciosamente,
> > Saul Figueiredo
> > Analista FreeBSD/Linux
> > Linux Professional Institute Certification Level 2
> > Linux User: #554651
> > saulfelip...@gmail.com
> > 
> >
> >
> >
> > Em 9 de outubro de 2012 22:09, Welinaldo Lopes Nascimento <
> > welina...@bsd.com.br> escreveu:
> >
> > > Boa noite pessoal,
> > >
> > > Há alguns meses atras implementei um servidor proxy freebsd 9 com
> > > lusca-head r14809 com autenticação ntlm e está funcionando normalmente
> de
> > > acordo aos privilégios de usuários;
> > > Só que agora, alguns usuários precisam usar notebooks que não pertencem
> > ao
> > > domínio, impedindo a autenticação;
> > >
> > > Tentei liberar a rede interna abaixo das acls de sites restritos, mas
> não
> > > há navegação por falta de autenticação mesmo; verifiquei o access.log e
> > > consta o erro (407).
> > >
> > > Minha dúvida é:
> > > Há alguma lógica possível de liberar a rede interna (com restrição)
> para
> > os
> > > hosts que não fazem parte do domínio?
> > >
> > >
> > >
> > > Minhas Acls estão assim:
> > >
> > >
> > > ---
> > > acl all src all
> > > acl QUERY urlpath_regex cgi-bin \?
> > > acl manager proto cache_object
> > > acl localhost src 127.0.0.1/8
> > > acl to_localhost dst 127.0.0.0/8
> > > acl rede_interna src 10.1.1.0/8 # RFC1918 Rede Interna
> > > acl rede_servidores src 10.1.1.10 # Servidor AD
> > >
> > > acl autenticados proxy_auth REQUIRED
> > > acl sites_gov url_regex -i
> > > "/usr/local/etc/squid/acls/sites_gov/sites_gov.txt"
> > > acl usuarios_liberados proxy_auth
> > > "/usr/local/etc/squid/grupos/usuarios_liberados.txt"
> > > acl usuarios_restritos proxy_auth
> > > "/usr/local/etc/squid/grupos/usuarios_restritos.txt"
> > > acl sites_restritos url_regex -i
> > > "/usr/local/etc/squid/acls/sites_restritos.txt"
> > >
> > > http_access allow sites_gov
> > >
> > > #http_access deny !autenticados
> > >
> > > http_access allow usuarios_liberados
> > > http_access deny sites_restritos
> > > http_access allow usuarios_restritos
> > > http_access allow rede_interna
> > > http_access deny all
> > > ---
> > >
> > > --
> > >
> > >
> > > .ılı..ılı.
> > > *Welinaldo Lopes Nascimento*
> > >  **
> > > -
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
>
> --
>
>
> .ılı..ılı.
> *Welinaldo Lopes Nascimento*
> Estudante de Desenvolvimento de Sistemas
> FreeBSD Community Member #BSD/OS
> *P Antes de imprimir pense em seu compromisso com o Meio Ambiente.*
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)

[Welinaldo Lopes Nascimento]

Saul, eu sabia que pelo menos você responderia, a final, tens me ajudado
muito nesta parte de integração com domínio;
Mas veja só, se eu fizer isto, não vai ficar liberado tudo, pra todo mundo?
Ou mesmo eu colocando isto ainda vai prevalecer as acls dos usuários
autenticados?



Em 9 de outubro de 2012 23:35, Saul Figueiredo escreveu:

> Boa noite Welinaldo
>
> Coloque
> http_access allow rede_interna
>
> antes de todas as outras acls e remova a deny all do final.
>
>
>
> --
> "Deve-se aprender sempre, até mesmo com um inimigo."
> (Isaac Newton)
>
> Atenciosamente,
> Saul Figueiredo
> Analista FreeBSD/Linux
> Linux Professional Institute Certification Level 2
> Linux User: #554651
> saulfelip...@gmail.com
> 
>
>
>
> Em 9 de outubro de 2012 22:09, Welinaldo Lopes Nascimento <
> welina...@bsd.com.br> escreveu:
>
> > Boa noite pessoal,
> >
> > Há alguns meses atras implementei um servidor proxy freebsd 9 com
> > lusca-head r14809 com autenticação ntlm e está funcionando normalmente de
> > acordo aos privilégios de usuários;
> > Só que agora, alguns usuários precisam usar notebooks que não pertencem
> ao
> > domínio, impedindo a autenticação;
> >
> > Tentei liberar a rede interna abaixo das acls de sites restritos, mas não
> > há navegação por falta de autenticação mesmo; verifiquei o access.log e
> > consta o erro (407).
> >
> > Minha dúvida é:
> > Há alguma lógica possível de liberar a rede interna (com restrição) para
> os
> > hosts que não fazem parte do domínio?
> >
> >
> >
> > Minhas Acls estão assim:
> >
> >
> > ---
> > acl all src all
> > acl QUERY urlpath_regex cgi-bin \?
> > acl manager proto cache_object
> > acl localhost src 127.0.0.1/8
> > acl to_localhost dst 127.0.0.0/8
> > acl rede_interna src 10.1.1.0/8 # RFC1918 Rede Interna
> > acl rede_servidores src 10.1.1.10 # Servidor AD
> >
> > acl autenticados proxy_auth REQUIRED
> > acl sites_gov url_regex -i
> > "/usr/local/etc/squid/acls/sites_gov/sites_gov.txt"
> > acl usuarios_liberados proxy_auth
> > "/usr/local/etc/squid/grupos/usuarios_liberados.txt"
> > acl usuarios_restritos proxy_auth
> > "/usr/local/etc/squid/grupos/usuarios_restritos.txt"
> > acl sites_restritos url_regex -i
> > "/usr/local/etc/squid/acls/sites_restritos.txt"
> >
> > http_access allow sites_gov
> >
> > #http_access deny !autenticados
> >
> > http_access allow usuarios_liberados
> > http_access deny sites_restritos
> > http_access allow usuarios_restritos
> > http_access allow rede_interna
> > http_access deny all
> > ---
> >
> > --
> >
> >
> > .ılı..ılı.
> > *Welinaldo Lopes Nascimento*
> >  **
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 


.ılı..ılı.
*Welinaldo Lopes Nascimento*
Estudante de Desenvolvimento de Sistemas
FreeBSD Community Member #BSD/OS
*P Antes de imprimir pense em seu compromisso com o Meio Ambiente.*
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)

[Saul Figueiredo]

Boa noite Welinaldo

Coloque
http_access allow rede_interna

antes de todas as outras acls e remova a deny all do final.



--
"Deve-se aprender sempre, até mesmo com um inimigo."
(Isaac Newton)

Atenciosamente,
Saul Figueiredo
Analista FreeBSD/Linux
Linux Professional Institute Certification Level 2
Linux User: #554651
saulfelip...@gmail.com




Em 9 de outubro de 2012 22:09, Welinaldo Lopes Nascimento <
welina...@bsd.com.br> escreveu:

> Boa noite pessoal,
>
> Há alguns meses atras implementei um servidor proxy freebsd 9 com
> lusca-head r14809 com autenticação ntlm e está funcionando normalmente de
> acordo aos privilégios de usuários;
> Só que agora, alguns usuários precisam usar notebooks que não pertencem ao
> domínio, impedindo a autenticação;
>
> Tentei liberar a rede interna abaixo das acls de sites restritos, mas não
> há navegação por falta de autenticação mesmo; verifiquei o access.log e
> consta o erro (407).
>
> Minha dúvida é:
> Há alguma lógica possível de liberar a rede interna (com restrição) para os
> hosts que não fazem parte do domínio?
>
>
>
> Minhas Acls estão assim:
>
>
> ---
> acl all src all
> acl QUERY urlpath_regex cgi-bin \?
> acl manager proto cache_object
> acl localhost src 127.0.0.1/8
> acl to_localhost dst 127.0.0.0/8
> acl rede_interna src 10.1.1.0/8 # RFC1918 Rede Interna
> acl rede_servidores src 10.1.1.10 # Servidor AD
>
> acl autenticados proxy_auth REQUIRED
> acl sites_gov url_regex -i
> "/usr/local/etc/squid/acls/sites_gov/sites_gov.txt"
> acl usuarios_liberados proxy_auth
> "/usr/local/etc/squid/grupos/usuarios_liberados.txt"
> acl usuarios_restritos proxy_auth
> "/usr/local/etc/squid/grupos/usuarios_restritos.txt"
> acl sites_restritos url_regex -i
> "/usr/local/etc/squid/acls/sites_restritos.txt"
>
> http_access allow sites_gov
>
> #http_access deny !autenticados
>
> http_access allow usuarios_liberados
> http_access deny sites_restritos
> http_access allow usuarios_restritos
> http_access allow rede_interna
> http_access deny all
> ---
>
> --
>
>
> .ılı..ılı.
> *Welinaldo Lopes Nascimento*
>  **
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Duvidas Squid NTLM (liberar acesso para hosts que não fazem parte do domínio)

[Welinaldo Lopes Nascimento]

Boa noite pessoal,

Há alguns meses atras implementei um servidor proxy freebsd 9 com
lusca-head r14809 com autenticação ntlm e está funcionando normalmente de
acordo aos privilégios de usuários;
Só que agora, alguns usuários precisam usar notebooks que não pertencem ao
domínio, impedindo a autenticação;

Tentei liberar a rede interna abaixo das acls de sites restritos, mas não
há navegação por falta de autenticação mesmo; verifiquei o access.log e
consta o erro (407).

Minha dúvida é:
Há alguma lógica possível de liberar a rede interna (com restrição) para os
hosts que não fazem parte do domínio?



Minhas Acls estão assim:


---
acl all src all
acl QUERY urlpath_regex cgi-bin \?
acl manager proto cache_object
acl localhost src 127.0.0.1/8
acl to_localhost dst 127.0.0.0/8
acl rede_interna src 10.1.1.0/8 # RFC1918 Rede Interna
acl rede_servidores src 10.1.1.10 # Servidor AD

acl autenticados proxy_auth REQUIRED
acl sites_gov url_regex -i
"/usr/local/etc/squid/acls/sites_gov/sites_gov.txt"
acl usuarios_liberados proxy_auth
"/usr/local/etc/squid/grupos/usuarios_liberados.txt"
acl usuarios_restritos proxy_auth
"/usr/local/etc/squid/grupos/usuarios_restritos.txt"
acl sites_restritos url_regex -i
"/usr/local/etc/squid/acls/sites_restritos.txt"

http_access allow sites_gov

#http_access deny !autenticados

http_access allow usuarios_liberados
http_access deny sites_restritos
http_access allow usuarios_restritos
http_access allow rede_interna
http_access deny all
---

-- 


.ılı..ılı.
*Welinaldo Lopes Nascimento*
 **
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvidas tunning apache

[Denis Granato]

Obrigado pessoal, obrigado Léo vou verificar aqui.

Tem algum comando que posso ver os módulos que o apache não esta usando e
tirar do "carregamento"

abs

2012/10/7 Leonardo Augusto 

> Nunca usei pgsql com apache, mas no caso do mysql, se usar conexoes
> persistentes entre o php e o mysql
> acontecia algo parecido com seu caso.
>
> Tenta desativar as persistent connections pra ver se muda algo.
> Baixa o timeout das requisicoes do apache para 3s.
>
> Ve se muda algo.
>
> da um netstat -w1 e ve se ta saindo muito pacote ou entrando...
>
> Pra saber se é por causa do acesso externo, bloqueia temporariamente o
> acesso na porta 80 pelo pf/ipfw,
> assim voce garante que ninguem esta requisitando nada pro apache, se
> continuar esse load, deve ser alguma
> coisa na relacao dele com o pgsql.
>
> []´s
>
>
> 2012/10/5 Denis Granato :
> > On Fri, Oct 5, 2012 at 2:06 PM, Marcelo Gondim  >wrote:
> >
> >> Em 05/10/12 11:54, Denis Granato escreveu:
> >> > Bom dia senhores,
> >> >
> >> > Tenho 1 servidor zabbix aqui com o apache "cru" e  hoje tenho os
> >> seguintes
> >> > processos
> >> >
> >> >PID USERNAME  THR PRI NICE   SIZERES STATE   C   TIME   WCPU
> >> COMMAND
> >> > 55122 www 1  260 34740K 22136K select  0   0:03  8.89%
> httpd
> >> > 55174 www 1  280 38836K 23512K select  3   0:02  7.08%
> httpd
> >> > 55217 www 1  290 38836K 23272K select  0   0:01  6.79%
> httpd
> >> > 54752 www 1  310 34740K 22176K select  2   0:05  6.40%
> httpd
> >> > 55123 www 1  290 34740K 21852K select  0   0:01  6.05%
> httpd
> >> > 55091 www 1  310 34740K 21616K select  3   0:02  5.18%
> httpd
> >> > 54407 www 1  260 34740K 22180K select  1   0:11  3.27%
> httpd
> >> > 55120 www 1  240 34740K 21792K select  3   0:02  3.08%
> httpd
> >> > 55008 www 1  240 38836K 26232K select  3   0:03  2.39%
> httpd
> >> > 55006 www 1  220 34740K 21964K accept  1   0:03  2.29%
> httpd
> >> > 55156 www 1  220 34740K 19412K select  0   0:01  2.10%
> httpd
> >> > 55216 www 1  240 34740K 19600K select  1   0:00  1.95%
> httpd
> >> > 55090 www 1  220 34740K 21928K select  1   0:02  1.27%
> httpd
> >> > 54915 www 1  220 38836K 23540K accept  1   0:02  0.78%
> httpd
> >> > 55212 www 1  220 34740K 19148K accept  3   0:00  0.59%
> httpd
> >> >
> >> >
> >> > Existe algum tunning básico que posso fazer no apache para melhorar
> >> > (diminuir) o uso do CPU ?
> >> >
> >> Opa Denis,
> >>
> >> Faz um procstat -f  nesses processos pra ver se tem algo estranho e
> >> dê uma olhada nos logs de acesso do apache.
> >> -
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> >
> > um deles:
> >
> > root@avvio-zabbix:/usr/local/share/zabbix/externalscripts # procstat -f
> > 92179
> >   PID COMM   FD T V FLAGS REF  OFFSET PRO NAME
> > 92179 httpdtext v r r   -   - -
> > /usr/local/sbin/httpd
> > 92179 httpd cwd v d r   -   - -   /
> > 92179 httpdroot v d r   -   - -   /
> > 92179 httpd   0 v c r  18   0 -   /dev/null
> > 92179 httpd   1 v c -w---  18   0 -   /dev/null
> > 92179 httpd   2 v r -wa--  18 842 -
> > /var/log/httpd-error.log
> > 92179 httpd   3 s - rw---  41   0 TCP ::.80 ::.0
> > 92179 httpd   4 s - rw---  18   0 TCP 0.0.0.0:0
> > 0.0.0.0:0
> > 92179 httpd   5 p - rw---n---  18   0 -   -
> > 92179 httpd   6 p - rw---  18   0 -   -
> > 92179 httpd   7 v r -wa--  18 44807060 -
> > /var/log/httpd-access.log
> > 92179 httpd   8 v r rw---  18   0 -   /tmp/aprzRFJvV
> > 92179 httpd   9 v r -w---  18   0 -
> > /var/run/accept.lock.1311
> > 92179 httpd  10 v r -w---   1   0 -
> > /var/run/accept.lock.1311
> > 92179 httpd  11 v r -w---   1   0 -   /tmp/aprzRFJvV
> > 92179 httpd  12 k - rw---   1   0 -   -
> > 92179 httpd  13 s - rw---n---   1   0 TCP
> > :::10.0.0.5.80 :::10.0.0.102.59721
> >
> >
> > No log de erro do apache não tem nada, e no log de acesso somente as
> > coneções dos usuários
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvidas tunning apache

[Leonardo Augusto]

Nunca usei pgsql com apache, mas no caso do mysql, se usar conexoes
persistentes entre o php e o mysql
acontecia algo parecido com seu caso.

Tenta desativar as persistent connections pra ver se muda algo.
Baixa o timeout das requisicoes do apache para 3s.

Ve se muda algo.

da um netstat -w1 e ve se ta saindo muito pacote ou entrando...

Pra saber se é por causa do acesso externo, bloqueia temporariamente o
acesso na porta 80 pelo pf/ipfw,
assim voce garante que ninguem esta requisitando nada pro apache, se
continuar esse load, deve ser alguma
coisa na relacao dele com o pgsql.

