BFW Firewall & Router

[nachazo]

posiblemente tengas el rigido en el ide 2...

Por eso no te toma el hda2 como particion válida...

Contame donde tenes tu rigido haciendo como dice gamba... Asi ideo una forma de montar el hdb automaticamente en cualquier de los 2 canales ide...

Saludos.

[Juanillo]

Nachazo, ya probe "de todo"
Instalé la 2.29b4 por las dudas, puse el hd en el ide 1 de modo que quede en hda y pude ejecutar e2fsck, pero sigue el error :(

Si se te ocurre alguna otra prueba que pueda hacer .....

Saludos

Juan

[nachazo]

Juanillo...

Borraste el /etc/rc.d/pkgs/mod.partition, salvaste todo y luego reiniciaste ?

si desintalas el hdb... existe el directorio llamado /partition ?

Saludos...

[Juanillo]

Si si, elimine el mod.partition y despues de reiniciar me fije que no existiera el /partition.

Saludos ...

[nachazo]

Y cuando haces df -h??? que te sale?

proba hacer lo siguiente....

cd /
mkdir hdb
mount -t ext2 /dev/hda2 /hdb

aparece el directorio /hdb ?
se monta el disco en el directorio?
Te sale algun error?

saludos.

[nachazo]

Ya encontre el problema perdonen las molestias en breve publico el link con la correccion...

Saludos.

[digimat]

Cambia un poco el archivo de qos...

Ahora podes redireccionar el qos de forma transparente de 2 formas....

1 es insegura, el famoso squidtransp... si alguien se cambia la ip navega igual...

Si usas las nuevas reglas todo va a funcionar mejor y de forma mas segura ya que hace control de ip y mac para el squid transparente...

simple_class_id_mac 48 16 64 16 128 192.168.1.48 00:11:D8:76:F3:24 squid_yes

La segunda forma funciona solo con simple_class_id_mac?
Class_id se sigue manteniendo ? si es asi, existe la inseguridad de que si alguien se cambia de ip navega igual...?

[Juanillo]

Gracias Nachazo ...

Esperamos la actualización ...

[nachazo]

Digimat...

Si todas las reglas antiguas siguen funcionando...

Las nuevas son:

simple_class_id_mac
norm_simple_class_id_mac
low_simple_class_id_mac

De estas forma podes asignar prioridades a distintos usuarios, la idea es que los usuarios que pagan mas tengan mejor prioridad que los que pagan menos... (vivimos en un mundo globalizado )...

El problema esta cuando usas squid transp.... Salvo que uses una regla por cada ip... por ejemplo

class_id 48 16 64 16 128 192.168.1.48
squidtransp 192.168.1.48
class_id 49 16 64 16 128 192.168.1.49
squidtransp 192.168.1.49

igualmente esta regla es relativamente segura... ya que si un usuario se cambia la ip y se pone una ip definida anteriormente, la redireccion se haria igual porque no tiene chequeo de mac...

Igualmente vos digimat si no me equivoco usas todo con class_id no?

Si ese es tu caso tendria que modificar los class_id para que entren en el nuevo sistema...

Si estas de acuerdo puedo hacerlo para la proxima version, pero solo si lo necesitas... Avisame si ese es el caso.

Saludos.

[jcmr79]

nachazo, cuando andube instalando la nueva version beta8 del ArBR el cual no me funciono por problemas con el hdb.tgz como ya todos sabemos, por su puesto me vi en la necesidad de reintalar la version beta 6, esta version tenia un problema con un archivo que estaba de solo lectura pero por los momentos no recuerdo donde esta ubicado el archivo al que hay que quitarle los permisos de solo lectura y darle acceso total.......

resulta que argento BR me esta cacheando solo por un pequeño tiempo, luego deja de cachear paginas..... estoy casi seguro que ese es el problema ya que esto paso una ves.....

[nachazo]

Listo ak lo tienen!!!

http://www.ladelbarrio.com.ar/nachazo/h ... 02/hdb.tgz

de paso si tienen hdtools cada ves que arranca el sistema les pasa una scandisk por si las moscas...

Salutes!!!

[digimat]

Las nuevas son:

simple_class_id_mac
norm_simple_class_id_mac
low_simple_class_id_mac

De esta forma podes asignar prioridades a distintos usuarios, la idea es que los usuarios que pagan mas tengan mejor prioridad que los que pagan menos... (vivimos en un mundo globalizado )...

Estas prioridades de donde toma los valores de las variables, porcentaje_norm="80" o ya tienen valores definidos, o trabajan simplemente con una marca y vas diferenciando la ip.

Igualmente vos digimat si no me equivoco usas todo con class_id no?

si pero un class_id para toda la red
class_id 48 16 64 16 128 192.168.1.0/24
squidtransp 192.168.1.0/24
Todos utilizan el ancho de banda si limitacion en velocidad.
Seria interesante poder opcionalmente dar esas prioridades a una ip pero basada en una clase para toda la red.

ipnopaga="64.111.96.38" me imagino que redireccionas a las personas que no pagan?

[Juanillo]

Nachazo, una preguntonta :P ...
Antes tenía el control de usuarios que "ligaba" una MAC a una IP, ahora eso lo hago con el QoS ?, o tengo que agregar en Permisos y Bloqueos una linea para la MAC y otra para el IP ?
ej:
ANTES
acces 192.168.1.101 00:0e:2e:26:a3:45 # cliente xxxx

AHORA
allow_mac 00:0e:2e:26:a3:45 # cliente xxxx
allow_ip 192.168.1.101 # cliente xxxx


Espero que se entienda ...

Saludos y gracias

Juan

[Juanillo]

Otra duda ... y van ....

Antes podía hacer esto (varias IP compartían un ancho de banda)
simple_class_id 111 6 32 40 128 192.168.1.111 # Cli 10 pc1
simple_class_id 111 6 32 40 128 192.168.1.112 # Cli 10 pc2

ahora puedo ?
porque al configurarlo así me da un error
simple_class_id_mac 111 6 32 40 128 192.168.1.111 00:13:8F:8D:67:5F squid_yes # cli 10 pc 1
simple_class_id_mac 111 6 32 40 128 192.168.1.112 00:13:8F:8D:67:5F squid_yes # cli 10 pc 2

el error es:

Configurando Clase simple 1:111
Squid transparente para: 192.168.1.111 ACTIVADO

Configurando Clase simple 1:111
RTNETLINK answers: File exists
RTNETLINK answers: File exists
RTNETLINK answers: File exists
RTNETLINK answers: File exists
RTNETLINK answers: File exists
RTNETLINK answers: File exists
Squid transparente para: 192.168.1.112 ACTIVADO

Saludos y perdón por romper tanto ....

[digimat]

porque al configurarlo así me da un error
simple_class_id_mac 111 6 32 40 128 192.168.1.111 00:13:8F:8D:67:5F squid_yes # cli 10 pc 1
simple_class_id_mac 111 6 32 40 128 192.168.1.112 00:13:8F:8D:67:5F squid_yes # cli 10 pc 2

debe ser asi
simple_class_id_mac 111 6 32 40 128 192.168.1.111 00:13:8F:8D:67:5F squid_yes # cli 10 pc 1
simple_class_id_mac 112 6 32 40 128 192.168.1.112 00:13:8F:8D:67:5F squid_yes # cli 10 pc 2

El ide debe ser unico para cada simple class id, es una forma de identificarla.
http://dolly.czi.cz/coyote/qos-setup.asp
Si no me equivoco.

[nachazo]

Juanillo se entiende perfecto...

Ahora lo tenes que hacer desde el qos... salvo que alguna ip o mac no la quieras definir en el qos...

Ejemplo practico:

tengo 3 usuarios de 128 k..

a los 3 los defino en el qos con...

simple_class_id_mac 48 16 64 16 128 192.168.1.48 00:11:D8:76:F3:24 squid_yes
simple_class_id_mac 49 16 64 16 128 192.168.1.49 00:11:D8:76:F3:25 squid_yes
simple_class_id_mac 50 16 64 16 128 192.168.1.50 00:11:D8:76:F3:26 squid_yes

pero ademas tengo una pc que quiero que atraviese el bridge porque me hace pings de chekeo generales de mis aps y mis bridges wify... Por ende no necesita que se le defina un qos a una maquina que hace pings...

le pongo en editar permisos...

allow_mac 00:10:4b:09:09:15

Se entiende?

