BFW Firewall & Router

[luapufo]

Vejam Minha rede, ele esta assim, como na figura abaixo:



Como podem ver, recebo duas linhas velox de 1mb cada, minhas configurações:

Modem 1 = Bridge
Modem 2 = Roteado IP 10.0.0.1


========== > Eth0 = 192.168.0.1 ( Lan ligada ao BFW 1 )
BFW 2 ===== > Eth1 = PPPoe ( Internet modem Bridge )
========== > Eth2 = 10.0.0.2 ( Internet modem Roteado )


BFW 1 ==== > Eth0 = 10.0.0.1 ( Lan ligada ao Switch )
========= > Eth1 = 192.168.0.2 ( Lan ligada ao BFW 2 )

Uso o BFW 2, para receber as 2 linha, fazer o loadbalance e o cache com squid, pois sei que QOS, não controla o UP da segunda placa de rede e que o SQUID, não deixa fazer o controle de UP da primeira placa de rede, queria usar os dois, então esta foi uma solução pratica para o momento.

O BFW 1, recebe um link que vem do BFW2, que somando as duas linhas, dão 2048 Kbps de Down e 640 Kbps de UP, meus únicos problema, são as paginas de banco, pois o problema todo mundo já sabe, algumas paginas daqui do fórum, também dão problema, por exemplo quando vou escrever em um tópico, as vezes fala que não tenho autorização, mais e so mandar enviar de novo que vai, a mesma coisa aconteceu ontem, quando fui acessar o email da OI, abriu normalmente, mais quando fui abrir uma mensagem, me pediu a senha de novo, esta é a desvantagem do loadbalance, mais quando se faz dounwload, com um bom programa de aceleração, putz, vai la em cima.

O bom, que tenho controle total do QOS, com o loadbalance + Squid instalado no BFW2
Uso esta regra no rc.local para acessar o webadmin do BFW 2 que é assim:

#Acesso ao modem por traz do BFW modem 1
ip addr add 192.168.0.2/24 dev eth2
iptables -t nat -I POSTROUTING -s 10.0.0.0/28 -o eth2 -j MASQUERADE

esta regra eu peguei no Knowledge Base que esta assim:
Como ter acesso a modem bridge atras coyote,

qualquer coisa so perguntar

[vanderlpp]

estou com o mesmo problema que vc no load balance, soque comigo tem mais, as vezes ele para de responder, e da pagina nao encontrada... as vezes fica tao lentoque nao responde mais nada tambem. fiquei com tanta raiv que tirei do balance. agora espero uma solução mais estavel, como esta aqui: viewtopic.php?t=55742

assim, me parece que os efeitos colaterais acabam. estou so no aguardo pra fazer mais testes... nao colocarei em pratica o load balance enquanto existir algum problema...

[luapufo]

tambem acompanho este topico, so no aguardo para testar, mais o jeito que instalalei, ja me resolveu Squid + loadbalance no BFW 2, no BFW 1, fica o QOS que pode controlar Down e UP, sem problema, minha intenção e colocar 5 links, para fazer loadbalance aqui, ja viu a M****, que vai dar, pois aqui so link de 1mb no maximo

[vanderlpp]

é... mas se vc tiver uma placa de rede servindo os cinco links, o QoS controla banda sim... basta colocar os links num switche e cada link com IP em faixas diferentes, eu estava usando assim aqui e da certo legal... nao precisa colocar uma placa pra cada link. ate pq tem placa que nao tem mais que tres PCI, ai complica a coisa, por issoestou usando a solução de duas placas de rede, uma LAN e outra WANs.

[luapufo]

meu BFW2, tem 4 slot PCI e uma Lan Onbord, entao me resolveu o SQUID, pois ele faz o QOS nao Controlar UP, ai ja viu, se nao tiver controle de UP, o Down fica lento de qualquer maneira

[andrefellows]

luapufo1, né querendo ser estraga prazer não, mas essa configuração de placa com 4 PCI + LAN onboard não funfa... A ultima PCI compartilha o mesmo IRQ da LAN onboard, ai é tromba.
Bom, isso foi no meu caso, se sua placa mae consegue definir o IRQ da LAN onboard e de cada PCI, VAI FUNCIONAR!!!

Abraços

[luapufo]

andrefellows
me dei bem, estou com windows instalado e 5 placas de rede, sem nehum conflito, vou comprar agora 4 modelos iguais, pena que nao da para comprar do mesmo modelo da onbord que é uma sis900, pois usaria so um driver

[luapufo]

veja minha rede, olhe que velocidade:

pelo sisinfo do BFW:



Meu torrents, baixando:

Hoje


Dia 19 - 03 - 2007


ja fiz o pedido de mais 2 velox, vai ficar um foguete

[luapufo]

vanderlpp
ate agora, aqui nao ficou lento não, funcionando perfeitamante.

Agora que puder me responder,
Tem limite de loadBalance ou depende de quantas Placa de rede eu possa colocar

[vanderlpp]

vc pode colocar mais quantas maquinas vc puder... assim vc coloca uns 3 ou 4 links em cada maquina...

ai melhora muito...

estou vendo em usar o argento... seria uma solução muito boa...

baixou o arquivo pdf? entendeu??

[luapufo]

o arquivo nao descompactou aqui, uso o winrar 3.60 beta7, e deva erro, falava que estava vazio, tinha 19k

[vanderlpp]

era isso mesmo... 19k... e na estava vazio nao... vou remandar pra la...

[luapufo]

ok, no aguardo, vou sair agora e depois eu baixo

[Marcos do Vale]

" entao me resolveu o SQUID, pois ele faz o QOS nao Controlar UP"

Aqui pra mim controla.

[luapufo]

Marcos me desculpe-me se falei besteira, mais de acordo com o que esta no Knowledge Base com este titulo Por que ao usar o SQUID o QOS não controla o UPLOAD ? neste link
http://www.brazilfw.com.br/forum/kb.php?mode=article&k=97, ele faz o QOS nao controlar UP, se tem uma solução por favor, voce sendo administrador, conserte o que esta la, pois muita gente usa Knowledge Base como base e aproveitando, passe para gente que ja esta aqui a solução

[Claudio]

" entao me resolveu o SQUID, pois ele faz o QOS nao Controlar UP"

Aqui pra mim controla.

Como?

[goodposting]

é... mas se vc tiver uma placa de rede servindo os cinco links, o QoS controla banda sim... basta colocar os links num switche e cada link com IP em faixas diferentes, eu estava usando assim aqui e da certo legal... nao precisa colocar uma placa pra cada link. ate pq tem placa que nao tem mais que tres PCI, ai complica a coisa, por issoestou usando a solução de duas placas de rede, uma LAN e outra WANs.

ok, até o switche eu entendí... mas como vc configura os 5 links dentro do BFW ? ...isso sendo q serão 5 faixas de IP diferentes. como confg. os 5 ips?

[vanderlpp]

na pagina de configuração do load, tem como fazer pra configurar apenas 3 se naome engano, entao e so pegar as diferenças e incluir mais dois no atrquivo de configuração repetindo as informações e mudando qnd necessario...

nada de bicho de sete cabeças...

entendeu??

[goodposting]

ok, vou tentar aqui qualquer coisa posto...

valeu.

[goodposting]

achei um negócio bom aqui...
Roteador XRT-402D
http://www.centrin.com.br/loja/shopinde ... egoria=278


vou pesquizar agora se a loja é de confiança...

[Claudio]

na pagina de configuração do load, tem como fazer pra configurar apenas 3 se naome engano,

São 4.

entao e so pegar as diferenças e incluir mais dois no atrquivo de configuração repetindo as informações e mudando qnd necessario...

Não é assim.
Os arquivos de configuração são apenas os lugares onde os parametros são guardados. Para que os parâmetros sejam uteis é preciso que os scripts estejam preparados para utilizá-los. Os scripts do brazilfw admitem a parametrização de 4 links.

[vanderlpp]

ok, entendido.

[Claudio]

O sistema sempre sorteia um dos links PARA CADA CONEXÃO.
Quando você usa o torrent, voce tem a IMPRESSÃO que foi somado porque ele abre centenas de conexões, o sistema jogou a metade para um link e a outra metade para o outro. Cada conexão traz um pouquinho de dados, fazendo um efeito-formiguinha, juntas elas fazem um grande download.

Para navegar, cada pagina que você carrega é uma conexão. Se você fizer um download grande pelo internet explorer ele só faz UMA conexão, portanto o arquivo vai descer totalmente por um link só. Porem existem alguns bons programas do tipo "Acelerador de Download" (flashget, getright, DAP) esses programas quebram os arquivos em vários pedaços e abrem várias conexões paralelas. Isso dá ao bfw a chance de distribuir a carga entre os links.

[vanderlpp]

alguem ja tentou fazer o LOAD BALANDE como o nosso amigo luapufo fez, com dois BFWs no VMWARE??

estou tentando e ta dando erro de DNS no BFW 2. o que nao tem o LB, faz somente o roteamento. agora estou tentando trocar os DNS por outros...

mas ate agora nada de resultado positivo...

[py3sol]

Quando você usa o torrent, voce tem a IMPRESSÃO que foi somado porque ele abre centenas de conexões

Mestre Claudio existe alguma forma de limitar o numero de conexões por alguma regra no firewall?
Se sim como seria a regra pra limitar por exemplo em 30 conexões.

[luapufo]

py3sol,
isso ja foi discutido, de uma procurada, tem uma ferramenta la no canto superior direito da pagina, chamada pesquisa, se usar ela vai achar

[WladSP]

só um palpite de quem cai de para quedas no assunto:
um (futuro) cliente meu, está com um Firewall HotBrick com problemas e estudando o caso dele, vi que eles (hotBrick) resolveram o problema de Banco X L.B. assim:
Há uma opção que força todas conexões seguras (porta 443) à utilizarem determinado Link, lá puseram o nome de "Port Bindiing" http://www.hotbrick.com/knowledge_base_detail.asp?codkno=138
Quem souber fazer isso no BrFW, resolveu ! rsss

Abraço,

[goodposting]

pessoal alguém aí pode me dizer se o BFW suporta a placa DFE-580TX ???



link ml : http://produto.mercadolivre.com.br/MLB- ... rvidor-_JM

[Just]

aryribeiro, nas perguntas do produto o vendedor mesmo responde.

30/05/2007 13:26 ola amigo esse placa funciona e sistema linux ? PHSEGURANÇA (9)
30/05/2007 14:21 Ola amigo! A placa só é compativel com os sistemas operacionais NT, 2000, XP e 2003. Obrigado.

[goodposting]

aryribeiro, nas perguntas do produto o vendedor mesmo responde.

30/05/2007 13:26 ola amigo esse placa funciona e sistema linux ? PHSEGURANÇA (9)
30/05/2007 14:21 Ola amigo! A placa só é compativel com os sistemas operacionais NT, 2000, XP e 2003. Obrigado.

não confie em vendedores q não sabem nem o q comeram ontem!

essa placa é suportada pelo Mikrotik Router OS p/ começo de conversa.

eu queria outras respostas aqui do fórum... essa foi bola fora, com todo respeito.

[Jofre]

Caro aryribeiro, vc já instalou um BFW? qdo vc está preparando os disketes de instalacão, vc tem a opçao de escolher dentre todas as placas de rede disponíveis. Esta placa D-Link deve constar na lista, fica dificil alquem se lembrar de todas, mas, tenho quase certeza que esta placa consta lá sim. Simule a geração do diskete de instalação do BFW 2.30 para tirar suas dúvidas e aí se vc se enrolar ou se atrapalhar todo, com certeza alguém irá te ajudar. Mas, atençao, poste sua dúvida no local certo!

[goodposting]

a ta, valeu.

ja instalei bfw várias vezes (vide assinatura) e vou olhar aqui...
só q indiretamente essa dúvida está no lugar certo.
tem a ver com o tópico sim.


e quero tirar dúvidas antes de comprar a placa, se não eu compro a toa, entende?

queria saber se consigo usar loadbalance e failover com ela sem problemas e com 4 DSL em pppoe. ou se isso é só uma "solução windows" , q vem com o programa p/ windows 2k3 server.

obrigado.

[Jofre]

luapufo, seguí seus conselhos e como precisava instalar dois Links montei dois BFW em cascata e como precisava criar certa intimidade com o Squid (uma Empresa não conectada a estes dois BFWs está querendo instalar restriçoes de acesso a sites e percorrendo o forum cheguei a conclusao que a melhor opção pra isto é mesmo o Squid) instalei o Squid. Fiz da seguinte forma:

BFWan recebendo os dois links, addons instalados só mesmo os tres relacionados ao Squid (não instalei o L7 filter, nem HD Parm pois fiquei preocupado do HD Parm acabar provocando algum mau funcionamento no Squid). QOS desativado, DHCP desativado.

BFLan recebendo um unico Link fornecido pelo BFWan e distribuindo para todas as sub-redes. QOS ativado para sub-redes, DHCP (ainda) desligado e toda a rede com IPs estáticos (isso não é bom, mas, já estava assim).

E o FireWall? ficou ativo nos dois BFWs. Primeiro porque quem projetou o Coyote jamais imaginou que alguem iria querer instalar um FireWall desativado. Sei que podemos escancarar o BFW na unha, mas, não tenho conhecimentos tecnicos para faze-lo de forma eficiente. Segundo porque fica uma dúvida: Qual dos dois BFWs deve ter seu FireWall desativado para que o conjunto funcione de forma mais efetiva?

Passei todo o domingo instalando os dois equipamentos quebrando muito a cara. Sabe aquela famosa Lei de Murphy (será que escrevi o nome certo?) que diz que se houver alguma chance da coisa dar errado com certeza vai dar?, pois é a Lei funcionou comigo o tempo todo. Placas de rede com drivers corretos nunca ficavam UP e uma das maquinas quando instalava o sistema no HD só funcionava um minuto e aí dava um erro de DMA e travava. Finalmente qdo coloquei o sistema no ar eram 5 horas da segunda feira e aí estava morto de cansado e fui tirar um cochilo e quando retornei as 8 horas morria de preocupado. Afinal vários tópicos do forum reportam que instalar o Squid é suicidio pois para abrir um site tipo google demora vários minutos. Mas finalmente chegando aquí passei o dia sem que ninguem reclamasse e toda a vez que eu entrava da Internet via que a danada tava a mil (MARAVILHA!). Hoje é quinta-feira e neste intervalo aconteceram 2 acidentes: primeiro um cliente ligou que nao conseguia acessar o Bradesco (já tinha lido no Forum acerca de sites de bancos com LoadBalance). Fui lá e realmente quando entrava no site do banco, de repente vinha uma mensagem que tinha havido uma troca de IP e trancava tudo e aí abri o Internet Explorer e excluí os arquivos temporarios, fechei e abri de novo e ao acessar o site do banco não deu mais a mensagem (MARAVILHA!). Preciso retornar ao cliente pra saber se ele tá tendo que limpar os temporários toda vez que tem que acessar o Bradesco. O outro acidente tem um lado BOM e outro ruim. O lado bom é que o Squid está funcionando exatamente naquilo que vou precisar (bloquear sites) êle está bloqueando toda a abertura de anexos no HotMail. O lado ruim é que vários clientes usam o HotMail e estão desesperados pelo fato de não poderem abrir os Anexos. Já peguei no forum como fazer isto, só que: O Squid está instalado no BFWan e eu estou do outro lado no BFLan e o BFWan está inacessível. Tentei o processo postado pelo Mestre neste tópico e aí foram muitas tentativas sem exito. Daí peguei o IP externo e fui pra casa, já eram 2:30 da manha de hoje e lá tentei acessar o BFWan atraves do Putty conforme tutorial do Knowledge e o interessante é que fiz todas as configurações no computador lá de casa, acessei o BFWan e me loguei, ví as configuraçoes (aquela opção C) todas as Conexoes UP tudo normal e já exultava de alegria, mas, quando fui acessar o WebAdmin através do Internet Explorer cadê? tudo que tentei foi em vão e olha que o Tutorial do KnowLedge Base explica de forma tão clara que não entendo porque não dá certo. As minhas configurações são as seguintes: a) BFWan Eth1 192.168.0.1 primeiro Link modem Bridge. Eth2 10.1.1.1 segundo Link modem roteado. Eth0 172.21.0.1 conectado ao BFLan através de cabo Cross. b) BFLan Eth1 172.25.0.2 conectado ao BFWan através de cabo Cross. Eth0 172.25.0.1. Desde já agradecido fico no aguardo.

[Just]

aryribeiro, nas perguntas do produto o vendedor mesmo responde.

30/05/2007 13:26 ola amigo esse placa funciona e sistema linux ? PHSEGURANÇA (9)
30/05/2007 14:21 Ola amigo! A placa só é compativel com os sistemas operacionais NT, 2000, XP e 2003. Obrigado.

não confie em vendedores q não sabem nem o q comeram ontem!

essa placa é suportada pelo Mikrotik Router OS p/ começo de conversa.

eu queria outras respostas aqui do fórum... essa foi bola fora, com todo respeito.

Então me desculpe! Olhando na lista de placas suportadas essa consta na lista. O driver é sundance.

Ela deve funcionar no BFW sim. O sistema vai reconhecer 4 ETHs.

[eduleme]

Segundo li, esta placa faz balanceamento de carga por intermedio de um software que vem com ela. No nosso BFW isso vai funcionar? ou simplesmente vou ter 4 placas de rede em uma só sem o balanceamento "automático"?

[Jofre]

luapufo, seguí seus conselhos e como precisava instalar dois Links montei dois BFW em cascata e como precisava criar certa intimidade com o Squid (uma Empresa não conectada a estes dois BFWs está querendo instalar restriçoes de acesso a sites e percorrendo o forum cheguei a conclusao que a melhor opção pra isto é mesmo o Squid) instalei o Squid. Fiz da seguinte forma:

BFWan recebendo os dois links, addons instalados só mesmo os tres relacionados ao Squid (não instalei o L7 filter, nem HD Parm pois fiquei preocupado do HD Parm acabar provocando algum mau funcionamento no Squid). QOS desativado, DHCP desativado.

BFLan recebendo um unico Link fornecido pelo BFWan e distribuindo para todas as sub-redes. QOS ativado para sub-redes, DHCP (ainda) desligado e toda a rede com IPs estáticos (isso não é bom, mas, já estava assim).

E o FireWall? ficou ativo nos dois BFWs. Primeiro porque quem projetou o Coyote jamais imaginou que alguem iria querer instalar um FireWall desativado. Sei que podemos escancarar o BFW na unha, mas, não tenho conhecimentos tecnicos para faze-lo de forma eficiente. Segundo porque fica uma dúvida: Qual dos dois BFWs deve ter seu FireWall desativado para que o conjunto funcione de forma mais efetiva?

A instalação foi na segunda, hoje é quinta-feira e neste intervalo aconteceram 2 acidentes: primeiro um cliente ligou que nao conseguia acessar o Bradesco (já tinha lido no Forum acerca de sites de bancos com LoadBalance). Fui lá e realmente quando entrava no site do banco, de repente vinha uma mensagem que tinha havido uma troca de IP e trancava tudo e aí abri o Internet Explorer e excluí os arquivos temporarios, fechei e abri de novo e ao acessar o site do banco não deu mais a mensagem (MARAVILHA!). Preciso retornar ao cliente pra saber se ele tá tendo que limpar os temporários toda vez que tem que acessar o Bradesco. O outro acidente tem um lado BOM e outro ruim. O lado bom é que o Squid está funcionando exatamente naquilo que vou precisar (bloquear sites) êle está bloqueando toda a abertura de anexos no HotMail. O lado ruim é que vários clientes usam o HotMail e estão desesperados pelo fato de não poderem abrir os Anexos. Já peguei no forum como fazer isto, só que: O Squid está instalado no BFWan e eu estou do outro lado no BFLan e o BFWan está inacessível. Tentei o processo postado pelo Mestre neste tópico e aí foram muitas tentativas sem exito. Daí peguei o IP externo e fui pra casa, acessei o BFWan, me loguei, mas, quando fui acessar o WebAdmin através do Internet Explorer cadê? tudo que tentei foi em vão e olha que o Tutorial do KnowLedge Base explica de forma tão clara que não entendo porque não dá certo. As minhas configurações são as seguintes: a) BFWan Eth1 192.168.0.2 primeiro Link modem Bridge. Eth2 10.1.1.1 segundo Link modem roteado. Eth0 172.21.0.1 conectado ao BFLan através de cabo Cross. b) BFLan Eth1 172.25.0.2 conectado ao BFWan através de cabo Cross. Eth0 172.25.0.1 rede local. Desde já agradecido fico no aguardo.

[Claudio]

O Squid está instalado no BFWan e eu estou do outro lado no BFLan e o BFWan está inacessível.

No kb tem um tutorial que ensina como acessar modems atraz do bfw. O procedimento é o mesmo.

Daí peguei o IP externo e fui pra casa,

Se o seu ip é dinâmico, o ipupdate (no primeiro bfw) ajuda bastante.

Daí peguei o IP externo e fui pra casa, acessei o BFWan, me loguei, mas, quando fui acessar o WebAdmin através do Internet Explorer cadê? tudo que tentei foi em vão e olha que o Tutorial do KnowLedge Base explica de forma tão clara que não entendo porque não dá certo.

Aqui você pode ter 2 problemas.
1 - Você so conseguirá acessar usando o ip do primeiro link.
2 - As vezes o webadmin é derrubado pelo sistema por falta de ram, acessando via ssh, dá um comando ps e veja se tem um processo chamado thttpd rodando. Se não tiver é porque o webadmin "caiu", para reativá-lo utilize o comando /etc/rc.d/pkgs/rc.webadmin, se isso acontecer com frequencia, aumente a RAM ou ajuste o consumo do squid ou instale o patch wa_patch.tgz

b) BFLan Eth1 172.25.0.2 conectado ao BFWan através de cabo Cross. Eth0 172.25.0.1 rede local.

Problema: Os dois lados do bfw precisam ter endereços em faixas diferentes.

[Jofre]

Mestre, a eth0 do BFWan é a internet que se liga na eth1 do BFLan se:

Problema: Os dois lados do bfw precisam ter endereços em faixas diferentes

estes dois IPs tiverem que estar em faixas diferentes, tudo que aprendi até hoje sobre redes vou ter que jogar no lixo (incluindo eu) e veja bem o BFWan eth0 está jogando o link de internet para o BFLan eth1 e os IPs na mesma faixa estão funcionando muito bem!

Acho que estou sentindo os efeitos colaterais do LoadBalance quando mando enviar o forum me obriga a me logar novamente