[]´s


2012/10/5 Denis Granato :
> On Fri, Oct 5, 2012 at 2:06 PM, Marcelo Gondim wrote:
>
>> Em 05/10/12 11:54, Denis Granato escreveu:
>> > Bom dia senhores,
>> >
>> > Tenho 1 servidor zabbix aqui com o apache "cru" e  hoje tenho os
>> seguintes
>> > processos
>> >
>> >PID USERNAME  THR PRI NICE   SIZERES STATE   C   TIME   WCPU
>> COMMAND
>> > 55122 www 1  260 34740K 22136K select  0   0:03  8.89% httpd
>> > 55174 www 1  280 38836K 23512K select  3   0:02  7.08% httpd
>> > 55217 www 1  290 38836K 23272K select  0   0:01  6.79% httpd
>> > 54752 www 1  310 34740K 22176K select  2   0:05  6.40% httpd
>> > 55123 www 1  290 34740K 21852K select  0   0:01  6.05% httpd
>> > 55091 www 1  310 34740K 21616K select  3   0:02  5.18% httpd
>> > 54407 www 1  260 34740K 22180K select  1   0:11  3.27% httpd
>> > 55120 www 1  240 34740K 21792K select  3   0:02  3.08% httpd
>> > 55008 www 1  240 38836K 26232K select  3   0:03  2.39% httpd
>> > 55006 www 1  220 34740K 21964K accept  1   0:03  2.29% httpd
>> > 55156 www 1  220 34740K 19412K select  0   0:01  2.10% httpd
>> > 55216 www 1  240 34740K 19600K select  1   0:00  1.95% httpd
>> > 55090 www 1  220 34740K 21928K select  1   0:02  1.27% httpd
>> > 54915 www 1  220 38836K 23540K accept  1   0:02  0.78% httpd
>> > 55212 www 1  220 34740K 19148K accept  3   0:00  0.59% httpd
>> >
>> >
>> > Existe algum tunning básico que posso fazer no apache para melhorar
>> > (diminuir) o uso do CPU ?
>> >
>> Opa Denis,
>>
>> Faz um procstat -f  nesses processos pra ver se tem algo estranho e
>> dê uma olhada nos logs de acesso do apache.
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
> um deles:
>
> root@avvio-zabbix:/usr/local/share/zabbix/externalscripts # procstat -f
> 92179
>   PID COMM   FD T V FLAGS REF  OFFSET PRO NAME
> 92179 httpdtext v r r   -   - -
> /usr/local/sbin/httpd
> 92179 httpd cwd v d r   -   - -   /
> 92179 httpdroot v d r   -   - -   /
> 92179 httpd   0 v c r  18   0 -   /dev/null
> 92179 httpd   1 v c -w---  18   0 -   /dev/null
> 92179 httpd   2 v r -wa--  18 842 -
> /var/log/httpd-error.log
> 92179 httpd   3 s - rw---  41   0 TCP ::.80 ::.0
> 92179 httpd   4 s - rw---  18   0 TCP 0.0.0.0:0
> 0.0.0.0:0
> 92179 httpd   5 p - rw---n---  18   0 -   -
> 92179 httpd   6 p - rw---  18   0 -   -
> 92179 httpd   7 v r -wa--  18 44807060 -
> /var/log/httpd-access.log
> 92179 httpd   8 v r rw---  18   0 -   /tmp/aprzRFJvV
> 92179 httpd   9 v r -w---  18   0 -
> /var/run/accept.lock.1311
> 92179 httpd  10 v r -w---   1   0 -
> /var/run/accept.lock.1311
> 92179 httpd  11 v r -w---   1   0 -   /tmp/aprzRFJvV
> 92179 httpd  12 k - rw---   1   0 -   -
> 92179 httpd  13 s - rw---n---   1   0 TCP
> :::10.0.0.5.80 :::10.0.0.102.59721
>
>
> No log de erro do apache não tem nada, e no log de acesso somente as
> coneções dos usuários
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvidas tunning apache

[Denis Granato]

On Fri, Oct 5, 2012 at 2:06 PM, Marcelo Gondim wrote:

> Em 05/10/12 11:54, Denis Granato escreveu:
> > Bom dia senhores,
> >
> > Tenho 1 servidor zabbix aqui com o apache "cru" e  hoje tenho os
> seguintes
> > processos
> >
> >PID USERNAME  THR PRI NICE   SIZERES STATE   C   TIME   WCPU
> COMMAND
> > 55122 www 1  260 34740K 22136K select  0   0:03  8.89% httpd
> > 55174 www 1  280 38836K 23512K select  3   0:02  7.08% httpd
> > 55217 www 1  290 38836K 23272K select  0   0:01  6.79% httpd
> > 54752 www 1  310 34740K 22176K select  2   0:05  6.40% httpd
> > 55123 www 1  290 34740K 21852K select  0   0:01  6.05% httpd
> > 55091 www 1  310 34740K 21616K select  3   0:02  5.18% httpd
> > 54407 www 1  260 34740K 22180K select  1   0:11  3.27% httpd
> > 55120 www 1  240 34740K 21792K select  3   0:02  3.08% httpd
> > 55008 www 1  240 38836K 26232K select  3   0:03  2.39% httpd
> > 55006 www 1  220 34740K 21964K accept  1   0:03  2.29% httpd
> > 55156 www 1  220 34740K 19412K select  0   0:01  2.10% httpd
> > 55216 www 1  240 34740K 19600K select  1   0:00  1.95% httpd
> > 55090 www 1  220 34740K 21928K select  1   0:02  1.27% httpd
> > 54915 www 1  220 38836K 23540K accept  1   0:02  0.78% httpd
> > 55212 www 1  220 34740K 19148K accept  3   0:00  0.59% httpd
> >
> >
> > Existe algum tunning básico que posso fazer no apache para melhorar
> > (diminuir) o uso do CPU ?
> >
> Opa Denis,
>
> Faz um procstat -f  nesses processos pra ver se tem algo estranho e
> dê uma olhada nos logs de acesso do apache.
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


um deles:

root@avvio-zabbix:/usr/local/share/zabbix/externalscripts # procstat -f
92179
  PID COMM   FD T V FLAGS REF  OFFSET PRO NAME
92179 httpdtext v r r   -   - -
/usr/local/sbin/httpd
92179 httpd cwd v d r   -   - -   /
92179 httpdroot v d r   -   - -   /
92179 httpd   0 v c r  18   0 -   /dev/null
92179 httpd   1 v c -w---  18   0 -   /dev/null
92179 httpd   2 v r -wa--  18 842 -
/var/log/httpd-error.log
92179 httpd   3 s - rw---  41   0 TCP ::.80 ::.0
92179 httpd   4 s - rw---  18   0 TCP 0.0.0.0:0
0.0.0.0:0
92179 httpd   5 p - rw---n---  18   0 -   -
92179 httpd   6 p - rw---  18   0 -   -
92179 httpd   7 v r -wa--  18 44807060 -
/var/log/httpd-access.log
92179 httpd   8 v r rw---  18   0 -   /tmp/aprzRFJvV
92179 httpd   9 v r -w---  18   0 -
/var/run/accept.lock.1311
92179 httpd  10 v r -w---   1   0 -
/var/run/accept.lock.1311
92179 httpd  11 v r -w---   1   0 -   /tmp/aprzRFJvV
92179 httpd  12 k - rw---   1   0 -   -
92179 httpd  13 s - rw---n---   1   0 TCP
:::10.0.0.5.80 :::10.0.0.102.59721


No log de erro do apache não tem nada, e no log de acesso somente as
coneções dos usuários
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvidas tunning apache

[Marcelo Gondim]

Em 05/10/12 11:54, Denis Granato escreveu:
> Bom dia senhores,
>
> Tenho 1 servidor zabbix aqui com o apache "cru" e  hoje tenho os seguintes
> processos
>
>PID USERNAME  THR PRI NICE   SIZERES STATE   C   TIME   WCPU COMMAND
> 55122 www 1  260 34740K 22136K select  0   0:03  8.89% httpd
> 55174 www 1  280 38836K 23512K select  3   0:02  7.08% httpd
> 55217 www 1  290 38836K 23272K select  0   0:01  6.79% httpd
> 54752 www 1  310 34740K 22176K select  2   0:05  6.40% httpd
> 55123 www 1  290 34740K 21852K select  0   0:01  6.05% httpd
> 55091 www 1  310 34740K 21616K select  3   0:02  5.18% httpd
> 54407 www 1  260 34740K 22180K select  1   0:11  3.27% httpd
> 55120 www 1  240 34740K 21792K select  3   0:02  3.08% httpd
> 55008 www 1  240 38836K 26232K select  3   0:03  2.39% httpd
> 55006 www 1  220 34740K 21964K accept  1   0:03  2.29% httpd
> 55156 www 1  220 34740K 19412K select  0   0:01  2.10% httpd
> 55216 www 1  240 34740K 19600K select  1   0:00  1.95% httpd
> 55090 www 1  220 34740K 21928K select  1   0:02  1.27% httpd
> 54915 www 1  220 38836K 23540K accept  1   0:02  0.78% httpd
> 55212 www 1  220 34740K 19148K accept  3   0:00  0.59% httpd
>
>
> Existe algum tunning básico que posso fazer no apache para melhorar
> (diminuir) o uso do CPU ?
>
Opa Denis,

Faz um procstat -f  nesses processos pra ver se tem algo estranho e 
dê uma olhada nos logs de acesso do apache.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvidas tunning apache

[Denis Granato]

sim , é estranho pela pequena quantidade.

Por isso pedi a ajuda da galera aqui da lista

obrigado a todos

2012/10/5 Luiz Gustavo Costa 

> Em 05-10-2012 13:17, Denis Granato escreveu:
> > php5-5.4.5
> > postgres 9.2
> >
> > Sim, deve ter umas 4 ou 5 pessoas que fica com o browser aberto
> > visualizando o sistema.
> >
> > abs
> >
> > On Fri, Oct 5, 2012 at 12:15 PM, Paulo Henrique - BSD <
> > paulo.rd...@bsd.com.br> wrote:
> >
> >> Qual o PHP que está usando, mais tipo deve ter uns 5 ou 6 dispositivos
> >> acessando esse servidor, qual a quantidade de acesso do seu server ?
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> Eu normalmente tenho altos ganhos de desempenho somente trocando apache
> para nginx em certos ambientes.
>
> Mas é estranho todo esse load para até 6 conexões abertas, mesmo para o
> Apache.
>
> --
> ---
> Luiz Gustavo Costa (Powered by BSD)
> *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
> mundoUnix - Consultoria em Software Livre
> http://www.mundounix.com.br
> ICQ: 2890831 / MSN: cont...@mundounix.com.br
> Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
> Blog: http://www.luizgustavo.pro.br
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvidas tunning apache

[Luiz Gustavo Costa]

Em 05-10-2012 13:17, Denis Granato escreveu:
> php5-5.4.5
> postgres 9.2
>
> Sim, deve ter umas 4 ou 5 pessoas que fica com o browser aberto
> visualizando o sistema.
>
> abs
>
> On Fri, Oct 5, 2012 at 12:15 PM, Paulo Henrique - BSD <
> paulo.rd...@bsd.com.br> wrote:
>
>> Qual o PHP que está usando, mais tipo deve ter uns 5 ou 6 dispositivos
>> acessando esse servidor, qual a quantidade de acesso do seu server ?
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Eu normalmente tenho altos ganhos de desempenho somente trocando apache 
para nginx em certos ambientes.

Mas é estranho todo esse load para até 6 conexões abertas, mesmo para o 
Apache.

-- 
---
Luiz Gustavo Costa (Powered by BSD)
*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
mundoUnix - Consultoria em Software Livre
http://www.mundounix.com.br
ICQ: 2890831 / MSN: cont...@mundounix.com.br
Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
Blog: http://www.luizgustavo.pro.br

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvidas tunning apache

[Denis Granato]

php5-5.4.5
postgres 9.2

Sim, deve ter umas 4 ou 5 pessoas que fica com o browser aberto
visualizando o sistema.

abs

On Fri, Oct 5, 2012 at 12:15 PM, Paulo Henrique - BSD <
paulo.rd...@bsd.com.br> wrote:

>
> Qual o PHP que está usando, mais tipo deve ter uns 5 ou 6 dispositivos
> acessando esse servidor, qual a quantidade de acesso do seu server ?
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvidas tunning apache

[Alexandre Correa]

se usar mysql, vale a pena dar uma verificada.. maioria das vezes é o mysql
:P


Sds.
Alexandre J. Correa
Onda Internet
http://www.onda.net.br


IPV6 Ready !!!




On Fri, Oct 5, 2012 at 12:15 PM, Paulo Henrique - BSD <
paulo.rd...@bsd.com.br> wrote:

> Em 05/10/2012 11:54, Denis Granato escreveu:
> > Bom dia senhores,
> >
> > Tenho 1 servidor zabbix aqui com o apache "cru" e  hoje tenho os
> seguintes
> > processos
> >
> >PID USERNAME  THR PRI NICE   SIZERES STATE   C   TIME   WCPU
> COMMAND
> > 55122 www 1  260 34740K 22136K select  0   0:03  8.89% httpd
> > 55174 www 1  280 38836K 23512K select  3   0:02  7.08% httpd
> > 55217 www 1  290 38836K 23272K select  0   0:01  6.79% httpd
> > 54752 www 1  310 34740K 22176K select  2   0:05  6.40% httpd
> > 55123 www 1  290 34740K 21852K select  0   0:01  6.05% httpd
> > 55091 www 1  310 34740K 21616K select  3   0:02  5.18% httpd
> > 54407 www 1  260 34740K 22180K select  1   0:11  3.27% httpd
> > 55120 www 1  240 34740K 21792K select  3   0:02  3.08% httpd
> > 55008 www 1  240 38836K 26232K select  3   0:03  2.39% httpd
> > 55006 www 1  220 34740K 21964K accept  1   0:03  2.29% httpd
> > 55156 www 1  220 34740K 19412K select  0   0:01  2.10% httpd
> > 55216 www 1  240 34740K 19600K select  1   0:00  1.95% httpd
> > 55090 www 1  220 34740K 21928K select  1   0:02  1.27% httpd
> > 54915 www 1  220 38836K 23540K accept  1   0:02  0.78% httpd
> > 55212 www 1  220 34740K 19148K accept  3   0:00  0.59% httpd
> >
> >
> > Existe algum tunning básico que posso fazer no apache para melhorar
> > (diminuir) o uso do CPU ?
> >
> > Obrigado desde já
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> No meu está assim
>
>
>PID USERNAME   THR PRI NICE   SIZERES STATE   C   TIME WCPU
> COMMAND
> 51919 www  1  460   195M 22256K accept  3   0:08 0.00%
> httpd
> 54557 www  1  460   195M 22260K accept  0   0:06 0.00%
> httpd
> 52803 www  1  460   195M 22280K accept  0   0:04 0.00%
> httpd
> 59094 www  1  440   195M 22272K accept  2   0:03 0.00%
> httpd
> 59095 www  1  460   195M 22252K accept  3   0:03 0.00%
> httpd
> 59993 www  1  440   195M 22288K accept  2   0:02 0.00%
> httpd
> 64450 www  1  440   195M 22280K accept  0   0:01 0.00%
> httpd
> 60559 www  1  480   193M 19420K accept  3   0:00 0.00%
> httpd
> 66484 www  1  440   189M 11388K accept  0   0:00 0.00%
> httpd
> 66630 www  1  440   189M 11388K accept  2   0:00 0.00%
> httpd
>
>
>
> Qual o PHP que está usando, mais tipo deve ter uns 5 ou 6 dispositivos
> acessando esse servidor, qual a quantidade de acesso do seu server ?
>
> Att, Paulo Henrique,
>
> --
> Paulo Henrique
> BSD Brasil
> Fone: (21) 9683-5433
> Genuine user Unix/BSD :D
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvidas tunning apache

[Paulo Henrique - BSD]

Em 05/10/2012 11:54, Denis Granato escreveu:
> Bom dia senhores,
>
> Tenho 1 servidor zabbix aqui com o apache "cru" e  hoje tenho os seguintes
> processos
>
>PID USERNAME  THR PRI NICE   SIZERES STATE   C   TIME   WCPU COMMAND
> 55122 www 1  260 34740K 22136K select  0   0:03  8.89% httpd
> 55174 www 1  280 38836K 23512K select  3   0:02  7.08% httpd
> 55217 www 1  290 38836K 23272K select  0   0:01  6.79% httpd
> 54752 www 1  310 34740K 22176K select  2   0:05  6.40% httpd
> 55123 www 1  290 34740K 21852K select  0   0:01  6.05% httpd
> 55091 www 1  310 34740K 21616K select  3   0:02  5.18% httpd
> 54407 www 1  260 34740K 22180K select  1   0:11  3.27% httpd
> 55120 www 1  240 34740K 21792K select  3   0:02  3.08% httpd
> 55008 www 1  240 38836K 26232K select  3   0:03  2.39% httpd
> 55006 www 1  220 34740K 21964K accept  1   0:03  2.29% httpd
> 55156 www 1  220 34740K 19412K select  0   0:01  2.10% httpd
> 55216 www 1  240 34740K 19600K select  1   0:00  1.95% httpd
> 55090 www 1  220 34740K 21928K select  1   0:02  1.27% httpd
> 54915 www 1  220 38836K 23540K accept  1   0:02  0.78% httpd
> 55212 www 1  220 34740K 19148K accept  3   0:00  0.59% httpd
>
>
> Existe algum tunning básico que posso fazer no apache para melhorar
> (diminuir) o uso do CPU ?
>
> Obrigado desde já
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
No meu está assim


   PID USERNAME   THR PRI NICE   SIZERES STATE   C   TIME WCPU 
COMMAND
51919 www  1  460   195M 22256K accept  3   0:08 0.00% httpd
54557 www  1  460   195M 22260K accept  0   0:06 0.00% httpd
52803 www  1  460   195M 22280K accept  0   0:04 0.00% httpd
59094 www  1  440   195M 22272K accept  2   0:03 0.00% httpd
59095 www  1  460   195M 22252K accept  3   0:03 0.00% httpd
59993 www  1  440   195M 22288K accept  2   0:02 0.00% httpd
64450 www  1  440   195M 22280K accept  0   0:01 0.00% httpd
60559 www  1  480   193M 19420K accept  3   0:00 0.00% httpd
66484 www  1  440   189M 11388K accept  0   0:00 0.00% httpd
66630 www  1  440   189M 11388K accept  2   0:00 0.00% httpd



Qual o PHP que está usando, mais tipo deve ter uns 5 ou 6 dispositivos 
acessando esse servidor, qual a quantidade de acesso do seu server ?

Att, Paulo Henrique,

-- 
Paulo Henrique
BSD Brasil
Fone: (21) 9683-5433
Genuine user Unix/BSD :D

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvidas no qmail

[Luciano Antonio Borguetti Faustino]

2012/8/31 Leonardo Augusto 

> 2012/8/30 Leonardo de Souza :
> > Pessoal como uso o comando show para verificar os e-mails que estão
> > chegando na caixa de entrada dentro do servidor ?
> >
> > Grato
> >
> > pelo que eu pesquisei seria esse o comando dentro de
> vpopmail/domains/"dominio"
> >
> > # show | grep "nome da conta"
> >
> > ?
>
> Até onde eu sei, em se tratando de Maildir, vc ve as mensagens novas
> na respectiva conta na pasta new,
> após serem acessadas pelo imap, elas vao para a pasta cur.
>
> []´s
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


Leonardo,

Material bom sobre qmail:

http://qmail.telles.org/

[]s
-- 
Luciano Antonio Borguetti Faustino
http://lucianoborguetti.wordpress.com
50 61 72 61 62 e9 6e 73 2c 20 76 6f 63 ea 20 63 6f 6e 73 65 67 75 65 20 6c
65 72 21 20 3a 2d 29
~
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvidas no qmail

[Leonardo Augusto]

2012/8/30 Leonardo de Souza :
> Pessoal como uso o comando show para verificar os e-mails que estão
> chegando na caixa de entrada dentro do servidor ?
>
> Grato
>
> pelo que eu pesquisei seria esse o comando dentro de 
> vpopmail/domains/"dominio"
>
> # show | grep "nome da conta"
>
> ?

Até onde eu sei, em se tratando de Maildir, vc ve as mensagens novas
na respectiva conta na pasta new,
após serem acessadas pelo imap, elas vao para a pasta cur.

[]´s
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] duvidas no qmail

[Leonardo de Souza]

Pessoal como uso o comando show para verificar os e-mails que estão
chegando na caixa de entrada dentro do servidor ?

Grato

pelo que eu pesquisei seria esse o comando dentro de vpopmail/domains/"dominio"

# show | grep "nome da conta"

?

-- 
Leonardo de Souza
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] DUVIDAS COM OPENBGPD

[Flávio Marcelo]

Também tenho interesse em implementar.


Abraços.

