[Resolvido] Ativar/Configurar Cache ou Bloquear Serviços?



  • Boa tarde,

    Tenho outra dúvida sobre o pfsense,

    Eu uso internet via satelite, e por isso tenho que economizar ao máximo minha banda.

    Só que o pfsense não está cacheando as atualizações de Windows, atualizações de Antivirus, e outros tipos de atualizações, vejo isso porque no relatório cada computador baixa sua atualização a parte.

    Como faço para ativar o cache para esse tipo de atualização? Porque tenho que economizar o máximo possível, só tenho 1Mb para os serviços da empresa, emails, etc.

    Se não tiver como fazer o cache, como faço para bloquear esses serviços?

    Obrigado!



  • Quem vai fazer isso para você é o squid e não o pfsense.

    Procure aqui no forum mesmo outros posts sobre squid + windowsupdate.



  • Amigo tente isto no Custom Option.

    refresh_pattern ([^.]+.)?(download|(windows)?update).(microsoft.)?com/.*.(cab|exe|msi|msp|psf) 4320 100% 43200 reload-into-ims; range_offset_limit -1;

    Você pode encontrar mais algumas dicas com um poste que nosso amigo @rafael.cardoso fez ( http://forum.pfsense.org/index.php/topic,41210.msg213070.html#msg213070 )



  • valeu.. vou testar aqui as respostas e vejo se da certo.

    Ja ja eu posto a resposta.



  • Fiz aqui o indicado e agora sai um erro quando mando atualizar algum computador com Windows.

    Sai um erro código 80244018 Erro Desconhecido, será que é algum problema com o Cache que configurei?

    Valeu,





  • @johnnybe:

    Talvez ajude:

    http://doc.pfsense.org/index.php/Squid_Package_Tuning#Caching_Windows_Updates

    valeu.. já tinha visto esse tópico… agora estou com o problema que mencionei..

    valeu!



  • @vithort:

    Fiz aqui o indicado e agora sai um erro quando mando atualizar algum computador com Windows.

    Sai um erro código 80244018 Erro Desconhecido, será que é algum problema com o Cache que configurei?

    Valeu,

    Ahhhh… agora tive que adivinhar que você estava se referindo a um código (consultando a mamãe Google) que é gerado por um host rodando Windows:

    http://answers.microsoft.com/en-us/windows/forum/windows_other-windows_update/windows-update-error-code-80244018/d91366fd-0a8d-42d7-8277-e99bd4b933e3

    Configuração do Proxy nos clientes Windows:
    http://www.nextsense.com.br/blog/archives/418



  • @johnnybe:

    @vithort:

    Fiz aqui o indicado e agora sai um erro quando mando atualizar algum computador com Windows.

    Sai um erro código 80244018 Erro Desconhecido, será que é algum problema com o Cache que configurei?

    Valeu,

    Ahhhh… agora tive que adivinhar que você estava se referindo a um código (consultando a mamãe Google) que é gerado por um host rodando Windows:

    http://answers.microsoft.com/en-us/windows/forum/windows_other-windows_update/windows-update-error-code-80244018/d91366fd-0a8d-42d7-8277-e99bd4b933e3

    Configuração do Proxy nos clientes Windows:
    http://www.nextsense.com.br/blog/archives/418

    Valeu amigo, mas já tinha feito esse procedimento. E não resolveu. Coloco uma maquina pelo proxy para atualizar o windows e acontece o erro indicado. Quando coloco ela por fora do proxy atualiza, então não acho que seja um erro na maquina. E acontece com várias maquinas o mesmo.

    Outra coisa que não tinha deixado claro, meu proxy é transparente, o conteúdo do segundo link creio que é para proxys que não sejam transparentes.

    O proxy está cacheando, já baixei alguns arquivos e quando baixo outra vez de outro pc não consome a banda da internet, então suponho que está armazenando em cache. Mas não sei se o mesmo acontece com as atualizações do windows. Falta testar esta parte.

