Substituindo Fw linux por Pfsense
-
Sim, a grosso modo pode ficar parecido com isso:
function squid_resync_users() { global $config; $users = $config['installedpackages']['squidusers']['config']; //No lugar de criar o $contents vazio, coloque o conteudo do seu outro arquivo //$contents= ''; $contents=file_get_contents("/var/etc/meusquid.passwd')."\n"; if (is_array($users)) { foreach ($users as $user) $contents .= $user['username'] . ':' . crypt($user['password'], base64_encode($user['password'])) . "\n"; } file_put_contents(SQUID_PASSWD, $contents); chown(SQUID_PASSWD, 'proxy'); chmod(SQUID_PASSWD, 0600); } -
Sim, a grosso modo pode ficar parecido com isso:
function squid_resync_users() { global $config; $users = $config['installedpackages']['squidusers']['config']; //No lugar de criar o $contents vazio, coloque o conteudo do seu outro arquivo //$contents= ''; $contents=file_get_contents("var/etc/meusquid.passwd')."\n"; if (is_array($users)) { foreach ($users as $user) $contents .= $user['username'] . ':' . crypt($user['password'], base64_encode($user['password'])) . "\n"; } file_put_contents(SQUID_PASSWD, $contents); chown(SQUID_PASSWD, 'proxy'); chmod(SQUID_PASSWD, 0600); }Bom…acho que estou fazendo alguma coisa errada.....o que eu fiz:
No squid.inc
Deixei o ('SQUID_PASSWD', '/var/etc/squid.passwd'); com o padrao.
Alterei a linha que voce colocou, deixando assim://$contents= ''; $contents = file_get_contents("var/etc/meusquid.passwd")."\n";Criei o arquivo com o filer /var/etc/meusquid.passwd e coloei o conteudo de usuarios e senhas.
Pelo console ajustei as permissoes e dono do meusquid.passwd para as mesmas do squid.passwd ( dono proxy).
Reiniciei o pfsense, porem so acesso com os usuarios que cadastro na interfaceweb ( e sao salvos no squid.passwd). Com os que tao no meusquid.conf nao vai.
Não sei, mas acho que to deixando de fazer alguma coisa ainda ….. :-\ -
ok, tá faltando um "/" antes do var.
Já acertei meu post para mostrar a informação correta.
Aquele foi só um exemplo de código, não testei por não ter este tipo de situação.
-
ok, tá faltando um "/" antes do var.
Já acertei meu post para mostrar a informação correta.
Aquele foi só um exemplo de código, não testei por não ter este tipo de situação.
Eu acabei nao percebendo isso tambem…. agora funcionou :), so que os usuarios que cadastro depois na interface web e apago por la, so sao efitivamente removidos apos reiniciar o firewall.
-
Buenas…
O bind usei o pacote que saiu a pouco...aqui nesses dois topicos tem as referencias da instalacao e configuracao:
http://forum.pfsense.org/index.php/topic,67673.0.html
http://forum.pfsense.org/index.php/topic,67867.0.html
Sobre os links:
Lembrando
Link 1 - link usado para srv de e-mails e acesso ts
Link 2 - usado para acessar a internet
Configurei as regras de firewal, os direcionamentos NAT das portas 25,110,583,etc... para o ip do servidor de e-mails pelo link1.Defino o gateway do link2 como o defaul em System - Routing - Gateways, para que a navegacao sai por padro por ele?
Lembrano que tenho a maioria das maquinas que usam proxy autenticado, definido no navegador, e tambem algumas que nao passam pelo proxy ( definidas na aba lan para liberar o acesso para o ip).O faillover de link vou fazer mais para frente, e sera basicamente: se parar o link2 (navegacao) redirecionar a navegacao para o link1 tambem.
-
Isso. Deixe o link da navegação como padrão e hhabilite o default gateway switch em system advanced para fazer o fail over em caso de falha.
Não esqueça de criar na lan a regra para forçar a saída de email pelo link 1.
-
Isso. Deixe o link da navegação como padrão e hhabilite o default gateway switch em system advanced para fazer o fail over em caso de falha.
Não esqueça de criar na lan a regra para forçar a saída de email pelo link 1.
Certo, mais um esclarecimento: como nao estou usando loadbalance….. Entao nao preciso configurar grupos de gateways e regras flutuantes correto?
Hum...criar regra na lan para os e-mails? Agora me confundi um pouco...
Acho que funciona assim com os e-maisl ( porta 25,110,587 e afins):
Maquinas da lan conectam ao srv de email na dmz, nao saem direto por um dos links, e o servidor de email na dmz dae sai pelo link.
