8:25 a.m.
Galera, tô migrando os servidores proxy/firewall e o fileserver/backup
de openSUSE para o CentOS 5.3, mas tô com um probleminha, o SSH só loga
como ROOT, já criei o usuário mas n dá permissão de acesso ao SSH, já
vasculhei a net e o arquivo de configuração, alguém tem alguma dica?
Abraços
--
Vitor Vilas Boas
Consultor de TI
Linux User #484274
www.vitorvilasboas.com.br
vitor(a)vitorvilasboas.com.br
Cel.: +55 71 8732.1156
Cel.: +55 71 9947.2808
11:18 a.m.
Vitor,
Galera, tô migrando os servidores proxy/firewall e o
fileserver/backup de
openSUSE para o CentOS 5.3, mas tô com um probleminha, o SSH só loga como
ROOT, já criei o usuário mas n dá permissão de acesso ao SSH, já vasculhei a
net e o arquivo de configuração, alguém tem alguma dica?
Um comportamento bem atipico!
Você pode postar o /etc/ssh/sshd_config ?
--
Abraço!
Alejandro Flores
http://www.triforsec.com.br/
11:39 a.m.
Tá ai, ainda não mexi em nada, só tentei liberar os usuários, mas sem
sucesso.
Toda instalação de SSH que eu fiz, vem por padrão os usuários liberados,
pois a intenção é negar o logon como root e liberar para os usuários.
===============================================================
# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.
# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.
#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::
# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024
# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO
# Authentication:
#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes
#PermitEmptyPasswords no
# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
# Set this to 'yes' to enable support for the deprecated 'gssapi'
authentication
# mechanism to OpenSSH 3.8p1. The newer 'gssapi-with-mic' mechanism is
included
# in this release. The use of 'gssapi' is deprecated due to the presence of
# potential man-in-the-middle attacks, which 'gssapi-with-mic' is not
susceptible to.
#GSSAPIEnableMITMAttack no
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
#AllowAgentForwarding yes
AllowUsers vitor rafael root
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#PermitTunnel no
#ChrootDirectory none
# no default banner path
Banner /etc/issue.net
# override default of no subsystems
Subsystem sftp /usr/lib/ssh/sftp-server
# This enables accepting locale enviroment variables LC_* LANG, see
sshd_config(5).
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY
LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# ForceCommand cvs server
==========================================================================
Vitor Vilas Boas
Consultor de TI
Linux User #484274
www.vitorvilasboas.com.br
vitor(a)vitorvilasboas.com.br
Cel.: +55 71 8732.1156
Cel.: +55 71 9947.2808
Alejandro Flores escreveu:
Vitor,
> Galera, tô migrando os servidores proxy/firewall e o fileserver/backup de
> openSUSE para o CentOS 5.3, mas tô com um probleminha, o SSH só loga como
> ROOT, já criei o usuário mas n dá permissão de acesso ao SSH, já vasculhei a
> net e o arquivo de configuração, alguém tem alguma dica?
>
Um comportamento bem atipico!
Você pode postar o /etc/ssh/sshd_config ?
12:08 p.m.
Vitor,
Não seria a parte que tem 'AllowUsers vitor rafael root'? Pode comentar
isso para que ele faça como padrão e libere todos?
Caso seja o seu usuário 'vitor' que não esteja passando, poderia usar o
'ssh -vvv usuario@host' e postar?
Abraços,
Aldrey Galindo
2009/6/3 Vitor Vilas Boas <vitor(a)vitorvilasboas.com.br>
Tá ai, ainda não mexi em nada, só tentei liberar os usuários, mas
sem
sucesso.
Toda instalação de SSH que eu fiz, vem por padrão os usuários liberados,
pois a intenção é negar o logon como root e liberar para os usuários.
===============================================================
# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.
# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.
#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::
# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024
# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO
# Authentication:
#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes
#PermitEmptyPasswords no
# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
# Set this to 'yes' to enable support for the deprecated 'gssapi'
authentication
# mechanism to OpenSSH 3.8p1. The newer 'gssapi-with-mic' mechanism is
included
# in this release. The use of 'gssapi' is deprecated due to the presence of
# potential man-in-the-middle attacks, which 'gssapi-with-mic' is not
susceptible to.
#GSSAPIEnableMITMAttack no
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
#AllowAgentForwarding yes
AllowUsers vitor rafael root
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#PermitTunnel no
#ChrootDirectory none
# no default banner path
Banner /etc/issue.net
# override default of no subsystems
Subsystem sftp /usr/lib/ssh/sftp-server
# This enables accepting locale enviroment variables LC_* LANG, see
sshd_config(5).
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY
LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# ForceCommand cvs server
==========================================================================
Vitor Vilas Boas
Consultor de TI
Linux User #484274
www.vitorvilasboas.com.br
vitor(a)vitorvilasboas.com.br
Cel.: +55 71 8732.1156
Cel.: +55 71 9947.2808
Alejandro Flores escreveu:
> Vitor,
>
>
>
>> Galera, tô migrando os servidores proxy/firewall e o fileserver/backup de
>> openSUSE para o CentOS 5.3, mas tô com um probleminha, o SSH só loga como
>> ROOT, já criei o usuário mas n dá permissão de acesso ao SSH, já
>> vasculhei a
>> net e o arquivo de configuração, alguém tem alguma dica?
>>
>>
>
> Um comportamento bem atipico!
> Você pode postar o /etc/ssh/sshd_config ?
>
>
>
>
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
12:12 p.m.
Veja bem, estava como padrão, esta opção eu adicionei para ver se resolvia.
Segue.
======================================================================
debug1: Authentications that can continue:
publickey,password,keyboard-interactive
debug3: start over, passed a different list
publickey,password,keyboard-interactive
debug3: preferred gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/vitor/.ssh/identity
debug3: no such identity: /home/vitor/.ssh/identity
debug1: Trying private key: /home/vitor/.ssh/id_rsa
debug3: no such identity: /home/vitor/.ssh/id_rsa
debug1: Trying private key: /home/vitor/.ssh/id_dsa
debug3: no such identity: /home/vitor/.ssh/id_dsa
debug2: we did not send a packet, disable method
debug3: authmethod_lookup keyboard-interactive
debug3: remaining preferred: password
debug3: authmethod_is_enabled keyboard-interactive
debug1: Next authentication method: keyboard-interactive
debug2: userauth_kbdint
debug2: we sent a keyboard-interactive packet, wait for reply
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 1
Password:
debug3: packet_send2: adding 32 (len 24 padlen 8 extra_pad 64)
debug1: Authentications that can continue:
publickey,password,keyboard-interactive
debug2: userauth_kbdint
debug2: we sent a keyboard-interactive packet, wait for reply
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 1
Password:
=======================================================
Vitor Vilas Boas
Consultor de TI
Linux User #484274
www.vitorvilasboas.com.br
vitor(a)vitorvilasboas.com.br
Cel.: +55 71 8732.1156
Cel.: +55 71 9947.2808
Aldrey Galindo escreveu:
Vitor,
Não seria a parte que tem 'AllowUsers vitor rafael root'? Pode
comentar isso para que ele faça como padrão e libere todos?
Caso seja o seu usuário 'vitor' que não esteja passando, poderia
usar o 'ssh -vvv usuario@host' e postar?
Abraços,
Aldrey Galindo
2009/6/3 Vitor Vilas Boas <vitor(a)vitorvilasboas.com.br
<mailto:vitor@vitorvilasboas.com.br>>
Tá ai, ainda não mexi em nada, só tentei liberar os usuários, mas
sem sucesso.
Toda instalação de SSH que eu fiz, vem por padrão os usuários
liberados, pois a intenção é negar o logon como root e liberar
para os usuários.
===============================================================
# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.
# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin
# The strategy used for options in the default sshd_config shipped
with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.
#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::
# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024
# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO
# Authentication:
#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys
# For this to work you will also need host keys in
/etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes
#PermitEmptyPasswords no
# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
# Set this to 'yes' to enable support for the deprecated 'gssapi'
authentication
# mechanism to OpenSSH 3.8p1. The newer 'gssapi-with-mic'
mechanism is included
# in this release. The use of 'gssapi' is deprecated due to the
presence of
# potential man-in-the-middle attacks, which 'gssapi-with-mic' is
not susceptible to.
#GSSAPIEnableMITMAttack no
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
#AllowAgentForwarding yes
AllowUsers vitor rafael root
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#PermitTunnel no
#ChrootDirectory none
# no default banner path
Banner /etc/issue.net <http://issue.net>
# override default of no subsystems
Subsystem sftp /usr/lib/ssh/sftp-server
# This enables accepting locale enviroment variables LC_* LANG,
see sshd_config(5).
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY
LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# ForceCommand cvs server
==========================================================================
Vitor Vilas Boas
Consultor de TI
Linux User #484274
www.vitorvilasboas.com.br <http://www.vitorvilasboas.com.br>
vitor(a)vitorvilasboas.com.br <mailto:vitor@vitorvilasboas.com.br>
Cel.: +55 71 8732.1156
Cel.: +55 71 9947.2808
Alejandro Flores escreveu:
Vitor,
Galera, tô migrando os servidores proxy/firewall e o
fileserver/backup de
openSUSE para o CentOS 5.3, mas tô com um probleminha, o
SSH só loga como
ROOT, já criei o usuário mas n dá permissão de acesso ao
SSH, já vasculhei a
net e o arquivo de configuração, alguém tem alguma dica?
Um comportamento bem atipico!
Você pode postar o /etc/ssh/sshd_config ?
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com <mailto:Fedora-users-br@redhat.com>
https://www.redhat.com/mailman/listinfo/fedora-users-br
------------------------------------------------------------------------
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
7:34 p.m.
Vitor,
Por favor, após tentar logar, manda as últimas 30 linhas do /var/log/secure, ok?
Abraço!
2009/6/3 Vitor Vilas Boas <vitor(a)vitorvilasboas.com.br>:
Veja bem, estava como padrão, esta opção eu adicionei para ver se
resolvia.
Segue.
======================================================================
debug1: Authentications that can continue:
publickey,password,keyboard-interactive
debug3: start over, passed a different list
publickey,password,keyboard-interactive
debug3: preferred gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/vitor/.ssh/identity
debug3: no such identity: /home/vitor/.ssh/identity
debug1: Trying private key: /home/vitor/.ssh/id_rsa
debug3: no such identity: /home/vitor/.ssh/id_rsa
debug1: Trying private key: /home/vitor/.ssh/id_dsa
debug3: no such identity: /home/vitor/.ssh/id_dsa
debug2: we did not send a packet, disable method
debug3: authmethod_lookup keyboard-interactive
debug3: remaining preferred: password
debug3: authmethod_is_enabled keyboard-interactive
debug1: Next authentication method: keyboard-interactive
debug2: userauth_kbdint
debug2: we sent a keyboard-interactive packet, wait for reply
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 1
Password:
debug3: packet_send2: adding 32 (len 24 padlen 8 extra_pad 64)
debug1: Authentications that can continue:
publickey,password,keyboard-interactive
debug2: userauth_kbdint
debug2: we sent a keyboard-interactive packet, wait for reply
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 1
Password:
=======================================================
Vitor Vilas Boas
Consultor de TI
Linux User #484274
www.vitorvilasboas.com.br
vitor(a)vitorvilasboas.com.br
Cel.: +55 71 8732.1156
Cel.: +55 71 9947.2808
Aldrey Galindo escreveu:
>
> Vitor,
>
> Não seria a parte que tem 'AllowUsers vitor rafael root'? Pode comentar
> isso para que ele faça como padrão e libere todos?
> Caso seja o seu usuário 'vitor' que não esteja passando, poderia usar o
> 'ssh -vvv usuario@host' e postar?
>
> Abraços,
> Aldrey Galindo
>
> 2009/6/3 Vitor Vilas Boas <vitor(a)vitorvilasboas.com.br
> <mailto:vitor@vitorvilasboas.com.br>>
>
> Tá ai, ainda não mexi em nada, só tentei liberar os usuários, mas
> sem sucesso.
> Toda instalação de SSH que eu fiz, vem por padrão os usuários
> liberados, pois a intenção é negar o logon como root e liberar
> para os usuários.
>
> ===============================================================
> # This is the sshd server system-wide configuration file. See
> # sshd_config(5) for more information.
>
> # This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin
>
> # The strategy used for options in the default sshd_config shipped
> with
> # OpenSSH is to specify options with their default value where
> # possible, but leave them commented. Uncommented options change a
> # default value.