    Outra coisa, depois que mudei as configurações do Proxy para "cachear", meu ntop parou de funcionar, não executa mais. Eu vou em serviços e o ntop está parado. Quando coloco em START SERVICE, ele sai a mensagem que foi iniciado, mas quando volto em serviços ele continua parado. Alguma sugestão?

    Obrigado de novo.



  • @vithort:

    Valeu amigo, mas já tinha feito esse procedimento. E não resolveu. Coloco uma maquina pelo proxy para atualizar o windows e acontece o erro indicado. Quando coloco ela por fora do proxy atualiza, então não acho que seja um erro na maquina. E acontece com várias maquinas o mesmo.

    Outra coisa que não tinha deixado claro, meu proxy é transparente, o conteúdo do segundo link creio que é para proxys que não sejam transparentes.

    O proxy está cacheando, já baixei alguns arquivos e quando baixo outra vez de outro pc não consome a banda da internet, então suponho que está armazenando em cache. Mas não sei se o mesmo acontece com as atualizações do windows. Falta testar esta parte.

    Outra coisa, depois que mudei as configurações do Proxy para "cachear", meu ntop parou de funcionar, não executa mais. Eu vou em serviços e o ntop está parado. Quando coloco em START SERVICE, ele sai a mensagem que foi iniciado, mas quando volto em serviços ele continua parado. Alguma sugestão?

    Obrigado de novo.

    É, o segundo link é para Proxy não transparente. Pensei que fosse o caso, daí a sugestão.

    Minha situação aqui é de Proxy transparente e todos os clientes Windows (dois WinXP wireless e um Win7 cabeado) fazem as atualizações normalmente. A configuração do Squid está bastante normal, isto é, não fiz qualquer alteração de acl para que isso ocorra. Quanto a pacotes adicionais, uso o HAVP e o Snort, apenas. Daí fico me perguntando o por quê do erro nos seus clientes windows…  ???

    Sei lá, de repente... como você tá usando o ntop (que por sinal acho um pacote bem legal) e o mesmo está apresentando erros, será que uma coisa não tem a ver com a outra? Não sei... talvez?

    Só uma pergunta, quando você diz que coloca uma máquina por fora do Proxy, é apenas por fora do Proxy ou também do firewall?



  • @johnnybe:

    @vithort:

    Valeu amigo, mas já tinha feito esse procedimento. E não resolveu. Coloco uma maquina pelo proxy para atualizar o windows e acontece o erro indicado. Quando coloco ela por fora do proxy atualiza, então não acho que seja um erro na maquina. E acontece com várias maquinas o mesmo.

    Outra coisa que não tinha deixado claro, meu proxy é transparente, o conteúdo do segundo link creio que é para proxys que não sejam transparentes.

    O proxy está cacheando, já baixei alguns arquivos e quando baixo outra vez de outro pc não consome a banda da internet, então suponho que está armazenando em cache. Mas não sei se o mesmo acontece com as atualizações do windows. Falta testar esta parte.

    Outra coisa, depois que mudei as configurações do Proxy para "cachear", meu ntop parou de funcionar, não executa mais. Eu vou em serviços e o ntop está parado. Quando coloco em START SERVICE, ele sai a mensagem que foi iniciado, mas quando volto em serviços ele continua parado. Alguma sugestão?

    Obrigado de novo.

    É, o segundo link é para Proxy não transparente. Pensei que fosse o caso, daí a sugestão.

    Minha situação aqui é de Proxy transparente e todos os clientes Windows (dois WinXP wireless e um Win7 cabeado) fazem as atualizações normalmente. A configuração do Squid está bastante normal, isto é, não fiz qualquer alteração de acl para que isso ocorra. Quanto a pacotes adicionais, uso o HAVP e o Snort, apenas. Daí fico me perguntando o por quê do erro nos seus clientes windows…  ???

    Sei lá, de repente... como você tá usando o ntop (que por sinal acho um pacote bem legal) e o mesmo está apresentando erros, será que uma coisa não tem a ver com a outra? Não sei... talvez?