As maquinas tao com os clientes de e-mails configuradas para conectar ao: mail.meudominio.com.br que responde ( na rede interna) pelo ip da dmz 192.168.10.2 ( por ex) -
Outra duvida…
Meu link1 tem 3 ips validos:
ex 177.43.12.101, 177.43.12.102 e 177.43.12.103
Configurei o 177.43.12.101 na interface WAN LINK1, o gateway default dele ( 177.43.12.100 que esta no modem).
Os 2 restantes devo configurar como Virtual IP - Tipo IP Alias - interface LINK1 ... ip adress 177.43.12.102 / 29 ( correspondente a masca 255.255.248 passada pelo provedor). Esta certo? -
Se o servidor de email está na dmz, então a regra fica na dmz. Esta regra força o gateway dos emails para o link 1.
Não precisa criar tiers ou grupo de gateways.
-
Se o servidor de email está na dmz, então a regra fica na dmz. Esta regra força o gateway dos emails para o link 1.
Não precisa criar tiers ou grupo de gateways.
Ok, ficaria algo como ( na aba DMZ)isso, entao?
Id
Proto: IPV4
source: Id d0 srv de e-mail
Port: 25, 110.587…(todas configuradas no NAT para o serv de e-mail) ( uma regra por porta)
Destination: *
Port: *
Gateway: Gatewaylink1 -
destination ip any, destination port 25
-
destination ip any, destination port 25
Certo, apenas acrescento o dest ip e port as regras que ja coloquei ? Assim
Id
Proto: IPV4
source: Id do srv de e-mail
Port: 25
Destination: Any
Port: 25
Gateway: Gatewaylink1 -
No smtp só o destino tem porta 25.
Se arrisque mais no tcpdump. Ele responde perguntas muito melhor e mais Rápido que nós do fórum. -
Olá!
Gostaria de parabenizar a ambos pelo esforço na migração do ambiente.
Apenas uma questão: O uso da porta 25 para servidores SMTP está sendo desencorajado mundo a fora e especificamente no Brasil houve uma determinação da CGI.BR para mudar para a porta 587.
-
Apenas uma questão: O uso da porta 25 para servidores SMTP está sendo desencorajado mundo a fora e especificamente no Brasil houve uma determinação da CGI.BR para mudar para a porta 587.
Esta determinação é para comunicação entre cliente e servidor. A maioria das ADSLs hoje já bloqueia a comunicação pela porta 25.
Entre servidores a comunicação continua pelo smtp mesmo. -
No smtp só o destino tem porta 25.
Se arrisque mais no tcpdump. Ele responde perguntas muito melhor e mais Rápido que nós do fórum.Acho que foi falta de atenção minha, pois se tem uma regra de nat redirecionando do link1 pra esse ip e porta, ela já é a origem… So teria que fazer a regra para o caminho de volta ( desntino). ::)
-
Bom, a migração para o pfsense na maquina 32 bits foi terminada. Ja ta rodando com squid, squidguard, bind e vpn.
Depois vou ver se faço um post com as principais dificuldades encontradas e as soluções.
Agora vou iniciar a instalação na maquina de 64 bits( servidor ibm x3200 m3 com 4 Gb de ram e dosi hds de 250 Gb em raid). Instalar os pacotes e copiar as configurações pra ele. -
Bom, a migração para o pfsense na maquina 32 bits foi terminada. Ja ta rodando com squid, squidguard, bind e vpn.
Depois vou ver se faço um post com as principais dificuldades encontradas e as soluções.
Agora vou iniciar a instalação na maquina de 64 bits( servidor ibm x3200 m3 com 4 Gb de ram e dosi hds de 250 Gb em raid). Instalar os pacotes e copiar as configurações pra ele.Esse ibm deu trabalho…. ???
http://forum.pfsense.org/index.php/topic,68340.0.html
So consegui instalar o pfsense nesse servidor virtualizando com o xenserver.
Bom, ele esta instalado e pronto... Agora tenho uma dúvida.... como copiar as configurações ( regras de firewall, configuracoes do squid e bind) para essa maquina?
Usar o backup/restore funcionara? sendo que a maquina que ta rodando atualmente é uma de 32Bits com 4 placas de rede, essa nova virtualizada é 64 bits e tem 5 interfaces de rede ( a adicional tera apenas uma regra de firewall para uma rede wifi). -
Estou dando uma olhada aqui…a opcao XMLRPC Sync, nao resolveria ? Tipo instalar os pacotes, e no servidor "base" colocar como Destination Server esse que quero que receba as configurações...
-
Estou dando uma olhada aqui…a opcao XMLRPC Sync, nao resolveria ? Tipo instalar os pacotes, e no servidor "base" colocar como Destination Server esse que quero que receba as configurações...
Fiz uns testes e squiguard,snort e filer sincronizou….o bind nao....a diferença que notei no bind é que na aba do synca ele tem so host e senha, nao tem porta e usuario como nos outros pacotes.
Usei a opcao: Sync to hosts defined bellow