>
> #Port 22
> #AddressFamily any
> #ListenAddress 0.0.0.0
> #ListenAddress ::
>
> # Disable legacy (protocol version 1) support in the server for new
> # installations. In future the default will change to require explicit
> # activation of protocol 1
> Protocol 2
>
> # HostKey for protocol version 1
> #HostKey /etc/ssh/ssh_host_key
> # HostKeys for protocol version 2
> #HostKey /etc/ssh/ssh_host_rsa_key
> #HostKey /etc/ssh/ssh_host_dsa_key
>
> # Lifetime and size of ephemeral version 1 server key
> #KeyRegenerationInterval 1h
> #ServerKeyBits 1024
>
> # Logging
> # obsoletes QuietMode and FascistLogging
> #SyslogFacility AUTH
> #LogLevel INFO
>
> # Authentication:
>
> #LoginGraceTime 2m
> #PermitRootLogin yes
> #StrictModes yes
> #MaxAuthTries 6
> #MaxSessions 10
>
> #RSAAuthentication yes
> #PubkeyAuthentication yes
> #AuthorizedKeysFile .ssh/authorized_keys
>
> # For this to work you will also need host keys in
> /etc/ssh/ssh_known_hosts
> #RhostsRSAAuthentication no
> # similar for protocol version 2
> #HostbasedAuthentication no
> # Change to yes if you don't trust ~/.ssh/known_hosts for
> # RhostsRSAAuthentication and HostbasedAuthentication
> #IgnoreUserKnownHosts no
> # Don't read the user's ~/.rhosts and ~/.shosts files
> #IgnoreRhosts yes
>
> # To disable tunneled clear text passwords, change to no here!
> PasswordAuthentication yes
> #PermitEmptyPasswords no
>
> # Change to no to disable s/key passwords
> #ChallengeResponseAuthentication yes
>
> # Kerberos options
> #KerberosAuthentication no
> #KerberosOrLocalPasswd yes
> #KerberosTicketCleanup yes
> #KerberosGetAFSToken no
>
> # GSSAPI options
> #GSSAPIAuthentication no
> #GSSAPICleanupCredentials yes
>
> # Set this to 'yes' to enable support for the deprecated 'gssapi'
> authentication
> # mechanism to OpenSSH 3.8p1. The newer 'gssapi-with-mic'
> mechanism is included
> # in this release. The use of 'gssapi' is deprecated due to the
> presence of
> # potential man-in-the-middle attacks, which 'gssapi-with-mic' is
> not susceptible to.
> #GSSAPIEnableMITMAttack no
>
>
> # Set this to 'yes' to enable PAM authentication, account processing,
> # and session processing. If this is enabled, PAM authentication will
> # be allowed through the ChallengeResponseAuthentication and
> # PasswordAuthentication. Depending on your PAM configuration,
> # PAM authentication via ChallengeResponseAuthentication may bypass
> # the setting of "PermitRootLogin without-password".
> # If you just want the PAM account and session checks to run without
> # PAM authentication, then enable this but set PasswordAuthentication
> # and ChallengeResponseAuthentication to 'no'.
> UsePAM yes
> #AllowAgentForwarding yes
> AllowUsers vitor rafael root
> #AllowTcpForwarding yes
> #GatewayPorts no
> X11Forwarding yes
> #X11DisplayOffset 10
> #X11UseLocalhost yes
> #PrintMotd yes
> #PrintLastLog yes
> #TCPKeepAlive yes
> #UseLogin no
> #UsePrivilegeSeparation yes
> #PermitUserEnvironment no
> #Compression delayed
> #ClientAliveInterval 0
> #ClientAliveCountMax 3
> #UseDNS yes
> #PidFile /var/run/sshd.pid
> #MaxStartups 10
> #PermitTunnel no
> #ChrootDirectory none
>
> # no default banner path
> Banner /etc/issue.net <http://issue.net>
>
> # override default of no subsystems
> Subsystem sftp /usr/lib/ssh/sftp-server
>
> # This enables accepting locale enviroment variables LC_* LANG,
> see sshd_config(5).
> AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY
> LC_MESSAGES
> AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
> AcceptEnv LC_IDENTIFICATION LC_ALL
>
> # Example of overriding settings on a per-user basis
> #Match User anoncvs
> # X11Forwarding no
> # AllowTcpForwarding no
> # ForceCommand cvs server
>
>
> ==========================================================================
>
>
>
> Vitor Vilas Boas
> Consultor de TI
> Linux User #484274
> www.vitorvilasboas.com.br <http://www.vitorvilasboas.com.br>
> vitor(a)vitorvilasboas.com.br <mailto:vitor@vitorvilasboas.com.br>
> Cel.: +55 71 8732.1156
> Cel.: +55 71 9947.2808
>
>
>
> Alejandro Flores escreveu:
>
> Vitor,
>
>
> Galera, tô migrando os servidores proxy/firewall e o
> fileserver/backup de
> openSUSE para o CentOS 5.3, mas tô com um probleminha, o
> SSH só loga como
> ROOT, já criei o usuário mas n dá permissão de acesso ao
> SSH, já vasculhei a
> net e o arquivo de configuração, alguém tem alguma dica?
>
>
> Um comportamento bem atipico!
> Você pode postar o /etc/ssh/sshd_config ?
>
>
>
>
> --
> Fedora-users-br mailing list
> Fedora-users-br(a)redhat.com <mailto:Fedora-users-br@redhat.com>
> https://www.redhat.com/mailman/listinfo/fedora-users-br
>
>
> ------------------------------------------------------------------------
>
> --
> Fedora-users-br mailing list
> Fedora-users-br(a)redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
>
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
--
Alejandro Flores
http://www.triforsec.com.br/
4:55 a.m.
New subject: Squid 2 Links
Salve galera... então...
gostaria de saber se é possível ter o squid rodando em um firewall com 2
links
a idéia é ter o squid saindo por um link de ADSL e o restante pelo Link
dedicado...
Hj estou conseguindo fazer hora um tudo saindo por um link hora saindo por
outra
manipulando o default route...
Qualquer dica é bem vinda
Roberto
7:18 a.m.
New subject: Squid 2 Links
uma idéia cara... n seria mais viável você fazer um balanceamento de carga?
Vitor Vilas Boas
Consultor de TI
Linux User #484274
www.vitorvilasboas.com.br
vitor(a)vitorvilasboas.com.br
Cel.: +55 71 8732.1156
Cel.: +55 71 9947.2808
redes(a)habil.eti.br escreveu:
Salve galera... então...
gostaria de saber se é possível ter o squid rodando em um firewall com
2 links
a idéia é ter o squid saindo por um link de ADSL e o restante pelo
Link dedicado...
Hj estou conseguindo fazer hora um tudo saindo por um link hora saindo
por outra
manipulando o default route...
Qualquer dica é bem vinda
Roberto
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
7:27 a.m.
New subject: Squid 2 Links
Certo... estou lendo e fazendo testes sobre isso... mas até agora sem
sucesso?
Tens alguma dica?
Roberto
----- Original Message -----
From: "Vitor Vilas Boas" <vitor(a)vitorvilasboas.com.br>
To: "Lista de discussão voltada para os usuários brasileiros do Fedora"
<fedora-users-br(a)redhat.com>
Sent: Friday, June 05, 2009 9:18 AM
Subject: Re: [Fedora-users-br] Squid 2 Links
uma idéia cara... n seria mais viável você fazer um balanceamento de
carga?
Vitor Vilas Boas
Consultor de TI
Linux User #484274
www.vitorvilasboas.com.br
vitor(a)vitorvilasboas.com.br
Cel.: +55 71 8732.1156
Cel.: +55 71 9947.2808
redes(a)habil.eti.br escreveu:
> Salve galera... então...
> gostaria de saber se é possível ter o squid rodando em um firewall com 2
> links
> a idéia é ter o squid saindo por um link de ADSL e o restante pelo Link
> dedicado...
>
> Hj estou conseguindo fazer hora um tudo saindo por um link hora saindo
> por outra
> manipulando o default route...
>
> Qualquer dica é bem vinda
>
> Roberto
> --
> Fedora-users-br mailing list
> Fedora-users-br(a)redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
>
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
8:28 a.m.
New subject: Squid 2 Links
Dá uma linda nisso ai que pode te ajudar.
http://www.vivaolinux.com.br/artigo/Configurando-2-%28dois%29-links-ADSL-...
Vitor Vilas Boas
Consultor de TI
Linux User #484274
www.vitorvilasboas.com.br
vitor(a)vitorvilasboas.com.br
Cel.: +55 71 8732.1156
Cel.: +55 71 9947.2808
redes(a)habil.eti.br escreveu:
Certo... estou lendo e fazendo testes sobre isso... mas até agora sem
sucesso?
Tens alguma dica?
Roberto
----- Original Message ----- From: "Vitor Vilas Boas"
<vitor(a)vitorvilasboas.com.br>
To: "Lista de discussão voltada para os usuários brasileiros do
Fedora" <fedora-users-br(a)redhat.com>
Sent: Friday, June 05, 2009 9:18 AM
Subject: Re: [Fedora-users-br] Squid 2 Links
> uma idéia cara... n seria mais viável você fazer um balanceamento de
> carga?
>
> Vitor Vilas Boas
> Consultor de TI
> Linux User #484274
> www.vitorvilasboas.com.br
> vitor(a)vitorvilasboas.com.br
> Cel.: +55 71 8732.1156
> Cel.: +55 71 9947.2808
>
>
>
> redes(a)habil.eti.br escreveu:
>> Salve galera... então...
>> gostaria de saber se é possível ter o squid rodando em um firewall
>> com 2 links
>> a idéia é ter o squid saindo por um link de ADSL e o restante pelo
>> Link dedicado...
>>
>> Hj estou conseguindo fazer hora um tudo saindo por um link hora
>> saindo por outra
>> manipulando o default route...
>>
>> Qualquer dica é bem vinda
>>
>> Roberto
>> --
>> Fedora-users-br mailing list
>> Fedora-users-br(a)redhat.com
>> https://www.redhat.com/mailman/listinfo/fedora-users-br
>>
>
> --
> Fedora-users-br mailing list
> Fedora-users-br(a)redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
8:29 a.m.
New subject: Squid 2 Links
Olá...
Se alguém conseguir fazer *BALANCEAMENTO DE CARGA*, me avisa, pois até hoje
não encontrei ninguém que conseguiu!
Trabalho com 3 links aqui, porém, o que consigo é fazer redundância (quando
um link cai outro assume)... e editar rotas através do RT_TABLES....
Tipo: redes do GMAIL e HOTMAIL saem por um link e coisas mais importantes
saem pelo link dedicado !!! isso conseguimos fazer aqui (distribuir o
tráfego por diversos links)
Agora fazer o chamado, BALANCEAMENTO DE CARGA, acredito que não vá rolar...
tentei seguir diversos "tutoriais" encontrados pelo google, mas sempre
geram um efeito colateral... MSN caindo, fora outros problemas !!!!
Enfim, se alguém conseguir, manda pra gente a mágica !!!!
Armando.
2009/6/5 Vitor Vilas Boas <vitor(a)vitorvilasboas.com.br>
uma idéia cara... n seria mais viável você fazer um balanceamento de
carga?
Vitor Vilas Boas
Consultor de TI
Linux User #484274
www.vitorvilasboas.com.br
vitor(a)vitorvilasboas.com.br
Cel.: +55 71 8732.1156
Cel.: +55 71 9947.2808
redes(a)habil.eti.br escreveu:
Salve galera... então...
> gostaria de saber se é possível ter o squid rodando em um firewall com 2
> links
> a idéia é ter o squid saindo por um link de ADSL e o restante pelo Link
> dedicado...
>
> Hj estou conseguindo fazer hora um tudo saindo por um link hora saindo por
> outra
> manipulando o default route...
>
> Qualquer dica é bem vinda
>
> Roberto
> --
> Fedora-users-br mailing list
> Fedora-users-br(a)redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
>
>
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
8:45 a.m.
New subject: Squid 2 Links
Vi uma vez algo que faria a "soma" dos links [1], não cheguei a fazer.
Abraços,
Aldrey Galindo
[1]-
http://www.vivaolinux.com.br/artigo/Configurando-2-(dois)-links-ADSL-no-m...
2009/6/5 Armando Barsotini Neto <a.barsotini(a)gmail.com>
Olá...
Se alguém conseguir fazer *BALANCEAMENTO DE CARGA*, me avisa, pois até
hoje não encontrei ninguém que conseguiu!
Trabalho com 3 links aqui, porém, o que consigo é fazer redundância (quando
um link cai outro assume)... e editar rotas através do RT_TABLES....
Tipo: redes do GMAIL e HOTMAIL saem por um link e coisas mais importantes
saem pelo link dedicado !!! isso conseguimos fazer aqui (distribuir o
tráfego por diversos links)
Agora fazer o chamado, BALANCEAMENTO DE CARGA, acredito que não vá rolar...
tentei seguir diversos "tutoriais" encontrados pelo google, mas sempre
geram um efeito colateral... MSN caindo, fora outros problemas !!!!
Enfim, se alguém conseguir, manda pra gente a mágica !!!!
Armando.
2009/6/5 Vitor Vilas Boas <vitor(a)vitorvilasboas.com.br>
uma idéia cara... n seria mais viável você fazer um balanceamento de carga?
>
> Vitor Vilas Boas
> Consultor de TI
> Linux User #484274
> www.vitorvilasboas.com.br
> vitor(a)vitorvilasboas.com.br
> Cel.: +55 71 8732.1156
> Cel.: +55 71 9947.2808
>
>
>
> redes(a)habil.eti.br escreveu:
>
> Salve galera... então...
>> gostaria de saber se é possível ter o squid rodando em um firewall com 2
>> links
>> a idéia é ter o squid saindo por um link de ADSL e o restante pelo Link
>> dedicado...
>>
>> Hj estou conseguindo fazer hora um tudo saindo por um link hora saindo
>> por outra
>> manipulando o default route...
>>
>> Qualquer dica é bem vinda
>>
>> Roberto
>> --
>> Fedora-users-br mailing list
>> Fedora-users-br(a)redhat.com
>> https://www.redhat.com/mailman/listinfo/fedora-users-br
>>
>>
> --
> Fedora-users-br mailing list
> Fedora-users-br(a)redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
>
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
8:52 a.m.
New subject: Squid 2 Links
Se houvesse alguma forma de fazer o squid sair por determinado gateway...
Seria a solução
----- Original Message -----
From: Aldrey Galindo
To: Lista de discussão voltada para os usuários brasileiros do Fedora
Sent: Friday, June 05, 2009 10:45 AM
Subject: Re: [Fedora-users-br] Squid 2 Links
Vi uma vez algo que faria a "soma" dos links [1], não cheguei a fazer.
Abraços,
Aldrey Galindo
[1]-
http://www.vivaolinux.com.br/artigo/Configurando-2-(dois)-links-ADSL-no-m...
2009/6/5 Armando Barsotini Neto <a.barsotini(a)gmail.com>
Olá...
Se alguém conseguir fazer BALANCEAMENTO DE CARGA, me avisa, pois até hoje não
encontrei ninguém que conseguiu!
Trabalho com 3 links aqui, porém, o que consigo é fazer redundância (quando um link
cai outro assume)... e editar rotas através do RT_TABLES....
Tipo: redes do GMAIL e HOTMAIL saem por um link e coisas mais importantes saem pelo
link dedicado !!! isso conseguimos fazer aqui (distribuir o tráfego por diversos links)
Agora fazer o chamado, BALANCEAMENTO DE CARGA, acredito que não vá rolar... tentei
seguir diversos "tutoriais" encontrados pelo google, mas sempre geram um efeito
colateral... MSN caindo, fora outros problemas !!!!
Enfim, se alguém conseguir, manda pra gente a mágica !!!!
Armando.
2009/6/5 Vitor Vilas Boas <vitor(a)vitorvilasboas.com.br>
uma idéia cara... n seria mais viável você fazer um balanceamento de carga?
Vitor Vilas Boas
Consultor de TI
Linux User #484274
www.vitorvilasboas.com.br
vitor(a)vitorvilasboas.com.br
Cel.: +55 71 8732.1156
Cel.: +55 71 9947.2808
redes(a)habil.eti.br escreveu:
Salve galera... então...
gostaria de saber se é possível ter o squid rodando em um firewall com 2 links
a idéia é ter o squid saindo por um link de ADSL e o restante pelo Link
dedicado...
Hj estou conseguindo fazer hora um tudo saindo por um link hora saindo por outra
manipulando o default route...
Qualquer dica é bem vinda
Roberto
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
------------------------------------------------------------------------------
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
9:08 a.m.
New subject: Squid 2 Links
Aldrey..
Isso de "SOMAR" dois links não existe...
BALANCEAMENTO DE CARGA, é distribuir requisições pelos 2 ou mais links,
dependendo da capacidade/utilização de cada um..
Porém, como disse... NÃO CONHEÇO NINGUÉM QUE CONSEGUIU ESSA FAÇANHA !!!
O que conseguimos é fazer roteamento estático (ex: marcando pacote através
do MANGLE) para sair por um determinado link... e Redundância, que com um
script você altera a tabela de ROTAS...
Mas BALANCEAMENTO.....
Armando!
2009/6/5 <redes(a)habil.eti.br>
Se houvesse alguma forma de fazer o squid sair por determinado
gateway...
Seria a solução
----- Original Message -----
*From:* Aldrey Galindo <aldreygalindo(a)gmail.com>
*To:* Lista de discussão voltada para os usuários brasileiros do
Fedora<fedora-users-br(a)redhat.com>
*Sent:* Friday, June 05, 2009 10:45 AM
*Subject:* Re: [Fedora-users-br] Squid 2 Links
Vi uma vez algo que faria a "soma" dos links [1], não cheguei a fazer.
Abraços,
Aldrey Galindo
[1]-
http://www.vivaolinux.com.br/artigo/Configurando-2-(dois)-links-ADSL-no-m...
2009/6/5 Armando Barsotini Neto <a.barsotini(a)gmail.com>
> Olá...
>
> Se alguém conseguir fazer *BALANCEAMENTO DE CARGA*, me avisa, pois até
> hoje não encontrei ninguém que conseguiu!
> Trabalho com 3 links aqui, porém, o que consigo é fazer redundância
> (quando um link cai outro assume)... e editar rotas através do RT_TABLES....
>
> Tipo: redes do GMAIL e HOTMAIL saem por um link e coisas mais importantes
> saem pelo link dedicado !!! isso conseguimos fazer aqui (distribuir o
> tráfego por diversos links)
>
> Agora fazer o chamado, BALANCEAMENTO DE CARGA, acredito que não vá
> rolar... tentei seguir diversos "tutoriais" encontrados pelo google, mas
> sempre geram um efeito colateral... MSN caindo, fora outros problemas !!!!
>
> Enfim, se alguém conseguir, manda pra gente a mágica !!!!
>
> Armando.
>
>
>
>
>
>
> 2009/6/5 Vitor Vilas Boas <vitor(a)vitorvilasboas.com.br>
>
> uma idéia cara... n seria mais viável você fazer um balanceamento de
>> carga?
>>
>> Vitor Vilas Boas
>> Consultor de TI
>> Linux User #484274
>> www.vitorvilasboas.com.br
>> vitor(a)vitorvilasboas.com.br
>> Cel.: +55 71 8732.1156
>> Cel.: +55 71 9947.2808
>>
>>
>>
>> redes(a)habil.eti.br escreveu:
>>
>> Salve galera... então...
>>> gostaria de saber se é possível ter o squid rodando em um firewall com 2
>>> links
>>> a idéia é ter o squid saindo por um link de ADSL e o restante pelo Link
>>> dedicado...
>>>
>>> Hj estou conseguindo fazer hora um tudo saindo por um link hora saindo
>>> por outra
>>> manipulando o default route...
>>>
>>> Qualquer dica é bem vinda
>>>
>>> Roberto
>>> --
>>> Fedora-users-br mailing list
>>> Fedora-users-br(a)redhat.com
>>> https://www.redhat.com/mailman/listinfo/fedora-users-br
>>>
>>>
>> --
>> Fedora-users-br mailing list
>> Fedora-users-br(a)redhat.com
>> https://www.redhat.com/mailman/listinfo/fedora-users-br
>>
>
>
> --
> Fedora-users-br mailing list
> Fedora-users-br(a)redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
>
>
------------------------------
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
9:13 a.m.
New subject: Squid 2 Links
Olá.... ok...
O que preciso é isso mesmo dividir... tipo squid sair pra um lado e o resta pra outro....
Qualquer dica é bem vinda...
Roberto
----- Original Message -----
From: Armando Barsotini Neto
To: Lista de discussão voltada para os usuários brasileiros do Fedora
Sent: Friday, June 05, 2009 11:08 AM
Subject: Re: [Fedora-users-br] Squid 2 Links
Aldrey..
Isso de "SOMAR" dois links não existe...
BALANCEAMENTO DE CARGA, é distribuir requisições pelos 2 ou mais links, dependendo da
capacidade/utilização de cada um..
Porém, como disse... NÃO CONHEÇO NINGUÉM QUE CONSEGUIU ESSA FAÇANHA !!!
O que conseguimos é fazer roteamento estático (ex: marcando pacote através do MANGLE)
para sair por um determinado link... e Redundância, que com um script você altera a
tabela de ROTAS...
Mas BALANCEAMENTO.....
Armando!
2009/6/5 <redes(a)habil.eti.br>
Se houvesse alguma forma de fazer o squid sair por determinado gateway...
Seria a solução
----- Original Message -----
From: Aldrey Galindo
To: Lista de discussão voltada para os usuários brasileiros do Fedora
Sent: Friday, June 05, 2009 10:45 AM
Subject: Re: [Fedora-users-br] Squid 2 Links
Vi uma vez algo que faria a "soma" dos links [1], não cheguei a fazer.
Abraços,
Aldrey Galindo
[1]-
http://www.vivaolinux.com.br/artigo/Configurando-2-(dois)-links-ADSL-no-m...
2009/6/5 Armando Barsotini Neto <a.barsotini(a)gmail.com>
Olá...
Se alguém conseguir fazer BALANCEAMENTO DE CARGA, me avisa, pois até hoje não
encontrei ninguém que conseguiu!
Trabalho com 3 links aqui, porém, o que consigo é fazer redundância (quando um
link cai outro assume)... e editar rotas através do RT_TABLES....
Tipo: redes do GMAIL e HOTMAIL saem por um link e coisas mais importantes saem
pelo link dedicado !!! isso conseguimos fazer aqui (distribuir o tráfego por diversos
links)
Agora fazer o chamado, BALANCEAMENTO DE CARGA, acredito que não vá rolar...
tentei seguir diversos "tutoriais" encontrados pelo google, mas sempre geram um
efeito colateral... MSN caindo, fora outros problemas !!!!
Enfim, se alguém conseguir, manda pra gente a mágica !!!!
Armando.
2009/6/5 Vitor Vilas Boas <vitor(a)vitorvilasboas.com.br>
uma idéia cara... n seria mais viável você fazer um balanceamento de carga?
Vitor Vilas Boas
Consultor de TI
Linux User #484274
www.vitorvilasboas.com.br
vitor(a)vitorvilasboas.com.br
Cel.: +55 71 8732.1156
Cel.: +55 71 9947.2808
redes(a)habil.eti.br escreveu:
Salve galera... então...
gostaria de saber se é possível ter o squid rodando em um firewall com 2
links
a idéia é ter o squid saindo por um link de ADSL e o restante pelo Link
dedicado...
Hj estou conseguindo fazer hora um tudo saindo por um link hora saindo por
outra
manipulando o default route...
Qualquer dica é bem vinda
Roberto
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
--------------------------------------------------------------------------
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
------------------------------------------------------------------------------
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
9:27 a.m.
New subject: Squid 2 Links
Cara, você pode fazer isso com 4 placas de rede, vc usa 2 para receber
os links e duas para dar saída a esses links, e no iptables vc faz todo
o jogo de redirecionamento por faixas de ips.
Ex.:
Link A (eth0) faixa de ip de 10.2.15.1 - 10.2.15.120
Link B (eth1) faixa de ip de 10.2.15.121 - 10.2.15.255
um exemplo simples, mas isso tem que ser planejado... e bem planejado,
acho que uma combinação de iptables e squid resolve o seu problema
abraços.
Vitor Vilas Boas
Consultor de TI
Linux User #484274
www.vitorvilasboas.com.br
vitor(a)vitorvilasboas.com.br
Cel.: +55 71 8732.1156
Cel.: +55 71 9947.2808
redes(a)habil.eti.br escreveu:
Olá.... ok...
O que preciso é isso mesmo dividir... tipo squid sair pra um lado e o
resta pra outro....
Qualquer dica é bem vinda...
Roberto
----- Original Message -----
*From:* Armando Barsotini Neto <mailto:a.barsotini@gmail.com>
*To:* Lista de discussão voltada para os usuários brasileiros do
Fedora <mailto:fedora-users-br@redhat.com>
*Sent:* Friday, June 05, 2009 11:08 AM
*Subject:* Re: [Fedora-users-br] Squid 2 Links
Aldrey..
Isso de "SOMAR" dois links não existe...
BALANCEAMENTO DE CARGA, é distribuir requisições pelos 2 ou mais
links, dependendo da capacidade/utilização de cada um..
Porém, como disse... NÃO CONHEÇO NINGUÉM QUE CONSEGUIU ESSA
FAÇANHA !!!
O que conseguimos é fazer roteamento estático (ex: marcando pacote
através do MANGLE) para sair por um determinado link... e
Redundância, que com um script você altera a tabela de ROTAS...
Mas BALANCEAMENTO.....
Armando!
2009/6/5 <redes(a)habil.eti.br <mailto:redes@habil.eti.br>>
Se houvesse alguma forma de fazer o squid sair por determinado
gateway...
Seria a solução
----- Original Message -----
*From:* Aldrey Galindo <mailto:aldreygalindo@gmail.com>
*To:* Lista de discussão voltada para os usuários
brasileiros do Fedora <mailto:fedora-users-br@redhat.com>
*Sent:* Friday, June 05, 2009 10:45 AM
*Subject:* Re: [Fedora-users-br] Squid 2 Links
Vi uma vez algo que faria a "soma" dos links [1], não
cheguei a fazer.
Abraços,
Aldrey Galindo
[1]-
http://www.vivaolinux.com.br/artigo/Configurando-2-(dois)-links-ADSL-no-m...
<http://www.vivaolinux.com.br/artigo/Configurando-2-%28dois%29-links-ADSL-...
2009/6/5 Armando Barsotini Neto <a.barsotini(a)gmail.com
<mailto:a.barsotini@gmail.com>>
Olá...
