Olá pessoal, mas uma vez venho contribuir com o forum nas experiências adquiridas no decorrer da administração das redes, acreditem ''a prática vale muito'' na hora do vamos ver...
Seguinte, ví em alguns tópicos o pessoal reclamando que o squid está lento ou em certos momentos fica lento, ou que o mikrotik não suporta a quantidade de requisições (bobagem) e vários outros comentários, vou passar a dica para vocês de como colocar o seu proxy em paralelo ao mikrotik para voar realmente, perceberão que é apenas um detalhe, meu proxy em paralelo está mandando cerca de 2 a 3G de hit's dia para os clientes e a coisa funciona assim:
vamos começar pelo mangle, essas são as regras que marcam os hist's:
add chain=output action=mark-connection new-connection-mark=HIT \
passthrough=yes out-interface=bridge1 dst-port=5128 content="X-Cache: HIT" \
comment="HIT'S DO PROXY" disabled=no
add chain=output action=mark-packet new-packet-mark="hit's do proxy" \
passthrough=yes connection-mark=HIT comment="" disabled=no
Observem que a porta que uso para o proxy é a 5128, mudem para a de vocês, outro detalhe importantíssimo nessa marcação é que vocês perceberam que só é marcado o hit na aba advanced, por que no MK quando você não seta protocolo ou porta ou interface alguma ele vai fazer a marcação em tudo que contiver a TAG, observem que só marquei a bridge, já que a minha interface do link está fora da bridge.A porta 5128 seria só para ''''amostra'' por que quando copiarem a regra veram que ela está desabilitada, então eu só estou marcando a TAG hit onde ela estiver, dentro da conexão.
Segunda parte...firewall filter ( mais importante ):
NÃO SE DEVE LIMITAR A CONEXÃO DOS HIT'S POR QUE AI VOCÊ LIMITA O SEU PROXY, E FICARIA SEM SENTIDO O PROXY FULL COMO TODOS CHAMAM.
Na regra que limita as conexões do seu MK você deve excluir os hit's ficando assim o limite só para o link, aqui está a regra que uso:
add chain=forward action=drop tcp-flags=syn in-interface=bridge1 \
src-address=172.128.254.0/24 dst-address=!192.168.50.2 protocol=tcp \
packet-mark="!hit's do proxy" connection-limit=30,32 comment="LIMITANDO A \
30 O N MERO DE CONEX ES" disabled=no
Observem que seto o endereço dos ip's dos clientes, a interface, e excluo o ip do proxy em paralelo, no caso o 192.168.50.2, e aproveito também e excluo a marcação do hit no mangle, assim, não tenho limite algum de conexões para o proxy em paralelo.
Agora vamos pensar um pouco...Imagine você liberando o seu proxy do limite de conexões no MK principal, ou seja '''''embaixo'' e nas Rb's ou nos pc-ap você tiver a mesma regra de limite de conexões ? Vai acontecer um ''''funil'' em sua rede, imagine um cano de água grosso e logo a frente um redutor para um cano fino, a passagem vai ficar estreita concordam? Então o proxy saindo sem limites do Mk ''''embaixo''' e limitado em cima vai estourar fácil, fácil o limite de conexões de sua Rb ou pc-ap deixando assim a conexão dos seus clientes LENTA e você com suspeita que o seu proxy em paralelo não está funcionando bem ou seu Mk não '''aguenta'' a quatidade de requisições ou conexões.
Pronto, façam isso e vejam a diferença em sua rede, agora não adianta ter isso e nos PTP estarem perdendo pacotes ou com ACK lá em cima, por que o tráfego aumetará muito em sua rede, levando dessa forma a muitos reenvios de dados fazendo novamente a conexão ficar lenta.
Quanto a tópicos em que o pessoal fala em alterar o limite de conexões do proxy para 4096, dêem uma lida em meu tópico sobre conexões, limites de conexões e como elas funcionam, e veram que não é necessário alterar isso ai, aqui estão:
Em boa rede hoje não é mais ''admissível'' perda de pacotes entre as torres ou ACK elevado, por que dispomos de vários equipamentos de qualidade para resolver isso, além das dicas preciosas do forum.
Outra coisa importante, '''não esqueçam de reconfigurar o '''resolv.conf'''
Bom, espero ter ajudado, e como de costume, Se a leitura for útil, um agradecimento por favor.