Re: [FUG-BR] Squid + AD auth
Em 6 de agosto de 2012 17:56, Luis Barcellos escreveu: > Cara Thays, > > > Estive fora alguns dias fora trocando um switch core de uma filial da minha > empresa e por isso não respondi antes, mas vamos lá. Você está utilizando > Active Directory com windows 2003 e com essa configuração você poderá > utilizar autenticação atraves de NTLM só precisa colocar essas > configurações no seu squid.conf > > # - Opções de Autenticação - # > auth_param ntlm program /usr/local/libexec/squid/ntlm_auth > dominio.com.br/servidor_de_dominio_01 > dominio.com.br/servidor_de_dominio_02 > auth_param ntlm children 100 > > # - Opcoes de Autenticacao - # > acl ntlm_users proxy_auth REQUIRED > > # - Controle de Acesso - # > http_access deny connect numeric_IPs > http_access deny manager > http_access deny !Safe_ports > http_access deny CONNECT !SSL_ports > http_access allow Java all > http_access allow ntlm_users > http_access deny all > > > Com essa configuração estará autenticando seus usuários de forma automática > não vai aparecer o popup de autenticação, não se esqueça de compilar o > squid com a opção "X-Forward" caso esteja pensando em utilizar o > dansguardian, anexo está um documento com uma configuração bem básica. > > []s > Luis Barcellos > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > Ei Thays, Deu certo ? -- "Deve-se aprender sempre, até mesmo com um inimigo." (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 saulfelip...@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Freebsd 9.x + Lusca + tproxy
Olá pessoal, Seguindo recomendações estou começando a configurar um servidor freebsd 9.x para utilizar com o Lusca + incomun em um ambiente com tproxy. No caso, o meu cenário é esse: cliente -> pppoeserver -> squid3 com tproxy -> linux gateway/router -> internet Andei lendo no histórico aqui da lista que é necessário um patch no lusca para o funcionamento do tproxy? Em outro lugar li que não seria necessário no freebsd 9.x. O que está correto? Como baixar/aplicar esse patch? Estou iniciando no freebsd agora, meu background é em Linux e tenho atualmente 3 servidores linux+tproxy+squid3 atendendo a +- 4mil usuários simultâneos em horário de pico. Aceito sugestões e opiniões. Obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] snort e pf
Deu certo sim Saul, Obrigada! Agora estou estudando como fazer uma lógica com as ACLs de acordo a minha necessidade; obrigada a todos! Thays > From: paulo.rd...@bsd.com.br > To: freebsd@fug.com.br > Date: Mon, 6 Aug 2012 21:57:19 -0300 > Subject: Re: [FUG-BR] snort e pf > > > -Mensagem original- > De: Leonardo Augusto > Enviado: 06/08/2012, 18:01 > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Assunt.: Re: [FUG-BR] snort e pf > > > 2012/8/6 Marcelo Gondim : > > Em 06/08/2012 16:51, Rejaine Monteiro escreveu: > >> costumava usar algumas regras do http://www.emergingthreats.net ma não > >> sei como anda o projeto hj em dia. > > > > Continua tão bom quanto antes. :) > > > >> atualiza baixando em > >> http://www.emergingthreats.net/rules/emerging.rules.tar.gz > >> > >> > >> Em 06-08-2012 16:43, Anderson Alves de Albuquerque escreveu: > >>> Eu estou querendo bloquear P2P via detecção via snort. Olhei o p2p.rules > >>> do snort e constatei que existem poucas rules (regras). > >>> > >>> Onde eu conseguiria pegar mais rules e rules atualizadas? > >>> - > >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > Ao invés do snort usa o suricata [1]. Muito melhor, já tem suporte à > > GPU, multithread e outras coisitas mais que o snort não faz e você pode > > aproveitar as regras do snort se já tiver usando. > > > > [1] - http://www.openinfosecfoundation.org/ > > > > O Marcelo me ajuda la no qmail... FAMP é molezinha né... eheh até eu.. > ate de olhos fechados.. > Agora o qmail ta matando.. Nao sei nem como cheguei lá onde tá agora... > Viu lá o log do smtp ? parece que é algo com a criptografia... ou > parece que o smtp auth não esta funcionando... > > Nunca vi um treco com tanto patch como esse qshit > > Pior que fiquei o domingo todo "fuçando" no postfix e daí acontece o > contrário, envia, mas nao recebe, kkk > da um erro de /etc/alias sei la o que... aí desanima... o qmail já sei > instalar ate de cabeça.. mas essa naba > Por acaso você executou o > > postmap /etc/aliases? > Leia a doc oficial do postfix, vai sacar de primeira. > > > do smtp... ta osso. > > Voce nao andou escrevendo nenhum patch la pro port do qmail né ? > > []´s > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Em 07/08/2012 10:26, Tiago escreveu: > Olá pessoal, > Seguindo recomendações estou começando a configurar um servidor > freebsd 9.x para utilizar com o Lusca + incomun em um ambiente com > tproxy. > > No caso, o meu cenário é esse: > cliente -> pppoeserver -> squid3 com tproxy -> linux gateway/router -> > internet > > Andei lendo no histórico aqui da lista que é necessário um patch no > lusca para o funcionamento do tproxy? Em outro lugar li que não seria > necessário no freebsd 9.x. Que eu lembre o patch era para uso em bridge, que parece o seu caso. Não uso cache faz tempo mas porque você não coloca seu cache em paralelo? Pelo que entendi na sua configuração se qualquer coisa parar o cache como a máquina queimar ou interfaces, você teria que remanejar fisicamente os cabos. A configuração que usávamos aqui no Provedor era assim: cliente -> [pppoeserver] -> [FreeBSD Firewall 2º nível] -> [FreeBSD Firewall 1º nível / Router BGP] -> Internet | | [FreeBSD Lusca TProxy] Não sei se vai sair como eu quero mas o [FreeBSD Lusca TProxy] era ligado diretamente com o [FreeBSD Firewall 2º nível] e os pacotes repassados pelo ipfw para ele. Nesse caso se houvesse algum problema com o Cache, era só desabilitar no Firewall que a rede prosseguiria normalmente, sem mexer em nada físico. > > O que está correto? Como baixar/aplicar esse patch? > > Estou iniciando no freebsd agora, meu background é em Linux e tenho > atualmente 3 servidores linux+tproxy+squid3 atendendo a +- 4mil > usuários simultâneos em horário de pico. > > Aceito sugestões e opiniões. > > Obrigado > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
