Vitor,

Não seria a parte que tem 'AllowUsers vitor rafael root'? Pode comentar isso para que ele faça como padrão e libere todos? Caso seja o seu usuário 'vitor' que não esteja passando, poderia usar o 'ssh -vvv usuario@host' e postar?

Abraços, Aldrey Galindo

2009/6/3 Vitor Vilas Boas vitor@vitorvilasboas.com.br

Tá ai, ainda não mexi em nada, só tentei liberar os usuários, mas sem sucesso. Toda instalação de SSH que eu fiz, vem por padrão os usuários liberados, pois a intenção é negar o logon como root e liberar para os usuários.

=============================================================== # This is the sshd server system-wide configuration file. See # sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with # OpenSSH is to specify options with their default value where # possible, but leave them commented. Uncommented options change a # default value.

#Port 22 #AddressFamily any #ListenAddress 0.0.0.0 #ListenAddress ::

# Disable legacy (protocol version 1) support in the server for new # installations. In future the default will change to require explicit # activation of protocol 1 Protocol 2

# HostKey for protocol version 1 #HostKey /etc/ssh/ssh_host_key # HostKeys for protocol version 2 #HostKey /etc/ssh/ssh_host_rsa_key #HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key #KeyRegenerationInterval 1h #ServerKeyBits 1024

# Logging # obsoletes QuietMode and FascistLogging #SyslogFacility AUTH #LogLevel INFO

# Authentication:

#LoginGraceTime 2m #PermitRootLogin yes #StrictModes yes #MaxAuthTries 6 #MaxSessions 10

#RSAAuthentication yes #PubkeyAuthentication yes #AuthorizedKeysFile .ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts #RhostsRSAAuthentication no # similar for protocol version 2 #HostbasedAuthentication no # Change to yes if you don't trust ~/.ssh/known_hosts for # RhostsRSAAuthentication and HostbasedAuthentication #IgnoreUserKnownHosts no # Don't read the user's ~/.rhosts and ~/.shosts files #IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here! PasswordAuthentication yes #PermitEmptyPasswords no

# Change to no to disable s/key passwords #ChallengeResponseAuthentication yes

# Kerberos options #KerberosAuthentication no #KerberosOrLocalPasswd yes #KerberosTicketCleanup yes #KerberosGetAFSToken no

# GSSAPI options #GSSAPIAuthentication no #GSSAPICleanupCredentials yes

# Set this to 'yes' to enable support for the deprecated 'gssapi' authentication # mechanism to OpenSSH 3.8p1. The newer 'gssapi-with-mic' mechanism is included # in this release. The use of 'gssapi' is deprecated due to the presence of # potential man-in-the-middle attacks, which 'gssapi-with-mic' is not susceptible to. #GSSAPIEnableMITMAttack no

# Set this to 'yes' to enable PAM authentication, account processing, # and session processing. If this is enabled, PAM authentication will # be allowed through the ChallengeResponseAuthentication and # PasswordAuthentication. Depending on your PAM configuration, # PAM authentication via ChallengeResponseAuthentication may bypass # the setting of "PermitRootLogin without-password". # If you just want the PAM account and session checks to run without # PAM authentication, then enable this but set PasswordAuthentication # and ChallengeResponseAuthentication to 'no'. UsePAM yes #AllowAgentForwarding yes AllowUsers vitor rafael root #AllowTcpForwarding yes #GatewayPorts no X11Forwarding yes #X11DisplayOffset 10 #X11UseLocalhost yes #PrintMotd yes #PrintLastLog yes #TCPKeepAlive yes #UseLogin no #UsePrivilegeSeparation yes #PermitUserEnvironment no #Compression delayed #ClientAliveInterval 0 #ClientAliveCountMax 3 #UseDNS yes #PidFile /var/run/sshd.pid #MaxStartups 10 #PermitTunnel no #ChrootDirectory none

# no default banner path Banner /etc/issue.net

# override default of no subsystems Subsystem sftp /usr/lib/ssh/sftp-server

# This enables accepting locale enviroment variables LC_* LANG, see sshd_config(5). AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT AcceptEnv LC_IDENTIFICATION LC_ALL

# Example of overriding settings on a per-user basis #Match User anoncvs # X11Forwarding no # AllowTcpForwarding no # ForceCommand cvs server

==========================================================================

Vitor Vilas Boas Consultor de TI Linux User #484274 www.vitorvilasboas.com.br vitor@vitorvilasboas.com.br Cel.: +55 71 8732.1156 Cel.: +55 71 9947.2808

Alejandro Flores escreveu:

...

Vitor,

...

Galera, tô migrando os servidores proxy/firewall e o fileserver/backup de openSUSE para o CentOS 5.3, mas tô com um probleminha, o SSH só loga como ROOT, já criei o usuário mas n dá permissão de acesso ao SSH, já vasculhei a net e o arquivo de configuração, alguém tem alguma dica?

Um comportamento bem atipico! Você pode postar o /etc/ssh/sshd_config ?

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

Vitor,

Por favor, após tentar logar, manda as últimas 30 linhas do /var/log/secure, ok?

Abraço!

2009/6/3 Vitor Vilas Boas vitor@vitorvilasboas.com.br:

Veja bem, estava como padrão, esta opção eu adicionei para ver se resolvia.

Segue.

======================================================================

debug1: Authentications that can continue: publickey,password,keyboard-interactive debug3: start over, passed a different list publickey,password,keyboard-interactive debug3: preferred gssapi-with-mic,publickey,keyboard-interactive,password debug3: authmethod_lookup publickey debug3: remaining preferred: keyboard-interactive,password debug3: authmethod_is_enabled publickey debug1: Next authentication method: publickey debug1: Trying private key: /home/vitor/.ssh/identity debug3: no such identity: /home/vitor/.ssh/identity debug1: Trying private key: /home/vitor/.ssh/id_rsa debug3: no such identity: /home/vitor/.ssh/id_rsa debug1: Trying private key: /home/vitor/.ssh/id_dsa debug3: no such identity: /home/vitor/.ssh/id_dsa debug2: we did not send a packet, disable method debug3: authmethod_lookup keyboard-interactive debug3: remaining preferred: password debug3: authmethod_is_enabled keyboard-interactive debug1: Next authentication method: keyboard-interactive debug2: userauth_kbdint debug2: we sent a keyboard-interactive packet, wait for reply debug2: input_userauth_info_req debug2: input_userauth_info_req: num_prompts 1 Password: debug3: packet_send2: adding 32 (len 24 padlen 8 extra_pad 64) debug1: Authentications that can continue: publickey,password,keyboard-interactive debug2: userauth_kbdint debug2: we sent a keyboard-interactive packet, wait for reply debug2: input_userauth_info_req debug2: input_userauth_info_req: num_prompts 1 Password:

=======================================================

Vitor Vilas Boas Consultor de TI Linux User #484274 www.vitorvilasboas.com.br vitor@vitorvilasboas.com.br Cel.: +55 71 8732.1156 Cel.: +55 71 9947.2808

Aldrey Galindo escreveu:

...

Vitor,

Não seria a parte que tem 'AllowUsers vitor rafael root'? Pode comentar isso para que ele faça como padrão e libere todos?   Caso seja o seu usuário 'vitor' que não esteja passando, poderia usar o 'ssh -vvv usuario@host' e postar?

Abraços, Aldrey Galindo

2009/6/3 Vitor Vilas Boas <vitor@vitorvilasboas.com.br mailto:vitor@vitorvilasboas.com.br>

Tá ai, ainda não mexi em nada, só tentei liberar os usuários, mas    sem sucesso.    Toda instalação de SSH que eu fiz, vem por padrão os usuários    liberados, pois a intenção é negar o logon como root e liberar    para os usuários.

===============================================================    # This is the sshd server system-wide configuration file.  See    # sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped    with    # OpenSSH is to specify options with their default value where    # possible, but leave them commented.  Uncommented options change a    # default value.

#Port 22    #AddressFamily any    #ListenAddress 0.0.0.0    #ListenAddress ::

# Disable legacy (protocol version 1) support in the server for new    # installations. In future the default will change to require explicit    # activation of protocol 1    Protocol 2

# HostKey for protocol version 1    #HostKey /etc/ssh/ssh_host_key    # HostKeys for protocol version 2    #HostKey /etc/ssh/ssh_host_rsa_key    #HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key    #KeyRegenerationInterval 1h    #ServerKeyBits 1024

# Logging    # obsoletes QuietMode and FascistLogging    #SyslogFacility AUTH    #LogLevel INFO

# Authentication:

#LoginGraceTime 2m    #PermitRootLogin yes    #StrictModes yes    #MaxAuthTries 6    #MaxSessions 10

#RSAAuthentication yes    #PubkeyAuthentication yes    #AuthorizedKeysFile    .ssh/authorized_keys

# For this to work you will also need host keys in    /etc/ssh/ssh_known_hosts    #RhostsRSAAuthentication no    # similar for protocol version 2    #HostbasedAuthentication no    # Change to yes if you don't trust ~/.ssh/known_hosts for    # RhostsRSAAuthentication and HostbasedAuthentication    #IgnoreUserKnownHosts no    # Don't read the user's ~/.rhosts and ~/.shosts files    #IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!    PasswordAuthentication yes    #PermitEmptyPasswords no

# Change to no to disable s/key passwords    #ChallengeResponseAuthentication yes

# Kerberos options    #KerberosAuthentication no    #KerberosOrLocalPasswd yes    #KerberosTicketCleanup yes    #KerberosGetAFSToken no

# GSSAPI options    #GSSAPIAuthentication no    #GSSAPICleanupCredentials yes

# Set this to 'yes' to enable support for the deprecated 'gssapi'    authentication    # mechanism to OpenSSH 3.8p1. The newer 'gssapi-with-mic'    mechanism is included    # in this release. The use of 'gssapi' is deprecated due to the    presence of    # potential man-in-the-middle attacks, which 'gssapi-with-mic' is    not susceptible to.    #GSSAPIEnableMITMAttack no

# Set this to 'yes' to enable PAM authentication, account processing,    # and session processing. If this is enabled, PAM authentication will    # be allowed through the ChallengeResponseAuthentication and    # PasswordAuthentication.  Depending on your PAM configuration,    # PAM authentication via ChallengeResponseAuthentication may bypass    # the setting of "PermitRootLogin without-password".    # If you just want the PAM account and session checks to run without    # PAM authentication, then enable this but set PasswordAuthentication    # and ChallengeResponseAuthentication to 'no'.    UsePAM yes    #AllowAgentForwarding yes    AllowUsers vitor rafael root    #AllowTcpForwarding yes    #GatewayPorts no    X11Forwarding yes    #X11DisplayOffset 10    #X11UseLocalhost yes    #PrintMotd yes    #PrintLastLog yes    #TCPKeepAlive yes    #UseLogin no    #UsePrivilegeSeparation yes    #PermitUserEnvironment no    #Compression delayed    #ClientAliveInterval 0    #ClientAliveCountMax 3    #UseDNS yes    #PidFile /var/run/sshd.pid    #MaxStartups 10    #PermitTunnel no    #ChrootDirectory none

# no default banner path    Banner /etc/issue.net http://issue.net

# override default of no subsystems    Subsystem    sftp    /usr/lib/ssh/sftp-server

# This enables accepting locale enviroment variables LC_* LANG,    see sshd_config(5).    AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY    LC_MESSAGES    AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT    AcceptEnv LC_IDENTIFICATION LC_ALL

# Example of overriding settings on a per-user basis    #Match User anoncvs    #    X11Forwarding no    #    AllowTcpForwarding no    #    ForceCommand cvs server

==========================================================================

Vitor Vilas Boas    Consultor de TI    Linux User #484274    www.vitorvilasboas.com.br http://www.vitorvilasboas.com.br    vitor@vitorvilasboas.com.br mailto:vitor@vitorvilasboas.com.br    Cel.: +55 71 8732.1156    Cel.: +55 71 9947.2808

Alejandro Flores escreveu:

Vitor,

Galera, tô migrando os servidores proxy/firewall e o            fileserver/backup de            openSUSE para o CentOS 5.3, mas tô com um probleminha, o            SSH só loga como            ROOT, já criei o usuário mas n dá permissão de acesso ao            SSH, já vasculhei a            net e o arquivo de configuração, alguém tem alguma dica?

Um comportamento bem atipico!        Você pode postar o /etc/ssh/sshd_config ?

--    Fedora-users-br mailing list    Fedora-users-br@redhat.com mailto:Fedora-users-br@redhat.com    https://www.redhat.com/mailman/listinfo/fedora-users-br

---

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

uma idéia cara... n seria mais viável você fazer um balanceamento de carga?

Vitor Vilas Boas Consultor de TI Linux User #484274 www.vitorvilasboas.com.br vitor@vitorvilasboas.com.br Cel.: +55 71 8732.1156 Cel.: +55 71 9947.2808

redes@habil.eti.br escreveu:

Salve galera... então... gostaria de saber se é possível ter o squid rodando em um firewall com 2 links a idéia é ter o squid saindo por um link de ADSL e o restante pelo Link dedicado...

Hj estou conseguindo fazer hora um tudo saindo por um link hora saindo por outra manipulando o default route...

Qualquer dica é bem vinda

Roberto

Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

Dá uma linda nisso ai que pode te ajudar.

http://www.vivaolinux.com.br/artigo/Configurando-2-%28dois%29-links-ADSL-no-...

Vitor Vilas Boas Consultor de TI Linux User #484274 www.vitorvilasboas.com.br vitor@vitorvilasboas.com.br Cel.: +55 71 8732.1156 Cel.: +55 71 9947.2808

redes@habil.eti.br escreveu:

Certo... estou lendo e fazendo testes sobre isso... mas até agora sem sucesso? Tens alguma dica?

Roberto

----- Original Message ----- From: "Vitor Vilas Boas" vitor@vitorvilasboas.com.br To: "Lista de discussão voltada para os usuários brasileiros do Fedora" fedora-users-br@redhat.com Sent: Friday, June 05, 2009 9:18 AM Subject: Re: [Fedora-users-br] Squid 2 Links

...

uma idéia cara... n seria mais viável você fazer um balanceamento de carga?

Vitor Vilas Boas Consultor de TI Linux User #484274 www.vitorvilasboas.com.br vitor@vitorvilasboas.com.br Cel.: +55 71 8732.1156 Cel.: +55 71 9947.2808

redes@habil.eti.br escreveu:

...

Salve galera... então... gostaria de saber se é possível ter o squid rodando em um firewall com 2 links a idéia é ter o squid saindo por um link de ADSL e o restante pelo Link dedicado...

Hj estou conseguindo fazer hora um tudo saindo por um link hora saindo por outra manipulando o default route...

Qualquer dica é bem vinda

Roberto

Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

Vi uma vez algo que faria a "soma" dos links [1], não cheguei a fazer.

Abraços, Aldrey Galindo

[1]- http://www.vivaolinux.com.br/artigo/Configurando-2-(dois)-links-ADSL-no-mesm...

2009/6/5 Armando Barsotini Neto a.barsotini@gmail.com

Olá...

Se alguém conseguir fazer *BALANCEAMENTO DE CARGA*, me avisa, pois até hoje não encontrei ninguém que conseguiu! Trabalho com 3 links aqui, porém, o que consigo é fazer redundância (quando um link cai outro assume)... e editar rotas através do RT_TABLES....

Tipo: redes do GMAIL e HOTMAIL saem por um link e coisas mais importantes saem pelo link dedicado !!! isso conseguimos fazer aqui (distribuir o tráfego por diversos links)

Agora fazer o chamado, BALANCEAMENTO DE CARGA, acredito que não vá rolar... tentei seguir diversos "tutoriais" encontrados pelo google, mas sempre geram um efeito colateral... MSN caindo, fora outros problemas !!!!

Enfim, se alguém conseguir, manda pra gente a mágica !!!!

Armando.

2009/6/5 Vitor Vilas Boas vitor@vitorvilasboas.com.br

uma idéia cara... n seria mais viável você fazer um balanceamento de carga?

...

Vitor Vilas Boas Consultor de TI Linux User #484274 www.vitorvilasboas.com.br vitor@vitorvilasboas.com.br Cel.: +55 71 8732.1156 Cel.: +55 71 9947.2808

redes@habil.eti.br escreveu:

Salve galera... então...

...

gostaria de saber se é possível ter o squid rodando em um firewall com 2 links a idéia é ter o squid saindo por um link de ADSL e o restante pelo Link dedicado...

Hj estou conseguindo fazer hora um tudo saindo por um link hora saindo por outra manipulando o default route...

Qualquer dica é bem vinda

Roberto

Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

Aldrey.. Isso de "SOMAR" dois links não existe...

BALANCEAMENTO DE CARGA, é distribuir requisições pelos 2 ou mais links, dependendo da capacidade/utilização de cada um..

Porém, como disse... NÃO CONHEÇO NINGUÉM QUE CONSEGUIU ESSA FAÇANHA !!!

O que conseguimos é fazer roteamento estático (ex: marcando pacote através do MANGLE) para sair por um determinado link... e Redundância, que com um script você altera a tabela de ROTAS...

Mas BALANCEAMENTO.....

Armando!

2009/6/5 redes@habil.eti.br

Se houvesse alguma forma de fazer o squid sair por determinado gateway...

Seria a solução

----- Original Message ----- *From:* Aldrey Galindo aldreygalindo@gmail.com *To:* Lista de discussão voltada para os usuários brasileiros do Fedorafedora-users-br@redhat.com *Sent:* Friday, June 05, 2009 10:45 AM *Subject:* Re: [Fedora-users-br] Squid 2 Links

Vi uma vez algo que faria a "soma" dos links [1], não cheguei a fazer.

Abraços, Aldrey Galindo

[1]- http://www.vivaolinux.com.br/artigo/Configurando-2-(dois)-links-ADSL-no-mesm...

2009/6/5 Armando Barsotini Neto a.barsotini@gmail.com

...

Olá...

Se alguém conseguir fazer *BALANCEAMENTO DE CARGA*, me avisa, pois até hoje não encontrei ninguém que conseguiu! Trabalho com 3 links aqui, porém, o que consigo é fazer redundância (quando um link cai outro assume)... e editar rotas através do RT_TABLES....

Tipo: redes do GMAIL e HOTMAIL saem por um link e coisas mais importantes saem pelo link dedicado !!! isso conseguimos fazer aqui (distribuir o tráfego por diversos links)

Agora fazer o chamado, BALANCEAMENTO DE CARGA, acredito que não vá rolar... tentei seguir diversos "tutoriais" encontrados pelo google, mas sempre geram um efeito colateral... MSN caindo, fora outros problemas !!!!

Enfim, se alguém conseguir, manda pra gente a mágica !!!!

Armando.

2009/6/5 Vitor Vilas Boas vitor@vitorvilasboas.com.br

uma idéia cara... n seria mais viável você fazer um balanceamento de

...

carga?

Vitor Vilas Boas Consultor de TI Linux User #484274 www.vitorvilasboas.com.br vitor@vitorvilasboas.com.br Cel.: +55 71 8732.1156 Cel.: +55 71 9947.2808

redes@habil.eti.br escreveu:

Salve galera... então...

...

gostaria de saber se é possível ter o squid rodando em um firewall com 2 links a idéia é ter o squid saindo por um link de ADSL e o restante pelo Link dedicado...

Hj estou conseguindo fazer hora um tudo saindo por um link hora saindo por outra manipulando o default route...

Qualquer dica é bem vinda

Roberto

Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

---

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

Cara, você pode fazer isso com 4 placas de rede, vc usa 2 para receber os links e duas para dar saída a esses links, e no iptables vc faz todo o jogo de redirecionamento por faixas de ips.

Ex.: Link A (eth0) faixa de ip de 10.2.15.1 - 10.2.15.120 Link B (eth1) faixa de ip de 10.2.15.121 - 10.2.15.255

um exemplo simples, mas isso tem que ser planejado... e bem planejado, acho que uma combinação de iptables e squid resolve o seu problema

abraços.

Vitor Vilas Boas Consultor de TI Linux User #484274 www.vitorvilasboas.com.br vitor@vitorvilasboas.com.br Cel.: +55 71 8732.1156 Cel.: +55 71 9947.2808

redes@habil.eti.br escreveu:

Olá.... ok... O que preciso é isso mesmo dividir... tipo squid sair pra um lado e o resta pra outro....

Qualquer dica é bem vinda...

Roberto

----- Original Message -----
*From:* Armando Barsotini Neto <mailto:a.barsotini@gmail.com>
*To:* Lista de discussão voltada para os usuários brasileiros do
Fedora <mailto:fedora-users-br@redhat.com>
*Sent:* Friday, June 05, 2009 11:08 AM
*Subject:* Re: [Fedora-users-br] Squid 2 Links

Aldrey..

Isso de "SOMAR" dois links não existe...  

BALANCEAMENTO DE CARGA, é distribuir requisições pelos 2 ou mais
links, dependendo da capacidade/utilização de cada um..

Porém, como disse...  NÃO CONHEÇO NINGUÉM QUE CONSEGUIU ESSA
FAÇANHA !!!

O que conseguimos é fazer roteamento estático (ex: marcando pacote
através do MANGLE) para sair por um determinado link...  e
Redundância, que com um script você altera a tabela de ROTAS...

Mas BALANCEAMENTO.....

Armando!



2009/6/5 <redes@habil.eti.br <mailto:redes@habil.eti.br>>

    Se houvesse alguma forma de fazer o squid sair por determinado
    gateway...

    Seria a solução

        ----- Original Message -----
        *From:* Aldrey Galindo <mailto:aldreygalindo@gmail.com>
        *To:* Lista de discussão voltada para os usuários
        brasileiros do Fedora <mailto:fedora-users-br@redhat.com>
        *Sent:* Friday, June 05, 2009 10:45 AM
        *Subject:* Re: [Fedora-users-br] Squid 2 Links


           Vi uma vez algo que faria a "soma" dos links [1], não
        cheguei a fazer.

        Abraços,
        Aldrey Galindo

        [1]-
        http://www.vivaolinux.com.br/artigo/Configurando-2-(dois)-links-ADSL-no-mesmo-servidor/
        <http://www.vivaolinux.com.br/artigo/Configurando-2-%28dois%29-links-ADSL-no-mesmo-servidor/>

        2009/6/5 Armando Barsotini Neto <a.barsotini@gmail.com
        <mailto:a.barsotini@gmail.com>>

            Olá...

            Se alguém conseguir fazer *BALANCEAMENTO DE CARGA*, me
            avisa, pois até hoje não encontrei ninguém que conseguiu!

            Trabalho com 3 links aqui, porém, o que consigo é
            fazer redundância (quando um link cai outro assume)...
            e editar rotas através do RT_TABLES....

            Tipo:  redes do GMAIL e HOTMAIL saem por um link e
            coisas mais importantes saem pelo link dedicado !!!  
            isso conseguimos fazer aqui (distribuir o tráfego por
            diversos links)

            Agora fazer o chamado, BALANCEAMENTO DE CARGA,
            acredito que não vá rolar...  tentei seguir diversos
            "tutoriais" encontrados pelo google, mas sempre geram
            um efeito colateral...  MSN caindo, fora outros
            problemas !!!!

            Enfim, se alguém conseguir, manda pra gente a mágica !!!!

            Armando.






            2009/6/5 Vitor Vilas Boas <vitor@vitorvilasboas.com.br
            <mailto:vitor@vitorvilasboas.com.br>>

                uma idéia cara... n seria mais viável você fazer
                um balanceamento de carga?

                Vitor Vilas Boas
                Consultor de TI
                Linux User #484274
                www.vitorvilasboas.com.br
                <http://www.vitorvilasboas.com.br>
                vitor@vitorvilasboas.com.br
                <mailto:vitor@vitorvilasboas.com.br>
                Cel.: +55 71 8732.1156
                Cel.: +55 71 9947.2808



                redes@habil.eti.br <mailto:redes@habil.eti.br>
                escreveu:

                    Salve galera... então...
                    gostaria de saber se é possível ter o squid
                    rodando em um firewall com 2 links
                    a idéia é ter o squid saindo por um link de
                    ADSL e o restante pelo Link dedicado...

                    Hj estou conseguindo fazer hora um tudo saindo
                    por um link hora saindo por outra
                    manipulando o default route...

                    Qualquer dica é bem vinda

                    Roberto
                    -- 
                    Fedora-users-br mailing list
                    Fedora-users-br@redhat.com
                    <mailto:Fedora-users-br@redhat.com>
                    https://www.redhat.com/mailman/listinfo/fedora-users-br


                --
                Fedora-users-br mailing list
                Fedora-users-br@redhat.com
                <mailto:Fedora-users-br@redhat.com>
                https://www.redhat.com/mailman/listinfo/fedora-users-br



            --
            Fedora-users-br mailing list
            Fedora-users-br@redhat.com
            <mailto:Fedora-users-br@redhat.com>
            https://www.redhat.com/mailman/listinfo/fedora-users-br


        ------------------------------------------------------------------------
        -- 

        Fedora-users-br mailing list
        Fedora-users-br@redhat.com <mailto:Fedora-users-br@redhat.com>
        https://www.redhat.com/mailman/listinfo/fedora-users-br


    --
    Fedora-users-br mailing list
    Fedora-users-br@redhat.com <mailto:Fedora-users-br@redhat.com>
    https://www.redhat.com/mailman/listinfo/fedora-users-br


------------------------------------------------------------------------
--
Fedora-users-br mailing list
Fedora-users-br@redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br

---

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

Grande, da uma olhada em Bonding, acho que resolve o que vc ta querendo.

Heracias B. L. Neto.

Project Fedora Ambassador

LPCI-I, Consultor em Segurança da Informação.

heracias@fedoraproject.org

Fone:+559888176613 https://fedoraproject.org/wiki/User:Heracias / http://www.linkedin.com/pub/10/3a8/945

From: andre@felicio.com.br To: fedora-users-br@redhat.com Subject: Re: [Fedora-users-br] Squid 2 Links Date: Fri, 5 Jun 2009 16:45:11 -0300 CC:

Rau,

...

Se alguém conseguir fazer *BALANCEAMENTO DE CARGA*, me avisa, pois até hoje não encontrei ninguém que conseguiu! Trabalho com 3 links aqui, porém, o que consigo é fazer redundância (quando um link cai outro assume)... e editar rotas através do RT_TABLES....

Logo abaixo você mesmo mostra fez o balanceamento. A solução é essa mesmo, iptables + iproute2

...

Tipo: redes do GMAIL e HOTMAIL saem por um link e coisas mais importantes saem pelo link dedicado !!! isso conseguimos fazer aqui (distribuir o tráfego por diversos links)

Isso é uma forma de balanceamento.

...

Agora fazer o chamado, BALANCEAMENTO DE CARGA, acredito que não vá rolar... tentei seguir diversos "tutoriais" encontrados pelo google, mas sempre geram um efeito colateral... MSN caindo, fora outros problemas !!!!

Esta faltando um pouco de "conceitos" de rede.

Seus links são de operadores diferentes, com IPs diferentes, não dá para fazer um balanceamento "perfeito", pacote a pacote. Utilize outras técnicas.

...

Enfim, se alguém conseguir, manda pra gente a mágica !!!!

Uma técnica bem interessante para quem tem 2 links é tentar trabalhar com IPs impar para um link e pares para outros.

-- Att,

André Felício http://www.felicio.com.br

"What people have been reduced to are mere 3-D representations of their own data." -- Arthur Miller

_________________________________________________________________ Conheça os novos produtos Windows Live! Clique aqui. http://www.windowslive.com.br

Se tiver um roteador Cisco, pode ser feito multilink ou balanceamento de carga via OSPF. Algo que é feito pela própria operadora. Claro, se você tiver dois links dedicados da mesma operadora.

Rafael Gomes Consultor em TI Embaixador Fedora LPIC-1 (71) 8146-5772 Fedora Talk : 5103520

III Encontro Nordestino de Software Livre e IV Festival de Software Livre da Bahia http://www.ensl.org.br

Olá.. Isso mesmo ALEJANDRO... Foi o que eu disse:

Tentando BALANCEAR, ocorreram problemas no MSN da rede e outras aplicações.. (INCLUSIVE BANCOS)

Agora, considerar "BALANCEAMENTO" a mesma coisa que o simples lance de ROTEAR ESTATICAMENTE.... é um absurdo!

Ainda dizem que está faltando: *um pouco de "conceitos" de rede....*

Pelo que eu sei, BALANCEAMENTO é rotear DINAMICAMENTE... utilizando recursos disponíveis em um dos links quando o outro estiver ocupado !!!! Isso tudo AUTOMATICAMENTE.

Enfim.. como diria nosso amigo HENRY: []´s e divirtam-se

Rssssssssssssssssssssss....

Armando!

PS: Henry, desculpe utilizar sua frase sem autorização.. rsssssssssss

2009/6/6 Alejandro Flores alejandrorflores@gmail.com

Rafael,

...

Se tiver um roteador Cisco, pode ser feito multilink ou balanceamento de carga via OSPF. Algo que é feito pela própria operadora. Claro, se você tiver dois links dedicados da mesma operadora.