Se alguém conseguir fazer *BALANCEAMENTO DE CARGA*, me
avisa, pois até hoje não encontrei ninguém que conseguiu!
Trabalho com 3 links aqui, porém, o que consigo é
fazer redundância (quando um link cai outro assume)...
e editar rotas através do RT_TABLES....
Tipo: redes do GMAIL e HOTMAIL saem por um link e
coisas mais importantes saem pelo link dedicado !!!
isso conseguimos fazer aqui (distribuir o tráfego por
diversos links)
Agora fazer o chamado, BALANCEAMENTO DE CARGA,
acredito que não vá rolar... tentei seguir diversos
"tutoriais" encontrados pelo google, mas sempre geram
um efeito colateral... MSN caindo, fora outros
problemas !!!!
Enfim, se alguém conseguir, manda pra gente a mágica !!!!
Armando.
2009/6/5 Vitor Vilas Boas <vitor(a)vitorvilasboas.com.br
<mailto:vitor@vitorvilasboas.com.br>>
uma idéia cara... n seria mais viável você fazer
um balanceamento de carga?
Vitor Vilas Boas
Consultor de TI
Linux User #484274
www.vitorvilasboas.com.br
<http://www.vitorvilasboas.com.br>
vitor(a)vitorvilasboas.com.br
<mailto:vitor@vitorvilasboas.com.br>
Cel.: +55 71 8732.1156
Cel.: +55 71 9947.2808
redes(a)habil.eti.br <mailto:redes@habil.eti.br>
escreveu:
Salve galera... então...
gostaria de saber se é possível ter o squid
rodando em um firewall com 2 links
a idéia é ter o squid saindo por um link de
ADSL e o restante pelo Link dedicado...
Hj estou conseguindo fazer hora um tudo saindo
por um link hora saindo por outra
manipulando o default route...
Qualquer dica é bem vinda
Roberto
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
<mailto:Fedora-users-br@redhat.com>
https://www.redhat.com/mailman/listinfo/fedora-users-br
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
<mailto:Fedora-users-br@redhat.com>
https://www.redhat.com/mailman/listinfo/fedora-users-br
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
<mailto:Fedora-users-br@redhat.com>
https://www.redhat.com/mailman/listinfo/fedora-users-br
------------------------------------------------------------------------
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com <mailto:Fedora-users-br@redhat.com>
https://www.redhat.com/mailman/listinfo/fedora-users-br
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com <mailto:Fedora-users-br@redhat.com>
https://www.redhat.com/mailman/listinfo/fedora-users-br
------------------------------------------------------------------------
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
------------------------------------------------------------------------
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
2:45 p.m.
New subject: Squid 2 Links
Rau,
Se alguém conseguir fazer *BALANCEAMENTO DE CARGA*, me avisa, pois
até hoje
não encontrei ninguém que conseguiu!
Trabalho com 3 links aqui, porém, o que consigo é fazer redundância (quando
um link cai outro assume)... e editar rotas através do RT_TABLES....
Logo abaixo você mesmo mostra fez o balanceamento. A solução é essa mesmo,
iptables + iproute2
Tipo: redes do GMAIL e HOTMAIL saem por um link e coisas mais
importantes
saem pelo link dedicado !!! isso conseguimos fazer aqui (distribuir o
tráfego por diversos links)
Isso é uma forma de balanceamento.
Agora fazer o chamado, BALANCEAMENTO DE CARGA, acredito que não vá
rolar...
tentei seguir diversos "tutoriais" encontrados pelo google, mas sempre
geram um efeito colateral... MSN caindo, fora outros problemas !!!!
Esta faltando um pouco de "conceitos" de rede.
Seus links são de operadores diferentes, com IPs diferentes, não dá para fazer
um balanceamento "perfeito", pacote a pacote. Utilize outras técnicas.
Enfim, se alguém conseguir, manda pra gente a mágica !!!!
Uma técnica bem interessante para quem tem 2 links é tentar trabalhar com IPs
impar para um link e pares para outros.
--
Att,
André Felício
http://www.felicio.com.br
"What people have been reduced to are mere 3-D representations of their own
data." -- Arthur Miller
4:23 p.m.
New subject: Squid 2 Links
Grande, da uma olhada em Bonding, acho que resolve o que vc ta querendo.
Heracias B. L. Neto.
Project Fedora Ambassador
LPCI-I, Consultor em Segurança da Informação.
heracias(a)fedoraproject.org
Fone:+559888176613
https://fedoraproject.org/wiki/User:Heracias / http://www.linkedin.com/pub/10/3a8/945
From: andre(a)felicio.com.br
To: fedora-users-br(a)redhat.com
Subject: Re: [Fedora-users-br] Squid 2 Links
Date: Fri, 5 Jun 2009 16:45:11 -0300
CC:
Rau,
> Se alguém conseguir fazer *BALANCEAMENTO DE CARGA*, me avisa, pois até hoje
> não encontrei ninguém que conseguiu!
> Trabalho com 3 links aqui, porém, o que consigo é fazer redundância (quando
> um link cai outro assume)... e editar rotas através do RT_TABLES....
Logo abaixo você mesmo mostra fez o balanceamento. A solução é essa mesmo,
iptables + iproute2
> Tipo: redes do GMAIL e HOTMAIL saem por um link e coisas mais importantes
> saem pelo link dedicado !!! isso conseguimos fazer aqui (distribuir o
> tráfego por diversos links)
Isso é uma forma de balanceamento.
> Agora fazer o chamado, BALANCEAMENTO DE CARGA, acredito que não vá rolar...
> tentei seguir diversos "tutoriais" encontrados pelo google, mas sempre
> geram um efeito colateral... MSN caindo, fora outros problemas !!!!
Esta faltando um pouco de "conceitos" de rede.
Seus links são de operadores diferentes, com IPs diferentes, não dá para fazer
um balanceamento "perfeito", pacote a pacote. Utilize outras técnicas.
> Enfim, se alguém conseguir, manda pra gente a mágica !!!!
Uma técnica bem interessante para quem tem 2 links é tentar trabalhar com IPs
impar para um link e pares para outros.
--
Att,
André Felício
http://www.felicio.com.br
"What people have been reduced to are mere 3-D representations of their own
data." -- Arthur Miller
_________________________________________________________________
Conheça os novos produtos Windows Live! Clique aqui.
http://www.windowslive.com.br
7:15 p.m.
New subject: Squid 2 Links
Pessoal,
Fala-se muito em balanceamento de carga com mais de um link internet,
porém não é uma coisa simples. O grande problema é que você vai ter
IPs diferentes em cada link. Tendo IPs diferentes, quando você iniciar
uma conexão, esse trafego vai por um link. Quando você iniciar outra
conexão (da mesma sessão, por exemplo) esse trafego pode ser enviado
pelo segundo link, e a aplicação ( o servidor de destino ) não vai
entender, pois estão chegando pacotes de um outro IP para a mesma
sessão. Se for uma aplicação WEB não tem problema, pois a sessão é
controlada pelo browser. Para navegação WEB é tranquilo, porém para as
demais aplicações não funciona. Para sites de banco, que utilizam
conexões SSL, quando você inicia a sessão, ele vai por um link. Quando
você clica para tirar um extrato por exemplo, o servidor vai receber a
conexão pelo seu segundo IP, o browser está com todos os cookies da
sessão, porém o banco vai achar que alguem roubou sua sessão e vai
encerrar o acesso.
Outro caso é o MSN, pois a sessão fica amarrada ao IP que originou a conexão.
Para poder utilizar os 2 ou mais links eu recomendo que você faça uma
divisão do trafego. Tipo, navegação por um lado, email por outro,
etc...
Bom, voltando ao roberto, pra direcionar o squid por um link você
faria da seguinte forma:
Digamos o seguinte:
Na eth0 está o seu link principal, com ip 200.200.200.1/24 e GW 200.200.200.254
Na eth1 está o seu segundo link, com ip 200.100.100.1/24 GW 200.100.100.254
Na eth2 está a sua LAN, 192.168.0.0/24
Então você tem a tabela de roteamento principal:
200.200.200.0/24 dev eth0
200.100.100.0/24 dev eth1
192.168.0.0/24 dev eth2
default via 200.200.200.254
Você precisa criar uma tabela secundária:
echo "200 secundario" >> /etc/iproute2/rt_tables
ip route add 200.200.200.0/24 dev eth0 table secundario
ip route add 200.100.100.0/24 dev eth1 table secundario
ip route add 192.168.0.0/24 dev eth2 table secundario
ip route add default via 200.100.100.254 dev eth1 table secundario
Agora você cria uma regra:
ip rule add fwmark 0x10 lookup secundario
Os pacotes marcados com 0x10 vão ser jogados pela tabela de roteamento
'secundario'
Agora, é preciso marcar os pacotes que vão sair pelo secundário:
iptables -t mangle -A OUTPUT -s 200.100.100.1/32 -p tcp --dport 80 -j
MARK --set-mark 0x10
Estamos marcando todos os pacotes gerados localmente com ip
200.100.100.1 e tem destino a porta 80/tcp.
Agora, configure o squid para utilizar esse IP na diretiva tcp_outgoing_address
tcp_outgoing_address 200.100.100.1
Isso vai fazer com que o squid gere os pacotes para acesso aos
servidores web, com ip 200.100.100.1, que por sua vez estão sendo
marcados no iptables, com a marca 0x10, que por sua vez tem uma regra
dizendo que os pacotes com essa marca devem utilizar a tabela
secundario, que por sua vez tem gateway 200.100.100.254.
Simples né?
Ah, Heracias, channel bonding não serve para esse caso. É utilizado
normalmente para configurar 2 placas com a mesma rede para redundancia
e tolerancia a falhas.
Abraços!
2009/6/5 Heracias Bezerra <heracias(a)hotmail.com>:
Grande, da uma olhada em Bonding, acho que resolve o que vc ta
querendo.
Heracias B. L. Neto.
Project Fedora Ambassador
LPCI-I, Consultor em Segurança da Informação.
heracias(a)fedoraproject.org
Fone:+559888176613
https://fedoraproject.org/wiki/User:Heracias /
http://www.linkedin.com/pub/10/3a8/945
> From: andre(a)felicio.com.br
> To: fedora-users-br(a)redhat.com
> Subject: Re: [Fedora-users-br] Squid 2 Links
> Date: Fri, 5 Jun 2009 16:45:11 -0300
> CC:
>
> Rau,
>
> > Se alguém conseguir fazer *BALANCEAMENTO DE CARGA*, me avisa, pois até
> > hoje
> > não encontrei ninguém que conseguiu!
> > Trabalho com 3 links aqui, porém, o que consigo é fazer redundância
> > (quando
> > um link cai outro assume)... e editar rotas através do RT_TABLES....
>
> Logo abaixo você mesmo mostra fez o balanceamento. A solução é essa mesmo,
> iptables + iproute2
>
> > Tipo: redes do GMAIL e HOTMAIL saem por um link e coisas mais
> > importantes
> > saem pelo link dedicado !!! isso conseguimos fazer aqui (distribuir o
> > tráfego por diversos links)
>
> Isso é uma forma de balanceamento.
>
> > Agora fazer o chamado, BALANCEAMENTO DE CARGA, acredito que não vá
> > rolar...
> > tentei seguir diversos "tutoriais" encontrados pelo google, mas
sempre
> > geram um efeito colateral... MSN caindo, fora outros problemas !!!!
>
> Esta faltando um pouco de "conceitos" de rede.
>
> Seus links são de operadores diferentes, com IPs diferentes, não dá para
> fazer
> um balanceamento "perfeito", pacote a pacote. Utilize outras técnicas.
>
> > Enfim, se alguém conseguir, manda pra gente a mágica !!!!
>
> Uma técnica bem interessante para quem tem 2 links é tentar trabalhar com
> IPs
> impar para um link e pares para outros.
>
> --
> Att,
>
> André Felício
> http://www.felicio.com.br
>
> "What people have been reduced to are mere 3-D representations of their
> own
> data." -- Arthur Miller
>
________________________________
Novo Internet Explorer 8: mais rápido e muito mais seguro. Baixe agora, é
grátis!
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
--
Alejandro Flores
http://www.triforsec.com.br/
8:58 p.m.
New subject: Squid 2 Links
Se tiver um roteador Cisco, pode ser feito multilink ou balanceamento de
carga via OSPF. Algo que é feito pela própria operadora. Claro, se você
tiver dois links dedicados da mesma operadora.
Rafael Gomes
Consultor em TI
Embaixador Fedora
LPIC-1
(71) 8146-5772
Fedora Talk : 5103520
III Encontro Nordestino de Software Livre e IV Festival de Software Livre da
Bahia
http://www.ensl.org.br
7:39 a.m.
New subject: Squid 2 Links
Rafael,
Se tiver um roteador Cisco, pode ser feito multilink ou balanceamento
de
carga via OSPF. Algo que é feito pela própria operadora. Claro, se você
tiver dois links dedicados da mesma operadora.
Se os 2 links forem da mesma operadora você consegue fazer OSPF com o
Zebra no linux. http://www.zebra.org/
--
Abraço!
Alejandro Flores
http://www.triforsec.com.br/
8:28 a.m.
New subject: Squid 2 Links
Olá..
Isso mesmo ALEJANDRO... Foi o que eu disse:
Tentando BALANCEAR, ocorreram problemas no MSN da rede e outras aplicações..
(INCLUSIVE BANCOS)
Agora, considerar "BALANCEAMENTO" a mesma coisa que o simples lance de
ROTEAR ESTATICAMENTE.... é um absurdo!
Ainda dizem que está faltando: *um pouco de "conceitos" de rede....*
Pelo que eu sei, BALANCEAMENTO é rotear DINAMICAMENTE... utilizando recursos
disponíveis em um dos links quando o outro estiver ocupado !!!! Isso tudo
AUTOMATICAMENTE.
Enfim.. como diria nosso amigo HENRY: []´s e divirtam-se
Rssssssssssssssssssssss....
Armando!
PS: Henry, desculpe utilizar sua frase sem autorização.. rsssssssssss
2009/6/6 Alejandro Flores <alejandrorflores(a)gmail.com>
Rafael,
> Se tiver um roteador Cisco, pode ser feito multilink ou balanceamento de
> carga via OSPF. Algo que é feito pela própria operadora. Claro, se você
> tiver dois links dedicados da mesma operadora.
Se os 2 links forem da mesma operadora você consegue fazer OSPF com o
Zebra no linux. http://www.zebra.org/
--
Abraço!
Alejandro Flores
http://www.triforsec.com.br/
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
7:18 p.m.
New subject: Squid 2 Links
On Saturday 06 June 2009 10:28:33 Armando Barsotini Neto wrote:
Olá..
Isso mesmo ALEJANDRO... Foi o que eu disse:
Tentando BALANCEAR, ocorreram problemas no MSN da rede e outras
aplicações.. (INCLUSIVE BANCOS)
Agora, considerar "BALANCEAMENTO" a mesma coisa que o simples lance de
ROTEAR ESTATICAMENTE.... é um absurdo!
Não é um absurdo. Tente entender como é feito a distribuição de carga entre os
links com OSPF.
A forma padrão de distribuição de tráfego entre os links é associar cada fluxo
de pacotes com o mesmo endereço IP de destino com uma interface do grupo
ou "bundle". Considerando um ambiente onde há uma distribuição razoável de
fluxos (ou seja, não há interesse de tráfego predominante para um único
destino), o tráfego será bem distribuído entre as interfaces.
Também pode fazer balanceamento por pacote, que faz distribuição de pacotes
igualmento entre as interfaces, mas esse tipo tem suas desvantagens, pois
pode introduzir pacotes fora de ordem. Pacotes fora de ordem para VOIP e
outras aplicações é um problema.
Ainda dizem que está faltando: *um pouco de "conceitos"
de rede....*
Balanceamento é distribuir a carga de rede entre as interfaces.
No flames, "divirta-se"...
Att,
André Felício
http://www.felicio.com.br
This was a Golden Age, a time of high adventure, rich living, and hard
dying... but nobody thought so. This was a future of fortune and theft,
pillage and rapine, culture and vice... but nobody admitted it. -- Alfred
Bester, "The Stars My Destination"
1:11 p.m.
New subject: Squid 2 Links
Olá Alejandro... muito obrigado pelas dicas....
pergunta: Como faço para ver a toda tabela secundaria?
Para eu entender melhor... quem é 200.100.100.1/32
No aguardo
Roberto
----- Original Message -----
From: "Alejandro Flores" <alejandrorflores(a)gmail.com>
To: "Lista de discussão voltada para os usuários brasileiros do Fedora"
<fedora-users-br(a)redhat.com>
Sent: Friday, June 05, 2009 9:15 PM
Subject: Re: [Fedora-users-br] Squid 2 Links
Pessoal,
Fala-se muito em balanceamento de carga com mais de um link internet,
porém não é uma coisa simples. O grande problema é que você vai ter
IPs diferentes em cada link. Tendo IPs diferentes, quando você iniciar
uma conexão, esse trafego vai por um link. Quando você iniciar outra
conexão (da mesma sessão, por exemplo) esse trafego pode ser enviado
pelo segundo link, e a aplicação ( o servidor de destino ) não vai
entender, pois estão chegando pacotes de um outro IP para a mesma
sessão. Se for uma aplicação WEB não tem problema, pois a sessão é
controlada pelo browser. Para navegação WEB é tranquilo, porém para as
demais aplicações não funciona. Para sites de banco, que utilizam
conexões SSL, quando você inicia a sessão, ele vai por um link. Quando
você clica para tirar um extrato por exemplo, o servidor vai receber a
conexão pelo seu segundo IP, o browser está com todos os cookies da
sessão, porém o banco vai achar que alguem roubou sua sessão e vai
encerrar o acesso.
Outro caso é o MSN, pois a sessão fica amarrada ao IP que originou a
conexão.
Para poder utilizar os 2 ou mais links eu recomendo que você faça uma
divisão do trafego. Tipo, navegação por um lado, email por outro,
etc...
Bom, voltando ao roberto, pra direcionar o squid por um link você
faria da seguinte forma:
Digamos o seguinte:
Na eth0 está o seu link principal, com ip 200.200.200.1/24 e GW
200.200.200.254
Na eth1 está o seu segundo link, com ip 200.100.100.1/24 GW
200.100.100.254
Na eth2 está a sua LAN, 192.168.0.0/24
Então você tem a tabela de roteamento principal:
200.200.200.0/24 dev eth0
200.100.100.0/24 dev eth1
192.168.0.0/24 dev eth2
default via 200.200.200.254
Você precisa criar uma tabela secundária:
echo "200 secundario" >> /etc/iproute2/rt_tables
ip route add 200.200.200.0/24 dev eth0 table secundario
ip route add 200.100.100.0/24 dev eth1 table secundario
ip route add 192.168.0.0/24 dev eth2 table secundario
ip route add default via 200.100.100.254 dev eth1 table secundario
Agora você cria uma regra:
ip rule add fwmark 0x10 lookup secundario
Os pacotes marcados com 0x10 vão ser jogados pela tabela de roteamento
'secundario'
Agora, é preciso marcar os pacotes que vão sair pelo secundário:
iptables -t mangle -A OUTPUT -s 200.100.100.1/32 -p tcp --dport 80 -j
MARK --set-mark 0x10
Estamos marcando todos os pacotes gerados localmente com ip
200.100.100.1 e tem destino a porta 80/tcp.
Agora, configure o squid para utilizar esse IP na diretiva
tcp_outgoing_address
tcp_outgoing_address 200.100.100.1
Isso vai fazer com que o squid gere os pacotes para acesso aos
servidores web, com ip 200.100.100.1, que por sua vez estão sendo
marcados no iptables, com a marca 0x10, que por sua vez tem uma regra
dizendo que os pacotes com essa marca devem utilizar a tabela
secundario, que por sua vez tem gateway 200.100.100.254.
Simples né?
Ah, Heracias, channel bonding não serve para esse caso. É utilizado
normalmente para configurar 2 placas com a mesma rede para redundancia
e tolerancia a falhas.
Abraços!
2009/6/5 Heracias Bezerra <heracias(a)hotmail.com>:
> Grande, da uma olhada em Bonding, acho que resolve o que vc ta querendo.
>
>
> Heracias B. L. Neto.
> Project Fedora Ambassador
> LPCI-I, Consultor em Segurança da Informação.
> heracias(a)fedoraproject.org
> Fone:+559888176613
> https://fedoraproject.org/wiki/User:Heracias /
> http://www.linkedin.com/pub/10/3a8/945
>
>
>
>
>> From: andre(a)felicio.com.br
>> To: fedora-users-br(a)redhat.com
>> Subject: Re: [Fedora-users-br] Squid 2 Links
>> Date: Fri, 5 Jun 2009 16:45:11 -0300
>> CC:
>>
>> Rau,
>>
>> > Se alguém conseguir fazer *BALANCEAMENTO DE CARGA*, me avisa, pois até
>> > hoje
>> > não encontrei ninguém que conseguiu!
>> > Trabalho com 3 links aqui, porém, o que consigo é fazer redundância
>> > (quando
>> > um link cai outro assume)... e editar rotas através do RT_TABLES....
>>
>> Logo abaixo você mesmo mostra fez o balanceamento. A solução é essa
>> mesmo,
>> iptables + iproute2
>>
>> > Tipo: redes do GMAIL e HOTMAIL saem por um link e coisas mais
>> > importantes
>> > saem pelo link dedicado !!! isso conseguimos fazer aqui (distribuir o
>> > tráfego por diversos links)
>>
>> Isso é uma forma de balanceamento.
>>
>> > Agora fazer o chamado, BALANCEAMENTO DE CARGA, acredito que não vá
>> > rolar...
>> > tentei seguir diversos "tutoriais" encontrados pelo google, mas
sempre
>> > geram um efeito colateral... MSN caindo, fora outros problemas !!!!
>>
>> Esta faltando um pouco de "conceitos" de rede.
>>
>> Seus links são de operadores diferentes, com IPs diferentes, não dá para
>> fazer
>> um balanceamento "perfeito", pacote a pacote. Utilize outras técnicas.
>>
>> > Enfim, se alguém conseguir, manda pra gente a mágica !!!!
>>
>> Uma técnica bem interessante para quem tem 2 links é tentar trabalhar
>> com
>> IPs
>> impar para um link e pares para outros.
>>
>> --
>> Att,
>>
>> André Felício
>> http://www.felicio.com.br
>>
>> "What people have been reduced to are mere 3-D representations of their
>> own
>> data." -- Arthur Miller
>>
>
> ________________________________
> Novo Internet Explorer 8: mais rápido e muito mais seguro. Baixe agora, é
> grátis!
> --
> Fedora-users-br mailing list
> Fedora-users-br(a)redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
>
>
--
Alejandro Flores
http://www.triforsec.com.br/
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
7:12 p.m.
New subject: Squid 2 Links
Roberto,
Olá Alejandro... muito obrigado pelas dicas....
pergunta: Como faço para ver a toda tabela secundaria?
Para eu entender melhor... quem é 200.100.100.1/32
No caso, a tabela secundária você deve criar.
200.100.100.1/32 no exemplo, é o segundo IP de internet que você tem.
Simplificando, todo o roteamento no linux segue a tabela principal de
roteamento. Quando você quer algo diferente como, criar um
direcionamento do trafego por outro link, por exemplo, você deve criar
uma segunda tabela de roteamento em /etc/iproute2/rt_tables. Feito
isso, você pode adicionar as rotas para essa tabela.
Para adicionar uma rota na tabela principal:
ip rote add 192.168.0.0/24 via 192.168.117.254
Para adicionar uma rota pela tabela secundaria (aquela que você criou
em /etc/iproute2/rt_tables):
ip route add 192.168.0.0/24 via 192.168.117.254 table secundaria
Onde secundaria é o nome que você especificou no arquivo /etc/iproute2/rt_tables
200 secundaria
Ou seja, tem a tabela principal, que é o normal, e tem a tabela
secundaria que você está criando para o seu novo link, regras e afins.
--
Abraço!
Alejandro Flores
http://www.triforsec.com.br/
5:38 a.m.
New subject: Squid 2 Links
Olá... Ok... isso eu entendi... muito bem explicado....
Então com route vejo a tabela principal, gostaria de saber
se tem como ver esta tabela secundaria tbm?
É isso?
----- Original Message -----
From: "Alejandro Flores" <alejandrorflores(a)gmail.com>
To: "Lista de discussão voltada para os usuários brasileiros do Fedora"
<fedora-users-br(a)redhat.com>
Sent: Saturday, June 06, 2009 9:12 PM
Subject: Re: [Fedora-users-br] Squid 2 Links
Roberto,
> Olá Alejandro... muito obrigado pelas dicas....
> pergunta: Como faço para ver a toda tabela secundaria?
> Para eu entender melhor... quem é 200.100.100.1/32
No caso, a tabela secundária você deve criar.
200.100.100.1/32 no exemplo, é o segundo IP de internet que você tem.
Simplificando, todo o roteamento no linux segue a tabela principal de
roteamento. Quando você quer algo diferente como, criar um
direcionamento do trafego por outro link, por exemplo, você deve criar
uma segunda tabela de roteamento em /etc/iproute2/rt_tables. Feito
isso, você pode adicionar as rotas para essa tabela.
Para adicionar uma rota na tabela principal:
ip rote add 192.168.0.0/24 via 192.168.117.254
Para adicionar uma rota pela tabela secundaria (aquela que você criou
em /etc/iproute2/rt_tables):
ip route add 192.168.0.0/24 via 192.168.117.254 table secundaria
Onde secundaria é o nome que você especificou no arquivo
/etc/iproute2/rt_tables
200 secundaria
Ou seja, tem a tabela principal, que é o normal, e tem a tabela
secundaria que você está criando para o seu novo link, regras e afins.
--
Abraço!
Alejandro Flores
http://www.triforsec.com.br/
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
7:25 a.m.
New subject: Squid 2 Links
Olá,
Olá... Ok... isso eu entendi... muito bem explicado....
Então com route vejo a tabela principal, gostaria de saber
se tem como ver esta tabela secundaria tbm?
A tabela secundária é você quem cria e pode ter qualquer nome.
Edite o arquivo /etc/iproute2/rt_tables e veja o que tem lá. Para
criar uma nova tabela de roteamento, uma tabela alternativa, você deve
seguir o padrão descrito no arquivo, por exemplo:
200 link2
Depois você salva o arquivo e a tabela já está pronta para uso.
Então você pode adicionar rotas a essa segunda tabela de roteamento,
que chamamos de link2. Para isso:
# ip route add xxx.yyy.zzz.www/24 dev eth0 table link2
# ip route add default via IPDOGATEWAYDOSEGUNDOLINK
Você deve adcionar todas as rotas existentes na tabela principal. Para
listar a tabela de roteamento link2:
# ip route list table link2
Captou até ai? Bom, por padrão todos os pacotes que chegam/saem/são
repassados pelo linux vão ler a tabela de roteamento principal. Para
que determinado trafego utilize a tabela link2, você deve marcar os
pacotes que você quer que utilizem essa tabela e criar uma regra para
os pacotes marcados.
Por exemplo, vamos criar uma regra para que os pacotes marcados com
0x8 leiam a tabela de roteamento link2:
# ip rule add fwmark 0x8 lookup link2
Agora marque os pacotes que você quer que sejam roteados por essa tabela:
# iptables -t mangle -A PREROUTING -s xxx.yyy.zzz.www/32 -p tcp
--dport 80 -j MARK --set-mark 0x8
Todos os pacotes com origem xxx.yyy.zzz.www, protocolo tcp d destino
porta 80 serão marcados com 0x8. Os pacotes marcados com 0x8 vão
utilizar a tabela de roteamento link2.
Lembrando que você deve fazer o NAT tanto para o link principal quanto
para o segundo link.
--
Abraço!
Alejandro Flores
http://www.triforsec.com.br/
7:33 a.m.
New subject: Squid 2 Links
Muito obrigado pela força...
eth0 192.168.0.254/24 rede local
eth1 10.0.0.2/8 gtw 10.0.0.1 modem ADSL
eth2 200.200.220.4/29 gtw 200.200.220.3 IP corporativo
Será que meu problema é a ADSL
----- Original Message -----
From: "Alejandro Flores" <alejandrorflores(a)gmail.com>
To: "Lista de discussão voltada para os usuários brasileiros do Fedora"
<fedora-users-br(a)redhat.com>
Sent: Tuesday, June 09, 2009 9:25 AM
Subject: Re: [Fedora-users-br] Squid 2 Links
Olá,
> Olá... Ok... isso eu entendi... muito bem explicado....
> Então com route vejo a tabela principal, gostaria de saber
> se tem como ver esta tabela secundaria tbm?
A tabela secundária é você quem cria e pode ter qualquer nome.
Edite o arquivo /etc/iproute2/rt_tables e veja o que tem lá. Para
criar uma nova tabela de roteamento, uma tabela alternativa, você deve
seguir o padrão descrito no arquivo, por exemplo:
200 link2
Depois você salva o arquivo e a tabela já está pronta para uso.
Então você pode adicionar rotas a essa segunda tabela de roteamento,
que chamamos de link2. Para isso:
# ip route add xxx.yyy.zzz.www/24 dev eth0 table link2
# ip route add default via IPDOGATEWAYDOSEGUNDOLINK
Você deve adcionar todas as rotas existentes na tabela principal. Para
listar a tabela de roteamento link2:
# ip route list table link2
Captou até ai? Bom, por padrão todos os pacotes que chegam/saem/são
repassados pelo linux vão ler a tabela de roteamento principal. Para
que determinado trafego utilize a tabela link2, você deve marcar os
pacotes que você quer que utilizem essa tabela e criar uma regra para
os pacotes marcados.
Por exemplo, vamos criar uma regra para que os pacotes marcados com
0x8 leiam a tabela de roteamento link2:
# ip rule add fwmark 0x8 lookup link2
Agora marque os pacotes que você quer que sejam roteados por essa tabela:
# iptables -t mangle -A PREROUTING -s xxx.yyy.zzz.www/32 -p tcp
--dport 80 -j MARK --set-mark 0x8
Todos os pacotes com origem xxx.yyy.zzz.www, protocolo tcp d destino
porta 80 serão marcados com 0x8. Os pacotes marcados com 0x8 vão
utilizar a tabela de roteamento link2.
Lembrando que você deve fazer o NAT tanto para o link principal quanto
para o segundo link.
--
Abraço!
Alejandro Flores
http://www.triforsec.com.br/
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
2:26 p.m.
New subject: Squid 2 Links
Olá... estou tentando fazer veja o que ocorre:
[root@mail named]# ip route add 192.168.0.254/24 dev eth0 table adsl
RTNETLINK answers: Invalid argument
sem o /24 funciona... mas esta errado...
Será qual o problema?
----- Original Message -----
From: "Alejandro Flores" <alejandrorflores(a)gmail.com>
To: "Lista de discussão voltada para os usuários brasileiros do Fedora"
<fedora-users-br(a)redhat.com>
Sent: Tuesday, June 09, 2009 9:25 AM
Subject: Re: [Fedora-users-br] Squid 2 Links
Olá,
> Olá... Ok... isso eu entendi... muito bem explicado....
> Então com route vejo a tabela principal, gostaria de saber
> se tem como ver esta tabela secundaria tbm?
A tabela secundária é você quem cria e pode ter qualquer nome.
Edite o arquivo /etc/iproute2/rt_tables e veja o que tem lá. Para
criar uma nova tabela de roteamento, uma tabela alternativa, você deve
seguir o padrão descrito no arquivo, por exemplo:
200 link2
Depois você salva o arquivo e a tabela já está pronta para uso.
Então você pode adicionar rotas a essa segunda tabela de roteamento,
que chamamos de link2. Para isso:
# ip route add xxx.yyy.zzz.www/24 dev eth0 table link2
# ip route add default via IPDOGATEWAYDOSEGUNDOLINK
Você deve adcionar todas as rotas existentes na tabela principal. Para
listar a tabela de roteamento link2:
# ip route list table link2
Captou até ai? Bom, por padrão todos os pacotes que chegam/saem/são
repassados pelo linux vão ler a tabela de roteamento principal. Para
que determinado trafego utilize a tabela link2, você deve marcar os
pacotes que você quer que utilizem essa tabela e criar uma regra para
os pacotes marcados.
Por exemplo, vamos criar uma regra para que os pacotes marcados com
0x8 leiam a tabela de roteamento link2:
# ip rule add fwmark 0x8 lookup link2
Agora marque os pacotes que você quer que sejam roteados por essa tabela:
# iptables -t mangle -A PREROUTING -s xxx.yyy.zzz.www/32 -p tcp
--dport 80 -j MARK --set-mark 0x8
Todos os pacotes com origem xxx.yyy.zzz.www, protocolo tcp d destino
porta 80 serão marcados com 0x8. Os pacotes marcados com 0x8 vão
utilizar a tabela de roteamento link2.
Lembrando que você deve fazer o NAT tanto para o link principal quanto
para o segundo link.
--
Abraço!
Alejandro Flores
http://www.triforsec.com.br/
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
6:31 p.m.
New subject: Squid 2 Links
Olá,
Olá... estou tentando fazer veja o que ocorre:
[root@mail named]# ip route add 192.168.0.254/24 dev eth0 table adsl
RTNETLINK answers: Invalid argument
sem o /24 funciona... mas esta errado...
Será qual o problema?
Tenta colocar assim:
# ip route add 192.168.0.0/24 dev eth0 table adsl
Percebe a diferença?
--
Abraço,
Alejandro Flores
http://www.triforsec.com.br/
4:24 p.m.
New subject: Porta 80 no 2 Links
Salva galera
Baseado nas suas orientações do Alejandro e dos outros colegas pelos meus
teste cheguei no seguinte:
eth0 192.168.0.254/24 rede local
eth1 10.0.0.2/8 gtw 10.0.0.1 modem ADSL
eth2 200.200.220.4/29 gtw 200.200.220.3 IP corporativo
ip route add 192.168.0.0/24 dev eth1 table adsl
ip route add default via 10.0.0.1 table adsl
ip rule add fwmark 0x8 lookup adsl
iptables -t mangle -A OUTPUT -s 10.0.0.1/8 -p tcp --dport 80 -j
MARK --set-mark 0x8
Neste teste ja tentei com ip da ADSL 200.xxx.xxx.202
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
# ip route list table adsl
192.168.0.0/24 dev eth1 scope link
default via 10.0.0.1 dev eth1
# ip rule list
0: from all lookup local
32764: from all fwmark 0x8 lookup adsl
32765: from all fwmark 0x8 lookup adsl
32766: from all lookup main
32767: from all lookup default
Desta forma navega mas continua saindo pelo IP do default gateway
Sinto que estou perto qq dica é bem vinda....
Roberto
6:37 p.m.
New subject: Porta 80 no 2 Links
Olá,
iptables -t mangle -A OUTPUT -s 10.0.0.1/8 -p tcp --dport 80 -j MARK
--set-mark 0x8
Você criou uma regra de OUTPUT ( pacotes que são gerados pela máquina
), com ip de origem 10.0.0.1 que é seu gateway adsl. Você deve marcar
os pacotes cuja origem é da sua rede interna e na chain PREROUTING da
tabela mangle, a não ser que você utilize o squid. Se utilizar o
squid, você deve criar no squid.conf uma configuração
tcp_outgoing_address informando que você vai sair com ip 10.0.0.2, que
é o seu ip da rede do adsl.
No squid.conf:
tcp_outgoing_address 10.0.0.2
No iptables:
# iptables -t mangle -A OUTPUT -s 10.0.0.2/32 -p tcp --dport 80 -j
MARK --set-mark 0x8
--
Abraço,
Alejandro Flores
http://www.triforsec.com.br/
6:44 p.m.
New subject: Porta 80 no 2 Links
Muito obrigado pela força mesmo... o restante esta ok?
Pensei q IP /8 do modem poderia esta atrapalhando...
blz amanhã vou testar....
Roberto
----- Original Message -----
From: "Alejandro Flores" <alejandrorflores(a)gmail.com>
To: "Lista de discussão voltada para os usuários brasileiros do Fedora"
<fedora-users-br(a)redhat.com>
Sent: Tuesday, June 09, 2009 8:37 PM
Subject: Re: [Fedora-users-br] Porta 80 no 2 Links
Olá,
> iptables -t mangle -A OUTPUT -s 10.0.0.1/8 -p tcp --dport 80 -j MARK
> --set-mark 0x8
Você criou uma regra de OUTPUT ( pacotes que são gerados pela máquina
), com ip de origem 10.0.0.1 que é seu gateway adsl. Você deve marcar
os pacotes cuja origem é da sua rede interna e na chain PREROUTING da
tabela mangle, a não ser que você utilize o squid. Se utilizar o
squid, você deve criar no squid.conf uma configuração
tcp_outgoing_address informando que você vai sair com ip 10.0.0.2, que
é o seu ip da rede do adsl.
No squid.conf:
tcp_outgoing_address 10.0.0.2
No iptables:
# iptables -t mangle -A OUTPUT -s 10.0.0.2/32 -p tcp --dport 80 -j
MARK --set-mark 0x8
--
Abraço,
Alejandro Flores
http://www.triforsec.com.br/
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
11:12 a.m.
New subject: Porta 80 no 2 Links
Olá Alejandro.... fiz o que me falou
ip route add 192.168.0.0/24 dev eth1 table adsl
ip route add default via 10.0.0.1 table adsl
ip rule add fwmark 0x8 lookup adsl
iptables -t mangle -A OUTPUT -s 10.0.0.2/8 -p tcp --dport 80 -j
MARK --set-mark 0x8
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
Veja resultado dos comandos:
# ip route list table adsl
192.168.0.0/24 dev eth1 scope link
default via 10.0.0.1 dev eth1
#ip rule list
0: from all lookup local
32765: from all fwmark 0x8 lookup adsl
32766: from all lookup main
32767: from all lookup default
Squid.conf
tcp_outgoing_address 10.0.0.2
Lembrando que as máquinas que usam squid estão na rede 192.168.0.0
Ao tentar usar squid desta forma ocorre:
Na tentativa de recuperar a URL: http://meuip.datahouse.com.br/
O seguinte erro foi encontrado:
Falha na conexão
O sistema retornou:
(110) Connection timed out
Será o que falta para isso funcionar....
Roberto
----- Original Message -----
From: "Alejandro Flores" <alejandrorflores(a)gmail.com>
To: "Lista de discussão voltada para os usuários brasileiros do Fedora"
<fedora-users-br(a)redhat.com>
Sent: Tuesday, June 09, 2009 8:37 PM
Subject: Re: [Fedora-users-br] Porta 80 no 2 Links
Olá,
> iptables -t mangle -A OUTPUT -s 10.0.0.1/8 -p tcp --dport 80 -j MARK
> --set-mark 0x8
Você criou uma regra de OUTPUT ( pacotes que são gerados pela máquina
), com ip de origem 10.0.0.1 que é seu gateway adsl. Você deve marcar
os pacotes cuja origem é da sua rede interna e na chain PREROUTING da
tabela mangle, a não ser que você utilize o squid. Se utilizar o
squid, você deve criar no squid.conf uma configuração
tcp_outgoing_address informando que você vai sair com ip 10.0.0.2, que
é o seu ip da rede do adsl.
No squid.conf:
tcp_outgoing_address 10.0.0.2
No iptables:
# iptables -t mangle -A OUTPUT -s 10.0.0.2/32 -p tcp --dport 80 -j
MARK --set-mark 0x8
--
Abraço,
Alejandro Flores
http://www.triforsec.com.br/
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
6:31 p.m.
New subject: Porta 80 no 2 Links
Roberto,
Olá Alejandro.... fiz o que me falou
ip route add 192.168.0.0/24 dev eth1 table adsl
ip route add default via 10.0.0.1 table adsl
Ta errado ai. Você falou em outro e-mail:
eth0 192.168.0.254/24 rede local
eth1 10.0.0.2/8 gtw 10.0.0.1 modem ADSL
eth2 200.200.220.4/29 gtw 200.200.220.3 IP corporativo
Então, você deve ter:
# ip route add 192.168.0.0/24 dev eth0 table adsl
# ip route add 10.0.0.0/8 dev eth1 table adsl
# ip route add 200.200.220.4/29 dev eth2 table adsl
# ip route add default via 10.0.0.1 table adsl
Cria a regra:
# ip rule add fwmark 0x8 lookup adsl
Marca os pacotes:
# iptables -t mangle -A OUTPUT -s 10.0.0.2/32 -p tcp --dport 80 -j
MARK --set-mark 0x8
E pronto, deve resolver a sua vida!
--
Abraço!
Alejandro Flores
http://www.triforsec.com.br/
8:03 p.m.
New subject: Porta 80 no 2 Links
Olá Alejandro... pois é fiz td o que me pediu... veja:
ip route list table adsl
200.200.220.4/29 dev eth2 scope link
192.168.0.0/24 dev eth0 scope link
10.0.0.0/8 dev eth1 scope link
default via 10.0.0.1 dev eth1
ip rule list
0: from all lookup local
32765: from all fwmark 0x8 lookup adsl
32766: from all lookup main
32767: from all lookup default
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
MARK tcp -- 10.0.0.2 anywhere tcp dpt:http
MARK set 0x8
Continua saindo pelo link corporativo e não pela ADSL
Testei o paramentro tcp_outgoing_address 10.0.0.2 no squid
mas tbm não funcionaou...
O que pode estar falatando ...nossa isso parece tão simples...
Qualquer nova dica é bem vinda...
Roberto
----- Original Message -----
From: "Alejandro Flores" <alejandrorflores(a)gmail.com>
To: "Lista de discussão voltada para os usuários brasileiros do Fedora"
<fedora-users-br(a)redhat.com>
Sent: Wednesday, June 10, 2009 8:31 PM
Subject: Re: [Fedora-users-br] Porta 80 no 2 Links
Roberto,
> Olá Alejandro.... fiz o que me falou
> ip route add 192.168.0.0/24 dev eth1 table adsl
> ip route add default via 10.0.0.1 table adsl
Ta errado ai. Você falou em outro e-mail:
eth0 192.168.0.254/24 rede local
eth1 10.0.0.2/8 gtw 10.0.0.1 modem ADSL
eth2 200.200.220.4/29 gtw 200.200.220.3 IP corporativo
Então, você deve ter:
# ip route add 192.168.0.0/24 dev eth0 table adsl
# ip route add 10.0.0.0/8 dev eth1 table adsl
# ip route add 200.200.220.4/29 dev eth2 table adsl
# ip route add default via 10.0.0.1 table adsl
Cria a regra:
# ip rule add fwmark 0x8 lookup adsl
Marca os pacotes:
# iptables -t mangle -A OUTPUT -s 10.0.0.2/32 -p tcp --dport 80 -j
MARK --set-mark 0x8
E pronto, deve resolver a sua vida!
--
Abraço!
Alejandro Flores
http://www.triforsec.com.br/
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
4:43 a.m.
New subject: Porta 80 no 2 Links
Olá,
O que pode estar falatando ...nossa isso parece tão simples...
Qualquer nova dica é bem vinda...
É simples sim, deve estar faltando alguma besteira.
Passa o resultado dos comandos:
# ifconfig
# ip route list
# ip route list table adsl
# iptables -t nat -L -nxv
# iptables -t mangle -L -nxv
--
Abraço,
Alejandro Flores
http://www.triforsec.com.br/
6:51 a.m.
New subject: Porta 80 no 2 Links
Ok...
Alejandro..... Somente estou alterando o inicio do IP do Link por
segurança...
eth0 Link encap:Ethernet HWaddr 00:0F:1F:F8:5E:8B
inet addr:192.168.0.254 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::20f:1fff:fef8:5e8b/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:221080 errors:0 dropped:0 overruns:0 frame:0
TX packets:203356 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:26978630 (25.7 MiB) TX bytes:130872606 (124.8 MiB)
Interrupt:21
eth1 Link encap:Ethernet HWaddr 00:83:08:00:69:B4
inet addr:10.0.0.2 Bcast:10.255.255.255 Mask:255.0.0.0
inet6 addr: fe80::283:8ff:fe00:69b4/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:134 errors:0 dropped:0 overruns:0 frame:0
TX packets:245 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:10995 (10.7 KiB) TX bytes:19653 (19.1 KiB)
Interrupt:25 Base address:0x4c00
eth2 Link encap:Ethernet HWaddr 00:48:54:00:4D:6A
inet addr:200.200.200.18 Bcast:187.4.253.23 Mask:255.255.255.248
inet6 addr: fe80::248:54ff:fe00:4d6a/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:205978 errors:0 dropped:0 overruns:0 frame:0
TX packets:197827 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:130334971 (124.2 MiB) TX bytes:18278175 (17.4 MiB)
Interrupt:24 Base address:0x2c00
ip route list
200.200.200.16/29 dev eth2 proto kernel scope link src 200.200.200.18
192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.254
169.254.0.0/16 dev eth2 scope link
10.0.0.0/8 dev eth1 proto kernel scope link src 10.0.0.2
default via 187.4.253.17 dev eth2
ip route list table adsl
200.200.200.16/29 dev eth2 scope link
192.168.0.0/24 dev eth0 scope link
10.0.0.0/8 dev eth1 scope link
default via 10.0.0.1 dev eth1
iptables -t nat -L -nxv
Chain PREROUTING (policy ACCEPT 32806 packets, 8009883 bytes)
pkts bytes target prot opt in out source
destination
Chain POSTROUTING (policy ACCEPT 226 packets, 15190 bytes)
pkts bytes target prot opt in out source
destination
46 6662 MASQUERADE all -- * eth1 0.0.0.0/0
0.0.0.0/0
8987 456574 MASQUERADE all -- * eth2 0.0.0.0/0
0.0.0.0/0
Chain OUTPUT (policy ACCEPT 1044 packets, 77074 bytes)
pkts bytes target prot opt in out source
destination
iptables -t mangle -L -nxv
Chain PREROUTING (policy ACCEPT 419076 packets, 148934988 bytes)
pkts bytes target prot opt in out source
destination
Chain INPUT (policy ACCEPT 6475 packets, 1228800 bytes)
pkts bytes target prot opt in out source
destination
Chain FORWARD (policy ACCEPT 389119 packets, 140213962 bytes)
pkts bytes target prot opt in out source
destination
Chain OUTPUT (policy ACCEPT 6532 packets, 1124530 bytes)
pkts bytes target prot opt in out source
destination
0 0 MARK tcp -- * * 10.0.0.2
0.0.0.0/0 tcp dpt:80 MARK set 0x8
Chain POSTROUTING (policy ACCEPT 395651 packets, 141338492 bytes)
pkts bytes target prot opt in out source
destination
Bom é isso
Aguardo seu retorno...
Forte abraço...
Roberto
4:55 p.m.
New subject: Squid em 2 Link Solução quase 100%
Salve galera... então depois de varios estudos eu consegui separar a
navegação interna do default gateway
ptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j
ACCEPT
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
ip route add default via 10.0.0.1 table adsl
ip rule add from 192.168.0.0/24 table adsl
Através destes comando consegui fazer a rede interna sair pela ADSL e deixa
o Link dedicado para
Serviço de e-mail que será acessado de fora....
A questão é que navega td certinho, mas se seto para usar o squid não
funciona ai tenho que add
o seguindo comando ip route add 192.168.0.0/24 dev eth0 table adsl para o
equid funcionar...
mas ele sai pelo link se desmarcar as opções do proxy dai pelo ADSL... Agora
estou neste impasse...
Qualquer dica é bem vinda...
Roberto
2:22 p.m.
New subject: Squid em 2 Link Solução quase 100%
Não conheço rêde e tenho um servidor com duas placas.
Minha ADSL entra no roteador sem fio e o servidor com duas placas vai no
sem fio.
Você poderia resolver o meu problema junto com o seu?
Quero que o servidor receba a adsl numa placa e distribua para a rêde
interna pela outra.
Atenciosamente
Em Qui, 2009-06-11 às 18:55 -0300, redes(a)habil.eti.br escreveu:
Salve galera... então depois de varios estudos eu consegui separar a
navegação interna do default gateway
ptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j
ACCEPT
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
ip route add default via 10.0.0.1 table adsl
ip rule add from 192.168.0.0/24 table adsl
Através destes comando consegui fazer a rede interna sair pela ADSL e deixa
o Link dedicado para
Serviço de e-mail que será acessado de fora....
A questão é que navega td certinho, mas se seto para usar o squid não
funciona ai tenho que add
o seguindo comando ip route add 192.168.0.0/24 dev eth0 table adsl para o
equid funcionar...
mas ele sai pelo link se desmarcar as opções do proxy dai pelo ADSL... Agora
estou neste impasse...
Qualquer dica é bem vinda...
Roberto
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
7:10 a.m.
New subject: Squid 2 Links
Bom dia Alejandro... ainda não conseguir fazer funcionar o desejado...
Li vário materiais... mas gostaria de tirar uma duvida com vc...
Como Saber se o meu linux esta preparado para trabalhar com desejado...
Hj esta configurado firewall fazendo nat trabalhando com squid... se mudar
o default gateway funciona com os dois link um de cada vez claro....
Digo isso pq em alguns artigos diz que tenho q compilar kernal, etc, etc
Qualquer dica é bem vinda...
Roberto
----- Original Message -----
From: "Alejandro Flores" <alejandrorflores(a)gmail.com>
To: "Lista de discussão voltada para os usuários brasileiros do Fedora"
<fedora-users-br(a)redhat.com>
Sent: Saturday, June 06, 2009 9:12 PM
Subject: Re: [Fedora-users-br] Squid 2 Links
Roberto,
> Olá Alejandro... muito obrigado pelas dicas....
> pergunta: Como faço para ver a toda tabela secundaria?
> Para eu entender melhor... quem é 200.100.100.1/32
No caso, a tabela secundária você deve criar.
200.100.100.1/32 no exemplo, é o segundo IP de internet que você tem.
Simplificando, todo o roteamento no linux segue a tabela principal de
roteamento. Quando você quer algo diferente como, criar um
direcionamento do trafego por outro link, por exemplo, você deve criar
uma segunda tabela de roteamento em /etc/iproute2/rt_tables. Feito
isso, você pode adicionar as rotas para essa tabela.
Para adicionar uma rota na tabela principal:
ip rote add 192.168.0.0/24 via 192.168.117.254
Para adicionar uma rota pela tabela secundaria (aquela que você criou
em /etc/iproute2/rt_tables):
ip route add 192.168.0.0/24 via 192.168.117.254 table secundaria
Onde secundaria é o nome que você especificou no arquivo
/etc/iproute2/rt_tables
200 secundaria
Ou seja, tem a tabela principal, que é o normal, e tem a tabela
secundaria que você está criando para o seu novo link, regras e afins.
--
Abraço!
Alejandro Flores
http://www.triforsec.com.br/
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
7:19 a.m.
New subject: Squid 2 Links
Uma questão que pode ser importante....
eth0 192.168.0.254/24 rede local
eth1 10.0.0.2/8 gtw 10.0.0.1 modem ADSL
eth2 200.200.220.4/29 gtw 200.200.220.3 IP corporativo
Será que meu problema é a ADSL
Roberto
----- Original Message -----
From: <redes(a)habil.eti.br>
To: "Lista de discussão voltada para os usuários brasileiros do Fedora"
<fedora-users-br(a)redhat.com>
Sent: Tuesday, June 09, 2009 9:10 AM
Subject: Re: [Fedora-users-br] Squid 2 Links
Bom dia Alejandro... ainda não conseguir fazer funcionar o
desejado...
Li vário materiais... mas gostaria de tirar uma duvida com vc...
Como Saber se o meu linux esta preparado para trabalhar com desejado...
Hj esta configurado firewall fazendo nat trabalhando com squid... se mudar
o default gateway funciona com os dois link um de cada vez claro....
Digo isso pq em alguns artigos diz que tenho q compilar kernal, etc, etc
Qualquer dica é bem vinda...
Roberto
----- Original Message -----
From: "Alejandro Flores" <alejandrorflores(a)gmail.com>
To: "Lista de discussão voltada para os usuários brasileiros do Fedora"
<fedora-users-br(a)redhat.com>
Sent: Saturday, June 06, 2009 9:12 PM
Subject: Re: [Fedora-users-br] Squid 2 Links
> Roberto,
>
>> Olá Alejandro... muito obrigado pelas dicas....
>> pergunta: Como faço para ver a toda tabela secundaria?
>> Para eu entender melhor... quem é 200.100.100.1/32
>
> No caso, a tabela secundária você deve criar.
> 200.100.100.1/32 no exemplo, é o segundo IP de internet que você tem.
> Simplificando, todo o roteamento no linux segue a tabela principal de
> roteamento. Quando você quer algo diferente como, criar um
> direcionamento do trafego por outro link, por exemplo, você deve criar
> uma segunda tabela de roteamento em /etc/iproute2/rt_tables. Feito
> isso, você pode adicionar as rotas para essa tabela.
> Para adicionar uma rota na tabela principal:
>
> ip rote add 192.168.0.0/24 via 192.168.117.254
>
> Para adicionar uma rota pela tabela secundaria (aquela que você criou
> em /etc/iproute2/rt_tables):
>
> ip route add 192.168.0.0/24 via 192.168.117.254 table secundaria
>
> Onde secundaria é o nome que você especificou no arquivo
> /etc/iproute2/rt_tables
>
> 200 secundaria
>
> Ou seja, tem a tabela principal, que é o normal, e tem a tabela
> secundaria que você está criando para o seu novo link, regras e afins.
>
> --
> Abraço!
> Alejandro Flores
> http://www.triforsec.com.br/
>
> --
> Fedora-users-br mailing list
> Fedora-users-br(a)redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
6:40 p.m.
New subject: Squid 2 Links
Rau,
Grande, da uma olhada em Bonding, acho que resolve o que vc ta
querendo.
Não, Bonding no linux é para Ethernet.
--
Att,
André Felício
http://www.felicio.com.br
You may be sure that when a man begins to call himself a "realist," he is
preparing to do something he is secretly ashamed of doing. -- Sydney Harris
9:30 a.m.
Cara, obrigadão pela sua ajuda, mas desisti, acho que foi algum pau no
openssh, reinstalei e pronto, tá tudo lindo.
Obrigadão cara.
Vitor Vilas Boas
Consultor de TI
Linux User #484274
www.vitorvilasboas.com.br
vitor(a)vitorvilasboas.com.br
Cel.: +55 71 8732.1156
Cel.: +55 71 9947.2808
Alejandro Flores escreveu:
Vitor,
Por favor, após tentar logar, manda as últimas 30 linhas do /var/log/secure, ok?
Abraço!
2009/6/3 Vitor Vilas Boas <vitor(a)vitorvilasboas.com.br>:
> Veja bem, estava como padrão, esta opção eu adicionei para ver se resolvia.
>
> Segue.
>
> ======================================================================
>
> debug1: Authentications that can continue:
> publickey,password,keyboard-interactive
> debug3: start over, passed a different list
> publickey,password,keyboard-interactive
> debug3: preferred gssapi-with-mic,publickey,keyboard-interactive,password
> debug3: authmethod_lookup publickey
> debug3: remaining preferred: keyboard-interactive,password
> debug3: authmethod_is_enabled publickey
> debug1: Next authentication method: publickey
> debug1: Trying private key: /home/vitor/.ssh/identity
> debug3: no such identity: /home/vitor/.ssh/identity
> debug1: Trying private key: /home/vitor/.ssh/id_rsa
> debug3: no such identity: /home/vitor/.ssh/id_rsa
> debug1: Trying private key: /home/vitor/.ssh/id_dsa
> debug3: no such identity: /home/vitor/.ssh/id_dsa
> debug2: we did not send a packet, disable method
> debug3: authmethod_lookup keyboard-interactive
> debug3: remaining preferred: password
> debug3: authmethod_is_enabled keyboard-interactive
> debug1: Next authentication method: keyboard-interactive
> debug2: userauth_kbdint
> debug2: we sent a keyboard-interactive packet, wait for reply
> debug2: input_userauth_info_req
> debug2: input_userauth_info_req: num_prompts 1
> Password:
> debug3: packet_send2: adding 32 (len 24 padlen 8 extra_pad 64)
> debug1: Authentications that can continue:
> publickey,password,keyboard-interactive
> debug2: userauth_kbdint
> debug2: we sent a keyboard-interactive packet, wait for reply
> debug2: input_userauth_info_req
> debug2: input_userauth_info_req: num_prompts 1
> Password:
>
> =======================================================
>
> Vitor Vilas Boas
> Consultor de TI
> Linux User #484274
> www.vitorvilasboas.com.br
> vitor(a)vitorvilasboas.com.br
> Cel.: +55 71 8732.1156
> Cel.: +55 71 9947.2808
>
>
>
> Aldrey Galindo escreveu:
>
>> Vitor,
>>
>> Não seria a parte que tem 'AllowUsers vitor rafael root'? Pode
comentar
>> isso para que ele faça como padrão e libere todos?
>> Caso seja o seu usuário 'vitor' que não esteja passando, poderia usar
o
>> 'ssh -vvv usuario@host' e postar?
>>
>> Abraços,
>> Aldrey Galindo
>>
>> 2009/6/3 Vitor Vilas Boas <vitor(a)vitorvilasboas.com.br
>> <mailto:vitor@vitorvilasboas.com.br>>
>>
>> Tá ai, ainda não mexi em nada, só tentei liberar os usuários, mas
>> sem sucesso.
>> Toda instalação de SSH que eu fiz, vem por padrão os usuários
>> liberados, pois a intenção é negar o logon como root e liberar
>> para os usuários.
>>
>> ===============================================================
>> # This is the sshd server system-wide configuration file. See
>> # sshd_config(5) for more information.
>>
>> # This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin
>>
>> # The strategy used for options in the default sshd_config shipped
>> with
>> # OpenSSH is to specify options with their default value where
>> # possible, but leave them commented. Uncommented options change a
>> # default value.
>>
>> #Port 22
>> #AddressFamily any
>> #ListenAddress 0.0.0.0
>> #ListenAddress ::
>>
>> # Disable legacy (protocol version 1) support in the server for new
>> # installations. In future the default will change to require explicit
>> # activation of protocol 1
>> Protocol 2
>>
>> # HostKey for protocol version 1
>> #HostKey /etc/ssh/ssh_host_key
>> # HostKeys for protocol version 2
>> #HostKey /etc/ssh/ssh_host_rsa_key
>> #HostKey /etc/ssh/ssh_host_dsa_key
>>
>> # Lifetime and size of ephemeral version 1 server key
>> #KeyRegenerationInterval 1h
>> #ServerKeyBits 1024
>>
>> # Logging
>> # obsoletes QuietMode and FascistLogging
>> #SyslogFacility AUTH
>> #LogLevel INFO
>>
>> # Authentication:
>>
>> #LoginGraceTime 2m
>> #PermitRootLogin yes
>> #StrictModes yes
>> #MaxAuthTries 6
>> #MaxSessions 10
>>
>> #RSAAuthentication yes
>> #PubkeyAuthentication yes
>> #AuthorizedKeysFile .ssh/authorized_keys
>>
>> # For this to work you will also need host keys in
>> /etc/ssh/ssh_known_hosts
>> #RhostsRSAAuthentication no
>> # similar for protocol version 2
>> #HostbasedAuthentication no
>> # Change to yes if you don't trust ~/.ssh/known_hosts for
>> # RhostsRSAAuthentication and HostbasedAuthentication
>> #IgnoreUserKnownHosts no
>> # Don't read the user's ~/.rhosts and ~/.shosts files
>> #IgnoreRhosts yes
>>
>> # To disable tunneled clear text passwords, change to no here!
>> PasswordAuthentication yes
>> #PermitEmptyPasswords no
>>
>> # Change to no to disable s/key passwords
>> #ChallengeResponseAuthentication yes
>>
>> # Kerberos options
>> #KerberosAuthentication no
>> #KerberosOrLocalPasswd yes
>> #KerberosTicketCleanup yes
>> #KerberosGetAFSToken no
>>
>> # GSSAPI options
>> #GSSAPIAuthentication no
>> #GSSAPICleanupCredentials yes
>>
>> # Set this to 'yes' to enable support for the deprecated
'gssapi'
>> authentication
>> # mechanism to OpenSSH 3.8p1. The newer 'gssapi-with-mic'
>> mechanism is included
>> # in this release. The use of 'gssapi' is deprecated due to the
>> presence of
>> # potential man-in-the-middle attacks, which 'gssapi-with-mic' is
>> not susceptible to.
>> #GSSAPIEnableMITMAttack no
>>
>>
>> # Set this to 'yes' to enable PAM authentication, account processing,
>> # and session processing. If this is enabled, PAM authentication will
>> # be allowed through the ChallengeResponseAuthentication and
>> # PasswordAuthentication. Depending on your PAM configuration,
>> # PAM authentication via ChallengeResponseAuthentication may bypass
>> # the setting of "PermitRootLogin without-password".
>> # If you just want the PAM account and session checks to run without
>> # PAM authentication, then enable this but set PasswordAuthentication
>> # and ChallengeResponseAuthentication to 'no'.
>> UsePAM yes
>> #AllowAgentForwarding yes
>> AllowUsers vitor rafael root
>> #AllowTcpForwarding yes
>> #GatewayPorts no
>> X11Forwarding yes
>> #X11DisplayOffset 10
>> #X11UseLocalhost yes
>> #PrintMotd yes
>> #PrintLastLog yes
>> #TCPKeepAlive yes
>> #UseLogin no
>> #UsePrivilegeSeparation yes
>> #PermitUserEnvironment no
>> #Compression delayed
>> #ClientAliveInterval 0
>> #ClientAliveCountMax 3
>> #UseDNS yes
>> #PidFile /var/run/sshd.pid
>> #MaxStartups 10
>> #PermitTunnel no
>> #ChrootDirectory none
>>
>> # no default banner path
>> Banner /etc/issue.net <http://issue.net>
>>
>> # override default of no subsystems
>> Subsystem sftp /usr/lib/ssh/sftp-server
>>
>> # This enables accepting locale enviroment variables LC_* LANG,
>> see sshd_config(5).
>> AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY
>> LC_MESSAGES
>> AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
>> AcceptEnv LC_IDENTIFICATION LC_ALL
>>
>> # Example of overriding settings on a per-user basis
>> #Match User anoncvs
>> # X11Forwarding no
>> # AllowTcpForwarding no
>> # ForceCommand cvs server
>>
>>
>> ==========================================================================
>>
>>
>>
>> Vitor Vilas Boas
>> Consultor de TI
>> Linux User #484274
>> www.vitorvilasboas.com.br <http://www.vitorvilasboas.com.br>
>> vitor(a)vitorvilasboas.com.br <mailto:vitor@vitorvilasboas.com.br>
>> Cel.: +55 71 8732.1156
>> Cel.: +55 71 9947.2808
>>
>>
>>
>> Alejandro Flores escreveu:
>>
>> Vitor,
>>
>>
>> Galera, tô migrando os servidores proxy/firewall e o
>> fileserver/backup de
>> openSUSE para o CentOS 5.3, mas tô com um probleminha, o
>> SSH só loga como
>> ROOT, já criei o usuário mas n dá permissão de acesso ao
>> SSH, já vasculhei a
>> net e o arquivo de configuração, alguém tem alguma dica?
>>
>>
>> Um comportamento bem atipico!
>> Você pode postar o /etc/ssh/sshd_config ?
>>
>>
>>
>>
>> --
>> Fedora-users-br mailing list
>> Fedora-users-br(a)redhat.com <mailto:Fedora-users-br@redhat.com>
>> https://www.redhat.com/mailman/listinfo/fedora-users-br
>>
>>
>> ------------------------------------------------------------------------
>>
>> --
>> Fedora-users-br mailing list
>> Fedora-users-br(a)redhat.com
>> https://www.redhat.com/mailman/listinfo/fedora-users-br
>>
>>
> --
> Fedora-users-br mailing list
> Fedora-users-br(a)redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
>
>
2:20 p.m.
Tem um grupo para o sshd 74. Quem sabe cadastrando o usuário no grupo do
sshd?
Em Qua, 2009-06-03 às 10:25 -0300, Vitor Vilas Boas escreveu:
Galera, tô migrando os servidores proxy/firewall e o
fileserver/backup
de openSUSE para o CentOS 5.3, mas tô com um probleminha, o SSH só loga
como ROOT, já criei o usuário mas n dá permissão de acesso ao SSH, já
vasculhei a net e o arquivo de configuração, alguém tem alguma dica?
Abraços
5431
days inactive
5440
days old
br-users@lists.fedoraproject.org
44 comments
9 participants
participants (9)
-
Aldrey Galindo -
Alejandro Flores -
André Felício -
Armando Neto -
Gerente de Sistemas -
Heracias Bezerra -
Hábil - Redes -
Rafael Gomes -
Vitor Vilas Boas