No caso já é assim Marcelo. No pppoeserver eu redireciono as requisições para porta :80 via iptables para o cache squid e caso o cache caia, basta remover estas regras que ele redireciona direto para o gateway. Em 7 de agosto de 2012 10:40, Marcelo Gondim escreveu: > Em 07/08/2012 10:26, Tiago escreveu: >> Olá pessoal, >> Seguindo recomendações estou começando a configurar um servidor >> freebsd 9.x para utilizar com o Lusca + incomun em um ambiente com >> tproxy. >> >> No caso, o meu cenário é esse: >> cliente -> pppoeserver -> squid3 com tproxy -> linux gateway/router -> >> internet >> >> Andei lendo no histórico aqui da lista que é necessário um patch no >> lusca para o funcionamento do tproxy? Em outro lugar li que não seria >> necessário no freebsd 9.x. > > Que eu lembre o patch era para uso em bridge, que parece o seu caso. Não > uso cache faz tempo mas porque você não coloca seu cache em paralelo? > Pelo que entendi na sua configuração se qualquer coisa parar o cache > como a máquina queimar ou interfaces, você teria que remanejar > fisicamente os cabos. A configuração que usávamos aqui no Provedor era > assim: > > cliente -> [pppoeserver] -> [FreeBSD Firewall 2º nível] -> [FreeBSD > Firewall 1º nível / Router BGP] -> Internet > | > | > [FreeBSD Lusca TProxy] > > Não sei se vai sair como eu quero mas o [FreeBSD Lusca TProxy] era > ligado diretamente com o [FreeBSD Firewall 2º nível] e os pacotes > repassados pelo ipfw para ele. Nesse caso se houvesse algum problema com > o Cache, era só desabilitar no Firewall que a rede prosseguiria > normalmente, sem mexer em nada físico. > >> >> O que está correto? Como baixar/aplicar esse patch? >> >> Estou iniciando no freebsd agora, meu background é em Linux e tenho >> atualmente 3 servidores linux+tproxy+squid3 atendendo a +- 4mil >> usuários simultâneos em horário de pico. >> >> Aceito sugestões e opiniões. >> >> Obrigado >> > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Squid + AD auth
Então tá bom! fico feliz em ter ajudado. Aproveitando, essas e mais dicas estão em www.pinguimteajuda.com.br, que é onde divulgo tudo que acho importante, tanto de Linux como, FreeBSD e variados ^^ Marca como resolvido ae :p Em 7 de agosto de 2012 10:37, Thays Karine de Freitas < thays.karin...@hotmail.com> escreveu: > > Deu certo sim Saul, > > Obrigada! > > Agora estou estudando como fazer uma lógica com as ACLs de acordo a minha > necessidade; > > obrigada a todos! > > Thays > > > From: paulo.rd...@bsd.com.br > > To: freebsd@fug.com.br > > Date: Mon, 6 Aug 2012 21:57:19 -0300 > > Subject: Re: [FUG-BR] snort e pf > > > > > > -Mensagem original- > > De: Leonardo Augusto > > Enviado: 06/08/2012, 18:01 > > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > > Assunt.: Re: [FUG-BR] snort e pf > Em 7 de agosto de 2012 10:02, Saul Figueiredo escreveu: > > > Em 6 de agosto de 2012 17:56, Luis Barcellos > escreveu: > >> Cara Thays, >> >> >> Estive fora alguns dias fora trocando um switch core de uma filial da >> minha >> empresa e por isso não respondi antes, mas vamos lá. Você está utilizando >> Active Directory com windows 2003 e com essa configuração você poderá >> utilizar autenticação atraves de NTLM só precisa colocar essas >> configurações no seu squid.conf >> >> # - Opções de Autenticação - # >> auth_param ntlm program /usr/local/libexec/squid/ntlm_auth >> dominio.com.br/servidor_de_dominio_01 >> dominio.com.br/servidor_de_dominio_02 >> auth_param ntlm children 100 >> >> # - Opcoes de Autenticacao - # >> acl ntlm_users proxy_auth REQUIRED >> >> # - Controle de Acesso - # >> http_access deny connect numeric_IPs >> http_access deny manager >> http_access deny !Safe_ports >> http_access deny CONNECT !SSL_ports >> http_access allow Java all >> http_access allow ntlm_users >> http_access deny all >> >> >> Com essa configuração estará autenticando seus usuários de forma >> automática >> não vai aparecer o popup de autenticação, não se esqueça de compilar o >> squid com a opção "X-Forward" caso esteja pensando em utilizar o >> dansguardian, anexo está um documento com uma configuração bem básica. >> >> []s >> Luis Barcellos >> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> >> > > > Ei Thays, > > Deu certo ? > > > > > -- > "Deve-se aprender sempre, até mesmo com um inimigo." > (Isaac Newton) > > Atenciosamente, > Saul Figueiredo > Analista FreeBSD/Linux > Linux Professional Institute Certification Level 2 > saulfelip...@gmail.com > > -- "Deve-se aprender sempre, até mesmo com um inimigo." (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 saulfelip...@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Em 07/08/2012 10:43, Tiago escreveu: > No caso já é assim Marcelo. > > No pppoeserver eu redireciono as requisições para porta :80 via > iptables para o cache squid e caso o cache caia, basta remover estas > regras que ele redireciona direto para o gateway. Ah então não precisa de patch não. :) O patch era para modo bridge. Que eu lembre rsrsrsrs > > Em 7 de agosto de 2012 10:40, Marcelo Gondim escreveu: >> Em 07/08/2012 10:26, Tiago escreveu: >>> Olá pessoal, >>> Seguindo recomendações estou começando a configurar um servidor >>> freebsd 9.x para utilizar com o Lusca + incomun em um ambiente com >>> tproxy. >>> >>> No caso, o meu cenário é esse: >>> cliente -> pppoeserver -> squid3 com tproxy -> linux gateway/router -> >>> internet >>> >>> Andei lendo no histórico aqui da lista que é necessário um patch no >>> lusca para o funcionamento do tproxy? Em outro lugar li que não seria >>> necessário no freebsd 9.x. >> Que eu lembre o patch era para uso em bridge, que parece o seu caso. Não >> uso cache faz tempo mas porque você não coloca seu cache em paralelo? >> Pelo que entendi na sua configuração se qualquer coisa parar o cache >> como a máquina queimar ou interfaces, você teria que remanejar >> fisicamente os cabos. A configuração que usávamos aqui no Provedor era >> assim: >> >> cliente -> [pppoeserver] -> [FreeBSD Firewall 2º nível] -> [FreeBSD >> Firewall 1º nível / Router BGP] -> Internet >> | >> | >> [FreeBSD Lusca TProxy] >> >> Não sei se vai sair como eu quero mas o [FreeBSD Lusca TProxy] era >> ligado diretamente com o [FreeBSD Firewall 2º nível] e os pacotes >> repassados pelo ipfw para ele. Nesse caso se houvesse algum problema com >> o Cache, era só desabilitar no Firewall que a rede prosseguiria >> normalmente, sem mexer em nada físico. >> >>> O que está correto? Como baixar/aplicar esse patch? >>> >>> Estou iniciando no freebsd agora, meu background é em Linux e tenho >>> atualmente 3 servidores linux+tproxy+squid3 atendendo a +- 4mil >>> usuários simultâneos em horário de pico. >>> >>> Aceito sugestões e opiniões. >>> >>> Obrigado >>> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] snort e pf
2012/8/6 Marcelo Gondim : > Em 06/08/2012 18:01, Leonardo Augusto escreveu: >> 2012/8/6 Marcelo Gondim : >>> Em 06/08/2012 16:51, Rejaine Monteiro escreveu: costumava usar algumas regras do http://www.emergingthreats.net ma não sei como anda o projeto hj em dia. >>> Continua tão bom quanto antes. :) >>> atualiza baixando em http://www.emergingthreats.net/rules/emerging.rules.tar.gz Em 06-08-2012 16:43, Anderson Alves de Albuquerque escreveu: >Eu estou querendo bloquear P2P via detecção via snort. Olhei o > p2p.rules > do snort e constatei que existem poucas rules (regras). > >Onde eu conseguiria pegar mais rules e rules atualizadas? > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> Ao invés do snort usa o suricata [1]. Muito melhor, já tem suporte à >>> GPU, multithread e outras coisitas mais que o snort não faz e você pode >>> aproveitar as regras do snort se já tiver usando. >>> >>> [1] - http://www.openinfosecfoundation.org/ >>> >> O Marcelo me ajuda la no qmail... FAMP é molezinha né... eheh até eu.. >> ate de olhos fechados.. > > qmail? rsrsrs não vejo qmail desde a época na Conectiva em 2000 rsrsrrs > só tem 12 anos que não vejo ahahhaahah. > Você já tentou usar o iRedMail? Ele faz a parte pesada da instalação dos > pacotes e depois você configura o restante como quiser. :) > > http://iredmail.com/ > http://iredmail.com/install_iredmail_on_freebsd.html > > Se for testar já tem a versão 0.8.1 porque a 0.8.0 tava com problemas na > instalação dos pacotes. > Tem backend para OpenLDAP, MySQL e PostgreSQL. :) > > Eles tem o iredadmin(programa de administração via web) pago e free, > sendo que a versão paga é que é o bicho e não é tão caro: > http://iredmail.com/admin_buy.html > > > >> Agora o qmail ta matando.. Nao sei nem como cheguei lá onde tá agora... >> Viu lá o log do smtp ? parece que é algo com a criptografia... ou >> parece que o smtp auth não esta funcionando... >> >> Nunca vi um treco com tanto patch como esse qshit >> >> Pior que fiquei o domingo todo "fuçando" no postfix e daí acontece o >> contrário, envia, mas nao recebe, kkk >> da um erro de /etc/alias sei la o que... aí desanima... o qmail já sei >> instalar ate de cabeça.. mas essa naba >> do smtp... ta osso. >> >> Voce nao andou escrevendo nenhum patch la pro port do qmail né ? > > ahahhaha não não. rsrsrsr > Marcelo, Só tenho o freebsd 9.x, o datacenter nao suporta mais o 8 ... Tentei em vao (umas 4x) instalar esse iredmail instalava tudo normal, quando ia rodar dava erro de mysql.. nenhuma das tranqueiras que eram para acessa-lo conseguiam faze-lo, comecando pelo iredadmin... Aí atualizei o ports e agora da erro num port la, py-nao lembro o que... nem instala ! lixo lixo, os caras so querem que funcione no linsucks, tanto que ta la na pagina deles: "fix debian install bla bla bla" de julho agora Pelo visto nem tentaram instalar no 9.1.. senao veriam os erros que da. Postei la no forum deles os problemas que tive... enfim... Sugeri até que removessem entao o suporte a freebsd, já que nao funciona, constar lá pra encher linguiça ? Tem vários outros caras reclamando disso no forum, que nao funciona em jail no freebsd 9.x dose.. só tomando um dreer - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] snort e pf
Em 07/08/2012 11:25, Leonardo Augusto escreveu: > 2012/8/6 Marcelo Gondim : >> Em 06/08/2012 18:01, Leonardo Augusto escreveu: >>> 2012/8/6 Marcelo Gondim : Em 06/08/2012 16:51, Rejaine Monteiro escreveu: > costumava usar algumas regras do http://www.emergingthreats.net ma não > sei como anda o projeto hj em dia. Continua tão bom quanto antes. :) > atualiza baixando em > http://www.emergingthreats.net/rules/emerging.rules.tar.gz > > > Em 06-08-2012 16:43, Anderson Alves de Albuquerque escreveu: >> Eu estou querendo bloquear P2P via detecção via snort. Olhei o >> p2p.rules >> do snort e constatei que existem poucas rules (regras). >> >> Onde eu conseguiria pegar mais rules e rules atualizadas? >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Ao invés do snort usa o suricata [1]. Muito melhor, já tem suporte à GPU, multithread e outras coisitas mais que o snort não faz e você pode aproveitar as regras do snort se já tiver usando. [1] - http://www.openinfosecfoundation.org/ >>> O Marcelo me ajuda la no qmail... FAMP é molezinha né... eheh até eu.. >>> ate de olhos fechados.. >> qmail? rsrsrs não vejo qmail desde a época na Conectiva em 2000 rsrsrrs >> só tem 12 anos que não vejo ahahhaahah. >> Você já tentou usar o iRedMail? Ele faz a parte pesada da instalação dos >> pacotes e depois você configura o restante como quiser. :) >> >> http://iredmail.com/ >> http://iredmail.com/install_iredmail_on_freebsd.html >> >> Se for testar já tem a versão 0.8.1 porque a 0.8.0 tava com problemas na >> instalação dos pacotes. >> Tem backend para OpenLDAP, MySQL e PostgreSQL. :) >> >> Eles tem o iredadmin(programa de administração via web) pago e free, >> sendo que a versão paga é que é o bicho e não é tão caro: >> http://iredmail.com/admin_buy.html >> >> >> >>> Agora o qmail ta matando.. Nao sei nem como cheguei lá onde tá agora... >>> Viu lá o log do smtp ? parece que é algo com a criptografia... ou >>> parece que o smtp auth não esta funcionando... >>> >>> Nunca vi um treco com tanto patch como esse qshit >>> >>> Pior que fiquei o domingo todo "fuçando" no postfix e daí acontece o >>> contrário, envia, mas nao recebe, kkk >>> da um erro de /etc/alias sei la o que... aí desanima... o qmail já sei >>> instalar ate de cabeça.. mas essa naba >>> do smtp... ta osso. >>> >>> Voce nao andou escrevendo nenhum patch la pro port do qmail né ? >> ahahhaha não não. rsrsrsr >> > Marcelo, > > Só tenho o freebsd 9.x, o datacenter nao suporta mais o 8 ... > > Tentei em vao (umas 4x) instalar esse iredmail instalava tudo > normal, quando ia rodar > dava erro de mysql.. nenhuma das tranqueiras que eram para acessa-lo > conseguiam faze-lo, > comecando pelo iredadmin... > > Aí atualizei o ports e agora da erro num port la, py-nao lembro o > que... nem instala ! > > lixo lixo, os caras so querem que funcione no linsucks, tanto que ta > la na pagina deles: > "fix debian install bla bla bla" de julho agora > Pelo visto nem tentaram instalar no 9.1.. senao veriam os erros que da. > Postei la no forum deles os problemas que tive... enfim... > Sugeri até que removessem entao o suporte a freebsd, já que nao > funciona, constar lá > pra encher linguiça ? Tem vários outros caras reclamando disso no > forum, que nao funciona > em jail no freebsd 9.x > > dose.. só tomando um dreer > opa Leonardo, Estranho cara, eu testei esse 0.8.1 aqui em uma vm do virtualbox, instalou e levantou tudo inclusive o mysql. Vou fazer o seguinte: assim resolver uns pepinos aqui hoje do trampo, vou pegar um servidor de backup aqui, instalar o FreeBSD 9.1-BETA e atualizar para o 9.1-PRERELEASE. Depois vou baixar e instalar o iredmail 0.8.1 pra ver. Você quer instalar ele em jail? Vou fazer os testes aqui e te digo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Entendi, então é só fazer a instalação padrão freebsd 9.x + suporte a tproxy (squid_tproxy) e voilá? hehe Em 7 de agosto de 2012 10:45, Marcelo Gondim escreveu: > Em 07/08/2012 10:43, Tiago escreveu: >> No caso já é assim Marcelo. >> >> No pppoeserver eu redireciono as requisições para porta :80 via >> iptables para o cache squid e caso o cache caia, basta remover estas >> regras que ele redireciona direto para o gateway. > > Ah então não precisa de patch não. :) O patch era para modo bridge. > Que eu lembre rsrsrsrs > >> >> Em 7 de agosto de 2012 10:40, Marcelo Gondim >> escreveu: >>> Em 07/08/2012 10:26, Tiago escreveu: Olá pessoal, Seguindo recomendações estou começando a configurar um servidor freebsd 9.x para utilizar com o Lusca + incomun em um ambiente com tproxy. No caso, o meu cenário é esse: cliente -> pppoeserver -> squid3 com tproxy -> linux gateway/router -> internet Andei lendo no histórico aqui da lista que é necessário um patch no lusca para o funcionamento do tproxy? Em outro lugar li que não seria necessário no freebsd 9.x. >>> Que eu lembre o patch era para uso em bridge, que parece o seu caso. Não >>> uso cache faz tempo mas porque você não coloca seu cache em paralelo? >>> Pelo que entendi na sua configuração se qualquer coisa parar o cache >>> como a máquina queimar ou interfaces, você teria que remanejar >>> fisicamente os cabos. A configuração que usávamos aqui no Provedor era >>> assim: >>> >>> cliente -> [pppoeserver] -> [FreeBSD Firewall 2º nível] -> [FreeBSD >>> Firewall 1º nível / Router BGP] -> Internet >>> | >>> | >>> [FreeBSD Lusca TProxy] >>> >>> Não sei se vai sair como eu quero mas o [FreeBSD Lusca TProxy] era >>> ligado diretamente com o [FreeBSD Firewall 2º nível] e os pacotes >>> repassados pelo ipfw para ele. Nesse caso se houvesse algum problema com >>> o Cache, era só desabilitar no Firewall que a rede prosseguiria >>> normalmente, sem mexer em nada físico. >>> O que está correto? Como baixar/aplicar esse patch? Estou iniciando no freebsd agora, meu background é em Linux e tenho atualmente 3 servidores linux+tproxy+squid3 atendendo a +- 4mil usuários simultâneos em horário de pico. Aceito sugestões e opiniões. Obrigado >>> - >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Em 07/08/2012 11:57, Tiago escreveu: > Entendi, então é só fazer a instalação padrão freebsd 9.x + suporte a > tproxy (squid_tproxy) e voilá? hehe FreeBSD 9.x + Lusca com TProxy. :) > > > Em 7 de agosto de 2012 10:45, Marcelo Gondim escreveu: >> Em 07/08/2012 10:43, Tiago escreveu: >>> No caso já é assim Marcelo. >>> >>> No pppoeserver eu redireciono as requisições para porta :80 via >>> iptables para o cache squid e caso o cache caia, basta remover estas >>> regras que ele redireciona direto para o gateway. >> Ah então não precisa de patch não. :) O patch era para modo bridge. >> Que eu lembre rsrsrsrs >> >>> Em 7 de agosto de 2012 10:40, Marcelo Gondim >>> escreveu: Em 07/08/2012 10:26, Tiago escreveu: > Olá pessoal, > Seguindo recomendações estou começando a configurar um servidor > freebsd 9.x para utilizar com o Lusca + incomun em um ambiente com > tproxy. > > No caso, o meu cenário é esse: > cliente -> pppoeserver -> squid3 com tproxy -> linux gateway/router -> > internet > > Andei lendo no histórico aqui da lista que é necessário um patch no > lusca para o funcionamento do tproxy? Em outro lugar li que não seria > necessário no