[FUG-BR] Lista vs fórum
Olá boa tarde à todos! É minha primeira participação na lista e gostaria de perguntar da utilidade do fórum junto a lista de discussão, pois ao meu entender é dois canais distintos para troca de informação. Recomendaria que optassem por um único canal, que ao meu ver o principal é lista de discussão. Além do mais, o próprio FUG precisaria reformular seu conteúdo, muitos estão depreciados, ou seja obsoletos, e reestrutura para uma página mais agradável. Espero não ter incomodado a por estas sugestões -- Fábio Rodrigues Ribeiro http://www.farribeiro.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] BSDRP ou pfsense
Olá boa tarde! Gostaria de experimentar umas destas duas soluções semi prontas. O laboratório em ambiente doméstico tem a intenção é somente roteamento. Na tentativa de simular ambiente corporativo, de preferência com serviços em equipamentos independentes e o ideal as maquinas não ter acesso direto a NET, passando por um proxy. Router <---> Proxy <---> Maquinas A utilidade do servidor proxy, além do cache, dá uma camada de segurança para os equipamento da rede? E quais vantagens utilizar o trafego direto. Tenho dúvida de um equipamento extremamente modesto para os dias atuais, um Pentium III 800Mhz, 256MB RAM e nic rtl8139/similar. Se for possível, eu vou fazer um teste de stress. Também gostaria de saber quais se estas customizações já estão otimizadas, recentemente vi um instituto americano que disponibilizou suas pesquisas de otimizações tanto de host quanto de NIC, no site http://fasterdata.es.net/ No BSDRP poderia instalar um ntop ou ao menos SNMP, para Log e gráfico de banda. É muita dúvida para um assunto só... E acredito que tenho mais -- Fábio Rodrigues Ribeiro http://www.farribeiro.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] freeNAS para servir FTP
Olá boa tarde! Eu tenho intenção de fazer mirror dos repositórios de meus Linuxes, e escolhi o free para esta missão, devido a entrega rápida deste conteúdo. Só que me veio a mente de usar o freeNAS para o serviço, o que me incomoda é que terá excesso de funcionalidade que estará disponível, que causa um certo desconforto na segurança e objetividade, assim como o pfSense. Quero saber a opinião da galera! -- Fábio Rodrigues Ribeiro http://www.farribeiro.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BSDRP ou pfsense
Saudações, Respostas entre as duvidas. Em 6 de março de 2016 16:53, Fábio Rodrigues Ribeiro mailto:f...@farribeiro.com.br>> escreveu: Olá boa tarde! Gostaria de experimentar umas destas duas soluções semi prontas. O laboratório em ambiente doméstico tem a intenção é somente roteamento. Na tentativa de simular ambiente corporativo, de preferência com serviços em equipamentos independentes e o ideal as maquinas não ter acesso direto a NET, passando por um proxy. Router <---> Proxy <---> Maquinas A utilidade do servidor proxy, além do cache, dá uma camada de segurança para os equipamento da rede? E quais vantagens utilizar o trafego direto. Vamos esclarecer alguns conceitos aqui. O BSDRP é destinado marjoritáriamente para aplicações de roteamento, embora possua o suporte de PF e IPFW ele é focado exclusivamente para roteamento com protocolos dinâmicos como BGP e OSPF. O PFSense embora cumpra perfeitamente o papel de roteador o foco do projeto é firewall com PF onde pode se usar o dumynet junto com o IPFW para usar o WF2Q no enfileiramento. Em resumo BSDRP é otimizado para roteamento e PFSense otimizado para funções de firewall, ambos podem fazer o papel que deseja ? sim, fica a seu critério. Ficou meio complicado compreender se o seu ambiente é roteamento dinâmico ( BGP ou OSPF, normalmente usado em carrier, provedores e datacenter ) ou é roteamento estático junto com nat ( o mais comum, empresas de segmentos de serviços normalmente não relacionados a TI ) , a partir daqui irei considerar o segundo cenário. Recomendaria o PFSense pelos motivos abaixo. -> Gerenciamento de regras de filtragem através da web, gerenciar um arquivo de 1000 a 2000 regras na CLI tendem a ser um pouco frustante, parece absurdo mais em ambientes corporativos a quantidade de regras cresce continuamente. -> Suporte a enfileiramente de trafégo utilizando o Altq, pode se usar o dumynet através do IPFW, contudo perde-se a facilidade da interface web. -> Ampliação com outras funcionalidades que em um ambiente corporativo nos dias atuais são requeridas como IDS/IPS, proxy http/ftp autenticado integrado com AD/Samba, controle de acesso dos usuários a internet, servidor cache DNS, relatórios de utilização da Internet e tudo isso gerenciável através da interface Web e não como normalmente era feito até 2008 quando os appliance começaram a se popularizarem e tudo tinha que ser através de edição direta do arquivo de configuração de cada aplicação, isso otimiza o tempo de uma forma incalculavel. -> Documentação e canais de ajuda já estão maduros para conseguir orientar ou ajudar a resolver um problema ( não sei quanto ao BSDRP pois não precisei de orientação ). -> Não é colocado como mais um software modinha de geek onde depois de alguns anos, as vezes meses, encerra o desenvolvimento deixando os usuários orfãos. -> Ótima compatibilidade com hardware modestos, frizo que hardware modestos não é sinonimo de hardware porcaria ( estarei explicando na outra duvida sua ). Segunda duvida, relacionado a utilização de proxy. O Proxy http não é bem uma camada de segurança sentido internet -> intranet e sim o oposto, intranet -> internet, sua principal função é otimizar a entrega da informações que usam protocolos http/ftp ( exclusivamente ) e que não estejam criptografados, pode-se integrar o proxy com um anti-virus ( amavis ) e ai você terá uma ótima ferramenta ASF e se integrar ele com o squidguard/dansguard permitirá controlar melhor o que os funcionários da empresa poderá acessar e não esquece que para analisar como está o trafego há o sarg e o lightsquid com excelentes relatórios. O Proxy irá aumentar a sua segurança, depende claramente da forma que implantou, se foi só o proxy cache sem autenticação e sem integração com outras aplicações então não, ele será apenas um repositorio de informações constantemente acessadas mais proxima do usuário que a acessa. Por outro lado se usar ele junto com as demais ferramentas que indiquei acima ele se tornará um ótimo aliado no controle de informações que os funcionários acessa na internet, principalmente se usar o squidguard com uma politica padrão fechada, dá trabalho no inicio para configurar mais com o passar do tempo tende a diminuir as interações e os falsos/positivos. Terceira duvida, quanto a utiliza o trafego sem interceptação de trafego "cacheavel". Alem de garantir a comunicação fim-a-fim que é proposto pelo protocolo IP e diminuir a dor de cabeça com protocolos como o SIP e o FTP não há nenhuma vantagem a mais, na verdade as desvantagens sobrepõem e muito quanto a forma de operação com interceptação de trafego plain-text. Se a interceptação ou forward do trafego não é possivel implementar serviços de autenticação e filtragem de conteudo web. Não é possivel a implantação/integração com recursos de IDS/IPS. Não permite a geração de relátorios operacionais com muitas informações relevantes. E acho que mai
Re: [FUG-BR] freeNAS para servir FTP
Em 06/03/2016 17:11, Fábio Rodrigues Ribeiro escreveu: Olá boa tarde! Eu tenho intenção de fazer mirror dos repositórios de meus Linuxes, e escolhi o free para esta missão, devido a entrega rápida deste conteúdo. Só que me veio a mente de usar o freeNAS para o serviço, o que me incomoda é que terá excesso de funcionalidade que estará disponível, que causa um certo desconforto na segurança e objetividade, assim como o pfSense. Quero saber a opinião da galera! Jeito simples de resolver, apenas desabilita o serviço. E uma observação, creio que esse NAS estará internamente na rede, atrás de um firewall ( acho que é o que se referenciava no outro e-mail ) então coloca uma regra bloqueando o acesso a esse host no firewall da borda e configura o firewall do FreeNAS para só permitir comunicação a partir dos seus servidores linux. Se a neurose com segurança for demais, sobre um tunnel ssh entre os seus servidores e sobre o tunel ativa uma VPN com o OpenVPN usando o segmento de rede localhost, não se esquece de criptografar o disco com geom_eli ou então use ZFS, por ultimo recomendo a ativar o framework MAC :D. Att. Paulo Henrique. -- :UNI>https://www.unixbsd.com.br <>- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] freeNAS para servir FTP
Em 06-Mar-16 22:19, Paulo Henrique - BSDs Brasil escreveu: Em 06/03/2016 17:11, Fábio Rodrigues Ribeiro escreveu: Olá boa tarde! Eu tenho intenção de fazer mirror dos repositórios de meus Linuxes, e escolhi o free para esta missão, devido a entrega rápida deste conteúdo. Só que me veio a mente de usar o freeNAS para o serviço, o que me incomoda é que terá excesso de funcionalidade que estará disponível, que causa um certo desconforto na segurança e objetividade, assim como o pfSense. Quero saber a opinião da galera! Jeito simples de resolver, apenas desabilita o serviço. E uma observação, creio que esse NAS estará internamente na rede, atrás de um firewall ( acho que é o que se referenciava no outro e-mail ) então coloca uma regra bloqueando o acesso a esse host no firewall da borda e configura o firewall do FreeNAS para só permitir comunicação a partir dos seus servidores linux. Se a neurose com segurança for demais, sobre um tunnel ssh entre os seus servidores e sobre o tunel ativa uma VPN com o OpenVPN usando o segmento de rede localhost, não se esquece de criptografar o disco com geom_eli ou então use ZFS, por ultimo recomendo a ativar o framework MAC :D. Att. Paulo Henrique. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Então, continuo achando o freeBSD mais simples, pois não necessita nem do ports... e a configuração do usuário anônimo é bem tranquila que o freeNAS mas eu tenho que aprofundar melhor que recursos tem de interessante. Vou avaliar mais de perto o NAS. Se ele oferece estatísticas e outras ferramentas para manutenção do host que uma instalação básica que o freeBSD deixa a desejar. Já este negócio de framework MAC, nem tanto... rsrs! Basta declarar nos arquivo de hosts allow/deny -- Fábio Rodrigues Ribeiro http://www.farribeiro.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BSDRP ou pfsense
Em 06-Mar-16 22:08, Paulo Henrique - BSDs Brasil escreveu: Saudações, Respostas entre as duvidas. Em 6 de março de 2016 16:53, Fábio Rodrigues Ribeiro mailto:f...@farribeiro.com.br>> escreveu: Olá boa tarde! Gostaria de experimentar umas destas duas soluções semi prontas. O laboratório em ambiente doméstico tem a intenção é somente roteamento. Na tentativa de simular ambiente corporativo, de preferência com serviços em equipamentos independentes e o ideal as maquinas não ter acesso direto a NET, passando por um proxy. Router <---> Proxy <---> Maquinas A utilidade do servidor proxy, além do cache, dá uma camada de segurança para os equipamento da rede? E quais vantagens utilizar o trafego direto. Vamos esclarecer alguns conceitos aqui. O BSDRP é destinado marjoritáriamente para aplicações de roteamento, embora possua o suporte de PF e IPFW ele é focado exclusivamente para roteamento com protocolos dinâmicos como BGP e OSPF. O PFSense embora cumpra perfeitamente o papel de roteador o foco do projeto é firewall com PF onde pode se usar o dumynet junto com o IPFW para usar o WF2Q no enfileiramento. Em resumo BSDRP é otimizado para roteamento e PFSense otimizado para funções de firewall, ambos podem fazer o papel que deseja ? sim, fica a seu critério. Ficou meio complicado compreender se o seu ambiente é roteamento dinâmico ( BGP ou OSPF, normalmente usado em carrier, provedores e datacenter ) ou é roteamento estático junto com nat ( o mais comum, empresas de segmentos de serviços normalmente não relacionados a TI ) , a partir daqui irei considerar o segundo cenário. Recomendaria o PFSense pelos motivos abaixo. -> Gerenciamento de regras de filtragem através da web, gerenciar um arquivo de 1000 a 2000 regras na CLI tendem a ser um pouco frustante, parece absurdo mais em ambientes corporativos a quantidade de regras cresce continuamente. -> Suporte a enfileiramente de trafégo utilizando o Altq, pode se usar o dumynet através do IPFW, contudo perde-se a facilidade da interface web. -> Ampliação com outras funcionalidades que em um ambiente corporativo nos dias atuais são requeridas como IDS/IPS, proxy http/ftp autenticado integrado com AD/Samba, controle de acesso dos usuários a internet, servidor cache DNS, relatórios de utilização da Internet e tudo isso gerenciável através da interface Web e não como normalmente era feito até 2008 quando os appliance começaram a se popularizarem e tudo tinha que ser através de edição direta do arquivo de configuração de cada aplicação, isso otimiza o tempo de uma forma incalculavel. -> Documentação e canais de ajuda já estão maduros para conseguir orientar ou ajudar a resolver um problema ( não sei quanto ao BSDRP pois não precisei de orientação ). -> Não é colocado como mais um software modinha de geek onde depois de alguns anos, as vezes meses, encerra o desenvolvimento deixando os usuários orfãos. -> Ótima compatibilidade com hardware modestos, frizo que hardware modestos não é sinonimo de hardware porcaria ( estarei explicando na outra duvida sua ). Segunda duvida, relacionado a utilização de proxy. O Proxy http não é bem uma camada de segurança sentido internet -> intranet e sim o oposto, intranet -> internet, sua principal função é otimizar a entrega da informações que usam protocolos http/ftp ( exclusivamente ) e que não estejam criptografados, pode-se integrar o proxy com um anti-virus ( amavis ) e ai você terá uma ótima ferramenta ASF e se integrar ele com o squidguard/dansguard permitirá controlar melhor o que os funcionários da empresa poderá acessar e não esquece que para analisar como está o trafego há o sarg e o lightsquid com excelentes relatórios. O Proxy irá aumentar a sua segurança, depende claramente da forma que implantou, se foi só o proxy cache sem autenticação e sem integração com outras aplicações então não, ele será apenas um repositorio de informações constantemente acessadas mais proxima do usuário que a acessa. Por outro lado se usar ele junto com as demais ferramentas que indiquei acima ele se tornará um ótimo aliado no controle de informações que os funcionários acessa na internet, principalmente se usar o squidguard com uma politica padrão fechada, dá trabalho no inicio para configurar mais com o passar do tempo tende a diminuir as interações e os falsos/positivos. Terceira duvida, quanto a utiliza o trafego sem interceptação de trafego "cacheavel". Alem de garantir a comunicação fim-a-fim que é proposto pelo protocolo IP e diminuir a dor de cabeça com protocolos como o SIP e o FTP não há nenhuma vantagem a mais, na verdade as desvantagens sobrepõem e muito quanto a forma de operação com interceptação de trafego plain-text. Se a interceptação ou forward do trafego não é possivel implementar serviços de autenticação e filtragem de conteudo web. Não é possivel a implantação/integração com recursos de IDS/IPS. Não permite a geração de relátorios operacionais com muitas informações relevantes. E
Re: [FUG-BR] freeNAS para servir FTP
Em 06/03/2016 22:48, Fábio Rodrigues Ribeiro escreveu: Em 06-Mar-16 22:19, Paulo Henrique - BSDs Brasil escreveu: Em 06/03/2016 17:11, Fábio Rodrigues Ribeiro escreveu: Olá boa tarde! Eu tenho intenção de fazer mirror dos repositórios de meus Linuxes, e escolhi o free para esta missão, devido a entrega rápida deste conteúdo. Só que me veio a mente de usar o freeNAS para o serviço, o que me incomoda é que terá excesso de funcionalidade que estará disponível, que causa um certo desconforto na segurança e objetividade, assim como o pfSense. Quero saber a opinião da galera! Jeito simples de resolver, apenas desabilita o serviço. E uma observação, creio que esse NAS estará internamente na rede, atrás de um firewall ( acho que é o que se referenciava no outro e-mail ) então coloca uma regra bloqueando o acesso a esse host no firewall da borda e configura o firewall do FreeNAS para só permitir comunicação a partir dos seus servidores linux. Se a neurose com segurança for demais, sobre um tunnel ssh entre os seus servidores e sobre o tunel ativa uma VPN com o OpenVPN usando o segmento de rede localhost, não se esquece de criptografar o disco com geom_eli ou então use ZFS, por ultimo recomendo a ativar o framework MAC :D. Att. Paulo Henrique. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Então, continuo achando o freeBSD mais simples, pois não necessita nem do ports... e a configuração do usuário anônimo é bem tranquila que o freeNAS mas eu tenho que aprofundar melhor que recursos tem de interessante. Vou avaliar mais de perto o NAS. Se ele oferece estatísticas e outras ferramentas para manutenção do host que uma instalação básica que o freeBSD deixa a desejar. Já este negócio de framework MAC, nem tanto... rsrs! Basta declarar nos arquivo de hosts allow/deny Olha, se quer só um NAS com recursos de NFS fica de FreeBSD mesmo, quanto a estatisticas e essas frescuras de "tomador de decisão", ativa o bsnmpd, integra ele em um zabbix ou nagios da vida, no caso do zabbix, usa o zabbix_agentd + scripts para obter informações que as mibs snmp não disponibiliza e terá a mesma funcionalidade do FreeNAS, só funcionalidade, não recursos de gerencia e controle através da web que é um dos pontos fortes do FreeNAS, além é claro da praticidade de integração com outros sistemas/recursos. Corajoso usar o usuário "anonimo" !! qualquer usuário que não precisa deve estar claramente desabilitado no sistema e o guest/nobody/anonimo faz parte desse grupo de usuários que não devem ser usados, limita muito a dor de cabeã com brute-forces da vida. Declararação de politica de acesso baseada em IP já não é seguro a 20 anos, ela não conseguirá evitar ipspoof, o correto é limitar o acesso usando pelo menos autenticação simetrica. Att. -- :UNI>https://www.unixbsd.com.br <>- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: off topic Hosting para hospedagem
> -- > :UNI>> Paulo Henrique. > > Obrigado por responder, Paulo. > > São aproximadamente 100 clientes com umas 1100 contas de e-mails. Meu HD > atual de 250GB tá com 80% de utilização e crescendo (tenho 500GB -pensei que > fosse 1TB- , dois HD´s DE 250, um backup do outro) Utilizo MTA-POSTFIX COM > MYSQL E MAIA/DNS-BIND/WEB-APACHE/BANCO DE DADOS(MYSQL E POSTGRES)/FTP e > trafego mensal em torno de 30GB, 5 IP´s. Tudo isto num Celeron E Dual core e > 2GB de RAM. > > Minha dúvida então é: Baseado no que descrevi acima, uma mqna virtualizada > me atende? (em termos de estabilidade) > Ou tem que ser um server dedicado? Se server dedicado ou virtualizada, tens > alguma sugestão? > > Gostei muito dos preços do www.server4you.com porém não vi o FREEBSD > disponível e não sei se atende o que preciso. > > > []´s > Paulo Quartieri > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Posso dar um “pitaco” na conversa? Você tem uma equipe para administrar tudo isto? Manter postfix, bind, mysql, etc?? Pergunto porque a anos atrás, eu tinha muito tempo para manter 5 ou 6 server BSD com qmail, vpopmail, bind, etc, tudo feito a mão e mantido… Só que depois de um tempo, meu tempo livre começou a ficar ocupado e eu não conseguia atender a estas demandas. Daí, abri mão do BSD que tanto gosto e fui para CPANEL, que eu tinha MUITO preconceito. Daí, pago hoje alguns dólares de licença CPANEL, rodando em VPS e eles fazem o trabalho pesado de manter todo o sistema. Eu me preocupo em atender o usuário final(coisas do tipo, o cara configurou outlook errado…) Servidores FrontEnd quando é algo muito específico que eu acho que o BSD vai se dar melhor(TOMCAT, clientes VIP), eu uso vmware on the cloud, virtualizando um BSD. Daí eu mesmo compilo apache, tomcat, etc.. Resumo…. se for o feijão com arroz de hospedar email, página html/php corporativa, empurro tudo no cpanel. Se for algo mais TOP, coloco um BSD. Agora com relação a hosting, eu coloco tudo fora e pago em dólar, é o alto preço a se pagar pela estabilidade. []s ——— Renato Frederick Consultor em TI http://about.me/renatofrederick Skype: renatofrederick +55 31 99123 - 3006 +55 31 2523 - 0686 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BSDRP ou pfsense
Alguns produtos da watchdog faz este serviço muito bem e você pode instalar o pfsense ou outro BSD nele também hoje em dia existem soluções baratas da tp-link e d-link Enviado do Outlook Mobile. Sim, também funciona com o Gmail. On Sun, Mar 6, 2016 at 6:12 PM -0800, "Fábio Rodrigues Ribeiro" wrote: Em 06-Mar-16 22:08, Paulo Henrique - BSDs Brasil escreveu: > Saudações, > > Respostas entre as duvidas. > > Em 6 de março de 2016 16:53, Fábio Rodrigues Ribeiro > mailto:f...@farribeiro.com.br>> escreveu: > > Olá boa tarde! > > Gostaria de experimentar umas destas duas soluções semi prontas. O > laboratório em ambiente doméstico tem a intenção é somente roteamento. > Na tentativa de simular ambiente corporativo, de preferência com > serviços em equipamentos independentes e o ideal as maquinas não ter > acesso direto a NET, passando por um proxy. > > Router <---> Proxy <---> Maquinas > > A utilidade do servidor proxy, além do cache, dá uma camada de > segurança > para os equipamento da rede? E quais vantagens utilizar o trafego > direto. > > > Vamos esclarecer alguns conceitos aqui. > O BSDRP é destinado marjoritáriamente para aplicações de roteamento, > embora possua o suporte de PF e IPFW ele é focado exclusivamente para > roteamento com protocolos dinâmicos como BGP e OSPF. > O PFSense embora cumpra perfeitamente o papel de roteador o foco do > projeto é firewall com PF onde pode se usar o dumynet junto com o IPFW > para usar o WF2Q no enfileiramento. > Em resumo BSDRP é otimizado para roteamento e PFSense otimizado para > funções de firewall, ambos podem fazer o papel que deseja ? sim, fica a > seu critério. > > Ficou meio complicado compreender se o seu ambiente é roteamento > dinâmico ( BGP ou OSPF, normalmente usado em carrier, provedores e > datacenter ) ou é roteamento estático junto com nat ( o mais comum, > empresas de segmentos de serviços normalmente não relacionados a TI ) , > a partir daqui irei considerar o segundo cenário. > > Recomendaria o PFSense pelos motivos abaixo. > -> Gerenciamento de regras de filtragem através da web, gerenciar um > arquivo de 1000 a 2000 regras na CLI tendem a ser um pouco frustante, > parece absurdo mais em ambientes corporativos a quantidade de regras > cresce continuamente. > -> Suporte a enfileiramente de trafégo utilizando o Altq, pode se usar o > dumynet através do IPFW, contudo perde-se a facilidade da interface web. > -> Ampliação com outras funcionalidades que em um ambiente corporativo > nos dias atuais são requeridas como IDS/IPS, proxy http/ftp autenticado > integrado com AD/Samba, controle de acesso dos usuários a internet, > servidor cache DNS, relatórios de utilização da Internet e tudo isso > gerenciável através da interface Web e não como normalmente era feito > até 2008 quando os appliance começaram a se popularizarem e tudo tinha > que ser através de edição direta do arquivo de configuração de cada > aplicação, isso otimiza o tempo de uma forma incalculavel. > -> Documentação e canais de ajuda já estão maduros para conseguir > orientar ou ajudar a resolver um problema ( não sei quanto ao BSDRP pois > não precisei de orientação ). > -> Não é colocado como mais um software modinha de geek onde depois de > alguns anos, as vezes meses, encerra o desenvolvimento deixando os > usuários orfãos. > -> Ótima compatibilidade com hardware modestos, frizo que hardware > modestos não é sinonimo de hardware porcaria ( estarei explicando na > outra duvida sua ). > > Segunda duvida, relacionado a utilização de proxy. > O Proxy http não é bem uma camada de segurança sentido internet -> > intranet e sim o oposto, intranet -> internet, sua principal função é > otimizar a entrega da informações que usam protocolos http/ftp ( > exclusivamente ) e que não estejam criptografados, pode-se integrar o > proxy com um anti-virus ( amavis ) e ai você terá uma ótima ferramenta > ASF e se integrar ele com o squidguard/dansguard permitirá controlar > melhor o que os funcionários da empresa poderá acessar e não esquece que > para analisar como está o trafego há o sarg e o lightsquid com > excelentes relatórios. > O Proxy irá aumentar a sua segurança, depende claramente da forma que > implantou, se foi só o proxy cache sem autenticação e sem integração com > outras aplicações então não, ele será apenas um repositorio de > informações constantemente acessadas mais proxima do usuário que a > acessa. Por outro lado se usar ele junto com as demais ferramentas que > indiquei acima ele se tornará um ótimo aliado no controle de informações > que os funcionários acessa na internet, principalmente se usar o > squidguard com uma politica padrão fechada, dá trabalho no inicio para > configurar mais com o passar do tempo tende a diminuir as interações e > os falsos/positivos. > > Terceira duvida, quanto a utiliza o trafego sem interceptação de trafego > "cacheavel". > Alem de garantir a comunicação fim-a-fim que é proposto pelo protocolo
Re: [FUG-BR] freeNAS para servir FTP
Em 06-Mar-16 23:43, Paulo Henrique - BSDs Brasil escreveu: Em 06/03/2016 22:48, Fábio Rodrigues Ribeiro escreveu: Em 06-Mar-16 22:19, Paulo Henrique - BSDs Brasil escreveu: Em 06/03/2016 17:11, Fábio Rodrigues Ribeiro escreveu: Olá boa tarde! Eu tenho intenção de fazer mirror dos repositórios de meus Linuxes, e escolhi o free para esta missão, devido a entrega rápida deste conteúdo. Só que me veio a mente de usar o freeNAS para o serviço, o que me incomoda é que terá excesso de funcionalidade que estará disponível, que causa um certo desconforto na segurança e objetividade, assim como o pfSense. Quero saber a opinião da galera! Jeito simples de resolver, apenas desabilita o serviço. E uma observação, creio que esse NAS estará internamente na rede, atrás de um firewall ( acho que é o que se referenciava no outro e-mail ) então coloca uma regra bloqueando o acesso a esse host no firewall da borda e configura o firewall do FreeNAS para só permitir comunicação a partir dos seus servidores linux. Se a neurose com segurança for demais, sobre um tunnel ssh entre os seus servidores e sobre o tunel ativa uma VPN com o OpenVPN usando o segmento de rede localhost, não se esquece de criptografar o disco com geom_eli ou então use ZFS, por ultimo recomendo a ativar o framework MAC :D. Att. Paulo Henrique. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Então, continuo achando o freeBSD mais simples, pois não necessita nem do ports... e a configuração do usuário anônimo é bem tranquila que o freeNAS mas eu tenho que aprofundar melhor que recursos tem de interessante. Vou avaliar mais de perto o NAS. Se ele oferece estatísticas e outras ferramentas para manutenção do host que uma instalação básica que o freeBSD deixa a desejar. Já este negócio de framework MAC, nem tanto... rsrs! Basta declarar nos arquivo de hosts allow/deny Olha, se quer só um NAS com recursos de NFS fica de FreeBSD mesmo, quanto a estatisticas e essas frescuras de "tomador de decisão", ativa o bsnmpd, integra ele em um zabbix ou nagios da vida, no caso do zabbix, usa o zabbix_agentd + scripts para obter informações que as mibs snmp não disponibiliza e terá a mesma funcionalidade do FreeNAS, só funcionalidade, não recursos de gerencia e controle através da web que é um dos pontos fortes do FreeNAS, além é claro da praticidade de integração com outros sistemas/recursos. O recurso que estou querendo é somente FTP, nada mais e simples assim! No máximo um zfs, como tenho tendência a devOps com certeza terá algo para dashboard. Corajoso usar o usuário "anonimo" !! qualquer usuário que não precisa deve estar claramente desabilitado no sistema e o guest/nobody/anonimo faz parte desse grupo de usuários que não devem ser usados, limita muito a dor de cabeã com brute-forces da vida. O servidor vai ser espelho de repositórios de pacotes, e interno será, então deveria não autenticar para os gerenciadores de pacotes acessá-los Declararação de politica de acesso baseada em IP já não é seguro a 20 anos, ela não conseguirá evitar ipspoof, o correto é limitar o acesso usando pelo menos autenticação simetrica. Agradeço o alerta para melhorar meus rasos conhecimentos já que venho do Desktop... e tenho experiência zero em networking. Irá ser de grande valia. Att. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Fábio Rodrigues Ribeiro http://www.farribeiro.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BSDRP ou pfsense
Em 06-Mar-16 22:08, Paulo Henrique - BSDs Brasil escreveu: Saudações, Respostas entre as duvidas. Em 6 de março de 2016 16:53, Fábio Rodrigues Ribeiro mailto:f...@farribeiro.com.br>> escreveu: Olá boa tarde! Gostaria de experimentar umas destas duas soluções semi prontas. O laboratório em ambiente doméstico tem a intenção é somente roteamento. Na tentativa de simular ambiente corporativo, de preferência com serviços em equipamentos independentes e o ideal as maquinas não ter acesso direto a NET, passando por um proxy. Router <---> Proxy <---> Maquinas A utilidade do servidor proxy, além do cache, dá uma camada de segurança para os equipamento da rede? E quais vantagens utilizar o trafego direto. Vamos esclarecer alguns conceitos aqui. O BSDRP é destinado marjoritáriamente para aplicações de roteamento, embora possua o suporte de PF e IPFW ele é focado exclusivamente para roteamento com protocolos dinâmicos como BGP e OSPF. Então poderia usar Masquerade/NAT com o BSDRP? O PFSense embora cumpra perfeitamente o papel de roteador o foco do projeto é firewall com PF onde pode se usar o dumynet junto com o IPFW para usar o WF2Q no enfileiramento. O que realmente seria o dummynet, seria Masquerade/NAT, o que também é o mesmo que tem estes roteadores bagatela, alias... gostaria muito, até pedi para um da comunidade dos embarcados se ele consegue o pfsense num modem Datacom da telefonica, o branquelo :P. Em resumo BSDRP é otimizado para roteamento e PFSense otimizado para funções de firewall, ambos podem fazer o papel que deseja ? sim, fica a seu critério. Ficou meio complicado compreender se o seu ambiente é roteamento dinâmico ( BGP ou OSPF, normalmente usado em carrier, provedores e datacenter ) ou é roteamento estático junto com nat ( o mais comum, empresas de segmentos de serviços normalmente não relacionados a TI ) , a partir daqui irei considerar o segundo cenário. Ficou muito... eu sei que raramente irei me aprofundar nestes protocolos de roteamento que você falou aí em cima e será mais NAT, embora que no meu ambiente corporativo já tenha pessoal altamente preparados e responsáveis gerenciando a rede e não teria tal necessidade, então fico somente no service desk. Somente para conhecimento. Deu a entender que o BSDRP parece mais interessante para forward de pacotes Recomendaria o PFSense pelos motivos abaixo. -> Gerenciamento de regras de filtragem através da web, gerenciar um arquivo de 1000 a 2000 regras na CLI tendem a ser um pouco frustante, parece absurdo mais em ambientes corporativos a quantidade de regras cresce continuamente. Isso ainda, nem vou chegar a experimentar... muito menos em um cisco -> Suporte a enfileiramente de trafégo utilizando o Altq, pode se usar o dumynet através do IPFW, contudo perde-se a facilidade da interface web. -> Ampliação com outras funcionalidades que em um ambiente corporativo nos dias atuais são requeridas como IDS/IPS, proxy http/ftp autenticado integrado com AD/Samba, controle de acesso dos usuários a internet, servidor cache DNS, relatórios de utilização da Internet e tudo isso gerenciável através da interface Web e não como normalmente era feito até 2008 quando os appliance começaram a se popularizarem e tudo tinha que ser através de edição direta do arquivo de configuração de cada aplicação, isso otimiza o tempo de uma forma incalculavel. O que me faz ter um pouco de paranoia, é ter um dashboard monitorando tudo :D Se deu erro no log... pisca na tela do dashboard -> Documentação e canais de ajuda já estão maduros para conseguir orientar ou ajudar a resolver um problema ( não sei quanto ao BSDRP pois não precisei de orientação ). -> Não é colocado como mais um software modinha de geek onde depois de alguns anos, as vezes meses, encerra o desenvolvimento deixando os usuários orfãos. Acha que o BSDRP, seu projeto pode não sobreviver? -> Ótima compatibilidade com hardware modestos, frizo que hardware modestos não é sinonimo de hardware porcaria ( estarei explicando na outra duvida sua ). O que seria um hardware porcaria, por sinal? Segunda duvida, relacionado a utilização de proxy. O Proxy http não é bem uma camada de segurança sentido internet -> intranet e sim o oposto, intranet -> internet, sua principal função é otimizar a entrega da informações que usam protocolos http/ftp ( exclusivamente ) e que não estejam criptografados, pode-se integrar o proxy com um anti-virus ( amavis ) e ai você terá uma ótima ferramenta ASF e se integrar ele com o squidguard/dansguard permitirá controlar melhor o que os funcionários da empresa poderá acessar e não esquece que para analisar como está o trafego há o sarg e o lightsquid com excelentes relatórios. Embora todo mundo usa Squid, estou de olho e experimentando o http://trafficserver.apache.org e na VM tem se mostrado excepcional e como o Yahoo usa muito ele, tá no ports. Uso em modo cache, só. Ver se tem algum plugin semelhante ao squid e de p
Re: [FUG-BR] BSDRP ou pfsense
Em 07-Mar-16 00:37, vitorhug...@hotmail.com escreveu: Alguns produtos da watchdog faz este serviço muito bem e você pode instalar o pfsense ou outro BSD nele também hoje em dia existem soluções baratas da tp-link e d-link Enviado do Outlook Mobile. Sim, também funciona com o Gmail. On Sun, Mar 6, 2016 at 6:12 PM -0800, "Fábio Rodrigues Ribeiro" wrote: Em 06-Mar-16 22:08, Paulo Henrique - BSDs Brasil escreveu: Saudações, Respostas entre as duvidas. Em 6 de março de 2016 16:53, Fábio Rodrigues Ribeiro mailto:f...@farribeiro.com.br>> escreveu: Olá boa tarde! Gostaria de experimentar umas destas duas soluções semi prontas. O laboratório em ambiente doméstico tem a intenção é somente roteamento. Na tentativa de simular ambiente corporativo, de preferência com serviços em equipamentos independentes e o ideal as maquinas não ter acesso direto a NET, passando por um proxy. Router <---> Proxy <---> Maquinas A utilidade do servidor proxy, além do cache, dá uma camada de segurança para os equipamento da rede? E quais vantagens utilizar o trafego direto. Vamos esclarecer alguns conceitos aqui. O BSDRP é destinado marjoritáriamente para aplicações de roteamento, embora possua o suporte de PF e IPFW ele é focado exclusivamente para roteamento com protocolos dinâmicos como BGP e OSPF. O PFSense embora cumpra perfeitamente o papel de roteador o foco do projeto é firewall com PF onde pode se usar o dumynet junto com o IPFW para usar o WF2Q no enfileiramento. Em resumo BSDRP é otimizado para roteamento e PFSense otimizado para funções de firewall, ambos podem fazer o papel que deseja ? sim, fica a seu critério. Ficou meio complicado compreender se o seu ambiente é roteamento dinâmico ( BGP ou OSPF, normalmente usado em carrier, provedores e datacenter ) ou é roteamento estático junto com nat ( o mais comum, empresas de segmentos de serviços normalmente não relacionados a TI ) , a partir daqui irei considerar o segundo cenário. Recomendaria o PFSense pelos motivos abaixo. -> Gerenciamento de regras de filtragem através da web, gerenciar um arquivo de 1000 a 2000 regras na CLI tendem a ser um pouco frustante, parece absurdo mais em ambientes corporativos a quantidade de regras cresce continuamente. -> Suporte a enfileiramente de trafégo utilizando o Altq, pode se usar o dumynet através do IPFW, contudo perde-se a facilidade da interface web. -> Ampliação com outras funcionalidades que em um ambiente corporativo nos dias atuais são requeridas como IDS/IPS, proxy http/ftp autenticado integrado com AD/Samba, controle de acesso dos usuários a internet, servidor cache DNS, relatórios de utilização da Internet e tudo isso gerenciável através da interface Web e não como normalmente era feito até 2008 quando os appliance começaram a se popularizarem e tudo tinha que ser através de edição direta do arquivo de configuração de cada aplicação, isso otimiza o tempo de uma forma incalculavel. -> Documentação e canais de ajuda já estão maduros para conseguir orientar ou ajudar a resolver um problema ( não sei quanto ao BSDRP pois não precisei de orientação ). -> Não é colocado como mais um software modinha de geek onde depois de alguns anos, as vezes meses, encerra o desenvolvimento deixando os usuários orfãos. -> Ótima compatibilidade com hardware modestos, frizo que hardware modestos não é sinonimo de hardware porcaria ( estarei explicando na outra duvida sua ). Segunda duvida, relacionado a utilização de proxy. O Proxy http não é bem uma camada de segurança sentido internet -> intranet e sim o oposto, intranet -> internet, sua principal função é otimizar a entrega da informações que usam protocolos http/ftp ( exclusivamente ) e que não estejam criptografados, pode-se integrar o proxy com um anti-virus ( amavis ) e ai você terá uma ótima ferramenta ASF e se integrar ele com o squidguard/dansguard permitirá controlar melhor o que os funcionários da empresa poderá acessar e não esquece que para analisar como está o trafego há o sarg e o lightsquid com excelentes relatórios. O Proxy irá aumentar a sua segurança, depende claramente da forma que implantou, se foi só o proxy cache sem autenticação e sem integração com outras aplicações então não, ele será apenas um repositorio de informações constantemente acessadas mais proxima do usuário que a acessa. Por outro lado se usar ele junto com as demais ferramentas que indiquei acima ele se tornará um ótimo aliado no controle de informações que os funcionários acessa na internet, principalmente se usar o squidguard com uma politica padrão fechada, dá trabalho no inicio para configurar mais com o passar do tempo tende a diminuir as interações e os falsos/positivos. Terceira duvida, quanto a utiliza o trafego sem interceptação de trafego "cacheavel". Alem de garantir a comunicação fim-a-fim que é proposto pelo protocolo IP e diminuir a dor de cabeça com protocolos como o SIP e o FTP não há nenhuma vantagem a mais, na
Re: [FUG-BR] RES: off topic Hosting para hospedagem
Em 07/03/2016 00:12, Renato Frederick escreveu: -- :UNI>> Paulo Henrique. Obrigado por responder, Paulo. São aproximadamente 100 clientes com umas 1100 contas de e-mails. Meu HD atual de 250GB tá com 80% de utilização e crescendo (tenho 500GB -pensei que fosse 1TB- , dois HD´s DE 250, um backup do outro) Utilizo MTA-POSTFIX COM MYSQL E MAIA/DNS-BIND/WEB-APACHE/BANCO DE DADOS(MYSQL E POSTGRES)/FTP e trafego mensal em torno de 30GB, 5 IP´s. Tudo isto num Celeron E Dual core e 2GB de RAM. Minha dúvida então é: Baseado no que descrevi acima, uma mqna virtualizada me atende? (em termos de estabilidade) Ou tem que ser um server dedicado? Se server dedicado ou virtualizada, tens alguma sugestão? Gostei muito dos preços do www.server4you.com porém não vi o FREEBSD disponível e não sei se atende o que preciso. []´s Paulo Quartieri - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Posso dar um “pitaco” na conversa? Todo pitaco é bem vindo !! Você tem uma equipe para administrar tudo isto? Manter postfix, bind, mysql, etc?? Pergunto porque a anos atrás, eu tinha muito tempo para manter 5 ou 6 server BSD com qmail, vpopmail, bind, etc, tudo feito a mão e mantido… Só que depois de um tempo, meu tempo livre começou a ficar ocupado e eu não conseguia atender a estas demandas. Daí, abri mão do BSD que tanto gosto e fui para CPANEL, que eu tinha MUITO preconceito. Nesse tempo que começou a ficar critico o tempo disponivel poderia ter contratado um analista de sistema e treinado o camarada para ajudar, é uma tendencia todo ambiente de TI crescer quando a empresa não venha a falir. Daí, pago hoje alguns dólares de licença CPANEL, rodando em VPS e eles fazem o trabalho pesado de manter todo o sistema. Eu me preocupo em atender o usuário final(coisas do tipo, o cara configurou outlook errado…) Eu gostei muito do Cpainel, tem algumas coisas chatas e é meio complicado até se adaptar que não é mais feito na mão, mesma coisa com o PFSense, no inicio tive sérios problemas de adaptabilidade. Servidores FrontEnd quando é algo muito específico que eu acho que o BSD vai se dar melhor(TOMCAT, clientes VIP), eu uso vmware on the cloud, virtualizando um BSD. Daí eu mesmo compilo apache, tomcat, etc.. Resumo…. se for o feijão com arroz de hospedar email, página html/php corporativa, empurro tudo no cpanel. Se for algo mais TOP, coloco um BSD. Agora com relação a hosting, eu coloco tudo fora e pago em dólar, é o alto preço a se pagar pela estabilidade. Aqui no Brasil se consegue estabilidade só que o preço será duas a tres vezes maiores que o lá de fora. Att. []s ——— Renato Frederick Consultor em TI http://about.me/renatofrederick Skype: renatofrederick +55 31 99123 - 3006 +55 31 2523 - 0686 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- :UNI>https://www.unixbsd.com.br <>- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
