sysctl no FreeBSD

já tinhamos o sysctl.conf configurado em nossos FreeBSD mas uma pesquisa recente mostrou-me que houveram algumas modificações em relação a um artigo meio antigo que eu utilizava como base; encontrei novo artigo, por sinal bastante extenso, e que estou avaliando/utilizando em VirtualBox.

Controle de Banda com PF

Na lista FUG-BR o colega Renato Frederick deu uma receitinha bem
interessante para controle de banda com o pf, a qual reproduzo aqui:

Faz-se as filas na interface, neste exemplo o link é de 100Mb e está
conectado á xl0 e temos 2 clientes(e o "resto" que vai pro que não tem tráfego explicitamente detalhado):

altq on $ext_if bandwidth 100Mb queue { cliente1 cliente2 default_dmz }

define-se dos 100Mb quanto que cliente1 e cliente2 vai ter e o resto pra default_dmz:

queue cliente1 bandwidth 2Mb priority 4 qlimit 1000 cbq(red)
queue cliente2 bandwidth 8Mb priority 4 qlimit 1000 cbq(red)
queue default_dmz bandwidth 80Mb priority 4 qlimit 1000 cbq(default,borrow)

lembrando que a some dos queue nao pode passar o bandwitdh declarado acima.

note que estou usando o algorítimo RED para fazer o ALTQ, no link[1] você vê mais detalhes dos algorítimos disponíveis.

Também na DMZ eu joguei o borrow, ou seja, os 80Mb da DMZ pode "tomar" banda do cliente2 e cliente2, caso precise, seria como as prioridades que o IPFW tem.


Agora basta colocar uma linha no final de cada regra de pass out pra indicar que esta regra vai ser associada a uma destas queue:


Ex, uma regra que era assim, liberando o cliente1 a conectar a qq local:

pass out quick on $ext_if proto { tcp udp } from { $cliente1 } port > 1023 to any keep state

fica assim:

pass out quick on $ext_if proto { tcp udp } from { $cliente1 } port > 1023 to any queue cliente1 keep state

as regras que eu quero que compartilhem os 80Mb eu não declaro nenhum queue, ele vai pegar o que está como default acima:

pass out quick on $ext_if proto tcp from port $ftp_ports to any port > 1023 keep state



Observe que isto faz o tráfego de output.

para fazer de input, repete-se a mesma coisa, só que a ext_if vai ser substituida pela int_if(ou o nome que você dá pra interface interna) no altq e o queue nao vai ser no pass out, vai ser no pass in e você não vai poder
usar o keep state, vai ter que declarar uma regra de pass out e outra de pass in, senão o keep state cria o retorno sem queue.

a referência: [1]http://openbsd.org/faq/pf/queueing.html

o post original está aqui

(re)compilando o kernel do FreeBSD

uma dica interessante que (salvo engano) foi apresentada, em primeira mão, pelo garga, e hoje repetida pelo colega Ricardo Campos Passanezi, na lista FUG:

(o link do post original está aqui)

Em vez de ficar copiando o GENERIC sempre, é mais fácil/prático criar
seu arquivo mais ou menos assim:

include GENERIC
ident MINHAMAQUINA

# Firewall
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_FORWARD
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPDIVERT
options IPSTEALTH
options TCPDEBUG

# Statically Link in accept filters
options ACCEPT_FILTER_DATA
options ACCEPT_FILTER_DNS
options ACCEPT_FILTER_HTTP

options DUMMYNET

options ZERO_COPY_SOCKETS


(obs: coloque as opções que colocaria no arquivo GENERIC copiado).

Se quiser retirar alguma opção (como faria comentando ou removendo a
linha do GENERIC), coloque um "nooptions", por exemplo. No caso do
WITNESS (que eu tinha removido quando estava testando o 8):

nooptions WITNESS


--
Ricardo Campos Passanezi

Nagios e Cacti no FreeBSD

Cacti:

Instalação Cacti + Plugins no FreeBSD 7.0 (FUG-BR)

Cacti - O melhor monitor de link (VivaOLinux)

Cacti Users - site completo

Nagios

documentação oficial (versão 2)

tutorial FUG-BR (Configurando o Nagios)

Setting Up Nagios in FreeBSD

FreeBSD nagios install & configure

Installing Nagios (a partir do fonte) - qualquer distribuição

Plugins da comunidade Nagios

My Plugins for Nagios (site independente)

edson brandi e servidores DNS

o edison brandi, longamente desaparecido da lista FUG-BR, resolveu dar o ar de sua graça e nos brindou com um excelente artigo, no seu blog, sobre servidores DNS dinâmicos.

o link está aqui, pra quem quiser conferir - usando FreeBSD e bind-9 :)

divirtam-se

ZFS no FreeBSD (revisado)

Instalação do ZFS no FreeBSD

ZFS quick start guide

Instalando exclusivamente ZFS no FreeBSD

Instalando exclusivamente, mas usando gpart e GPT

instalação em apple (mas deve servir para os demais)

instalação, conforme wiki.freebsd.org

mais um (do wiki) usando GPT e mirroring

problemas de segurança:
Atenção usuários de ZFS...


---------- Forwarded message ----------
From: Pawel Jakub Dawidek
Date: Tue, Nov 10, 2009 at 8:45 PM
Subject: HEADS UP: Important bug fix in ZFS replay code!
To: freebsd-current@freebsd.org
Cc: freebsd-fs@freebsd.org


Hi.