freebsd 9.x. Que eu lembre o patch era para uso em bridge, que parece o seu caso. Não uso cache faz tempo mas porque você não coloca seu cache em paralelo? Pelo que entendi na sua configuração se qualquer coisa parar o cache como a máquina queimar ou interfaces, você teria que remanejar fisicamente os cabos. A configuração que usávamos aqui no Provedor era assim: cliente -> [pppoeserver] -> [FreeBSD Firewall 2º nível] -> [FreeBSD Firewall 1º nível / Router BGP] -> Internet | | [FreeBSD Lusca TProxy] Não sei se vai sair como eu quero mas o [FreeBSD Lusca TProxy] era ligado diretamente com o [FreeBSD Firewall 2º nível] e os pacotes repassados pelo ipfw para ele. Nesse caso se houvesse algum problema com o Cache, era só desabilitar no Firewall que a rede prosseguiria normalmente, sem mexer em nada físico. > O que está correto? Como baixar/aplicar esse patch? > > Estou iniciando no freebsd agora, meu background é em Linux e tenho > atualmente 3 servidores linux+tproxy+squid3 atendendo a +- 4mil > usuários simultâneos em horário de pico. > > Aceito sugestões e opiniões. > > Obrigado > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> - >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] snort e pf
2012/8/7 Marcelo Gondim : > Em 07/08/2012 11:25, Leonardo Augusto escreveu: >> 2012/8/6 Marcelo Gondim : >>> Em 06/08/2012 18:01, Leonardo Augusto escreveu: 2012/8/6 Marcelo Gondim : > Em 06/08/2012 16:51, Rejaine Monteiro escreveu: >> costumava usar algumas regras do http://www.emergingthreats.net ma não >> sei como anda o projeto hj em dia. > Continua tão bom quanto antes. :) > >> atualiza baixando em >> http://www.emergingthreats.net/rules/emerging.rules.tar.gz >> >> >> Em 06-08-2012 16:43, Anderson Alves de Albuquerque escreveu: >>> Eu estou querendo bloquear P2P via detecção via snort. Olhei o >>> p2p.rules >>> do snort e constatei que existem poucas rules (regras). >>> >>> Onde eu conseguiria pegar mais rules e rules atualizadas? >>> - >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Ao invés do snort usa o suricata [1]. Muito melhor, já tem suporte à > GPU, multithread e outras coisitas mais que o snort não faz e você pode > aproveitar as regras do snort se já tiver usando. > > [1] - http://www.openinfosecfoundation.org/ > O Marcelo me ajuda la no qmail... FAMP é molezinha né... eheh até eu.. ate de olhos fechados.. >>> qmail? rsrsrs não vejo qmail desde a época na Conectiva em 2000 rsrsrrs >>> só tem 12 anos que não vejo ahahhaahah. >>> Você já tentou usar o iRedMail? Ele faz a parte pesada da instalação dos >>> pacotes e depois você configura o restante como quiser. :) >>> >>> http://iredmail.com/ >>> http://iredmail.com/install_iredmail_on_freebsd.html >>> >>> Se for testar já tem a versão 0.8.1 porque a 0.8.0 tava com problemas na >>> instalação dos pacotes. >>> Tem backend para OpenLDAP, MySQL e PostgreSQL. :) >>> >>> Eles tem o iredadmin(programa de administração via web) pago e free, >>> sendo que a versão paga é que é o bicho e não é tão caro: >>> http://iredmail.com/admin_buy.html >>> >>> >>> Agora o qmail ta matando.. Nao sei nem como cheguei lá onde tá agora... Viu lá o log do smtp ? parece que é algo com a criptografia... ou parece que o smtp auth não esta funcionando... Nunca vi um treco com tanto patch como esse qshit Pior que fiquei o domingo todo "fuçando" no postfix e daí acontece o contrário, envia, mas nao recebe, kkk da um erro de /etc/alias sei la o que... aí desanima... o qmail já sei instalar ate de cabeça.. mas essa naba do smtp... ta osso. Voce nao andou escrevendo nenhum patch la pro port do qmail né ? >>> ahahhaha não não. rsrsrsr >>> >> Marcelo, >> >> Só tenho o freebsd 9.x, o datacenter nao suporta mais o 8 ... >> >> Tentei em vao (umas 4x) instalar esse iredmail instalava tudo >> normal, quando ia rodar >> dava erro de mysql.. nenhuma das tranqueiras que eram para acessa-lo >> conseguiam faze-lo, >> comecando pelo iredadmin... >> >> Aí atualizei o ports e agora da erro num port la, py-nao lembro o >> que... nem instala ! >> >> lixo lixo, os caras so querem que funcione no linsucks, tanto que ta >> la na pagina deles: >> "fix debian install bla bla bla" de julho agora >> Pelo visto nem tentaram instalar no 9.1.. senao veriam os erros que da. >> Postei la no forum deles os problemas que tive... enfim... >> Sugeri até que removessem entao o suporte a freebsd, já que nao >> funciona, constar lá >> pra encher linguiça ? Tem vários outros caras reclamando disso no >> forum, que nao funciona >> em jail no freebsd 9.x >> >> dose.. só tomando um dreer >> > opa Leonardo, > > Estranho cara, eu testei esse 0.8.1 aqui em uma vm do virtualbox, > instalou e levantou tudo inclusive o mysql. Vou fazer o seguinte: assim > resolver uns pepinos aqui hoje do trampo, vou pegar um servidor de > backup aqui, instalar o FreeBSD 9.1-BETA e atualizar para o > 9.1-PRERELEASE. Depois vou baixar e instalar o iredmail 0.8.1 pra ver. > Você quer instalar ele em jail? Vou fazer os testes aqui e te digo. > - Então Marcelo, isso mesmo que fiz, peguei o 9.1 beta, atualizei para o prerelease Aí criei 8 jails em ips diferentes, preciso instalar em jail pois facilita backup e manutencao. Baixei a ultima versao do iredmail e fiz tudo conforme a instrucao, hostname ok, reverso ok, batch static ok, etc. Na primeira vez, instalou mas nada se comunicava como mysql, o mysql tava no ar... Atualizei o ports ontem e fiz denovo, aí nem a instalacao funcinava, dava erro num port la do python... Enfim, se tu conseguir nas mesmas condicoes que eu tentei, sem erro, e sem meter a mao em nada, eu vou pegar a 12 e me matar, ehehe []´s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] snort e pf
Em 07/08/2012 13:35, Leonardo Augusto escreveu: > 2012/8/7 Marcelo Gondim : >> Em 07/08/2012 11:25, Leonardo Augusto escreveu: >>> 2012/8/6 Marcelo Gondim : Em 06/08/2012 18:01, Leonardo Augusto escreveu: > 2012/8/6 Marcelo Gondim : >> Em 06/08/2012 16:51, Rejaine Monteiro escreveu: >>> costumava usar algumas regras do http://www.emergingthreats.net ma não >>> sei como anda o projeto hj em dia. >> Continua tão bom quanto antes. :) >> >>> atualiza baixando em >>> http://www.emergingthreats.net/rules/emerging.rules.tar.gz >>> >>> >>> Em 06-08-2012 16:43, Anderson Alves de Albuquerque escreveu: Eu estou querendo bloquear P2P via detecção via snort. Olhei o p2p.rules do snort e constatei que existem poucas rules (regras). Onde eu conseguiria pegar mais rules e rules atualizadas? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> Ao invés do snort usa o suricata [1]. Muito melhor, já tem suporte à >> GPU, multithread e outras coisitas mais que o snort não faz e você pode >> aproveitar as regras do snort se já tiver usando. >> >> [1] - http://www.openinfosecfoundation.org/ >> > O Marcelo me ajuda la no qmail... FAMP é molezinha né... eheh até eu.. > ate de olhos fechados.. qmail? rsrsrs não vejo qmail desde a época na Conectiva em 2000 rsrsrrs só tem 12 anos que não vejo ahahhaahah. Você já tentou usar o iRedMail? Ele faz a parte pesada da instalação dos pacotes e depois você configura o restante como quiser. :) http://iredmail.com/ http://iredmail.com/install_iredmail_on_freebsd.html Se for testar já tem a versão 0.8.1 porque a 0.8.0 tava com problemas na instalação dos pacotes. Tem backend para OpenLDAP, MySQL e PostgreSQL. :) Eles tem o iredadmin(programa de administração via web) pago e free, sendo que a versão paga é que é o bicho e não é tão caro: http://iredmail.com/admin_buy.html > Agora o qmail ta matando.. Nao sei nem como cheguei lá onde tá agora... > Viu lá o log do smtp ? parece que é algo com a criptografia... ou > parece que o smtp auth não esta funcionando... > > Nunca vi um treco com tanto patch como esse qshit > > Pior que fiquei o domingo todo "fuçando" no postfix e daí acontece o > contrário, envia, mas nao recebe, kkk > da um erro de /etc/alias sei la o que... aí desanima... o qmail já sei > instalar ate de cabeça.. mas essa naba > do smtp... ta osso. > > Voce nao andou escrevendo nenhum patch la pro port do qmail né ? ahahhaha não não. rsrsrsr >>> Marcelo, >>> >>> Só tenho o freebsd 9.x, o datacenter nao suporta mais o 8 ... >>> >>> Tentei em vao (umas 4x) instalar esse iredmail instalava tudo >>> normal, quando ia rodar >>> dava erro de mysql.. nenhuma das tranqueiras que eram para acessa-lo >>> conseguiam faze-lo, >>> comecando pelo iredadmin... >>> >>> Aí atualizei o ports e agora da erro num port la, py-nao lembro o >>> que... nem instala ! >>> >>> lixo lixo, os caras so querem que funcione no linsucks, tanto que ta >>> la na pagina deles: >>> "fix debian install bla bla bla" de julho agora >>> Pelo visto nem tentaram instalar no 9.1.. senao veriam os erros que da. >>> Postei la no forum deles os problemas que tive... enfim... >>> Sugeri até que removessem entao o suporte a freebsd, já que nao >>> funciona, constar lá >>> pra encher linguiça ? Tem vários outros caras reclamando disso no >>> forum, que nao funciona >>> em jail no freebsd 9.x >>> >>> dose.. só tomando um dreer >>> >> opa Leonardo, >> >> Estranho cara, eu testei esse 0.8.1 aqui em uma vm do virtualbox, >> instalou e levantou tudo inclusive o mysql. Vou fazer o seguinte: assim >> resolver uns pepinos aqui hoje do trampo, vou pegar um servidor de >> backup aqui, instalar o FreeBSD 9.1-BETA e atualizar para o >> 9.1-PRERELEASE. Depois vou baixar e instalar o iredmail 0.8.1 pra ver. >> Você quer instalar ele em jail? Vou fazer os testes aqui e te digo. >> - > Então Marcelo, isso mesmo que fiz, peguei o 9.1 beta, atualizei para o > prerelease > Aí criei 8 jails em ips diferentes, preciso instalar em jail pois > facilita backup e manutencao. > > Baixei a ultima versao do iredmail e fiz tudo conforme a instrucao, > hostname ok, reverso ok, batch static ok, etc. > > Na primeira vez, instalou mas nada se comunicava como mysql, o mysql > tava no ar... > > Atualizei o ports ontem e fiz denovo, aí nem a instalacao funcinava, > dava erro num port la do python... > > Enfim, se tu conseguir nas mesmas condicoes que eu tentei, sem erro, e > sem meter a mao em nada, eu vou pegar a 12 e me matar, ehehe hHahAhaH separa a 12 aí pra mim e uma munição cerrada ahahahahah Você prefe
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Em 07/08/2012, às 12:03, Marcelo Gondim escreveu: > Em 07/08/2012 11:57, Tiago escreveu: >> Entendi, então é só fazer a instalação padrão freebsd 9.x + suporte a >> tproxy (squid_tproxy) e voilá? hehe > > FreeBSD 9.x + Lusca com TProxy. :) > >> >> >> Em 7 de agosto de 2012 10:45, Marcelo Gondim >> escreveu: >>> Em 07/08/2012 10:43, Tiago escreveu: No caso já é assim Marcelo. No pppoeserver eu redireciono as requisições para porta :80 via iptables para o cache squid e caso o cache caia, basta remover estas regras que ele redireciona direto para o gateway. >>> Ah então não precisa de patch não. :) O patch era para modo bridge. >>> Que eu lembre rsrsrsrs >>> Em 7 de agosto de 2012 10:40, Marcelo Gondim escreveu: > Em 07/08/2012 10:26, Tiago escreveu: >> Olá pessoal, >> Seguindo recomendações estou começando a configurar um servidor >> freebsd 9.x para utilizar com o Lusca + incomun em um ambiente com >> tproxy. >> >> No caso, o meu cenário é esse: >> cliente -> pppoeserver -> squid3 com tproxy -> linux gateway/router -> >> internet >> >> Andei lendo no histórico aqui da lista que é necessário um patch no >> lusca para o funcionamento do tproxy? Em outro lugar li que não seria >> necessário no freebsd 9.x. > Que eu lembre o patch era para uso em bridge, que parece o seu caso. Não > uso cache faz tempo mas porque você não coloca seu cache em paralelo? > Pelo que entendi na sua configuração se qualquer coisa parar o cache > como a máquina queimar ou interfaces, você teria que remanejar > fisicamente os cabos. A configuração que usávamos aqui no Provedor era > assim: > > cliente -> [pppoeserver] -> [FreeBSD Firewall 2º nível] -> [FreeBSD > Firewall 1º nível / Router BGP] -> Internet > | > | > [FreeBSD Lusca TProxy] > > Não sei se vai sair como eu quero mas o [FreeBSD Lusca TProxy] era > ligado diretamente com o [FreeBSD Firewall 2º nível] e os pacotes > repassados pelo ipfw para ele. Nesse caso se houvesse algum problema com > o Cache, era só desabilitar no Firewall que a rede prosseguiria > normalmente, sem mexer em nada físico. > >> O que está correto? Como baixar/aplicar esse patch? >> >> Estou iniciando no freebsd agora, meu background é em Linux e tenho >> atualmente 3 servidores linux+tproxy+squid3 atendendo a +- 4mil >> usuários simultâneos em horário de pico. >> >> Aceito sugestões e opiniões. >> >> Obrigado >> > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> - >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Caros, Poderiam passar algum material sobre essa combinação?! Quero fazer tproxy aqui sem bridge, qual sistema de arquivos recomendam? Também uso incomum. Lí sobre algum problema não especificado com ufs+softupdates nalguns cenários e zfs é pisar em ovos até acertar a configuração. Peço desculpas em pegar carona no tópico do colega mas creio que também lhe será útil. ___ Bruno Araújo Antes de imprimir, verifique se tem papel e tinta suficiente na impressora. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] snort e pf
2012/8/7 Marcelo Gondim : > Em 07/08/2012 13:35, Leonardo Augusto escreveu: >> 2012/8/7 Marcelo Gondim : >>> Em 07/08/2012 11:25, Leonardo Augusto escreveu: 2012/8/6 Marcelo Gondim : > Em 06/08/2012 18:01, Leonardo Augusto escreveu: >> 2012/8/6 Marcelo Gondim : >>> Em 06/08/2012 16:51, Rejaine Monteiro escreveu: costumava usar algumas regras do http://www.emergingthreats.net ma não sei como anda o projeto hj em dia. >>> Continua tão bom quanto antes. :) >>> atualiza baixando em http://www.emergingthreats.net/rules/emerging.rules.tar.gz Em 06-08-2012 16:43, Anderson Alves de Albuquerque escreveu: > Eu estou querendo bloquear P2P via detecção via snort. Olhei o > p2p.rules > do snort e constatei que existem poucas rules (regras). > > Onde eu conseguiria pegar mais rules e rules atualizadas? > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> Ao invés do snort usa o suricata [1]. Muito melhor, já tem suporte à >>> GPU, multithread e outras coisitas mais que o snort não faz e você pode >>> aproveitar as regras do snort se já tiver usando. >>> >>> [1] - http://www.openinfosecfoundation.org/ >>> >> O Marcelo me ajuda la no qmail... FAMP é molezinha né... eheh até eu.. >> ate de olhos fechados.. > qmail? rsrsrs não vejo qmail desde a época na Conectiva em 2000 rsrsrrs > só tem 12 anos que não vejo ahahhaahah. > Você já tentou usar o iRedMail? Ele faz a parte pesada da instalação dos > pacotes e depois você configura o restante como quiser. :) > > http://iredmail.com/ > http://iredmail.com/install_iredmail_on_freebsd.html > > Se for testar já tem a versão 0.8.1 porque a 0.8.0 tava com problemas na > instalação dos pacotes. > Tem backend para OpenLDAP, MySQL e PostgreSQL. :) > > Eles tem o iredadmin(programa de administração via web) pago e free, > sendo que a versão paga é que é o bicho e não é tão caro: > http://iredmail.com/admin_buy.html > > > >> Agora o qmail ta matando.. Nao sei nem como cheguei lá onde tá agora... >> Viu lá o log do smtp ? parece que é algo com a criptografia... ou >> parece que o smtp auth não esta funcionando... >> >> Nunca vi um treco com tanto patch como esse qshit >> >> Pior que fiquei o domingo todo "fuçando" no postfix e daí acontece o >> contrário, envia, mas nao recebe, kkk >> da um erro de /etc/alias sei la o que... aí desanima... o qmail já sei >> instalar ate de cabeça.. mas essa naba >> do smtp... ta osso. >> >> Voce nao andou escrevendo nenhum patch la pro port do qmail né ? > ahahhaha não não. rsrsrsr > Marcelo, Só tenho o freebsd 9.x, o datacenter nao suporta mais o 8 ... Tentei em vao (umas 4x) instalar esse iredmail instalava tudo normal, quando ia rodar dava erro de mysql.. nenhuma das tranqueiras que eram para acessa-lo conseguiam faze-lo, comecando pelo iredadmin... Aí atualizei o ports e agora da erro num port la, py-nao lembro o que... nem instala ! lixo lixo, os caras so querem que funcione no linsucks, tanto que ta la na pagina deles: "fix debian install bla bla bla" de julho agora Pelo visto nem tentaram instalar no 9.1.. senao veriam os erros que da. Postei la no forum deles os problemas que tive... enfim... Sugeri até que removessem entao o suporte a freebsd, já que nao funciona, constar lá pra encher linguiça ? Tem vários outros caras reclamando disso no forum, que nao funciona em jail no freebsd 9.x dose.. só tomando um dreer >>> opa Leonardo, >>> >>> Estranho cara, eu testei esse 0.8.1 aqui em uma vm do virtualbox, >>> instalou e levantou tudo inclusive o mysql. Vou fazer o seguinte: assim >>> resolver uns pepinos aqui hoje do trampo, vou pegar um servidor de >>> backup aqui, instalar o FreeBSD 9.1-BETA e atualizar para o >>> 9.1-PRERELEASE. Depois vou baixar e instalar o iredmail 0.8.1 pra ver. >>> Você quer instalar ele em jail? Vou fazer os testes aqui e te digo. >>> - >> Então Marcelo, isso mesmo que fiz, peguei o 9.1 beta, atualizei para o >> prerelease >> Aí criei 8 jails em ips diferentes, preciso instalar em jail pois >> facilita backup e manutencao. >> >> Baixei a ultima versao do iredmail e fiz tudo conforme a instrucao, >> hostname ok, reverso ok, batch static ok, etc. >> >> Na primeira vez, instalou mas nada se comunicava como mysql, o mysql >> tava no ar... >> >> Atualizei o ports ontem e fiz denovo, aí nem a instalacao funcinava, >> dava erro num port la do python... >> >> Enfim, se tu conseguir nas mesmas condicoes que eu tentei,
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Estranho, Se eu setar no navegador a configuração manual do proxy :3128, eu navego corretamente. Se eu redirecionar as requisições via iptables para o meu servidor freebsd com o intuito do tproxy como eu faço nos meus outros caches linux, ele gera alguns erros: comm_fdopen6: FD 29: TPROXY comm_ips_bind_rem() failed: errno 1 ((1) Operation not permitted) e clientTryParseRequest: FD 14 (meuIP:61505) Invalid Request Estou caindo nos casos já citados? A necessidade dos patches? Em 7 de agosto de 2012 12:03, Marcelo Gondim escreveu: > Em 07/08/2012 11:57, Tiago escreveu: >> Entendi, então é só fazer a instalação padrão freebsd 9.x + suporte a >> tproxy (squid_tproxy) e voilá? hehe > > FreeBSD 9.x + Lusca com TProxy. :) > >> >> >> Em 7 de agosto de 2012 10:45, Marcelo Gondim >> escreveu: >>> Em 07/08/2012 10:43, Tiago escreveu: No caso já é assim Marcelo. No pppoeserver eu redireciono as requisições para porta :80 via iptables para o cache squid e caso o cache caia, basta remover estas regras que ele redireciona direto para o gateway. >>> Ah então não precisa de patch não. :) O patch era para modo bridge. >>> Que eu lembre rsrsrsrs >>> Em 7 de agosto de 2012 10:40, Marcelo Gondim escreveu: > Em 07/08/2012 10:26, Tiago escreveu: >> Olá pessoal, >> Seguindo recomendações estou começando a configurar um servidor >> freebsd 9.x para utilizar com o Lusca + incomun em um ambiente com >> tproxy. >> >> No caso, o meu cenário é esse: >> cliente -> pppoeserver -> squid3 com tproxy -> linux gateway/router -> >> internet >> >> Andei lendo no histórico aqui da lista que é necessário um patch no >> lusca para o funcionamento do tproxy? Em outro lugar li que não seria >> necessário no freebsd 9.x. > Que eu lembre o patch era para uso em bridge, que parece o seu caso. Não > uso cache faz tempo mas porque você não coloca seu cache em paralelo? > Pelo que entendi na sua configuração se qualquer coisa parar o cache > como a máquina queimar ou interfaces, você teria que remanejar > fisicamente os cabos. A configuração que usávamos aqui no Provedor era > assim: > > cliente -> [pppoeserver] -> [FreeBSD Firewall 2º nível] -> [FreeBSD > Firewall 1º nível / Router BGP] -> Internet >| >| > [FreeBSD Lusca TProxy] > > Não sei se vai sair como eu quero mas o [FreeBSD Lusca TProxy] era > ligado diretamente com o [FreeBSD Firewall 2º nível] e os pacotes > repassados pelo ipfw para ele. Nesse caso se houvesse algum problema com > o Cache, era só desabilitar no Firewall que a rede prosseguiria > normalmente, sem mexer em nada físico. > >> O que está correto? Como baixar/aplicar esse patch? >> >> Estou iniciando no freebsd agora, meu background é em Linux e tenho >> atualmente 3 servidores linux+tproxy+squid3 atendendo a +- 4mil >> usuários simultâneos em horário de pico. >> >> Aceito sugestões e opiniões. >> >> Obrigado >> > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> - >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
2012/8/7 Tiago : > Estranho, > Se eu setar no navegador a configuração manual do proxy :3128, eu > navego corretamente. > > Se eu redirecionar as requisições via iptables para o meu servidor > freebsd com o intuito do tproxy como eu faço nos meus outros caches > linux, ele gera alguns erros: > > comm_fdopen6: FD 29: TPROXY comm_ips_bind_rem() failed: errno 1 ((1) > Operation not permitted) > e > clientTryParseRequest: FD 14 (meuIP:61505) Invalid Request > > Estou caindo nos casos já citados? A necessidade dos patches? > Existe uma trava de segurança no kernel do FreeBSD onde apenas o root (uid 0) pode fazer bind(2) para endereços não locais, já que isso pode abrir uma séria brecha de segurança. Em um dos patches do tproxy (notadamente o http://loos.no-ip.org/lusca_tproxy.diff) eu desabilitei essa trava no kernel (a alteração no arquivo netinet/ip_output.c). Existe uma outra solução e um patch (acredito que esteja disponivel no histórico das listas do lusca) que faz com que o lusca rode como root. Você vai precisar aplicar uma dessas soluções para rodar com o tproxy. Att., Luiz - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Em 7 de agosto de 2012 16:56, Tiago escreveu:
> Estranho,
> Se eu setar no navegador a configuração manual do proxy :3128, eu
> navego corretamente.
>
> Se eu redirecionar as requisições via iptables para o meu servidor
> freebsd com o intuito do tproxy como eu faço nos meus outros caches
> linux, ele gera alguns erros:
>
> comm_fdopen6: FD 29: TPROXY comm_ips_bind_rem() failed: errno 1 ((1)
> Operation not permitted)
> e
> clientTryParseRequest: FD 14 (meuIP:61505) Invalid Request
>
> Estou caindo nos casos já citados? A necessidade dos patches?
>
>
tem que rodar o lusca como root
tem que fazer um "hackezinho" no fonte do lusca para ele aceitar
escutar como root:
No codigo fonte do lusca edite o arquivo src/main.c, comente essa parte
de if, para que ele não verifique se esta rodando como root.
if (geteuid() == 0) {
debug(0, 0) ("Squid is not safe to run as root! If you must\n");
debug(0, 0) ("start Squid as root, then you must configure\n");
debug(0, 0) ("it to run as a non-priveledged user with the\n");
debug(0, 0) ("'cache_effective_user' option in the config file.\n");
fatal("Don't run Squid as root, set 'cache_effective_user'!");
}
o patch é para fazer o tproxy funfar com bridge. Que acho que não é o seu caso
--
Luiz Gustavo Costa (Powered by BSD)
*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
mundoUnix - Consultoria em Software Livre
http://www.mundounix.com.br
ICQ: 2890831 / MSN: cont...@mundounix.com.br
Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
Blog: http://www.luizgustavo.pro.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