    Só uma pergunta, quando você diz que coloca uma máquina por fora do Proxy, é apenas por fora do Proxy ou também do firewall?

    Resolvido o problema do ntop. não sei como a configuração não estava sendo salva, ele não tinha selecionado nenhuma interface, por isso não INICIAVA, tive que remover e instalar 2 vezes pra voltar a funcionar.

    Bem, não estou com Firewall ativo, minha rede ainda não usa um firewall, porque estou em teste ainda, não subi um firewall para não complicar minha história por enquanto.

    Quando tiro do proxy, eu ligo a um router que não passa pelo proxy, vai direto ao modem, tenho esse router porque ainda não consegui usar meu VoIP através do Proxy, então tenho ainda esse router que não é filtrado pelo Proxy.

    Eu uso somente os pacotes: LightSquid, ntop, squid, squidGuard.

    Estou estudando a possibilidade de usar os outros ainda.

    Eu uso um core i7 3.4GHz e 4Gb DDR3, HD de 500Gb.

    Não sei se tem algo a ver, mas Meu Proxy Server esta configurado assim:

    Hard Disk cache size: 10240 (vou subir um pouco mais, alguma sugestão?)
    HD Cache System: ufs
    Memory cache size: 1024
    Minimum object size: 0
    Maximum object size: 300000
    Maximum object size in RAM: 32
    Level 1 subdirectories: 16
    Memory replacement policy: Heap GDSF
    Cache replacement policy: Heap LFUDA
    Low-water-mark in %: 90
    High-water-mark in %: 95

    Agradeço sugestões de parametros para mudar, ainda não sei se é o ideal essa configuração

    Não sei se tem algo a ver com o erro do update, mas isso foi a unica coisa que mudei, antes não tinha o erro ao atualizar o Windows.

    Na Configuração Geral, Custom Options tinha o seguinte:
    redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf;redirector_bypass on; redirect_children 3

    Eu deixei isso e aumentei o que foi indicado. Ai foi quando passou a ter o erro. Agora eu tirei o que me falaram para aumentar e continua tendo o erro.

    Já reiniciei o Proxy e continua o mesmo.



  • Outra coisa… alguem ja testou esse pfsense-cacheboy????



  • @vithort:

    Não sei se tem algo a ver com o erro do update, mas isso foi a unica coisa que mudei, antes não tinha o erro ao atualizar o Windows.

    Na Configuração Geral, Custom Options tinha o seguinte:
    redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf;redirector_bypass on; redirect_children 3

    Eu deixei isso e aumentei o que foi indicado. Ai foi quando passou a ter o erro. Agora eu tirei o que me falaram para aumentar e continua tendo o erro.

    Já reiniciei o Proxy e continua o mesmo.

    E o que foi que você aumentou e onde? Especifique.
    Algo tá acontecendo de errado entre o Squid+SquidGuard após a modificação que você fez.



  • @johnnybe:

    @vithort:

    Não sei se tem algo a ver com o erro do update, mas isso foi a unica coisa que mudei, antes não tinha o erro ao atualizar o Windows.

    Na Configuração Geral, Custom Options tinha o seguinte:
    redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf;redirector_bypass on; redirect_children 3

    Eu deixei isso e aumentei o que foi indicado. Ai foi quando passou a ter o erro. Agora eu tirei o que me falaram para aumentar e continua tendo o erro.

    Já reiniciei o Proxy e continua o mesmo.

    E o que foi que você aumentou e onde? Especifique.
    Algo tá acontecendo de errado entre o Squid+SquidGuard após a modificação que você fez.

    Eu aumentei o seguinte em Custom Options

    refresh_pattern ([^.]+.|)(download|(windows|)update|).(microsoft.|)com/.*.(cab|exe|msi|msp) 4320 100% 43200 reload-into-ims;range_offset_limit -1;

    e subi os valores das configurações do Proxy Server:
    Hard Disk cache size: 10240 (vou subir um pouco mais, alguma sugestão?)
    HD Cache System: ufs
    Memory cache size: 1024
    Minimum object size: 0
    Maximum object size: 300000
    Maximum object size in RAM: 32
    Level 1 subdirectories: 16
    Memory replacement policy: Heap GDSF
    Cache replacement policy: Heap LFUDA
    Low-water-mark in %: 90
    High-water-mark in %: 95

    só isso.