There was important bug in ZFS replay code. If there were setattr logs
(not related to permission change) in ZIL during unclean shutdown, one
can end up with files that have mode set to 07777.

This is very dangerous, especially if you have untrusted local users, as
this will set setuid bit on such files. Note that FreeBSD will remove
setuid bits when someone will try to modify the file, but it is still
dangerous.

You can locaAtenção usuários de ZFS...


---------- Forwarded message ----------
From: Pawel Jakub Dawidek
Date: Tue, Nov 10, 2009 at 8:45 PM
Subject: HEADS UP: Important bug fix in ZFS replay code!
To: freebsd-current@freebsd.org
Cc: freebsd-fs@freebsd.org


Hi.

There was important bug in ZFS replay code. If there were setattr logs
(not related to permission change) in ZIL during unclean shutdown, one
can end up with files that have mode set to 07777.

This is very dangerous, especially if you have untrusted local users, as
this will set setuid bit on such files. Note that FreeBSD will remove
setuid bits when someone will try to modify the file, but it is still
dangerous.

You can locate such files with the following command:

# find / -perm -7777 -print0 | xargs -0 ls -ld

You can locate and fix such files with the following command:

# find / -perm -7777 -print0 | xargs -0 chmod a-s,o-w,-tte such files with the following command:

# find / -perm -7777 -print0 | xargs -0 ls -ld

You can locate and fix such files with the following command:

# find / -perm -7777 -print0 | xargs -0 chmod a-s,o-w,-t

vlan no FreeBSD e Linux (updated)

alguma documentação interessante sobre vlans:

FreeBSD VLAN mini HowTo documentação de 2007 mas bem atual.

artigo na FUG-BR Configurando Interfaces VLAN no FreBSD

artigo na Nixcraft a respeito (para FreeBSD)

artigo no Viva o Linux: Criando Redes Locais Virtuais (VLANs) com Linux - apesar de ser focado no Linux, os conceitos apresentados são universais.

artigo bem interessante no Under-Linux

pra variar, link no google a respeito ;) (para FreeBSD)

link no mesmo google, mas para Linux

instalando FreeBSD em virtual machine

essa dica referencia o Fedora, mas eu a utilizei para instalar o FreeBSD 7.2 em um CentOS 5.3, sem problemas.

Starting a New Experience

Installing FreeBSD 7 as a Virtual Machine Guest on Fedora 8…

a unica diferença é que ao invés de

# yum install libvirt virt-manager

eu acrescentei o qemu:

# yum install qemu libvirt virt-manager

multi dominios no FreeBSD

LinuxQuestions - bind dns com dominios multiplos

BSD Unix - bind dns com dominios multiplos

Generic DNS references and tips (devshed)

tuning e segurança via sysctl.conf FreeBSD

Mateus Lambert: FreeBSD mais seguro com sysctl

este aqui é bem comentado:

Nick Johnson: FreeBSD Network performance tuning

post da dru lavigne sobre update/upgrade do /usr/ports

tuning do FreeBSD

polling dos devices:

FreeBSD Set Network Polling To Boost Performance

FreeBSD Device Polling
pagina do Luigi Neri sobre 'device polling'

exemplo de configuração "polling": ifconfig_nfe0="inet 200.152.88.34/30 polling up"

Multiple Kernels on FreeBSD

TCP Tuning guide

Tuning FreeBSD for different applications

Lista especializada em tuning do FreeBSD

post de Dru Lavigne a respeito da compilação de ports

redundancia de link em FreeBSD

um bom artigo, no site da FUG-BR a respeito de redundancia de links utilizando o FreeBSD

utilização do dig, correção do bind

DIG
dig any +nocmd +multiline +trace
o dominio sobre o qual vc quer a informação
any -> qualquer informação
o +trace apenas se quisermos saber o percurso que o dig executou para encontrar a informação.

BIND
um êrro comum no bind surge nos logs, quando (re)iniciamos o named:

"directory is not writable"

a solução nem é tão dificil, está neste post na FUG-BR

Oracle 10g no FreeBSD 6.x

Oracle 10g Express no FreeBSD 6.X

FreeBSD - instalação automatica

alguns links para instalação automática do FreeBSD:

link 01 - Current Tools And Strategies for Automated System Installation

link 02 - FreeBSD Easy Installation Generator

link 03 - HowTo Automatically [...] using WDS and PXELinux

gerando certificados SSL no FreeBSD

Generate an SSL certificate:

openssl req -new -x509 -nodes -out smtpd.pem -keyout smtpd.pem -days 3650

debate - BSDs x Linux, etc

comparativo entre FreeBSD e Linux

comparativo no FreeSoftwareMagazine

Virtual Servers (jail) em FreeBSD

links de alguns artigos que encontrei por aí, sobre virtualização e jails em FreeBSD

Setting up FreeBSD jails as virtual servers

FreeBSD jail software and documents

The FreeBSD Diary -- Using a jail as a virtual machine

[Dicas-L] Criando servidores virtuais com FreeBSD jail

Virtualization with FreeBSD Jails (vide FreeBSD Diary)

FreeBSDNews: securing network services with jails

FreeBSDNews: Creating and Maintening...

Atualização FreeBSD para 7.2

Atualização FreeBSD para 7.2

Hardening FreeBSD

http://www.bsdsec.com/Main/Hardening