Em 2 de abril de 2012 15:25, Marcelo Gondim escreveu:

> Em 02/04/2012 15:08, Flávio Marcelo escreveu:
> > Bem lembrado Marcelo:
> > Tem mesmo o "inet" antes do prefixlen
> >
> > Renato valew pela dica.
> >
> > A pergunta do Crica foi interessante, há alguma objeção em utilizar BGP e
> > FIREWALL na mesma maquina ?
>
> Eu vejo uma coisa interessante de se ter um firewall no router BGP. Em
> caso de ataques você pode dar um deny para determinado bloco e parar o
> roteamento para aquela rede. Alguns sistemas de proteção de DDoS
> utilizam essa técnica direto no BGP.
> Por falar nisso, alguém conhece algum IPS que rode no FreeBSD que faça
> inclusões em BGP pra proteção de ataques? Seria muito interessante.
> Estive pensando algo para eu implementar no nosso router.
>
> >
> > Abraços.
> >
> > Em 2 de abril de 2012 14:21, Marcelo Gondim >escreveu:
> >
> >> Em 02/04/2012 10:33, Flávio Marcelo escreveu:
> >>> Opa.
> >>> Bom dia !
> >>>
> >>> Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação (
> >>> http://www.openbsd.org/papers/linuxtag06-network.pdf)
> >>> Seria isso:
> >>>
> >>> # publicacao de 8 a 24 bits, nem mais nem menos
> >>>
> >>> allow from any prefixlen 8 - 24
> >>>
> >>> # nao aceita publicacao de rota padrao
> >>>
> >>> deny from any prefix 0.0.0.0/0
> >>>
> >>> # Redes as quais nunca permitiremos publicacao de rotas
> >>> deny from any prefix 10.0.0.0/8 prefixlen>= 8
> >>> deny from any prefix 172.16.0.0/12 prefixlen>= 12
> >>> deny from any prefix 192.168.0.0/16 prefixlen>= 16
> >>> deny from any prefix 169.254.0.0/16 prefixlen>= 16
> >>> deny from any prefix 192.0.2.0/24 prefixlen>= 24
> >>> deny from any prefix 224.0.0.0/4 prefixlen>= 4
> >>> deny from any prefix 240.0.0.0/4 prefixlen>= 4
> >>>
> >>>
> >>> Bom quanto aos filtros é basicamente isso.
> >>>
> >>>
> >>>
> >>> Em 28 de março de 2012 17:37, Crica Bsd
> escreveu:
> >>>
>  Boa Tarde.
> 
>  Sou novo no cenário BGP, estou implementando meu primeiro BGP e estou
> >> com
>  algumas duvidas.
>  Estou utilizando o OpenBGPD e FreeBSD.
> 
>  Vamos as duvidas.
>  *
>  *
>  *Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e o
> >> Firewall
>  da rede na mesma maquina ? caso não qual seria o cenário ideal ou mais
>  indicado ?
> 
> 
>  *Segunda:* Na configuração do bgpd.conf que segui (
>  http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com
>  alguns
>  filtros:
> 
>  # filter out prefixes longer than 24 or shorter than 8 bits
> > deny from any
> > allow from any prefixlen 8 - 24
> >> Tem um errinho nessa linha acima, pelo menos quando fiz dava erro aqui
> >> no meu openbgp e o serviço não levantava.
> >>
> >> Seria: allow from any inet prefixlen 8 - 24
> >>
> >> Porque pelo que vi no man se não especificar o bloco no prefixlen,
> >> precisa dizer antes se é inet ou inet6.  ;)
> >>
> > # do not accept a default route
> > deny from any prefix 0.0.0.0/0
> > # filter bogus networks
> > deny from any prefix 10.0.0.0/8 prefixlen>= 8
> > deny from any prefix 172.16.0.0/12 prefixlen>= 12
> > deny from any prefix 192.168.0.0/16 prefixlen>= 16
> > deny from any prefix 169.254.0.0/16 prefixlen>= 16
> > deny from any prefix 192.0.2.0/24 prefixlen>= 24
> > deny from any prefix 224.0.0.0/4 prefixlen>= 4
> > deny from any prefix 240.0.0.0/4 prefixlen>=
>  Dei uma procurada mas ainda não consegui entender como eles funcionam.
>  Alguém com experiência e um pouco de paciência pode exclare-los de
> forma
>  mais clara.
> 
>  Grato desde já a todos pela atenção.
>  Obrigado.
>  -
>  Histórico: http://www.fug.com.br/historico/html/freebsd/
>  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 
> >>>
> >> -
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> >
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Att
Flávio Marcelo
Network and Systems Administrator
souza@gmail.com
flavio...@hotmail.com
www.fug.com.br

“Se não posso fazer tudo que devo, devo ao menos fazer tudo que posso."
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] DUVIDAS COM OPENBGPD

[Marcelo Gondim]

Em 02/04/2012 15:08, Flávio Marcelo escreveu:
> Bem lembrado Marcelo:
> Tem mesmo o "inet" antes do prefixlen
>
> Renato valew pela dica.
>
> A pergunta do Crica foi interessante, há alguma objeção em utilizar BGP e
> FIREWALL na mesma maquina ?

Eu vejo uma coisa interessante de se ter um firewall no router BGP. Em 
caso de ataques você pode dar um deny para determinado bloco e parar o 
roteamento para aquela rede. Alguns sistemas de proteção de DDoS 
utilizam essa técnica direto no BGP.
Por falar nisso, alguém conhece algum IPS que rode no FreeBSD que faça 
inclusões em BGP pra proteção de ataques? Seria muito interessante. 
Estive pensando algo para eu implementar no nosso router.

>
> Abraços.
>
> Em 2 de abril de 2012 14:21, Marcelo Gondimescreveu:
>
>> Em 02/04/2012 10:33, Flávio Marcelo escreveu:
>>> Opa.
>>> Bom dia !
>>>
>>> Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação (
>>> http://www.openbsd.org/papers/linuxtag06-network.pdf)
>>> Seria isso:
>>>
>>> # publicacao de 8 a 24 bits, nem mais nem menos
>>>
>>> allow from any prefixlen 8 - 24
>>>
>>> # nao aceita publicacao de rota padrao
>>>
>>> deny from any prefix 0.0.0.0/0
>>>
>>> # Redes as quais nunca permitiremos publicacao de rotas
>>> deny from any prefix 10.0.0.0/8 prefixlen>= 8
>>> deny from any prefix 172.16.0.0/12 prefixlen>= 12
>>> deny from any prefix 192.168.0.0/16 prefixlen>= 16
>>> deny from any prefix 169.254.0.0/16 prefixlen>= 16
>>> deny from any prefix 192.0.2.0/24 prefixlen>= 24
>>> deny from any prefix 224.0.0.0/4 prefixlen>= 4
>>> deny from any prefix 240.0.0.0/4 prefixlen>= 4
>>>
>>>
>>> Bom quanto aos filtros é basicamente isso.
>>>
>>>
>>>
>>> Em 28 de março de 2012 17:37, Crica Bsd   escreveu:
>>>
 Boa Tarde.

 Sou novo no cenário BGP, estou implementando meu primeiro BGP e estou
>> com
 algumas duvidas.
 Estou utilizando o OpenBGPD e FreeBSD.

 Vamos as duvidas.
 *
 *
 *Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e o
>> Firewall
 da rede na mesma maquina ? caso não qual seria o cenário ideal ou mais
 indicado ?


 *Segunda:* Na configuração do bgpd.conf que segui (
 http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com
 alguns
 filtros:

 # filter out prefixes longer than 24 or shorter than 8 bits
> deny from any
> allow from any prefixlen 8 - 24
>> Tem um errinho nessa linha acima, pelo menos quando fiz dava erro aqui
>> no meu openbgp e o serviço não levantava.
>>
>> Seria: allow from any inet prefixlen 8 - 24
>>
>> Porque pelo que vi no man se não especificar o bloco no prefixlen,
>> precisa dizer antes se é inet ou inet6.  ;)
>>
> # do not accept a default route
> deny from any prefix 0.0.0.0/0
> # filter bogus networks
> deny from any prefix 10.0.0.0/8 prefixlen>= 8
> deny from any prefix 172.16.0.0/12 prefixlen>= 12
> deny from any prefix 192.168.0.0/16 prefixlen>= 16
> deny from any prefix 169.254.0.0/16 prefixlen>= 16
> deny from any prefix 192.0.2.0/24 prefixlen>= 24
> deny from any prefix 224.0.0.0/4 prefixlen>= 4
> deny from any prefix 240.0.0.0/4 prefixlen>=
 Dei uma procurada mas ainda não consegui entender como eles funcionam.
 Alguém com experiência e um pouco de paciência pode exclare-los de forma
 mais clara.

 Grato desde já a todos pela atenção.
 Obrigado.
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

>>>
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] DUVIDAS COM OPENBGPD

[Ricardo Ferreira]

On 02-04-2012 15:08, Flávio Marcelo wrote:

Bem lembrado Marcelo:
Tem mesmo o "inet" antes do prefixlen

Renato valew pela dica.

A pergunta do Crica foi interessante, há alguma objeção em utilizar BGP e
FIREWALL na mesma maquina ?

Abraços.

Em 2 de abril de 2012 14:21, Marcelo Gondimescreveu:


Em 02/04/2012 10:33, Flávio Marcelo escreveu:

Opa.
Bom dia !

Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação (
http://www.openbsd.org/papers/linuxtag06-network.pdf)
Seria isso:

# publicacao de 8 a 24 bits, nem mais nem menos

allow from any prefixlen 8 - 24

# nao aceita publicacao de rota padrao

deny from any prefix 0.0.0.0/0

# Redes as quais nunca permitiremos publicacao de rotas
deny from any prefix 10.0.0.0/8 prefixlen>= 8
deny from any prefix 172.16.0.0/12 prefixlen>= 12
deny from any prefix 192.168.0.0/16 prefixlen>= 16
deny from any prefix 169.254.0.0/16 prefixlen>= 16
deny from any prefix 192.0.2.0/24 prefixlen>= 24
deny from any prefix 224.0.0.0/4 prefixlen>= 4
deny from any prefix 240.0.0.0/4 prefixlen>= 4


Bom quanto aos filtros é basicamente isso.



Em 28 de março de 2012 17:37, Crica Bsd   escreveu:


Boa Tarde.

Sou novo no cenário BGP, estou implementando meu primeiro BGP e estou

com

algumas duvidas.
Estou utilizando o OpenBGPD e FreeBSD.

Vamos as duvidas.
*
*
*Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e o

Firewall

da rede na mesma maquina ? caso não qual seria o cenário ideal ou mais
indicado ?


*Segunda:* Na configuração do bgpd.conf que segui (
http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com
alguns
filtros:

# filter out prefixes longer than 24 or shorter than 8 bits

deny from any
allow from any prefixlen 8 - 24

Tem um errinho nessa linha acima, pelo menos quando fiz dava erro aqui
no meu openbgp e o serviço não levantava.

Seria: allow from any inet prefixlen 8 - 24

Porque pelo que vi no man se não especificar o bloco no prefixlen,
precisa dizer antes se é inet ou inet6.  ;)


# do not accept a default route
deny from any prefix 0.0.0.0/0
# filter bogus networks
deny from any prefix 10.0.0.0/8 prefixlen>= 8
deny from any prefix 172.16.0.0/12 prefixlen>= 12
deny from any prefix 192.168.0.0/16 prefixlen>= 16
deny from any prefix 169.254.0.0/16 prefixlen>= 16
deny from any prefix 192.0.2.0/24 prefixlen>= 24
deny from any prefix 224.0.0.0/4 prefixlen>= 4
deny from any prefix 240.0.0.0/4 prefixlen>=

Dei uma procurada mas ainda não consegui entender como eles funcionam.
Alguém com experiência e um pouco de paciência pode exclare-los de forma
mais clara.

Grato desde já a todos pela atenção.
Obrigado.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd




-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd





Eu diria depende muito do cenário
se for um ISP provendo serviços inclusive a outros ISPs e com tráfego 
significativo o melhor a fazer é alocar todos os recursos do roteador 
OpenBGP para rotear pacotes o mais rápido possível e aí filtrar só mesmo 
pacotes dirigidos ao IP do host pra serviços como ssh e outros e deixar 
com que o sistema de firewall resolva a situação mas o pacote já foi 
entregueTenho casos onde simplesmente não existe firewall no 
roteador OpenBGP pois o tráfego bate na casa dos 500Mbps em momentos de 
pico e ai todos os recursos tem que estar disponíveis na sua plenitude e 
quanto mais rapido rotear o pacote melhor.
Se for um usuário final, mesmo rodando BGP ai sim pode colocar junto um 
firewall completo incluindo até controle de banda via ALTQ uma vez que 
os requisitos este caso são diferentes.
De qualquer forma não existe uma solução única e especial que se aplica 
sempre. Depende muito de seu cenário, quantos pps vc processa, número de 
interrupçoes por segundo geradas pelas placas de rede, chaveamento de 
contexto, etc, etc 
Existem situações que não ter firewall pode ajudar se a performance for 
um requisito.




--
Cordialmente,

Ricardo Ferreira
Telecom, Tecnologia e Segurança da Informação
CCDP, CCNP, CCDA, CCNA, MCSE, MCP
---
Sotech Soluções Tecnologicas
Rua da Alfazema, 761, 1o. andar - 102/103
41820-710 - Caminho das Árvores - Salvador-BA - Brasil
Tel : 55 71 3472.9400 Cel : 55 71 9138 4630

Email:ricardo.ferre...@sotechdatacenter.com.br
Site: www.sotechdatacenter.com.br


Esta mensagem é dirigida apenas ao seu destinatário e pode conter
informações confidenciais, não passíveis de divulgação nos termos da
legislação em vigor. Caso tenha recebido esta mensagem por engano,
solicitamos notificar a Sotech Soluções Tecnológicas e excluí-la de sua
caixa postal.

This message, including its attachments, may contain confidential
information. If you have improperly received this message, please delete
it from your system and notify 

Re: [FUG-BR] DUVIDAS COM OPENBGPD

[Flávio Marcelo]

Bem lembrado Marcelo:
Tem mesmo o "inet" antes do prefixlen

Renato valew pela dica.

A pergunta do Crica foi interessante, há alguma objeção em utilizar BGP e
FIREWALL na mesma maquina ?

Abraços.

Em 2 de abril de 2012 14:21, Marcelo Gondim escreveu:

> Em 02/04/2012 10:33, Flávio Marcelo escreveu:
> > Opa.
> > Bom dia !
> >
> > Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação (
> > http://www.openbsd.org/papers/linuxtag06-network.pdf)
> > Seria isso:
> >
> > # publicacao de 8 a 24 bits, nem mais nem menos
> >
> > allow from any prefixlen 8 - 24
> >
> > # nao aceita publicacao de rota padrao
> >
> > deny from any prefix 0.0.0.0/0
> >
> > # Redes as quais nunca permitiremos publicacao de rotas
> > deny from any prefix 10.0.0.0/8 prefixlen>= 8
> > deny from any prefix 172.16.0.0/12 prefixlen>= 12
> > deny from any prefix 192.168.0.0/16 prefixlen>= 16
> > deny from any prefix 169.254.0.0/16 prefixlen>= 16
> > deny from any prefix 192.0.2.0/24 prefixlen>= 24
> > deny from any prefix 224.0.0.0/4 prefixlen>= 4
> > deny from any prefix 240.0.0.0/4 prefixlen>= 4
> >
> >
> > Bom quanto aos filtros é basicamente isso.
> >
> >
> >
> > Em 28 de março de 2012 17:37, Crica Bsd  escreveu:
> >
> >> Boa Tarde.
> >>
> >> Sou novo no cenário BGP, estou implementando meu primeiro BGP e estou
> com
> >> algumas duvidas.
> >> Estou utilizando o OpenBGPD e FreeBSD.
> >>
> >> Vamos as duvidas.
> >> *
> >> *
> >> *Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e o
> Firewall
> >> da rede na mesma maquina ? caso não qual seria o cenário ideal ou mais
> >> indicado ?
> >>
> >>
> >> *Segunda:* Na configuração do bgpd.conf que segui (
> >> http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com
> >> alguns
> >> filtros:
> >>
> >> # filter out prefixes longer than 24 or shorter than 8 bits
> >>> deny from any
> >>> allow from any prefixlen 8 - 24
>
> Tem um errinho nessa linha acima, pelo menos quando fiz dava erro aqui
> no meu openbgp e o serviço não levantava.
>
> Seria: allow from any inet prefixlen 8 - 24
>
> Porque pelo que vi no man se não especificar o bloco no prefixlen,
> precisa dizer antes se é inet ou inet6.  ;)
>
> >>> # do not accept a default route
> >>> deny from any prefix 0.0.0.0/0
> >>> # filter bogus networks
> >>> deny from any prefix 10.0.0.0/8 prefixlen>= 8
> >>> deny from any prefix 172.16.0.0/12 prefixlen>= 12
> >>> deny from any prefix 192.168.0.0/16 prefixlen>= 16
> >>> deny from any prefix 169.254.0.0/16 prefixlen>= 16
> >>> deny from any prefix 192.0.2.0/24 prefixlen>= 24
> >>> deny from any prefix 224.0.0.0/4 prefixlen>= 4
> >>> deny from any prefix 240.0.0.0/4 prefixlen>=
> >>
> >> Dei uma procurada mas ainda não consegui entender como eles funcionam.
> >> Alguém com experiência e um pouco de paciência pode exclare-los de forma
> >> mais clara.
> >>
> >> Grato desde já a todos pela atenção.
> >> Obrigado.
> >> -
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> >
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Att
Flávio Marcelo
Network and Systems Administrator
souza@gmail.com
flavio...@hotmail.com
www.fug.com.br

“Se não posso fazer tudo que devo, devo ao menos fazer tudo que posso."
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] DUVIDAS COM OPENBGPD

[Marcelo Gondim]

Em 02/04/2012 10:33, Flávio Marcelo escreveu:
> Opa.
> Bom dia !
>
> Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação (
> http://www.openbsd.org/papers/linuxtag06-network.pdf)
> Seria isso:
>
> # publicacao de 8 a 24 bits, nem mais nem menos
>
> allow from any prefixlen 8 - 24
>
> # nao aceita publicacao de rota padrao
>
> deny from any prefix 0.0.0.0/0
>
> # Redes as quais nunca permitiremos publicacao de rotas
> deny from any prefix 10.0.0.0/8 prefixlen>= 8
> deny from any prefix 172.16.0.0/12 prefixlen>= 12
> deny from any prefix 192.168.0.0/16 prefixlen>= 16
> deny from any prefix 169.254.0.0/16 prefixlen>= 16
> deny from any prefix 192.0.2.0/24 prefixlen>= 24
> deny from any prefix 224.0.0.0/4 prefixlen>= 4
> deny from any prefix 240.0.0.0/4 prefixlen>= 4
>
>
> Bom quanto aos filtros é basicamente isso.
>
>
>
> Em 28 de março de 2012 17:37, Crica Bsd  escreveu:
>
>> Boa Tarde.
>>
>> Sou novo no cenário BGP, estou implementando meu primeiro BGP e estou com
>> algumas duvidas.
>> Estou utilizando o OpenBGPD e FreeBSD.
>>
>> Vamos as duvidas.
>> *
>> *
>> *Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e o Firewall
>> da rede na mesma maquina ? caso não qual seria o cenário ideal ou mais
>> indicado ?
>>
>>
>> *Segunda:* Na configuração do bgpd.conf que segui (
>> http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com
>> alguns
>> filtros:
>>
>> # filter out prefixes longer than 24 or shorter than 8 bits
>>> deny from any
>>> allow from any prefixlen 8 - 24

Tem um errinho nessa linha acima, pelo menos quando fiz dava erro aqui 
no meu openbgp e o serviço não levantava.