    Mas no Custom Options eu já tirei o que tinha adicionado e continua o mesmo problema.



  • @vithort:

    Eu aumentei o seguinte em Custom Options

    refresh_pattern ([^.]+.|)(download|(windows|)update|).(microsoft.|)com/.*.(cab|exe|msi|msp) 4320 100% 43200 reload-into-ims;range_offset_limit -1;

    Mas no Custom Options eu já tirei o que tinha adicionado e continua o mesmo problema.

    Então, suponho que isso bagunçou de alguma forma o Squid.
    Antes funcionava, você mesmo disse.
    De uma olhada no arquivo .inc do squid nessa opção e restaure ao padrão.
    Espero que você tenha feito backup antes da modificação, mas pelo jeito não fez. Ou fez?



  • @johnnybe:

    @vithort:

    Eu aumentei o seguinte em Custom Options

    refresh_pattern ([^.]+.|)(download|(windows|)update|).(microsoft.|)com/.*.(cab|exe|msi|msp) 4320 100% 43200 reload-into-ims;range_offset_limit -1;

    Mas no Custom Options eu já tirei o que tinha adicionado e continua o mesmo problema.

    Então, suponho que isso bagunçou de alguma forma o Squid.
    Antes funcionava, você mesmo disse.
    De uma olhada no arquivo .inc do squid nessa opção e restaure ao padrão.
    Espero que você tenha feito backup antes da modificação, mas pelo jeito não fez. Ou fez?

    haha.. não fiz não… mas posso restaurar tudo e depois voltar a configurar...

    vou provar e comento o que foi...



  • @vithort:

    @johnnybe:

    Espero que você tenha feito backup antes da modificação, mas pelo jeito não fez. Ou fez?

    haha.. não fiz não… mas posso restaurar tudo e depois voltar a configurar...

    Qualquer dia eu faço um tutorial sobre backup e restauração pegando no pé dos profissionais.  8)
    Por sinal, já comecei a fazer isso. :D
    Não me leve a mal, serve pra mim também. Já me aconteceu. Não acontece mais.



  • acabei de descobrir que as alterações bagunçaram meu Server. Agora não está funcionando o Traffic Grafic…

    tentando arrumar a bagunça...

    No Dashboard Traffic Graph mostra o fluxo dos dois: WAN e LAN nos gráficos, más quando acesso pelo menu STATUS > Traffic Graph a opção LAN sai uma mensagem: Error 503 – Service Not Avaliable

    =(



  • Conforme eu disse antes, o tutorial sobre backup e restauração está pronto para consulta:
    http://www.nextsense.com.br/blog/archives/706



  • Vithort. Boa Tarde.Tenho muitos clientes que usam link satélites. Consegui um ótimo resultado configurando as redes dos clientes da seguinte forma:

    1 - Caso tenha um windows server em sua rede instale o servidor WSUS para a centralização dos updates apenas no servidor. siga o seguinte tutorial:

    http://douglasfilipe.wordpress.com/2008/11/27/wsus2008/

    Adicione um agendamente nessa tarefa para que as atualização sejam feitas apenas em horários em que o link esteja ocioso. Por exemplo de madrugada.

    Redirecione os hosts da rede para atualizar via WSUS nos horários e dias determinados por voce.

    2 - Sempre apresento aos meus clientes o anti-virus ESET Nod32 Business Edition. Essa ferramenta além de excelente no que se propõe a fazer, acompanha uma outra aplicação chamada ESET ERA Server ( que também inclui um servidor central de atualização ). Caso tenha interesse eu posso lhe auxiliar na compra desse produto pois sou representante da ESET em minha região. E ainda posso lhe ajudar para configurar a ferramenta. Essa solução v ia he dar uma economia de banda em atualizações de banco de dados de anti-virus e ainda lhe provê controle central das máquinas de sua rede.

