+ Responder ao Tópico



  1. #1

    Question Proxy Transparente no FreeBSD

    Olá amigos,

    Tenho um FreeBSD 6.3 com Kernel recompilado para IPFIREWALL, IPFIREWALL_FORWARD, IPSTEALTH e DUMMYNET, rodando Squid 2.6/STABLE20. A interceptação, cache e navegação está ocorrendo normalmente, porém, o IP apresentado em todos os Sites é o do meu Servidor e não o de origem, aparecendo apenas na header X_FORWARDED_FOR o IP correto. Todos meus clientes possuem IP válido e gostaria que o Squid fosse apenas um Bridge invisível, tanto para o cliente, quanto para proxy checkers. Estou a 2 dias vasculhando o Google e sites e a única ferramenta que consegui encontrar é o TPROXY, porém só funciona no Linux e não pretendo trocar de Sistema Operacional.

    Desde já agradeço.

  2. #2

    Padrão

    exatamente. tproxy somente linux... (e nao gostei nao. mto crash) ..

    faça WCCP entre squid e seu router (se for cisco) .. ele fica transparente.. sem ter q mexer em mais nada

    aqui tem exemplo:

    ConfigExamples/FreeBsdAndWccp2 - Squid Web Proxy Wiki

  3. #3

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    exatamente. tproxy somente linux... (e nao gostei nao. mto crash) ..

    faça WCCP entre squid e seu router (se for cisco) .. ele fica transparente.. sem ter q mexer em mais nada

    aqui tem exemplo:

    ConfigExamples/FreeBsdAndWccp2 - Squid Web Proxy Wiki
    Olá Alê,

    Tudo bem chefia ? Apanhei aqui mas consegui fazer pelo roteador. Não funcionava nem a pau, mas ai eu coloquei o "ip wccp web-cache redirect out" na interface de saída do Link e rolou numa boa, acredito que seja porque o IOS é mais antigo. Bom... o problema é que só consigo acessar site por IP e não pelo nome, o seguinte erro é mostrado ao tentar acessar qualquer domínio:

    The requested URL could not be retrieved
    --------------------------------------------------------------------------------
    While trying to retrieve the URL: PROXY checker results
    The following error was encountered:
    Unable to determine IP address from host name for checker.samair.ru
    The dnsserver returned:
    Refused: The name server refuses to perform the specified operation.
    This means that:
    The cache was not able to resolve the hostname presented in the URL.
    Check if the address is correct.
    Your cache administrator is suporte@*********.com.br.

    --------------------------------------------------------------------------------
    Generated Thu, 22 May 2008 07:25:42 GMT by cache.*******.com.br (squid/2.6.STABLE20)


    O que pode ser ?

    Abraços.

  4. #4

    Padrão

    Citação Postado originalmente por youngrp Ver Post
    Olá Alê,

    Tudo bem chefia ? Apanhei aqui mas consegui fazer pelo roteador. Não funcionava nem a pau, mas ai eu coloquei o "ip wccp web-cache redirect out" na interface de saída do Link e rolou numa boa, acredito que seja porque o IOS é mais antigo. Bom... o problema é que só consigo acessar site por IP e não pelo nome, o seguinte erro é mostrado ao tentar acessar qualquer domínio:

    The requested URL could not be retrieved
    --------------------------------------------------------------------------------
    While trying to retrieve the URL: PROXY checker results
    The following error was encountered:
    Unable to determine IP address from host name for checker.samair.ru
    The dnsserver returned:
    Refused: The name server refuses to perform the specified operation.
    This means that:
    The cache was not able to resolve the hostname presented in the URL.
    Check if the address is correct.
    Your cache administrator is suporte@*********.com.br.

    --------------------------------------------------------------------------------
    Generated Thu, 22 May 2008 07:25:42 GMT by cache.*******.com.br (squid/2.6.STABLE20)


    O que pode ser ?

    Abraços.
    amigão achei legal voce usar o fresbsd, dizem que ele é muito estável e bom, gostaria de saber se ele. é só em modo texto ou ele tem configurações que podem ser definidas via webadmin.
    Grato.

  5. #5

    Padrão

    tem o webmin, disponivel pelo ports, mas nada como o modo texto.

  6. #6

    Padrão

    Citação Postado originalmente por wimigasltda Ver Post
    amigão achei legal voce usar o fresbsd, dizem que ele é muito estável e bom, gostaria de saber se ele. é só em modo texto ou ele tem configurações que podem ser definidas via webadmin.
    Grato.
    Olá amigo,

    Utilizo apenas modo texto desde minha época com Conectiva 8. heheheheh
    Já cheguei a usar o webmin mas só para testes e como o amigo Filipe-WVIRTUAL disse, nada melhor que o modo texto.
    A respeito da estabilidade, não tenho o que reclamar. Antigamente utilizava Linux Slackware e Debian, mas após um sério problema com falta de driver nativo para o RAID de minha MB, troquei para o Free e nunca mais voltei para o pinguim. O tratamento de pacotes TCP do Free é bem mais "puro" e ágil e conta com o Packet Filter que ao meu ver é 10 vezes melhor que o iptables. Experimente e tenho certeza que irá gostar.

    Grande abraço !

  7. #7

    Padrão

    Pois é por varias vezes entrei no forum dos caras e lá as perguntas sempre são direcionadas pra um tutorial em ingles.
    É que tenho uma rede wirelles e gostaria de montar um banco de dados (cadastro de clientes e gerenciamento financeiro) com um servidor de e-mail utilizando o apache em minha rede interna e acredito que ele faria isso por mim, mas na verdade não sei nem por onde começar e que distro utilizar já que a mesma tem várias versões.

  8. #8

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    exatamente. tproxy somente linux... (e nao gostei nao. mto crash) ..

    faça WCCP entre squid e seu router (se for cisco) .. ele fica transparente.. sem ter q mexer em mais nada

    aqui tem exemplo:

    ConfigExamples/FreeBsdAndWccp2 - Squid Web Proxy Wiki
    Olá Alê,

    Consegui resolver o problema do DNS, porém continua aparecendo o IP do meu SQUID e não o IP do cliente. O que pode ser ?

    Abraços.

  9. #9

    Padrão

    o ip do proxy sempre vai aparecer.. a nao ser que voce use o WCCP !!! juntamente com o CISCO...

    e seus clientes precisam ter ips valido (um para cada cliente)...

  10. #10

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    o ip do proxy sempre vai aparecer.. a nao ser que voce use o WCCP !!! juntamente com o CISCO...

    e seus clientes precisam ter ips valido (um para cada cliente)...
    Olá Alê,

    Mas esta assim meu amigo. Tudo pelo WCCP2 do Cisco.

    Abraços.

  11. #11

    Padrão

    verifica se no cisco esta tudo ok..

    sh ip wccp


    e veja no bsd se o tunel esta ok com o cisco e talz..

    ai vc tira a regra de proxy transparente do GATEWAY.... e coloca ela LOCALMENTE no bsd...

  12. #12

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    verifica se no cisco esta tudo ok..

    sh ip wccp


    e veja no bsd se o tunel esta ok com o cisco e talz..

    ai vc tira a regra de proxy transparente do GATEWAY.... e coloca ela LOCALMENTE no bsd...
    Sim... esta tudo ok. Antes não funcionava pois estava colocando IP errado no tunel mas usando o tcpdump peguei todas informações que precisava e a troca de pacotes esta ocorrendo normalmente no gre0

    sh ip wccp
    Código :
    GrupoTotal#sh ip wccp
    Global WCCP information:
        Router information:
            Router Identifier:                   201.xxx.xxx.xxx
            Protocol Version:                    2.0
        Service Identifier: web-cache
            Number of Cache Engines:             1
            Number of routers:                   1
            Total Packets Redirected:            41437
            Redirect access-list:                2
            Total Packets Denied Redirect:       11658205
            Total Packets Unassigned:            5626
            Group access-list:                   -none-
            Total Messages Denied to Group:      0
            Total Authentication failures:       0

    sh ip wccp web-cache detail
    Código :
    WCCP Cache-Engine information:
            Web Cache ID:          189.xxx.xxx.xxx
            Protocol Version:      2.0
            State:                 Usable
            Initial Hash Info:     00000000000000000000000000000000
                                   00000000000000000000000000000000
            Assigned Hash Info:    FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
                                   FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
            Hash Allotment:        256 (100.00%)
            Packets Redirected:    0
            Connect Time:          00:02:36

    sh conf
    Código :
    ip wccp web-cache redirect-list 2
    !
    interface Serial0/0
     ip wccp web-cache redirect out
    !
    interface FastEthernet0/1
     ip wccp web-cache redirect in
    !
    access-list 2 permit 189.xxx.xxx.0 0.0.0.7

    # ifconfig
    Código :
    gre0: flags=d051<UP,POINTOPOINT,RUNNING,LINK0,LINK2,MULTICAST> mtu 1476
            tunnel inet 189.xxx.xxx.xxx --> 201.xxx.xxx.xxx
            inet 189.xxx.xxx.xxx --> 10.20.30.40 netmask 0xffffffff

    # netstat -I gre0
    Código :
    Name    Mtu Network       Address              Ipkts Ierrs    Opkts Oerrs  Coll
    gre0   1476 <Link#5>                           41416     0        0     0     0
    gre0   1476 189.xxx.xxx.xxx 189-xxx-xxx-xxx.gr   135882     -        0     -     -

    # vi /usr/local/etc/squid/squid.conf
    Código :
    http_port 3128 transparent
     
    wccp2_router 189.xxx.xxx.xxx
    wccp2_forwarding_method 1
    wccp2_return_method 1
    wccp2_service standard 0

    # vi /etc/rc.firewall
    Código :
    #!/bin/sh
    IPFW="/sbin/ipfw -q"
    $IPFW -f flush
    $IPFW add fwd 127.0.0.1,3128 tcp from any to any 80 via gre0 in
    $IPFW add fwd 127.0.0.1,3128 ip from any to any via gre0 in
    $IPFW add fwd 127.0.0.1,3128 tcp from any to any 80 in
    $IPFW add fwd 127.0.0.1,3128 tcp from any to any http in via gre0

    Não existe mais nenhuma regra de proxy no Mikrotik, apenas no router agora.

    Abraços.