Quando usamos pfSense como servidor de cache de páginas Web (web proxy - Squid), tenho notado que o squid não é eficiente usando a largura de banda, fica muito lento a navegação web, sente-se ainda mais lento do que sem o proxy ativo. Depois de pesquisar na internet, descobri que muitos usuários sentem o mesmo e é por alguns parâmetros específicos para FreeBSD que acontece.
Em forúns do pfSense dizem que a configuração padrão do sistema é como um roteador e não é um servidor web proxy, para isso, terá que preparar o sistema básico para apoiar as necessidades do squid para um grande número de arquivos abertos, etc.
Propõe-se para editar o / boot / loader.conf e adicionar e excluir determinados parâmetros como segue:
1. Usando Web Admin, selecione Arquivo de Diagnóstico menu Editar.
2. Digite "/ boot / loader.conf" eo BotCon de carga.
3. Excluir a linha "kern.ipc.nmbclusters =" 0 "
4. Adicione o seguinte
kern.ipc.nmbclusters=32768
kern.maxfiles=65536
kern.maxfilesperproc=32768
net.inet.ip.portrange.last=65535
Ou você pode apagar tudo e escrever:
autoboot_delay="1"
#kern.ipc.nmbclusters="0"
hint.apic.0.disabled=1
kern.hz=100
#for squid
kern.ipc.nmbclusters="32768"
kern.maxfiles="65536"
kern.maxfilesperproc="32768"
net.inet.ip.portrange.last="65535"
Depois de adicionar esses dados reiniciar pfsense e pronto....... seu pfsense deverá voltar ao normal.
fonte : http://elrinconcito-carlos.blogspot.com.br/2011/06/squid-lento-en-pfsense.html?spref=tw
Mostrando postagens com marcador PFSense. Mostrar todas as postagens
Mostrando postagens com marcador PFSense. Mostrar todas as postagens
sexta-feira, 7 de fevereiro de 2014
sexta-feira, 31 de janeiro de 2014
Configuração do pfSense com 2 interfaces e vlan
Para a configuração de um gateway pfSense com 2 interfaces físicas de rede, iremos separar o tráfego de “LAN USPnet semfio” e “LAN eduroam” através de VLANs distintas, uma para cada LAN.
Criaremos a VLAN 100 e 115, destinadas ao trafégo da USPnet semfio e do eduroam, respectivamente.
VLAN 100 – LAN USPnet semfio
VLAN 115 – LAN eduroam
VLANs 100 e 115
Com as VLANs configuradas, bastará adicionar uma nova interface e associar cada uma delas a uma das VLANs.
Abaixo esta um exemplo de configuração da interface LAN (USPnet semfio)
De modo semelhante à interface LAN, também configuraremos a interface OPT1 com um endereço IP.
Devemos criar uma regra de firewall para liberar o tráafego na interface OPT1 (LAN eduroam).
O serviço Captive Portal deverá estar ativo na interface LAN para autenticação dos usuário USPnet semfio.
O servidor DHCP deve estar habilitado a entregar IP aos clientes da LAN eduroam. Utilizamos o range 172.20.0.10 – 172.20.0.254
fonte : http://eduroam.usp.br/configuracoes-de-infraestrutura/configuracao-pfsense-com-2-interfaces-e-vlan/
quinta-feira, 30 de janeiro de 2014
HAVP – Antivirus no pfSense com Squid
Tutorial passo a passo para instalar e configurar o HAVP antivirus no pfSense utilizando o Squid transparente, onde o esquema é {inet}->[HAVP]->[Squid cache]->{clients}.
Descrição abreviada: O HAVP (HTTP Proxy Antivirus) é um proxy com um escaner do ClamAV antivirus. Os principais objetivos são persistentes, sem bloquear downloads e com escaneamento suave do tráfego HTTP. Ele pode ser usado com o Squid ou Autônomo.
Obs: Esse tutorial contempla apenas a configuração básica do Havp com o Squid transparente. Para os demais casos, consulte a documentação do pfSense.
1- Para instalar o Antivirus vá em System: Package Manager e instale o pacote HAVP.
2- Após instalar é necessário configurar o Havp em Services > Antivirus. A interface que se apresenta após instalação é essa abaixo. Note que os ícones
significam que o serviço está completamente desabilitado. A primeira linha em Services, HTTP Antivirus Proxy ( Stopped ) é o serviço principal do Antivirus, o Proxy em si, que depende essencialmente da base de dados do Clamav e seu Motor (Engine), na segunda linha, Antivirus Server.
