Respostas no Fórum
-
Posts
-
Xará,
Acredito que vai ser necessário comprar 2 licenças para poder ter alta disponibilidade. Uma para cada servidor.
Como alternativa, você pode ter um servidor com as mesmas configurações rodando em cold spare.
Com um pouco de imaginação e provavelmente muito trabalho, pode-se implementar uma forma de sincronização de configurações entre os dois.
[]’s
🚀 Apresentando o Hotspot Beacon! 🚀
Desbloqueie o potencial do seu Wi-Fi com o Hotspot Beacon. Personalize sua página de acesso para mostrar anúncios, promoções ou informações e engajar seus clientes, impulsionando o seu negócio.
💡 Principais Funcionalidades:
- Interface amigável e intuitiva
- Opções de personalização completas para sua marca
- Gerenciamento de propagandas e promoções
- Integração fácil com sistemas existentes via API
- Limitação de velocidade ou largura de banda por usuário
- Controle de acesso por horário
🔗 Confira o site para saber mais: https://hotspotbeacon.comAlbaney,
Respondi um tópico semelhante dê uma olhada em http://endian.eth0.com.br/topic/not-found-access-denied
[]’s
decio,
Obrigado pelo feedback. o tcpdump realmente é uma ferramenta excelente para diagnosticar este tipo de problemas
😉
maurelio,
Acredito que não exista uma forma pronta para isto, principalmente levando em consideração a integração com a webinterface.
Albaney,
Verifique se as suas regras estão sendo inseridas corretamente no iptables.
# iptables -t mangle -L QOS -nv
Chain QOS (1 references)
pkts bytes target prot opt in out source destination
2625 233K QOS_ETH0 all — * eth1 0.0.0.0/0 0.0.0.0/0
Preste atenção para qual cadeia que ocorre o redirecionamento.
A coluna “target” informa a cadeia de destino, agora execute:
# iptables -t mangle -L QOS_ETH0 -nv
Chain QOS_ETH0 (1 references)
pkts bytes target prot opt in out source destination
0 0 CLASSIFY tcp — br0 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 CLASSIFY set 2:3
– Verifique se as suas regras apareceram aqui
– Verifique nas colunas pkts e bytes, se algum pacote passou por esta regra. Se não passar, revise as suas regras e configurações de QoS.
[]’s
Se o seu link estiver sobrecarregado, o endian pode melhorar um pouco as coisas com o Quality of Service.
[]’s
Olá Sawagner,
Você já verificou como anda o seu uso de link? Quais as especificações do servidor? Experimente acompanhar o uso do processador e da memória com o comando “top”, veja principalmente o campo “wa”.
A não ser que o seu servidor esteja sobrecarregado, o endian não deixa os acessos mais lentos.
O exemplo citado: TS passa direto pelo kernel do endian. As únicas hipóteses que eu vejo são:
– Link sobrecarregado
– Endian sobrecarregado
– Algum problema de rede?
[]’s
Apenas complementando:
O bloqueio por layer7 pode ser mais ineficiente que o bloqueio tradicional de portas.
Falando exclusivamente dos protocolos torrent e ed2k:
Estes possuem a opção “obfuscate” que disfarça o pacote de forma que este fique parecendo tráfego http, escapando completamente do layer7.
Infelizmente preciso discordar de você em 2 afirmações:
> <i>Bloqueia, mas apenas se o usuário não tiver a menor capacidade técnica. Basta configurar para usar uma das portas que o Endian deixa aberta como padrão tais como (80, 443, 995, etc.) e o p2p vai funcionar bem.</i>
p2p (torrent, kazaa, emule, etc..) utilizam portas aleatórias que são estabelecidas do lado remoto da transferência, impedindo que o usuário local “mascare” todo o tráfego através da porta tcp 995 por exemplo.
> <i>Além disso, vários programas funcionam sem nenhum problema através da porta 80, mesmo utilizando proxy</i>
O skype (assim como o msn e outros programas), utilizam a porta 80 e 443 quando uma conexão direta falha, vale lembrar que se você estiver utilizando proxy, você poderá bloquear tranquilamente o acesso destes programas.
Se você simplesmente mantiver o firewall default do endian (que vem com praticamente todas as portas bloqueadas), será impossível utilizar p2p sem “ajuda externa”. Libere no outgoing firewall apenas serviços necessários para a rede interna, e procure ser o mais restritiva possível.
Só isso já é suficiente para acabar com o p2p.
Para casos mais extremos, onde você pode ter usuários com certo conhecimento ou que tenham como utilizar uma “ajuda externa” para burlar os bloqueios:
Eu defino ajuda externa como um servidor de VPN (pode ser ssh tunneling também) remoto, se você tiver liberado no seu firewall, acesso a VPNs externas, um usuário mais experto e que possua este recurso, pode estabelecer um tunel entre ele e o servidor remoto, desviando todo o seu tráfego por dentro deste.
Se você não liberou a VPN mas o seu usuário espertinho sabe que você permite acesso a servidores pop3 (tcp/110) externos, ele pode tranquilamente configurar o seu servidor de vpn para escutar na porta 110 e estabelecer uma conexão através desta porta.
Como evitar este tipo de situação?
Limitar ao máximo o seu firewall de saída. Comece por não permitir que nenhum protocolo acesse diretamente a internet, exija sempre que as conexões passem através dos serviços de proxy do seu endian, (dns, pop, smtp, imap, http, ntp, etc..)
Para serviços que não aceitam proxy: Digamos que os seus usuários internos precisam utilizar o terminal service em uma empresa remota. Crie uma regra no outgoing firewall liberando acesso a porta 3389 apenas se o destino for o IP remoto.
Não esqueça de bloquear também a porta tcp/443 (https) e desabilitar o proxy transparente, forçando que as estações de trabalho utilizem o proxy configurado.
Pela natureza do dansguardian, este pode tornar a navegação um pouco mais lenta, não chega a ser nada muito crítico, mas pode ser percebido.
Observe por um tempo o desempenho do seu servidor durante o horário de pico, experimente logar por ssh e rodar um “top -d1”, observe principalmente o uso de processador e de uma atenção especial ao campo “%wa”
em outro terminal, deixe um tail -f rodando no arquivo /var/log/squid/cache.log e outro em /var/log/messages
Se não encontrar nada que chame a atenção, experimente:
– Desative o antivirus e verifique se você sente alguma melhoria.
– Experimente também desativar o content filter por completo mantendo o acesso através do proxy observe se ocorre alguma melhoria.
Qual o tamanho do cache em disco que você definiu e qual o tamanho atual deste?
[]’s
Apenas complementando,
Uma outra sugestão não relacionada com o assunto, mas que poderia te ajudar um pouco, seria de customizar a página de bloqueio do endian e inserir um formulário para solicitar a revisão do site bloqueado.
[]’s
Nas configurações de proxy, vá em allowed ports and ssl ports e adicione a porta 84 na lista de portas http.
ps: editei o endereço ip do post para proteger a sua privacidade.
[]’s
Albaney,
Parando e relendo todo o tópico eu percebo que realmente eu te interpretei de uma forma incorreta.
Lamento muito por isso, mas ao mesmo tempo fico satisfeito em saber que você conseguiu resolver o problema e principalmente em ver que você deu um feedback excelente sobre o assunto.
> Observar que a fórmula de bloqueio por expressões, exige a palavra “sozinha”,
exemplo.com.br/cat/tit/xyz seria bloqueado
exemplo.com.br/cat/xtity não seria bloqueado.
Neste caso, acho muito improvável que um website seja bloqueado incorretamente principalmente pela palavra tit. Também acredito que sex e oral dificilmente vão causar problemas.
> Segui os passos que você informou e realmente ao remover todos os endereços da blacklist, esta não é atualizada corretamente.
Anteriormente eu estava removendo apenas uma url, e por isso não via nenhum erro.
Uma sugestão temporária para limpar a blacklist, é de manter um endereço que não influencie para os usuários ex:
“placeholder.bogus”
> Referente ao bug 2300, acabei de realizar esta modificação no meu endian, vou realizar novos testes.
Novamente, muito obrigado pelo feedback de excelente qualidade.
[]’s
jabinha,
Acho que fica mais simples você tentar customizar a página de erro e adicionar um redirecionamento usando javascript por exemplo.
http://endian.eth0.com.br/topic/como-customizar-as-mensagens-do-endian
http://endian.eth0.com.br/topic/redirecionar-paginas-no-endian-23
[]’s