Digimat ponele a una maquina ipnopaga y mira que pasa :P

por ejemplo:

no_paga 192.168.1.48

Saludetes!!!

[digimat]

simple_class_id_mac
norm_simple_class_id_mac
low_simple_class_id_mac

Estas prioridades de donde toma los valores de las variables, porcentaje_norm="80" o ya tienen valores definidos, o trabajan simplemente con una marca y vas diferenciando la ip. Podrias explicarme esta parte ?.

Estuve viendo tu script del squidcheck esta fabuloso, no se si le puedes agregar dos chequeos mas.
Normalmente cuando se cae el squid, es por falta de espacio o los logs llegan a los 2gb.

Si no levanta en el primer chequeo eliminar los logs automaticamente y enviar un mensaje, que opinas ?

[nachazo]

digimat

Para eso podriamos hacer mejor un chequeo de espacio maximo para los logs...

Osea le definimos cuanto queres que ocupen los logs en el disco caso que se exeda, se borran los logs o mejor se hace un squid rotate...

Con respecto a las prioridades de simple, norm y low class_id...

No hay variables tienen prioridad 1, 2 y 3 respectivamente...

Los id siempre tienen que ser distintos obligatoriamente...

No juanillo la mentablemente ahora no podes compartir el ancho de banda con varias ips...

Tendria que poner una regla especial para eso, me queda como pendiente.

Salutes.

[jcmr79]

Digimat ponele a una maquina ipnopaga y mira que pasa :P

por ejemplo:

no_paga 192.168.1.48

Saludetes!!!

No lo he realizado aun, pero me da la impresion que el mismo comando habla por si solo,

osea esa IP no saldra a la internet en ningun momento nachazo???

[nachazo]

Esa ip se redirige a una pagina de mascotas...

Solo puede ver esa pagina y nada mas que esa pagina... Es un poco gracioso, porque pongas la direccion que pongas en el navegador vas a esa pagina...

Saludos.

[jcmr79]

ok nachazo, me parece excelente eso, o andaba buscando en squid como redireccionar ciertas IPs internas hacia alguna pagina X,

como se puede colocar que no se dirija a esa pagina de mascotas sino a otra pagina que yo decida????

por ejemplo que yo haga una simple paginita en mi web especial para todo aque que este bajo ese comando?? eso es posible o andas trabajando en eso???


.

[nachazo]

AVISO GENERAL SQUID A SIDO DEPURADO PARA TENER LAS MEJORAS EN SU SISTEMA REISNTALE SQUID DESDE EL BOTON "INSTALAR SQUID" si tiene configuraciones especiales en el squid.conf haga un bakup.


Si es posible jmr79, tenes que poner la ip de tu servidor web en la variable ipnopaga

el mismo debe estar seteado en el puerto 80 y con una pagina de error que por defecto diga el mensaje que queres transmitir.

Saludos.

[digimat]

Nachazo tu crees que se pueda añadir
simple_class_id_mac
norm_simple_class_id_mac
low_simple_class_id_mac

a una class_id para toda una red ? como dices el paga mas tiene mayor prioridad.

Seria bueno lo de squid, derepente una variable mas para que borre o cree un log rotate a gusto de cada uno.

[jcmr79]

Si es posible jmr79, tenes que poner la ip de tu servidor web en la variable ipnopaga

el mismo debe estar seteado en el puerto 80 y con una pagina de error que por defecto diga el mensaje que queres transmitir.

Saludos.

Nachazo, pero si en ves de la IP yo colocase la direcion completa, por su pesto que con entrada por el puerto 80, se puede o es solo con la IP y el puerto 80 que es por defecto por los momentos???

[jcmr79]

exsiste algun problema de compatibilidad entre BrazilFW 2.28 + ArgentoQoS y BrazilFW 2.29 + ArgentoBR????

existe algu problema de compatibilidad entre las versiones??

cada uno de los servidores optienen IPs cuando los conecto directo al IPS, ya probe las tarjetas de redes y todas estan bien, pero cuando interconeto el argentoQoS seguido del ArgentoBR, no me levanta coneccion,

ya he inetentado de muchas maneras y ya no se que hacerle...........

[nachazo]

Nachazo tu crees que se pueda añadir
simple_class_id_mac
norm_simple_class_id_mac
low_simple_class_id_mac

a una class_id para toda una red ? como dices el paga mas tiene mayor prioridad.

Seria bueno lo de squid, derepente una variable mas para que borre o cree un log rotate a gusto de cada uno.

Eso ya existe.... ponelo y vas a ver que funciona....
Y tambien lo de la class_id...

Saludos.

[pcmarket]

Nachazo queria saber si esa version de squid se puede instalar sin instalar el argentoBR?

[nachazo]

mira como poder se puede...

Pero tenes que tener conocimientos básicos de comandos linux y del funcionamiento de brazilfw...

no se instala con el sistema clásico de add-ons...

Saludos.

[Angel]

Hola Nachazo.-

Hoy me sucedio que mi trafico se fue por las nubes los ping se iban hasta 1000ms al parecer fue unos puertos udp, el rango
tcp 1500:2000
upd 10000:15000

Maestrazo me saca de la duda?.

Buen dia a todos..!!!

ok Angel, gracias por tu reporte, anotado....

Tenes alguna regla de class_id combinada con otra de simple_class_id?

Saludos.

Saludos..!!!

Aqui sigo probando ArgentoQoS ...

Master, sigo preocupado y sin poder hacer casi nada ..
Algunas PCs saltan la talanquera (el trafico por las nubes) a menos que bloquee algunos puertos como:

6902:8179 tcp
6902:8179 udp
8181:65535 tcp
8181:65535 udp

de esa forma nadie salta la talanquera, pero se vienen al piso algunos servicios como es logico.

Creo que fue incluso lo que le paso a Digimat, el lo comenta en un post reciente.

NOTA: solo estoy usando simle_class_id, mas nada.

[nachazo]

Angel mientras uses simple class id nada esta garantizado... la unica forma de controlar esos problemas es usando class_id...

Vos que usas pppoe o dhcp para la conexion a internet?

Saludos.

[Angel]

Angel mientras uses simple class id nada esta garantizado... la unica forma de controlar esos problemas es usando class_id...

Vos que usas pppoe o dhcp para la conexion a internet?

Saludos.

Master, estoy usando DHCP. Hay algo que considerar al respecto?

Si uso class_id solo me aguanta unas 10-15 lineas (class_id), mas de alli me salen puros:

Killed
Killed
Killed
.
.
.

No estoy seguro, de pronto sea poca RAM (16MB). O sera saturacion del micro, pues siempre que hay jornadas de este tipo el CPUusage queda en 1.8 aprox. Claro, luego vuelve a sus 0.10-0.30

Master, habra alguna forma como de insertar un sleep manualmente en el archivo de class del ArgentoQoS (interpuesto a cada 8 lineas), solo para probar esto ultimo que digo?

Master, no me quedara de alguna otra alternativa de probar para que mis muchachos no me salten la talanquera con simple_class_id?, es que supongo que si sucede ahorita asi como estoy (un solo BrazilNAT) pues sucedera tambien en el bridge, claro aunque las cosas han cambiado a la Beta8 al sol de hoy.

[Juanillo]

Angel, me parece que la solucion mas rapida y facil es cambiar el hardware, te estas quedando corto con un 133 con 16mb para usar class_id.

Yo recientemente pase de un P 233 64Mb ram a un PIII 750 con 256 (esto lo tengo en el ArgentoBR+Squid) y los usuarios me preguntaron si les habia aumentado el ancho de banda. Te aseguro que el hardware tiene mucho que ver ...

Saludos

[digimat]

No estoy seguro, de pronto sea poca RAM (16MB). O sera saturacion del micro, pues siempre que hay jornadas de este tipo el CPUusage queda en 1.8 aprox. Claro, luego vuelve a sus 0.10-0.30

Angel en realidad parece ser un problema de hardware muy poco, a mi el tráfico se fue por la nubes a raiz de que el micro se recalento, eso ocasionaba a mi parecer que se genere colas en el server ya que el procesador al recalentarse el proceso lo realizaba mas lento, me falta confirmar. Voy a cambiar de micro P-II de 400 y probar el Argentoqos.

[digimat]

Nachazo una consulta esta orden cual es su funcion
simple_unknow_id

y tambien de este filtro ?
sub_proxy_port tcp 80

[ramiropampa]

Hola Nachazo:

te cuento mis dificultades a la hora de instalar el beta 8 del argentobridge.

Antes de comenzar realice la comprobacion de disco con hdtools, como indicastes mas arriba.

Luego cargue los paquetes hdb y argenbr y pasa lo siguiente:

cuando inicia dice:

ext2fs_check_if_mount: no such file or directory while determining whether /dev/hda2 is mounted
/dev/hda2 wast not cleanly unmounted, check forced
sh: bad blocks: not found

bueno, tarda poco mas de 7 minutos en terminar el chequeo y terminar de iniciar, esto lo hace cada vez que el argentobridge es reiniciado (sin execpcion)

cuando termina de cargar. no responde los ping, no hay internet, y en la pantalla de inicio donde te logueas, se ven muchos numeros de mac e IP que pasan muy muy rapido, y cada tanto te pone esto:
eth0: too much work at interrupt, intr status=0xd7ef
eth0: PCI bus error 0020


bueno, eso es todo, de moento coloque nuevamente las versiones anteriores y anda bien.

escucho posibles soluciones

gracias
RAMIRO

[nachazo]

Nachazo una consulta esta orden cual es su funcion
simple_unknow_id

y tambien de este filtro ?
sub_proxy_port tcp 80

Son comandos abandonados, pueden hacer lio si los utilizas...

Me gusta dejar todo lo que prueba porque despues tal ves le encuentro otra utilidad.

-----------------------

Ramiropampa.

El hdb beta 2 hace un chequeo de hd cada ves que inicias el brazilfw...

No toma mas de 30 segundos, salvos que tengas algun problema serio...

Yo tuve muchisimos problemas de disco asique me parecio una buena idea que se chequee cada ves que se reinicia (teniendo en cuenta que no los vamos hacer muy seguido) Si queres evitar el chequeo, borra las hdtools y listo.

Con respecto al mensaje que te sale, me parece que no borraste mod.partition... tenes que borrarlo en el post de argento bridge dice como hacerlo. Igualmente si tenes paciencia ya tengo un hdb compatible 100% con partition. Paso que ahora estoy investigando el tema swap y el de tener como minimo 3 particiones de linux. 1 para los logs, otra para las aplicaciones y la tercera para el cache de squid...
Independisando las aplicaciones de los logs y del cache hara al sistema muy estable y estariamos cerca de un linux de produccion para sistemas dedicados, solo falta swap (que ya esta en camino).

eth0: too much work at interrupt, intr status=0xd7ef
eth0: PCI bus error 0020

Parece ser que tu placa de red o tu slot pci estan dañados.


Angel...

Yo hice bolsa ya 2 pcs con argento qos... les recalienta el procesador y despues empiezan a fallar...

te recomiendo pentium 2 o k62 en adelante con 32 mb en ram...

Saludos a todos.

[digimat]

Nachazo una consulta
simple_class_id_mac 48 16 64 16 128 192.168.1.48 00:11:D8:76:F3:24 squid_yes

El macaddres y squid yes es aplicable norm_simple_class_id y low_simple_class_id
norm_simple_class_id 48 16 64 16 128 192.168.1.48
low_simple_class_id 48 16 64 16 128 192.168.1.48

gracias

[nachazo]

tenes:

simple_class_id_mac
norm_simple_class_id_mac
low_simple_class_id_mac

y despues por si no tenes alguna mac podes usar

simple_class_id
norm_simple_class_id
low_simple_class_id

Saludos.

[digimat]

simple_class_id_mac
norm_simple_class_id_mac
low_simple_class_id_mac

en estas 3 prioridades con mac se utiliza squid_yes cierto ?

simple_class_id
norm_simple_class_id
low_simple_class_id

para estas prioridades sin mac ya se utilizaria squidtrans XX.XXX

[nachazo]

con las 6 prioridades podes omitir squid_yes

o podes ponerselo a las 6 sin problemas...

La diferencia es que si utilizas squidtransp el sistema se torna inseguro.

No podes combinar squidtransp y squid_yes...

O uno o el otro... ok?

saludos.