Seria: allow from any inet prefixlen 8 - 24

Porque pelo que vi no man se não especificar o bloco no prefixlen, 
precisa dizer antes se é inet ou inet6.  ;)

>>> # do not accept a default route
>>> deny from any prefix 0.0.0.0/0
>>> # filter bogus networks
>>> deny from any prefix 10.0.0.0/8 prefixlen>= 8
>>> deny from any prefix 172.16.0.0/12 prefixlen>= 12
>>> deny from any prefix 192.168.0.0/16 prefixlen>= 16
>>> deny from any prefix 169.254.0.0/16 prefixlen>= 16
>>> deny from any prefix 192.0.2.0/24 prefixlen>= 24
>>> deny from any prefix 224.0.0.0/4 prefixlen>= 4
>>> deny from any prefix 240.0.0.0/4 prefixlen>=
>>
>> Dei uma procurada mas ainda não consegui entender como eles funcionam.
>> Alguém com experiência e um pouco de paciência pode exclare-los de forma
>> mais clara.
>>
>> Grato desde já a todos pela atenção.
>> Obrigado.
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] DUVIDAS COM OPENBGPD

[Renato Frederick]

isto aí mesmo.

você pode adicionar nas linhas de deny from any seu bloco CIDR, 
garantindo assim que você não receba uma rota para seu bloco vindo de 
alguém que por engano ou maliciosamente anunciou sua rede(200.0.0.0/20 
no exemplo):

deny from any prefix 0.0.0.0/0
deny from any prefix 200.0.0.0/20
[]
deny from any prefix 240.0.0.0/4 prefixlen>= 4

[...]
etc



Coloque também uma linha do tipo

allow to any prefix 200.0.0.0/20
deny to any prefix 0.0.0.0/0

isto vai garantir o inverso: que você vai divulgar para seus peers 
somente o seu CIDR(200.0.0.0/20 no exemplo) e não vai divulgar nada 
mais. Isto vai garantir que caso você tenha colocado na configuração 
alguma rede a mais - por engano - ou então colocado - por engano - na 
configuração do peer uma linha "anounce all", não vai entregar redes que 
não são suas ou todas as rotas que você aprende de outros parceiros , 
virando um provedor de trânsito ou sequestrando outras redes, caso seus 
peers não façam a filtragem de rotas enviadas por você(muito difícil uma 
operadora não fazer isto, mas nunca se sabe... desastres ocorrem assim).

[]s




Em 02/04/2012 10:33, Flávio Marcelo escreveu:
> Opa.
> Bom dia !
>
> Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação (
> http://www.openbsd.org/papers/linuxtag06-network.pdf)
> Seria isso:
>
> # publicacao de 8 a 24 bits, nem mais nem menos
>
> allow from any prefixlen 8 - 24
>
> # nao aceita publicacao de rota padrao
>
> deny from any prefix 0.0.0.0/0
>
> # Redes as quais nunca permitiremos publicacao de rotas
> deny from any prefix 10.0.0.0/8 prefixlen>= 8
> deny from any prefix 172.16.0.0/12 prefixlen>= 12
> deny from any prefix 192.168.0.0/16 prefixlen>= 16
> deny from any prefix 169.254.0.0/16 prefixlen>= 16
> deny from any prefix 192.0.2.0/24 prefixlen>= 24
> deny from any prefix 224.0.0.0/4 prefixlen>= 4
> deny from any prefix 240.0.0.0/4 prefixlen>= 4
>
>
> Bom quanto aos filtros é basicamente isso.
>
>
>
> Em 28 de março de 2012 17:37, Crica Bsd  escreveu:
>
>> Boa Tarde.
>>
>> Sou novo no cenário BGP, estou implementando meu primeiro BGP e estou com
>> algumas duvidas.
>> Estou utilizando o OpenBGPD e FreeBSD.
>>
>> Vamos as duvidas.
>> *
>> *
>> *Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e o Firewall
>> da rede na mesma maquina ? caso não qual seria o cenário ideal ou mais
>> indicado ?
>>
>>
>> *Segunda:* Na configuração do bgpd.conf que segui (
>> http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com
>> alguns
>> filtros:
>>
>> # filter out prefixes longer than 24 or shorter than 8 bits
>>> deny from any
>>> allow from any prefixlen 8 - 24
>>> # do not accept a default route
>>> deny from any prefix 0.0.0.0/0
>>> # filter bogus networks
>>> deny from any prefix 10.0.0.0/8 prefixlen>= 8
>>> deny from any prefix 172.16.0.0/12 prefixlen>= 12
>>> deny from any prefix 192.168.0.0/16 prefixlen>= 16
>>> deny from any prefix 169.254.0.0/16 prefixlen>= 16
>>> deny from any prefix 192.0.2.0/24 prefixlen>= 24
>>> deny from any prefix 224.0.0.0/4 prefixlen>= 4
>>> deny from any prefix 240.0.0.0/4 prefixlen>=
>>
>> Dei uma procurada mas ainda não consegui entender como eles funcionam.
>> Alguém com experiência e um pouco de paciência pode exclare-los de forma
>> mais clara.
>>
>> Grato desde já a todos pela atenção.
>> Obrigado.
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] DUVIDAS COM OPENBGPD

[Flávio Marcelo]

Opa.
Bom dia !

Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação (
http://www.openbsd.org/papers/linuxtag06-network.pdf)
Seria isso:

# publicacao de 8 a 24 bits, nem mais nem menos

allow from any prefixlen 8 - 24

# nao aceita publicacao de rota padrao

deny from any prefix 0.0.0.0/0

# Redes as quais nunca permitiremos publicacao de rotas
deny from any prefix 10.0.0.0/8 prefixlen >= 8
deny from any prefix 172.16.0.0/12 prefixlen >= 12
deny from any prefix 192.168.0.0/16 prefixlen >= 16
deny from any prefix 169.254.0.0/16 prefixlen >= 16
deny from any prefix 192.0.2.0/24 prefixlen >= 24
deny from any prefix 224.0.0.0/4 prefixlen >= 4
deny from any prefix 240.0.0.0/4 prefixlen >= 4


Bom quanto aos filtros é basicamente isso.



Em 28 de março de 2012 17:37, Crica Bsd  escreveu:

> Boa Tarde.
>
> Sou novo no cenário BGP, estou implementando meu primeiro BGP e estou com
> algumas duvidas.
> Estou utilizando o OpenBGPD e FreeBSD.
>
> Vamos as duvidas.
> *
> *
> *Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e o Firewall
> da rede na mesma maquina ? caso não qual seria o cenário ideal ou mais
> indicado ?
>
>
> *Segunda:* Na configuração do bgpd.conf que segui (
> http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com
> alguns
> filtros:
>
> # filter out prefixes longer than 24 or shorter than 8 bits
> > deny from any
> > allow from any prefixlen 8 - 24
> > # do not accept a default route
> > deny from any prefix 0.0.0.0/0
> > # filter bogus networks
> > deny from any prefix 10.0.0.0/8 prefixlen >= 8
> > deny from any prefix 172.16.0.0/12 prefixlen >= 12
> > deny from any prefix 192.168.0.0/16 prefixlen >= 16
> > deny from any prefix 169.254.0.0/16 prefixlen >= 16
> > deny from any prefix 192.0.2.0/24 prefixlen >= 24
> > deny from any prefix 224.0.0.0/4 prefixlen >= 4
> > deny from any prefix 240.0.0.0/4 prefixlen >=
>
>
> Dei uma procurada mas ainda não consegui entender como eles funcionam.
> Alguém com experiência e um pouco de paciência pode exclare-los de forma
> mais clara.
>
> Grato desde já a todos pela atenção.
> Obrigado.
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Att
Flávio Marcelo
Network and Systems Administrator
souza@gmail.com
flavio...@hotmail.com
www.fug.com.br

“Se não posso fazer tudo que devo, devo ao menos fazer tudo que posso."
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas com PF

[Enio Marconcini]

2012/1/31 Diogo Dalfovo 

> Bom dia pessoal!!!
>
> A um bom tempo atras eu ja tinha recorrido  lista por uma duvida parecida,
> mas gostaria de saber se é possivel eu fazer o filtro de uma regra binat?
> Ex:
>
> #  Redireionamento bidirecional para email
> binat on $ext_if from 192.168.0.12/32 to any -> x.x.x.244/32--> BRT
> binat on $ext_if2 from 192.168.0.12/32 to any -> y.y.y.226/32  -->
> Embratel
>
> 
> Bloqueia tudo por padrao
> block in log on $ext_if
> block in log on $ext_if2
> 
> pass in log quick on $ext_if2 proto tcp from any to y.y.y.226 port 22 keep
> state --> não libera conexão ssh do binat. O ssh esta sendo usado apenas
> como exemplo
> ...
> pass in log quick on $ext_if2 proto tcp to $ip_ext2_alias0 port 22 keep
> state \
>   (max-src-conn 3,max-src-conn-rate 5/3, overload
>  flush global) label "Acesso SSH Embratel" --> acessa normal FW
> $ip_ext2_alias0 = y.y.y.227
>
> pass in log quick on $ext_if proto tcp to $ip_ext port 22 keep state \
>   (max-src-conn 3,max-src-conn-rate 5/3, overload
>  flush global) label "Acesso SSH BRT" --> acessa normal FW
> $ip_ext = x.x.x.242
>
>
> Agora se eu alterar a regra do binat para:
> binat pass on $ext_if from 192.168.0.12/32 to any -> x.x.x.244/32
> binat pass on $ext_if2 from 192.168.0.12/32 to any -> y.y.y.226/32
>
> Funciona 100%, poderia deixar assim mas gostaria de deixar passar somente
> algumas portas é possivel sem ter que deixar passar tudo na regra do binat?
> Obs: Infelizmente não foi possivel "ainda" colocar o servidor de email em
> uma DMZ.
>
> E o contrario  tb deixando o binat com pass e tentando bloquear o acesso tb
> não funcionou.
>
> Diogo Dalfovo
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


opa boa tarde Diogo,
não sou entendido do PF não, mas por acaso você já tentou usar a opção tag
e tagged para marcar os pacotes?
da uma olhada:

http://www.openbsd.org/faq/pf/tagging.html

-- 
*ENIO RODRIGO MARCONCINI*
@eniomarconcini 
skype: eniorm
facebook.com/eniomarconcini 

*"H**ave a trouble with windows: reboot!*

*Have a trouble with unix: be root!"*
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Duvidas com PF

[Diogo Dalfovo]

Bom dia pessoal!!!

A um bom tempo atras eu ja tinha recorrido  lista por uma duvida parecida,
mas gostaria de saber se é possivel eu fazer o filtro de uma regra binat?
Ex:

#  Redireionamento bidirecional para email
binat on $ext_if from 192.168.0.12/32 to any -> x.x.x.244/32--> BRT
binat on $ext_if2 from 192.168.0.12/32 to any -> y.y.y.226/32  --> Embratel


Bloqueia tudo por padrao
block in log on $ext_if
block in log on $ext_if2

pass in log quick on $ext_if2 proto tcp from any to y.y.y.226 port 22 keep
state --> não libera conexão ssh do binat. O ssh esta sendo usado apenas
como exemplo
...
pass in log quick on $ext_if2 proto tcp to $ip_ext2_alias0 port 22 keep
state \
   (max-src-conn 3,max-src-conn-rate 5/3, overload
 flush global) label "Acesso SSH Embratel" --> acessa normal FW
$ip_ext2_alias0 = y.y.y.227

pass in log quick on $ext_if proto tcp to $ip_ext port 22 keep state \
   (max-src-conn 3,max-src-conn-rate 5/3, overload
 flush global) label "Acesso SSH BRT" --> acessa normal FW
$ip_ext = x.x.x.242


Agora se eu alterar a regra do binat para:
binat pass on $ext_if from 192.168.0.12/32 to any -> x.x.x.244/32
binat pass on $ext_if2 from 192.168.0.12/32 to any -> y.y.y.226/32

Funciona 100%, poderia deixar assim mas gostaria de deixar passar somente
algumas portas é possivel sem ter que deixar passar tudo na regra do binat?
Obs: Infelizmente não foi possivel "ainda" colocar o servidor de email em
uma DMZ.

E o contrario  tb deixando o binat com pass e tentando bloquear o acesso tb
não funcionou.

Diogo Dalfovo
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas com PF

[Diogo Dalfovo]

Boa tarde Vic

Muito obrigado eu vo da uma olha nisso tambem...

Diogo


> Para bloquear sem precisar reinciar o pf, você pode usar table:
>
> # touch /var/db/pf/icmp_liberados
>
> pf.conf:
>
> table  persist file "/var/db/pf/icmp_liberados"
>
> pass in log quick on $int_if proto icmp from  to
> $ip_firewall
>
> Então você pode adicionar os endereços IP/faixas em
> /var/db/pf/icmp_liberados (1 por linha) ou via pfctl -t icmp_liberados
> -T add IP.
>
> Veja mais em man pf.conf(5)
>
> att.
>
> --
> vic
> http://choppnerd.com
> http://donttrack.us   |   http://dontbubble.us
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas com PF

[Diogo Dalfovo]

Boa Tarde Luiz...

Muito obrigado pelas dicas... neste caso entao nao vou precisar da tabela
FIB pergunto isso pelo seguinte
atras do firewall vou ter um servidor de email oq eu fiz:
duas regras do binat para testar ver se vai funcionar uma para cada link se
nao funcionar iria usar o reply-to para tudo que entrar pelo link sair por
ele mesmo

o route-to eu ja tenho aqui para trafego de saida http,https e funciona
maravilhosamente bem... não sei se estou na caminho certo ou so estou
fazendo confusao hehehe...

E sobre a regra eu escrevi errado mesmo hehehe

Muito obrigado

Diogo

Em 7 de dezembro de 2011 15:47, Luiz Gustavo  escreveu:

> Buenas,
>
> A primeira dúvida tá parecendo tabela de estado.
>
> talvez se você tentar limpar a tabela com o comando:
>
> pfctl -Fs
>
> Em relação a segunda dúvida, para o uso de reply-to/route-to você não
> precisa usar a tabela FIB, o próprio pf faz o roteamento.
>
> no caso ai, eu não sei se já tem ou não nas suas regras, mas você
> precisa especificar a saida dos links, tipo:
>
> pass out quick on $if_link1 route-to ($if_link1 $gw_link1) from any to
> $if_link2
> pass out quick on $if_link2 route-to ($if_link2 $gw_link2) from any to
> $if_link1
>
> *** Eu fiz de cabeça, não sei se é exatamente assim, mas é mais para
> entendimento (to sem tempo aqui pra pegar cola).
>
> abços
>
> Em Qua, 2011-12-07 às 15:31 -0200, Diogo Dalfovo escreveu:
> > Boa Tarde Pessoal!!
> >
> >
> > Estou refazendo o meu PF e surgiram algumas duvidas em relação ao
> bloqueio
> > e liberação, vamos la:
> >
> > tenho como padrao bloquear tudo que entra:
> > #set block-policy drop
> > set block-policy return
> >
> > #bloqueia tudo por padrao
> > block in log all
> >
> > e depois eu libero o icmp por exemplo
> > #teste
> > pass in log quick on $int_if proto icmp from $lan_net to $ip_firewall
> >
> > ele vai pingar sem problemas, agora quando eu comento essa regra do icmp
> ou
> > coloco block no lugar do pass e do um pfctl -f /etc/pf.conf  no
> > monitoramento do pftop ele "desaparece" mas continua o ping
> > agora se eu depois de comentar a regra eu desabilitar e reabilitar o PF o
> > bloqueio funciona. Pergunta:
> > Existe alguma forma de fazer essa liberaçao e bloqueio sem que seja
> > necessario parar e iniciar o PF? apenas usando o pfctl?
> >
> > Eu imagino o seguinte, estou recebendo um brute-force por exemplo se eu
> > bloquear esse IP que ja tem uma sessao aberta no meu firewall so vou ter
> > resultado se eu desabilitar e habilitar o PF?
> >
> >
> >
> > Segunda duvida.
> > Estava lendo sobre o reply-to, configurei a tabela FIB para eu ter dois
> > gateways OI/BRT e Embratel preciso que tudo que venha por um link volte
> > pelo mesmo link ai que entra a duvida. Faço isso na regra de entrada da
> > interface com o reply-to ou existe outra forma?
> >
> > #Link OI/BRT
> > pass in log on $ext_if1 reply-to ($ext_if1 ($ext_if1)) inet proto tcp \
> > from any to any port { ssh } \
> > (max-src-conn 10, max-src-conn-rate 5/3, \
> > overload  flush global)
> >
> > #Link Embratel
> > pass in log on $ext_if2 reply-to ($ext_if2 ($ext_if2)) inet proto tcp \
> > from any to any port { ssh } \
> > (max-src-conn 10, max-src-conn-rate 5/3, \
> > overload  flush global)
> >
> >
> > Diogo Dalfovo
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> --
> Luiz Gustavo Costa (Powered by BSD)
> *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
> mundoUnix - Consultoria em Software Livre
> http://www.mundounix.com.br
> ICQ: 2890831 / MSN: cont...@mundounix.com.br
> Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
> Blog: http://www.luizgustavo.pro.br
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas com PF

[vic]

