Re: [FUG-BR] Tproxy no FreeBSD
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Resumindo tudo: 1) Tproxy: pelo que vi não é um patch do Squid, como eu pensava, é do Linux. Aí vai ser complicado. 2) Squid em provedores: também gostaria de tirar ele daqui, mas ainda preciso fazer experiências do consumo de banda com e sem Squid. - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIBjlKXL+vuN2d7ZwRArUlAJ481/t6KBGJwMsEVSPaRCR1xtyOPgCgggmi 04mzkQvyoS78Ge4WVBKaSRw= =W6lT -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
> -Original Message- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On > Behalf Of Frederico Terra Boechat > Sent: Wednesday, April 16, 2008 5:04 PM > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Subject: Re: [FUG-BR] Tproxy no FreeBSD > > Sem duvidas. > > Mas e no caso dos provedores que nao dispoem de milhares de dolares > para investir numa solucao dessas, que sem duvida alguma sao excelentes? > > Ai o tal Squid vai ter que atender, ne? Se os 20% de economia justificarem os pontos levantados, sim. > > Gente, sao dois mundos diferentes, o das grandes redes e os de > provedores pequenos, que suam para cponseguir tirar lucro. > Mas a relação custo X benefício não muda. > Uol, Globo.com, etc sao empresas que podem e devem investir em > appliances. Nao por ser appliance, pode ser até um PC montado, desde que não gere prejuízo. > > Enquanto isso, eu me viro com meu Squid, que felizmente tem downtime > bem baixo (so ganha reboot pra patch ou atualizacao), raramente ganha > purge de cache e com um hardware poucas vezes vira ponto de falha. > Então no seu caso talvez nem o tproxy seja necessário para você. > Mas obvio que acontece, e eh obvio que eu gostaria te ter uma > appliance desses nas maos. Todo mundo sempre quer mais, hehehee. Mas já vi casos contrários também, que appliances caros devido a mal planejamento de implantação ou de operação, deram mais prejuízo que um "simples" squid/freebsd/pentium. Mas aí já vira offtopic do assunto original. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
Sem duvidas. Mas e no caso dos provedores que nao dispoem de milhares de dolares para investir numa solucao dessas, que sem duvida alguma sao excelentes? Ai o tal Squid vai ter que atender, ne? Gente, sao dois mundos diferentes, o das grandes redes e os de provedores pequenos, que suam para cponseguir tirar lucro. Uol, Globo.com, etc sao empresas que podem e devem investir em appliances. Enquanto isso, eu me viro com meu Squid, que felizmente tem downtime bem baixo (so ganha reboot pra patch ou atualizacao), raramente ganha purge de cache e com um hardware poucas vezes vira ponto de falha. Mas obvio que acontece, e eh obvio que eu gostaria te ter uma appliance desses nas maos. Frederico Boechat Em 16/04/2008, às 16:53, Renato Frederick escreveu: > Klaus, muito explicativo seu email, sanou minha dúvida completamente. > > Nunca trabalhei diretamente com o BlueCoat, mas vi considerações muito > positivas dele. > > Com certeza um provedor de grande porte, usando uma solução de alto > custo > como você citou, que possui um downtime baixo, em dias típicos de > muito > tráfego(Windows Update, nova versão de MSN, etc), justifica a > economia. > > O importante é que isto fique de maneira mais transparente possível > para a > ponta, o que com o squid, ainda não o é. Principalmente para > aplicações que > rodam na porta 80 e que não sejam HTTP. > > > > >> -Original Message- >> From: [EMAIL PROTECTED] [mailto:freebsd- >> [EMAIL PROTECTED] On >> Behalf Of Klaus Schneider >> Sent: Wednesday, April 16, 2008 4:41 PM >> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) >> Subject: Re: [FUG-BR] Tproxy no FreeBSD >> >> Cache Flow não existe mais, agora é BlueCoat. Estou com um destes >> aqui >> para >> testes, é muito bom, mas deixa a desejar no quesito "economia de >> banda". >> >> Passaram-se os dias, a performance dele ficou estável, com uma >> economia >> real >> de 8 a 12%. >> O mais interessante nesse tipo de appliances/proxyes é o controle de >> conteúdo e proteção contra vírus, que aliás é extremamente >> eficiente e de >> fácil manutenção. >> >> No meu ponto de vista, não colocaria squid para clientes de um >> provedor >> simplismente para "otimizar" banda. Vou citar apenas 4: >> >> 1. Segurança >> 2. Ponto de falha adicional. >> 3. TCO Alto(requer manutenção periódica, como por ex: clientes >> reclamando >> que tal site não estão funcionando, fazer purge no cache) comparado >> com os >> ganhos com economia de banda. >> 4. Três horas com o seu squid fora, vai lhe causar prejuízo maior >> que 20% >> de >> economia de banda. >> >> >> Os grandes aqui no Brasil, usam sim appliances, mas não é um >> "squidzinho" >> qualquer... São softwares extremamente elaborados, com alta >> capacidade e >> redundância tripla ou maior. Não é atoa que esses equipamentos custam >> alguns >> milhares de dólares. >> >> Já a minha opinião sobre esse assunto é diferente quanto a uso do >> squid >> para >> uma rede em uma empresa que quer controlar o acesso dos seus >> funcionários, >> mas ainda assim, se pudesse optar entre um appliance e um squid, >> optaria >> pelo appliance, sem pensar duas vezes. >> > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
Klaus, muito explicativo seu email, sanou minha dúvida completamente. Nunca trabalhei diretamente com o BlueCoat, mas vi considerações muito positivas dele. Com certeza um provedor de grande porte, usando uma solução de alto custo como você citou, que possui um downtime baixo, em dias típicos de muito tráfego(Windows Update, nova versão de MSN, etc), justifica a economia. O importante é que isto fique de maneira mais transparente possível para a ponta, o que com o squid, ainda não o é. Principalmente para aplicações que rodam na porta 80 e que não sejam HTTP. > -Original Message- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On > Behalf Of Klaus Schneider > Sent: Wednesday, April 16, 2008 4:41 PM > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Subject: Re: [FUG-BR] Tproxy no FreeBSD > > Cache Flow não existe mais, agora é BlueCoat. Estou com um destes aqui > para > testes, é muito bom, mas deixa a desejar no quesito "economia de banda". > > Passaram-se os dias, a performance dele ficou estável, com uma economia > real > de 8 a 12%. > O mais interessante nesse tipo de appliances/proxyes é o controle de > conteúdo e proteção contra vírus, que aliás é extremamente eficiente e de > fácil manutenção. > > No meu ponto de vista, não colocaria squid para clientes de um provedor > simplismente para "otimizar" banda. Vou citar apenas 4: > > 1. Segurança > 2. Ponto de falha adicional. > 3. TCO Alto(requer manutenção periódica, como por ex: clientes reclamando > que tal site não estão funcionando, fazer purge no cache) comparado com os > ganhos com economia de banda. > 4. Três horas com o seu squid fora, vai lhe causar prejuízo maior que 20% > de > economia de banda. > > > Os grandes aqui no Brasil, usam sim appliances, mas não é um "squidzinho" > qualquer... São softwares extremamente elaborados, com alta capacidade e > redundância tripla ou maior. Não é atoa que esses equipamentos custam > alguns > milhares de dólares. > > Já a minha opinião sobre esse assunto é diferente quanto a uso do squid > para > uma rede em uma empresa que quer controlar o acesso dos seus funcionários, > mas ainda assim, se pudesse optar entre um appliance e um squid, optaria > pelo appliance, sem pensar duas vezes. > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
Cache Flow não existe mais, agora é BlueCoat. Estou com um destes aqui para testes, é muito bom, mas deixa a desejar no quesito "economia de banda". Passaram-se os dias, a performance dele ficou estável, com uma economia real de 8 a 12%. O mais interessante nesse tipo de appliances/proxyes é o controle de conteúdo e proteção contra vírus, que aliás é extremamente eficiente e de fácil manutenção. No meu ponto de vista, não colocaria squid para clientes de um provedor simplismente para "otimizar" banda. Vou citar apenas 4: 1. Segurança 2. Ponto de falha adicional. 3. TCO Alto(requer manutenção periódica, como por ex: clientes reclamando que tal site não estão funcionando, fazer purge no cache) comparado com os ganhos com economia de banda. 4. Três horas com o seu squid fora, vai lhe causar prejuízo maior que 20% de economia de banda. Os grandes aqui no Brasil, usam sim appliances, mas não é um "squidzinho" qualquer... São softwares extremamente elaborados, com alta capacidade e redundância tripla ou maior. Não é atoa que esses equipamentos custam alguns milhares de dólares. Já a minha opinião sobre esse assunto é diferente quanto a uso do squid para uma rede em uma empresa que quer controlar o acesso dos seus funcionários, mas ainda assim, se pudesse optar entre um appliance e um squid, optaria pelo appliance, sem pensar duas vezes. Em 16/04/08, Frederico Terra Boechat <[EMAIL PROTECTED]> escreveu: > > Nao eh o Cache F;low nao? > > eu o vi rodando uma vez, vinha rodando SunOS e um array de 9 discos > SCSI na epoca > > Performance boa mas hardware fraco. Uma pena, > > E que eu lembre, nao tinha essa coisa de aparecer o ip do servidor nao. > > Frederico Boechat > Em 16/04/2008, às 15:24, c0re dumped escreveu: > > > >> Já ouvi boatos que usam um appliance que além de contar a franquia > >> faz > >> cache, mas nada comprovado. > > > > Sim, eles fazem, mas o intuito não é fazer cache, é controle de banda. > > Tem um cara que conheço que trabalhava na NET. Ele chegou a me dizer o > > nome do appliance uma vez, mas não me recordo. > > > > Depois que eles implantaram esse appliance, pelo menos aqui em > > Brasília, as conexões principalemente de programas p2p cairam > > assustadoramente. > > > > A Brasil Telecom faz o mesmo, principalmente com sites de streaming de > > vídeo. Dá até raiva tentar assistir um video no youtube usando uma > > conexao de (supostamente) 2m da BrT. > > > > > > -- > > http://www.webcrunchers.com/crunch/ > > > > http://www.myspace.com/whippersnappermusic > > http://www.purevolume.com/whippersnapper > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- /* * Klaus Schneider */ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
> Sim, eles fazem, mas o intuito não é fazer cache, é controle de banda. > Tem um cara que conheço que trabalhava na NET. Ele chegou a me dizer o > nome do appliance uma vez, mas não me recordo. > > Depois que eles implantaram esse appliance, pelo menos aqui em > Brasília, as conexões principalemente de programas p2p cairam > assustadoramente. > > A Brasil Telecom faz o mesmo, principalmente com sites de streaming de > vídeo. Dá até raiva tentar assistir um video no youtube usando uma > conexao de (supostamente) 2m da BrT. > OK. Realmente o shapper existe, para contorná-lo faço uma VPN e desvio o P2P por ela, funciona 100%. Mas fazem algum tipo cache será? Porque imagino que um "mega squid" para milhoes de assinantes com banda de no mínimo 2MB deva ter um armazenamento monstruoso e rápido, nao vai ser qualquer disquinho SATA, hehe! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
> Sim, eles fazem, mas o intuito não é fazer cache, é controle de banda. > Tem um cara que conheço que trabalhava na NET. Ele chegou a me dizer o > nome do appliance uma vez, mas não me recordo. > > Depois que eles implantaram esse appliance, pelo menos aqui em > Brasília, as conexões principalemente de programas p2p cairam > assustadoramente. > > A Brasil Telecom faz o mesmo, principalmente com sites de streaming de > vídeo. Dá até raiva tentar assistir um video no youtube usando uma > conexao de (supostamente) 2m da BrT. > OK. Realmente o shapper existe, para contorná-lo faço uma VPN e desvio o P2P por ela, funciona 100%. Mas fazem algum tipo cache será? Porque imagino que um "mega squid" para milhoes de assinantes com banda de no mínimo 2MB deva ter um armazenamento monstruoso e rápido, nao vai ser qualquer disquinho SATA, hehe! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
> > Né não. O FreeRADIUS guarda tudo no MySQL. Por isso com o IP quente que > o usuário estava usando no dia, eu poderia dar um SELECT apropriado pra > pegar o usuário que estava conectado. > > - -- Realmente, igual no acesso discado que salvávamos os telefones de origem, na era préhistórica da rede, hehe! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
> > Né não. O FreeRADIUS guarda tudo no MySQL. Por isso com o IP quente que > o usuário estava usando no dia, eu poderia dar um SELECT apropriado pra > pegar o usuário que estava conectado. > > - -- Realmente, igual no acesso discado que salvávamos os telefones de origem, na era préhistórica da rede, hehe! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
Nao eh o Cache F;low nao? eu o vi rodando uma vez, vinha rodando SunOS e um array de 9 discos SCSI na epoca Performance boa mas hardware fraco. Uma pena, E que eu lembre, nao tinha essa coisa de aparecer o ip do servidor nao. Frederico Boechat Em 16/04/2008, às 15:24, c0re dumped escreveu: >> Já ouvi boatos que usam um appliance que além de contar a franquia >> faz >> cache, mas nada comprovado. > > Sim, eles fazem, mas o intuito não é fazer cache, é controle de banda. > Tem um cara que conheço que trabalhava na NET. Ele chegou a me dizer o > nome do appliance uma vez, mas não me recordo. > > Depois que eles implantaram esse appliance, pelo menos aqui em > Brasília, as conexões principalemente de programas p2p cairam > assustadoramente. > > A Brasil Telecom faz o mesmo, principalmente com sites de streaming de > vídeo. Dá até raiva tentar assistir um video no youtube usando uma > conexao de (supostamente) 2m da BrT. > > > -- > http://www.webcrunchers.com/crunch/ > > http://www.myspace.com/whippersnappermusic > http://www.purevolume.com/whippersnapper > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Renato Frederick wrote: |> Guardo logs de três meses, porque log de squid em provedor cresce |> absurdamente. A carta que recebi fala de um acesso feito há um ano atrás. Né não. O FreeRADIUS guarda tudo no MySQL. Por isso com o IP quente que o usuário estava usando no dia, eu poderia dar um SELECT apropriado pra pegar o usuário que estava conectado. - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIBhvPXL+vuN2d7ZwRAvfjAJwPK56CFnNMt4mFXBcAWZ2BHejFkQCgv7H4 ctQv5jVc8P+j75AGzOWihTk= =gz/x -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 c0re dumped wrote: | Pois é, mas policial nenhum vai penalizar você por que um cara acessou | teu servidor web por um proxy que não armazena logs. O que vc tem que | oferecer pra eles é o IP da máquina que acessou e o que foi acessado e | ponto. | | Se tem um servidor de proxy anonimo do outo lado do mundo que não usa | X-Forwarded e nem passa o endereço válido do proxy para que possa ser | rastreado, não é culpa sua. | | Se você é o cara que administra o proxy, é sua obrigação armazenar | esses logs por um peridodo (que se nao me engano é de 5 anos), e | associar o IP ao cliente. No caso, um cliente do meu provedor acessou a bendita página lá e a polícia recebeu (provavelmente do site) o IP do meu servidor. Agora eu tenho que saber quem é. Eu já respondi a carta dizendo que não poderia identificar, porque na época do acesso (exatamente 1 ano atrás), o provedor estava sem dono e só tenho logs desde a época que comprei ele até hoje. Foi aceito. Mas eu gostaria de poder colaborar com a polícia. - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIBhujXL+vuN2d7ZwRAgqhAJkBslC+I5+jaD08QMaM5kg4CArYGgCfRsDC isjKjjF63K2Hms5FIc2Gg4c= =8/OQ -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
> Já ouvi boatos que usam um appliance que além de contar a franquia faz > cache, mas nada comprovado. Sim, eles fazem, mas o intuito não é fazer cache, é controle de banda. Tem um cara que conheço que trabalhava na NET. Ele chegou a me dizer o nome do appliance uma vez, mas não me recordo. Depois que eles implantaram esse appliance, pelo menos aqui em Brasília, as conexões principalemente de programas p2p cairam assustadoramente. A Brasil Telecom faz o mesmo, principalmente com sites de streaming de vídeo. Dá até raiva tentar assistir um video no youtube usando uma conexao de (supostamente) 2m da BrT. -- http://www.webcrunchers.com/crunch/ http://www.myspace.com/whippersnappermusic http://www.purevolume.com/whippersnapper - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
> > Acredite, se vc deixar todos os seus usuários acessando diretamente, > mesmo que sejam liberadas somente as portas 80 e 443, com certeza seu > consumo de banda irá pro espaço, isso sem contar no aumento do número > de spywares, malwares e outras "doenças venéreas" de sites pornôs. > Me refiro a um provedor internet, nao uma empresa privada. Se o cliente paga, ele pode acessar sites pornô, na verdade, ele pode fazer o que quiser, dentro da lei(e quem faz fora da lei responderá, como ocorreu recentemente com os casos de orkut e afins). Com certeza uma empresa tem que ter normas e diretrizes, nas quais se englobam sites porno e outras ameaças, função que o SQUID exerce com maestria. A questão é que grandes provedores nao fazem cache ou se o fazem, até hoje não sei qual ferramenta. Ex, uso em casa VIRTUA, IP Válido e minha conexão nao sofre cache ou se sofre, o appliance é muito refinado, pois os downloads recentes sempre começam do zero, a 210KB/s e ponto a ponto, na porta 80, a conexão nao sofre desvio, pelo que pude tentar descobrir até hoje. Já ouvi boatos que usam um appliance que além de contar a franquia faz cache, mas nada comprovado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
> Isto para mim levanta outra questão: > > > Até quanto o squid justifica na relacao economia de banda X custos de > implantação. > > Com mais sites dinâmicos, menos informação sofrendo cache, mais o custo de > máquina e ponto de falha, tem horas que penso seriamente sobre tirá-lo. > > Atualmente, adoto a política de todo cliente "VIP" não usar squid e possuir > IP válido. Acredite, se vc deixar todos os seus usuários acessando diretamente, mesmo que sejam liberadas somente as portas 80 e 443, com certeza seu consumo de banda irá pro espaço, isso sem contar no aumento do número de spywares, malwares e outras "doenças venéreas" de sites pornôs. Ao meu ver, o maior benefício do Squid (e http proxies em geral), quando usado em combinação com um filtro de conteudo, é a segurança e controle que a solução proporciona. Contolar isso num Squid é muita mais prático e fácil que controlar esses acessos num CheckPoint ou PF. Imagine controlar esses acessos em um firewall e depois ainda colocar um F5 da vida aí pra fazer a filtragem... Por exemplo, não sei porque, mas o TRF, TRT, Serpro e outros orgãos do governo, *adoram* colocar aplicações http rodando em portas exóticas: 8822, 5533, e por aí vai. Imagina gerenciar isso num Firewall, depois fazer as configurações no filtro... mais cedo ou mais tarde o firewall fica parecendo uma peneira. Pessoalmente, prefiro distribuir esse tipo de acesso mais especilizado pra uma ferramenta que faço isso bem, no caso o Squid. Proxies ainda serão um serviço necessário por um bom tempo, mesmo com o advento do IPv6 (que ouço há pelo menos uns 4 anos que "em breve" irá substituir o IPv4). -- http://www.webcrunchers.com/crunch/ http://www.myspace.com/whippersnappermusic http://www.purevolume.com/whippersnapper - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
> c0re dumped wrote: > | Ué.. mas o X-Forwarded-For já faz isso. Basta que o server do outro > | lado leia e armazene o X-Forwarded do cabeçalho http. > > Pois é, mas na carta da polícia civil não tem o X-Forwarded-For. Pois é, mas policial nenhum vai penalizar você por que um cara acessou teu servidor web por um proxy que não armazena logs. O que vc tem que oferecer pra eles é o IP da máquina que acessou e o que foi acessado e ponto. Se tem um servidor de proxy anonimo do outo lado do mundo que não usa X-Forwarded e nem passa o endereço válido do proxy para que possa ser rastreado, não é culpa sua. Se você é o cara que administra o proxy, é sua obrigação armazenar esses logs por um peridodo (que se nao me engano é de 5 anos), e associar o IP ao cliente. -- http://www.webcrunchers.com/crunch/ http://www.myspace.com/whippersnappermusic http://www.purevolume.com/whippersnapper - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
> Guardo logs de três meses, porque log de squid em provedor cresce > absurdamente. A carta que recebi fala de um acesso feito há um ano atrás. > > Se bem que mesmo com IP válido, fornecido via DHCP ou PPPoE, saber qual cliente associou-se a este IP a 1 ano atrás seria complicado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
Já fiz o teste. De um link de 12MB, caiu para 10MB. Se for analisar o custo R$/MB, comercialmente, estes 20% são muito bem vindos. Mas, pelos fatos que expus, nesta situação, deixou de ser interessante. > -Original Message- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On > Behalf Of Frederico Terra Boechat > Sent: Wednesday, April 16, 2008 2:55 PM > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Subject: Re: [FUG-BR] Tproxy no FreeBSD > > A economia ainda justifica. Aqui nao temos preco de link, entao > qualquer economia eh uma grande vantagem. > > > Faz um teste, desative-o apenas e veja o impacto na sua rede. E avalie > se eh a hora de tira-lo ou nao. > > Sei que em alguns casos aqui na lista, deixa de ser vantagem. Para > outros como eu, eh muita vantagem ainda. > > Frederico Boechat > > Em 16/04/2008, às 14:37, Renato Frederick escreveu: > > > Isto para mim levanta outra questão: > > > > > > Até quanto o squid justifica na relacao economia de banda X custos de > > implantação. > > > > Com mais sites dinâmicos, menos informação sofrendo cache, mais o > > custo de > > máquina e ponto de falha, tem horas que penso seriamente sobre tirá- > > lo. > > > > Atualmente, adoto a política de todo cliente "VIP" não usar squid e > > possuir > > IP válido. > > > > Até o próprio NAT, para provedores, com o ipv6 vai se tornar outro > > ponto de > > dúvida. > > > > Se bem que AS nem tão caro ou complicado assim é... > > > > Abraços > > > >> -Original Message- > >> From: [EMAIL PROTECTED] [mailto:freebsd- > >> [EMAIL PROTECTED] On > >> Behalf Of Frederico Terra Boechat > >> Sent: Wednesday, April 16, 2008 2:12 PM > >> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > >> Subject: Re: [FUG-BR] Tproxy no FreeBSD > >> > >> Essa coisa de tproxy ta tornando dificilc a aceitacao de BSD em > >> alguns > >> cenarios, por conta de invasao , pedofilia, etc. Normalmente os > >> porvedores estao sendo notificados por questoes como essas e o ip que > >> aparece nao eh o do meliante. > >> > >> Pra quem trabalha com provedores, isso eh algo de suma importancia. > >> > >> Quem puder contribuir e fazer esse patch rolar no BSD vai ficar > >> famoso!!! > >> > >> Frederico Boechat > >> Em 16/04/2008, às 13:56, Renato Frederick escreveu: > >> > >>> Mas a URL é esta? > >>> > >>> http://sourceforge.net/projects/tproxy/ > >>> > >>> > >>> pelo que vi no código é algo diferente: > >>> > >>> /* > >>> * this is the simple tcp packet reflector, by tony kimball > >>> * > >>> * recommended compilation is > >>> * % gcc -O3 -fomit-frame-pointer -o tap tap.c > >>> * > >>> * recommended usage is > >>> * % tap -b serverhostname:serverportnumber localportnumber > >>> * > >>> * $Id: tproxy.c,v 1.2 2000/07/29 09:40:59 aminorex Exp $ > >>> */ > >>> > >>> > >>> O tproxy se nao me engano nao era um patch no kernel do linux, algo > >>> assim? > >>> > >>> > >>> > >>>> -Original Message- > >>>> From: [EMAIL PROTECTED] [mailto:freebsd- > >>>> [EMAIL PROTECTED] On > >>>> Behalf Of Eduardo Schoedler > >>>> Sent: Wednesday, April 16, 2008 1:43 PM > >>>> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > >>>> Subject: Re: [FUG-BR] Tproxy no FreeBSD > >>>> > >>>> Olá Renato e João Paulo. > >>>> > >>>> O tproxy é um patch que faz o squid requisitar com o IP do cliente > >>>> sim. > >>>> É como se fosse um spoof de ip. > >>>> > >>>> Abraços. > >>>> > >>>> > >>>> -- > >>>> From: "Renato Frederick" <[EMAIL PROTECTED]> > >>>> Subject: Re: [FUG-BR] Tproxy no FreeBSD > >>>> > >>>> Não, este é um projeto tipo "redir", para linux. > >>>> > >>>> > >>>> > >>>>> -Original Message- > >>>>> From: João Paulo Just > >>>>> Subject: Re: [FUG-BR] Tproxy no FreeBSD > >>>>> > >>>>> --
Re: [FUG-BR] Tproxy no FreeBSD
Hehehe, realmente. É que sou tão contra cache de clientes em provedor de qualquer tipo que sempre reclamo! :) Mas indiferente disto, o tproxy portado para o free seria mais um recurso bacana que teríamos. > > Se não me falha a memória, foi você mesmo que falou sobre isso em um > e-mail anteriormente. Seu e-mail me fez repensar isso tudo. > > - -- > João Paulo Just > Diretor Executivo - Justsoft Informática Ltda. > http://www.justsoft.com.br/ > - -- > Feira de Santana, BA, Brasil. > +55 75 8104 8473 > -BEGIN PGP SIGNATURE- > Version: GnuPG v1.4.6 (GNU/Linux) > Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org > > iD8DBQFIBhJJXL+vuN2d7ZwRAtbqAJ4sDqUrK9VUWDNDiG3VQ7pLMH+2IwCgmVLj > Z0DN9D3rAk5EL/RhGyoUv1o= > =Uolj > -END PGP SIGNATURE- > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 c0re dumped wrote: | Ué.. mas o X-Forwarded-For já faz isso. Basta que o server do outro | lado leia e armazene o X-Forwarded do cabeçalho http. Pois é, mas na carta da polícia civil não tem o X-Forwarded-For. | Além do mais, não entendi muito a aplicação prática, já que as pessoas | que estão atrás de um proxy geralmente usam RFC 1918, sendo o proxy o | único com o IP válido. Se tem o IP do proxy, fica fácil pegar o IP do | cliente através dos logs (supondo que o proxy é gerenciado por um | admin que tem o mínimo de noção de segurança) Guardo logs de três meses, porque log de squid em provedor cresce absurdamente. A carta que recebi fala de um acesso feito há um ano atrás. - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIBhQgXL+vuN2d7ZwRAmAPAKCb/vq7EGuFvwMWtk/g3bFNe1OKRwCdFKD4 0sAni7vtGzBbBzZwoysF/IQ= =7Sy7 -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
A economia ainda justifica. Aqui nao temos preco de link, entao qualquer economia eh uma grande vantagem. Faz um teste, desative-o apenas e veja o impacto na sua rede. E avalie se eh a hora de tira-lo ou nao. Sei que em alguns casos aqui na lista, deixa de ser vantagem. Para outros como eu, eh muita vantagem ainda. Frederico Boechat Em 16/04/2008, às 14:37, Renato Frederick escreveu: > Isto para mim levanta outra questão: > > > Até quanto o squid justifica na relacao economia de banda X custos de > implantação. > > Com mais sites dinâmicos, menos informação sofrendo cache, mais o > custo de > máquina e ponto de falha, tem horas que penso seriamente sobre tirá- > lo. > > Atualmente, adoto a política de todo cliente "VIP" não usar squid e > possuir > IP válido. > > Até o próprio NAT, para provedores, com o ipv6 vai se tornar outro > ponto de > dúvida. > > Se bem que AS nem tão caro ou complicado assim é... > > Abraços > >> -Original Message- >> From: [EMAIL PROTECTED] [mailto:freebsd- >> [EMAIL PROTECTED] On >> Behalf Of Frederico Terra Boechat >> Sent: Wednesday, April 16, 2008 2:12 PM >> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) >> Subject: Re: [FUG-BR] Tproxy no FreeBSD >> >> Essa coisa de tproxy ta tornando dificilc a aceitacao de BSD em >> alguns >> cenarios, por conta de invasao , pedofilia, etc. Normalmente os >> porvedores estao sendo notificados por questoes como essas e o ip que >> aparece nao eh o do meliante. >> >> Pra quem trabalha com provedores, isso eh algo de suma importancia. >> >> Quem puder contribuir e fazer esse patch rolar no BSD vai ficar >> famoso!!! >> >> Frederico Boechat >> Em 16/04/2008, às 13:56, Renato Frederick escreveu: >> >>> Mas a URL é esta? >>> >>> http://sourceforge.net/projects/tproxy/ >>> >>> >>> pelo que vi no código é algo diferente: >>> >>> /* >>> * this is the simple tcp packet reflector, by tony kimball >>> * >>> * recommended compilation is >>> * % gcc -O3 -fomit-frame-pointer -o tap tap.c >>> * >>> * recommended usage is >>> * % tap -b serverhostname:serverportnumber localportnumber >>> * >>> * $Id: tproxy.c,v 1.2 2000/07/29 09:40:59 aminorex Exp $ >>> */ >>> >>> >>> O tproxy se nao me engano nao era um patch no kernel do linux, algo >>> assim? >>> >>> >>> >>>> -Original Message- >>>> From: [EMAIL PROTECTED] [mailto:freebsd- >>>> [EMAIL PROTECTED] On >>>> Behalf Of Eduardo Schoedler >>>> Sent: Wednesday, April 16, 2008 1:43 PM >>>> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) >>>> Subject: Re: [FUG-BR] Tproxy no FreeBSD >>>> >>>> Olá Renato e João Paulo. >>>> >>>> O tproxy é um patch que faz o squid requisitar com o IP do cliente >>>> sim. >>>> É como se fosse um spoof de ip. >>>> >>>> Abraços. >>>> >>>> >>>> -- >>>> From: "Renato Frederick" <[EMAIL PROTECTED]> >>>> Subject: Re: [FUG-BR] Tproxy no FreeBSD >>>> >>>> Não, este é um projeto tipo "redir", para linux. >>>> >>>> >>>> >>>>> -Original Message- >>>>> From: João Paulo Just >>>>> Subject: Re: [FUG-BR] Tproxy no FreeBSD >>>>> >>>>> -BEGIN PGP SIGNED MESSAGE- >>>>> Hash: SHA1 >>>>> >>>>> Welkson Renny de Medeiros wrote: >>>>> | Aqui? >>>>> | http://sourceforge.net/projects/tproxy/ >>>>> >>>>> Esse é o mesmo tproxy que falaram que faz o Squid repassar IP de >>>>> origem? >>>>> >>>> >>>> - >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >>> - >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Renato Frederick wrote: | Isto para mim levanta outra questão: | | | Até quanto o squid justifica na relacao economia de banda X custos de | implantação. | | Com mais sites dinâmicos, menos informação sofrendo cache, mais o custo de | máquina e ponto de falha, tem horas que penso seriamente sobre tirá-lo. | | Atualmente, adoto a política de todo cliente "VIP" não usar squid e possuir | IP válido. | | Até o próprio NAT, para provedores, com o ipv6 vai se tornar outro ponto de | dúvida. | | Se bem que AS nem tão caro ou complicado assim é... Se não me falha a memória, foi você mesmo que falou sobre isso em um e-mail anteriormente. Seu e-mail me fez repensar isso tudo. - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIBhJJXL+vuN2d7ZwRAtbqAJ4sDqUrK9VUWDNDiG3VQ7pLMH+2IwCgmVLj Z0DN9D3rAk5EL/RhGyoUv1o= =Uolj -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
Isto para mim levanta outra questão: Até quanto o squid justifica na relacao economia de banda X custos de implantação. Com mais sites dinâmicos, menos informação sofrendo cache, mais o custo de máquina e ponto de falha, tem horas que penso seriamente sobre tirá-lo. Atualmente, adoto a política de todo cliente "VIP" não usar squid e possuir IP válido. Até o próprio NAT, para provedores, com o ipv6 vai se tornar outro ponto de dúvida. Se bem que AS nem tão caro ou complicado assim é... Abraços > -Original Message- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On > Behalf Of Frederico Terra Boechat > Sent: Wednesday, April 16, 2008 2:12 PM > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Subject: Re: [FUG-BR] Tproxy no FreeBSD > > Essa coisa de tproxy ta tornando dificilc a aceitacao de BSD em alguns > cenarios, por conta de invasao , pedofilia, etc. Normalmente os > porvedores estao sendo notificados por questoes como essas e o ip que > aparece nao eh o do meliante. > > Pra quem trabalha com provedores, isso eh algo de suma importancia. > > Quem puder contribuir e fazer esse patch rolar no BSD vai ficar > famoso!!! > > Frederico Boechat > Em 16/04/2008, às 13:56, Renato Frederick escreveu: > > > Mas a URL é esta? > > > > http://sourceforge.net/projects/tproxy/ > > > > > > pelo que vi no código é algo diferente: > > > > /* > > * this is the simple tcp packet reflector, by tony kimball > > * > > * recommended compilation is > > * % gcc -O3 -fomit-frame-pointer -o tap tap.c > > * > > * recommended usage is > > * % tap -b serverhostname:serverportnumber localportnumber > > * > > * $Id: tproxy.c,v 1.2 2000/07/29 09:40:59 aminorex Exp $ > > */ > > > > > > O tproxy se nao me engano nao era um patch no kernel do linux, algo > > assim? > > > > > > > >> -Original Message----- > >> From: [EMAIL PROTECTED] [mailto:freebsd- > >> [EMAIL PROTECTED] On > >> Behalf Of Eduardo Schoedler > >> Sent: Wednesday, April 16, 2008 1:43 PM > >> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > >> Subject: Re: [FUG-BR] Tproxy no FreeBSD > >> > >> Olá Renato e João Paulo. > >> > >> O tproxy é um patch que faz o squid requisitar com o IP do cliente > >> sim. > >> É como se fosse um spoof de ip. > >> > >> Abraços. > >> > >> > >> -- > >> From: "Renato Frederick" <[EMAIL PROTECTED]> > >> Subject: Re: [FUG-BR] Tproxy no FreeBSD > >> > >> Não, este é um projeto tipo "redir", para linux. > >> > >> > >> > >>> -Original Message- > >>> From: João Paulo Just > >>> Subject: Re: [FUG-BR] Tproxy no FreeBSD > >>> > >>> -BEGIN PGP SIGNED MESSAGE- > >>> Hash: SHA1 > >>> > >>> Welkson Renny de Medeiros wrote: > >>> | Aqui? > >>> | http://sourceforge.net/projects/tproxy/ > >>> > >>> Esse é o mesmo tproxy que falaram que faz o Squid repassar IP de > >>> origem? > >>> > >> > >> - > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
> Olá Renato e João Paulo. > > O tproxy é um patch que faz o squid requisitar com o IP do cliente sim. > É como se fosse um spoof de ip. Ué.. mas o X-Forwarded-For já faz isso. Basta que o server do outro lado leia e armazene o X-Forwarded do cabeçalho http. Além do mais, não entendi muito a aplicação prática, já que as pessoas que estão atrás de um proxy geralmente usam RFC 1918, sendo o proxy o único com o IP válido. Se tem o IP do proxy, fica fácil pegar o IP do cliente através dos logs (supondo que o proxy é gerenciado por um admin que tem o mínimo de noção de segurança) Agora, em proxies públicos isso não funciona, já que estes tipos de proxies ou são servidores mal configurados, ou máquinas que foram de certa forma ownadas e postas pra trabalhar a favor do "lado negro da força", ou mesmo servidores que foram projetados justamente pra "anonimizar" os acessos de pessoas com seguindas intenções (neste caso, não espere que os logs sejam guardados). A série 3 do squid não possui suporte ao X-Forwarded-For (por enquanto), mas as series 2.5, 2.6 e 2.7, sim. -- http://www.webcrunchers.com/crunch/ http://www.myspace.com/whippersnappermusic http://www.purevolume.com/whippersnapper - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
Desculpa Renato e João Paulo, Foi o primeiro link que vi, já fui postando... nunca usei isso... mas pelo que vi no GTER o link correto é esse: http://www.balabit.com/downloads/files/tproxy/ (espero que dessa vez seja ;-) Abraço, Welkson - Original Message - From: "Renato Frederick" <[EMAIL PROTECTED]> To: "'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'" Sent: Wednesday, April 16, 2008 1:56 PM Subject: Re: [FUG-BR] Tproxy no FreeBSD Mas a URL é esta? http://sourceforge.net/projects/tproxy/ pelo que vi no código é algo diferente: /* * this is the simple tcp packet reflector, by tony kimball * * recommended compilation is * % gcc -O3 -fomit-frame-pointer -o tap tap.c * * recommended usage is * % tap -b serverhostname:serverportnumber localportnumber * * $Id: tproxy.c,v 1.2 2000/07/29 09:40:59 aminorex Exp $ */ O tproxy se nao me engano nao era um patch no kernel do linux, algo assim? > -Original Message- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On > Behalf Of Eduardo Schoedler > Sent: Wednesday, April 16, 2008 1:43 PM > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Subject: Re: [FUG-BR] Tproxy no FreeBSD > > Olá Renato e João Paulo. > > O tproxy é um patch que faz o squid requisitar com o IP do cliente sim. > É como se fosse um spoof de ip. > > Abraços. > > > ---------------------- > From: "Renato Frederick" <[EMAIL PROTECTED]> > Subject: Re: [FUG-BR] Tproxy no FreeBSD > > Não, este é um projeto tipo "redir", para linux. > > > > > -Original Message- > > From: João Paulo Just > > Subject: Re: [FUG-BR] Tproxy no FreeBSD > > > > -BEGIN PGP SIGNED MESSAGE- > > Hash: SHA1 > > > > Welkson Renny de Medeiros wrote: > > | Aqui? > > | http://sourceforge.net/projects/tproxy/ > > > > Esse é o mesmo tproxy que falaram que faz o Squid repassar IP de origem? > > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Frederico Terra Boechat wrote: | Essa coisa de tproxy ta tornando dificilc a aceitacao de BSD em alguns | cenarios, por conta de invasao , pedofilia, etc. Normalmente os | porvedores estao sendo notificados por questoes como essas e o ip que | aparece nao eh o do meliante. | | Pra quem trabalha com provedores, isso eh algo de suma importancia. | | Quem puder contribuir e fazer esse patch rolar no BSD vai ficar | famoso!!! | | Frederico Boechat É isso que eu quero. Mas como o Renato disse, parece que não é esse código aí não. - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIBguzXL+vuN2d7ZwRAlR6AJ90Yh6C67Z6bOP3Rys9JoFVu1neGACePPNz lm05y3vwidXhP9+CK2FKYiA= =0Gk+ -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
Realmente, tproxy só vi (e fiz) funcionar em linux. Existe uma lista de discussão: https://lists.balabit.hu/mailman/listinfo/tproxy Abraços. -- From: "Frederico Terra Boechat" <[EMAIL PROTECTED]> Subject: Re: [FUG-BR] Tproxy no FreeBSD Essa coisa de tproxy ta tornando dificilc a aceitacao de BSD em alguns cenarios, por conta de invasao , pedofilia, etc. Normalmente os porvedores estao sendo notificados por questoes como essas e o ip que aparece nao eh o do meliante. Pra quem trabalha com provedores, isso eh algo de suma importancia. Quem puder contribuir e fazer esse patch rolar no BSD vai ficar famoso!!! Frederico Boechat Em 16/04/2008, às 13:56, Renato Frederick escreveu: > Mas a URL é esta? > > http://sourceforge.net/projects/tproxy/ > > > pelo que vi no código é algo diferente: > > /* > * this is the simple tcp packet reflector, by tony kimball > * > * recommended compilation is > * % gcc -O3 -fomit-frame-pointer -o tap tap.c > * > * recommended usage is > * % tap -b serverhostname:serverportnumber localportnumber > * > * $Id: tproxy.c,v 1.2 2000/07/29 09:40:59 aminorex Exp $ > */ > > > O tproxy se nao me engano nao era um patch no kernel do linux, algo > assim? > > > >> -Original Message- >> From: [EMAIL PROTECTED] [mailto:freebsd- >> [EMAIL PROTECTED] On >> Behalf Of Eduardo Schoedler >> Sent: Wednesday, April 16, 2008 1:43 PM >> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) >> Subject: Re: [FUG-BR] Tproxy no FreeBSD >> >> Olá Renato e João Paulo. >> >> O tproxy é um patch que faz o squid requisitar com o IP do cliente >> sim. >> É como se fosse um spoof de ip. >> >> Abraços. >> >> >> -- >> From: "Renato Frederick" <[EMAIL PROTECTED]> >> Subject: Re: [FUG-BR] Tproxy no FreeBSD >> >> Não, este é um projeto tipo "redir", para linux. >> >> >> >>> -Original Message- >>> From: João Paulo Just >>> Subject: Re: [FUG-BR] Tproxy no FreeBSD >>> >>> -BEGIN PGP SIGNED MESSAGE- >>> Hash: SHA1 >>> >>> Welkson Renny de Medeiros wrote: >>> | Aqui? >>> | http://sourceforge.net/projects/tproxy/ >>> >>> Esse é o mesmo tproxy que falaram que faz o Squid repassar IP de >>> origem? >>> >> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
Veja meu outro e-mail. Existem links e explicações sobre o Tproxy. Abraço. -- From: "Renato Frederick" <[EMAIL PROTECTED]> Sent: Wednesday, April 16, 2008 1:56 PM To: "'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'" Subject: Re: [FUG-BR] Tproxy no FreeBSD Mas a URL é esta? http://sourceforge.net/projects/tproxy/ pelo que vi no código é algo diferente: /* * this is the simple tcp packet reflector, by tony kimball * * recommended compilation is * % gcc -O3 -fomit-frame-pointer -o tap tap.c * * recommended usage is * % tap -b serverhostname:serverportnumber localportnumber * * $Id: tproxy.c,v 1.2 2000/07/29 09:40:59 aminorex Exp $ */ O tproxy se nao me engano nao era um patch no kernel do linux, algo assim? > -Original Message- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On > Behalf Of Eduardo Schoedler > Sent: Wednesday, April 16, 2008 1:43 PM > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Subject: Re: [FUG-BR] Tproxy no FreeBSD > > Olá Renato e João Paulo. > > O tproxy é um patch que faz o squid requisitar com o IP do cliente sim. > É como se fosse um spoof de ip. > > Abraços. > > > ---------------------- > From: "Renato Frederick" <[EMAIL PROTECTED]> > Subject: Re: [FUG-BR] Tproxy no FreeBSD > > Não, este é um projeto tipo "redir", para linux. > > > > > -Original Message- > > From: João Paulo Just > > Subject: Re: [FUG-BR] Tproxy no FreeBSD > > > > -BEGIN PGP SIGNED MESSAGE- > > Hash: SHA1 > > > > Welkson Renny de Medeiros wrote: > > | Aqui? > > | http://sourceforge.net/projects/tproxy/ > > > > Esse é o mesmo tproxy que falaram que faz o Squid repassar IP de origem? > > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
Essa coisa de tproxy ta tornando dificilc a aceitacao de BSD em alguns cenarios, por conta de invasao , pedofilia, etc. Normalmente os porvedores estao sendo notificados por questoes como essas e o ip que aparece nao eh o do meliante. Pra quem trabalha com provedores, isso eh algo de suma importancia. Quem puder contribuir e fazer esse patch rolar no BSD vai ficar famoso!!! Frederico Boechat Em 16/04/2008, às 13:56, Renato Frederick escreveu: > Mas a URL é esta? > > http://sourceforge.net/projects/tproxy/ > > > pelo que vi no código é algo diferente: > > /* > * this is the simple tcp packet reflector, by tony kimball > * > * recommended compilation is > * % gcc -O3 -fomit-frame-pointer -o tap tap.c > * > * recommended usage is > * % tap -b serverhostname:serverportnumber localportnumber > * > * $Id: tproxy.c,v 1.2 2000/07/29 09:40:59 aminorex Exp $ > */ > > > O tproxy se nao me engano nao era um patch no kernel do linux, algo > assim? > > > >> -Original Message- >> From: [EMAIL PROTECTED] [mailto:freebsd- >> [EMAIL PROTECTED] On >> Behalf Of Eduardo Schoedler >> Sent: Wednesday, April 16, 2008 1:43 PM >> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) >> Subject: Re: [FUG-BR] Tproxy no FreeBSD >> >> Olá Renato e João Paulo. >> >> O tproxy é um patch que faz o squid requisitar com o IP do cliente >> sim. >> É como se fosse um spoof de ip. >> >> Abraços. >> >> >> -- >> From: "Renato Frederick" <[EMAIL PROTECTED]> >> Subject: Re: [FUG-BR] Tproxy no FreeBSD >> >> Não, este é um projeto tipo "redir", para linux. >> >> >> >>> -Original Message- >>> From: João Paulo Just >>> Subject: Re: [FUG-BR] Tproxy no FreeBSD >>> >>> -BEGIN PGP SIGNED MESSAGE- >>> Hash: SHA1 >>> >>> Welkson Renny de Medeiros wrote: >>> | Aqui? >>> | http://sourceforge.net/projects/tproxy/ >>> >>> Esse é o mesmo tproxy que falaram que faz o Squid repassar IP de >>> origem? >>> >> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
Mas a URL é esta? http://sourceforge.net/projects/tproxy/ pelo que vi no código é algo diferente: /* * this is the simple tcp packet reflector, by tony kimball * * recommended compilation is * % gcc -O3 -fomit-frame-pointer -o tap tap.c * * recommended usage is * % tap -b serverhostname:serverportnumber localportnumber * * $Id: tproxy.c,v 1.2 2000/07/29 09:40:59 aminorex Exp $ */ O tproxy se nao me engano nao era um patch no kernel do linux, algo assim? > -Original Message- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On > Behalf Of Eduardo Schoedler > Sent: Wednesday, April 16, 2008 1:43 PM > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Subject: Re: [FUG-BR] Tproxy no FreeBSD > > Olá Renato e João Paulo. > > O tproxy é um patch que faz o squid requisitar com o IP do cliente sim. > É como se fosse um spoof de ip. > > Abraços. > > > -- > From: "Renato Frederick" <[EMAIL PROTECTED]> > Subject: Re: [FUG-BR] Tproxy no FreeBSD > > Não, este é um projeto tipo "redir", para linux. > > > > > -Original Message- > > From: João Paulo Just > > Subject: Re: [FUG-BR] Tproxy no FreeBSD > > > > -BEGIN PGP SIGNED MESSAGE- > > Hash: SHA1 > > > > Welkson Renny de Medeiros wrote: > > | Aqui? > > | http://sourceforge.net/projects/tproxy/ > > > > Esse é o mesmo tproxy que falaram que faz o Squid repassar IP de origem? > > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
Olá Renato e João Paulo. O tproxy é um patch que faz o squid requisitar com o IP do cliente sim. É como se fosse um spoof de ip. Abraços. -- From: "Renato Frederick" <[EMAIL PROTECTED]> Subject: Re: [FUG-BR] Tproxy no FreeBSD Não, este é um projeto tipo "redir", para linux. > -Original Message- > From: João Paulo Just > Subject: Re: [FUG-BR] Tproxy no FreeBSD > > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > Welkson Renny de Medeiros wrote: > | Aqui? > | http://sourceforge.net/projects/tproxy/ > > Esse é o mesmo tproxy que falaram que faz o Squid repassar IP de origem? > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
Não, este é um projeto tipo "redir", para linux. > -Original Message- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On > Behalf Of João Paulo Just > Sent: Wednesday, April 16, 2008 9:11 AM > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > Subject: Re: [FUG-BR] Tproxy no FreeBSD > > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > Welkson Renny de Medeiros wrote: > | Aqui? > | http://sourceforge.net/projects/tproxy/ > > Esse é o mesmo tproxy que falaram que faz o Squid repassar IP de origem? > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Welkson Renny de Medeiros wrote: | Aqui? | http://sourceforge.net/projects/tproxy/ Esse é o mesmo tproxy que falaram que faz o Squid repassar IP de origem? - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIBezbXL+vuN2d7ZwRArjLAKDF86Ljxi+lgMeUOF3UAyp2b9aCggCgkH/D LX6lVuwENR5HfMRE6xWWIko= =L5Hi -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Welkson Renny de Medeiros wrote: | Aqui? | http://sourceforge.net/projects/tproxy/ Valeu :) - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIBewAXL+vuN2d7ZwRAtWjAKCOmZcDKTb44N/+w5qDVC/FzC+yUwCeLN/X fkZLBcVi5z/slAmxo/uihSM= =M0jx -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Nilton Jose Rizzo wrote: |> Acho que não deve existir "um cõdigo" específico, ja que o patch |>é um arquivo diff, não? Então, preciso dos diffs. - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIBev1XL+vuN2d7ZwRAt+AAKC64o2E+fLy6DcWJY+9o3qHTV7OcwCfenXj 2zmf8VJuf1zCc3NJwysGjnE= =qJdx -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
O Tproxy tem 4 versões, dependendo do kernel que você for utilizar. E-mail do pessoal da Tproxy: "1. There are at least 3 different versions of tproxy kernel patches. Each tproxy kernel patch is quite strongly tied to a kernel version, (A) Version Tproxy2 = For kernel 2.6.18 URL: http://www.balabit.hu/downloads/files/tproxy/obsolete/ (B) Version Tproxy 4.0.x For kernel 2.6.22 URL: http://www.balabit.hu/downloads/files/tproxy/ (C) Version Tproxy-4.1.0 = For kernel 2.6.25 URL: The "official website" is for kernel <=2.6.24 http://people.netfilter.org/hidden/tproxy but the actual version of tproxy 4.1 for 2.6.25 is here: http://people.balabit.hu/panther/tproxy The kernel patch might work with nearby kernel versions, for example, tproxy2 might work with kernel 2.6.19; however it will not work will kernel 2.6.22 ( unless you port it )." Existem ainda patches para o IPTABLES e para o próprio squid. O suporte que já existe no squid só funciona com tproxy2. Se você quiser utilizar as versões B ou C, teria de aplicar um outro patch. Veja: "2. Do not confuse tproxy kernel patch mentioned above with squid user-space patches. So far the Squid ( 3.0 and 2.6 ) is only supporting on tproxy2 - the userspace code is integrated. If you managed to compile Squid without changing the source, perhaps with only minor changes in header files, meaning you are likely either did not successfully link in tproxy support or at best it is using tproxy2, and it will not work with tproxy-4.0.x and tproxy-4.1.0 kernel counterpart. However, if you patch the squid source, you should be able to get squid to work with tproxy-4.0.x and tproxy-4.1.0. You can look through the archive of this maillist to look at how to port squid versions to support tproxy-4.0.x and tproxy-4.1.0. Most of the patches floating around are not fully satisfactory, but it could work, at least; but perhaps it will require you to have some programming knowledge." Considerações sobre o IPTABLES: "3. All the tproxy kernel patches are not compatible with one another. Each requires it's own way of setup and usage. So before doing anything, check if you have gotten the correct info/tproxy version/patches. These are some of the info :- (A) Version Tproxy2 The Squid documentation recommends this :- ebtables -t broute -A BROUTING -p ipv4 --ip-protocol tcp \ --ip-destination-port 80 -j redirect --redirect-target ACCEPT This rule will "broute" bridge traffic from br0 to netfilter. The iptables rule will bring http traffic into local process :- iptables -t tproxy -A PREROUTING -i br0 -p tcp --dport 80 \ -j TPROXY --on-port 3128 To get SNAT working for tproxy2, there is a need for double NAT, and here was the discussion and patch :- https://lists.balabit.hu/pipermail/tproxy/2007-October/000537.html (B) Version tproxy-4.0.x Requires additional patches for SNAT and FWMARK. Some hurdles with bridge. Bridge problem is to do with packets must be marked PACKET_HOST when heading for br0 as discussed in this tproxy maillist. There have been people saying they will post the patch for it but yet to date, there is none. This problem can be worked around by brouting the traffic into the real devices instead of br0 :- INSIDE_DEV=eth0 OUTSIDE_DEV=eth1 ebtables -t broute -A BROUTING -i $INSIDE_DEV -p ipv4 \ --ip-protocol tcp --ip-destination-port 80 \ -j redirect --redirect-target DROP ebtables -t broute -A BROUTING -i $OUTSIDE_DEV -p ipv4 \ --ip-protocol tcp --ip-source-port 80 \ -j redirect --redirect-target DROP Please note for real interfaces, it's redirect-target DROP and not redirect-target ACCEPT, while doing it on br0, it's redirect-target ACCEPT ! Remember to adjust your iptables rule accordingly since now packets entering and leaving real interfaces instead of br0. Example :- iptables -t tproxy -A PREROUTING -i $INSIDE_DEV \ -p tcp --dport 80 -j TPROXY --on-port 3128 For tproxy-4.0.3 remember to apply the additional kernel patches mentioned in this maillist or else the kernel will panic accessing null pointer. (C) Version tproxy-4.1.0 The ebtables/bridge notes above is equally applicable. However the iptables rules are totally different. Something like this will be required :- iptables -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY \ --tproxy-mark 0x1/0x1 -on-port 3128 iptables -t mangle -N DIVERT iptables -t mangle -A PREROUTING -p
Re: [FUG-BR] Tproxy no FreeBSD
Aqui? http://sourceforge.net/projects/tproxy/ -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: "João Paulo Just" <[EMAIL PROTECTED]> To: "[lista] FreeBSD FUG" Sent: Wednesday, April 16, 2008 5:52 AM Subject: [FUG-BR] Tproxy no FreeBSD -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Olá, lista. Vi em e-mails anteriores que pra repassar IP de origem no Squid era preciso usar o patch Tproxy, pelo menos no Linux, pois ele não foi portado pra FreeBSD ainda. Procurei o fonte desse patch pra dar uma olhadinha e arriscar uma estudada no código dele, mas não encontrei. Alguém sabe onde posso baixar o Tproxy? - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIBb44XL+vuN2d7ZwRApJiAJ9UNFlJ6hXP4Mx4p6jRb37BgDYh6gCeLvbM WY5kik00veMvZUFHESBo3f0= =Hsd3 -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tproxy no FreeBSD
On Wed, 16 Apr 2008 08:52:08 +, João Paulo Just wrote > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > Olá, lista. > > Vi em e-mails anteriores que pra repassar IP de origem no Squid era > preciso usar o patch Tproxy, pelo menos no Linux, pois ele não foi > portado pra FreeBSD ainda. > > Procurei o fonte desse patch pra dar uma olhadinha e arriscar uma > estudada no código dele, mas não encontrei. Alguém sabe onde posso > baixar o Tproxy? Oi João, Acho que não deve existir "um cõdigo" específico, ja que o patch é um arquivo diff, não? o que você deverá fazer, eu acho, é ler os arquivos que ele altera antes e depois de aplicar o patch. IHMO, > > - -- > João Paulo Just > Diretor Executivo - Justsoft Informática Ltda. > http://www.justsoft.com.br/ > - -- > Feira de Santana, BA, Brasil. > +55 75 8104 8473 > -BEGIN PGP SIGNATURE- > Version: GnuPG v1.4.6 (GNU/Linux) > Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org > > iD8DBQFIBb44XL+vuN2d7ZwRApJiAJ9UNFlJ6hXP4Mx4p6jRb37BgDYh6gCeLvbM > WY5kik00veMvZUFHESBo3f0= > =Hsd3 > -END PGP SIGNATURE- > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Nilton José Rizzo 805 Informatica Disseminando tecnologias 021 2413 9786 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd