Menu Principal

segunda-feira, 4 de novembro de 2013

VO2 MÁX

Uma dúvida que aparece bastante entre meus alunos é sobre o VO2máx. O que é, para que serve e qual a diferença entre homens e mulheres costumam ser as perguntas mais freqüentes. Neste artigo vou tentar responder a essas questões de uma maneira simples.

O VO2máx é o volume máximo de oxigênio que o corpo consegue “pegar” do ar que está dentro dos pulmões, levar até os tecidos através do sistema cardiovascular e usar na produção de energia, numa unidade de tempo. Este valor pode ser obtido indireta (através de diferentes testes, cada qual com seu protocolo e suas fórmulas) ou diretamente (pelo teste ergoespirométrico).

O teste ergoespirométrico, conhecido de muita gente (aquele teste que o corredor faz na esteira com uma máscara no rosto e um monte de eletrodos no corpo), além do VO2máx, encontra também os limiares anaeróbicos L1 e L2, que ajudam muito no treinamento (estes limiares são normalmente fornecidos em velocidade e/ou freqüência cardíaca – FC).

Com esses dados é possível planejar um treino mais estruturado. Veja o exemplo do treino com a FC ou velocidade de corrida: - abaixo do L1: regenerativo
- entre L1 e L2: aeróbico. O corredor consegue manter o ritmo por bastante tempo
- acima do L2: intenso/anaeróbico. Quanto mais longe do L2, menor o tempo que o corredor consegue manter o ritmo
É claro que com os dados obtidos no teste, seu treinador conseguirá periodizar melhor seu treino de acordo com seus objetivos pessoais.

Mas engana-se quem acha que o VO2máx é uma variável como a freqüência cardíaca, que você pode medir com um frequencímetro. O VO2máx é usado para medir o “condicionamento” e o quão “condicionável” é o indivíduo. Costuma ser o melhor índice fisiológico para classificação e triagem de atletas. E mais, normalmente é genético, não podendo ser melhorado muito acima de 20 ou 30%. Além disso, alguns outros fatores também influem no seu valor, tais como:
- taxa de gordura. Quanto maior a taxa de gordura do indivíduo, menor seu VO2máx;
- idade. Quanto maior a idade, menor o VO2máx;
- musculatura. Quanto maior a musculatura, maior o VO2máx, entre outros.

Fonte: http://www.webrun.com.br/h/noticias/o-que-e-o-vo2-maximo/5823
Outra coisa que vale a pena ressaltar é que se o indivíduo for sedentário, provavelmente, com o treinamento, poderá ter seu VO2máx melhorado em até 30%. Já um atleta muito bem treinado, mesmo dando continuidade ao seu treinamento, dificilmente conseguirá melhorar seu VO2máx. Ou seja, quanto mais treinado for o indivíduo, menos ele pode melhorar seu VO2max, às vezes nem 1%. Porém, vale lembrar que mesmo sem aumentar seu consumo máximo de oxigênio, o desempenho deste indivíduo pode melhorar.
Utilidade do VO2 Máximo Imagine um homem sedentário que decide virar atleta profissional e fazer das corridas o seu ganha-pão? Ele faz um teste ergoespirométrico e seu VO2máx fica em torno de 35mL/kg/min, o que não é uma marca ruim para um sedentário.
Lembre-se que, por ser sedentário, seu VO2máx pode aumentar por volta de 30% com o treinamento, o que daria um valor aproximado de 45mL/kg/min. Este valor de VO2máx é bom se comparado à população em geral, mas muito abaixo do índice dos melhores maratonistas, que gira em torno de 70mL/kg/min. Isso significa que dificilmente ele conseguiria resultados expressivos em provas, ou seja, talvez fosse melhor que ele escolhesse outra carreira.
Mas isso não significa que este indivíduo não possa completar uma maratona. Claro que pode. E mais, se continuar com os treinos, consegue até superar suas próprias marcas.

É pelo fato do VO2max ser genético, que algumas pessoas, com apenas um pouco de treino, conseguem alcançar “tempos” que para nós, meros mortais, só com muito treino e às vezes, nem assim.

Diferença entre homens e mulheres - Vale lembrar que existem várias diferenças fisiológicas entre homens e mulheres. E o Vo2máx é uma delas. Estatisticamente falando, o VO2máx das mulheres costuma ser de 10 a 15% menor que o dos homens.

quinta-feira, 31 de outubro de 2013

http://www.phcco.com/alta-disponibilidade-e-balanceamento-de-carga-http-com-haproxy
http://blog.carlosmalucelli.com/2011-11-24.simples-solucao-load-balance-com-haproxy.html

É uma solução open source em balanceamento de carga para serviços baseados em TCP. Também há o LVS (Linux Virtual Server). O fator mais importante que diferencia as duas soluções (LVS e HAproxy) é que um deles atua diretamente (e exclusivamente) na camada 4 (LVS) e o outro na camada 7 (HAproxy).

quarta-feira, 2 de outubro de 2013

Backup do DHCP usando comando netsh

Netsh é um utilitário para elaborar scripts de linha de comando que permite, local e remotamente, exibir ou modificar a configuração de rede de um computador em execução no momento. O Netsh fornece também um recurso de script que permite executar um grupo de comandos no modo de lotes em um computador especificado. O Netsh também pode salvar um script de configuração em um arquivo de texto para fins de arquivamento ou para ajudar a configurar outros servidores.
fonte:
http://technet2.microsoft.com/windowsserver/pt-br/library/61427fbd-de1f-4c8a-b613-321f7a3cca6a1046.mspx?mfr=true
Exemplo da utilidade do comando netsh.
Se você precisa criar um simples backup do seu dhcp, é mais fácil fazer a cópia do modo tradicional. Botão direito > backup (w2k3).
mas se você precisa exportar de uma maquina e importar com algumas configurações personalizadas o netsh serve muito bem para isso,
Segue comando, logue o servidor dhcp e execute:
GERAR UM DUMP
start > run > cmd > netsh dhcp server dump > “caminho do arquivo.txt”
EXPORTAR AS CONFIGURAÇÕES DO DHCP
netsh dhcp server export > “caminho do arquivo” all
IMPORTAR AS CONFIGURAÇÕES DO DHCP
netsh dhcp server import > “caminho do arquivo” all
usei o “all” no final do comando pois estou especificando que quero um export de todos os escopos, se quisessem somente de um colocaria o nome dele no lugar do parâmetro “all”.

terça-feira, 1 de outubro de 2013

segunda-feira, 30 de setembro de 2013

Serviço NTP

FONTE: http://www.ntp.br/NTP/MenuNTPNtp

As mensagens do NTP são baseadas no protocolo UDP, que é um protocolo não confiável e não orientado à conexão.
A troca de mensagens entre cliente e servidor permite que o cliente descubra qual seu deslocamento (offset) em relação ao servidor, ou seja, o quanto seu relógio local difere do relógio do servidor.
Consideremos servidor e cliente com relógios não sincronizados. A troca de mensagens, ilustrada na Figura 3, dá-se da seguinte forma:

  1. O Cliente lê seu relógio, que fornece o tempo a.
  2. O Cliente envia a Mensagem 1 com a informação de tempo a para o servidor.
  3. O Servidor recebe a Mensagem 1 e nesse instante lê seu relógio, que fornece o instante x. O Servidor mantém a e x em variáveis.
  4. O Servidor após algum tempo lê novamente seu relógio, que fornece o instante y.
  5. O Servidor envia a Mensagem 2 com a, x e y para o cliente.
  6. O Cliente recebe a Mensagem 2 e nesse instante lê seu relógio, que fornece o instante b.
Figura 3: Troca de mensagens (1)
Ao receber a Mensagem 2, o Cliente passa a conhecer os instantes a, x, y e b. Mas a e b estão numa escala de tempo, enquanto x e y em outra. O valor do incremento dessas escalas é o mesmo, mas os relógios não estão sincronizados.
Não é possível, então, calcular o tempo que a Mensagem 1 levou para ser transmitida (T-ida), nem o tempo que a Mensagem 2 gastou na rede (T-volta). Contudo, o tempo total de ida e volta, ou atraso (também conhecido por Round Trip Time ou RTT) que é a soma T-ida + T-volta pode ser calculado como:
atraso (delay) = (b-a)-(y-x).
Considerando-se que o tempo de ida é igual ao tempo de volta, pode-se calcular o deslocamento entre o servidor e o relógio local como como:
deslocamento (offset) = x - (a + atraso/2) =
deslocamento (offset) = (x-a+y-b)/2.
Para facilitar a compreensão, considere-se o seguinte exemplo numérico.

  1. O Cliente lê o relógio: a=9.
  2. O Cliente envia a Mensagem 1 (a=9).
  3. O Servidor recebe a Mensagem 1 (a=9) e lê seu relógio: x=4.
  4. O Servidor algum tempo depois lê seu relógio novamente: y=9.
  5. O Servidor envia a Mensagem 2 (a=9, x=4, y=9).
  6. O Cliente recebe a Mensagem 2 (a=9, x=4, y=9) e lê seu relógio: b=18.
Figura 4: Troca de mensagens - exemplo (1)
Ao olhar a Figura 4, é fácil observar que T-ida=2 e T-volta=2. Contudo, nem o Cliente nem o Servidor têm essa visão. O Servidor ao final da troca de mensagens descarta todas as informações sobre a mesma. O Cliente conhece as variáveis a=9, x=4, y=9 e b=18, mas à partir delas é impossível calcular T-ida ou T-volta. Contudo, é possível calcular o atraso e o deslocamento:
atraso = (b-a)-(y-x) = (18-9)-(9-4) = 9 - 5 = 4.

deslocamento = (x-a+y-b)/2 = (4-9+9-18)/2 = -14/2 = -7.
Um deslocamento de -7 significa que o relógio local do Cliente deve ser atrasado 7 unidades de tempo para se igualar ao do Servidor.
Note-se que foi assumido alguns parágrafos acima, para se conseguir calcular o deslocamento, que T-ida = T-volta. Mas isso nem sempre é verdade! Há atrasos estocásticos nas redes devido às filas dos roteadores e switchs. Numa WAN ou na Internet enlaces de diferentes velocidades e roteamento assimétrico, além de outros fatores, também causam diferenças entre T-ida e T-volta.
No entanto o NTP funciona exatamente dessa forma, considerando que T-ida = T-volta.
Isso implica num erro. Esse erro, representado na Figura 5, é no pior caso igual à metade do atraso. Ou seja:
deslocamento - atraso/2 <= deslocamento verdadeiro <= deslocamento + atraso/2
Figura 5: Erro do deslocamento por causa da assimetria
Tome-se o seguinte exemplo numérico, ilustrando o pior caso. Os servidores são os mesmos da Figura 4, mas a primeira mensagem leva um tempo desprezível pra ser enviada, enquanto a segunda demora 4 unidades de tempo: a=9; x=2; y=7; b=18. Nesse caso T-ida=0 e T-volta=4. O exemplo está ilustrado na Figura 6.
Figura 6: Troca de mensagens - assimetria (1)
Calcula-se o atraso como:
atraso = (b-a)-(y-x) = (18-9)-(7-2) = 9 - 5 = 4.

deslocamento = (x-a+y-b)/2 = (2-9+7-18)/2 = -18/2 = -9.
O deslocamento está errado! Sabe-se que o valor correto é -7, contudo o valor calculado é -9. Isso deve-se a assimetria da rede, no tocante a T-ida e T-volta. No entanto, à partir do cálculo do deslocamento e do atraso, e levando em conta a limitação do método, que considera T-ida=T-volta, sabe-se que o deslocamente verdadeiro está entre:
deslocamento - 2 <= deslocamento verdadeiro <= deslocamento + 2

-9 -2 <= deslocamento verdadeiro <= -9 + 2

-11 <= deslocamento verdadeiro <= -7
Ou seja, dado um deslocamento de -9 e um atraso de 4, sabe-se que o valor verdadeiro do deslocamento é algo entre -11 e -7, mas não há como ter certeza de qual o valor. Como nesse exemplo o valor correto é conhecido de antemão, -7, pode-se verificar que o cálculo funciona adequadamente.

O Algorítmo de Filtro de Relógio

Através da troca de mensagens, o NTP consegue as informações de atraso e deslocamento de um servidor. Essa troca de mensagens não é realizada uma única vez. Ela se repete periodicamente, com o período dinamicamente controlado pelo NTP.
No início da sincronização o cliente NTP faz uma consulta a cada servidor a cada 64s. Esse período varia ao longo do tempo, geralmente aumenta, até chegar a 1024s (aproximadamente 17min). As variáveis minpoll e maxpoll definem o mínimo e o máximo, e são representadas em potência de 2. Ou seja, por padrão minpoll = 6 (26=64) e maxpoll = 10 (210=1024). Numa consulta à lista de servidores NTP, a variável poll representa o período e a variável when é um contador que indica quantos segundos se passaram desde a última consulta; quando poll = when uma nova consulta é realizada e a variável when é zerada. Se o parâmetro iburst é utilizado na configuração de um servidor, a taxa de envio de pacotes é acelerada no início da sincronização, de forma a se conseguir um conjunto de dados mais depressa. A variável reach representa um registrador de deslocamento de 8 bits, cujo valor é mostrado no formato octal. Um bit 1 significa que o cliente obteve resposta do servidor para uma consulta. Então o valor 377 = 11.111.111, significa que as últimas 8 consultas ao servidor foram bem sucedidas.
       usuario@servidor:~$ ntpq -c pe
         remote     refid    st   t when poll reach   delay   offset  jitter
       ======================================================================
       *servidor1   .IRIG.    1   u   93  128  377    0.523    0.020   0.033
       +servidor2   .GPS.     1   u   57  128  377    0.488   -0.054   0.025
       -servidor3   .IRIG.    1   u   50  128  377    5.151   -0.386   0.382
       +servidor4   .IRIG.    1   u   34   64  377    5.163   -0.360   0.559


Figura 7
É importante notar então, que não há apenas um valor de atraso e um de deslocamento para cada servidor, mas um conjunto deles, provenientes das diversas trocas de mensagem! A partir dessa lista de valores, o Algorítmo de Filtro de Relógio calcula então um valor de atraso (delay), de deslocamento (offset) e de variação (jitter).
Na verdade, cada amostra é composta de 4 valores: atraso, deslocamento, dispersão e estampa de tempo. A estampa de tempo indica quando a amostra chegou. A dispersão é o erro estimado do relógio de servidor remoto, informada pelo servidor na mensagem NTP.
A lista com os valores é ordenada em função do atraso. Considera-se que as amostras com menor atraso são melhores porque provavelmente não se sujeitaram a filas nos switches e roteadores, de forma que parte das variações estocásticas de tempo no envio e recebimento das mensagens é evitada com essa escolha.
Os valores mais antigos são descartados, porque o valor de deslocamento pode não mais corresponder à realidade, já que a exatidão do relógio local varia ao longo do tempo.
Após descartar as amostras antigas, resta uma lista com as amostras mais recentes e ordenadas em função do atraso. Da primeira entrada dessa lista são retiradas as variáveis atraso e deslocamento para o par cliente servidor (note-se que para cada par cliente - servidor há uma variável de cada tipo).
A dispersão e a variação são calculadas levando em conta todos os valores da lista.
A Figura 7 ilustra o funcionamento desse algorítmo.
Os valores para cada servidor associado podem ser consultados no NTP como segue:
       usuario@cliente.local:~$ ntpq
       ntpq> pe
         remote     refid    st   t when poll reach   delay   offset  jitter
       ======================================================================
       -servidor1   .IRIG.    1   u    8   32  377    0.407    0.248   0.016
       -servidor2   .GPS.     1   u    -   32  377    0.474    0.213   0.019
       +servidor3   .GPS.     1   u    9   64  377   15.680   -0.005   0.026
       +servidor4   .IRIG.    1   u   30   64  377   15.582    0.004   0.100
       *servidor5   .GPS.     1   u   10   32  377    0.400   -0.026   0.049
       xservidor6   .IRIG.    1   u   26   64  377    7.824    9.923   0.367
        servidor7   .INIT.   16   u    - 1024    0    0.000    0.000 4000.00
       -servidor8   .ACTS.    1   u   13   64  377  202.274    2.459   0.309
        LOCAL(0)   LOCAL(0)  13   l   48   64  377    0.000    0.000   0.001
Detalhando os valores para o primeiro (&1) servidor da lista:
       ntpq> rv &1
       assID=47012 status=9314 reach, conf, sel_outlyer, 1 event, event_reach,
       srcadr=servidor1, srcport=123, dstadr=cliente.local, dstport=123,
       leap=00, stratum=1, precision=-19, rootdelay=0.000,
       rootdispersion=0.351, refid=IRIG, reach=377, unreach=0, hmode=3,
       pmode=4, hpoll=5, ppoll=5, flash=00 ok, keyid=0, ttl=0, offset=0.248,
       delay=0.407, dispersion=0.059, jitter=0.016,
       reftime=cacb6721.f903866e  Thu, Oct 25 2007 17:04:01.972,
       org=cacb6729.1e5c8d02  Thu, Oct 25 2007 17:04:09.118,
       rec=cacb6729.1e5a1448  Thu, Oct 25 2007 17:04:09.118,
       xmt=cacb6729.1e393ee5  Thu, Oct 25 2007 17:04:09.118,
       filtdelay=     0.44    0.41    0.56    0.56    0.58    0.54    0.58    0.53,
       filtoffset=    0.26    0.25    0.23    0.27    0.26    0.22    0.24    0.25,
       filtdisp=      0.00    0.03    0.06    0.09    0.12    0.15    0.18    0.21

O Algorítimo de Seleção dos Relógios

Uma vez que o Algorítmo de Filtro de Relógios tenha calculado os principais parâmetros referentes a cada servidor, faz-se importante descobrir quais deles são confiáveis e quais não. Os servidores que têm algum erro no tempo fornecido são chamados de relógios falsos (falsetickers, na literatura em inglês, a tradução é aproximada). Os servidores que fornecem a hora corretamente são chamados de relógios verdadeiros (truechimmers, em inglês, uma tradução mais literal seria algo como "badaladores verdadeiros").
Para a seleção dos relógios, o NTP considera como verdadeiro o deslocamento que se encontra dentro de um determinado intervalo de confiança, representado na Figura 8. Esse intervalo é calculado, para cada associação com um servidor, como:
intervalo de confiança = (deslocamento/2) + dispersão.
Figura 8
A Seleção de relógios busca um intervalo de intersecção para os valores de deslocamento de cada servidor, considerados os intervalos de confiança. Os servidores cujos deslocamentos ficam fora da intersecção são relógios falsos. A Figura 9 ilustra isso para 4 servidores, A, B e C são relógios verdadeiros, e D é um relógio falso:
Figura 9
Ao consultar-se a lista de servidores do NTP, os relógios falsos são identificados por um "x". No exemplo abaixo, o servidor6 é um relógio falso (esses símbolos, como o "x", usados para diferenciar os servidores, são chamados de tally-codes, para mais detalhes deve-se consultar a seção Utilizando.):
       usuario@cliente.local:~$ ntpq 
       ntpq> pe
         remote     refid    st   t when poll reach   delay   offset  jitter
       ======================================================================
       -servidor1   .IRIG.    1   u    8   32  377   0.407    0.248   0.016
       -servidor2   .GPS.     1   u    -   32  377   0.474    0.213   0.019
       +servidor3   .GPS.     1   u    9   64  377  15.680   -0.005   0.026
       +servidor4   .IRIG.    1   u   30   64  377  15.582    0.004   0.100
       *servidor5   .GPS.     1   u   10   32  377   0.400   -0.026   0.049
       xservidor6   .IRIG.    1   u   26   64  377   7.824    9.923   0.367
        servidor7   .INIT.   16   u    - 1024    0   0.000    0.000 4000.00
       -servidor8   .ACTS.    1   u   13   64  377 202.274    2.459   0.309
        LOCAL(0)   LOCAL(0)  13   l   48   64  377   0.000    0.000   0.001

O Algorítmo de Agrupamento

O algorítmo de Agrupamento trabalha com os servidores que são relógios verdadeiros, utilizando técnicas estatísticas, com o objetivo de selecionar os melhores dentre eles. Os critérios de seleção utilizados são:
  • estrato (stratum)
  • distância para a raiz
  • variação (jitter)
No processo alguns servidores são descartados, sendo chamados de relógios afastados (outlyers). Os que permanecem são chamados de relógios sobreviventes (survivors), algumas vezes na literatura em inglês utiliza-se candidatos (candidates) no mesmo sentido que sobreviventes, por conta do algorítmo utilizado onde, à princípio, todos os relógios verdadeiros são candidatos, mas apenas alguns sobrevivem.
O melhor dos relógios sobreviventes é considerado como par do sistema (system peer).
Na consulta abaixo, o par do sistema é indicado pelo "*" (em verde); os relógios sobreviventes por "+" (em azul); e os relógios afastados por "-" (em laranja) (esses símbolos, como o "*", "+" e "-", usados para diferenciar os servidores, são chamados de tally-codes, para mais detalhes deve-se consultar a seção Utilizando.):
       usuario@cliente.local:~$ ntpq
       ntpq> pe
         remote     refid    st   t when poll reach   delay   offset  jitter
       ======================================================================
       -servidor1   .IRIG.    1   u    8   32  377   0.407    0.248   0.016
       -servidor2   .GPS.     1   u    -   32  377   0.474    0.213   0.019
       +servidor3   .GPS.     1   u    9   64  377  15.680   -0.005   0.026
       +servidor4   .IRIG.    1   u   30   64  377  15.582    0.004   0.100
       *servidor5   .GPS.     1   u   10   32  377   0.400   -0.026   0.049
       xservidor6   .IRIG.    1   u   26   64  377   7.824    9.923   0.367
        servidor7   .INIT.   16   u    - 1024    0   0.000    0.000 4000.00
       -servidor8   .ACTS.    1   u   13   64  377 202.274    2.459   0.309
        LOCAL(0)   LOCAL(0)  13   l   48   64  377   0.000    0.000   0.001

O Algorítmo de Combinação de Relógios

Se o algorítmo de Agrupamento encontrar apenas um sobrevivente, ele será o par do sistema e será utilizado como referência para ajustar o relógio local. Se for usada a palavra chave prefer na configuração de um servidor e este estiver dentre os sobreviventes, ele será considerado como par do sistema e, mesmo que existam outros sobreviventes, estes serão ignorados. Nesses casos, o algorítmo de Combinação de Relógios não é utilizado.
Para os demais casos, quando há mais do que um sobrevivente e nenhum deles foi configurado com a palavra chave prefer, o algorítmo de Combinação de Relógios calcula uma média ponderada dos deslocamentos dos relógios, com o objetivo de aumentar a exatidão.
No exemplo abaixo os 3 servidores destacados contribuem para o valor de deslocamento de -0,119ms, mostrado nas variáveis do sistema.
       usuario@cliente.local:~$ ntpq

       ntpq> pe
         remote     refid        st   t when poll reach   delay   offset  jitter
       ==========================================================================
       +servidor1   .IRIG.        1   u    7   16  377    0.410   -0.087   0.022
       *servidor2   .GPS.         1   u    7   16  377    0.380   -0.128   0.052
       +servidor3   .IRIG.        1   u    5   16  377   14.750   -0.166   0.076
       -servidor4   200.1.2.123   2   u   15   16  377    0.449   -0.466   0.009
       xservidor5   .IRIG.        1   u   17   64  377    7.772    9.447   0.186
       xservidor6   .ACTS.        1   u   52   64  377  193.471    5.779   5.444
       -servidor    .GPS.         1   u    9   16  377    0.344   -0.486   0.071
       -servidor    200.1.2.123   2   u   45   64  377    4.437    1.423   0.723

       ntpq> rl
       assID=0 status=06f4 leap_none, sync_ntp, 15 events, event_peer/strat_chg,
       version="ntpd 4.2.2p4@1.1585-o Wed Mar  7 20:43:30 UTC 2007 (1)",
       processor="i686", system="Linux/2.6.20-16-generic", leap=00, stratum=2,
       precision=-20, rootdelay=0.380, rootdispersion=5.864, peer=40768,
       refid=servidor2,
       reftime=cad0765f.9bd22b77  Mon, Oct 29 2007 13:10:23.608, poll=4,
       clock=cad07677.9bbc05c3  Mon, Oct 29 2007 13:10:47.608, state=4,
       offset=-0.119, frequency=55.279, jitter=0.060, noise=0.014,
       stability=0.009, tai=0
No exemplo a seguir, apesar de haver 3 sobreviventes, foi usada a palavra chave prefer na configuração do servidor5. Como ele é um dos sobreviventes, foi escolhido como par do sistema e é o único responsável pelos parâmetros de sincronização. Nesse caso, o algorítmo de Combinação de Relógios não é utilizado:
       usuario@cliente.local:~$ ntpq

       ntpq> pe

         remote     refid    st   t when poll reach   delay   offset  jitter
       ======================================================================
       -servidor1   .IRIG.    1   u    6   32  377    0.364    0.393   0.032
       -servidor2   .GPS.     1   u    1   32  377    0.415    0.357   0.012
       +servidor3   .GPS.     1   u   40   64  377   19.990    0.002   0.019
       +servidor4   .IRIG.    1   u   11   64  377   14.804    0.318   0.172
       *servidor5   .GPS.     1   u    5   32  377    0.366   -0.001   0.017
       xservidor6   .IRIG.    1   u   19   64  377    7.779    9.969   0.235

       ntpq> rl
       assID=0 status=0654 leap_none, sync_ntp, 5 events, event_peer/strat_chg,
       version="ntpd 4.2.0a@1:4.2.0a+stable-8-r Mon Sep 18 19:09:33 UTC 2006 (1)",
       processor="i686", system="Linux/2.6.17-12-generic", leap=00, stratum=2,
       precision=-20, rootdelay=0.366, rootdispersion=12.913, peer=29992,
       refid=servidor5,
       reftime=cad07802.aea704bc  Mon, Oct 29 2007 13:17:22.682, poll=5,
       clock=cad0780b.f47980f5  Mon, Oct 29 2007 13:17:31.954, state=4,
       offset=-0.001, frequency=-23.914, noise=0.015, jitter=0.017,
       stability=0.037

Disciplina do Relógio Local

O processo de disciplina do Relógio Local controla a fase e a freqüência do relógio do sistema. Ele é baseado na combinação de duas filosofias de controle bastante diferentes entre si: Phase Locked Loop (PLL) e Frequency Locked Loop (FLL) (traduções desses termos são incomuns, mas poderiam ser Laço Controlado por Fase e Laço Controlado por Freqüência). Ambas as filosofias implementam controles onde há realimentação, ou seja, onde a informação de saída é usada novamente na entrada, como simbolizado na Figura 2, no início desse texto.
O controle baseado em fase é melhor para as ocasiões onde há uma grande variação (jitter). Essa abordagem procura minimizar o erro no tempo, controlando indiretamente a freqüência.
O controle baseado em freqüência é melhor para quando há instabilidades na freqüência (variações mais lentas que o jitter, conhecidas como wander). A abordagem controla diretamente a freqüência, e indiretamente o erro no tempo.
O NTP disciplina o relógio local de forma contínua, mesmo em períodos onde não é possível consultar servidores de tempo. As características do relógio local são medidas e se tornam conhecidas do NTP, o que torna possível que ele funcione dessa forma. O arquivo indicado pela chave driftfile (geralmente /var/lib/ntp/ntp.drift) na configuração armazena o erro esperado de freqüência para o relógio.
Algumas características importantes desse algorítmo:

  • Saltos no tempo são evitados sempre que possível. O tempo é ajustado para mais ou para menos gradualmente, variando-se a freqüência do relógio local.

  • Se uma diferença maior do que 128ms for detectada o NTP considera que o tempo está muito errado, e que é necessário um salto para frente ou para trás para corrigi-lo. Contudo isso só é feito se essa diferença maior que 128ms persistir por um período maior que 900s (15min), para evitar que condições de congestionamento grave mas temporário na rede, que podem levar a medições erradas de tempo, causem inadvertidamente esse tipo de salto.

  • Se uma diferença maior que 1000s (~16,7min) for detectada o algorítmo aborta a execução, considerando que algo muito errado aconteceu. Se houver diferenças dessa ordem ou maiores elas devem ser corrigidas manualmente antes de se executar o daemon NTP.

Segurança

Por segurança no contexto da Tecnologia da Informação entende-se basicamente garantir quatro propriedades da informação:
  • integridade,
  • disponibilidade,
  • autenticidade e
  • confidencialidade.
Os algorítmos vistos anteriormente, aliados à correta configuração do sistema, com um número suficiente de fontes de tempo com referências primárias independentes, garantem de forma satisfatória a integridade e disponibilidade do serviço de tempo. Os algorítimos de criptografia abordados neste item visam garantir a autenticidade da informação. Ou seja, têm o objetivo de assegurar ao cliente de que o servidor é quem ele diz ser.
A confidencialidade não é considerada um problema no contexto do NTP. Ou seja, a informação de tempo sempre trafega na rede de forma aberta, sem criptografia, mesmo quando uma assinatura cifrada é utilizada para garantir a autenticidade da informação. As razões principais para o NTP funcionar dessa forma são que:
  1. o tempo é uma informação pública, não há razão para esconder essa informação;
  2. trabalhar com a informação de tempo cifrada demandaria tempo tanto do servidor quando do cliente e degradaria o desempenho do sistema, fazendo-o menos exato.
Existem basicamente dois métodos no NTP para realizar a autenticação, chave simétrica (symmetric key) e chave pública (autokey).
Autenticação por Chave Simétrica (Symmetric key)
A autenticação por chave simétrica é o esquema utilizado originalmente na versão 3 do NTP, mas mantido da versão 4. Um conjunto de chaves deve ser gerado e compartilhado entre servidor e cliente. O NTP não fornece meios para a transmissão ou armazenamento seguro das chaves; isso deve ser feito com outros recursos.
Chaves simétricas podem ser usadas para:
  • autenticar servidores ou pares no modo simétrico ativo;
  • autenticar pares no modo simétrico passivo ou servidores broadcast ou multicast;
  • autenticar requisições dos programas de monitoração e controle ntpq e ntpdc.
Quando o daemon NTP é iniciado, ele lê o arquivo de chaves especificado pelo comando keys no arquivo de configuração e armazena-as num cache. Cada chave deve ser ativada com o comando trustedkey antes de ser usada. Isso pode ser feito com o programa em funcionamento, utilizando o ntpdc. Os comandos requestkey e controlkey selecionam as chaves utilizadas para autenticar os programas ntpdc e ntpq.
O arquivo de chaves pode conter várias chaves, uma em cada linha. Cada linha tem 3 colunas. A primeira é o número da chave, entre 1 e 65535. A segunda é o tipo da chave; recomenda-se utilizar M para MD5, que é representada por uma seqüência de até 31 caracteres ASCII (A versão 3 do NTP suportava também DES, mas além de ser pior, há problemas legais nos Estados Unidos, que consideram programas utilizando DES como munição, proibindo sua exportação). A terceira é a chave em si. Exemplo de arquivo com chaves:
       1   M    ABCDEFGHIJLMJNOPQRST
       2   M    ESSAEHUMACHAVEMD5VALIDA
       3   M    ESSAEHUMACHAVEMD5VALIDATB
       15  M    1234ACDAS@#$LKAS)KJDKASH
       498 M    NTPv4.98
Exemplo de utilização das chaves simétricas na configuração do ntp:
       server servidor1.dominio1 key 498
       server servidor2.dominio2 key 2
       peer   servidor3.dominio3 key 3

       # caminho para o arquivo com as chaves
       keys /etc/ntp.keys

       # define quais chaves são confiáveis
       trustedkey 2 15 498

       requestkey 15    # chave para utilizar o ntpq
       controlkey 15    # chave para utilizar o ntpqc
Autenticação por Chave Pública (Autokey)
Na versão 4 do NTP uma nova forma de autenticação é suportada, baseada em chaves públicas e num protocolo que foi chamado de autokey. A integridade dos pacotes é verificada através de chaves MD5 e a autenticidade das fontes de tempo é averiguada por meio de assinaturas digitais e vários esquemas de autenticação. Esquemas de identificação (identity schemes) baseados em trocas do tipo desafio/resposta são usados para evitar vários tipos de ataques aos quais o método de chaves simétricas é potencialmente vulnerável.
A autenticação é baseada em grupos de segurança (security groups). Pode-se entender um grupo de segurança como um conjunto de servidores e clientes NTP que compartilha os mesmos métodos de autenticação, tendo em sua raiz um ou mais servidores considerados confiáveis, e administrados por uma mesma entidade. Um grupo não necessariamente precisa ter servidores estrato 1 em sua raiz, mas pode ser cliente de outros grupos de segurança.
O número de opções que há para configurar-se o autokey é assustador. Contudo a configuração necessária para a maioria das situações é relativamente simples. Pode-se configurar um grupo de segurança com um ou mais servidores confiáveis (TH - Trusted Hosts) no estrato mais baixo. Elege-se um desses servidores para ser o agente confiável (TA - trusted agent) e gerar os certificados privados, um certificado público auto assinado, e chaves de identificação privadas. Se houver mais de um servidor confiável, esses certificados e chaves são copiados para os demais manualmente.
Os demais clientes e servidores geram chaves privadas e certificados auto assinados considerados não confiáveis. Cada um deles fornece sua senha ao agente confiável e requisita as chaves e certificados do grupo (isso pode ser feito por email ou por um formulário web, por exemplo). Para os servidores são fornecidas chaves cifradas. Para os clientes somente um subconjunto de parâmetros de identificação não criptografados é fornecido.
O autokey se encarrega de resgatar os certificados ao longo da cadeia de servidores NTP até chegar a um servidor confiável, garantindo que toda a cadeia de servidores é confiável.
Para garantir a integridade dos pacotes assinaturas baseadas no endereço IP são utilizadas. O endereço tem de ser o mesmo, então, para o cliente e para o servidor, o que significa que a autenticação baseada em chave pública não funciona em conjunto com NAT.
Mais detalhes de configuração do autokey podem ser obtidos na documentação oficial do NTP.

Comandos Schedule no Cisco

Use the command scheduler

For example, let's say you want to automatically back up your router's running configuration (in RAM) to the startup configuration (in NVRAM) every Monday night at 10 P.M. You might want to make sure that the system is preserving router changes, even if the router losses power--and even if someone forgets to save his or her changes.
The new IOS command scheduler makes this a relatively easy task. Here's how you can use kron to accomplish this.
First, create a kron policy list. Essentially, this policy list serves as your "script," which lists what you want the router to run at a scheduled time. Here's an example:
Router(config)# kron policy-list backup
Router(config-kron-policy)# cli write
Router(config-kron-policy)# exit
Next, create a kron occurrence, in which you tell the router when and how often you want to run this policy list (i.e., group of commands). Here's an example:
Router(config)# kron occurrence backup at 22:00 Mon recurring
Router(config-kron-occurrence)# policy-list backup
This code sets up your backup job to run every Monday night at 10 P.M. (22:00 in military time).
Finally, verify that you've entered everything correctly by using the show command.
Router# show kron schedule


Kron Occurrence Schedule
backup inactive, will run again in 2 days 22:03:46 at 22:00 on Mon


Router# show running-configuration
(truncated)
kron occurrence backup at 22:00 Mon recurring
 policy-list backup
!
kron policy-list backup
 cli write
(truncated)
You might be wondering why I used the write command instead of the copy running-configuration startup-configuration commands. While the copy run start command is interactive, the write command is not. In other words, write doesn't prompt to verify what you want to do. It's important to remember that the Cisco IOS Command Scheduler doesn't allow any interactive commands.

Know your limitations

Another thing to look out for is that kron has more limitations than its Windows or UNIX counterparts. For example, you can only use privileged-mode commands with kron; it doesn't allow any Global or Interface configuration commands. This is because it executes each command separately.
In addition, it doesn't allow you to edit the list of commands once you've entered them. Therefore, you should test the command sequence before entering it. If a command in the sequence fails, the router will delete that sequence of commands and not run it again.
Some of these limitations may be due to the fact that the command scheduler's primary design appears to be to allow Cisco routers to contact Cisco's CNS server to request an automatic upgrade. While this is a good use for the command scheduler, you can also use it for a number of other handy tasks.

Fonte: http://www.techrepublic.com/article/schedule-commands-with-cisco-ios-kron/

You might be wondering if you could use kron to reboot the router. While it's a good idea to use the command scheduler if you want to reboot your router on a regularly scheduled basis, you can perform a one-time delayed reboot using reload at .... with less complexity.
Additional uses for kron include clearing an interface on a daily schedule, clearing the internal log, and showing the routing table at set intervals and sending it to a log.
In some cases, you may want to log the failure or success of your commands. To do so, you can use the debug command. For example, to view all kron debugging, use debug kron all. (You can also use more specific kron debug commands.)
Once you've enabled debugging, send logging output to the router's system buffer or to a syslog server. In that log, you'll find the command output and whether the commands succeeded or failed.
These are just some examples of how you can use the IOS command scheduler. How would you use the command scheduler on your network? Post your ideas and tricks to this article's discussion. For more information about kron, check out Cisco's Command Scheduler Documentation.
David Davis has worked in the IT industry for 12 years and holds several certifications, including CCIE, MCSE+I, CISSP, CCNA, CCDA, and CCNP. He currently manages a group of systems/network administrators for a privately owned retail company and performs networking/systems consulting on a part-time basis.

NETDOM - Comando Windows

Ref: http://technet.microsoft.com/pt-br/library/cc772217%28v=ws.10%29.aspx

Netdom é uma ferramenta de linha de comando incluída no Windows Server 2008 e Windows Server 2008 R2. Está disponível se você tiver a função de servidor Serviços de domínio Active Directory (AD DS) instalada. Também está disponível se você instalar as ferramentas de serviços de domínio diretório ativo que fazem parte das ferramentas de administração de servidor (RSAT) remoto. Para obter mais informações, consulte Como administrar os computadores cliente do Microsoft Windows e servidor localmente e remotamente (http://go.microsoft.com/fwlink/?LinkID = 177813).
Para usar o netdom, você deve executar o comando netdom em um prompt de comando elevado. Para abrir um prompt de comando elevado, clique em Iniciar, clique com o botão direito Prompt de comandoe clique em Executar como administrador.
Você pode usar o netdom para:
  • Ingressar em um computador que executa o Windows XP Professional, Windows Vista ou Windows 7 para um Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000 ou domínio Windows NT 4.0.

    • Fornecem uma opção para especificar a unidade organizacional (UO) para a conta de computador.

    • Gere uma senha aleatória de computador para uma operação de associação inicial.

  • Gerencie contas de computador para estações de trabalho domínio e servidores membro. Operações de gerenciamento incluem:

    • Adicionar, remover, consulta.

    • Uma opção para especificar a unidade Organizacional para a conta de computador.

    • Uma opção para mover uma conta de computador existente para uma estação de trabalho membro de um domínio para outro, mantendo o descritor de segurança da conta de computador.

  • Estabelece relações de confiança unidirecionais ou bidirecionais entre domínios, inclusive os seguintes tipos de relações de confiança:

    • De um domínio do Windows 2000, Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2 para um domínio Windows NT 4.0.

    • De um domínio do Windows 2000, Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2 para um domínio do Windows 2000, Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2 em outra empresa.

    • Entre dois domínios do Windows 2000, Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2 em uma empresa (uma relação de confiança de atalho).

    • O Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 ou Windows 2000 Server metade de um território interoperável de protocolo Kerberos.

  • Verificar ou redefinir o canal seguro para as seguintes configurações:

    • Servidores e estações de trabalho.

    • Controladores de domínio backup (BDCs) em um domínio Windows NT 4.0.

    • Réplicas específicas de Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 ou Windows 2000.

  • Gerencie relações de confiança entre domínios, incluindo as seguintes operações:

    • Enumere as relações de confiança (diretas e indiretas).

    • Exibir e alterar alguns atributos de uma relação de confiança.

sexta-feira, 27 de setembro de 2013

quarta-feira, 25 de setembro de 2013

FIREWALL

Fonte: http://www.itnerante.com.br/forum/topics/sequencia-de-seguranca-firewall-ids-ips
por Gabriela Melo de Azevedo

Firewall é um dispositivo de uma rede de computadores que tem como objetivos:

•    regular o tráfego de dados entre uma rede local e a rede externa não confiável, por meio da introdução de filtros para pacotes ou aplicações; e

•    impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados dentro de uma rede local.


Os firewalls são implementados, em regra, em dispositivos que fazem a separação da rede interna e externa, chamados de estações guardiãs (bastion hosts). Quando o bastion host cai, a conexão entre a rede interna e externa para de funcionar. Os firewalls podem ser classificados como:

•    Firewall Stateless (Filtros de Pacotes)
•    Firewall Statefull (Firewall de Estado de Sessão)

Firewall Stateless (Filtros de Pacotes)
Os filtros de pacotes analisam cada um dos pacotes à medida em que são transmitidos, verificando exclusivamente as informações das camada de enlace (camada 1 do TCP/IP) e de rede (camada 2 do TCP/IP), sem fazer análise nas camadas superiores. As regras são formadas indicando os endereços de rede (de origem e/ou destino) e as portas TCP/IP envolvidas na conexão, por meio das listas de acesso (accesslists).

Vantagem: a análise dos pacotes é rápida e não causam atraso (delay) na retransmissão dos pacotes. Além disso, a atuação desse tipo de firewall é completamente transparente para a rede, de forma que nem o atacante, nem os hosts da rede saibam seu endereço IP.

Desvantagem: são sistemas stateless, ou seja, não há controle de estado do pacote, o que permite que os atacantes possam produzir pacotes modificados com endereço IP falsificado (IP Spoofing), fora de contexto ou ainda para colocados no meio de uma sessão válida, na tentativa de fazer o ataque “man-in-the-middle”.

DICA: Um firewall é do tipo bridge quando liga redes com tipos de enlace diferentes. Por exemplo, a rede local usa ATM e a rede externa, Ethernet. Eles atuam convertendo apenas a camada de enlace, sem alterar as demais camadas de rede.

Firewall Stateful (Firewall de Estado de Sessão)
Os Firewalls de Estado de Sessão (stateful firewall) analisam os pacotes e guardam o estado de cada conexão de maneira que seja possível para identificar e fazer uma previsão das respostas legítimas, de forma a impedir o tráfego de pacotes ilegítimos. A verificação dos pacotes engloba as camadas de enlace, rede (camadas 1 e 2), e pode englobar a camada de transporte (camada 3) do TCP/IP.

Vantagens: oferecem maior segurança que os filtros de pacotes, pois guardam o estado das conexões TCP/IP. A atuação desse tipo de firewall também pode ser transparente para a rede, de forma que nem o atacante, nem os hosts da rede saibam seu endereço IP.

Desvantagens: necessitam de mais recursos para processamento das informações e aumentam o atraso (delay) na retransmissão dos pacotes.

terça-feira, 24 de setembro de 2013

quinta-feira, 12 de setembro de 2013

Comando nbtstat

O comando Nbtstat exibe as estatísticas de protocolo NetBIOS sobre TCP/IP (NetBT), as tabelas de nomes NetBIOS dos computadores local e remoto e o cache de nomes NetBIOS. Nbtstat permite uma atualização do cache de nomes NetBIOS e dos nomes registrados com o serviço de cadastramento na Internet do Windows (WINS). Vamos a ele.

Sintaxe
nbtstat[-a nome_remoto] [-A endereço_IP] [-c] [-n] [-r] [-R] [-RR] [-s] [-S] [intervalo]
Parâmetros
-a nome_remoto
Exibe a tabela de nomes NetBIOS de um computador remoto, onde nome_remoto é o nome de computador NetBIOS do computador remoto. A tabela de nomes NetBIOS é a lista de nomes NetBIOS que correspondem aos aplicativos em execução no computador.
-A endereço_IP
Exibe a tabela de nomes NetBIOS de um computador remoto, especificado pelo seu endereço IP (com notação de ponto decimal).
-c
Exibe o conteúdo do cache de nomes NetBIOS, a tabela de nomes NetBIOS e seus endereços IP resolvidos.
-n
Exibe a tabela de nomes NetBIOS do computador local. O status Registrado indica que o nome foi registrado por difusão seletiva ou em um servidor WINS.
-r
Exibe as estatísticas de resolução de nomes NetBIOS. Em um computador que executa o Windows XP ou um sistema operacional Windows Server 2003 configurado para usar WINS, esse parâmetro retorna o número de nomes resolvidos e registrados por difusão seletiva e WINS.
-R
Limpa o conteúdo do cache de nomes NetBIOS e recarrega as entradas marcadas com #PRE do arquivo Lmhosts.
-RR
Libera e atualiza nomes NetBIOS para o computador local registrado em servidores WINS.
-s
Exibe sessões de cliente e servidor NetBIOS, tentando converter o endereço IP de destino em um nome.
-S
Exibe as sessões de cliente e de servidor NetBIOS, listando os computadores remotos somente por endereço IP de destino.
intervalo
Exibe novamente estatísticas selecionadas, pausando o número de segundos especificado em intervalo entre cada exibição. Pressione CTRL+C para interromper as estatísticas de reexibição. Se este parâmetro for omitido, o nbstat imprimirá as informações de configuração atuais apenas uma vez.
Observações
Os parâmetros de linha de comando de nbtstat diferenciam maiúsculas de minúsculas.

terça-feira, 10 de setembro de 2013

SQUID

FONTE: http://linuxdicas.wikispaces.com/squid

O squid é um excelente filtro de conteúdo para intranets, com ele podemos restringir
extensões de arquivos, expressões regulares, além disto ele é uma forma de manter
em cache (armazenados) sites frequentemente visitados, recurso que se bem configurado
aumenta a velocidade da navegação numa intranet.

bloqueando sites pelo /etc/hosts (também no windows)

Pelo windows acesse
notepad %WINDIR%\system32\drivers\etc\hosts
Ou crei um bat
Attrib -r -s -h %WINDIR%\system32\drivers\etc\hosts
echo 127.0.0.1 http://pt-br.facebook.com >> %SystemRoot%system32driverstchosts
echo 127.0.0.1 pt-br.facebook.com >> %SystemRoot%system32driverstchosts
echo 127.0.0.1 www.facebook.com >> %SystemRoot%system32driverstchosts
echo 127.0.0.1 facebook.com >> %SystemRoot%system32driverstchosts
echo 127.0.0.1 static.ak.fbcdn.net >> %SystemRoot%system32driverstchosts
echo 127.0.0.1 www.static.ak.fbcdn.net >> %SystemRoot%system32driverstchosts
echo 127.0.0.1 login.facebook.com >> %SystemRoot%system32driverstchosts
echo 127.0.0.1 www.login.facebook.com >> %SystemRoot%system32driverstchosts
echo 127.0.0.1 fbcdn.net >> %SystemRoot%system32driverstchosts
echo 127.0.0.1 www.fbcdn.net >> %SystemRoot%system32driverstchosts
echo 127.0.0.1 fbcdn.com >> %SystemRoot%system32driverstchosts
echo 127.0.0.1 www.fbcdn.com >> %SystemRoot%system32driverstchosts
echo 127.0.0.1 static.ak.connect.facebook.com >> %SystemRoot%system32driverstchosts
echo 127.0.0.1 www.static.ak.connect.facebook.com >> %SystemRoot%system32driverstchosts
Attrib +r +h %WINDIR%\system32\drivers\etc\hosts

cache do apt

sudo apt-get install squid-deb-proxy avahi-tools

Cache de videos do youtube

Para que seu squid possa fazer cache dos vídeos do YouTube, adicione as linhas abaixo ao seu squid.conf, essa alteração não só faz cache do youtube, mas qualquer site que utilize a mesma tecnologia flash com extensão .flv
########### Cache Videos ###########
refresh_pattern -i \.(mp3|mp4|m4a|ogg|mov|avi|wmv)$ 10080 90% 999999 ignore-no-cache override-expire ignore-private
 
acl youtube dstdomain .youtube.com
 
cache allow youtube
################################
# Como os arquivos de vídeo são grandes, é necessário também aumentar o maximum_object_size
 
maximum_object_size 102400 KB (100MB)



balanceamento de carga


dicas


bloqueio do emeesseene

gpedit.msc >> modelos administrativos >> sistema
 
clicando na palavra sistema ele exibirá à direita uma lista
dentre os itens veja:
 
"Não executar aplicativos windows especificados"
Inclui os seguintes arquivos:
 
msmsgs.exe
msnmsg.exe
msnmsgr.exe
Install_MSN_Messenger.exe
Install_Messenger.exe
WLinstall.exe
WLsetup.exe
 
Você pode remover o messenger
 
 
Feche todos os programas de mensagens e navegadores do micro, fecha também os que ficam na
 área de notificação, ao lado do relógio.
Em Iniciar, Executar digite o comando abaixo e tecle Enter.
 
RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove
 
Uma nova janela vai abrir pedindo para fechar todos os programas continue.
 
Na proxima janela vai pedir para reiniciar.
 
 
Depois de reiniciar o PC , vá em: Iniciar\ Painel de controle\ Adicionar ou remover
 programas \Adicionar ou remover componentes do Windows Remova o Windows messenger

proxy transparente


Redirecionmento de portas no iptables

da porta 80 do navegador para 3128

Adicone as linhas abaixo ao final do arquivo
/etc/init.d/bootmisc.sh

Regra para redirecionamento do iptables
[[code] format="bash"]
#!/bin/bash
 
#   1. scritp para iniciar firewall
#   2. adicione estas linhas ao final do arquivo /etc/init.d/bootmisc.sh
 
 
modprobe iptable_nat
modprobe ip_nat_ftp
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j REDIRECT --to-port 3128
 

Ativando o proxy transparente no squid

na linha http_port do arquivo 'squid.conf' adicione 'transparent'
http_port 3128 trasnparent

squid.conf

#1. /etc/squid/squid.conf
 
#http_port 3128 transparent vhost vport
http_port 3128 transparent
#alway_direct allow all
 
#http_port 168.30.34.1:3128 transparent vhost vport=80
#http_port 127.0.0.1:3128 transparent vhost vport=80
#http_port 3128
visible_hostname proxy
 
#cache_mem 80 MB
#maximum_object_size_in_memory 1024 KB
#maximum_object_size 40 MB
#cache_swap_low 80
#cache_swap_high 85
 
cache_mem 128 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 512 MB
cache_swap_low 80
cache_swap_high 85
half_closed_clients off
 
###############################
#  local e tamanho do cache ##
###############################
#cache_dir ufs /var/spool/squid 4096 16 256
#cache_dir ufs /var/spool/squid 192 20 394
#cache_dir diskd /var/spool/squid 2048 64 256 Q1=64 Q2=72
 
cache_dir ufs /var/spool/squid/cache1 512 16 256
cache_dir ufs /var/spool/squid/cache2 512 16 256
cache_dir ufs /var/spool/squid/cache3 512 16 256
cache_dir ufs /var/spool/squid/cache4 512 16 256
cache_dir ufs /var/spool/squid/cache5 512 16 256
 
cache_access_log /var/log/squid/access.log
 
#Resolve um problema com conexões persistentes que ocorre com certos servidores,
#e que provoca delays em nosso cache.
 
detect_broken_pconn on
 
#  Provoca um ganho de performance ao usar conexões Pipeline (requisições em
#  paralelo)
 
pipeline_prefetch on
 
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
 
#######################################################
 # LIMITANDO O TAMANHO DOS DOWNLOADS ##################
#######################################################
 
# acl que define arquivos do tipo "texto puro" e "html":
 
acl html rep_mime_type text/html
 
# download sem restrições para a acl html:
 
reply_body_max_size 0 allow html
 
### 100Mb para os usuários administradores:
### reply_body_max_size 104857600 allow adminUsers
 
 
# 10Mb para os demais usuários:
 
reply_body_max_size 10485760 allow all
#######################################################
 
# bloquei ao msn
 
#acl msn_req req_mime_type ^application/x-msn-messenger$
#acl msn_rep rep_mime_type ^application/x-msn-messenger$
#acl msngw url_regex -i gateway.dll
#http_access deny msn_req
#http_access deny msn_rep
#http_access deny msngw
 
acl msn rep_mime_type ^application/x-msn-messenger$
http_reply_access deny msn
 
# bloqueio exe
# acl exe req_mime_type ^application/octet-stream
# http_access deny exe
 
 
acl webmail url_regex -i "/etc/squid/webmail"
http_access allow webmail
 
#acl ad src 168.30.34.155
#http_access allow ad
 
acl liberados url_regex -i "/etc/squid/liberados"
http_access allow liberados
 
# bloqueia msn pelo tipo mime
# acl reqmime req_mime_type -i "/etc/squid/mimes"
# http_reply_access deny reqmime
 
 
# tambem pode usar esta lista para libera a um grupo
# especifico de ips, neste caso precisa criar um arquivo
# com a lista de IPs a liberar,
# acl mime-ip src 192.168.254.150 ...
# acl mime-ip req_mime_type -i "/etc/squid/mime-ip"
# http_reply_access allow mime-ip
 
 
# tentativa de usar delay_pools - controle da banda
 
acl lento url_regex -i "/etc/squid/lento.txt"
acl interno url_regex 168.30.34.0
 
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
redirect_children 8
redirector_bypass on
 
delay_pools 2
 
delay_class 1 2
delay_parameters 1 -1/-1 1200/1800
delay_access 1 allow lento
 
delay_class 2 2
delay_parameters 2 -1/-1 -1/-1
delay_access 2 allow interno
 
acl redelocal src 192.168.254.0/24 168.30.34.0/255.255.255.0
http_access allow localhost
http_access allow redelocal
 
# linha abaixo adicionad pelo sergio em 05-11-2008
 
#always_direct allow all
http_access deny all
 

sites para bloqueio

http://www.mrjogos.com.br/
==bloquear msn no próprio windows==
[[code] format="bash"]
edite c:\windows\system32\drivers\etc\hosts
 
code format="txt"
@echo off
Attrib -r -s -h %WINDIR%\system32\drivers\etc\hosts
echo 127.0.0.1 www.orkut.com >> %SystemRoot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.youtube.com >> %SystemRoot%\system32\drivers\etc\hosts
Attrib +r +h %WINDIR%\system32\drivers\etc\hosts
code

zerando o cache

/etc/init.d/squid stop
rm -rf /var/spool/squid/*
squid -z
/etc/init.d/squid start

Filtrando os logs do squid

tail -f /var/log/squid/access.log | awk '{print $3" "$7}'
 
Recomendado:* http://www.squidguard.org/Doc/configure.html* http://squidguard.shalla.de/faq/ (faq do squidGuard)==Evitando spam== * http://www.squid-cache.org.br/index.php?option=com_content&task=view&id=75&Itemid=27==noatime==
/dev/sda3 /var/spool/squid reiserfs defaults,noatime 0 2
 
# ou
 
chattr -R +A /var/spool/squid
#(Onde o -R é para recursividade, e o +A para especificar o noatime)
 

Aumentando a segurança do squid

* http://gilbertosilva.wordpress.com/2008/03/06/aumentando-seguranca-do-squid/header_accessEssa configuração permite que o Squid não forneça uma série de informações para os sites acessados. Com elas você pode criar um servidor de proxy igual ao conhecido Anonymizer. Irei falar apenas as principais, as restantes você irá encontrar no manual do squid. As configurações abaixo servem para não ser passadas informações do seu servidor, como versão do sistema e ip.
header_access From deny all
header_access Via deny all
header_access Server deny all
 
existem mais duas que podem ser desligadas, mas alguns sites podem não abrir. Eu tive problemas com sites seguros com as configurações abaixo. A primeira não envia a versão do navegador e a segunda o site de referencia.
header_access User-Agent deny all
header_access Referer deny all
 

Sites bloqueados

bloqueados

desempenho do squid


Para melhorarmos o tempo de resposta de acesso ao cache do Squid,
podemos usar o acesso a múltiplos caches.

O que ocorre é que o Squid "encontra" mais rapidamente
um objeto procurando em vários diretórios "rasos" do que em um único diretório "profundo".

E se este arranjo for distribuído por diversos discos o desempenho é ainda maior.

Em seu squid.conf coloque o seguinte para o método UFS:
cache_dir ufs /var/spool/squid/cache1 512 16 256
cache_dir ufs /var/spool/squid/cache2 512 16 256
cache_dir ufs /var/spool/squid/cache3 512 16 256
cache_dir ufs /var/spool/squid/cache4 512 16 256
cache_dir ufs /var/spool/squid/cache5 512 16 256
cache_dir ufs /var/spool/squid/cache6 512 16 256
 

5 caches de 512 dá mais ou menos 2,5 GB para cache, teste pra ver
se isto é o ideal para sua necessidade.

Caso deseje usar o daemon diskd, a configuração seria como abaixo:
cache_dir diskd /var/squid/cache/1 2900 128 512 Q1=64 Q2=72
cache_dir diskd /var/squid/cache/2 2900 128 512 Q1=64 Q2=72
cache_dir diskd /var/squid/cache/3 2900 128 512 Q1=64 Q2=72
cache_dir diskd /var/squid/cache/4 2900 128 512 Q1=64 Q2=72
cache_dir diskd /var/squid/cache/5 2900 128 512 Q1=64 Q2=72
 

Configurando o squid para não fazer cache de alguns sites

fonte: http://brfedora.wordpress.com/2008/05/18/configurando-squid-para-nao-fazer-cache-para-alguns-sites/
Adicione as linhas abaixo no arquivo /etc/squid/squid.conf:
acl NOCACHEDOMAIN dstdomain www.redhat.com
no_cache deny NOCACHEDOMAIN
 
Ele não criará cache para os acesso feitos para o dominio www.redhat.com.
No /var/log/squid/access.log, ele apresentará a seguinte mensagem “TCP_MISS” nas visitas consecutivas.
197363963.721    892 127.0.0.1 TCP_MISS/200 11813 GET
http://www.redhat.com/ - DIRECT/209.132.177.50 text/html
1197364100.832    906 127.0.0.1 TCP_MISS/200 11813 GET
http://www.redhat.com/ - DIRECT/209.132.177.50 text/html
 

Dicas

Durante a configuração do squid você pode ter que habilitar
o proxy ou não no navegador, usa uma extenão para desabilitar:

O squidGuard ao redirecionar pode enviar informações preciosas
redirect http://www.kernel-panic.it/error.html&ip=%a&url=%u
 
* %a: the IP address of the client.
* %n: the domain name of the client or "unknown" if not available.
* %i: the user ID or "unknown" if not available.
* %s: the matched source group or "unknown" if no groups were matched.
* %t: the matched destination group or "unknown" if no groups were matched.
* %u: the requested URL.
* %p: the path and the optional query string of %u but without the leading "/".
* %%: a single "%".
 
application/x-executable exe com scr
application/octet-stream bin dms lha lzh exe com scr class
text/plain asc txt bat pif
application/zip zip


Zerar o cache do squid

procedimento q eu sigo pra zerar o cache é o seguinte:
 
- Páro o serviço;
- Removo os diretórios de cache do squid ("rm -rf /var/cache/squid/*
- Recrio a arvore de diretórios do squid (squid -z)
- Inicio novamente o serviço.


squid.conf

1. /etc/squid/squid.conf
2. cache_dir ufs /var/cache/squid3 512 16 256
3. a linha acima define
4. * local do cache
5. * espaço em disco máximo
6. * número de diretórios de 1º nível
7. * número de diretórios de 2º nível
 
 
#############################
 
# acl para bloquear msn
 
acl msn rep_mime_type -i ^application/x-msn-messenger
http_access deny msn
 
acl msnmessenger url_regex -i gateway.dll
http_access deny msnmessenger
#################################
 
# você pode prover proxy para duas subredes
 
acl redeslocais src 172.20.19.0/255.255.254.0 192.168.254.0/24
 

squidGuard.conf


Para verificar:
tail /var/log/squid/squidGuard.log


#consertar permissões
chown proxy:proxy /etc/squid/squidGuard.conf
chown -R proxy:proxy /var/lib/squidguard/db
chown -R proxy:proxy /var/log/squid/
chmod 644 /etc/squid/squidGuard.conf
chmod -R 640 /var/lib/squidguard/db
chmod -R 644 /var/log/squid/
chmod 755 /var/log/squid
find /var/lib/squidguard/db -type f | xargs chmod 644
find /var/lib/squidguard/db -type d | xargs chmod 755
 


O caminho padrão para as blacklists:
/usr/local/squidGuard/db
 


# código de exemplo
 
# °v° Sérgio Luiz araújo Silva
# /(_)\ voyeg3r em gmail
# ^ ^
 
 
# se editar alguma lista negra faça:
# squidGuard -C all
# squid -k reconfigure
 
 
# Referências:
# * http://www.squidguard.org/Doc/configure.html
# * http://www.gdhpress.com.br/servidores/leia/index.php?p=cap2-22
 
 
# /etc/squid/squidGuard.conf
 
dbhome /var/lib/squidguard/db
logdir /var/log/squid
 
# coloque aqui os endereços das máquinas liberadas
 
src admin {
ip 192.168.254.99
}
 
# coloque aqui o endereço das suas redes
 
src redelocal {
ip 172.30.34.0/255.255.254.0
ip 192.168.254.0/255.255.255.0
}
 
# um arquivo com expressões barradas
# algo como: (\.exe$|\.bat$|\.cmd$|\.pif$|\.scr$|\.sct$|\.dll$|\.vbe$|\.vbs$)
 
dest virus {
expressionlist expressions
}
 
dest porn {
domainlist blacklists/porn/domains
urllist blacklists/porn/urls
 
# (^|[-\?+=/_])(bondage|boobs?|busty?|hardcore|porno?|sex|xxx+)([-\?+=/_]|$)
expressionlist blacklists/porn/expressions
}
 
dest porn2{
domainlist BL/porn/domains
urllist BL/porn/urls
}
 
dest spyware {
domainlist blacklists/spyware/domains
urllist blacklists/spyware/urls
}
 
acl {
# todos do grupo admin acessam tudo
admin {
pass all
}
 
# na rede local acesso negado para alguns destinos
redelocal {
pass !virus !porn !porn2 !spyware all
}
 
default {
pass none
redirect http://www.google.com.br
}
}
 

Personalizando a mensagem de erro


# http://www.cyberciti.biz/faq/squid-content-filter-block-files/
 
acl blockfiles urlpath_regex "/etc/squid/blocks.files.acl"
 
# Deny all blocked extension
 
deny_info ERR_BLOCKED_FILES blockfiles
http_access deny blockfiles
 
# a mensagem de erro é esta
# não feche as tags html e body
 
<HTML>
<HEAD>
<TITLE>ERROR: Tipo de arquivo bloqueado</TITLE>
</HEAD>
<BODY>
<H1>File is blocked due to new IT policy</H1>
<p>Por favor entre em contato com o suporte técnico para mais detalhes:</p>
Telefone: sergio -- 3105-1293 <br>
Email: voyeg3r no gmail <br>
 


Criando regras

acl nome src 192.168.254.0/24
http_access allow nome

Bloqueando pelo tipo mime

acl downloads req_mime_type application/octet-stream application/zip
audio/mpeg audio/wav video/mpeg video/avi video/quicktime video/x-msvideo video/x-ms-wmv
 
acl usuarios_de_castigo_sem_download ident fulano beltrano sicrano
 
http_access deny usuarios_de_castigo_semdownload downloads
 
acl downloads application/octet-stream application/zip video/.* audio/.* msi/.*
acl msnmime req_mime_type -i ^application/x-msn-messenger$

Exemplos de acl's - regras

acl HORARIO_ALMOCO time MTWHF 12:00-13:30

Segue tabela de abreviação dos dias.

Abreveação
Dia da semana
S
domingo
M
segunda-feira
T
terça-feira
W
quarta-feira
H
quinta-feira
F
sexta-feira
A
sábado

Limpando os comentários do squid

Usando o vim:
:%g/^#\|^$/d

Usando o SED
sed -i.backup '/^#\|^$/d' /etc/squid/squid.conf

Links para estudo


Para autenticar no active directory


bloqueando no próprio windows

coloque cada entrada descrita abaixo precedidade de 0.0.0.0
em c:\windows\system32\drivers\etc\hosts


Referências