+ Responder ao Tópico



  1. #1

    Padrão Liberar velocidade total para porta 3128 ?

    olá pessoal, alguem sabe como liberar a porta 3128 para nao passar pelo controle de velocidade? pois tenho webproxy e gostaria que tudo que estiver em cache vá mais rápido para o cliente sem passar pelo controle de velocidade que cadastrei para cada cliente...


    Fábio.

  2. #2
    Mikrotik inSide Avatar de luizbe
    Ingresso
    Sep 2005
    Localização
    Governador Valadares
    Posts
    1.212
    Posts de Blog
    1

    Padrão

    se você fizer isso,
    seus clientes baixam arquivos a altas velocidades. =}


    mas, só liberar essa porta não sei.

  3. #3

    Padrão

    Citação Postado originalmente por luizbe Ver Post
    se você fizer isso,
    seus clientes baixam arquivos a altas velocidades. =}


    mas, só liberar essa porta não sei.
    amigo, quero liberar isso para o conteudo do proxy, os clientes iram baixar em alta velocidade o conteudo do proxy apenas....

  4. #4

    Smile

    rapaz eu acredito q se vc usa o proxy tudo de http passa pela porta do proxy no entanto quando vc liberar a velocidade desta porta pro clientes tudo q passar por ela sera sem limites... no caso http em geral.... ate mesmo downloads, navegacao... e lhe digo mais nao tem como vc fazer uma regra do tipo se tiver em cache va mais rapido se nao tiver va controlado... entendeu... se tiver como q eu nao sei terar q ser pelo proxy pois so ele saberar o q esta em cache e o q nao esta em cache.. vlw.

  5. #5
    Moderador Avatar de Bruno
    Ingresso
    Nov 2002
    Localização
    Guarapuava-PR
    Posts
    4.180
    Posts de Blog
    1

    Padrão

    existes 2 formas para isto


    uma é usando iptables

    iptables -A OUTPUT -t mangle -j CONNMARK --restore-mark
    iptables -A OUTPUT -t mangle -m mark ! --mark 0 -j ACCEPT
    iptables -A OUTPUT -t mangle -m string --string 'X-Cache: HIT from ' --algo kmp -j MARK --set-mark 6
    iptables -A OUTPUT -t mangle -j CONNMARK --save-mark
    bastar criar a regra de controle com o mark6


    ou aplacar o patch zph no squid
    e criar o controle de banda usando o mark 0x8804ABCD

  6. #6

    Exclamation Liberar velocidade total para porta 3128

    Gente, aqui no provedor eu fiz isso de forma muito simples e funciona 100%.
    Tenho a seguinte situação:
    2 AP que cuidam de 200 clientes e não existe nenhuma forma de controle nelas;
    1 par de Bridges wireless que formam meu backhall;
    1 servidor como firewall que recebe estes clientes e faz o proxy, IDS, dnsmasq e o controle de banda através de QOS.
    Mas o segredo fica em fazer o controle de banda na interface de saida, ou seja, aquela que estah diretamente conectada à intenet e não na de entrada, pois se vc fizer isso, o beneficio do proxy não será sentido pelo seu cliente.

  7. #7

    Padrão

    Citação Postado originalmente por Benatto Ver Post
    existes 2 formas para isto


    uma é usando iptables

    iptables -A OUTPUT -t mangle -j CONNMARK --restore-mark
    iptables -A OUTPUT -t mangle -m mark ! --mark 0 -j ACCEPT
    iptables -A OUTPUT -t mangle -m string --string 'X-Cache: HIT from ' --algo kmp -j MARK --set-mark 6
    iptables -A OUTPUT -t mangle -j CONNMARK --save-mark
    bastar criar a regra de controle com o mark6


    ou aplacar o patch zph no squid
    e criar o controle de banda usando o mark 0x8804ABCD
    Amigo, trabalho com mikrotik, e parece que essa sua regra não serve no mikrotik...

  8. #8

    Padrão

    Citação Postado originalmente por armc_2003 Ver Post
    Gente, aqui no provedor eu fiz isso de forma muito simples e funciona 100%.
    Tenho a seguinte situação:
    2 AP que cuidam de 200 clientes e não existe nenhuma forma de controle nelas;
    1 par de Bridges wireless que formam meu backhall;
    1 servidor como firewall que recebe estes clientes e faz o proxy, IDS, dnsmasq e o controle de banda através de QOS.
    Mas o segredo fica em fazer o controle de banda na interface de saida, ou seja, aquela que estah diretamente conectada à intenet e não na de entrada, pois se vc fizer isso, o beneficio do proxy não será sentido pelo seu cliente.
    interessante sua linha de raciocínio, vou tentar aki

  9. #9

    Padrão

    Citação Postado originalmente por armc_2003 Ver Post
    Gente, aqui no provedor eu fiz isso de forma muito simples e funciona 100%.
    Tenho a seguinte situação:
    2 AP que cuidam de 200 clientes e não existe nenhuma forma de controle nelas;
    1 par de Bridges wireless que formam meu backhall;
    1 servidor como firewall que recebe estes clientes e faz o proxy, IDS, dnsmasq e o controle de banda através de QOS.
    Mas o segredo fica em fazer o controle de banda na interface de saida, ou seja, aquela que estah diretamente conectada à intenet e não na de entrada, pois se vc fizer isso, o beneficio do proxy não será sentido pelo seu cliente.


    tb pensei em fazer assim, mas isso e uma faca de dois legumes...

    vi acontecer d um cliente, encher a rede de solicitacoes, e o servidor ficar saturado, ele controlava a banda assim como vc, na saida, dai alguns clientes pegaram virus, e bombardeavam a rede com pedidos....

    nunca aconteceu com vc...

  10. #10

    Padrão

    Todos os clientes que estiverem ligados ao proxy irão sair pelo IP do proxy. Assim, como vc controla a velocidade final do cliente se o IP dele não chega na interface de saída, chegando apenas até o proxy?

    Eu uso aqui através do myauth, mas funciona na base de iptables, onde os pacotes que estao em cache sao marcados e saem sem controle de banda.

  11. #11

    Padrão tentando resolver por aqui...

    olha pessoal, sou novo no MK, mas ai vai uma dica do caminho para que o proxy passe a full.

    Fiz alguns testes aqui e funcionou bem até de mais.

    Lá em mangle seguir a mesma linha de raciocinio de controle de velocidade para P2P. E em queues no ip do cliente em avançado liberei a full a opção que havia criado no mangle, ficou uma maravilha, porém o controle de velocidade por ip parou de funcionar.

    Eis a questão deixei liberado tudo que passava pela porta 3128 e consultei no log do web proxy os pacotes que passavam TCP_MISS que vem da net e TCP_HITque sai do cache.

    o correto é em mangle conseguir criar e marcar a conexão que passa pelo proxy marcando apenas as conexoes TCP_HITque éo já está armazenado no cache.

    Esse é o caminho, porém ainda não conseguir fazer dessa forma, espero poste aí como fazer...

    Gostaria que o pessoal aqui do forúm desse dicas de avançadas, pois as básicas pelo google ajente acha um monte...

    Vou continuar tentandoe assim que funcionar 100% posto

  12. #12

    Smile Liberar velocidade total para porta 3128

    Citação Postado originalmente por wppitpmp Ver Post
    tb pensei em fazer assim, mas isso e uma faca de dois legumes...

    vi acontecer d um cliente, encher a rede de solicitacoes, e o servidor ficar saturado, ele controlava a banda assim como vc, na saida, dai alguns clientes pegaram virus, e bombardeavam a rede com pedidos....

    nunca aconteceu com vc...
    Claro que aconteceu, mas o que acontece são um conjunto de fatores que devem ser opostos na balança:
    1º - a velocidade máxima da minha rede por cliente é de 12 Mbit;
    2º - eu havia dito que tenho um IDS, snort no caso, que funciona muito bem, e alem do mais o comportamento de um virus é quase o mesmo que uma rede P2P, então de qualquer forma vc tem que estar preparado pra isso;
    3º - o trafego na entrada da rede, onde os clientes se conectam tem uma banda passante muito alta e o mesmo não acontece no lado onde o trafego sai;
    4º - o servidor é um Pentium 4 3.2GHz HT com 1 GB RAM, e isso influencia e muito;
    5º - as AP's não tem trabalho algum a não ser o de repassar as conecções dos clientes, todo o resto fica para o servidor, é ele que tem que fazer o trabalho duro.
    6º - o QOS prioriza algumas coisas e não deixa passar do limite a banda de entrada geral, mesmo porque como isso poderia ser possível!?!?! e a banda de saida e calculada cliente-a-cliente;
    Com o balanço de dessa farofa toda o negócio vem funcionando redondinho a 6 meses. E olha que eu tenho uns usuarios bem sacanas viu.

  13. #13

    Smile Catvbrasil

    mano.....


    qual a solucao p/ isso????


  14. #14

    Thumbs up

    Citação Postado originalmente por socrateschalkidis Ver Post
    mano.....


    qual a solucao p/ isso????

    1º - Esqueça que suas AP's fazem qualquer forma de altenticação e controle;
    2º - Tenha um servidor confiável para instalar um sistema de QOS, proxy, IDS.
    Com isso vc começa a pegar as redeas da sua rede.