On Wed, 07 Dec 2011 15:47:26 -0200, Luiz Gustavo wrote:
> Buenas,
>
> A primeira dúvida tá parecendo tabela de estado.
>
> talvez se você tentar limpar a tabela com o comando:
>
> pfctl -Fs
>
> Em relação a segunda dúvida, para o uso de reply-to/route-to você não
> precisa usar a tabela FIB, o próprio pf faz o roteamento.
>
> no caso ai, eu não sei se já tem ou não nas suas regras, mas você
> precisa especificar a saida dos links, tipo:
>
> pass out quick on $if_link1 route-to ($if_link1 $gw_link1) from any 
> to
> $if_link2
> pass out quick on $if_link2 route-to ($if_link2 $gw_link2) from any 
> to
> $if_link1
>
> *** Eu fiz de cabeça, não sei se é exatamente assim, mas é mais para
> entendimento (to sem tempo aqui pra pegar cola).
>
> abços
>
> Em Qua, 2011-12-07 às 15:31 -0200, Diogo Dalfovo escreveu:
>> Boa Tarde Pessoal!!
>>
>>
>> Estou refazendo o meu PF e surgiram algumas duvidas em relação ao 
>> bloqueio
>> e liberação, vamos la:
>>
>> tenho como padrao bloquear tudo que entra:
>> #set block-policy drop
>> set block-policy return
>>
>> #bloqueia tudo por padrao
>> block in log all
>>
>> e depois eu libero o icmp por exemplo
>> #teste
>> pass in log quick on $int_if proto icmp from $lan_net to 
>> $ip_firewall
>>
>> ele vai pingar sem problemas, agora quando eu comento essa regra do 
>> icmp ou
>> coloco block no lugar do pass e do um pfctl -f /etc/pf.conf  no
>> monitoramento do pftop ele "desaparece" mas continua o ping
>> agora se eu depois de comentar a regra eu desabilitar e reabilitar o 
>> PF o
>> bloqueio funciona. Pergunta:
>> Existe alguma forma de fazer essa liberaçao e bloqueio sem que seja
>> necessario parar e iniciar o PF? apenas usando o pfctl?
>>
>> Eu imagino o seguinte, estou recebendo um brute-force por exemplo se 
>> eu
>> bloquear esse IP que ja tem uma sessao aberta no meu firewall so vou 
>> ter
>> resultado se eu desabilitar e habilitar o PF?
>>
>>
>>
>> Segunda duvida.
>> Estava lendo sobre o reply-to, configurei a tabela FIB para eu ter 
>> dois
>> gateways OI/BRT e Embratel preciso que tudo que venha por um link 
>> volte
>> pelo mesmo link ai que entra a duvida. Faço isso na regra de entrada 
>> da
>> interface com o reply-to ou existe outra forma?
>>
>> #Link OI/BRT
>> pass in log on $ext_if1 reply-to ($ext_if1 ($ext_if1)) inet proto 
>> tcp \
>> from any to any port { ssh } \
>> (max-src-conn 10, max-src-conn-rate 5/3, \
>> overload  flush global)
>>
>> #Link Embratel
>> pass in log on $ext_if2 reply-to ($ext_if2 ($ext_if2)) inet proto 
>> tcp \
>> from any to any port { ssh } \
>> (max-src-conn 10, max-src-conn-rate 5/3, \
>> overload  flush global)
>>
>>
>> Diogo Dalfovo
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Para bloquear sem precisar reinciar o pf, você pode usar table:

# touch /var/db/pf/icmp_liberados

pf.conf:

table  persist file "/var/db/pf/icmp_liberados"

pass in log quick on $int_if proto icmp from  to 
$ip_firewall

Então você pode adicionar os endereços IP/faixas em 
/var/db/pf/icmp_liberados (1 por linha) ou via pfctl -t icmp_liberados 
-T add IP.

Veja mais em man pf.conf(5)

att.

-- 
vic
http://choppnerd.com
http://donttrack.us   |   http://dontbubble.us
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas com PF

[Luiz Gustavo]

Buenas,

A primeira dúvida tá parecendo tabela de estado.

talvez se você tentar limpar a tabela com o comando:

pfctl -Fs

Em relação a segunda dúvida, para o uso de reply-to/route-to você não
precisa usar a tabela FIB, o próprio pf faz o roteamento.

no caso ai, eu não sei se já tem ou não nas suas regras, mas você
precisa especificar a saida dos links, tipo:

pass out quick on $if_link1 route-to ($if_link1 $gw_link1) from any to
$if_link2
pass out quick on $if_link2 route-to ($if_link2 $gw_link2) from any to
$if_link1

*** Eu fiz de cabeça, não sei se é exatamente assim, mas é mais para
entendimento (to sem tempo aqui pra pegar cola).

abços

Em Qua, 2011-12-07 às 15:31 -0200, Diogo Dalfovo escreveu:
> Boa Tarde Pessoal!!
> 
> 
> Estou refazendo o meu PF e surgiram algumas duvidas em relação ao bloqueio
> e liberação, vamos la:
> 
> tenho como padrao bloquear tudo que entra:
> #set block-policy drop
> set block-policy return
> 
> #bloqueia tudo por padrao
> block in log all
> 
> e depois eu libero o icmp por exemplo
> #teste
> pass in log quick on $int_if proto icmp from $lan_net to $ip_firewall
> 
> ele vai pingar sem problemas, agora quando eu comento essa regra do icmp ou
> coloco block no lugar do pass e do um pfctl -f /etc/pf.conf  no
> monitoramento do pftop ele "desaparece" mas continua o ping
> agora se eu depois de comentar a regra eu desabilitar e reabilitar o PF o
> bloqueio funciona. Pergunta:
> Existe alguma forma de fazer essa liberaçao e bloqueio sem que seja
> necessario parar e iniciar o PF? apenas usando o pfctl?
> 
> Eu imagino o seguinte, estou recebendo um brute-force por exemplo se eu
> bloquear esse IP que ja tem uma sessao aberta no meu firewall so vou ter
> resultado se eu desabilitar e habilitar o PF?
> 
> 
> 
> Segunda duvida.
> Estava lendo sobre o reply-to, configurei a tabela FIB para eu ter dois
> gateways OI/BRT e Embratel preciso que tudo que venha por um link volte
> pelo mesmo link ai que entra a duvida. Faço isso na regra de entrada da
> interface com o reply-to ou existe outra forma?
> 
> #Link OI/BRT
> pass in log on $ext_if1 reply-to ($ext_if1 ($ext_if1)) inet proto tcp \
> from any to any port { ssh } \
> (max-src-conn 10, max-src-conn-rate 5/3, \
> overload  flush global)
> 
> #Link Embratel
> pass in log on $ext_if2 reply-to ($ext_if2 ($ext_if2)) inet proto tcp \
> from any to any port { ssh } \
> (max-src-conn 10, max-src-conn-rate 5/3, \
> overload  flush global)
> 
> 
> Diogo Dalfovo
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-- 
Luiz Gustavo Costa (Powered by BSD)
*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
mundoUnix - Consultoria em Software Livre
http://www.mundounix.com.br
ICQ: 2890831 / MSN: cont...@mundounix.com.br
Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
Blog: http://www.luizgustavo.pro.br

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Duvidas com PF

[Diogo Dalfovo]

Boa Tarde Pessoal!!


Estou refazendo o meu PF e surgiram algumas duvidas em relação ao bloqueio
e liberação, vamos la:

tenho como padrao bloquear tudo que entra:
#set block-policy drop
set block-policy return

#bloqueia tudo por padrao
block in log all

e depois eu libero o icmp por exemplo
#teste
pass in log quick on $int_if proto icmp from $lan_net to $ip_firewall

ele vai pingar sem problemas, agora quando eu comento essa regra do icmp ou
coloco block no lugar do pass e do um pfctl -f /etc/pf.conf  no
monitoramento do pftop ele "desaparece" mas continua o ping
agora se eu depois de comentar a regra eu desabilitar e reabilitar o PF o
bloqueio funciona. Pergunta:
Existe alguma forma de fazer essa liberaçao e bloqueio sem que seja
necessario parar e iniciar o PF? apenas usando o pfctl?

Eu imagino o seguinte, estou recebendo um brute-force por exemplo se eu
bloquear esse IP que ja tem uma sessao aberta no meu firewall so vou ter
resultado se eu desabilitar e habilitar o PF?



Segunda duvida.
Estava lendo sobre o reply-to, configurei a tabela FIB para eu ter dois
gateways OI/BRT e Embratel preciso que tudo que venha por um link volte
pelo mesmo link ai que entra a duvida. Faço isso na regra de entrada da
interface com o reply-to ou existe outra forma?

#Link OI/BRT
pass in log on $ext_if1 reply-to ($ext_if1 ($ext_if1)) inet proto tcp \
from any to any port { ssh } \
(max-src-conn 10, max-src-conn-rate 5/3, \
overload  flush global)

#Link Embratel
pass in log on $ext_if2 reply-to ($ext_if2 ($ext_if2)) inet proto tcp \
from any to any port { ssh } \
(max-src-conn 10, max-src-conn-rate 5/3, \
overload  flush global)


Diogo Dalfovo
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas quanto ao kernel, device.hints e loader.conf

[Luiz Otavio O Souza]

On Apr 3, 2011, at 10:10 PM, ricardomos...@yahoo.com.br wrote:
> Boa noite pessoal,
> 
> Estou com uma duvida quanto ao processo de descoberta de hardware no momento 
> em que o kernel eh carregado para a memoria.
> Duvidas:
> 1) Digamos que o kernel que esta sendo carregado para a memoria eh o GENERIC. 
> Ele vai iniciar a descoberta de dispositivos (device.probing). Caso o meu 
> kernel generico nao esteja possua suporte para uma determinada placa de rede, 
> ele simplesmente nao vai mostrar a placa ou mesmo nao suportando a placa ele 
> mostraria a placa (na saida do comando dmesg) embora nao ligaria nenhum 
> device pra mesma assim como tambem nao carregaria o mudulo de controle pra 
> mesma?
> Queria saber se a palavra nao suportar significa que ele nem mesmo mostra o 
> dispositivo na saida do dmesg ou ao menos mostra mas nao carrega o seu drive 
> (jah que ele nao suporta).
> 
> 2) Sei que posso passar valores de variaveis (device.hints) com o comando 
> set.Sei tambem que posso devinir esses valores no "/boot/device.hints".Mas me 
> perco quando falam que o "/boot/loader.conf" pode ser usado para definir 
> variaveis.
> Qual seria entao a grande diferenca entre os dois jah que eu posso definir 
> variaveis nos dois arquivos?


1) Depende de onde sua placa esta conectada. Existem vários tipos de bus para 
conexão de dispositivos, sendo que alguns fazem a auto numeração dos 
dispositivos no bus (PCI, PCIe, USB, ISA com PnP) enquanto em outros casos isso 
não é possível (geralmente dispositivos embarcados).

Nesses casos (de bus auto numerado) você consegue listar os dispositivos no bus 
independente do kernel ter ou não um driver para o dispositivo (pciconf -lv, 
usbconfig [dump_device_desc|dump_info|show_ifdrv]).

Quando um dispositivo esta em um bus sem auto numeração, a única forma do 
kernel saber que o dispositivo esta lá, no bus X, na irq Y e utilizando MMIO no 
endereço Z é através do arquivo de hints (ou mais recentemente através de FDT - 
somente disponível na plataforma ARM).

2) O arquivo de hints esta ligado ao kernel somente (como o próprio nome diz: 
device.hints) e não pode ser utilizado para setar o valor de 'sysctls'.

A confusão vem do uso do bootloader do FreeBSD (/boot/loader), que fornece a 
interface para que você configure tanto device hints quanto variáveis de 
sistema (sysctls e parametros/argumentos para o kernel).

Toda configuração feita em /boot/loader.conf é carregada pelo bootloader no 
momento do boot, que 'prepara o terreno'  e carrega o kernel na memória (também 
é possível aproveitar e carregar módulos do kernel através do loader).

Então o correto é fazer as configurações no /boot/loader.conf (e deixar o 
device.hints apenas para configuração de dispositivos que realmente não 
funcionam de outra forma).

Att.,
Luiz


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas quanto ao kernel, device.hints e loader.conf

[ricardomoscou]

Airton,Voce disse que o kernel vai mostrar somente o que ele reconheceu durante 
o boot.A minha duvida eh exatamente essa.O kernel so vai mostrar o que ele 
reconheceu e "pode controlar" (ou seja, tem driver para controlar o 
dispositivo) ou o kernel vai mostrar o que ele reconheceu e pode controlar como 
"tambem" o que ele nao pode controlar?
Ou seja, o barramento eh lido e tudo que esta plugado vai ser mostrado 
independente do kernel poder controlar ou nao.

Qual dessas afirmacoes eh valida?
obrigado
--- Em seg, 4/4/11, Airton Arantes  escreveu:

De: Airton Arantes 
Assunto: Re: [FUG-BR] Duvidas quanto ao kernel, device.hints e loader.conf
Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Data: Segunda-feira, 4 de Abril de 2011, 2:34

2011/4/3 

> Boa noite pessoal,
>
> Estou com uma duvida quanto ao processo de descoberta de hardware no
> momento em que o kernel eh carregado para a memoria.
> Duvidas:
> 1) Digamos que o kernel que esta sendo carregado para a memoria eh o
> GENERIC. Ele vai iniciar a descoberta de dispositivos (device.probing). Caso
> o meu kernel generico nao esteja possua suporte para uma determinada placa
> de rede, ele simplesmente nao vai mostrar a placa ou mesmo nao suportando a
> placa ele mostraria a placa (na saida do comando dmesg) embora nao ligaria
> nenhum device pra mesma assim como tambem nao carregaria o mudulo de
> controle pra mesma?
> Queria saber se a palavra nao suportar significa que ele nem mesmo mostra o
> dispositivo na saida do dmesg ou ao menos mostra mas nao carrega o seu drive
> (jah que ele nao suporta).


> 2) Sei que posso passar valores de variaveis (device.hints) com o comando
> set.Sei tambem que posso devinir esses valores no "/boot/device.hints".Mas
> me perco quando falam que o "/boot/loader.conf" pode ser usado para definir
> variaveis.
> Qual seria entao a grande diferenca entre os dois jah que eu posso definir
> variaveis nos dois arquivos?
>
>
> obrigado.
> RicardoMoscou
>
>
>
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

1) O dmesg só vai mostrar o que o kernel reconheceu durante o processo de
boot.

2) Achei interessante essa dúvida, gostaria que alguém pudesse dizer mais
detalhes sobre isso. Pelo que pude ver, você pode "setar" as suas
configurações em ambos os arquivos, mas caso queira manter essas
configurações depois de alguma atualização do FBSD, o /boot/loader.conf é o
mais indicado, já o /boot/device.hints pode sofrer modificações durante
alguma atualização e você vai perder as suas configurações.


-- 
Airton Arantes Coelho Filho
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



  
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas quanto ao kernel, device.hints e loader.conf

[Airton Arantes]

2011/4/3 

> Boa noite pessoal,
>
> Estou com uma duvida quanto ao processo de descoberta de hardware no
> momento em que o kernel eh carregado para a memoria.
> Duvidas:
> 1) Digamos que o kernel que esta sendo carregado para a memoria eh o
> GENERIC. Ele vai iniciar a descoberta de dispositivos (device.probing). Caso
> o meu kernel generico nao esteja possua suporte para uma determinada placa
> de rede, ele simplesmente nao vai mostrar a placa ou mesmo nao suportando a
> placa ele mostraria a placa (na saida do comando dmesg) embora nao ligaria
> nenhum device pra mesma assim como tambem nao carregaria o mudulo de
> controle pra mesma?
> Queria saber se a palavra nao suportar significa que ele nem mesmo mostra o
> dispositivo na saida do dmesg ou ao menos mostra mas nao carrega o seu drive
> (jah que ele nao suporta).


> 2) Sei que posso passar valores de variaveis (device.hints) com o comando
> set.Sei tambem que posso devinir esses valores no "/boot/device.hints".Mas
> me perco quando falam que o "/boot/loader.conf" pode ser usado para definir
> variaveis.
> Qual seria entao a grande diferenca entre os dois jah que eu posso definir
> variaveis nos dois arquivos?
>
>
> obrigado.
> RicardoMoscou
>
>
>
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

1) O dmesg só vai mostrar o que o kernel reconheceu durante o processo de
boot.

2) Achei interessante essa dúvida, gostaria que alguém pudesse dizer mais
detalhes sobre isso. Pelo que pude ver, você pode "setar" as suas
configurações em ambos os arquivos, mas caso queira manter essas
configurações depois de alguma atualização do FBSD, o /boot/loader.conf é o
mais indicado, já o /boot/device.hints pode sofrer modificações durante
alguma atualização e você vai perder as suas configurações.


-- 
Airton Arantes Coelho Filho
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Duvidas quanto ao kernel, device.hints e loader.conf

[ricardomoscou]

Boa noite pessoal,

Estou com uma duvida quanto ao processo de descoberta de hardware no momento em 
que o kernel eh carregado para a memoria.
Duvidas:
1) Digamos que o kernel que esta sendo carregado para a memoria eh o GENERIC. 
Ele vai iniciar a descoberta de dispositivos (device.probing). Caso o meu 
kernel generico nao esteja possua suporte para uma determinada placa de rede, 
ele simplesmente nao vai mostrar a placa ou mesmo nao suportando a placa ele 
mostraria a placa (na saida do comando dmesg) embora nao ligaria nenhum device 
pra mesma assim como tambem nao carregaria o mudulo de controle pra mesma?
Queria saber se a palavra nao suportar significa que ele nem mesmo mostra o 
dispositivo na saida do dmesg ou ao menos mostra mas nao carrega o seu drive 
(jah que ele nao suporta).

2) Sei que posso passar valores de variaveis (device.hints) com o comando 
set.Sei tambem que posso devinir esses valores no "/boot/device.hints".Mas me 
perco quando falam que o "/boot/loader.conf" pode ser usado para definir 
variaveis.
Qual seria entao a grande diferenca entre os dois jah que eu posso definir 
variaveis nos dois arquivos?


obrigado.
RicardoMoscou



  
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas com FIB

[Rogério Moura]

Cara, acho que não rola, porque como é mapeamento de 1:1, pode ser que o PF
se perca no momento da tradução, não sabendo qual IP real usar... mas não
custa fazer um teste...
até mais.


Em 22 de outubro de 2010 14:11, Diogo Dalfovo escreveu:

> Boa Tarde pessoal...
>
> Valeu Rogerio obrigado pelas informaçoes. Outra pergunta posso ter
> 2 binat pra um mesmo servidor?
> um binat da BRT e outro binat da Embratel?
>
> Diogo Dalfovo
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas com FIB

[Diogo Dalfovo]

Boa Tarde pessoal...

Valeu Rogerio obrigado pelas informaçoes. Outra pergunta posso ter
2 binat pra um mesmo servidor?
um binat da BRT e outro binat da Embratel?

Diogo Dalfovo
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas com FIB

[Rogério Moura]

Diogo,
Se você vai usar PF, não precisa de FIB, basta usar route-to para o tráfego
que sai da usa rede e reply-to para o tráfego que entra, dai você seleciona
qual operadora quer que determinado serviço ou faixa IP vai usar

A máquina não precisa ter rota padrão, e em relação ao squid acho que com
tcp_outgoing_address

Se os links são de mesma velocidade o PF vai suar o roud-robin

Usa também ifstated, é um excelente daemon que monitorar seus links e
executar ações determinadas por você, segue um link bacana do cara:
https://calomel.org/ifstated.html

Falou

Em 21 de outubro de 2010 15:04, Diogo Dalfovo escreveu:

> Valeu Alessandro pela dica... vou adaptar pra o PF...
> Vou dar mais uma fuçada e qualquer coisa eu posto ae pra voces...
>
> Diogo Dalfovo
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas com FIB

[Diogo Dalfovo]

Valeu Alessandro pela dica... vou adaptar pra o PF...
Vou dar mais uma fuçada e qualquer coisa eu posto ae pra voces...

