Respostas no Fórum
-
Posts
-
Se a lentidão for por causa do dansguardian.
Cara resolvido o problema, talvez resolva o seu. No dansguardian existem três listas de bloqueio, a primeira checa as palavras da página para ser somado uma nota e bloquear a página ou não, a segunda são os sites já catalogados na base de dados do dansguardian e a terceira são as páginas da whitelist e blacklist colocadas no braço.
Detalhe, quando vc coloca bloqueios na primeira lista ele tem que checar a página e por isso fica lento o carregamento, fiz vários testes e deixei somente a categoria adulto marcada na primeira lista e somente para dois grupos e a internet está de primeira, quando marco mais categorias a net volta a ficar lenta, fiz todos os meus bloqueios pela segunda lista e o que passar é só ir bloqueando na terceira.
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
Você faz os bloqueios pelo dansguardian? Se sim, crie uma regra acima com autenticação e selecione todos os grupos e deixe todos navegando sem bloqueios, a internet vai ficar lenta?
Estou passando pelo mesmo problema, na versão 2.5-1 e na versão 2.5, quando habilito o dansguardian a internet fica uma carroça.
Velho se você monitorar via tcpdump a máquina que está com o teamviewer ligada você verá que só existem conexões TCP, na porta 5938, nada na porta 80.
Teste a regra que eu falei jovem, depois agradeça.
Sem a regra criada (SEM FUNCIONAR):
root@fw6b:~ # tcpdump -nni any host 10.3.3.249 and not port 22 and not port 10443
tcpdump: WARNING: Promiscuous mode not supported on the “any” device
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
10:38:50.908281 IP 10.3.3.249.35645 > 10.3.0.253.53: 33166+ A? ping3.teamviewer.com. (38)
10:38:50.908281 IP 10.3.3.249.35645 > 10.3.0.253.53: 33166+ A? ping3.teamviewer.com. (38)
10:38:50.974133 IP 10.3.0.253.53 > 10.3.3.249.35645: 33166 4/0/0 A[|domain]
10:38:50.974180 IP 10.3.0.253.53 > 10.3.3.249.35645: 33166 4/0/0 A[|domain]
10:38:50.974955 IP 10.3.3.249.54262 > 62.75.246.130.5938: S 8926386:8926386(0) win 14600 <mss 1460,sackOK,timestamp 7957875 0,nop,wscale 2>
10:38:50.974955 IP 10.3.3.249.54262 > 62.75.246.130.5938: S 8926386:8926386(0) win 14600 <mss 1460,sackOK,timestamp 7957875 0,nop,wscale 2>
10:38:51.975319 IP 10.3.3.249.54262 > 62.75.246.130.5938: S 8926386:8926386(0) win 14600 <mss 1460,sackOK,timestamp 7958876 0,nop,wscale 2>
10:38:51.975319 IP 10.3.3.249.54262 > 62.75.246.130.5938: S 8926386:8926386(0) win 14600 <mss 1460,sackOK,timestamp 7958876 0,nop,wscale 2>
10:38:53.979227 IP 10.3.3.249.54262 > 62.75.246.130.5938: S 8926386:8926386(0) win 14600 <mss 1460,sackOK,timestamp 7960880 0,nop,wscale 2>
10:38:53.979227 IP 10.3.3.249.54262 > 62.75.246.130.5938: S 8926386:8926386(0) win 14600 <mss 1460,sackOK,timestamp 7960880 0,nop,wscale 2>
Depois da regra criada (FUNCIONANDO):
root@fw6b:~ # tcpdump -nni any host 10.3.3.249 and not port 22 and not port 10443
tcpdump: WARNING: Promiscuous mode not supported on the “any” device
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
10:42:11.273047 IP 10.3.3.249.52313 > 10.3.0.253.53: 10903+ A? ping3.teamviewer.com. (38)
10:42:11.273047 IP 10.3.3.249.52313 > 10.3.0.253.53: 10903+ A? ping3.teamviewer.com. (38)
10:42:11.274035 IP 10.3.0.253.53 > 10.3.3.249.52313: 10903 4/0/0 A[|domain]
10:42:11.274074 IP 10.3.0.253.53 > 10.3.3.249.52313: 10903 4/0/0 A[|domain]
10:42:11.274605 IP 10.3.3.249.59863 > 85.214.154.223.5938: S 1209827167:1209827167(0) win 14600 <mss 1460,sackOK,timestamp 8158175 0,nop,wscale 2>
10:42:11.274605 IP 10.3.3.249.59863 > 85.214.154.223.5938: S 1209827167:1209827167(0) win 14600 <mss 1460,sackOK,timestamp 8158175 0,nop,wscale 2>
10:42:11.495525 IP 85.214.154.223.5938 > 10.3.3.249.59863: S 2772582221:2772582221(0) ack 1209827168 win 8192 <mss 1452,sackOK,timestamp 2525296299 8158175>
10:42:11.495569 IP 85.214.154.223.5938 > 10.3.3.249.59863: S 2772582221:2772582221(0) ack 1209827168 win 8192 <mss 1452,sackOK,timestamp 2525296299 8158175>
10:42:11.495978 IP 10.3.3.249.59863 > 85.214.154.223.5938: . ack 1 win 14600 <nop,nop,timestamp 8158396 2525296299>
10:42:11.495978 IP 10.3.3.249.59863 > 85.214.154.223.5938: . ack 1 win 14600 <nop,nop,timestamp 8158396 2525296299>
10:42:11.496619 IP 10.3.3.249.59863 > 85.214.154.223.5938: P 1:10(9) ack 1 win 14600 <nop,nop,timestamp 8158397 2525296299>
10:42:11.496619 IP 10.3.3.249.59863 > 85.214.154.223.5938: P 1:10(9) ack 1 win 14600 <nop,nop,timestamp 8158397 2525296299>
10:42:11.708298 IP 85.214.154.223.5938 > 10.3.3.249.59863: P 1:10(9) ack 10 win 64800 <nop,nop,timestamp 2525296321 8158397>
10:42:11.708342 IP 85.214.154.223.5938 > 10.3.3.249.59863: P 1:10(9) ack 10 win 64800 <nop,nop,timestamp 2525296321 8158397>
10:42:11.708698 IP 10.3.3.249.59863 > 85.214.154.223.5938: . ack 10 win 14600 <nop,nop,timestamp 8158609 2525296321>
10:42:11.708698 IP 10.3.3.249.59863 > 85.214.154.223.5938: . ack 10 win 14600 <nop,nop,timestamp 8158609 2525296321>
Sobre a regra de redirecionamento você pode fazer dos dois modos acima, eu acho que o ideal é o Endian fazer a conexão e ele ser o gw da rede, sobre o teamviewer é só você criar uma regra de outgoing para a porta 5938, essa é a porta utilizada pelo teamviewer, não a 80.
Perfeito, funcionando 100%, estava tentando compilar o specs do iftop, mas empaquei em instalar o rpmbuild no endian.
Esse access.log é do squid, certo? Você inseriu nessa política proibição pelo contentfilter do dansguardian, checa o access.log do dansguardian, deve estar bloqueando por lá, qualquer coisa cola aqui também.
O dns já tem que resolver pros dois ips e tem que existir a segunda regra, a regra você pode criar na hora, mas o dns tem que já está funcioando, por causa do tempo de replicação.
Funcionaria como eu mostrei o mx da globo, apontando pra dois ips, quando se da um host no pop.matriz.com.br.
[diego@redes ~]$ host mail.globo.com
mail.globo.com is an alias for googlemail.l.google.com.
googlemail.l.google.com has address 74.125.234.21
googlemail.l.google.com has address 74.125.234.22
Estou com dois links de internet e não estou conseguindo configurar o outro link, como um uplink. Alguém passou por isso no 2.5-1?
Configure o link secundário como MX e configure o dns reverso para você conseguir tanto receber como enviar emails pelo link secundário.
Como você configura os clientes com um apontamento, é necessário que este apontamento responda tanto para o link principal como para o secundário.
Ex: [diego@redes ~]$ host mail.globo.com
mail.globo.com is an alias for googlemail.l.google.com.
googlemail.l.google.com has address 74.125.234.21
googlemail.l.google.com has address 74.125.234.22
Deixe as duas regras ativas no firewall para o redirecionamento funcionar por qualquer dos dois links.
Se usar balanceamento pelo iproute2 me fala.
Você usa balanceamento nos links? Os dois ips estão configurados como MX? Os apontamentos pop.matriz.com.br e smtp.matriz.com.br respondem pelos dois ips?
Tenta acessar e monitora enquanto isso, depois cola todo o trafego aqui, podemos te ajudar melhor dessa forma.
Faça o que o @RPetroni falou, libera totalmente o ip da máquina e tenta fazer o download via torrent, se funcionar terá que monitorar via tcpdump pra saber quais portas o torrent está usando e liberá-las.
