BFW Firewall & Router

por **IceMan - Brazil** » Qua Mai 06, 2009 7:08 pm

A T E N Ç Ã O !!!

Esta Versão (3.0) ainda está em Desenvolvimento.
Não Possui ainda a interface Gráfica.
A Configuração é feita de forma manual.

******************************************************************************************************************************************
Continuação do tópico: Versão 3.0 do BrazilFW [em desenvolvimento] - Parte 2 que foi trancado por estar ficando muito grande.

Link da última mensagem da 2ª Parte: :arrow:

viewtopic.php?f=2&t=67967&start=120&st=0&sk=t&sd=a&sid=a7b8239dea7ffff607861b30a9edc00b#p171735

***************************************************************************************************************************************************
Pessoal, Atenção !!

Pedimos encarecidamente que neste tópico não sejam postados: pedidos, sugestões, questionamentos e críticas.
Em certo momento o Luapufo comentou: "- No atual estágio esta sendo feito o "alicerce" do S.O. ".
Pessoal, nem a Alpha ainda foi lançada.
Com isso atualmente, pedidos, sugestões, questionamentos e críticas, vão atrapalhar mais do que ajudar.
Mediante o exposto acima qualquer pedido, sugestão, questionamento e crítica serão apagados.

Contamos com a compreenção de todos.

***********************************************************************************************************************************************

Pessoal, um pedido!!!!

Por favor, sempre testem a última ou atual, como queiram, versão de testes. A última versão sempre contêm Novidades e ou Correções de Bugs/Melhorias.

Ao ficarmos testando versões anteriores em vez de ajudar, estaremos é atrapalhando o trabalho do Woshman.

Coloquem a última versão para rodar. Ao encontrar problemas, relatem aqui e esperem.
Com certeza o Woshman de alguma forma dará retorno.

E não esqueçam que a 3.0 está em Desenvolvimento. Estamos no estágio de testes. Poderá ainda vir dezenas de alterações.
Quem quizer coloca-la em produção será por sua conta e risco.

***********************************************************************************************************************************************

Este tópico é para relatos de testes e possíveis bugs referente a Versão 3.0 do BrazilFW que esta em desenvolvimento.

por **Marcos Jr H2G** » Sex Mai 08, 2009 9:28 am

Boas... Estou usando a versao 3.0 com load balance + subrede + qos + dhcp / reserva ip + redirecionamento de portas. Acredito que quase em sua totalidade ate o momento esta tudo correndo 100% ja ha 30 dias com 30 clientes wi-fi sem mesmo ser reinicialo.
Criei um script para regra dos bancos ssh_banco.sh em /partition/scripts com o seguinte conteudo.

## rodar o comando #ip ru ae vc substitui o numero do ip ru pelo
## numero do --set-mark
#iptables -t mangle -A PREROUTING -p tcp --dport 443 -j MARK --set-mark <numero>

iptables -t mangle -A PREROUTING -p tcp --dport 443 -j MARK --set-mark 32763

meu ip ru e:
[brazilfw]/partition/scripts# ip ru
0: from all lookup local
32762: from all fwmark 0x2 lookup internet2
32763: from 200.xx.xx.xx lookup internet2
32764: from all fwmark 0x1 lookup internet
32765: from 189.xx.xx.xx lookup internet
32766: from all lookup main
32767: from all lookup default

Tanto o site do Bradesco como do Real perde a coneccao apos tela de login.
Algum erro quanto a regra iptables acima ?
Pergunta uma das empresas tem link de 3M como devo proceder com qos se sai por 2 links diferentes configurar no arq de qos.
172.16.0.2 1536 1536 60 "sai 1536 de velocidade max por cada link" ou
172.16.0.2 3072 3072 60 "o firewall faz a somatoria do que sai pelos 2 links".
Fico a disposicao para novos testes...
Agradecido...
Marcos Jr...

por **woshman** » Sex Mai 08, 2009 11:44 am

Marcos Jr H2G escreveu:Boas... Estou usando a versao 3.0 com load balance + subrede + qos + dhcp / reserva ip + redirecionamento de portas. Acredito que quase em sua totalidade ate o momento esta tudo correndo 100% ja ha 30 dias com 30 clientes wi-fi sem mesmo ser reinicialo.
Criei um script para regra dos bancos ssh_banco.sh em /partition/scripts com o seguinte conteudo.

## rodar o comando #ip ru ae vc substitui o numero do ip ru pelo
## numero do --set-mark
#iptables -t mangle -A PREROUTING -p tcp --dport 443 -j MARK --set-mark <numero>

iptables -t mangle -A PREROUTING -p tcp --dport 443 -j MARK --set-mark 32763

meu ip ru e:
[brazilfw]/partition/scripts# ip ru
0: from all lookup local
32762: from all fwmark 0x2 lookup internet2
32763: from 200.xx.xx.xx lookup internet2
32764: from all fwmark 0x1 lookup internet
32765: from 189.xx.xx.xx lookup internet
32766: from all lookup main
32767: from all lookup default

Tanto o site do Bradesco como do Real perde a coneccao apos tela de login.
Algum erro quanto a regra iptables acima ?
Pergunta uma das empresas tem link de 3M como devo proceder com qos se sai por 2 links diferentes configurar no arq de qos.
172.16.0.2 1536 1536 60 "sai 1536 de velocidade max por cada link" ou
172.16.0.2 3072 3072 60 "o firewall faz a somatoria do que sai pelos 2 links".
Fico a disposicao para novos testes...
Agradecido...
Marcos Jr...

#iptables -t mangle -A PREROUTING -p tcp --dport 443 -j MARK --set-mark <numero> <- são os numeros disponiveis no "ip ru"

[brazilfw]/partition/scripts# ip ru
0: from all lookup local
32762: from all fwmark 0x2 lookup internet2
32763: from 200.xx.xx.xx lookup internet2
32764: from all fwmark 0x1 lookup internet
32765: from 189.xx.xx.xx lookup internet
32766: from all lookup main
32767: from all lookup default

voce so podera usar o 0x1 = internet e 0x2 = internet2, não esse numero inventado 32763

por **Marcos Jr H2G** » Seg Mai 11, 2009 9:16 am

Bom dia... e obrigado pela forca... fiz as alteracoes e ate agora nada de reclamacoes acredito que tenha dado certo...
Ficou assim... iptables -t mangle -A PREROUTING -p tcp --dport 443 -j MARK --set-mark 0x1 ...
quanto a velocidade de configuracao do squid alguma dica ??

por **linuxerbel** » Seg Mai 11, 2009 4:53 pm

Caros amigos,

Estou usando com bfw 3.0.178 com load balance + qos + squid + dhcp a 4 dias cerca de 40 clientes, está 100% navegação rápida, blz mesmo. gostaria de saber se tem como saber os clientes que estão online?
agora me apareceu um problema com autentcação, faço a minha autentucação e qdo vou entrar em algum tópico estou descoectado aí tenho que fazer login novamente como resolver?

até mais

por **woshman** » Seg Mai 11, 2009 8:15 pm

BrazilFW 3.0.179

direct: http://www.brazilfw.com.br/users/woshma ... azilfw.iso

Código: Selecionar todos: http://www.brazilfw.com.br/users/woshman/bt/brazilfw.iso

Novidades:

atualização do bind para 9.6.1b1
atualização do squid 3.0STABLE14
fix bug pppd 2.4.4
adicionado suporte ao pppoe server.

em relação ao route inteligente, o Reginaldo ira ensinar a usa-lo logo abaixo.

por **reginaldo** » Seg Mai 11, 2009 10:34 pm

Smart Route:

O link é verificado a cada 10 segundos, havendo alteração o Squid e as Rotas são recarregados.

Parâmetros:

Header do /etc/brazilfw/route.cfg:

Código: Selecionar todos: [ativo] [origem] [rota(s)] [comando] [argumentos]

Exemplos:

Código: Selecionar todos: yes n internet1,internet2 port 443 tcp yes n internet1,internet2 port 80 tcp browser yes s internet1,internet2 source browser yes f internet2,internet1 port 25 tcp yes f internet2,internet. port 110 tcp yes s internet1,internet2 source 192.168.0.1,192.168.0.2,192.168.0.3,192.168.0.4 yes s internet2,internet1 source 192.168.0.5,192.168.0.6,192.168.0.7 yes s internet1,internet2 source 192.168.0.0/24,10.0.0.5,192.168.50.0/30

[ativo]

yes/no [origem]

[rotas] = aliases dos links

Para separar os links usamos a vírgula (,).
- Exemplo: internet,internet2,internet3
A ordem é quem definie a prioridade. 1º,2º,3º...
Se por ventura o primeiro link cair o segundo assumira, se o segundo cair o terceiro assumira, voltando o primeiro link ele assume o posto dele
Se for definido somente um link, tendo mais de um no server e o link definido cair ele entrará no load balance.

[comando]

Se a [origem] for n ou f
1. port [porta] [protocolo] [filter]
2. source [ip]
3. dest [ip/url]
4. source-port [ip] [porta] [protocolo] [filter]
5. dest-port [ip] [porta] [protocolo] [filter]
6. [protocolo] = tcp, udp
7. [filter] = Todos os filtros validos do l7-protocols
Se a [origem] for s
Exemplos para serem usados no route.cfg:
Código: Selecionar todos
edit /etc/brazilfw/route.cfg

Código: Selecionar todos
# sem squid yes n internet1,internet2 port 80 tcp browser # com squid yes s internet1,internet2 source browser # https yes n internet1,internet2 port 443 tcp # Trocar o nome internet1,internet2,... pelo apelido que voce definiu antes nas configurações do sistema

"Setorizando" a Rede:
- Obs.: Para separar os IPs ou Redes usamos a vírgula (,).
Exemplos:

Para iniciar ou reiniciar o serviço:

Código: Selecionar todos: /etc/rc.d/rc.route

por **reginaldo** » Seg Mai 11, 2009 10:43 pm

Atenção !!!!

Senhores Marcos Jr H2G, linuxerbel, airamcarlos e outros a versão .179 com o "smart route" resolve o problema de perda de login em sites em que é necessário autenticação.

por **woshman** » Ter Mai 12, 2009 8:10 pm

BrazilFW 3.0.180

direct: http://www.brazilfw.com.br/users/woshma ... azilfw.iso

Código: Selecionar todos: http://www.brazilfw.com.br/users/woshman/bt/brazilfw.iso

novidades:

rc.route bug pppoe [fix]
rc.route add squid dest-domain
install bug vfat [fix]
bind bug character "#" in /etc/hosts for comment [fix]
change /etc/brazilfw/hosts to /etc/brazilfw/hosts.cfg
add /etc/brazilfw/cron.cfg
add /etc/brazilfw/custom/rc.local for custom startup
add squid logrotate in cron
add /etc/brazilfw/custom/squid.acl for custom squid
add /etc/rc.d/rc.macip (amarração de mac/ip)

por **tecjair** » Ter Mai 12, 2009 11:59 pm

julicravo escreveu:Atualizei para a versao 3.0.180 um item mencionado não apareceu:

change /etc/brazilfw/hosts to /etc/brazilfw/hosts.cfg - continuou como "hosts"

add /etc/rc.d/rc.macip (amarração de mac/ip) - ok
add /etc/brazilfw/cron.cfg

Eu copiei os arquivos brazilfw.gz e version.inf /mnt depois desmontei "umt" e dei um reboot sem dar backup antes.

Estou correto ?

Obrigado.

O processo para atualizar está certo, mas para desfrutar de todas as melhorias é recomendável reinstalar do zero para atualizar todos os arquivos

por **julicravo** » Qua Mai 13, 2009 12:02 am

O que eu poderia "beckapear" para depois de formatar colocar tudo de novo ??

Obrigado.

por **tecjair** » Qua Mai 13, 2009 12:23 am

/etc/brazilfw/*
copie via scp e depois reconfigure os novos arquivos .cfg sem copiar por cima.

por **woshman** » Qua Mai 13, 2009 1:22 am

BrazilFW 3.0.181

direct: http://www.brazilfw.com.br/users/woshma ... azilfw.iso

Código: Selecionar todos: http://www.brazilfw.com.br/users/woshman/bt/brazilfw.iso

novidades:

rc.macip bug fix with squid thnx tecjair

por **luapufo** » Qua Mai 13, 2009 7:35 am

tecjair escreveu:
julicravo escreveu:Atualizei para a versao 3.0.180 um item mencionado não apareceu:

change /etc/brazilfw/hosts to /etc/brazilfw/hosts.cfg - continuou como "hosts"

add /etc/rc.d/rc.macip (amarração de mac/ip) - ok
add /etc/brazilfw/cron.cfg

Eu copiei os arquivos brazilfw.gz e version.inf /mnt depois desmontei "umt" e dei um reboot sem dar backup antes.

Estou correto ?

Obrigado.

O processo para atualizar está certo, mas para desfrutar de todas as melhorias é recomendável reinstalar do zero para atualizar todos os arquivos

acho que so copiano isto ja é necessario, nao precisa instalar do zero, do zero seria para formatar o hd de novo.
agora ficou uma duvida, quem ja tem o squid habilitado, deve fazer uma instalação do zero, pois o cache antigo vai ficar la, sera que osquid novo vai indentificar o cache antigo e indexar corretamente?

por **reginaldo** » Qua Mai 13, 2009 9:14 am

luapufo escreveu:acho que so copiano isto ja é necessario, nao precisa instalar do zero, do zero seria para formatar o hd de novo.
agora ficou uma duvida, quem ja tem o squid habilitado, deve fazer uma instalação do zero, pois o cache antigo vai ficar la, sera que osquid novo vai indentificar o cache antigo e indexar corretamente?

Numa mudança desse porte, acho aconselhável instalar do zero.

Nesses casos faço backup de todo o diretório /etc/brazilfw

Como nessa atualização houve mudança de momenclatura do arquivo /etc/brazilfw/hosts para /etc/brazilfw/hosts.cfg, copiei todo o conteudo do antigo arquivo para o novo.

por **reginaldo** » Qua Mai 13, 2009 4:19 pm

Amarração IP X MAC:

Parâmetros:

Header do /etc/brazilfw/reserve.cfg:

Código: Selecionar todos: [ip] [mac] 192.168.0.1 2e:00:54:16:a4:66

Observações:

O arquivo /etc/brazilfw/reserve.cfg é o mesmo para reserva de ips para DHCP
O MAC dever ser com dois pontos(:) e não com traço (-)
- Exemplo: 192.168.0.1 2e:00:54:16:a4:66

Para ativar o controle de mac/ip edit o arquivo /etc/brazilfw/brazilfw.cfg e coloque 'yes' em USE_MAC_CONTROL

Código: Selecionar todos: edit /etc/brazilfw/brazilfw.cfg USE_MAC_CONTROL='yes'

O conceito usado no controle MAC x IP é o da Lista Branca. Só navega quem estiver na lista.
Se o Controle MAC x IP estiver halitado no brazilfw.cfg e o MAC não etiver cadastrado o cliente não conseguirá fazer nada.
Nem ping para o BFW é conseguido. Através do MAC não cadastrado só se tem acesso a porta do webadmin e a porta ssh para uma eventual manutenção.

Exemplo:

Você precisa bloquear um determinado MAC.
Basta você ir na linha desse IP/MAC comenta-la e recarregar o serviço. Automaticamente o cliente é bloqueado, nâo passando nem pelo QOS e nem pelo Squid.

Código: Selecionar todos: edit /etc/brazilfw/reserve.cfg

Código: Selecionar todos: #192.168.0.1 2e:00:54:16:a4:66

Código: Selecionar todos: /etc/rc.d/rc.macip

Para iniciar ou reiniciar o serviço:

Código: Selecionar todos: /etc/rc.d/rc.macip

por **reginaldo** » Qua Mai 13, 2009 10:01 pm

Tarefas Agendadas - Cron:

Por Padrão o cron (Tarefas agendadas) já vem habilitado.
Havendo alguma alteração no arquivo /etc/brazilfw/cron.cfg é só recarregar o serviço.

Parâmetros:

Header do /etc/brazilfw/cron.cfg:

Código: Selecionar todos: mm hh dd MM ss script comentario | | | | | | | | | | | | | +-------- Comentário | | | | | +---------------- Comando/script a ser executado | | | | +--------------------- Dia da semana (0 - 6) (domingo=0) | | | +------------------------ Mês (1 - 12) | | +--------------------------- Dia do mês (1 - 31) | +------------------------------ Hora (0 - 23) +--------------------------------- Minuto (0 - 59)

Observações:

Em Dia da semana, 0 refere-se a domingo; e 6, ao sábado. No caso de dia da semana funciona também as três primeiras letras (em inglês) do dia da semana (SUN,MON,TUE,WED,THU,FRI,SAT)
Em qualquer posição pode-se usar o * (asterisco) quando não se importar com o campo em questão.
Pode-se utilizar intervalos nesses campos. O caracter para intervalo é o - (hifen).
Pode-se utilizar lista de valores nesses campos. O caracter para a lista é a , (vírgula).
Qualquer texto colocado após o programa que será executado será considerado comentário e não será interpretado pelo cron

Exemplo:

Código: Selecionar todos
00 * * * * script # Todo dia de hora em hora (hora cheia)
Código: Selecionar todos
00-59/5 * * * * script #De cinco em cinco minutos todos os dias (note a divisão por 5 do intervalo 00-59)

Para reiniciar o serviço:

Código: Selecionar todos: /etc/init.d/cron reload

por **woshman** » Qui Mai 14, 2009 1:14 am

BrazilFW 3.0.182
direct: http://www.brazilfw.com.br/users/woshma ... azilfw.iso

Código: Selecionar todos: http://www.brazilfw.com.br/users/woshman/bt/brazilfw.iso

novidades:

Dansguardian 100% funcional
add /etc/brazilfw/custom/squid.cfg (only advanced users)

por **julicravo** » Qui Mai 14, 2009 7:56 am

Bom dia!

Estou com a versão 3.0.181 instalando e no log que recebo por e-mail está aparecendo as seguintes linhas:

May 14 07:27:22 brazilfw auth.err getty[15899]: ttyS0: TCGETS: Input/output error^M
May 14 07:27:32 brazilfw auth.err getty[15944]: ttyS0: TCGETS: Input/output error^M
May 14 07:27:42 brazilfw auth.err getty[15989]: ttyS0: TCGETS: Input/output error^M
May 14 07:27:52 brazilfw auth.err getty[16034]: ttyS0: TCGETS: Input/output error^M
May 14 07:28:02 brazilfw auth.err getty[16079]: ttyS0: TCGETS: Input/output error^M

May 14 07:29:52 brazilfw auth.err getty[16574]: ttyS0: TCGETS: Input/output error^M
May 14 07:29:53 brazilfw daemon.info dhcpd: DHCPINFORM from 192.168.0.30 via eth0: not authoritative for subnet 192.168.0.0
May 14 07:29:56 brazilfw daemon.info dhcpd: DHCPINFORM from 192.168.0.30 via eth0: not authoritative for subnet 192.168.0.0
May 14 07:30:02 brazilfw auth.err getty[16619]: ttyS0: TCGETS: Input/output error^M
May 14 07:30:12 brazilfw auth.err getty[16664]: ttyS0: TCGETS: Input/output error^M
May 14 07:30:22 brazilfw auth.err getty[16684]: ttyS0: TCGETS: Input/output error^M

Ele tb pede para colocar o parametro no dhcpd.conf

"authoritative ;"

Alguem poderia dar uma luz ??

Obrigado!!!

por **linuxerbel** » Qui Mai 14, 2009 11:15 am

Bom dia amigos,

Por falta de tempo ainda nao pude atualizar o bfw, ainda estou com a .178, e verifiquei agora que estão sainda atualizações, então gostaria de pedir ao woshman que se possivel na proxima atualização pudesse incluir algum comando como o arp para mostrar so clientes online. sei que não é aconselhavel mais aqui estou usando a versão 3 do bfw no servidor do provedor que está atendendo cerca de 40 clientes com 2 links em pppoe, squid e qos habilitados.
Para finalizar gostaria de parabenizar ao woshman pelo excelente trabalho e ao Reginaldo pelos tutoriais.

obrigado e até mais

por **woshman** » Qui Mai 14, 2009 11:16 am

julicravo escreveu:May 14 07:27:22 brazilfw auth.err getty[15899]: ttyS0: TCGETS: Input/output error^M

desabilite a porta serial na bios

julicravo escreveu:May 14 07:29:53 brazilfw daemon.info dhcpd: DHCPINFORM from 192.168.0.30 via eth0: not authoritative for subnet 192.168.0.0

essa configuração do dhcp voce esta usando com subrede ou sem subrede?

por **woshman** » Qui Mai 14, 2009 11:19 am

linuxerbel escreveu:gostaria de pedir ao woshman que se possivel na proxima atualização pudesse incluir algum comando como o arp para mostrar so clientes online.

se pesquisar voce encontra isso no forum, mas todavia digite o seguinte comando:

Código: Selecionar todos: cat /proc/net/arp

por **julicravo** » Qui Mai 14, 2009 12:38 pm

Não tem subrede não !