Diogo Dalfovo
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas com FIB

[Alessandro de Souza Rocha]

olha se resolve este link
http://kimattree.blogspot.com/2009/05/setting-up-multi-gateway-freebsd.html

Em 21 de outubro de 2010 10:04, Diogo Dalfovo  escreveu:
> Bom dia pessoal!!!
>
> Desculpem se as duvidas forem basicas mas não achei o que eu precisava...
> Tenho 2 links BRT/OI e Embratel ate aqui tudo bem. Vou fazer o
> balanceamento com PF as regras ainda nao testei mas acredito que
> estejam ok.
>
> Pelo que eu entendi nao vou precisar mais do defaultrouter do rc.conf
> certo? so preciso adicionar as duas rotas pelo setfib dentro do
> rc.local?
>
> #setfib 0 route add default 200.x.x.x
> #setfib 1 route add default 201.x.x.x
>
> ate aqui tudo certo? a partir daqui que começam as duvidas com PF e FIB:
> Neste mesmo servidor tenho proxy (duas instancias uma autenticada e
> outra transparente) vou precisar apontar por qual rota o squid vai
> sair?
> setfib 1 squid -D por exemplo ou so usando o tcp_outgoing_address ja
> vai funcionar? poise nao vou ter mais uma rota "padrao" ou ele vai
> usar a 0 como
> se fosse a "principal"?
>
> tb tenho um binat isso nao vai se alterar certo? e pra definir que a
> porta 443 saia somente por um link isso esta correto?:
> pass in quick on $int_if route-to { ($ext_if2 $ip_gw_emb) }
> round-robin proto tcp from $lan_net to any port 443 flags S/SA
> modulate state ou no lugar do round-robin altero para o
> sticky-address?
>
> E a ultima duvida é a seguinte:
> quando faço as regras no PF ele pede o GW da rede blz coloco o ip do
> meu roteador. caso o roteador1 por exemplo caia a conexao , ele ta
> funcionando, pingo ele tudo porem dele
> pra frente nao trafega nada como o PF vai tratar isso? vou precisar
> montar um script para que mude de rota? ele vai entender e vai começar
> a mandar pra outra rota? ou vou
> precisar montar um script pra isso?
>
> Acho q é isso hehe
>
> Diogo Dalfovo
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
FreeBSD-BR User #117
             Long live FreeBSD

                     Powered by 

                                          (__)
                                       \\\'',)
                                         \/  \ ^
                                         .\._/_)

                                     www.FreeBSD.org
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Duvidas com FIB

[Diogo Dalfovo]

Bom dia pessoal!!!

Desculpem se as duvidas forem basicas mas não achei o que eu precisava...
Tenho 2 links BRT/OI e Embratel ate aqui tudo bem. Vou fazer o
balanceamento com PF as regras ainda nao testei mas acredito que
estejam ok.

Pelo que eu entendi nao vou precisar mais do defaultrouter do rc.conf
certo? so preciso adicionar as duas rotas pelo setfib dentro do
rc.local?

#setfib 0 route add default 200.x.x.x
#setfib 1 route add default 201.x.x.x

ate aqui tudo certo? a partir daqui que começam as duvidas com PF e FIB:
Neste mesmo servidor tenho proxy (duas instancias uma autenticada e
outra transparente) vou precisar apontar por qual rota o squid vai
sair?
setfib 1 squid -D por exemplo ou so usando o tcp_outgoing_address ja
vai funcionar? poise nao vou ter mais uma rota "padrao" ou ele vai
usar a 0 como
se fosse a "principal"?

tb tenho um binat isso nao vai se alterar certo? e pra definir que a
porta 443 saia somente por um link isso esta correto?:
pass in quick on $int_if route-to { ($ext_if2 $ip_gw_emb) }
round-robin proto tcp from $lan_net to any port 443 flags S/SA
modulate state ou no lugar do round-robin altero para o
sticky-address?

E a ultima duvida é a seguinte:
quando faço as regras no PF ele pede o GW da rede blz coloco o ip do
meu roteador. caso o roteador1 por exemplo caia a conexao , ele ta
funcionando, pingo ele tudo porem dele
pra frente nao trafega nada como o PF vai tratar isso? vou precisar
montar um script para que mude de rota? ele vai entender e vai começar
a mandar pra outra rota? ou vou
precisar montar um script pra isso?

Acho q é isso hehe

Diogo Dalfovo
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas Updates Jail

[Rodrigo Mosconi]

Em 20 de julho de 2010 09:04, Diogo Dalfovo  escreveu:
> Bom dia pessoal!!!
>
> Hoje tirei um tempinho pra tirar a poeira das jails e me deparei com o
> seguinte problema:
>
> Na maquina host eu corrigi todos os patchs de segurança (freebsd-update
> fetch/install)  ate ae tudo bem. Porem quando eu criei as jails, estas nao
> tem esses patchs logo estao vulneraveis correto? Como faço para corrigir
> isso? Por desencargo executei (freebsd-update fetch/install) mas como era de
> se esperar ele diz q so tem permissao de somente leitura [1]
>
Nas jails desatualizadas só estão vulneráveis às falhas da userland
(falha no bind, por exemplo)
É recomendável atualizar pelo host, por exemplo:

freebsd-update -b /caminho/ṕara/jail install
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas Updates Jail

[Diogo Dalfovo]

Francisco...

Cara muito obrigado... eu construi a jail usando o ezjail ... vou fazer os
testes ali mas acho q é isso mesmo...

Qualquer coisa volto a abrir o topico

Obrigado.

Diogo Dalfovo


Em 21 de julho de 2010 09:37, Francisco Cardoso escreveu:

> Em 20 de julho de 2010 09:04, Diogo Dalfovo 
> escreveu:
>
> > Bom dia pessoal!!!
> >
> > Hoje tirei um tempinho pra tirar a poeira das jails e me deparei com o
> > seguinte problema:
> >
> > Na maquina host eu corrigi todos os patchs de segurança (freebsd-update
> > fetch/install)  ate ae tudo bem. Porem quando eu criei as jails, estas
> nao
> > tem esses patchs logo estao vulneraveis correto? Como faço para corrigir
> > isso? Por desencargo executei (freebsd-update fetch/install) mas como era
> > de
> > se esperar ele diz q so tem permissao de somente leitura [1]
> >
> >
> >
> > [1]
> > [r...@webserver ~]# freebsd-update install
> > Installing updates...mkdir: /boot/kernel.old: Read-only file system
> > touch: /boot/kernel.old/.freebsd-update: No such file or directory
> > Could not create kernel backup directory
> >
> > Diogo Dalfovo
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> Diogo,
>
> Acredito que a resposta a sua pergunta não é nada simples. Explico porque:
> o
> "erro" que você mostrou no e-mail é normal, vamos pensar bem. Jail é
> virtualização a nível de sistema operacional [1], ou seja, o sistema tem um
> único kernel rodando e os múltiplos sistemas virtuais são instâncias
> isoladas da userland, então o correto mesmo é que dê o erro que você
> atualizou.
>
> Agora, para fazer o update da jail vai depender de como você construiu ela.
> Por exemplo:
>
> Se você construiu a jail usando o método proposto no FreeBSD Handbook, lá
> no
> artigo tem como fazer o upgrade (item 15.6.4.1) [2]
>
> Se você usou o ezjail, a ferramenta tem suporte a upgrade (ezjail-admin
> update ...). Um link para ajudar está em [3].
>
>
> Referências
>
> [1] http://en.wikipedia.org/wiki/Operating_system-level_virtualization
> [2] http://www.freebsd.org/doc/en/books/handbook/jails-application.html
> [3] http://www.cyberciti.biz/faq/howto-setup-freebsd-jail-with-ezjail/
>
> --
> 
> FreeBSD - The Power to Serve
> www.freebsd.org
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas Updates Jail

[Francisco Cardoso]

Em 20 de julho de 2010 09:04, Diogo Dalfovo  escreveu:

> Bom dia pessoal!!!
>
> Hoje tirei um tempinho pra tirar a poeira das jails e me deparei com o
> seguinte problema:
>
> Na maquina host eu corrigi todos os patchs de segurança (freebsd-update
> fetch/install)  ate ae tudo bem. Porem quando eu criei as jails, estas nao
> tem esses patchs logo estao vulneraveis correto? Como faço para corrigir
> isso? Por desencargo executei (freebsd-update fetch/install) mas como era
> de
> se esperar ele diz q so tem permissao de somente leitura [1]
>
>
>
> [1]
> [r...@webserver ~]# freebsd-update install
> Installing updates...mkdir: /boot/kernel.old: Read-only file system
> touch: /boot/kernel.old/.freebsd-update: No such file or directory
> Could not create kernel backup directory
>
> Diogo Dalfovo
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Diogo,

Acredito que a resposta a sua pergunta não é nada simples. Explico porque: o
"erro" que você mostrou no e-mail é normal, vamos pensar bem. Jail é
virtualização a nível de sistema operacional [1], ou seja, o sistema tem um
único kernel rodando e os múltiplos sistemas virtuais são instâncias
isoladas da userland, então o correto mesmo é que dê o erro que você
atualizou.

Agora, para fazer o update da jail vai depender de como você construiu ela.
Por exemplo:

Se você construiu a jail usando o método proposto no FreeBSD Handbook, lá no
artigo tem como fazer o upgrade (item 15.6.4.1) [2]

Se você usou o ezjail, a ferramenta tem suporte a upgrade (ezjail-admin
update ...). Um link para ajudar está em [3].


Referências

[1] http://en.wikipedia.org/wiki/Operating_system-level_virtualization
[2] http://www.freebsd.org/doc/en/books/handbook/jails-application.html
[3] http://www.cyberciti.biz/faq/howto-setup-freebsd-jail-with-ezjail/

-- 

FreeBSD - The Power to Serve
www.freebsd.org
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Duvidas Updates Jail

[Diogo Dalfovo]

Bom dia pessoal!!!

Hoje tirei um tempinho pra tirar a poeira das jails e me deparei com o
seguinte problema:

Na maquina host eu corrigi todos os patchs de segurança (freebsd-update
fetch/install)  ate ae tudo bem. Porem quando eu criei as jails, estas nao
tem esses patchs logo estao vulneraveis correto? Como faço para corrigir
isso? Por desencargo executei (freebsd-update fetch/install) mas como era de
se esperar ele diz q so tem permissao de somente leitura [1]



[1]
[r...@webserver ~]# freebsd-update install
Installing updates...mkdir: /boot/kernel.old: Read-only file system
touch: /boot/kernel.old/.freebsd-update: No such file or directory
Could not create kernel backup directory

Diogo Dalfovo
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Duvidas IPFW e Melhores Práticas

[Bruno Torres Viana]

Senhores,

Nunca trabalhei com o IPFW e estou buscando alguns materiais na NET, todavia
queria compartilhar com quem tem "intimidade" com este firewall as melhores
práticas e como funcionam na integra para 1 LAN e duas WANS.  Segue como
está ficando aqui minha regra, caso alguém queira compartilhar:

Lembrando, ainda não está em produção

#
#
FIREWALL#
#
ipfw -q -f flush   # Delete all rules

#
# VARIAVEIS DE
AMBIENTE
#
#
wan_gvt="re2"   # out interface
wan_ebt="re0"   # out interface
lan_vva="re1"   # in interface
cmd="ipfw -q add "  # build rule prefix
ks="keep-state" # just too lazy to key this each time


#
#

$cmd 00100 allow log ip from any to any via $lan_vva
$cmd 00101 allow log ip from any to any via $wan_gvt
$cmd 00102 allow log ip from any to any via $wan_ebt

#
# VERIFICAÇÃO DE PACOTES NA REDE EXTERNA QUE SERIAM DE CLASSE
FECHADA   #
#
$cmd 00301 deny all from 172.16.0.0/12   to any in via $wan_ebt  #RFC 1918
private IP
$cmd 00302 deny all from 10.0.0.0/8  to any in via $wan_ebt  #RFC 1918
private IP
$cmd 00303 deny all from 127.0.0.0/8 to any in via $wan_ebt  #loopback
$cmd 00304 deny all from 0.0.0.0/8   to any in via $wan_ebt  #loopback
$cmd 00305 deny all from 169.254.0.0/16  to any in via $wan_ebt  #DHCP
auto-config
$cmd 00306 deny all from 192.0.2.0/24to any in via $wan_ebt  #reserved
for docs
$cmd 00307 deny all from 204.152.64.0/23 to any in via $wan_ebt  #Sun
cluster
$cmd 00308 deny all from 224.0.0.0/3 to any in via $wan_ebt  #Class D &
E multicast

#
# BLOQUEIO DE PING NA PLACA
EXTERNA #
#
$cmd 01000 deny icmp from any to $wan_ebt in via $wan_ebt icmptypes 8
$cmd 01010 check-state
$cmd 01020 allow icmp from $wan_ebt to any out via $wan_ebt icmptypes 8 $ks
$cmd 01030 deny icmp from any to any

-- 
---
Bruno Torres Viana



Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante
por opção!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas com forwarding de saida com PF

[Welkson Renny de Medeiros]

Jorge Petry escreveu:
> Olá pessoal.
>
> Minha dúvida é a seguinte: como fazer forward no PF como faço no ipfw 
> como descrito:
>
> ipfw add fwd 192.168.2.253 ip from $red_int to www.dominio.com.br 22
>
> ipfw add fwd 192.168.2.253 ip from $red_int to www.dominio2.com.br 3389
>
> ipfw add fwd 192.168.2.253 ip from $red_int to www.dominio3.com.br
>
>
> Tentei isso no pf mas não funcionou:
>
> rdr pass on $int_if inet proto tcp from $red_int to any port 22 -> $server
>
> rdr pass on $int_if inet proto tcp from $red_int to www.dominio.com.br 
> port 3389 -> $server
>
>
>
> Tenho um gateway de rede padrão com adsl e quero redirecionar essas 
> conexões para sair pelo link corporativo com ips fixos.
>
> Fico no aguardo.
>
> Obrigado.
>
> Jorge Petry.
>   

Se eu entendi certo, seu problema será resolvido usando route-to do pf.

-- 
Welkson Renny de Medeiros
Desenvolvimento / Gerência de Redes
Focus Automação Comercial
FreeBSD Community Member

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Duvidas com forwarding de saida com PF

[Jorge Petry]

Olá pessoal.

Minha dúvida é a seguinte: como fazer forward no PF como faço no ipfw 
como descrito:

ipfw add fwd 192.168.2.253 ip from $red_int to www.dominio.com.br 22

ipfw add fwd 192.168.2.253 ip from $red_int to www.dominio2.com.br 3389

ipfw add fwd 192.168.2.253 ip from $red_int to www.dominio3.com.br


Tentei isso no pf mas não funcionou:

rdr pass on $int_if inet proto tcp from $red_int to any port 22 -> $server

rdr pass on $int_if inet proto tcp from $red_int to www.dominio.com.br 
port 3389 -> $server



Tenho um gateway de rede padrão com adsl e quero redirecionar essas 
conexões para sair pelo link corporativo com ips fixos.

Fico no aguardo.

Obrigado.

Jorge Petry.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas sobre pppoed e mdp

[renato martins]

Muito obrigado pela sua explanação é que não tenho experiencia com pppoe só
fiz alguns teste na bancada mas tem gente que asusta agente falando um monte
de coisas sobre o pppoe que é bom que é ruim e para dar um tiro no escuro é
dificil

Estou pensando em fazer o seguinte montar em dois sites um com pppoe e outro
com um captive portal que estou escrevendo em php para ver qual a melhor
solução para meu caso
depois colocar tudo isso em uma mini distro do freebsd para rodar em flash

Muitos falam tb do pfsense mas eu não tive muita sorte com ele sempre que
pego uma maquina para teste ele não rodar por algum motivo seila oq mas sei
que muitos usam e gostam.

Eu venho trabalando em uma mini distro já faz algum tempo usei como base o
tinybsd e o próprio pfsense e  monowall mas hoje ja tenho algumas técnicas
para reduzir o freebsd e fircar bem perfeito só me falta mesmo acertar com o
pppoe ou alguma outra solução para facilitar a conexão

Luis voce poderia me explicar como eu faria para prender o mac no radius e o
controle de banda, já vi muitos falando disso mas numca achei nada falando
sobre isso, eu fiz dois script aqui que quando sobre o tunnel pppoe ele
executa o up.sh e crias as regras do ipfw o e down.sh para remover as
regras. seria algo parecido com isso ?

muito obrigado !!!







2009/5/2 Luiz Otavio O Souza 

> > Muito se fala de pppoe Server mas não achei informações concretas, temos
> > vários emails no histórico da lista mas nada que me esclarece algumas
> > duvidas, no google não achei muita coisa.
> >
> > Gostaria de saber do pessoal que usa o pppoe Server ou md5 os prós e
> > contras
> >
> > O pppoed nativo do freebsd está rodando legal na versão 6.x e 7.x  (pois
> > antes sei que tinha problemas com rotas e outras coisas na versão 7.x)
>
> Sim existiam (ou ainda existem) alguns problemas no ppp(8), mas que não
> afetam tanta gente assim. As correções já foram aceitas (estão no -current)
> mas só devem aparecer no 7-STABLE depois do release 7.2 para evitar
> qualquer
> incompatibilidade com as versões anteriores.
>
> Com os patches aplicados tudo funciona 100%.
>
> > Qual seria o uso da memória por usuário ?
>
> Aprox. 3MB (ou um pouco mais) por usuário.
>
> > O que séria melhor usar os usuários do sistema ou radius+mysql ?
>
> Não existe essa opção de usuários no sistema, existe a opção de utilizar o
> ppp.secret (um arquivo de usuarios e senhas para conexão do ppp) e a opção
> do radius.
>
> Tudo depende da quantidade de usuários que você pretende utilizar, para
> alguns poucos usuários o ppp.secret pode lhe atender e para algumas dezenas
> ou mais de usuários o radius deve ser a sua opção (além de permitir o
> cadastro de usuario+senha+mac-address e outras features por usuário -
> controle de banda por exemplo).
>
> > Para pessoal que usa o mpd5 :
> > Onde acho exemplos, pois já virei a net ?
> > Se tiver exemplos pode me enviar ?
>
> Já olhou a documentação do software ? Infelizmente não tenho nenhum
> exemplo.
>
> Como via de regra, para poucas conexões você pode ir de ppp(8) e para
> algumas centenas ou mais de conexões simultaneas, utilize o mpd.
>
> Eu já vi algumas pessoas com quase mil (isso mesmo 1000) conexões pppoe
> simultaneas com o mpd. Isso é praticamente impossível com o ppp(8) devido
> ao
> alto uso de memória por usuário.
>
> O mpd também é uma implementação ppp no kernel (netgraph) enquanto o ppp(8)
> é implementado no userland (que faz alguma diferença se você for ter muitos
> acessos simultaneos).
>
> > Será que pppoe é a melhor opção para um isp wireless ?
> > Teria outra boa opção ?
>
> Captive portal, 802.1x, certificados, etc... Tudo depende do seu ambiente,
> SO dos clientes e mesmo da sua estrutura wireless.
>
> []'s
> Luiz
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas sobre pppoed e mdp

[Luiz Otavio O Souza]

> Muito se fala de pppoe Server mas não achei informações concretas, temos
> vários emails no histórico da lista mas nada que me esclarece algumas
> duvidas, no google não achei muita coisa.
>
> Gostaria de saber do pessoal que usa o pppoe Server ou md5 os prós e 
> contras
>
> O pppoed nativo do freebsd está rodando legal na versão 6.x e 7.x  (pois
> antes sei que tinha problemas com rotas e outras coisas na versão 7.x)

Sim existiam (ou ainda existem) alguns problemas no ppp(8), mas que não 
afetam tanta gente assim. As correções já foram aceitas (estão no -current) 
mas só devem aparecer no 7-STABLE depois do release 7.2 para evitar qualquer 
incompatibilidade com as versões anteriores.

Com os patches aplicados tudo funciona 100%.

> Qual seria o uso da memória por usuário ?

Aprox. 3MB (ou um pouco mais) por usuário.

> O que séria melhor usar os usuários do sistema ou radius+mysql ?

Não existe essa opção de usuários no sistema, existe a opção de utilizar o 
ppp.secret (um arquivo de usuarios e senhas para conexão do ppp) e a opção 
do radius.

Tudo depende da quantidade de usuários que você pretende utilizar, para 
alguns poucos usuários o ppp.secret pode lhe atender e para algumas dezenas 
ou mais de usuários o radius deve ser a sua opção (além de permitir o 
cadastro de usuario+senha+mac-address e outras features por usuário - 
controle de banda por exemplo).

> Para pessoal que usa o mpd5 :
> Onde acho exemplos, pois já virei a net ?
> Se tiver exemplos pode me enviar ?

Já olhou a documentação do software ? Infelizmente não tenho nenhum exemplo.

Como via de regra, para poucas conexões você pode ir de ppp(8) e para 
algumas centenas ou mais de conexões simultaneas, utilize o mpd.

Eu já vi algumas pessoas com quase mil (isso mesmo 1000) conexões pppoe 
simultaneas com o mpd. Isso é praticamente impossível com o ppp(8) devido ao 
alto uso de memória por usuário.

O mpd também é uma implementação ppp no kernel (netgraph) enquanto o ppp(8) 
é implementado no userland (que faz alguma diferença se você for ter muitos 
acessos simultaneos).

> Será que pppoe é a melhor opção para um isp wireless ?
> Teria outra boa opção ?

Captive portal, 802.1x, certificados, etc... Tudo depende do seu ambiente, 
SO dos clientes e mesmo da sua estrutura wireless.

[]'s
Luiz 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Duvidas sobre pppoed e mdp

[renato martins]

Muito se fala de pppoe Server mas não achei informações concretas, temos
vários emails no histórico da lista mas nada que me esclarece algumas
duvidas, no google não achei muita coisa.



Gostaria de saber do pessoal que usa o pppoe Server ou md5 os prós e contras




O pppoed nativo do freebsd está rodando legal na versão 6.x e 7.x  (pois
antes sei que tinha problemas com rotas e outras coisas na versão 7.x)



Qual seria o uso da memória por usuário ?



O que séria melhor usar os usuários do sistema ou radius+mysql ?



Para pessoal que usa o mpd5 :



Onde acho exemplos, pois já virei a net ?



Se tiver exemplos pode me enviar ?



Será que pppoe é a melhor opção para um isp wireless ?



Teria outra boa opção ?



Muito obrigado a todos !!!



E um grande abraço e bom feriado e final de semana.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas do IPFW

[Paulo Henrique]

Quando você faz um requisição em um servidor e começa  a carregar arquivos
provenientes desse servidor, vocês está fazendo download, o trafego fica no
sentido "Origem externa para a rede interna" no caso é "IN" quando você
disponibilisa um arquivo para download, o trafego está no sentido "Origem
interna para a rede externa" no caso "OUT" ficou esclarecido ?

Até mais..
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Duvidas do IPFW

[Sky-Priest]

Senhores venho a me recorrer a lista de novo para duvidas.

Estou a 7 dias lendo e relendo foruns do fug e de outroas sites sobre IPFW +
controle de banda e cada site que leio me confindo mais, veja se conseguem
me tirar a duvida;

Vou fazer controle de banda de download e upload

Estou confuso e ja li o ipfw-how-to da fug mas ai me confundiu ainda mais

em um forum eu achei o seguinte

#/sbin/ipfw 9821 add pipe 9821 all from 192.168.7.2 to any out
#/sbin/ipfw pipe 9821 config bw 256Kbit/s queue 32Kbytes

# Adiciona pipe 9821 para todo o trafego que vira de 192.168.7.2 com destino
para fora ou seja internet ja que 192.168.7.0/24 é minha rede interna se é
todo trafego que vai pra net no meu entender é upload e em seguinda
configura para esta pipe a banda de 256


#/sbin/ipfw 9820 add pipe 9820 all from any to 192.168.7.2 in
#/sbin/ipfw pipe 9820 config bw 128Kbit/s queue 32Kbytes


Bom ja nesta regra acima entendi que todo o trafego de qualquer lugar para
minha estacao 192.168.7.2 in ou seja in para a estacao é que esta vindo da
net para ela entao conlclui que é donwload. e taxa a banda em 128.


Isso que eu entendo no exemplo acima Essa minha analogia é verdadeira ??

O que me confunde e que alguns foruns traz trocado
dezendo que  "all from estacao out" e download e in up load , isso que esta
me confundindo, pois no meu ver estacao out= download  , e internet para
estacao in seria download.


Estou certo???

Sds

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvidas

[[EMAIL PROTECTED]]

0 pipe 1036 ip from any to 192.168.1.44 out via xl0
>>> 01037   0 0 pipe 1037 ip from 192.168.1.45 to any in via xl0
>>> 01038   0 0 pipe 1038 ip from any to 192.168.1.45 out via xl0
>>> 01039   0 0 pipe 1039 ip from 192.168.1.46 to any in via xl0
>>> 01040   0 0 pipe 1040 ip from any to 192.168.1.46 out via xl0
>>> 01041   0 0 pipe 1041 ip from 192.168.1.47 to any in via xl0
>>> 01042   0 0 pipe 1042 ip from any to 192.168.1.47 out via xl0
>>> 01043   0 0 pipe 1043 ip from 192.168.1.48 to any in via xl0
>>> 01044   0 0 pipe 1044 ip from any to 192.168.1.48 out via xl0
>>> 01045   0 0 pipe 1045 ip from 192.168.1.50 to any in via xl0
>>> 01046   0 0 pipe 1046 ip from any to 192.168.1.50 out via xl0
>>> 01047   0 0 pipe 1047 ip from 192.168.1.52 to any in via xl0
>>> 01048   0 0 pipe 1048 ip from any to 192.168.1.52 out via xl0
>>> 01049   0 0 pipe 1049 ip from 192.168.1.53 to any in via xl0
>>> 01050   0 0 pipe 1050 ip from any to 192.168.1.53 out via xl0
>>> 01051   0 0 pipe 1051 ip from 192.168.1.55 to any in via xl0
>>> 01052   0 0 pipe 1052 ip from any to 192.168.1.55 out via xl0-
>>> 01053   0 0 pipe 1053 ip from 192.168.1.56 to any in via xl0
>>> 01054   0 0 pipe 1054 ip from any to 192.168.1.56 out via xl0
>>> 01055   0 0 pipe 1055 ip from 192.168.1.57 to any in via xl0
>>> 01056   0 0 pipe 1056 ip from any to 192.168.1.57 out via xl0
>>> 01059   0 0 pipe 1059 ip from 192.168.1.59 to any in via xl0
>>> 01060   0 0 pipe 1060 ip from any to 192.168.1.59 out via xl0
>>> 01061   0 0 pipe 1061 ip from 192.168.1.60 to any in via xl0
>>> 01062   0 0 pipe 1062 ip from any to 192.168.1.60 out via xl0
>>> 01063   0 0 pipe 1063 ip from 192.168.1.61 to any in via xl0
>>> 01064   0 0 pipe 1064 ip from any to 192.168.1.61 out via xl0
>>> 65000 222 40016 divert 8668 ip from any to any via xl0
>>> 65500   144 deny log logamount 100 ip from any to any { src-ip
>>> 10.0.0.0/8 or dst-ip 10.0.0.0/8 } out via xl0
>>> 65500   0 0 deny log logamount 100 ip from any to any { src-ip
>>> 172.16.0.0/12 or dst-ip 172.16.0.0/12 } out via xl0
>>> 65500   0 0 deny log logamount 100 ip from any to any { src-ip
>>> 192.168.0.0/16 or dst-ip 192.168.0.0/16 } out via xl0
>>> 65535 237 41575 allow ip from any to any
>>>
>>> - Original Message -
>>> From: <[EMAIL PROTECTED]>
>>> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)""
>>> 
>>> Sent: Wednesday, January 23, 2008 12:47 AM
>>> Subject: Re: [FUG-BR] duvidas
>>>
>>>
>>> opa melhorando :)
>>>
>>> Digite ai:
>>> ipfw show
>>> e cole as regras de firewall.
>>>
>>> Alessandro Fortuna escreveu:
>>>
>>>   
>>>> Amigo aqui eu tenho um switch 3Com que nele vao todos os meus cabos de
>>>> rede
>>>> tanto servidores como radios e cisco router, antigamente eu tinha um
>>>> servidor FreeBSD que ´até então antes de apresentar problemas de Hardware
>>>> nunca havia dado nenhum problema na rede, agora acabei de montar um
>>>> servidor
>>>> FreeBSD 6.2, quando coloco eu diretamente na placa de rede interna dele eu
>>>> navego normalmente mas quando eu coloco ele no switch que no caso todos os
>>>> clientes iram começar passar pelo meu servidor que ele faz nat para meus
>>>> clientes, ninguem consegue ping ele inclusive eu.
>>>>
>>>> xl0: flags=8843 mtu 1500
>>>> options=9
>>>> inet 201.91.x.60 netmask 0xff00 broadcast 201.91.x.255
>>>> ether 00:0a:0d:d4:5f:c5
>>>> media: Ethernet autoselect (100baseTX )
>>>> status: active
>>>> rl0: flags=8843 mtu 1500
>>>> options=8
>>>> inet 192.168.1.254 netmask 0xff00 broadcast 192.168.1.255
>>>> ether 00:40:f4:61:66:2e
>>>> media: Ethernet autoselect (100baseTX )
>>>> status: active
>>>> plip0: flags=108810 mtu 1500
>>>> lo0: flags=8049 mtu 16384
>>>> inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
>>>> inet6 ::1 prefixlen 128
>>>> inet 127.0.0.1 netmask 0xff00
>>>>
>>>>
>>>>
>>>> 2008/1/22, [EMAIL PROTECTED] <[EMAIL PROTECTED]>:
>>>>
>

Re: [FUG-BR] duvidas

[Alessandro de Souza Rocha]

gt; > 01041   0 0 pipe 1041 ip from 192.168.1.47 to any in via xl0
> > 01042   0 0 pipe 1042 ip from any to 192.168.1.47 out via xl0
> > 01043   0 0 pipe 1043 ip from 192.168.1.48 to any in via xl0
> > 01044   0 0 pipe 1044 ip from any to 192.168.1.48 out via xl0
> > 01045   0 0 pipe 1045 ip from 192.168.1.50 to any in via xl0
> > 01046   0 0 pipe 1046 ip from any to 192.168.1.50 out via xl0
> > 01047   0 0 pipe 1047 ip from 192.168.1.52 to any in via xl0
> > 01048   0 0 pipe 1048 ip from any to 192.168.1.52 out via xl0
> > 01049   0 0 pipe 1049 ip from 192.168.1.53 to any in via xl0
> > 01050   0 0 pipe 1050 ip from any to 192.168.1.53 out via xl0
> > 01051   0 0 pipe 1051 ip from 192.168.1.55 to any in via xl0
> > 01052   0 0 pipe 1052 ip from any to 192.168.1.55 out via xl0-
> > 01053   0 0 pipe 1053 ip from 192.168.1.56 to any in via xl0
> > 01054   0 0 pipe 1054 ip from any to 192.168.1.56 out via xl0
> > 01055   0 0 pipe 1055 ip from 192.168.1.57 to any in via xl0
> > 01056   0 0 pipe 1056 ip from any to 192.168.1.57 out via xl0
> > 01059   0 0 pipe 1059 ip from 192.168.1.59 to any in via xl0
> > 01060   0 0 pipe 1060 ip from any to 192.168.1.59 out via xl0
> > 01061   0 0 pipe 1061 ip from 192.168.1.60 to any in via xl0
> > 01062   0 0 pipe 1062 ip from any to 192.168.1.60 out via xl0
> > 01063   0 0 pipe 1063 ip from 192.168.1.61 to any in via xl0
> > 01064   0 0 pipe 1064 ip from any to 192.168.1.61 out via xl0
> > 65000 222 40016 divert 8668 ip from any to any via xl0
> > 65500   144 deny log logamount 100 ip from any to any { src-ip
> > 10.0.0.0/8 or dst-ip 10.0.0.0/8 } out via xl0
> > 65500   0 0 deny log logamount 100 ip from any to any { src-ip
> > 172.16.0.0/12 or dst-ip 172.16.0.0/12 } out via xl0
> > 65500   0 0 deny log logamount 100 ip from any to any { src-ip
> > 192.168.0.0/16 or dst-ip 192.168.0.0/16 } out via xl0
> > 65535 237 41575 allow ip from any to any
> >
> > - Original Message -
> > From: <[EMAIL PROTECTED]>
> > To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)""
> > 
> > Sent: Wednesday, January 23, 2008 12:47 AM
> > Subject: Re: [FUG-BR] duvidas
> >
> >
> > opa melhorando :)
> >
> > Digite ai:
> > ipfw show
> > e cole as regras de firewall.
> >
> > Alessandro Fortuna escreveu:
> >
> >> Amigo aqui eu tenho um switch 3Com que nele vao todos os meus cabos de
> >> rede
> >> tanto servidores como radios e cisco router, antigamente eu tinha um
> >> servidor FreeBSD que ´até então antes de apresentar problemas de Hardware
> >> nunca havia dado nenhum problema na rede, agora acabei de montar um
> >> servidor
> >> FreeBSD 6.2, quando coloco eu diretamente na placa de rede interna dele eu
> >> navego normalmente mas quando eu coloco ele no switch que no caso todos os
> >> clientes iram começar passar pelo meu servidor que ele faz nat para meus
> >> clientes, ninguem consegue ping ele inclusive eu.
> >>
> >> xl0: flags=8843 mtu 1500
> >> options=9
> >> inet 201.91.x.60 netmask 0xff00 broadcast 201.91.x.255
> >> ether 00:0a:0d:d4:5f:c5
> >> media: Ethernet autoselect (100baseTX )
> >> status: active
> >> rl0: flags=8843 mtu 1500
> >> options=8
> >> inet 192.168.1.254 netmask 0xff00 broadcast 192.168.1.255
> >> ether 00:40:f4:61:66:2e
> >> media: Ethernet autoselect (100baseTX )
> >> status: active
> >> plip0: flags=108810 mtu 1500
> >> lo0: flags=8049 mtu 16384
> >> inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
> >> inet6 ::1 prefixlen 128
> >> inet 127.0.0.1 netmask 0xff00
> >>
> >>
> >>
> >> 2008/1/22, [EMAIL PROTECTED] <[EMAIL PROTECTED]>:
> >>
> >>
> >>> Seja mais objetivo, mostre os erros por completo... nao tem como
> >>> adivinhar sua duvida...
> >>>
> >>> T+
> >>>
> >>> Alessandro Fortuna escreveu:
> >>>
> >>>
> >>>> Boa noite pessoal, monte um servidor FreeBSD com duas placas de rede uma
> >>>>
> >>>>
> >>> com ip real e outra com ip de rede interna, vem um cabo de rede direto
> >>> que
> >>> liga na placa de IP Real e outra placa de rede liga em um hub  que ficam
> 

Re: [FUG-BR] duvidas

[[EMAIL PROTECTED]]

> 01047   0 0 pipe 1047 ip from 192.168.1.52 to any in via xl0
> 01048   0 0 pipe 1048 ip from any to 192.168.1.52 out via xl0
> 01049   0 0 pipe 1049 ip from 192.168.1.53 to any in via xl0
> 01050   0 0 pipe 1050 ip from any to 192.168.1.53 out via xl0
> 01051   0 0 pipe 1051 ip from 192.168.1.55 to any in via xl0
> 01052   0 0 pipe 1052 ip from any to 192.168.1.55 out via xl0-
> 01053   0 0 pipe 1053 ip from 192.168.1.56 to any in via xl0
> 01054   0 0 pipe 1054 ip from any to 192.168.1.56 out via xl0
> 01055   0 0 pipe 1055 ip from 192.168.1.57 to any in via xl0
> 01056   0 0 pipe 1056 ip from any to 192.168.1.57 out via xl0
> 01059   0 0 pipe 1059 ip from 192.168.1.59 to any in via xl0
> 01060   0 0 pipe 1060 ip from any to 192.168.1.59 out via xl0
> 01061   0 0 pipe 1061 ip from 192.168.1.60 to any in via xl0
> 01062   0 0 pipe 1062 ip from any to 192.168.1.60 out via xl0
> 01063   0 0 pipe 1063 ip from 192.168.1.61 to any in via xl0
> 01064   0 0 pipe 1064 ip from any to 192.168.1.61 out via xl0
> 65000 222 40016 divert 8668 ip from any to any via xl0
> 65500   144 deny log logamount 100 ip from any to any { src-ip 
> 10.0.0.0/8 or dst-ip 10.0.0.0/8 } out via xl0
> 65500   0 0 deny log logamount 100 ip from any to any { src-ip 
> 172.16.0.0/12 or dst-ip 172.16.0.0/12 } out via xl0
> 65500   0 0 deny log logamount 100 ip from any to any { src-ip 
> 192.168.0.0/16 or dst-ip 192.168.0.0/16 } out via xl0
> 65535 237 41575 allow ip from any to any
>
> - Original Message - 
> From: <[EMAIL PROTECTED]>
> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" 
> 
> Sent: Wednesday, January 23, 2008 12:47 AM
> Subject: Re: [FUG-BR] duvidas
>
>
> opa melhorando :)
>
> Digite ai:
> ipfw show
> e cole as regras de firewall.
>
> Alessandro Fortuna escreveu:
>   
>> Amigo aqui eu tenho um switch 3Com que nele vao todos os meus cabos de 
>> rede
>> tanto servidores como radios e cisco router, antigamente eu tinha um
>> servidor FreeBSD que ´até então antes de apresentar problemas de Hardware
>> nunca havia dado nenhum problema na rede, agora acabei de montar um 
>> servidor
>> FreeBSD 6.2, quando coloco eu diretamente na placa de rede interna dele eu
>> navego normalmente mas quando eu coloco ele no switch que no caso todos os
>> clientes iram começar passar pelo meu servidor que ele faz nat para meus
>> clientes, ninguem consegue ping ele inclusive eu.
>>
>> xl0: flags=8843 mtu 1500
>> options=9
>> inet 201.91.x.60 netmask 0xff00 broadcast 201.91.x.255
>> ether 00:0a:0d:d4:5f:c5
>> media: Ethernet autoselect (100baseTX )
>> status: active
>> rl0: flags=8843 mtu 1500
>> options=8
>> inet 192.168.1.254 netmask 0xff00 broadcast 192.168.1.255
>> ether 00:40:f4:61:66:2e
>> media: Ethernet autoselect (100baseTX )
>> status: active
>> plip0: flags=108810 mtu 1500
>> lo0: flags=8049 mtu 16384
>> inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
>> inet6 ::1 prefixlen 128
>> inet 127.0.0.1 netmask 0xff00
>>
>>
>>
>> 2008/1/22, [EMAIL PROTECTED] <[EMAIL PROTECTED]>:
>>
>> 
>>> Seja mais objetivo, mostre os erros por completo... nao tem como
>>> adivinhar sua duvida...
>>>
>>> T+
>>>
>>> Alessandro Fortuna escreveu:
>>>
>>>   
>>>> Boa noite pessoal, monte um servidor FreeBSD com duas placas de rede uma
>>>>
>>>> 
>>> com ip real e outra com ip de rede interna, vem um cabo de rede direto 
>>> que
>>> liga na placa de IP Real e outra placa de rede liga em um hub  que ficam
>>> ligadas duas maquinas clientes, entao com nos dois o servidores o 
>>> servidor
>>> funciona tranquilamente e quando eu coloco ele na rede para meus clientes
>>> navegarem eu nao consigo ping meu gateway que no caso eh ele e fica dando
>>> erros Kernel: arp: 
>>>
>>>   
>>>> alguém pode me ajudar, meu controle de banda eh feito por ipfw e squid
>>>>
>>>> 
>>> para cache de paginas.
>>>
>>>   
>>>> -
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>>>
>>>> 
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>
>>>   
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>> 
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd 
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>   

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvidas

[Alessandro Fortuna]

 192.168.1.57 out via xl0
01059   0 0 pipe 1059 ip from 192.168.1.59 to any in via xl0
01060   0 0 pipe 1060 ip from any to 192.168.1.59 out via xl0
01061   0 0 pipe 1061 ip from 192.168.1.60 to any in via xl0
01062   0 0 pipe 1062 ip from any to 192.168.1.60 out via xl0
01063   0 0 pipe 1063 ip from 192.168.1.61 to any in via xl0
01064   0 0 pipe 1064 ip from any to 192.168.1.61 out via xl0
65000 222 40016 divert 8668 ip from any to any via xl0
65500   144 deny log logamount 100 ip from any to any { src-ip 
10.0.0.0/8 or dst-ip 10.0.0.0/8 } out via xl0
65500   0 0 deny log logamount 100 ip from any to any { src-ip 
172.16.0.0/12 or dst-ip 172.16.0.0/12 } out via xl0
65500   0 0 deny log logamount 100 ip from any to any { src-ip 
192.168.0.0/16 or dst-ip 192.168.0.0/16 } out via xl0
65535 237 41575 allow ip from any to any

- Original Message - 
From: <[EMAIL PROTECTED]>
To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" 

Sent: Wednesday, January 23, 2008 12:47 AM
Subject: Re: [FUG-BR] duvidas


opa melhorando :)

Digite ai:
ipfw show
e cole as regras de firewall.

Alessandro Fortuna escreveu:
> Amigo aqui eu tenho um switch 3Com que nele vao todos os meus cabos de 
> rede
> tanto servidores como radios e cisco router, antigamente eu tinha um
> servidor FreeBSD que ´até então antes de apresentar problemas de Hardware
> nunca havia dado nenhum problema na rede, agora acabei de montar um 
> servidor
> FreeBSD 6.2, quando coloco eu diretamente na placa de rede interna dele eu
> navego normalmente mas quando eu coloco ele no switch que no caso todos os
> clientes iram começar passar pelo meu servidor que ele faz nat para meus
> clientes, ninguem consegue ping ele inclusive eu.
>
> xl0: flags=8843 mtu 1500
> options=9
> inet 201.91.x.60 netmask 0xff00 broadcast 201.91.x.255
> ether 00:0a:0d:d4:5f:c5
> media: Ethernet autoselect (100baseTX )
> status: active
> rl0: flags=8843 mtu 1500
> options=8
> inet 192.168.1.254 netmask 0xff00 broadcast 192.168.1.255
> ether 00:40:f4:61:66:2e
> media: Ethernet autoselect (100baseTX )
> status: active
> plip0: flags=108810 mtu 1500
> lo0: flags=8049 mtu 16384
> inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
> inet6 ::1 prefixlen 128
> inet 127.0.0.1 netmask 0xff00
>
>
>
> 2008/1/22, [EMAIL PROTECTED] <[EMAIL PROTECTED]>:
>
>> Seja mais objetivo, mostre os erros por completo... nao tem como
>> adivinhar sua duvida...
>>
>> T+
>>
>> Alessandro Fortuna escreveu:
>>
>>> Boa noite pessoal, monte um servidor FreeBSD com duas placas de rede uma
>>>
>> com ip real e outra com ip de rede interna, vem um cabo de rede direto 
>> que
>> liga na placa de IP Real e outra placa de rede liga em um hub  que ficam
>> ligadas duas maquinas clientes, entao com nos dois o servidores o 
>> servidor
>> funciona tranquilamente e quando eu coloco ele na rede para meus clientes
>> navegarem eu nao consigo ping meu gateway que no caso eh ele e fica dando
>> erros Kernel: arp: 
>>
>>> alguém pode me ajudar, meu controle de banda eh feito por ipfw e squid
>>>
>> para cache de paginas.
>>
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvidas

[[EMAIL PROTECTED]]

opa melhorando :)

Digite ai:
ipfw show
e cole as regras de firewall.

Alessandro Fortuna escreveu:
> Amigo aqui eu tenho um switch 3Com que nele vao todos os meus cabos de rede
> tanto servidores como radios e cisco router, antigamente eu tinha um
> servidor FreeBSD que ´até então antes de apresentar problemas de Hardware
> nunca havia dado nenhum problema na rede, agora acabei de montar um servidor
> FreeBSD 6.2, quando coloco eu diretamente na placa de rede interna dele eu
> navego normalmente mas quando eu coloco ele no switch que no caso todos os
> clientes iram começar passar pelo meu servidor que ele faz nat para meus
> clientes, ninguem consegue ping ele inclusive eu.
>
> xl0: flags=8843 mtu 1500
> options=9
> inet 201.91.x.60 netmask 0xff00 broadcast 201.91.x.255
> ether 00:0a:0d:d4:5f:c5
> media: Ethernet autoselect (100baseTX )
> status: active
> rl0: flags=8843 mtu 1500
> options=8
> inet 192.168.1.254 netmask 0xff00 broadcast 192.168.1.255
> ether 00:40:f4:61:66:2e
> media: Ethernet autoselect (100baseTX )
> status: active
> plip0: flags=108810 mtu 1500
> lo0: flags=8049 mtu 16384
> inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
> inet6 ::1 prefixlen 128
> inet 127.0.0.1 netmask 0xff00
>
>
>
> 2008/1/22, [EMAIL PROTECTED] <[EMAIL PROTECTED]>:
>   
>> Seja mais objetivo, mostre os erros por completo... nao tem como
>> adivinhar sua duvida...
>>
>> T+
>>
>> Alessandro Fortuna escreveu:
>> 
>>> Boa noite pessoal, monte um servidor FreeBSD com duas placas de rede uma
>>>   
>> com ip real e outra com ip de rede interna, vem um cabo de rede direto que
>> liga na placa de IP Real e outra placa de rede liga em um hub  que ficam
>> ligadas duas maquinas clientes, entao com nos dois o servidores o servidor
>> funciona tranquilamente e quando eu coloco ele na rede para meus clientes
>> navegarem eu nao consigo ping meu gateway que no caso eh ele e fica dando
>> erros Kernel: arp: 
>> 
>>> alguém pode me ajudar, meu controle de banda eh feito por ipfw e squid
>>>   
>> para cache de paginas.
>> 
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>   
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>> 
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>   

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvidas

[Alessandro Fortuna]

Amigo aqui eu tenho um switch 3Com que nele vao todos os meus cabos de rede
tanto servidores como radios e cisco router, antigamente eu tinha um
servidor FreeBSD que ´até então antes de apresentar problemas de Hardware
nunca havia dado nenhum problema na rede, agora acabei de montar um servidor
FreeBSD 6.2, quando coloco eu diretamente na placa de rede interna dele eu
navego normalmente mas quando eu coloco ele no switch que no caso todos os
clientes iram começar passar pelo meu servidor que ele faz nat para meus
clientes, ninguem consegue ping ele inclusive eu.

xl0: flags=8843 mtu 1500
options=9
inet 201.91.x.60 netmask 0xff00 broadcast 201.91.x.255
ether 00:0a:0d:d4:5f:c5
media: Ethernet autoselect (100baseTX )
status: active
rl0: flags=8843 mtu 1500
options=8
inet 192.168.1.254 netmask 0xff00 broadcast 192.168.1.255
ether 00:40:f4:61:66:2e
media: Ethernet autoselect (100baseTX )
status: active
plip0: flags=108810 mtu 1500
lo0: flags=8049 mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff00



2008/1/22, [EMAIL PROTECTED] <[EMAIL PROTECTED]>:
>
> Seja mais objetivo, mostre os erros por completo... nao tem como
> adivinhar sua duvida...
>
> T+
>
> Alessandro Fortuna escreveu:
> > Boa noite pessoal, monte um servidor FreeBSD com duas placas de rede uma
> com ip real e outra com ip de rede interna, vem um cabo de rede direto que
> liga na placa de IP Real e outra placa de rede liga em um hub  que ficam
> ligadas duas maquinas clientes, entao com nos dois o servidores o servidor
> funciona tranquilamente e quando eu coloco ele na rede para meus clientes
> navegarem eu nao consigo ping meu gateway que no caso eh ele e fica dando
> erros Kernel: arp: 
> >
> > alguém pode me ajudar, meu controle de banda eh feito por ipfw e squid
> para cache de paginas.
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvidas

[[EMAIL PROTECTED]]

Seja mais objetivo, mostre os erros por completo... nao tem como 
adivinhar sua duvida...

T+

Alessandro Fortuna escreveu:
> Boa noite pessoal, monte um servidor FreeBSD com duas placas de rede uma com 
> ip real e outra com ip de rede interna, vem um cabo de rede direto que liga 
> na placa de IP Real e outra placa de rede liga em um hub  que ficam ligadas 
> duas maquinas clientes, entao com nos dois o servidores o servidor funciona 
> tranquilamente e quando eu coloco ele na rede para meus clientes navegarem eu 
> nao consigo ping meu gateway que no caso eh ele e fica dando erros Kernel: 
> arp: 
>
> alguém pode me ajudar, meu controle de banda eh feito por ipfw e squid para 
> cache de paginas.
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>   

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] duvidas

[Alessandro Fortuna]

Boa noite pessoal, monte um servidor FreeBSD com duas placas de rede uma com ip 
real e outra com ip de rede interna, vem um cabo de rede direto que liga na 
placa de IP Real e outra placa de rede liga em um hub  que ficam ligadas duas 
maquinas clientes, entao com nos dois o servidores o servidor funciona 
tranquilamente e quando eu coloco ele na rede para meus clientes navegarem eu 
nao consigo ping meu gateway que no caso eh ele e fica dando erros Kernel: arp: 


alguém pode me ajudar, meu controle de banda eh feito por ipfw e squid para 
cache de paginas.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Duvidas sobre Oracle + firebird

[Gustavo Polillo Correa]

segundo a oracle, nao ha suporte para o freebsd, se vc quer instalar o banco
10g/11g em um ambiente que a oracle de suporte , instale o oracle enterprise
linux 5, que é baixado do proprio site da oracle, é gratuito e de facil
instalacao. Aqui temos 2 servidores dell com o linux da oracle e o banco 10g.

Gustavo Polillo.

-- Original Message ---
From: "Diogo Rodrigo" <[EMAIL PROTECTED]>
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
Sent: Tue, 8 Jan 2008 13:32:50 -0200
Subject: [FUG-BR] Duvidas sobre Oracle + firebird

> Caros amigos queria tirar duas duvidas básicas .
> 
> Oracle para freebsd é Freebsd é pago ? qto seria ? é estavel para 
> ambiente de produção
> 
> Firebird para freebsd já tem a versão Server , me lembro que so 
> tinha versão classic no ports
> 
> att Diogo Rodrigo
> 
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--- End of Original Message ---

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Duvidas sobre Oracle + firebird

[Diogo Rodrigo]

Caros amigos queria tirar duas duvidas básicas .


Oracle para freebsd é Freebsd é pago ? qto seria ? é estavel para ambiente 
de produção


Firebird para freebsd já tem a versão Server , me lembro que so tinha versão 
classic no ports




att Diogo Rodrigo



-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvidas php 5.2.4 (resolvido)

[Sandro Consoli]

fiz o seguinte:

ln -s /usr/local/lib/libfbclient.so.1.5.4
/usr/local/lib/libfbclient.so.2
> 
> 
> 
> entrei novamente no ports e instalei php5-interbase e funfu
> 
> valeu moçada
> 
> sandro
> 
Em Sex, 2007-10-26 às 08:15, Sandro Consoli escreveu:
> sem duvidas, mas ele puxa O FIREBIRD 2 MESMO, tem uma opção em que vc
> exclui o que nao quer fazer, tipo assim, nao quero instalar o firebird
> 2, mas nao me recordo, o duro é que to precisando urgente disso!!
> 
> 
> Valeu 
> 
> Abraços
> 
> sandro
> 
> Em Qui, 2007-10-25 às 18:45, Welkson Renny de Medeiros escreveu:
> > Dei uma olhada no Makefile, não vi nada.
> > 
> > Mas o php com extensão interbase faz tempo que instalei, e me recordo que 
> > ele não instalou o firebird server (tanto que conecto o php a um servidor 
> > firebird no win2003)... só recente que por curiosidade instalei o firebird 
> > no freebsd (mas não uso, só o do 2003)...
> > 
> > Não sei se você observou, mas no portaudit tá reclamando do port Firebird 
> > Server 1.5.3... não sei se o sistema detecta que tá desatualizado e já 
> > instala o novo (2.0)... bem estranho... pior que o 2 a estrutura do banco é 
> > totalmente diferente... esquema de segurança, etc...
> > 
> > Fica a questão para os experts...
> 
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvidas php 5.2.4

[Sandro Consoli]

sem duvidas, mas ele puxa O FIREBIRD 2 MESMO, tem uma opção em que vc
exclui o que nao quer fazer, tipo assim, nao quero instalar o firebird
2, mas nao me recordo, o duro é que to precisando urgente disso!!


Valeu 

Abraços

sandro

Em Qui, 2007-10-25 às 18:45, Welkson Renny de Medeiros escreveu:
> Dei uma olhada no Makefile, não vi nada.
> 
> Mas o php com extensão interbase faz tempo que instalei, e me recordo que 
> ele não instalou o firebird server (tanto que conecto o php a um servidor 
> firebird no win2003)... só recente que por curiosidade instalei o firebird 
> no freebsd (mas não uso, só o do 2003)...
> 
> Não sei se você observou, mas no portaudit tá reclamando do port Firebird 
> Server 1.5.3... não sei se o sistema detecta que tá desatualizado e já 
> instala o novo (2.0)... bem estranho... pior que o 2 a estrutura do banco é 
> totalmente diferente... esquema de segurança, etc...
> 
> Fica a questão para os experts...

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvidas php 5.2.4

[Welkson Renny de Medeiros]

Dei uma olhada no Makefile, não vi nada.

Mas o php com extensão interbase faz tempo que instalei, e me recordo que 
ele não instalou o firebird server (tanto que conecto o php a um servidor 
firebird no win2003)... só recente que por curiosidade instalei o firebird 
no freebsd (mas não uso, só o do 2003)...

Não sei se você observou, mas no portaudit tá reclamando do port Firebird 
Server 1.5.3... não sei se o sistema detecta que tá desatualizado e já 
instala o novo (2.0)... bem estranho... pior que o 2 a estrutura do banco é 
totalmente diferente... esquema de segurança, etc...

Fica a questão para os experts...

-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
[EMAIL PROTECTED]



  Powered by 

   (__)
\\\'',)
  \/  \ ^
  .\._/_)

  www.FreeBSD.org

- Original Message - 
From: "Sandro Consoli" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Thursday, October 25, 2007 4:57 PM
Subject: Re: [FUG-BR] duvidas php 5.2.4


nao, ele puxa do mesmo jeito, nao tem alguma opção junto ao make pra nao
puxa o firebird 2.0?

abraços
sandro

Em Qui, 2007-10-25 às 14:53, Welkson Renny de Medeiros escreveu:
> Como você está instalando?
>
> Se for só a extensão, acredito que isso resolve:
>
> cd /usr/ports/lang/php5-extensions
> make config
> marca interbase
> depois roda o make install
>
> Eu fiz assim, e não instala firebird...
>
> Abraço,

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] duvidas php 5.2.4

[Sandro Consoli]

nao, ele puxa do mesmo jeito, nao tem alguma opção junto ao make pra nao
puxa o firebird 2.0?

abraços
sandro

Em Qui, 2007-10-25 às 14:53, Welkson Renny de Medeiros escreveu:
> Como você está instalando?
> 
> Se for só a extensão, acredito que isso resolve:
> 
> cd /usr/ports/lang/php5-extensions
> make config
> marca interbase
> depois roda o make install
> 
> Eu fiz assim, e não instala firebird...
> 
> Abraço,

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd