Port Forward - Multiplas URLS
-
Marcelo,
Voce tem skype ou msn?
O meu msn é vromero_rj@hotmail.com e victor-romero1
-
Percebi um bug na probe url quando o site tem caracteres especiais '-', tenta mudar somente para
/index.htm e vê se funciona.o probe deve ficar assim:
.probe = {
.url = "/index.htm";
.interval = 1s;Se o probe der errado, voce vai receber a tela de erro 503 do varnish.
-
Fala Marcelo,
Não foi nao. Só consigo abrir a url externamente, quando habilito o NAT forward. Fora isso a pagina nao abre? Voce chegou a verificar a regra que criei de WAN?Voce havia me dito que não posso deixar nenhuma regra de NAT forward habilitada. Mas como vou conseguir fazer a acesso externo na porta 80? Pela regra normal em firewall- rules- wan eu consigo?
abcs
-
vai na console e vê se o varnish tá rodando
ps ax | grep -i varnish
-
você habilitou o varnish na porta 80 na aba 'settings'
-
Fala Marcelo,
Cara consegui. O serviço do Varnish, nao tava subindo. Olhei o log e fiz o seguinte:
Em settings, alterei Storage Type de memory para disk.
Depois coloquei Cache storage size in megabytes para 9046. O Serviço do Vanish subiu. Olha que beleza!!!
Muito obrigado cara pelas informações. Forte abraço
-
Excelente! 8)
Depois volta ele para cache em memória e testa a diferença de performance.
Parabéns pela configuração.
-
Fala Marcelo.
Ta show de bola cara. Fiz o Varnish funcionar direito. Meus servidores estao em cluster tambem. Agora to querendo publicar um endereço na porta https. Ex: https://omsteste.dyndns-remote.com . No meu IIS configurei a porta TCP 80 e a porta SSL 443. Internamente funciona. Externamente não. Gostaria de saber se o Varnish faz isso tambem. Um aoutra dúvida é a seguinte. Eu consigo digitar por exemplo, http://omsteste.dyndns-remote.com no meu browser e fazer um redirecionamento automatico para https://omsteste.dyndns-remote.com ? Se não meu engano você me disse que o HAPROXY faz isso certo?
abraços
-
Olá vromero.rj,
É gratificante ver a evolução das configurações do pfsense aqui na lista.
Agora vamos aos pontos:
@vromero.rj:Agora to querendo publicar um endereço na porta https.
Se for só em um dos sites, pode usar o nat mesmo, caso contrário você vai precisar do Haproxy para fazer isso.
Outra solução seria o apache+modsecurity, mas nesse caso você teria que colocar os certificados ssl no firewall também.
Fazendo uma escala de complexidade/funcionalidade, ficaria assim:-
NAT (mais facil porem restrito a um host)
-
HAPROXY (intermediario)
-
apache+mod_security(dificil porem mais seguro)
Eu consigo digitar por exemplo, http://omsteste.dyndns-remote.com no meu browser e fazer um redirecionamento automatico para https://omsteste.dyndns-remote.com ?
O redirect é feito na programação da página, voce verifica o protocolo que o cliente chamou e se for o caso,faz um redirect para a mesma página com https
att,
Marcello Coutinho -
-
Opa…Estamos todos evoluindo. Sua ajuda tem sido de grande valia para todos nós.Sempre usei o ISA SERVER. Mas ele tem me desapontado, principalmente no quesito performance. Na verdade, segmentei minha rede toda. Estou usando o PfSense com cluster para publicar serviços web e usando o Endian Firewall para serviço de proxy, visto que considero ele o melhor nesse sentido. Ele faz autenticação NTLM.
Estou efetuando os testes que me falou. Vou instalar o hpaproxy!!abcsss -
usando o Endian Firewall para serviço de proxy, visto que considero ele o melhor nesse sentido. Ele faz autenticação NTLM.
Nao considero instalar o samba no firewall uma boa solução, mas enfim. Se Voce quiser o squid do pfsense autenticando NTLM, basta instalar o winbind, o samba e colocar o pf no domínio.
-
Marcelo,
Usei o NAT mesmo. Como só tenho esse endereço na porta https, não terei problema.
Eu consigo fazer aquele redirect pelo NAT na porta 80 pra 443?
abraçosss
-
Infelizmente nao, so via programação mesmo.
Usa JavaScript. O google Te ajuda.
-
Humm.. tranquilo meu camarada.
Mas ja foi uma ajuda e tanto.
Forte abraço
-
Fala Marcelo,
Fiz o seguinte. Criei a regra de NAT na porta 443 para o IP de nat 192.168.2.5(IP do servidor WEB)
Depois criei uma regra no varnish na porta 443 ao inves da 80.Quando tentava acessar esse endereço pela web ele dava erro do Varnish.
Pois bem, fui na configuraçao do varnish na customização da pagina de erro e inseri o seguinte:
Quando digito no browser, ele automaticamente redireciona para a pagina desejada….
Agora ta fechado!!!!
abraçossss
-
Essa configuração Nao esta correta.
Voce esta forcando um erro no Varnish para conseguir o redirect. -
Pois é..mas como sei que esse endereço é o unico https que temos, não terei problema. Quando o usuario digitar a pagina www.omsteste.dyndns-remote.com ela, teoricamente apareceria o erro do varnish, mas automaticamente ela redireciona para a pagina solicitada.
-
Aproveitando o embalo,
tenho algumas dúvidas/problemas.
Tenho o ambiente
WAN -> Ip válido
DMZ1 -> 192.168.200.0/29SRV01 -> 192.168.200.2 (Servidor WEB interno)
O problema/dúvida é quanto ao apache_mod_security
Fiz a instalação, que aparentemente ocorreu sem problemas.
Fui verificar o status do serviço e o mesmo encontra-se parado (Stopped).
Tento iniciar manualmente e o pfsense exibe a mensagem "apache_mod_security has been started."
mas… nos logsNov 30 19:57:39 php: /pkg_edit.php: The command '/usr/local/sbin/httpd -t' returned exit code '1', the output was 'httpd: Syntax error on line 95 of /usr/local/etc/apache22/httpd.conf: Cannot load /usr/local/libexec/apache22/mod_proxy.so into server: Cannot open "/usr/local/libexec/apache22/mod_proxy.so"'
Nov 30 19:57:39 php: /pkg_edit.php: apache_mod_security_package: There was an error parsing the Apache configuration: 1
tudo bem, entendi que não existe o mod_proxy.
Como não quero mexer no sistema fora da interface GUI, gostaria de saber se é um bug ou se há algum problema com configuração ou falta algum pacote que por acaso o instalador gráfico não o fez.
Pacotes instalados:- Proxy Server with mod_security
- snort
- squid3
- widescreen
A versão deste pfSense é a:
2.0-RELEASE (amd64) - built on Tue Sep 13 17:05:32 EDT 2011Vi na internet que há pessoas com problemas relacionado a isso mas não ví ou entendi algumas soluções.
Agora uma dúvida em sí.
Assim que eu conseguir resolver o problema do mod_security com proxy, há algum material que explane bem a utilização do módulo no pfSense (GUI)?Qualquer contribuição é bem vinda!
Obrigado. -
Sem o mod_proxy, Voce Nao vai conseguir usar o apache para balancear servidores.
Parece ser bug no pacote mesmo.Voce precisa do mod_security ou do balanceamento?
-
usando o Endian Firewall para serviço de proxy, visto que considero ele o melhor nesse sentido. Ele faz autenticação NTLM.
Nao considero instalar o samba no firewall uma boa solução, mas enfim. Se Voce quiser o squid do pfsense autenticando NTLM, basta instalar o winbind, o samba e colocar o pf no domínio.
marcelloc, boa noite. Essa frase que você usou ;D É exatamente o que estamos tentanto fazer. Quando digo eu, estou me referindo a outros que estão tentando usar NTLM no pfSense no fórum. Poderia nos ajudar ? Já vi vários posts aqui de instalação no samba no pf, mas todos sem sucesso.
Estou usando o pf 2.0.1, e meu objetivo é apenas autenticar via NTLM, não preciso compartilhar arquivos.
Tentei vários posts, dentre eles o http://forum.pfsense.org/index.php/topic,45828.0.html mas não deu certo.
Desde já, muito obrigado pela ajuda.
