Trencito

Trencito

Mensagempor juliocr92 » Dom Abr 26, 2009 4:16 pm

TUTORIAL

INTRODUCCION

En qué consiste este tutorial: en un principio, dar a conocer la experiencia vivida con Brazilfw a lo largo de tres años, y en un ambiente WIFI,y cable con modulación OFDM, donde la cantidad de clientes se suma dia a dia, y el ancho de banda contratado es muy justo. Sacarle el máximo de provecho a esta minidistro en cualquiera de sus versiones, que a mi parecer, está a la altura de cualquier versión comercial destinada a tal fin.
La llame TRENCITO, porque fue una idea que me dio el amigo Cemaraya, además me ayudo con los Delay Pools usados en el Squid.
Esta configuración se adapta perfectamente a cualquier fuente de Internet, con esto quiero decir: ADSL, satelital, etc-, desde 0,5 Mb contratado en adelante, sea conexión simétrica o asimétrica.

:arrow: Hardware mínimo indispensable:
Proxy cache: AMD Athlon 64 x dual core , 2Gb de ram DDR2 , disco de 80 Gb, dos placas de red RTL 8139
Controlador: AMD Athlon 64 x dual core, 1 Gb de ram DDR2, disco de 80 Gb, dos placas de red RTL 8139

:arrow: Sistema Brazilfw:
Proxy cache: Brazilfw ver. 2.31.10 mas Squid Version 2.7.STABLE3-20080728 2.32 a
Controlador: Brazilfw ver. 2.3 mas bind 9.5, Apache, portal 2.3, Bandwidthd
Como verán son necesarios dos servidores, el primero lo llamaremos Proxy cache y el segundo Controlador.

:arrow: Veamos el esquema de conexión entre ambos:

Imagem

Yo use para el conexionado entre servidores cable FTP c/6, conectores rj45 3M
Con esta configuración, y un ancho de banda contratado de 3 Mb de bajada y 800 Kb de subida, podemos dar servicio a: 90 usuarios simultáneos (comprobado), de hasta 1,5 Mb de ancho de banda en la navegación c/u, sin ningún problema, igualmente voy a explicarles la configuración de cada servidor para que se entienda lo que digo.
Recalco la importancia del hardware en el armado de estos servidores, tanto en memoria como en potencia de procesamiento. :o!

Seguimos:
:arrow: Servidores:
Bueno, como se dijo antes, necesitamos dos servidores brazilfw, el primero que llamaremos “proxy squid” haciendo NAT hacia Internet y el segundo que llamaremos “controlador” haciendo NAT con el primer servidor, de esta forma aislaremos completamente a nuestra red interna de la Internet, además “proxy squid” vera un solo cliente. Esta configuración parecería algo raro, tiene sus ventajas como también sus desventajas, pero todo se puede corregir, si se trata en todo caso de adecuarla a una determinada situación, además está probada y funcionando hace tres años, con una muy buena performance y estabilidad. La idea es brindar calidad de servicio en la navegación, correos, MSN, en pocas palabras: en potenciar servicio en lo que la gente más usa, tampoco vamos a dejar de lado a aquellos que viven bajando películas, música y todo lo que se les ocurra, bueno los dejamos en horario nocturno, así no discriminamos.

TRENCITO PARTE 1
ARMADO DEL PRIMER SERVER:
Este servidor lleva instalada la minidistro Brazilfw ver. 2.31.10 y Squid Versión 2.7.STABLE3-20080728 2.32 a, Bandwidthd (opcional).
:!: particionamos de esta forma:
Código: Selecionar todos
Filesystem                Size     
rootfs                       945.9M     /
/dev/sda2                74.8G   /partition 


Configuramos nuestro Brazilfw, una vez instalado, haciendo NAT hacia Internet y dejando el cache DNS del mismo activado, en este caso el QOS no lo activamos, por lo tanto no tendremos que asignarle ancho de banda a este server.

Definimos una red, ej.: 10.17.1.0/30 Mask: 255.255.255.252
Así tenemos dos IP: 10.17.1.1 y 10.17.1.2, lo cual habilitaremos las dos en el firewall del brazilfw que estamos armando, por si el día de mañana agregamos otro server.
Instalamos el addons squid Versión 2.7.STABLE3-20080728 2.32 a, reiniciamos.
:idea: ACTUALIZACIÓN A SP1
Código: Selecionar todos
cd /
wget http://www.brazilfw.com.br/users/MarcinhoSamurai/SP1/sp.sh
chmod 0755 sp.sh
sh sp.sh
backup
reboot


:o! Para mas información sobre esta actualización: viewtopic.php?f=27&t=67804#p163273
Vamos a configurar squid de la siguiente forma:
Puerto: 3128 # si o si este puerto ;-)
Proxy type: transparente
Active maximun connect: 0
Memory Cache Size: 256 MB #NI MAS NI MENOS
HD Cache Enable: si
HD Cache Size: 50000 MB #Aunque parezca una exageracion, les aseguro que no se van a arrepentir
Maximum/Minimum Object Size: 1500 KB
Disabled squid.conf create: SI

Ahora vemos el squid.conf como nos tiene que quedar:
Código: Selecionar todos
http_port 3128 transparent
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
acl video_cache dstdomain -i "/usr/local/squid/etc/cache.flt"
cache allow video_cache
cache deny QUERY
#cache_replacement_policy heap LRU
cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF
cache_mem 256 MB
maximum_object_size 15000 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 64 KB
cache_dir diskd /partition/squid/cache 50000 16 256 Q1=72 Q2=64
cache_access_log none
cache_store_log none
cache_effective_user nobody
cache_effective_group nogroup
pid_filename /var/run/squid.pid
half_closed_clients off
memory_pools off
 #####################atencion a estos valores:
cache_swap_low 70
cache_swap_high 90

refresh_pattern -i ^http://.*\.(css|htm|html|ico|js|jsp|xml)$ 1440 80% 999999
refresh_pattern -i ^http://.*\.(bmp|gif|jpeg|jpg|png)$ 1440 80% 999999 ignore-reload
refresh_pattern -i ^http://.*\(ace|adt|arj|asf|avi|bin|bz2|bzip|cab|dat|dll|doc|dot|exe|fla|flv|gz|iso|lha|log|lzh|mdb|mid|mov|mp3|mpeg|mpg|msi|mso|ogg|pps|ppt|rar|rm|rtf|shs|src|sys|swf|tgz|tif|ttf|wav|wma|wri|wmv|vpu|vpaa|vqf|vob|zip)$ 43200 100% 999999 ignore-reload

refresh_pattern ^ftp:   1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern .      0   20%   4320

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
#acl to_localhost dst 127.0.0.1/32
acl SSL_ports port 443 563
acl SSL_ports port 1863
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 8180
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 901
acl purge method PURGE
acl CONNECT method CONNECT

#Access deny to Squid ident. header
#header_access Via deny all
#header_access X-Forwarded-For deny all
#header_access Proxy-Connection deny all
#header_access Accept-Encoding deny all
acl filterneg dstdom_regex "/usr/local/squid/etc/filter.flt"
acl internal_net src "/usr/local/squid/etc/ipaccess.yes"

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow PURGE localhost
http_access deny purge
http_access deny filterneg
http_access allow internal_net
http_access deny all
#http_reply_access allow all
#icp_access allow all
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
visible_hostname [b]brazilfw #aqui va el nombre del servidor[/b]
coredump_dir /partition/squid/cache
error_directory /usr/local/squid/share/errors/Spanish


Atención lo que sigue son los delay pools, pueden jugar con los valores
escritos en rojo, dependiendo del ancho de banda que manejen, yo recomiendo dejar ese valor

Código: Selecionar todos
# Definiendo la Red
acl control1 url_regex -i src 10.17.1.0/30

# Definiendo las extensiones que pasaran por el control de banda
acl control2 url_regex -i \.exe$ \.mp3$ \.zip$ \.rar$ \.avi$ \.iso$ \.wav$ \.flv$ \.mp4$ \.cab$ \.doc$ \.xls$ \.bak$ \.ppt$
# Definiendo la cantidad de Pools (pool son las 'acls' creadas arriba)
delay_pools 2

# Definiendo la primera clase para el pool (acl)
# No olvidar: el primer número es delay pool, el segundo es delay class
delay_class 1 2

# Definiendo la velocidad para las clases, la clase a la cual cada Delay pool #pertence
delay_parameters 1 -1/-1 -1/-1
# -1/-1 significa que no tenemos limites de velocidad para el delay pool 1

# Definiendo una clase para el segundo pool (acl)
delay_class 2 2

# Definiendo la velocidad máxima (techo) que las extensiones pueden ser bajadas
# Aquí especificamos cuanto podrá utilizar cada una de nuestras redes
# En este ejemplo el primero está ilimitado (valor correspondiente a cada Red)
# y el segundo Valor, el techo que una persona conseguirá bajar.
# Delay pools siempre trabajan con bits, no se olvide (valor de download/1024)
delay_parameters 2 -1/-1 [color=#FF0000]16384/16384[/color] # Aproximadamente 16 KBytes/s (80 kbps +/-)

# Definiendo aceptación para las reglas
delay_access 1 allow control1
delay_access 2 allow control2


SERVIDOR PROXY CACHE DEDICADO? :shock:
Hasta aquí tendríamos un proxy cache “dedicado” (corrijan si me equivoco)
Esto esta buenísimo si lo implementamos también, gracias rinrinrenacuajo! :o! http://www.brazilfw.com.br/forum/viewtopic.php?f=96&t=68980, mas seguridad a nuestra red < O.O >
:arrow: A continuación vamos a trabajar en el Scheduled Tasks, para poder liberar las descargas en un determinado horario.
Scheduled Tasks y perfiles: (liberando descargas)
Creamos dos perfiles “comercial” y “noche”, que hace cada uno?, bueno en el perfil comercial, que en mi caso actúa de 7:00 am hasta la hora 24:00, están los delay pools, y en el perfil noche de 24:00 a 7:00 am, simplemente, no están, discúlpenme por la simplicidad de cómo lo expongo, pero este tema de perfiles y horarios está muy bien documentado en este foro, por eso no me extiendo tanto.
Con esto logramos liberar las descargas por puerto 80 (con el perfil “noche”), por ahora no nos preocuparemos por los p2p ya que de eso se encarga nuestro segundo servidor “controlador” que como verán más adelante, las elimina de nuestra red. :-P
:!: Recordamos de no activar el QOS, y habilitar en el firewall, una de las dos ip que conforman la red “interna” (por lo menos para este servidor), la cual será asignada en configuración de Internet, en nuestro segundo servidor.
Si tienen alguna duda por favor posteen, hasta aquí tendríamos el primer server terminado, igualmente vamos a lograr entender mas esta configuración, una vez que veamos ambos servidores terminados, porque cada uno cumple una función, igualmente no dependen tanto, uno del otro, cosa que es muy importante.
Un esquema un poco mas prolijo de como quedarían nuestros servidores:
Imagem



TRENCITO PARTE 2

ARMADO DEL SEGUNDO SERVIDOR[/b] < O.O >
:arrow: En principio de esto se trata:
Imagem
Explicaremos como vamos a configurar este servidor, no tendríamos que tener ningún inconveniente, tanto en la instalación del sistema como en los addons, lo cual la instalación y configuración básica de cada uno de estos addons, está muy bien documentada en estos foros, sería cuestión, en todo caso para los mas novatos, y si es necesario, repasar esos temas.
Les recuerdo lo que necesitamos: brazilfw versión 2.3, bind 9.5, portal 2.3, eso básicamente, en mi caso tengo instalado además: Apache+PHP+SQLite, webadmin 2.0, Conlimit L7 package, pero no hago uso de ellos por ahora.
Las características mínimas de hardware: AMD Athlon 64 x dual core, 1 Gb de ram DDR2, disco de 80 Gb, dos placas de red RTL 8139

:arrow: Repasemos: recordamos la red que habíamos definido en el primer servidor
10.17.1.0/30 Mask: 255.255.255.252, por supuesto que a modo de ejemplo, Uds. Pueden definir otro rango.
De esta forma conectamos con un cable cruzado el primer server con el segundo, el cual ya tendremos habilitado, vamos a proceder de esta manera, porque posiblemente en un futuro necesitaremos agregar otro brazil, si quisiéramos dividir nuestra red y seguir usando nuestro cache proxy, lo que sería muy conveniente (a mi modo de ver) antes de subnetear la red interna, además nuestros servidores trabajarían más aliviados y cuando tuvieran que responder, lo harían sin ningún inconveniente, imaginasen, hoy por hoy nosotros no nos arreglamos con un Pentium 100 para navegar? Cierto?, necesitamos potencia y memoria en nuestras maquinas para no renegar, entonces no debemos subestimar, el hardware, de los servidores, que son los que tienen que trabajar más para brindar un buen servicio, entonces, pensemos en adquirir hardware que esté al alcance de nuestro bolsillo y sacarle el mejor provecho, digo esto porque quién de nosotros invertiría en un servidor con multiprocesadores , muchos gigas de ram y discos scsi enormes? No nos daría el presupuesto.

Imagem

En este servidor SI vamos a controlar el ancho de banda, PERO, para toda la red, y filtrado, atención a esto. Asignaremos en Configuración de Inicio de QOS, la velocidad contratada y configurado de la siguiente forma:
:arrow: Guiones de configuración de inicio de BrazilFW QOS
Alta prioridad 83 %
Prioridad normal 10 %
Baja prioridad 7 %
Configuración de ráfagas:
UPSTREAM
Alta prioridad 8
Prioridad normal 4
Baja prioridad 2
DOWNSTREAM
Alta prioridad 16
Prioridad normal 8
Baja prioridad 4
Relación de Clases Individuales
25 %
:arrow: Reglas de filtrado:
:!: Esto es muy importante, ya que en el qos estamos designando ancho de banda a la red interna con reglas de filtrado, atención a la configuración de dicha regla:

Código: Selecionar todos
# Firewall Access Configuration File
#
# This file contains entries in the following format:
# type active permit|deny protocol source[/mask] destination[/mask] port
#
# type = access # Control access THROUGH the Firewall
# type = admin # Control access TO the Firewall
# active = Y or N

fast Y icmp 0 0 and 0 0 # ICMP protocol   
slow Y tcp 3889 ffff or 3389 ffff #Windows Remote desktop (client&server)
slow Y tcp 4662 ffff or 4662 ffff #eMule p2p software
fast Y icmp 0 0 and 0 0 # ICMP protocol
slow Y tcp 3889 ffff or 3389 ffff #Windows Remote desktop (client&server)   
fast Y tcp 53 ffff or 53 ffff #DNS
fast Y tcp 80 ffff or 80 ffff #HTTP         
fast Y tcp 443 ffff or 443 ffff #HTTPS   
fast Y tcp 25 ffff or 25 ffff #SMTP
slow Y tcp 110 ffff or 110 ffff #POP3
fast Y udp 53 ffff or 53 ffff #DNS
fast Y udp 80 ffff or 80 ffff #HTTP
fast Y udp 443 ffff or 443 ffff #HTTPS
fast Y udp 25 ffff or 25 ffff #SMTP
slow Y udp 110 ffff or 110 ffff #POP3
fast Y udp 1863 ffff or 1863 ffff #MSN
fast Y tcp 1863 ffff or 1863 ffff #MSN
fast Y udp 5190 ffff or 5190 ffff #MSM
fast Y tcp 5190 ffff or 5190 ffff #MSN


Filtrado de Servicios Externos: ;-)

:arrow: Lista blanca: Puertos
Código: Selecionar todos
8186 tcp
1008 tcp
2000 udp
2000 tcp
8470:8476 tcp
2008 tcp
2008 udp
8181 tcp
8181 udp
11000:12000 tcp
11000:12000 udp
13324:13325 tcp
15001 tcp
20000:20019 tcp
27000:27039 udp
28800:29000 tcp
30000 tcp
30000 udp
30999 tcp
30999 udp
37494 udp
37494 tcp
44405 tcp
44405 udp
55901 tcp
55901 udp
55904 tcp
55904 udp
56000 tcp
56000 udp
3000 tcp
3000 udp
3389 tcp
3389 udp
8129 tcp
1194 tcp
8129 udp
1194 udp
3724 tcp
2095 udp
3724 udp
2095 tcp
9010 tcp
5000 tcp
9010 udp
6901 tcp
9000:9999 tcp
6901 udp
5900 tcp
7000 tcp
5900 udp
7000 udp
5800 tcp
5800 udp
8000 tcp
8001:8002 tcp
8001:8002 udp
8064 tcp
8064 udp
8080 udp
8080 tcp
8090 tcp
8090 udp
8180 tcp
8180 udp
8944 tcp
8944 udp
10875 udp
10875 tcp
20:22 tcp
20:22 udp
23 tcp
25 tcp
25 udp
26 tcp
26 udp
53 udp
80:81 tcp
110 tcp
110 udp
119 tcp
389 tcp
443 tcp
443 udp
465 udp
465 tcp
522 tcp
531 tcp
587 tcp
587 udp
993 tcp
993 udp
995 tcp
995 udp
1000 tcp
1000 udp
1024 tcp
1024 udp
1503 tcp
1863 tcp
1863 udp
2001 tcp
2084 udp
2084 tcp
2082 tcp
2082 udp
4000 udp
4443 tcp
5000:5010 udp
5050 tcp
5190 udp
5222:5223 tcp
6112:6119 tcp
6112:6119 udp
6666:6667 tcp
6666:6667 udp
6891 tcp
6892 tcp
6893 tcp
6894 tcp
6895 tcp
6896 tcp
6897 tcp
6898 tcp
6899 tcp
6900 tcp
5800 udp

Voy compactando el tuto, ;-)

La lista esta actualizada y llevo 2 años con estos puertos habilitados con mas de 250 clientes y nadie me pidio hasta ahora habrir algún puerto mas. :D
Estaría bueno que echen una ojeada a este tutorial, y combinemos restricciones. http://www.brazilfw.com.br/forum/viewtopic.php?f=40&t=62987 gracias de nuevo Cemaraya. :o!
:?: Con esto que logramos?
Matar a los P2P en un 95 % de efectividad < O.O > ya que ninguno podrá hacer descargas con dichos programas, ni de día ni de noche, ademas si dejáramos descargar con ares, emule, etc., tendríamos muchos reclamos, y mas consumo en el trafico de subida, cosa que no nos conviene, ya que el 80 % de los usuarios ni siquiera saben cuando tienen la pc infectada y a lo primero que echan la culpa es al servicio, después de que descargaron todo el día con ares y se les lleno de virus la pc., SI, los dejamos descargar, pero por puerto 80, SI, igualmente se les puede infectar la maquina, pero mas adelante explicare como aplicar una política hacia nuestros clientes "educativa", de como proteger la pc de las infecciones, y así nuestra Intranet estará mejor. < O.O >
En todo caso, si nos pasa con algún cliente en particular que nos pide por ej. escuchar alguna radio o algo por el estilo que funcione con puertos aleatorios, redireccionamos en Configuración Avanzada del Firewall luego en Archivos de Configuración. Ejemplo:
access Y permit all 10.1.1.14 170.155.145.40 all #radio provincia

Bueno, creo que quedo claro lo de redireccionar puertos desde una ip privada a una publica, por si alguna vez nos hace falta.
ADMINISTRACION
Clientes WiFi :?
Hasta ahora tenemos este servidor preparado para ponerlo en producción.
En mi caso, y creo que en el caso de muchos, tengo muchos clientes WiFi, por desgracia en 2,4 Ghz., el tema es asi:
Dentro de la tecnología inalambrica, existen distintos estándares que no siempre son compatibles entre si, 802.11b, 802.11g, 802.11a el que mas utilisamos es el 802.11b, pero no siempre es lo mas conveniente, les explico el porque:

  • 802.11b tiene una velocidad teorica de 11 Mbit/s, pero en la realidad no supera los 4,5 Mbit/s 32 usuarios por AP
  • 802.11g tiene una velocidad teorica de 54 Mbit/s, pero en la realidad no supera los 13 Mbit/s 32 usuarios por AP
  • 802.11a tiene una velocidad teorica de 54 Mbit/s, pero en la realidad no supera los 19 Mbit/s 64 usuarios por AP
según este cuadro que les expuse, algunos ya estarán sacando sus conclusiones, claro, de que vale tener 20 Mb de ancho de banda para dar servicio a un AP cliente si nunca vamos a alcanzar esa velocidad en el AP cliente. yo en particular uso la norma 802.11g, porque es mas rápido y soporta ademas velocidades reales de 13 Mbit/s, a parte lo mas importante es que es compatible con la tecnología 802.11b por lo que podríamos actualizar progresivamente nuestra red.
Con esto, creo que queda claro cuales son nuestros limites a la hora de configurar un servidor Brazilfw y armar o distribuir nuestra red de forma eficiente. ahora si tenemos todos clientes por utp o por cablemodem, la cosa es distinta, porque tenemos mas ancho de banda disponible en nuestra red.
En pocas palabras, lo que les quiero decir es de que sirve contratar muchos megas de ancho de banda sino superamos en nuestra red los 4,5 Mb. :shock:
Lamentablemente en tales condiciones, debemos aplicar políticas restrictivas en cuanto a puertos, descargas y demás para poder brindar así un servicio estable y eficiente, por supuesto con un balance realista y con sentido común, entre velocidad contratada y cantidad de clientes, y tener muy en claro que cualquier servidor, sea cual sea, no saca conejos de la galera, sino que administran, y lo que hay que lograr es eso, que administren de la mejor forma posible.

Portal 2.3 http://www.brazilfw.com.br/forum/viewtopic.php?f=40&t=68482&p=167309#p167309 Gracias! ramiropampa

Vamos a aprovechar este addons al máximo.

servidor H: corte al puerto 80 nada mas
servidor T: corte total

editamos configuración file:
SERVER /portal/http/700 700 T YES corte ##el abonado que se encuentra deshabilitado
SERVER /portal/http/701 701 T YES DHCP ##aviso de placa desconfigurada
SERVER /portal/http/702 702 H YES precorte ##precorte, pueden usar el correo
SERVER /portal/http/703 703 H YES aviso de infeccion ## atencion virus!

Les explico para que sirve cada uno, bueno, si el cliente se atraso un poco, usaremos el portal que esta en puerto 702, de esta manera se lo invita a pasar a pagar la deuda, pero solamente le cortamos el puerto 80, o sea que con cualquier cliente de correos puede seguir viendo su correo, es una forma "suave" de invitar a los morosos a pagar, y les aseguro que lo hacen, ademas les explicamos también en el aviso que eviten el corte definitivo, que tenemos en el puerto 700.
A veces pasa que el cliente lleva la maquina a arreglar y el "técnico" le entrega la pc con la placa en dhcp, entonces el cliente llama enojado, porque arreglo su pc pero no le anda Internet, o sea el problema es de Internet, \`´/ , bueno para esos clientes tenemos el portal en puerto 701, donde les explicamos que su querido técnico no respeto la configuración de su placa, de esta forma te llaman para decirte que si por favor mandan a alguien a configurar la placa de la pc que el técnico dejo mal :o! , como hacemos esto?:
vamos a configuración de DHCP, lo ponemos en SI, y elegimos un rango de 5 ips que recordaremos, para no asignarla a ningún cliente ;-) , luego en el portal 701 en listas de ip las colocamos: EJ.
Código: Selecionar todos
# Lista de IP redireccionadas al Portal en Puerto 701
# 192.168.1.10 eth0 # PC 10
10.1.0.210 eth0
10.1.0.211 eth0
10.1.0.212 eth0
10.1.0.213 eth0
10.1.0.214 eth0

:!: Hay que acordarse de poner en configuración avanzada de firewall en archivos de configuración:
Código: Selecionar todos
#portal
/portal/portal

Así cuando re-arrancamos el portal, actualiza.

:!: Siempre hay que hacer cada tanto auditoria de la red ATENCIÓN a eso: acá les dejo una utilidad que deberán instalar http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=69118
Nos queda el portal en puerto 703, bueno este es el mas curioso, supongo para algunos, aquí vamos a editar el aviso diciendo que la pc esta infectada o que esta abusando de las descargas simultaneas, y que por supuesto esto degrada el servicio, claro como todos estos avisos los damos en forma manual, para eso somos administradores de red, una ves al día por lo menos habría que hacer un seguimiento de las conexiones simultaneas de cada pc en nuestra red, e ir avisando de apoco a aquellas maquinas que superen las 100 simultaneas, en mi caso lo hago y no se que pasa pero al rato bajan drásticamente esas simultaneas < O.O > , el tema es que en un alto porcentaje, el abonado al ver un aviso de que su maquina se encuentra en dicha situación, enseguida actualiza su antivirus, pasa el anti-espías, etc, etc, o en todo caso deja de bajar cosas todas al mismo tiempo, les aseguro es muy efectivo.
Como verán, no uso ningún portal de bienvenida, para no complicarme, pero eso esta a criterio de cada uno de Uds.

Atención: esto nos ayudara muchísimo en el control de las conexiones simultaneas: http://www.brazilfw.com.br/forum/viewtopic.php?f=15&t=69433&start=0
BIND 9.5 :o!
Primero que nada, a estudiar bien su instalación y configuración: http://www.brazilfw.com.br/forum/viewtopic.php?f=67&t=67711&p=161204&hilit=configurar+bind#p161204 Gracias! gamba47 :o!
Con este addon logramos una mejor repuesta en la resolución de nombres, ademas podemos usarlo para la intranet, en mi caso tengo una pagina tipo mesa de ayuda para el cliente directamente con un nombre asignado: http://www.empresa.tv. Les recuerdo que el portal cautivo que instalamos antes,(portal 2.3) funciona totalmente a parte y nada tiene que ver con bind.


RESUMIENDO
:roll: Les muestro como me quedo armado este trencito :

Esta imagen se perdió, si alguien la tiene que por favor de aviso.
http://www.casbita.com.ar/brazilfw/index_archivos/moto_0007.jpg

Note se la importancia de la UPS en estos casos, estos servidores, pero mas que nada donde tenemos squid, tienen que estar protegidos contra eventuales bajas o subas de tensión, ya que el cache en disco es muy susceptible a las irregularidades en el servicio de luz eléctrica, les aconsejo UPS ON LINE de ser posible.

La estructura básica de esta configuración creo haberla explicado bien, y espero que se haya entendido, lo demás lo dejo a la imaginación de Uds. ya que podemos agregar mas servidores de acuerdo al servicio que estemos prestando, y les aconsejo maquinas de mediana potencia, como describí al principio, y en lo posible servidores dedicados.
Bueno espero que les halla servido de algo este tutorial, yo creo que si, este sistema tal cual, lleva tres años funcionando sin ningún inconveniente. Igual he actualizado algunas cosas como sp1 y otros addon, pero no a afectado en nada al sistema, lo que si cada seis meses mas o menos hay que limpiar el cache por las dudas nomas, cualquier duda pregunten y si se puede mejorar en algo soy todo oídos.
< O.O >
saludos
Julio.


Ediciones:
29-10-2011 TooR
  • Corrección de los enlaces de las imágenes.
  • Se hizo una limpieza de la lista de puertos "lista blanca" ya que habían en total 53 puertos que se repetían.
23-04-2011 Ghost
  • Corrección de la actualización SP1+
27-02-2011 Ghost
  • Se volvieron a cargar las imágenes faltantes
  • Se formateo un poco el tutorial para facilitar la lectura.
Editado pela última vez por juliocr92 em Sáb Jun 27, 2009 8:25 am, em um total de 64 vezes.
juliocr92
 

Re: Trencito

Mensagempor cemaraya » Ter Abr 28, 2009 8:45 am

Julio:
Me alegro mucho que la idea que se armó, un poco por enseñarmela a mi, un poco por ayudarte a vos, haya prendido y terminado en un tuto que, seguro a más de uno, le va a sacar los ojos de las orbitas...
Aconsejo que lo armen en PCs grandes como dice Julio, y que NO dejen de probarlo.
Los resultados son sorprendentes!!!
cemaraya
 


Voltar para BrazilFW 2.x

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 1 visitante

cron