[FUG-BR] Migrando do FreeBSD 9.3 para 11

Renato Frederick renato em frederick.eti.br
Seg Maio 15 12:12:59 BRT 2017 

Em 15 de maio de 2017 10:55, Paulo Henrique <paulo.rddck em bsd.com.br>
escreveu:

> Em 15 de maio de 2017 09:39, Renato Frederick <renato em frederick.eti.br>
> escreveu:
>
> > Em 8 de maio de 2017 12:01, Paulo Henrique <paulo.rddck em bsd.com.br>
> > escreveu:
> >
> > > Em 8 de maio de 2017 11:03, Renato Frederick <renato em frederick.eti.br>
> > > escreveu:
> > >
> > > > Em 8 de maio de 2017 08:26, Renato Botelho <rbgarga em gmail.com>
> > escreveu:
> > > >
> > > > > On 05/05/17 20:31, Renato Frederick wrote:
> > > > > > Em 3 de maio de 2017 17:46, Renato Botelho <rbgarga em gmail.com>
> > > > escreveu:
> > > > > >
> > > > > >> On 03/05/17 16:39, Edinilson - ATINET wrote:
> > > > > >>> On 03/05/17 16:11, Edinilson - ATINET wrote:
> > > > > >>>> On 03/05/17 14:29, Edinilson - ATINET wrote:
> > > > > >>>>> Caros amigos, alguém já fez o upgrade do FreeBSD 9.3 para o
> 11?
> > > > > >>>>>
> > > > > >>>>> Se sim, poderia compartilhar a experiencia?
> > > > > >>>>>
> > > > > >>>>> Você usa 9.3-RELEASE ou 9.3-STABLE?
> > > > > >>>>> Quer atualizar via src ou via freebsd-update?
> > > > > >>>>> --
> > > > > >>>>> Renato Botelho
> > > > > >
> > > > >
> > > > > Ah sim, eu não compilo mais nada em servidores há muito tempo. Só
> uso
> > > > pkgs.
> > > > >
> > > > > Se o ambiente pede pkgs com OPTIONS diferentes eu monto um
> poudriere
> > e
> > > > > ele gera meus repositórios automaticamente.
> > > > >
> > > >
> > > > Pois é, xará, compilar não é vida não. Já foi a época que eu
> compilava
> > > > QMAIL, antispam, blá blá. lembro de fazer no início no SLACKWARE, que
> > nem
> > > > ports tinha. Isso em Pentium, ou se o cliente era milionário, Pentium
> > > > Pro...
> > > >
> > > > Hoje ou eu coloco um pfsense se for prá fazer qualquer coisa de
> > > > firewall/router/etc ou instalo o bsd e adquiro programas com
> instalador
> > > que
> > > > a licença é barata, se for prá serviço de email.
> > > >
> > > > Acho que a única coisa que eu deixo instalando é se for o DJBDNS,
> pois
> > > não
> > > > trabalho com bind, mas não aceitar IPv6 parou no tempo
> > > >
> > > >
> > > >
> > > > Renato Frederick
> > > > Consultor em TI
> > > > http://about.me/renatofrederick
> > > > Skype: renatofrederick
> > > > +55 31 99123 - 3006
> > > > +55 31 2523 - 0686
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > >
> > > Nada contra quanto as descisões por utilizar software/solução de
> > caixinha.
> > > Concordo que quando a coisa é simples, um firewall/proxy/snort ( com
> > regras
> > > open-source ) a praticidade e a interface torna o PFSense uma excelente
> > > escolha., um Storage com recursos triviais faz o FreeNAS ser uma ótima
> > > solução, nesse caso creio que é uma solução que se supera, o nivel de
> > > otimização e recursos do mesmo é imcomparavel mesmo para o FreeBSD
> puro.
> > >
> > > Quando se volta a atenção para uma necessidade onde o fator custo é
> > critica
> > > (instituição publica ou educacional) e o fator segurança também é
> > critica o
> > > que resta é apelar para o open-source em um comodity hardware,
> > recentemente
> > > li a utilização do BRO ( NMS ) filtrando 100GB/s de tráfego em uma
> > > universidade do EUA, uma solução de IDS/IPS/NMS com caixinha fechada
> era
> > > inviável devido aos elevados custos tanto com a caixa como com o
> > > licenciamento das soluções, gastaram com o hardware somente e
> > construiram a
> > > própria solução que está atendendo-os a uma fração do custo do
> > proprietário
> > >
> > > Não é uma solução prática de trabalhar, requer dos administratores uma
> > dose
> > > significativa de esforço e competência técnica, além de estarem quase
> > fora
> > > de capacidade de suporte pela comunidade quanto a potenciais problemas,
> > > incluindo ai a ausência ou dificuldade de se contratar um suporte
> > comercial
> > > e a instituição ficar refém de dois ou três caras, são pontos que vale
> a
> > > pena discutir e determinar se o projeto/instituição terá problemas com
> > > elas.
> > >
> > > Há outros cenários onde compilar o kernel/world/ports ainda tem algumas
> > > vantagens, seja para ativar recursos ou otimizar a capacidade
> > > computacional, como roteador de borda, a 4 anos atrás quando se falavam
> > em
> > > mais de 2.5Gb/s de trafego e 1Mpps a adoção de soft-routers
> > automaticamente
> > > já era condenada, porém hoje há inumeros relatos de soft-router sobre
> > > FreeBSD/Linux comutando 5Gb/s com mais de 2Mpps com várias sessões BGP
> > > full-router.
> > > Servidores de front-end de portais de internet com quantidade de
> acessos
> > > muito grandes também requer uma ótimização mais fina do sistema,
> afinal o
> > > Whatsapp só consegue manter a estabilidade/disponibilidade dele para a
> > base
> > > de usuários deles com custos realmente baixo devido as otimizações
> > > realizadas no sistema, ( a disponibilidade nem tanto pois teve um galho
> > > semana passada, mas sem qualquer explicação para compreendermos ).
> > >
> > > O encaixotamento de solução por parte dos fornecedores de software faz
> > mais
> > > mal a comunidade open-source do que bem, não é atoa que nos ultimos
> anos
> > a
> > > capacitação técnica dos profissionais Linux/Unix que entram no mercado
> > são
> > > medonhos, profissionais com LPI1/2 que nunca compilaram um kernel
> linux,
> > > felizmente ainda não é o caso da BSDA, profissionais de redes que só
> > usam o
> > > linux X ou Y por que se mudar a distribuição não sabem nem por onde
> > > começar, isso quando utilizam linux, pois já vi CCNA que só sabia usar
> > > Windows.
> > >
> > > Quando presto um serviço na implantação de um servidor/serviço em uma
> > > empresa, tenho por obrigação otimizar ao máximo e garantir a maior
> > > estabilidade do sistema que estou sendo pago para implantar, se a
> > descisão
> > > é por uma solução open-source, irei otimizar tudo o que for possivel,
> > > ativar tudo que é recurso de segurança que o sistema possui, firará
> > > complexo para gerir o ambiente/serviço/servidor, sim ficará, mas o meu
> > > contrato de suporte pós implantação já leva em consideração as 48Horas
> > que
> > > gastarem para atualizar o sistema, se a empresa não quer pagar o
> contrato
> > > de pos implantação ou quer uma solução proprietária for Gardner, bom
> > então
> > > lógicamente não serei eu a ser contratado.
> > >
> > >
> > > Att.
> > >
> > >
> > >
> > >
> > > --
> > > :UNI><BSD:
> > > Paulo Henrique.
> > > Fone: (21) 37089388.
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> >
> > Oi Paulo.
> > Não sei se foi aqui ou na gter, alguem mandou um documento em que uma das
> > partes eles pegaram
> >
> > openbsd
> > freebsd
> > pfsense
> > linux
> >
> >
> Foi publicado no GTER [1] e tem a referente ao serverU [2], embora há
> outros posts com muitas informações que se fazer um compilado permite
> averiguar o quão evoluido os sistemas open-sources estão perantes os
> sistemas proprietários.
> [1] https://eng.registro.br/pipermail/gter/2014-August/050839.html
> [2] http://www.serveru.us/pt/netmapl800
>
> ai fizeram teste de performance, usando smp, sem smp(o open se ferrou
> > porque o smp é "exótico"), depois fizeram mais um teste de performance de
> > firewall, usando pf, ipw, iptables, etc.
> >
> > a performance da caixa pfsense para o freebsd não foi tão diferente não.
> o
> > pessoal lá faz um bom trabalho com o kernel, claro que tem que rodar um
> > genérico, afinal deve ter instalação usando realtek, intel, sas, sata,
> > scsi, etc.
>
>
> > Porém o que saiu melhor foi o linux :)
> >
> > Acho que você está falando com relação ao NETMAP/DKDI , logicamente que o
> linux será muito melhor, conforme o próprio Parceiro, Provedor Bogus
> apontou na thread, as arquitetura/projetos de roteamento em open-source
> estão mais avançadas, porém ele também frisa o caso do desenvolvimento dos
> drivers da Intel que são feitos pelos próprios funcionários da empresa e é
> onde obtém uma melhor performance.
>
>
> > acho que de boa se for fazer um estudo de quantos % a performance é
> melhor
> > pegando kernel, tirando device, depois compilando manualmente não
> justifica
> > o trabalho.
> >
> > Pelo menos o BGP com firewall que uso pfsense, não arrependo de nada de
> ter
> > abolido freebsd instalado do zero e openbgpd compilado.
> >
> >
> Quanto a isso de usar caixa de renome, cisco, juniper, etc, é o tal, voce
> > compra para poder jogar a "bomba" na mão do fabricante. POrém vocÊ pode
> > comprar suporte do PFSENSE. E quando Cisco dá pau de software, não deve
> > nada a um linux ou bsd com software bugado, trava, da dump de memoria.
> > Enfim, mas tem gestor que dorme melhor em comprar isso, comprar suporte,
> > pagar profissional certificado...
> >
> > Por mim, todas as caixas tem sua vantagem, tirando é claro mikroSHIT que
> > nem para peso de papel serve.
> >
> >
> > Principalmente na hora de editar pf.conf ou ipfw.rules na mão, aquilo se
> > voce tem 1, 2 clientes, até vai. passou de uma dezena, voce vai ter que
> > ralar 24h/dia. Sem contar que eu posso contratar uma mão de obra mais
> > barata para ser meu assistente que vai clicar na web, do que um analista
> > que custa 3x mais. Sim, eu sou capitalista, só não faço a sacanagem de
> > pagar estagiário e exigir que ele seja analista, mas preciso pensar no
> > caixa prá poder pagar minha empresa e meus colaboradores.
> >
> > Quanto ao freenas, eu usei, mas agora eu uso as soluções da iomega, tem
> > caixa com até 4 discos, 2 interfaces giga, ou caixa com 4 interfaces e 12
> > discos, interfaces fazendo jumbo frame, round robin, agregation.
> > Infelizmente tem uns que rodam um linux bugado que trava e tem que
> > atualizar o "firmware"(que é o linux lá, tem grub, blá blá blá, só
> alteram
> > o layout do disco para vocÊ não conseguir acessar o linux se montar o
> disco
> > em outro PC).
> >
> > Quando a gente vai pro mercado e tem pancada de concorrente jogando o
> preço
> > pra baixo, se eu conseguir em 4horas entregar o serviço, para mim é
> lucro e
> > claro quanto mais remoto melhor.
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> Mas ainda ficará restrito ao que o apliance oferece, tem o lado bom que
> também concordo, facilidade da interface gráfica é fantastico, mas gera
> péssimos profissionais sobre a tecnologia em um todo, visto que, exatamente
> por quando precisar de um recurso mais especifico que requer compilar o
> kernel com algumas opções que não vem no generico o cara já pensa em adotar
> solução proprietária não por que tem o tal "suporte" e "enterprise" no meio
> do nome, mas sim por que o cara não sabe.
> É igual o povo de linux que desativa o SELinux, simplesmente por que não
> sabem e não querem aprender, vão lá e desativa o recurso de segurança, até
> hoje so teve um ambiente que não consegui fazer o SELinux funcionar 100%
> com as aplicações e tive que usar ele em modo permissive, friso o modo
> permissive e disable, contudo pelo menos 90% do material da internet criado
> pelos usuário simplesmente recomendam a desativar e diminuir a segurança do
> sistema em prol da praticidade.
>
> Abraços
>
>
> --
> :UNI><BSD:
> Paulo Henrique.
> Fone: (21) 37089388.
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

OPa

Paulo, o paper foi o que o Renato Botelho acabou de postar de novo. Isso de
desabilitar selinux é pq procura receita de bolo e vai fazendo.
Sobre o caso da interface gráfica, sim, tem gente no fórum do pfsense no
facebook que não sabe nem se tá de dia ou de noite, morro de rir das
mancadas tentando implementar ipsec, é peer com fase 2 diferente, proposal
errado.. :)
Mas isso tem em qq lugar, tem "hacker" aí que só sabe usar kalil linux e
clicar lá, nem sabe o que tá fazendo.

[]s

Mais detalhes sobre a lista de discussão freebsd