Se os 2 links forem da mesma operadora você consegue fazer OSPF com o Zebra no linux. http://www.zebra.org/

-- Abraço! Alejandro Flores http://www.triforsec.com.br/

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

Olá Alejandro... muito obrigado pelas dicas.... pergunta: Como faço para ver a toda tabela secundaria? Para eu entender melhor... quem é 200.100.100.1/32

No aguardo Roberto

----- Original Message ----- From: "Alejandro Flores" alejandrorflores@gmail.com To: "Lista de discussão voltada para os usuários brasileiros do Fedora" fedora-users-br@redhat.com Sent: Friday, June 05, 2009 9:15 PM Subject: Re: [Fedora-users-br] Squid 2 Links

Pessoal,

Fala-se muito em balanceamento de carga com mais de um link internet, porém não é uma coisa simples. O grande problema é que você vai ter IPs diferentes em cada link. Tendo IPs diferentes, quando você iniciar uma conexão, esse trafego vai por um link. Quando você iniciar outra conexão (da mesma sessão, por exemplo) esse trafego pode ser enviado pelo segundo link, e a aplicação ( o servidor de destino ) não vai entender, pois estão chegando pacotes de um outro IP para a mesma sessão. Se for uma aplicação WEB não tem problema, pois a sessão é controlada pelo browser. Para navegação WEB é tranquilo, porém para as demais aplicações não funciona. Para sites de banco, que utilizam conexões SSL, quando você inicia a sessão, ele vai por um link. Quando você clica para tirar um extrato por exemplo, o servidor vai receber a conexão pelo seu segundo IP, o browser está com todos os cookies da sessão, porém o banco vai achar que alguem roubou sua sessão e vai encerrar o acesso. Outro caso é o MSN, pois a sessão fica amarrada ao IP que originou a conexão. Para poder utilizar os 2 ou mais links eu recomendo que você faça uma divisão do trafego. Tipo, navegação por um lado, email por outro, etc...

Bom, voltando ao roberto, pra direcionar o squid por um link você faria da seguinte forma:

Digamos o seguinte: Na eth0 está o seu link principal, com ip 200.200.200.1/24 e GW 200.200.200.254 Na eth1 está o seu segundo link, com ip 200.100.100.1/24 GW 200.100.100.254 Na eth2 está a sua LAN, 192.168.0.0/24

Então você tem a tabela de roteamento principal: 200.200.200.0/24 dev eth0 200.100.100.0/24 dev eth1 192.168.0.0/24 dev eth2 default via 200.200.200.254

Você precisa criar uma tabela secundária: echo "200 secundario" >> /etc/iproute2/rt_tables

ip route add 200.200.200.0/24 dev eth0 table secundario ip route add 200.100.100.0/24 dev eth1 table secundario ip route add 192.168.0.0/24 dev eth2 table secundario ip route add default via 200.100.100.254 dev eth1 table secundario

Agora você cria uma regra: ip rule add fwmark 0x10 lookup secundario Os pacotes marcados com 0x10 vão ser jogados pela tabela de roteamento 'secundario'

Agora, é preciso marcar os pacotes que vão sair pelo secundário:

iptables -t mangle -A OUTPUT -s 200.100.100.1/32 -p tcp --dport 80 -j MARK --set-mark 0x10 Estamos marcando todos os pacotes gerados localmente com ip 200.100.100.1 e tem destino a porta 80/tcp.

Agora, configure o squid para utilizar esse IP na diretiva tcp_outgoing_address

tcp_outgoing_address 200.100.100.1

Isso vai fazer com que o squid gere os pacotes para acesso aos servidores web, com ip 200.100.100.1, que por sua vez estão sendo marcados no iptables, com a marca 0x10, que por sua vez tem uma regra dizendo que os pacotes com essa marca devem utilizar a tabela secundario, que por sua vez tem gateway 200.100.100.254. Simples né?

Ah, Heracias, channel bonding não serve para esse caso. É utilizado normalmente para configurar 2 placas com a mesma rede para redundancia e tolerancia a falhas.

Abraços!

2009/6/5 Heracias Bezerra heracias@hotmail.com:

...

Grande, da uma olhada em Bonding, acho que resolve o que vc ta querendo.

Heracias B. L. Neto. Project Fedora Ambassador LPCI-I, Consultor em Segurança da Informação. heracias@fedoraproject.org Fone:+559888176613 https://fedoraproject.org/wiki/User:Heracias / http://www.linkedin.com/pub/10/3a8/945

...

From: andre@felicio.com.br To: fedora-users-br@redhat.com Subject: Re: [Fedora-users-br] Squid 2 Links Date: Fri, 5 Jun 2009 16:45:11 -0300 CC:

Rau,

...

Se alguém conseguir fazer *BALANCEAMENTO DE CARGA*, me avisa, pois até hoje não encontrei ninguém que conseguiu! Trabalho com 3 links aqui, porém, o que consigo é fazer redundância (quando um link cai outro assume)... e editar rotas através do RT_TABLES....

Logo abaixo você mesmo mostra fez o balanceamento. A solução é essa mesmo, iptables + iproute2

...

Tipo: redes do GMAIL e HOTMAIL saem por um link e coisas mais importantes saem pelo link dedicado !!! isso conseguimos fazer aqui (distribuir o tráfego por diversos links)

Isso é uma forma de balanceamento.

...

Agora fazer o chamado, BALANCEAMENTO DE CARGA, acredito que não vá rolar... tentei seguir diversos "tutoriais" encontrados pelo google, mas sempre geram um efeito colateral... MSN caindo, fora outros problemas !!!!

Esta faltando um pouco de "conceitos" de rede.

Seus links são de operadores diferentes, com IPs diferentes, não dá para fazer um balanceamento "perfeito", pacote a pacote. Utilize outras técnicas.

...

Enfim, se alguém conseguir, manda pra gente a mágica !!!!

Uma técnica bem interessante para quem tem 2 links é tentar trabalhar com IPs impar para um link e pares para outros.

-- Att,

André Felício http://www.felicio.com.br

"What people have been reduced to are mere 3-D representations of their own data." -- Arthur Miller

---

Novo Internet Explorer 8: mais rápido e muito mais seguro. Baixe agora, é grátis! -- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

--

Alejandro Flores http://www.triforsec.com.br/

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

Olá... Ok... isso eu entendi... muito bem explicado.... Então com route vejo a tabela principal, gostaria de saber se tem como ver esta tabela secundaria tbm?

É isso?

----- Original Message ----- From: "Alejandro Flores" alejandrorflores@gmail.com To: "Lista de discussão voltada para os usuários brasileiros do Fedora" fedora-users-br@redhat.com Sent: Saturday, June 06, 2009 9:12 PM Subject: Re: [Fedora-users-br] Squid 2 Links

Roberto,

...

Olá Alejandro... muito obrigado pelas dicas.... pergunta: Como faço para ver a toda tabela secundaria? Para eu entender melhor... quem é 200.100.100.1/32

No caso, a tabela secundária você deve criar. 200.100.100.1/32 no exemplo, é o segundo IP de internet que você tem. Simplificando, todo o roteamento no linux segue a tabela principal de roteamento. Quando você quer algo diferente como, criar um direcionamento do trafego por outro link, por exemplo, você deve criar uma segunda tabela de roteamento em /etc/iproute2/rt_tables. Feito isso, você pode adicionar as rotas para essa tabela. Para adicionar uma rota na tabela principal:

ip rote add 192.168.0.0/24 via 192.168.117.254

Para adicionar uma rota pela tabela secundaria (aquela que você criou em /etc/iproute2/rt_tables):

ip route add 192.168.0.0/24 via 192.168.117.254 table secundaria

Onde secundaria é o nome que você especificou no arquivo /etc/iproute2/rt_tables

200 secundaria

Ou seja, tem a tabela principal, que é o normal, e tem a tabela secundaria que você está criando para o seu novo link, regras e afins.

-- Abraço! Alejandro Flores http://www.triforsec.com.br/

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

Muito obrigado pela força...

eth0 192.168.0.254/24 rede local eth1 10.0.0.2/8 gtw 10.0.0.1 modem ADSL eth2 200.200.220.4/29 gtw 200.200.220.3 IP corporativo

Será que meu problema é a ADSL

----- Original Message ----- From: "Alejandro Flores" alejandrorflores@gmail.com To: "Lista de discussão voltada para os usuários brasileiros do Fedora" fedora-users-br@redhat.com Sent: Tuesday, June 09, 2009 9:25 AM Subject: Re: [Fedora-users-br] Squid 2 Links

Olá,

...

Olá... Ok... isso eu entendi... muito bem explicado.... Então com route vejo a tabela principal, gostaria de saber se tem como ver esta tabela secundaria tbm?

A tabela secundária é você quem cria e pode ter qualquer nome. Edite o arquivo /etc/iproute2/rt_tables e veja o que tem lá. Para criar uma nova tabela de roteamento, uma tabela alternativa, você deve seguir o padrão descrito no arquivo, por exemplo:

200 link2

Depois você salva o arquivo e a tabela já está pronta para uso. Então você pode adicionar rotas a essa segunda tabela de roteamento, que chamamos de link2. Para isso:

# ip route add xxx.yyy.zzz.www/24 dev eth0 table link2 # ip route add default via IPDOGATEWAYDOSEGUNDOLINK

Você deve adcionar todas as rotas existentes na tabela principal. Para listar a tabela de roteamento link2:

# ip route list table link2

Captou até ai? Bom, por padrão todos os pacotes que chegam/saem/são repassados pelo linux vão ler a tabela de roteamento principal. Para que determinado trafego utilize a tabela link2, você deve marcar os pacotes que você quer que utilizem essa tabela e criar uma regra para os pacotes marcados.

Por exemplo, vamos criar uma regra para que os pacotes marcados com 0x8 leiam a tabela de roteamento link2:

# ip rule add fwmark 0x8 lookup link2

Agora marque os pacotes que você quer que sejam roteados por essa tabela:

# iptables -t mangle -A PREROUTING -s xxx.yyy.zzz.www/32 -p tcp --dport 80 -j MARK --set-mark 0x8

Todos os pacotes com origem xxx.yyy.zzz.www, protocolo tcp d destino porta 80 serão marcados com 0x8. Os pacotes marcados com 0x8 vão utilizar a tabela de roteamento link2.

Lembrando que você deve fazer o NAT tanto para o link principal quanto para o segundo link.

-- Abraço! Alejandro Flores http://www.triforsec.com.br/

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

Olá,

Olá... estou tentando fazer veja o que ocorre:

[root@mail named]# ip route add 192.168.0.254/24 dev eth0 table adsl RTNETLINK answers: Invalid argument sem o /24 funciona... mas esta errado... Será qual o problema?

Tenta colocar assim:

# ip route add 192.168.0.0/24 dev eth0 table adsl

Percebe a diferença?

Olá,

iptables -t mangle -A OUTPUT -s 10.0.0.1/8 -p tcp --dport 80 -j MARK --set-mark 0x8

Você criou uma regra de OUTPUT ( pacotes que são gerados pela máquina ), com ip de origem 10.0.0.1 que é seu gateway adsl. Você deve marcar os pacotes cuja origem é da sua rede interna e na chain PREROUTING da tabela mangle, a não ser que você utilize o squid. Se utilizar o squid, você deve criar no squid.conf uma configuração tcp_outgoing_address informando que você vai sair com ip 10.0.0.2, que é o seu ip da rede do adsl.

No squid.conf: tcp_outgoing_address 10.0.0.2

No iptables: # iptables -t mangle -A OUTPUT -s 10.0.0.2/32 -p tcp --dport 80 -j MARK --set-mark 0x8

Olá Alejandro.... fiz o que me falou

ip route add 192.168.0.0/24 dev eth1 table adsl ip route add default via 10.0.0.1 table adsl ip rule add fwmark 0x8 lookup adsl iptables -t mangle -A OUTPUT -s 10.0.0.2/8 -p tcp --dport 80 -j MARK --set-mark 0x8

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

Veja resultado dos comandos: # ip route list table adsl 192.168.0.0/24 dev eth1 scope link default via 10.0.0.1 dev eth1

#ip rule list 0: from all lookup local 32765: from all fwmark 0x8 lookup adsl 32766: from all lookup main 32767: from all lookup default

Squid.conf tcp_outgoing_address 10.0.0.2

Lembrando que as máquinas que usam squid estão na rede 192.168.0.0 Ao tentar usar squid desta forma ocorre:

Na tentativa de recuperar a URL: http://meuip.datahouse.com.br/

O seguinte erro foi encontrado:

Falha na conexão O sistema retornou:

(110) Connection timed out

Será o que falta para isso funcionar.... Roberto

----- Original Message ----- From: "Alejandro Flores" alejandrorflores@gmail.com To: "Lista de discussão voltada para os usuários brasileiros do Fedora" fedora-users-br@redhat.com Sent: Tuesday, June 09, 2009 8:37 PM Subject: Re: [Fedora-users-br] Porta 80 no 2 Links

Olá,

...

iptables -t mangle -A OUTPUT -s 10.0.0.1/8 -p tcp --dport 80 -j MARK --set-mark 0x8

Você criou uma regra de OUTPUT ( pacotes que são gerados pela máquina ), com ip de origem 10.0.0.1 que é seu gateway adsl. Você deve marcar os pacotes cuja origem é da sua rede interna e na chain PREROUTING da tabela mangle, a não ser que você utilize o squid. Se utilizar o squid, você deve criar no squid.conf uma configuração tcp_outgoing_address informando que você vai sair com ip 10.0.0.2, que é o seu ip da rede do adsl.

No squid.conf: tcp_outgoing_address 10.0.0.2

No iptables: # iptables -t mangle -A OUTPUT -s 10.0.0.2/32 -p tcp --dport 80 -j MARK --set-mark 0x8

-- Abraço, Alejandro Flores http://www.triforsec.com.br/

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

Olá Alejandro... pois é fiz td o que me pediu... veja:

ip route list table adsl 200.200.220.4/29 dev eth2 scope link 192.168.0.0/24 dev eth0 scope link 10.0.0.0/8 dev eth1 scope link default via 10.0.0.1 dev eth1

ip rule list 0: from all lookup local 32765: from all fwmark 0x8 lookup adsl 32766: from all lookup main 32767: from all lookup default

Chain OUTPUT (policy ACCEPT) target prot opt source destination MARK tcp -- 10.0.0.2 anywhere tcp dpt:http MARK set 0x8

Continua saindo pelo link corporativo e não pela ADSL Testei o paramentro tcp_outgoing_address 10.0.0.2 no squid mas tbm não funcionaou...

O que pode estar falatando ...nossa isso parece tão simples... Qualquer nova dica é bem vinda...

Roberto

----- Original Message ----- From: "Alejandro Flores" alejandrorflores@gmail.com To: "Lista de discussão voltada para os usuários brasileiros do Fedora" fedora-users-br@redhat.com Sent: Wednesday, June 10, 2009 8:31 PM Subject: Re: [Fedora-users-br] Porta 80 no 2 Links

Roberto,

...

Olá Alejandro.... fiz o que me falou

...

ip route add 192.168.0.0/24 dev eth1 table adsl ip route add default via 10.0.0.1 table adsl

Ta errado ai. Você falou em outro e-mail:

eth0 192.168.0.254/24 rede local eth1 10.0.0.2/8 gtw 10.0.0.1 modem ADSL eth2 200.200.220.4/29 gtw 200.200.220.3 IP corporativo

Então, você deve ter:

# ip route add 192.168.0.0/24 dev eth0 table adsl # ip route add 10.0.0.0/8 dev eth1 table adsl # ip route add 200.200.220.4/29 dev eth2 table adsl # ip route add default via 10.0.0.1 table adsl

Cria a regra: # ip rule add fwmark 0x8 lookup adsl

Marca os pacotes:

# iptables -t mangle -A OUTPUT -s 10.0.0.2/32 -p tcp --dport 80 -j MARK --set-mark 0x8

E pronto, deve resolver a sua vida!

-- Abraço! Alejandro Flores http://www.triforsec.com.br/

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

Ok... Alejandro..... Somente estou alterando o inicio do IP do Link por segurança...

eth0 Link encap:Ethernet HWaddr 00:0F:1F:F8:5E:8B inet addr:192.168.0.254 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::20f:1fff:fef8:5e8b/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:221080 errors:0 dropped:0 overruns:0 frame:0 TX packets:203356 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:26978630 (25.7 MiB) TX bytes:130872606 (124.8 MiB) Interrupt:21

eth1 Link encap:Ethernet HWaddr 00:83:08:00:69:B4 inet addr:10.0.0.2 Bcast:10.255.255.255 Mask:255.0.0.0 inet6 addr: fe80::283:8ff:fe00:69b4/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:134 errors:0 dropped:0 overruns:0 frame:0 TX packets:245 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:10995 (10.7 KiB) TX bytes:19653 (19.1 KiB) Interrupt:25 Base address:0x4c00

eth2 Link encap:Ethernet HWaddr 00:48:54:00:4D:6A inet addr:200.200.200.18 Bcast:187.4.253.23 Mask:255.255.255.248 inet6 addr: fe80::248:54ff:fe00:4d6a/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:205978 errors:0 dropped:0 overruns:0 frame:0 TX packets:197827 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:130334971 (124.2 MiB) TX bytes:18278175 (17.4 MiB) Interrupt:24 Base address:0x2c00

ip route list 200.200.200.16/29 dev eth2 proto kernel scope link src 200.200.200.18 192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.254 169.254.0.0/16 dev eth2 scope link 10.0.0.0/8 dev eth1 proto kernel scope link src 10.0.0.2 default via 187.4.253.17 dev eth2

ip route list table adsl 200.200.200.16/29 dev eth2 scope link 192.168.0.0/24 dev eth0 scope link 10.0.0.0/8 dev eth1 scope link default via 10.0.0.1 dev eth1

iptables -t nat -L -nxv Chain PREROUTING (policy ACCEPT 32806 packets, 8009883 bytes) pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 226 packets, 15190 bytes) pkts bytes target prot opt in out source destination 46 6662 MASQUERADE all -- * eth1 0.0.0.0/0 0.0.0.0/0 8987 456574 MASQUERADE all -- * eth2 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 1044 packets, 77074 bytes) pkts bytes target prot opt in out source destination

iptables -t mangle -L -nxv Chain PREROUTING (policy ACCEPT 419076 packets, 148934988 bytes) pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 6475 packets, 1228800 bytes) pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 389119 packets, 140213962 bytes) pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 6532 packets, 1124530 bytes) pkts bytes target prot opt in out source destination 0 0 MARK tcp -- * * 10.0.0.2 0.0.0.0/0 tcp dpt:80 MARK set 0x8

Chain POSTROUTING (policy ACCEPT 395651 packets, 141338492 bytes) pkts bytes target prot opt in out source destination

Bom é isso Aguardo seu retorno... Forte abraço... Roberto

Não conheço rêde e tenho um servidor com duas placas. Minha ADSL entra no roteador sem fio e o servidor com duas placas vai no sem fio. Você poderia resolver o meu problema junto com o seu? Quero que o servidor receba a adsl numa placa e distribua para a rêde interna pela outra. Atenciosamente

Em Qui, 2009-06-11 às 18:55 -0300, redes@habil.eti.br escreveu:

Salve galera... então depois de varios estudos eu consegui separar a navegação interna do default gateway

ptables -A FORWARD -i eth0 -o eth1 -j ACCEPT iptables -A FORWARD -i eth0 -o eth2 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE ip route add default via 10.0.0.1 table adsl

ip rule add from 192.168.0.0/24 table adsl

Através destes comando consegui fazer a rede interna sair pela ADSL e deixa o Link dedicado para Serviço de e-mail que será acessado de fora....

A questão é que navega td certinho, mas se seto para usar o squid não funciona ai tenho que add o seguindo comando ip route add 192.168.0.0/24 dev eth0 table adsl para o equid funcionar... mas ele sai pelo link se desmarcar as opções do proxy dai pelo ADSL... Agora estou neste impasse...

Qualquer dica é bem vinda... Roberto

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

Uma questão que pode ser importante....

eth0 192.168.0.254/24 rede local eth1 10.0.0.2/8 gtw 10.0.0.1 modem ADSL eth2 200.200.220.4/29 gtw 200.200.220.3 IP corporativo

Será que meu problema é a ADSL

Roberto

----- Original Message ----- From: redes@habil.eti.br To: "Lista de discussão voltada para os usuários brasileiros do Fedora" fedora-users-br@redhat.com Sent: Tuesday, June 09, 2009 9:10 AM Subject: Re: [Fedora-users-br] Squid 2 Links

Bom dia Alejandro... ainda não conseguir fazer funcionar o desejado... Li vário materiais... mas gostaria de tirar uma duvida com vc... Como Saber se o meu linux esta preparado para trabalhar com desejado... Hj esta configurado firewall fazendo nat trabalhando com squid... se mudar o default gateway funciona com os dois link um de cada vez claro....

Digo isso pq em alguns artigos diz que tenho q compilar kernal, etc, etc

Qualquer dica é bem vinda... Roberto

----- Original Message ----- From: "Alejandro Flores" alejandrorflores@gmail.com To: "Lista de discussão voltada para os usuários brasileiros do Fedora" fedora-users-br@redhat.com Sent: Saturday, June 06, 2009 9:12 PM Subject: Re: [Fedora-users-br] Squid 2 Links

...

Roberto,

...

Olá Alejandro... muito obrigado pelas dicas.... pergunta: Como faço para ver a toda tabela secundaria? Para eu entender melhor... quem é 200.100.100.1/32

No caso, a tabela secundária você deve criar. 200.100.100.1/32 no exemplo, é o segundo IP de internet que você tem. Simplificando, todo o roteamento no linux segue a tabela principal de roteamento. Quando você quer algo diferente como, criar um direcionamento do trafego por outro link, por exemplo, você deve criar uma segunda tabela de roteamento em /etc/iproute2/rt_tables. Feito isso, você pode adicionar as rotas para essa tabela. Para adicionar uma rota na tabela principal:

ip rote add 192.168.0.0/24 via 192.168.117.254

Para adicionar uma rota pela tabela secundaria (aquela que você criou em /etc/iproute2/rt_tables):

ip route add 192.168.0.0/24 via 192.168.117.254 table secundaria

Onde secundaria é o nome que você especificou no arquivo /etc/iproute2/rt_tables

200 secundaria

Ou seja, tem a tabela principal, que é o normal, e tem a tabela secundaria que você está criando para o seu novo link, regras e afins.

-- Abraço! Alejandro Flores http://www.triforsec.com.br/

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

Cara, obrigadão pela sua ajuda, mas desisti, acho que foi algum pau no openssh, reinstalei e pronto, tá tudo lindo.

Obrigadão cara.

