Para quem tem dúvidas sobre como instalar o pfsense em ambiente virtual, segue o video com um how to de como proceder com a instalação
Pfsense Guide
Vou iniciar uma série de tutoriais sobre FreeBSD e Pfsense, iniciando pela instalação, conceitos de Ingres e Egress filtering e chegando até na parte mais avançada como Kernel e Alta disponibilidade. Em breve devo iniciar a primeira parte, caso tenham alguma ideia sobre o que eu poderia postar no blog, comentem.
As facilidades do FreeBSD
Sempre digo por aí que é muito fácil fazer certas coisas no FreeBSD. Algumas pessoas (as que conhecem FreeBSD só de longe) dizem que FreeBSD é só para “Heavy Users” de UNIX, mas isso não é verdade, por ser um sistema muito simples as pessoas acabam tendo uma falsa impressão sobre ele. É claro que para trabalhar com ele você deve ter um certo conhecimento de ambientes UNIX.
Otimizando o MySQL no FreeBSD
Então você não consegue ver vantagens de KSE no MySQL? Talvez seja porque a forma como o MySQL é desenvolvido não é la grande coisa. Exemplo pra minha afirmação, algumas vezes sob algumas circunstâncias MySQL fica lockado (partial-timed deadlock) quando usa mutexes de POSIX Threads convencionais, tanto nos ultimos kernel estaveis do Linux quanto com as ultimas versoes do FreeBSD. Culpa do Linux *e* do FreeBSD? Provavelmente nao, porque revertendo a compilação do MySQL para a pobre implementação linuxthreads, ele perde performance, mas não fica nesse estado.
Instalando o Kernel Source do FreeBSD
Existem determinadas tarefas que exigem que o kernel seja configurado com opções diferentes do padrão (GENERIC), para então ser recompilado e instalado no lugar do kernel antigo. Siga as etapas abaixo. Verifique se existe o diretório /usr/src/sys. Caso não exista, então você não instalou os fontes do kernel, e precisará fazer isso. Coloque o CD do FreeBSD no Drive e execute /stand/sysinstall, escolher Configure, Distributions, src e então sys. Isso irá instalar os fontes.
sexta-feira, 3 de junho de 2011
quinta-feira, 2 de junho de 2011
mysql repair + /tmp filling up
quinta-feira, junho 02, 2011
Bruno Moreira Zanelato
Isto acontece quando se tem um /tmp separado, e quando é necessário realizar um repair em alguma tabela, do nada o /tmp fica em 100%, normalmente isto acontece quando deixamos um /tmp com menos de 2GB.
Para resolver este problema temos 2 soluções, a primeira é redimensionar o /tmp
# /etc/init.d/mysql stop
# cp -af /var/tmp /var/tmp.bak
# umount /var/tmp
# umount /tmp
# rm -f /usr/tmpDSK
# dd if=/dev/zero of=/usr/tmpDSK bs=1024 count=1048576
# mkfs /usr/tmpDSK
# tune2fs -j /usr/tmpDSK
# mount -t ext3 -o nosuid,noexec,loop /usr/tmpDSK /tmp
# mount -o bind,noexec,nosuid /tmp /var/tmp
# cp -a /var/tmp.bak/* /tmp/
# rm -rf /var/tmp.bak/
# chmod 1777 /tmp
# /etc/init.d/mysql start
A segunda é alterar a opção do /etc/my.cnf tmpdir e apontar para o novo diretório em uma partição maior:
1) mkdir -p /home/my
2) chown -R mysql.mysql /home/my
3) add tmpdir=/home/my inside /etc/my.cnd
4) /etc/init/mysql restart && tail -f /var/lib/mysql/$(hostname).err
5) repair the table
Para resolver este problema temos 2 soluções, a primeira é redimensionar o /tmp
# /etc/init.d/mysql stop
# cp -af /var/tmp /var/tmp.bak
# umount /var/tmp
# umount /tmp
# rm -f /usr/tmpDSK
# dd if=/dev/zero of=/usr/tmpDSK bs=1024 count=1048576
# mkfs /usr/tmpDSK
# tune2fs -j /usr/tmpDSK
# mount -t ext3 -o nosuid,noexec,loop /usr/tmpDSK /tmp
# mount -o bind,noexec,nosuid /tmp /var/tmp
# cp -a /var/tmp.bak/* /tmp/
# rm -rf /var/tmp.bak/
# chmod 1777 /tmp
# /etc/init.d/mysql start
A segunda é alterar a opção do /etc/my.cnf tmpdir e apontar para o novo diretório em uma partição maior:
1) mkdir -p /home/my
2) chown -R mysql.mysql /home/my
3) add tmpdir=/home/my inside /etc/my.cnd
4) /etc/init/mysql restart && tail -f /var/lib/mysql/$(hostname).err
5) repair the table
[Solved] Centreon 2.2-RC2 + Nagios3 clock drift problems
quinta-feira, junho 02, 2011
Bruno Moreira Zanelato
Tenho diversas máquinas virtuais Linux sobre Windows Hyper-V, e percebi que o problema de drift clock é pior do que eu imaginava.
A máquina reiniciava com a hora errada, mas o nagios3 não iniciava de forma alguma, mesmo após utilizar o ntpdate e arrumar a hora, o daemon não iniciava.
Analisando os logs, recebi a seguinte mensagem :
Jun 2 14:39:23 monitoramento ndo2db: Error: mysql_query() failed for 'DELETE FROM nagios_servicechecks WHERE instance_id='1' AND start_time
Para resolver isto, rode a seguinte linha
CENTREON:~# mysql -u root -p password -D centstatus -e "truncate nagios_servicechecks";
Após estas alterações funcionou normalmente, no proximo post eu vou colocar uma solução para resolver este problema de clock.
A máquina reiniciava com a hora errada, mas o nagios3 não iniciava de forma alguma, mesmo após utilizar o ntpdate e arrumar a hora, o daemon não iniciava.
Analisando os logs, recebi a seguinte mensagem :
Jun 2 14:39:23 monitoramento ndo2db: Error: mysql_query() failed for 'DELETE FROM nagios_servicechecks WHERE instance_id='1' AND start_time
Para resolver isto, rode a seguinte linha
CENTREON:~# mysql -u root -p password -D centstatus -e "truncate nagios_servicechecks";
Após estas alterações funcionou normalmente, no proximo post eu vou colocar uma solução para resolver este problema de clock.
segunda-feira, 30 de maio de 2011
[Solved] calcru: runtime went backwards
segunda-feira, maio 30, 2011
Bruno Moreira Zanelato
Encontrei este problema quando instalei um servidor FreeBSD 8 (pfsense) em uma máquina virtual hyper-v, esta mensagem não parava de aparecer.
calcru: runtime went backwards from 54 usec to 43 usec for pid 758 (devd)
calcru: runtime went backwards from 136 usec to 109 usec for pid 349 (dhclient)
calcru: runtime went backwards from 504 usec to 401 usec for pid 333 (dhclient)
calcru: runtime went backwards from 11672 usec to 9293 usec for pid 333 (dhclient)
calcru: runtime went backwards from 196 usec to 156 usec for pid 179 (adjkerntz)
calcru: runtime went backwards from 755 usec to 601 usec for pid 21 (swi6: task queue)
calcru: runtime went backwards from 102 usec to 81 usec for pid 9 (thread taskq)
calcru: runtime went backwards from 1621 usec to 1291 usec for pid 19 (swi5: +)
calcru: runtime went backwards from 17 usec to 14 usec for pid 17 (swi1: net)
calcru: runtime went backwards from 16892 usec to 13878 usec for pid 0 (swapper)
Isso significa que o clock(timer) do sistema esta atrasado ou voltando, confundindo um número de aplicações. Eu tive messagens como estas quando eu usei os servidores *. pool.ntp.org também;
Para resolver este problema, utilize a linha no sysctl.conf
sysctl kern.timecounter.hardware=TSC
calcru: runtime went backwards from 54 usec to 43 usec for pid 758 (devd)
calcru: runtime went backwards from 136 usec to 109 usec for pid 349 (dhclient)
calcru: runtime went backwards from 504 usec to 401 usec for pid 333 (dhclient)
calcru: runtime went backwards from 11672 usec to 9293 usec for pid 333 (dhclient)
calcru: runtime went backwards from 196 usec to 156 usec for pid 179 (adjkerntz)
calcru: runtime went backwards from 755 usec to 601 usec for pid 21 (swi6: task queue)
calcru: runtime went backwards from 102 usec to 81 usec for pid 9 (thread taskq)
calcru: runtime went backwards from 1621 usec to 1291 usec for pid 19 (swi5: +)
calcru: runtime went backwards from 17 usec to 14 usec for pid 17 (swi1: net)
calcru: runtime went backwards from 16892 usec to 13878 usec for pid 0 (swapper)
Isso significa que o clock(timer) do sistema esta atrasado ou voltando, confundindo um número de aplicações. Eu tive messagens como estas quando eu usei os servidores *. pool.ntp.org também;
Para resolver este problema, utilize a linha no sysctl.conf
sysctl kern.timecounter.hardware=TSC
quarta-feira, 25 de maio de 2011
pfSense 2 Cookbook
quarta-feira, maio 25, 2011
Bruno Moreira Zanelato
Book Description
pfSense is an open source distribution of FreeBSD-based firewall that provides a platform for flexible and powerful routing and firewalling. The versatility of pfSense presents us with a wide array of configuration options, which makes determining requirements a little more difficult and a lot more important, compared to other offerings. Through this book you will see that pfSense offers numerous alternatives to fit any environment’s security needs.
pfSense 2.0 Cookbook is the first and only book to explore all the features of pfSense, including those released in the latest 2.0 version. With the help of step-by-step instructions and detailed screenshots of the pfSense interface you will be able to configure every general and advanced feature from creating a firewall rule to configuring multi-WAN failover. Each recipe includes tips and offers advice on variations of the topic or references to other related recipes and additional information that can be found from other sources.
pfSense 2.0 Cookbook covers the gamut of available features and functionality. The first three chapters will take you from a non-existent system to a basic pfSense firewall. The next chapter focuses on configuring any number of the VPN services available, a very important and sought-after feature for anyone implementing a firewall. The following two chapters describe how to configure the most advanced features available in pfSense; features that may only be relevant to the most experienced network admins. Chapter 7 is dedicated to understanding and configuring the “grab-bag” of features that are available in pfSense, but are often stand-alone options and unrelated to each other. The first appendix explains how to use the status monitoring tools available for many of the features.
Download Link
[FileSonic] Packtpub.pfSense.2.Cookbook.Mar.2011.rar
[Sponsor] Packtpub.pfSense.2.Cookbook.Mar.2011.rar
pfSense is an open source distribution of FreeBSD-based firewall that provides a platform for flexible and powerful routing and firewalling. The versatility of pfSense presents us with a wide array of configuration options, which makes determining requirements a little more difficult and a lot more important, compared to other offerings. Through this book you will see that pfSense offers numerous alternatives to fit any environment’s security needs.
pfSense 2.0 Cookbook is the first and only book to explore all the features of pfSense, including those released in the latest 2.0 version. With the help of step-by-step instructions and detailed screenshots of the pfSense interface you will be able to configure every general and advanced feature from creating a firewall rule to configuring multi-WAN failover. Each recipe includes tips and offers advice on variations of the topic or references to other related recipes and additional information that can be found from other sources.
pfSense 2.0 Cookbook covers the gamut of available features and functionality. The first three chapters will take you from a non-existent system to a basic pfSense firewall. The next chapter focuses on configuring any number of the VPN services available, a very important and sought-after feature for anyone implementing a firewall. The following two chapters describe how to configure the most advanced features available in pfSense; features that may only be relevant to the most experienced network admins. Chapter 7 is dedicated to understanding and configuring the “grab-bag” of features that are available in pfSense, but are often stand-alone options and unrelated to each other. The first appendix explains how to use the status monitoring tools available for many of the features.
Download Link
[FileSonic] Packtpub.pfSense.2.Cookbook.Mar.2011.rar
[Sponsor] Packtpub.pfSense.2.Cookbook.Mar.2011.rar
sábado, 21 de maio de 2011
Linux pptp client and Windows PPTP Server
sábado, maio 21, 2011
Bruno Moreira Zanelato
Vou descrever como configurar o seu Linux para conseguir conectar em uma vpn PPTP configurada em um Servidor Windows, mas antes, um pouco de teoria.
Os protocolos PPTP, L2TP e SSTP dependem muito dos recursos originalmente especificados para o protocolo PPP. O PPP foi criado para enviar dados por conexões dial-up ou ponto a ponto dedicada. No caso do IP, o PPP encapsula pacotes IP nos quadros PPP e, em seguida, transmite os pacotes PPP encapsulados por meio de um link ponto a ponto. O PPP foi originalmente definido como o protocolo a ser usado entre um cliente dial-up e o servidor de acesso à rede.
PPTP
O PPTP permite que o tráfego de protocolos múltiplos seja criptografado e, depois, encapsulado em um cabeçalho IP para ser enviado por meio de uma rede IP ou uma rede IP pública, como a Internet. O PPTP pode ser usado para conexões de acesso remoto e VPN site a site. Ao usar a Internet como a rede pública para VPN, o servidor PPTP é um servidor VPN habilitado para PPTP com uma interface na Internet e uma segunda interface na intranet.
Encapsulamento
O PPTP encapsula os quadros PPP em datagramas IP para transmissão pela rede. O PPTP usa uma conexão TCP para o gerenciamento de encapsulamento e uma versão modificada do Encapsulamento de Roteamento Genérico (GRE) para encapsular quadros PPP para os dados encapsulados. A carga dos quadros PPP encapsulados pode ser descriptografada, compactada ou ambos. A figura a seguir mostra a estrutura de um pacote PPTP contendo um datagrama IP.
Estrutura de um pacote PPTP contendo um datagrama IP
Criptografia
O quadro PPP é criptografado com a criptografia ponto a ponto da Microsoft (MPPE) usando chaves de criptografia geradas pelo processo de autenticação MS-CHAP v2 ou EAP-TLS. Os clientes da rede virtual privada devem usar o protocolo de autenticação MS-CHAP v2 ou EAP-TLS para que as cargas dos quadros PPP sejam criptografadas. O PPTP está usufruindo dos benefícios da criptografia PPP subjacente e encapsulando um quadro PPP previamente criptografado.
L2TP
O L2TP permite que o tráfego de protocolos múltiplos seja criptografado e depois enviado por qualquer meio que ofereça suporte à entrega de datagrama ponto a ponto, como IP ou modo de transferência assíncrona (ATM). O L2TP é uma combinação do PPTP e do Encaminhamento da Camada 2 (L2F), uma tecnologia desenvolvida pela Cisco Systems, Inc. O L2TP inclui os melhores recursos do PPTP e L2F.
Ao contrário do PPTP, a implementação da Microsoft do L2TP não usa MPPE para criptografar os datagramas PPP. O L2TP utiliza o protocolo IPSec (Internet Protocol Security) no Modo de Transporte para os serviços de criptografia. A combinação de L2TP e IPsec é conhecida como L2TP/IPsec.
Vamos utilizar o network-manager do Gnome para fazer estas configurações, as imagens que vou utilizar foram retiradas do blog http://geekyprojects.com/ubuntu/ubuntu-vpn-connection/.
STEP 1:
Vamos utilizar o apto-get para instalar os pacotes necessários:
network-manager-pptp
pptp-linux
Click em:
Network Connection icon –> VPN Connections –> Configure VPN
Em Network Connections window click em: Add
Click em: Create
STEP 2:
Uma vez que escolhemos a opção “Create” vamos ter uma nova janela, vou explicar esta opções a seguir:
1) Connection Name: Nome da sua conexão VPN.
2) Gateway: IP externo da VPN que desejamos conectar.
3) Username and Password: Seu usuário e senha
4) NT Domain: Caso necessário, coloque o nome do domínio.
STEP 3:
Click no botão “Avanced”
Na seção “Authentication” escolha as seguintes opções :
- Uncheck PAP and EAP
- Check CHAP, MSCHAP, MSCHAPv2
- Check “Use Point-to-Point encryption (MPPE)”
- Select the type of encryption used on you network. Usually “128-bit (most secure)”
- Uncheck all other settings except “Send PPP echo packets”
- Click “OK”
STEP 4:
**opcional**
Adicionando rotas:
De volta a janela de configuração da VPN do network-manager
- Click na aba IPv4 settings
1) Tire a opção “Automatic VPN”
2) Click em Routes
1) Address: Enter the internal IP address of the machine you want to connect to
2) Netmask: Netmask of the remote network
3) Gateway: Gateway of the remote network (Usually internal IP address of remote router)
4) Metric: Set Metric to 1
Os protocolos PPTP, L2TP e SSTP dependem muito dos recursos originalmente especificados para o protocolo PPP. O PPP foi criado para enviar dados por conexões dial-up ou ponto a ponto dedicada. No caso do IP, o PPP encapsula pacotes IP nos quadros PPP e, em seguida, transmite os pacotes PPP encapsulados por meio de um link ponto a ponto. O PPP foi originalmente definido como o protocolo a ser usado entre um cliente dial-up e o servidor de acesso à rede.
PPTP
O PPTP permite que o tráfego de protocolos múltiplos seja criptografado e, depois, encapsulado em um cabeçalho IP para ser enviado por meio de uma rede IP ou uma rede IP pública, como a Internet. O PPTP pode ser usado para conexões de acesso remoto e VPN site a site. Ao usar a Internet como a rede pública para VPN, o servidor PPTP é um servidor VPN habilitado para PPTP com uma interface na Internet e uma segunda interface na intranet.
Encapsulamento
O PPTP encapsula os quadros PPP em datagramas IP para transmissão pela rede. O PPTP usa uma conexão TCP para o gerenciamento de encapsulamento e uma versão modificada do Encapsulamento de Roteamento Genérico (GRE) para encapsular quadros PPP para os dados encapsulados. A carga dos quadros PPP encapsulados pode ser descriptografada, compactada ou ambos. A figura a seguir mostra a estrutura de um pacote PPTP contendo um datagrama IP.
Estrutura de um pacote PPTP contendo um datagrama IP
Criptografia
O quadro PPP é criptografado com a criptografia ponto a ponto da Microsoft (MPPE) usando chaves de criptografia geradas pelo processo de autenticação MS-CHAP v2 ou EAP-TLS. Os clientes da rede virtual privada devem usar o protocolo de autenticação MS-CHAP v2 ou EAP-TLS para que as cargas dos quadros PPP sejam criptografadas. O PPTP está usufruindo dos benefícios da criptografia PPP subjacente e encapsulando um quadro PPP previamente criptografado.
L2TP
O L2TP permite que o tráfego de protocolos múltiplos seja criptografado e depois enviado por qualquer meio que ofereça suporte à entrega de datagrama ponto a ponto, como IP ou modo de transferência assíncrona (ATM). O L2TP é uma combinação do PPTP e do Encaminhamento da Camada 2 (L2F), uma tecnologia desenvolvida pela Cisco Systems, Inc. O L2TP inclui os melhores recursos do PPTP e L2F.
Ao contrário do PPTP, a implementação da Microsoft do L2TP não usa MPPE para criptografar os datagramas PPP. O L2TP utiliza o protocolo IPSec (Internet Protocol Security) no Modo de Transporte para os serviços de criptografia. A combinação de L2TP e IPsec é conhecida como L2TP/IPsec.
Vamos utilizar o network-manager do Gnome para fazer estas configurações, as imagens que vou utilizar foram retiradas do blog http://geekyprojects.com/ubuntu/ubuntu-vpn-connection/.
STEP 1:
Vamos utilizar o apto-get para instalar os pacotes necessários:
network-manager-pptp
pptp-linux
Click em:
Network Connection icon –> VPN Connections –> Configure VPN
Em Network Connections window click em: Add
Click em: Create
STEP 2:
Uma vez que escolhemos a opção “Create” vamos ter uma nova janela, vou explicar esta opções a seguir:
1) Connection Name: Nome da sua conexão VPN.
2) Gateway: IP externo da VPN que desejamos conectar.
3) Username and Password: Seu usuário e senha
4) NT Domain: Caso necessário, coloque o nome do domínio.
STEP 3:
Click no botão “Avanced”
Na seção “Authentication” escolha as seguintes opções :
- Uncheck PAP and EAP
- Check CHAP, MSCHAP, MSCHAPv2
- Check “Use Point-to-Point encryption (MPPE)”
- Select the type of encryption used on you network. Usually “128-bit (most secure)”
- Uncheck all other settings except “Send PPP echo packets”
- Click “OK”
STEP 4:
**opcional**
Adicionando rotas:
De volta a janela de configuração da VPN do network-manager
- Click na aba IPv4 settings
1) Tire a opção “Automatic VPN”
2) Click em Routes
1) Address: Enter the internal IP address of the machine you want to connect to
2) Netmask: Netmask of the remote network
3) Gateway: Gateway of the remote network (Usually internal IP address of remote router)
4) Metric: Set Metric to 1
Gnome + Problemas no Network-manager
sábado, maio 21, 2011
Bruno Moreira Zanelato
Após atualizar o meu ubuntu para a versão 11.04, percebi que o network-manager apresentava a mensagem "o dispositivo não é gerenciável".
Para resolver o problema execute os seguintes comandos :
sudo mv /etc/network/interfaces /etc/network/interfaces.old
sudo /etc/init.d/network-manager restart
Simples..tudo voltou ao normal.