Apenas a rede 192.168.0.0/24

Faixa do DHCP de .2 ate .65

E reservas com MAC.

Valeu.

E excelente Trabalho! Você está de parabéns!

Estou perdendo minhas madrugadas configurando ele....

Abração...

julicravo escreveu:May 14 07:29:53 brazilfw daemon.info dhcpd: DHCPINFORM from 192.168.0.30 via eth0: not authoritative for subnet 192.168.0.0

essa configuração do dhcp voce esta usando com subrede ou sem subrede?

por **linuxerbel** » Qui Mai 14, 2009 2:33 pm

woshman escreveu:
linuxerbel escreveu:gostaria de pedir ao woshman que se possivel na proxima atualização pudesse incluir algum comando como o arp para mostrar so clientes online.

se pesquisar voce encontra isso no forum, mas todavia digite o seguinte comando:

Código: Selecionar todos
cat /proc/net/arp

opa, desculpa woshman,

foi falta de atenção minha, estava digitndo diretamente o comando arp.

mais uma vez parabens pelo execelente trabalho

até mais

por **julicravo** » Qui Mai 14, 2009 7:07 pm

Olá galera,

Instalei BFW 3.0 a penultima compilação, está filé!

Mas estou com um problema no hardware, placa de rede dando erros na interface. já verifiquei o cabeamento está tudo ok!
Preciso trocar essa placa, o BFW já instalado reconfigura ao mudar?? Preciso fazer alguma mudança após??
Obrigado a todos e tambem ao woshman e Reginaldo os "feras" do BFW!!!

por **julicravo** » Sáb Mai 16, 2009 11:18 am

Essa eh para Woshman e Reginaldo.

Estou com a penultima compilação do BFW 3.0 e detectei um problema:
Estou usando o DHCP, sem sub-redes, e rc.macip.
Todos os meus usuarios estão no reserve.cfg e funcionando perfeitamente cada um pegando seu respectivo ip.
O rc.macip também está funcionando.
O lance eh o seguinte, quando coloco uma maquina nova na rede automaticamente ela pega um ip já utilizado no reserve.cfg
e ela está no dhcp-leases cadastrada la.

Para contornar a situação apaguei o lease e vinculei a maquina no reserve.cfg "MACP-IP" e depois restartei o DHCP e também o script rc.macip
A maquina pegou o ip correto informado e navegou na internet perfeitamente.
Gostaria de resolver o lease que não pode de hipotese alguma pegar um ip ja "amarrado"

Obrigado aos Dois !!

por **tecjair** » Sáb Mai 16, 2009 7:17 pm

julicravo escreveu:O lance eh o seguinte, quando coloco uma maquina nova na rede automaticamente ela pega um ip já utilizado no reserve.cfg

e ela está no dhcp-leases cadastrada la.

Para contornar a situação apaguei o lease e vinculei a maquina no reserve.cfg "MACP-IP" e depois restartei o DHCP e também o script rc.macip

A maquina pegou o ip correto informado e navegou na internet perfeitamente.

Gostaria de resolver o lease que não pode de hipotese alguma pegar um ip ja "amarrado"

Obrigado aos Dois !!

FUI

Julicravo, poste se possível seu reserve.cfg e seu dhcp.cfg para analizarmos e tentarmos encontrar um padrão para esse erro. Eu passei por isso esses dias, e como aconteceu contigo também começo a pensar que possa ser um bug (ainda não confirmado).

por **julicravo** » Dom Mai 17, 2009 10:53 am

Respondendo sua perguntar:

[brazilfw]/etc/brazilfw# more dhcp.cfg
192.168.0.2 192.168.0.65

[brazilfw]/etc/brazilfw# more reserve.cfg
192.168.0.2 00:1c:c0:cb:53:d3
192.168.0.4 00:1e:4c:ac:6d:c2
192.168.0.5 00:21:85:53:1c:ad
192.168.0.6 00:1b:b9:94:b3:c5
192.168.0.7 00:0e:08:1c:20:71
192.168.0.8 00:16:44:a6:87:a9
192.168.0.9 00:1f:e2:33:b0:65
192.168.0.10 00:1e:58:16:1c:f3
192.168.0.11 00:13:d3:2f:ec:0b
192.168.0.12 00:13:8f:0c:45:2d
192.168.0.13 00:1c:25:47:e6:15
192.168.0.14 00:1c:bf:8f:6c:28
192.168.0.15 00:0f:ea:9d:44:89
192.168.0.16 00:13:d4:cb:d4:d7
192.168.0.17 00:0f:b0:d6:a8:42
192.168.0.18 00:13:20:95:c3:6a
192.168.0.19 00:18:fe:27:22:f2
192.168.0.20 00:19:db:49:88:a3
192.168.0.22 00:15:af:d5:eb:c7
192.168.0.23 00:15:f2:ce:3e:67
192.168.0.24 00:15:af:5c:40:f6
192.168.0.25 00:19:21:99:41:a1
192.168.0.26 00:0c:6e:6b:16:d7
192.168.0.27 00:1a:92:58:87:0e
192.168.0.28 00:1a:92:58:87:6f
192.168.0.29 00:15:c5:6a:b0:19
192.168.0.30 00:1a:2a:88:0f:97
192.168.0.31 00:15:af:5b:77:5e
192.168.0.32 00:03:0d:7b:0d:6d
192.168.0.33 00:21:5d:ee:ce:08
192.168.0.34 00:15:af:32:be:2e
192.168.0.35 00:0f:ea:98:aa:ed
192.168.0.36 00:c0:a8:ea:ea:6f
192.168.0.37 00:16:ec:c6:76:25
192.168.0.38 00:16:ec:69:09:24
192.168.0.39 00:24:2b:b1:08:58
192.168.0.40 00:1c:c0:cb:48:1b
192.168.0.41 00:14:0b:0f:c2:b6
192.168.0.42 00:24:2b:1f:6f:e8
192.168.0.43 00:13:ce:c6:bc:7b
192.168.0.44 00:1c:23:42:01:ac
192.168.0.46 00:1b:11:1d:24:fa
192.168.0.47 00:c0:9f:66:18:6f
192.168.0.48 00:1c:25:4a:91:b0
192.168.0.49 00:14:0b:44:ba:3b
192.168.0.51 00:1f:e1:d5:09:2e
192.168.0.52 00:16:ec:d4:6f:82
192.168.0.53 00:0a:e4:f1:52:fc
192.168.0.54 00:0c:29:ff:69:53
192.168.0.55 00:0f:ea:a4:75:ae
192.168.0.56 00:1c:23:82:46:8e
192.168.0.57 00:14:a5:6a:2c:51
192.168.0.58 00:0f:b0:c2:39:db
192.168.0.60 00:1e:58:17:d6:15
192.168.0.61 00:15:af:29:6f:90
192.168.0.62 00:1d:19:93:2a:ac
192.168.0.63 00:90:f5:74:93:f1
192.168.0.64 00:1a:73:65:31:f8
[brazilfw]/etc/brazilfw#

Detalhe: Esse último com ip .64 estava pegando o ip .2 já amarrado como visto.
Tive quer colocar ele na mão ip e mac.

Observe que dentro :

[brazilfw]/var/db# ls
dhcpd.leases dhcpd.leases~

estava o MAC do ip .64 que o BFW atribuiu .2

Não tenho mais esse lease se não portava aqui.

Abraços e vamos resolver isso!!

Outro detalhe é que eu uso load-balance e de vez em quando os vídeos do "youtube" da umas falhas, informando:

"nao foi possivel abrir o video, tente mais tarde"

fuiiiiii

por **rhine-pr** » Dom Mai 17, 2009 5:52 pm

Tenho uma quantidade enorme de ips do youtube, globo, e outros, como vai ficar pra configurar o LB pra escolher esses destinos ?

por **reginaldo** » Dom Mai 17, 2009 6:29 pm

rhine-pr escreveu:Tenho uma quantidade enorme de ips do youtube, globo, e outros, como vai ficar pra configurar o LB pra escolher esses destinos ?

viewtopic.php?f=2&t=69024#p172269 ==> "Setorizando a rede"

por **rhine-pr** » Dom Mai 17, 2009 6:49 pm

reginaldo escreveu:
rhine-pr escreveu:Tenho uma quantidade enorme de ips do youtube, globo, e outros, como vai ficar pra configurar o LB pra escolher esses destinos ?

viewtopic.php?f=2&t=69024#p172269 ==> "Setorizando a rede"

Esse endereçamento è pra rede interna, eu falo pra internet, sair determinado endereco de internet(nao ip interno) por determinado link, exe:

dest y LB1 209.85.173.0/24 80 80 #googlevideos
dest y LB2 209.85.174.0/23 80 80 #googlevideos
dest y LB3 209.85.192.0/23 80 80 #googlevideos

determinei que cada ip vai sair por um link usndo a porta 80 ...

Se fosse ip pra rede interna como vc citou ficaria assim:

net y LB1 LAN1 192.168.7.1 32 #

esse e legal tmb, determinei que o link 1 vai ser direcionado pra eth0(lan1) pro ip 192.168.7.1

por **woshman** » Dom Mai 17, 2009 7:22 pm

rhine-pr escreveu:
reginaldo escreveu:
rhine-pr escreveu:Tenho uma quantidade enorme de ips do youtube, globo, e outros, como vai ficar pra configurar o LB pra escolher esses destinos ?

viewtopic.php?f=2&t=69024#p172269 ==> "Setorizando a rede"

Esse endereçamento è pra rede interna, eu falo pra internet, sair determinado endereco de internet(nao ip interno) por determinado link, exe:

dest y LB1 209.85.173.0/24 80 80 #googlevideos
dest y LB2 209.85.174.0/23 80 80 #googlevideos
dest y LB3 209.85.192.0/23 80 80 #googlevideos

determinei que cada ip vai sair por um link usndo a porta 80 ...

Se fosse ip pra rede interna como vc citou ficaria assim:

net y LB1 LAN1 192.168.7.1 32 #

esse e legal tmb, determinei que o link 1 vai ser direcionado pra eth0(lan1) pro ip 192.168.7.1

bfw 3.x: usando o squid.
yes s internet1,internet2,internet3 dest-domain video.google.com
yes s internet2 dest-domain .globo.com
yes s internet3 dest-domain .youtube.com

yes s internet1,internet2,internet3 source 192.168.7.1/32

por **arauadbr** » Seg Mai 18, 2009 12:09 am

sou novato neste ambiente (BFW), e estou com o seguinte problema: instalei a versão 3.1.182 e fiz as configurações iniciais. No momento de instalar o certificado, simplesmente não sei como fazer.

Duvidas:
1- tenho que acessar por outra maquina?
2-tenho de instalar um navegador nesta maquina que esta em teste?

PS.: desculpem pela ignorancia, mas é a primeira vez que tenho contato com o BFW.

por **woshman** » Seg Mai 18, 2009 2:14 am

BrazilFW 3.0.183
direct: http://www.brazilfw.com.br/users/woshma ... azilfw.iso

Código: Selecionar todos: http://www.brazilfw.com.br/users/woshman/bt/brazilfw.iso

novidades:

adicionado sarg para uso em rede empresariais.
adicionado webalizer para uso em provedores.

atualizado:

busybox-1.13.4
dhcpd-4.1.1b1 (favor verificar se o problema do lease foi solucionado)

por **woshman** » Seg Mai 18, 2009 2:29 am

arauadbr escreveu:sou novato neste ambiente (BFW), e estou com o seguinte problema: instalei a versão 3.1.182 e fiz as configurações iniciais. No momento de instalar o certificado, simplesmente não sei como fazer.

Duvidas:
1- tenho que acessar por outra maquina?
2-tenho de instalar um navegador nesta maquina que esta em teste?

PS.: desculpem pela ignorancia, mas é a primeira vez que tenho contato com o BFW.

desculpe, mas esta parte do forum é para quem ja tem experiencia no assunto.

por **IceMan - Brazil** » Seg Mai 18, 2009 10:52 pm

arauadbr escreveu:Qual local apropriado, para postar minha dúvida?

A versão 3 esta em fase de testes. Então somente usuários mais experientes estão testando.
Por este motivo aconselho a usar a versão 2.31.10. Por este motivo não estamos dando suporte a duvidas sobre o BFW 3.

Vc pode tentar se aventurar na versão 3 usando o exelente tutorial feito pelo Reginaldo, que esta no fórum tutoriais em Português. Ou usar a versão 2.31.10 e usar o fórum Ajuda em Geral para possiveis dúvidas...

por **fenix** » Seg Mai 18, 2009 11:38 pm

Boa Noite Pessoal

So Usuario do Debian, e achei interessante o projeto de vcs, tenho um pouco de conhencimento em linux,
gostaria de ajudar, domino um pouco de iptables/squid/dhcp/... e compilação de fontes

abraços
Francisco Raimundo

por **reginaldo** » Ter Mai 19, 2009 12:12 am

DansGuardian:

O Dansguardian é um filtro de conteúdo que se integra ao Squid para a filtragem de "material impróprio", segundo configuração padrão existente.

É muito útil em redes onde necessita-se de um controle bem rigoroso das páginas visitadas, sendo muito mais completo que as regras do próprio Squid. Embora rigoroso, ele é extremamente flexível.

Atenção!!!
Aconselha-se a utilizar o DansGuardian somente dentro de Empresas. Dentro de Provedores é desaconselhável o seu uso.

Veja o Dansguardian em ação:

Imagem

Vamos conhecer alguns arquivos do DansGuardian que manipulam os bloqueios:

Tudo o que começar com "banned" são arquivos de negação e tudo que começar com "exception" são arquivos de excessões.

Arquivos que estão no diretório /etc/brazilfw/dansguardian/lists/

bannedextensionlist ==> LIsta de bloqueio por extensão de arquivos, aqui ficam as extensões de arquivo que queira bloquear o acesso.
bannedsitelist ==> Lista de site bloqueados, aqui ficam os includes de suas blacklist.
filtergroupslist ==> aqui se pode atribuir a que grupo um usuário pertence, por padrão todos são do grupo 1.
bannediplist ==> Lista de ips (da sua rede) bloqueados (ips sem acesso a internet). IPs contidos aqui não acessam nada.
bannedmimetypelist ==> Tipo MIME bloqueados (download bloqueado).
bannedphraselist ==> Lista de frases banidas dentro da página (e não na URL).
bannedregexpurllist ==> Lista de expressões regulares bloqueadas.
bannedurllist ==> Lista de URLs bloqueados.
banneduserlist ==> Lista de usuários (da sua rede) bloqueados, usuários sem acesso a internet.
banneduserlist ==> usuários bloqueados.
contentregexplist ==> Conteudo baseado em expressões regulares que serão substituidos.
exceptioniplist ==> Excessão de ips filtrados (ips da sua rede que não serão filtrados).
exceptionsitelist ==> Sites liberados, sites contidos aqui não são consultados por potuação, liberado todo o conteúdo;
exceptionphraselist ==> Lista frases que são excessão
exceptionurllist ==> Lista de urls que são excessão (urls liberadas)
exceptionuserlist ==> Lista de usuários (da sua rede) que são excessão
greysitelist ==> Sites que estão na lista cinza
greyurllist ==> URLs que estão na lista cinza
pics ==> Definição do PICS Labeling
weightedphraselist ==> Lista de frases/palavras e seus "pesos" (os pesos podem ser positivos ou negativos)

Arquivos que estão no diretório /etc/brazilfw/dansguardian/

dansguardian.conf ==> Arquivo de configuração principal.
dansguardianf1.conf ==> Arquivo de configuração de grupos de usuários.

Não pense duas vezes, LEIA TODOS OS ARQUIVOS DE CONFIGURAÇÃO. Isso irá ajudar-lo a entender melhor a lógica de funcionamento do DansGuardian.

Para Habilitar o DansGuardian no BrazilFW. Faça o seguinte:

Código: Selecionar todos: edit /etc/brazilfw/custom/squid.cfg Na linha WEB_CONTENT_FILTER='no' Troque o 'no' por 'yes' Salve e saia

Preencha os seus bloqueios. Salve e Saia. Depois pare o Squid e Inicie ele novamente.

Para parar o Squid:

Código: Selecionar todos: /etc/init.d/squid stop

Para iniciar o Squid:

Código: Selecionar todos: /etc/init.d/squid start

Quando alterar algo no diretório /etc/brazilfw/dansguardian/lists/, faça:

Código: Selecionar todos: /etc/init.d/squid reload

Quando se mexer nos arquivos dansguardian.conf:

dansguardianf1.conf; bannedip e exceptionip que estão juntos no mesmo diretório do dansguardian.conf, dê o seguinte comando:

Código: Selecionar todos: /etc/init.d/squid restart-dg

Fontes de Pesquisa:

Woshman: memberlist.php?mode=viewprofile&u=1335
DansGuardian: http://www.dasnguardian.org
http://br-linux.org/tutoriais/003552.html
Squid + DansGuardian
http://www.vivaolinux.com.br/dica/Liber ... nsguardian

por **reginaldo** » Ter Mai 19, 2009 3:04 pm

Geradores de Relatórios do BrazilFW 3.0 - Sarg e WebAlizer:

Sarg
- Para uso em Redes Empresariais.
WebAlizer
- Para uso em Provedores.

Sarg:

Ativando o Sarg:

Código: Selecionar todos: edit /etc/brazilfw/custom/squid.cfg Na linha SQUID_REPORT=' ' Coloque 'sarg' Salve e saia

Definindo a Língua:

Código: Selecionar todos: edit /etc/brazilfw/custom/squid.cfg Na linha SARG_LANGUAGE=' ' Coloque 'Portuguese' ou 'English' ou 'Spanish' Salve e saia

Período de Permanência dos Relatórios:

Código: Selecionar todos: edit /etc/brazilfw/custom/squid.cfg Na linha DELETE_REPORT_AFTER_DAYS='0' 0 (ZERO) = Os relatórios não são apagados Se colocar por exemplo '30', os arquivos com mais de 30 dias serão todos apagados Salve e saia

Observação:

Se os Hosts estiverem nomeados no arquivo /etc/brazilfw/hosts.cfg, no Sarg sairá com o Nome do Host.
O que não estiver nomeado sairá com o número do IP.

WebAlizer:

Imagem

Ativando o WebAlizer:

Código: Selecionar todos: edit /etc/brazilfw/custom/squid.cfg Na linha SQUID_REPORT=' ' Coloque 'webalizer' Salve e saia

Se o Squid já estiver rodando será necessário para-lo e inicia-lo novamente:

Para parar o Squid:
Código: Selecionar todos
/etc/init.d/squid stop
Para iniciar o Squid:
Código: Selecionar todos
/etc/init.d/squid start

Para visualizar o Relatórios

Código: Selecionar todos: https://ns.brazilfw.local:8181/report

Os Relatórios são atualizados a cada 10 minutos

por **reginaldo** » Ter Mai 19, 2009 3:27 pm

arauadbr escreveu:sou novato neste ambiente (BFW), e estou com o seguinte problema: instalei a versão 3.1.182 e fiz as configurações iniciais. No momento de instalar o certificado, simplesmente não sei como fazer.

Duvidas:
1- tenho que acessar por outra maquina?
2-tenho de instalar um navegador nesta maquina que esta em teste?

Minha duvida é esta.

arauadbr, vamos lá:

O acesso ao WebAdmin da 3.0 você faz através de qualquer cliente (micro) de sua rede usando o navegador de sua preferência.
O tutorial mostra como instalar o certificado em uma máquina cliente, da qual você quer acessar o WebAdmin. São dados os exemplos para o Internet Explorer e para o Mozila FireFox.

No Server BFW 3.0 você não instala nenhum navegador.

BFW Firewall & Router

Quem está online