Vitor Vilas Boas Consultor de TI Linux User #484274 www.vitorvilasboas.com.br vitor@vitorvilasboas.com.br Cel.: +55 71 8732.1156 Cel.: +55 71 9947.2808

Alejandro Flores escreveu:

Vitor,

Por favor, após tentar logar, manda as últimas 30 linhas do /var/log/secure, ok?

Abraço!

2009/6/3 Vitor Vilas Boas vitor@vitorvilasboas.com.br:

...

Veja bem, estava como padrão, esta opção eu adicionei para ver se resolvia.

Segue.

======================================================================

debug1: Authentications that can continue: publickey,password,keyboard-interactive debug3: start over, passed a different list publickey,password,keyboard-interactive debug3: preferred gssapi-with-mic,publickey,keyboard-interactive,password debug3: authmethod_lookup publickey debug3: remaining preferred: keyboard-interactive,password debug3: authmethod_is_enabled publickey debug1: Next authentication method: publickey debug1: Trying private key: /home/vitor/.ssh/identity debug3: no such identity: /home/vitor/.ssh/identity debug1: Trying private key: /home/vitor/.ssh/id_rsa debug3: no such identity: /home/vitor/.ssh/id_rsa debug1: Trying private key: /home/vitor/.ssh/id_dsa debug3: no such identity: /home/vitor/.ssh/id_dsa debug2: we did not send a packet, disable method debug3: authmethod_lookup keyboard-interactive debug3: remaining preferred: password debug3: authmethod_is_enabled keyboard-interactive debug1: Next authentication method: keyboard-interactive debug2: userauth_kbdint debug2: we sent a keyboard-interactive packet, wait for reply debug2: input_userauth_info_req debug2: input_userauth_info_req: num_prompts 1 Password: debug3: packet_send2: adding 32 (len 24 padlen 8 extra_pad 64) debug1: Authentications that can continue: publickey,password,keyboard-interactive debug2: userauth_kbdint debug2: we sent a keyboard-interactive packet, wait for reply debug2: input_userauth_info_req debug2: input_userauth_info_req: num_prompts 1 Password:

=======================================================

Vitor Vilas Boas Consultor de TI Linux User #484274 www.vitorvilasboas.com.br vitor@vitorvilasboas.com.br Cel.: +55 71 8732.1156 Cel.: +55 71 9947.2808

Aldrey Galindo escreveu:

...

Vitor,

Não seria a parte que tem 'AllowUsers vitor rafael root'? Pode comentar isso para que ele faça como padrão e libere todos? Caso seja o seu usuário 'vitor' que não esteja passando, poderia usar o 'ssh -vvv usuario@host' e postar?

Abraços, Aldrey Galindo

2009/6/3 Vitor Vilas Boas <vitor@vitorvilasboas.com.br mailto:vitor@vitorvilasboas.com.br>

Tá ai, ainda não mexi em nada, só tentei liberar os usuários, mas sem sucesso. Toda instalação de SSH que eu fiz, vem por padrão os usuários liberados, pois a intenção é negar o logon como root e liberar para os usuários.

=============================================================== # This is the sshd server system-wide configuration file. See # sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with # OpenSSH is to specify options with their default value where # possible, but leave them commented. Uncommented options change a # default value.

#Port 22 #AddressFamily any #ListenAddress 0.0.0.0 #ListenAddress ::

# Disable legacy (protocol version 1) support in the server for new # installations. In future the default will change to require explicit # activation of protocol 1 Protocol 2

# HostKey for protocol version 1 #HostKey /etc/ssh/ssh_host_key # HostKeys for protocol version 2 #HostKey /etc/ssh/ssh_host_rsa_key #HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key #KeyRegenerationInterval 1h #ServerKeyBits 1024

# Logging # obsoletes QuietMode and FascistLogging #SyslogFacility AUTH #LogLevel INFO

# Authentication:

#LoginGraceTime 2m #PermitRootLogin yes #StrictModes yes #MaxAuthTries 6 #MaxSessions 10

#RSAAuthentication yes #PubkeyAuthentication yes #AuthorizedKeysFile .ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts #RhostsRSAAuthentication no # similar for protocol version 2 #HostbasedAuthentication no # Change to yes if you don't trust ~/.ssh/known_hosts for # RhostsRSAAuthentication and HostbasedAuthentication #IgnoreUserKnownHosts no # Don't read the user's ~/.rhosts and ~/.shosts files #IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here! PasswordAuthentication yes #PermitEmptyPasswords no

# Change to no to disable s/key passwords #ChallengeResponseAuthentication yes

# Kerberos options #KerberosAuthentication no #KerberosOrLocalPasswd yes #KerberosTicketCleanup yes #KerberosGetAFSToken no

# GSSAPI options #GSSAPIAuthentication no #GSSAPICleanupCredentials yes

# Set this to 'yes' to enable support for the deprecated 'gssapi' authentication # mechanism to OpenSSH 3.8p1. The newer 'gssapi-with-mic' mechanism is included # in this release. The use of 'gssapi' is deprecated due to the presence of # potential man-in-the-middle attacks, which 'gssapi-with-mic' is not susceptible to. #GSSAPIEnableMITMAttack no

# Set this to 'yes' to enable PAM authentication, account processing, # and session processing. If this is enabled, PAM authentication will # be allowed through the ChallengeResponseAuthentication and # PasswordAuthentication. Depending on your PAM configuration, # PAM authentication via ChallengeResponseAuthentication may bypass # the setting of "PermitRootLogin without-password". # If you just want the PAM account and session checks to run without # PAM authentication, then enable this but set PasswordAuthentication # and ChallengeResponseAuthentication to 'no'. UsePAM yes #AllowAgentForwarding yes AllowUsers vitor rafael root #AllowTcpForwarding yes #GatewayPorts no X11Forwarding yes #X11DisplayOffset 10 #X11UseLocalhost yes #PrintMotd yes #PrintLastLog yes #TCPKeepAlive yes #UseLogin no #UsePrivilegeSeparation yes #PermitUserEnvironment no #Compression delayed #ClientAliveInterval 0 #ClientAliveCountMax 3 #UseDNS yes #PidFile /var/run/sshd.pid #MaxStartups 10 #PermitTunnel no #ChrootDirectory none

# no default banner path Banner /etc/issue.net http://issue.net

# override default of no subsystems Subsystem sftp /usr/lib/ssh/sftp-server

# This enables accepting locale enviroment variables LC_* LANG, see sshd_config(5). AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT AcceptEnv LC_IDENTIFICATION LC_ALL

# Example of overriding settings on a per-user basis #Match User anoncvs # X11Forwarding no # AllowTcpForwarding no # ForceCommand cvs server

==========================================================================

Vitor Vilas Boas Consultor de TI Linux User #484274 www.vitorvilasboas.com.br http://www.vitorvilasboas.com.br vitor@vitorvilasboas.com.br mailto:vitor@vitorvilasboas.com.br Cel.: +55 71 8732.1156 Cel.: +55 71 9947.2808

Alejandro Flores escreveu:

   Vitor,


       Galera, tô migrando os servidores proxy/firewall e o
       fileserver/backup de
       openSUSE para o CentOS 5.3, mas tô com um probleminha, o
       SSH só loga como
       ROOT, já criei o usuário mas n dá permissão de acesso ao
       SSH, já vasculhei a
       net e o arquivo de configuração, alguém tem alguma dica?


   Um comportamento bem atipico!
   Você pode postar o /etc/ssh/sshd_config ?

-- Fedora-users-br mailing list Fedora-users-br@redhat.com mailto:Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

---

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br

-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br