Antes de fazer o download da base de dados do Clamav, para que o Serviço funcione, deve-se configurar o HAVP conforme segue:
3- Clique na aba HTTP proxy e, na primeira opção Enable, cheque a caixa de seleção “Check this for enable proxy”, bem no topo da interface. Na segunda opção Proxy mode selecione Parent for Squid. A imagem abaixo mostra as configurações primárias na aba HTTP proxy.
Clique no botão Save, no pé dessa página, antes de prosseguir.
5- Clique na aba Settings, configure conforme a imagem abaixo, clique no botão Update_AV para fazer o download da Base de Virus do Clamav.
Como sempre no pé da página, clique em Save para manter as configurações.
6- Ao finalizar a instalação das assinaturas de virus, o serviço deverá estar ativo:
7- Certique-se que o HAVP está integrado ao Squid em Proxy server: General settings, na opção Custom Options no pé da página conforme imagem:
Importante: Não altere as configurações inseridas pelo HAVP no Squid.
8- Com o Antivirus ativado, ao acessar uma página, ou clicar num link que contenha virus, por exemplo neste link Eicar.org test file o alerta deve ser semelhante a esse:
Importante: Lembre-se que Proxy transparente não filtra páginas HTTPS, portanto o HAVP também não.
Você deve ajustar algumas configurações conforme suas necessidades, tais como:
fonte : nextsense.com.br/blog/archives/680
Descrição abreviada: O HAVP (HTTP Proxy Antivirus) é um proxy com um escaner do ClamAV antivirus. Os principais objetivos são persistentes, sem bloquear downloads e com escaneamento suave do tráfego HTTP. Ele pode ser usado com o Squid ou Autônomo.
Obs: Esse tutorial contempla apenas a configuração básica do Havp com o Squid transparente. Para os demais casos, consulte a documentação do pfSense.
1- Para instalar o Antivirus vá em System: Package Manager e instale o pacote HAVP.
2- Após instalar é necessário configurar o Havp em Services > Antivirus. A interface que se apresenta após instalação é essa abaixo. Note que os ícones
significam que o serviço está completamente desabilitado. A primeira linha em Services, HTTP Antivirus Proxy ( Stopped ) é o serviço principal do Antivirus, o Proxy em si, que depende essencialmente da base de dados do Clamav e seu Motor (Engine), na segunda linha, Antivirus Server.
clique para aumentar a imagem
3- Clique na aba HTTP proxy e, na primeira opção Enable, cheque a caixa de seleção “Check this for enable proxy”, bem no topo da interface. Na segunda opção Proxy mode selecione Parent for Squid. A imagem abaixo mostra as configurações primárias na aba HTTP proxy.
clique para aumentar a imagem
5- Clique na aba Settings, configure conforme a imagem abaixo, clique no botão Update_AV para fazer o download da Base de Virus do Clamav.
clique para aumentar a imagem
6- Ao finalizar a instalação das assinaturas de virus, o serviço deverá estar ativo:
clique para aumentar a imagem
clique para aumentar a imagem
8- Com o Antivirus ativado, ao acessar uma página, ou clicar num link que contenha virus, por exemplo neste link Eicar.org test file o alerta deve ser semelhante a esse:
clique para aumentar a imagem
Você deve ajustar algumas configurações conforme suas necessidades, tais como:
- Antivirus: HTTP proxy, opção Language > selecione a linguagem de sua preferência.
- Antivirus: HTTP proxy, opção Scan max file size > selecione o tamanho máximo do arquivo a ser escaneado.
- Antivirus: HTTP proxy, opção Enable RAM Disk > habilite caso tenha memória RAM suficiente para agilizar o escaneamento dos arquivos.
- Entre outras.
fonte : nextsense.com.br/blog/archives/680
terça-feira, 28 de janeiro de 2014
Criando um Pendrive bootavel com Ubuntu no Mac OS X
De posse da imagem ISO e de um Pendrive, basta seguir alguns poucos passos no terminal do Mac, para executar esta simples tarefa, seja para criar um Pendrive bootavel com Ubuntu, outra Distribuição Linux ou até mesmo outro OS qualquer.
Primeiramente, conecte o Pendrive ao Mac
Acesse o aplicativo Terminal.app, pelo Spotlight (⌘ + Tecla Espaço) ou diretamente através do diretório /Applications/Utilities/
Execute o comando “diskutil list“, para obter uma lista de discos disponíveis:
$diskutil list
O retorno do diskutil list, poderá ser semelhante à isto:
/dev/disk0 #: TYPE NAME SIZE IDENTIFIER 0: GUID_partition_scheme *320.1 GB disk0 1: EFI 209.7 MB disk0s1 2: Apple_HFS Macintosh HD 319.2 GB disk0s2 3: Apple_Boot Recovery HD 650.0 MB disk0s3 /dev/disk1 #: TYPE NAME SIZE IDENTIFIER 0: FDisk_partition_scheme *4.0 GB disk1 1: DOS_FAT_32 SCHMITZ 4.0 GB disk1s1
Identifique o disco relativo ao Pendrive, neste caso, é o /dev/disk1
Desmonte o disco, com o comando “diskutil unmountDisk”
$diskutil unmountDisk /dev/disk1
Note, que “/dev/disk1″ neste caso é o Pendrive/Disco anteriormente identificado através do comando diskutil list.
Uma vez que o disco esteja desmontado, você poderá acessa-lo e altera-lo à baixo nível.
Localize a imagem ISO que deseja gravar no Pendrive ou copie-a para um local de fácil “acesso”.
Para efetuar a cópia, iremos utilizar o utilitário dd, o qual já se encontra disponível no Mac OS X.
Para saber mais sobre o dd, basta consultar o Manual, digitando “man dd” no Terminal.
A sintaxe básica do dd é:
dd if=origem of=destino
Partindo para a cópia…
Substitua origem e destino, pelo arquivo ISO e pelo disco de destino respectivamente, logo teremos algo semelhante à:
dd if=ubuntu-13.04-server-amd64.iso of=/dev/rdisk1 bs=128m
Para criar imagens do PfSense : dd if=/Users/shane/Downloads/pfSense-memstick-2.0.1-RELEASE-i386.img of=/dev/rdisk2 bs=1m
Note que, para acelerar o processo de cópia, complementamos o comando, definindo parâmetro block size (bs) como 128m e alteramos o disco de destino incluindo um “r” antes de “disk1“.
O bs indica que os blocos de leitura e escrita devem possuir o mesmo tamanho, enquanto que o “r” define que o disco deve ser acessado no modo raw.
Quando o processo de cópia for concluído, você receberá uma mensagem informando o tempo decorrido e a quantidade de bytes transferidos.
Tudo pronto, agora basta desconectar o Pendrive e utiliza-lo.
fonte : http://www.maiconschmitz.com.br/criando-pendrive-bootavel-com-ubuntu-no-mac-os-x/
terça-feira, 23 de abril de 2013
segunda-feira, 22 de abril de 2013
Adicionando um HD novo no FreeBSD ou pfSense 2.x
1 - Conecte o HD na máquina e verifique na bios se o mesmo foi reconhecido, se foi reconhecido, ligue o computador.
2 - Depois do sistema devidamente iniciado, prompt de comando usando o root, utilize o comando dmesg para descobrir o nome do dispositivo.
dmesg | tail
(Procure da0, da1, da2, ... como a última entrada. Usaremos da1 neste exemplo. Tenha muito cuidado e selecione a última entrada, ou você vai acabar de formatar seu disco rígido interno).
3 - Limpar nossa MBR no disco.
fdisk -i da1
2 - Depois do sistema devidamente iniciado, prompt de comando usando o root, utilize o comando dmesg para descobrir o nome do dispositivo.
dmesg | tail
(Procure da0, da1, da2, ... como a última entrada. Usaremos da1 neste exemplo. Tenha muito cuidado e selecione a última entrada, ou você vai acabar de formatar seu disco rígido interno).
3 - Limpar nossa MBR no disco.
fdisk -i da1
Do you want to change our idea of what BIOS thinks ? [n] Press Enter Do you want to change it?[n] Press Enter Do you want to change it?[n] Press Enter Do you want to change it?[n] Press Enter Do you want to change it?[n] Press Enter Do you want to change the active partition? [n] Press Enter Should we write new partition table? [n] Press y
4 - Criar sistema de arquivos.
newfs /dev/da1s1 [Não importa qual disco (da0, da1), a fatia é sempre s1]
5 - Montando seu HD para poder gravar arquivos nele
mount /dev/da1s1 /mnt/seu_disco_novo
Para desmontar a unidade é somente digitar o seguinte comando:
umount /mnt/seu_disco_novo
Se desejar montar a unidade quando o FreeBSD ou o pfSense 2.x for iniciado é só editar o arquivo fstab.
Exemplo:
1 - Fazer backup do fstab por segurança.
cp /etc/fstab/ /etc/fstab.bkp
2 - Modificar as permissões do fstab para aceitar a gravação após ser alterado.
chmod 744 /etc/fstab
3 - Editando o arquivo fstab com um editor de sua preferência, no meu caso usei o vi.
vi /etc/fstab
este é o meu arquivo fstab.
# Device Mountpoint FStype Options Dump Pass#
/dev/da0s1a / ufs rw 1 1
/dev/da1s1 /newHD ufs rw 2 2
/dev/da0s1b none swap sw 0 0
Acrescentei a linha que está em negrito, o /dev/da1s1 é por que o meu dispositivo é o da1 conforme explicado no passo 2 no comando dmesg. OBS: o /newHD é o ponto de montagem que usei em meu servidor, você terá que informar o seu, de acordo com o que você criou.
4 - Volte as permissão do arquivo para o que estava antes
chmod 444 /etc/fstab
5 - Reinicie seu FreeBSD ou o pfSense 2.x e pronto...... seu novo hd está montado automaticamente no boot.
Espero ter ajudado, grande abraço a todos.
sexta-feira, 19 de abril de 2013
Limpeza de Cache Squid do PfSense 2.x
/usr/local/etc/rc.d/squid.sh stop
rm -rf /var/squid/cache/
mkdir -p /var/squid/cache/
chown proxy:proxy /var/squid/cache/
chmod 750 /var/squid/cache/
squid -z
/usr/local/etc/rc.d/squid.sh start
sexta-feira, 22 de junho de 2012
PFSENSE - Tutorial de Squidguard ( bloqueio/liberação por horário )
Configuração do squidguard para bloqueio ou liberacao por horário.
link: http://www.pfsense-br.org/blog/wp-content/uploads/2011/10/Squidguard-controle-de-horario.pdf
link: http://www.pfsense-br.org/blog/wp-content/uploads/2011/10/Squidguard-controle-de-horario.pdf
quinta-feira, 21 de junho de 2012
Firewall PFSENSE - FreeBSD
Olá pessoal........ em minhas pesquisas pela internet me deparei com um sistema de segurança que me chamou a atenção, é o PFSENSE. O pfSense é uma fonte aberta livre distribuição personalizada do FreeBSD adaptado para uso como um firewall e roteador. Além de ser uma poderosa plataforma de firewall e roteamento flexível, que inclui uma longa lista de recursos relacionados e um sistema de pacotes de expansão de funcionalidades, pfSense é um projeto popular com mais de 1 milhão de downloads desde a sua criação, e comprovadas em inúmeras instalações que vão desde pequenas redes domésticas de protecção de um PC e um Xbox para grandes corporações, universidades e outras organizações que protegem milhares de dispositivos de rede.
Este projecto começou em 2004 como um fork do projeto m0n0wall, mas com foco para as instalações de um PC em vez de o foco de hardware embarcado m0n0wall. pfSense também oferece uma imagem incorporada para instalações baseadas em Compact Flash, no entanto, não é nosso foco principal.
Estou testando este firewall a + - um mês e implementei em um cliente com uma rede com 20 maquinas e 2 servidores um de AD e outro de email, estou gostando muito, sua robustes e flexibilidade e excelente sem contar que usa um FreeBSD. Grande Abraço a todos e estarei postando tutoriais e dicas em breve sobre o PFSense.
Links para saber mais sobre a ferramente :
http://www.pfsense.com/
http://www.pfsense-br.org/blog/
Videos:
PFSense Instalação
Este projecto começou em 2004 como um fork do projeto m0n0wall, mas com foco para as instalações de um PC em vez de o foco de hardware embarcado m0n0wall. pfSense também oferece uma imagem incorporada para instalações baseadas em Compact Flash, no entanto, não é nosso foco principal.
Estou testando este firewall a + - um mês e implementei em um cliente com uma rede com 20 maquinas e 2 servidores um de AD e outro de email, estou gostando muito, sua robustes e flexibilidade e excelente sem contar que usa um FreeBSD. Grande Abraço a todos e estarei postando tutoriais e dicas em breve sobre o PFSense.
Links para saber mais sobre a ferramente :
http://www.pfsense.com/
http://www.pfsense-br.org/blog/
Videos:
PFSense Instalação
Assinar:
Postagens (Atom)