    3 - No squidguard na sua lista de acl's negue o acesso de siteupdates ( deny ). Isso lhe dará uma boa economia de banda. Voce pode ativar também outras lista para que diminua o seu consumo de banda com usos não pertinentes ao trabalho dentro de sua rede.

    4 - Por último vá em cada host da rede e tirei todas as toolbar instaladas nos navegadores.  Essas aplicações em sua maioria são denecessárias e muitas são infecções e pragas digitais. Passe a ferramenta combofix em todas as máquinas para retirar possiveis infecções.

    5 - Rode o cclener em todas as máquinas para limpeza e retirada de erros.

    Acho que se voce fizer esses passos poderá resolver todo ou parte de seu problema em relação a link via satelite.

    Espero ter ajudado.

    ATT

    Breno Alencar



  • o procedimento do colega é bacana, mas se quiseres testar coloque isso no seu custom options:
    refresh_pattern -i .apple.com/..(pkg|dmg) 129600 100% 129600 override-expire override-lastmod reload-into-ims ignore-reload ignore-no-cache ignore-private;refresh_pattern -i .microsoft.com/..(cab|exe|msi|msp) 129600 100% 129600 override-expire override-lastmod reload-into-ims ignore-reload ignore-no-cache ignore-private;refresh_pattern -i .windowsupdate.com/..(cab|exe|msi|msp) 129600 100% 129600 override-expire override-lastmod reload-into-ims ignore-reload ignore-no-cache ignore-private;refresh_pattern -i .ubuntu.com/..(tar|bz|bz2|gpg|gz|zip|deb) 129600 100% 129600 override-expire override-lastmod reload-into-ims ignore-reload ignore-no-cache ignore-private;refresh_pattern -i .adobe.com/..(exe|msi) 129600 100% 129600 override-expire override-lastmod reload-into-ims ignore-reload ignore-no-cache ignore-private;refresh_pattern -i .pinnaclesys.com/..(cab|exe|msi|rar|zip) 129600 100% 129600 override-expire override-lastmod reload-into-ims ignore-reload ignore-no-cache ignore-private;refresh_pattern -i /..(jpg|bmp|tif|gif|png|tiff|jpeg|raw|pict|psd) 10080 100% 10080 override-expire override-lastmod reload-into-ims ignore-reload ignore-no-cache ignore-private;refresh_pattern -i /..(doc|docx|xls|xlsx|ppt|pptx|pdf|dot|txt) 10080 100% 10080 override-expire override-lastmod reload-into-ims ignore-reload ignore-no-cache ignore-private;refresh_pattern -i /.*.(iso|wmv|mov|rm|avi|wav|mp3|mp4|mpeg|mpg|divx|xvid|swf|flv|x-flv) 10080 100% 10080 override-expire override-lastmod reload-into-ims ignore-reload ignore-no-cache ignore-private;refresh_pattern -i .symantecliveupdate.com/..(zip|exe) 1440 100% 1440 override-expire override-lastmod reload-into-ims ignore-reload ignore-no-cache ignore-private;range_offset_limit 0;refresh_pattern -i ^ftp: 1440 20% 10080;refresh_pattern -i ^gopher: 1440 0% 1440;refresh_pattern -i (/cgi-bin/|?) 0 0% 0;refresh_pattern -i . 0 20% 4320;quick_abort_min 0 KB;quick_abort_max 0 KB;quick_abort_pct 100;redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf;redirector_bypass on;redirect_children 3

    A única diferença mesmo é que a opção range_offset_limit em 1 força o download a continuar mesmo que o micro esteja desligado, o que acaba sugando o seu link, e já sendo satélite isso piora e muito, falo isso porque apanhei pra chegar nessa configuração.



  • Quanto as suas configurações:
    Não sei se tem algo a ver, mas Meu Proxy Server esta configurado assim:

    Hard Disk cache size: 10240 (vou subir um pouco mais, alguma sugestão?)
    HD Cache System: ufs
    Memory cache size: 1024
    Minimum object size: 0
    Maximum object size: 300000
    Maximum object size in RAM: 32
    Level 1 subdirectories: 16
    Memory replacement policy: Heap GDSF
    Cache replacement policy: Heap LFUDA
    Low-water-mark in %: 90
    High-water-mark in %: 95

    Podes aumentar a memória, ou vais colocar mais pacotes como o snort ou parecido, se tens 4 giga coloca 2 logo de uma vez, objeto maximo em memória aumenta coloca ae uns 128, de resto creio que estaria legal.

    Com as configurações que postei antes o cache do windows está funcionando legal, assim como  a maioria dos outros arquivos ali também.



  • valeu a todos… segui a dica de vocês e deu tudo certo.

    mas primeiro tive que reinstalar o pfsense porque tinha feito bagunça.

    valeu breno, valeu rafael.cardoso.

    obrigado pelas dicas.



  • Posta a sua solução escolhida em detalhes para que possamos ajudar outros amigos que por ventura tenham o mesmo problema. Se possive posta acompanhado de um tutorial. Caso queria posta somente a solução que eu me proponho a fazer o tutorial para os demais colegas.

    Abraços

    ATT

    Breno Alencar



  • oi,

    eu fiz tudo como indicado, só que como já estava uma bagunça o Proxy, resolvi instalar tudo novamente e fazer o que me indicaram, so isso!

    é só ler os comentários e seguir o que eles me indicaram.

    valeu



  • Jack. é impressão minha ou quando ALGUNS membros chegam a uma solução desejada eles ficam com preguiça ou má vontade de compartilhar a solução com os demais colegas. Mesmo tendo sido ajudado nas mais diversas maneiras!

    Fica ai uma dica pra galera. Vejo muito isso em forum e mais forum. Sempre a mesma coisa. Solução resolvida sem respostas aos demais.

    Sinto muito por isso. Só estou querendo ajudar.

    Abraços a todos.

    ATT

    Breno Alencar



  • @breno.uni:

    Jack. é impressão minha ou quando ALGUNS membros chegam a uma solução desejada eles ficam com preguiça ou má vontade de compartilhar a solução com os demais colegas. Mesmo tendo sido ajudado nas mais diversas maneiras!

    Pois é Breno… Como você mesmo frisou, o normal é não voltarem para postar os resultados (infelizmente). Aqui no fórum do pfSense até que isso não é tão grave assim (pelo menos ainda). A maioria da galera volta e passa ao menos um feedback.

    Claro que a ideia que norteia e alimenta as comunidades de softwares open-source é a reciprocidade, mas a sua ausência não deve desanimar quem trabalha fazendo documentação ou mesmo desenvolvendo código. Por isso vamos em frente!

    Aliás, parabéns pelo seu recente envolvimento confeccionando e postando tutoriais. É assim que fazemos a diferença no mundo SL! ;)

    Abraços!
    Jack



  • Bom, para esse tipo de tarefa, não recomendo o uso de um Servidor Proxy.

    Por questões de Gerenciamento.

    Para centralizar as atualizações do Windows, utilize o WSUS(Windows Server Update Services), com ele você baixa as atualizações necessárias em um local apenas e escolhe quais serão ou não instaladas nas máquinas. Isso é ótimo quando possuimos aplicações que podem ser influenciadas por uma atualização critica, por exemplo.
    Outra vantagem do WSUS, é que se você formatar a máquina, não precisa baixar tudo denovo, basta apenas colocala no Dominio.

    Sobre antivirus, recomendo optar por soluções de cunho corporativo, como o Kaspersky, F-Secure, G-Data. O investimento é baixo perto do beneficio que podem trazer, principalmente porque essas soluções possuem gerenciamento centralizado, com centralização de atualizações parecidas com o WSUS.


Log in to reply