squid + 2 links + 2 redes

**valmirzuge** · 01-10-2008, 15:34

Pessoal,Estou com problemas para fazer funcionar o squid em duas redes diferentes,rodando 2 instancias com compartilhamento de cache.O firewall de cada lan redireciona a porta 80 para o ip do squid correspondente. O problema é que nao estou conseguindo acertar as rotas de saida no squid, consigo acertar uma das redes mas a outra ou nao funciona ou sai pelo mesmo link.Alguem teria uma exemplo funcional pra fazer isso? +------------+ / 189.10.xxx.xxx | | | FIREWALL LAN-1------------+-------------+ Router 1 +------- | | | / +------+-------+ +------------+ | | eth0 | / | | | + squid proxy | | Internet | | | | eth1 | \ +------+-------+ +------------+ | | | | \ FIREWALL LAN-2------------+-------------+ Router 2 +------- 200.180.xxx.xxx | | | +------------+ \________

**Magnun** · 02-10-2008, 07:40

Postado originalmente por valmirzuge

Pessoal,Estou com problemas para fazer funcionar o squid em duas redes diferentes,rodando 2 instancias com compartilhamento de cache.O firewall de cada lan redireciona a porta 80 para o ip do squid correspondente. O problema é que nao estou conseguindo acertar as rotas de saida no squid, consigo acertar uma das redes mas a outra ou nao funciona ou sai pelo mesmo link.Alguem teria uma exemplo funcional pra fazer isso? +------------+ / 189.10.xxx.xxx | | | FIREWALL LAN-1------------+-------------+ Router 1 +------- | | | / +------+-------+ +------------+ | | eth0 | / | | | + squid proxy | | Internet | | | | eth1 | \ +------+-------+ +------------+ | | | | \ FIREWALL LAN-2------------+-------------+ Router 2 +------- 200.180.xxx.xxx | | | +------------+ \________

Cara, redesenha essa topologia ai que agente tenta ajudar!
Até mais..

**valmirzuge** · 02-10-2008, 15:12

a maquina com squid(duas instancias) tem que funcionar como se fossem duas maquinas independentes(sem nat) mas compartilhando cache.
o squid roda em paralelo com as duas redes:

firewall lan-1-----------+------------router-1-internet
.............................+squid+.................................
firewall lan-2-----------+------------router-2-internet

**Magnun** · 02-10-2008, 17:48

Postado originalmente por valmirzuge

a maquina com squid(duas instancias) tem que funcionar como se fossem duas maquinas independentes(sem nat) mas compartilhando cache.
o squid roda em paralelo com as duas redes:

firewall lan-1-----------+------------router-1-internet
.............................+squid+.................................
firewall lan-2-----------+------------router-2-internet

Cara, quanto à questão de roteamento, você vai ter que usar o iprotue2 e fazer roteamento por origem se você quiser que o pessoal da lan-1 saia pelo router1 e o pessoal da lan-2 saia pelo router2.
O que ocorre é que se você colocar uma rota default todo mundo sai porum único link. Se você coloca 2 rotas default ele não funciona direito, porque gera inconssistência na tabela de roteamento.
Com o iproute2 você diz que tudo oq vier pela lan1 vai pra rotuer1 e o que vem pela lan2 vai pra router2. É bem tranquilo...

Agora, quanto ao squid em duas instâncias... Não posso te ajudar, foi mal...

Qualquer dúvida posta ai...

**valmirzuge** · 02-10-2008, 18:28

magnum,

é exatamente assim que eu quero,

e justamente estou enrolado com o iproute2, ainda nao consegui acertar essas rotas.

eu preciso o script com os comandos corretos do iproute.

o squid eu ajeito.

**Magnun** · 02-10-2008, 19:37

Cara, pra começar temos que criar 2 tabelas.
Em /etc/iproute2/rt_tables aidione 2 tabelas, por exemplo adiciona o seguinte:
21 lan1
22 lan2

Depois criar rotas padrões em cada tabela...
# ip route add default via <ip_do_router1> table lan1
# ip route add default via <ip_do_router2> table lan2

Pra listar as rotas de cada tabela
# ip route list table lan1
# ip route list table lan2

Depois definir as rules, que dizem que rota vai ser usada pra cada origem:
# ip rule add from <rede_da_lan1> table lan1
# ip rule add from <rede_da_lan2> table lan1

Pra confirmar as rules configuradas:
# ip rule list

Lembrando que é interessante remover a rota padrão do kernel (mas não é obrigatório)
# route del -net 0/0 gw <ip_do_gateway>

Caso remova a rota do kernel, todas as possíveis origens da sua rede devem estar especificadas em uma rule.

Outra coisa, se o seus firewall1 e firewall2 estiverem fazendo nat para as redes lan1 e lan2 você vai ter que especificar a rede do firewall1 e do firewall2 nas rotas.

Só confirmando, você habilitou o roteamento no kernel?

Qualquer dúvida posta ai...

**Pirigoso** · 02-10-2008, 19:49

ACL ACL_REDE1 src 192.168.1.0/255.255.255.0
ACL ACL_REDE2 src 192.168.2.0/255.255.255.0
http_access allow ACL_REDE1
http_access allow ACL_REDE2
tcp_outgoing_address IP_PLACA_DE_REDE(ETH0)_QUE_USA_O_GATEWAY1 ACL_REDE1
tcp_outgoing_address IP_PLACA_DE_REDE(ETH1)_QUE_USA_O_GATEWAY2 ACL_REDE2

deu pra ter uma ideia?

**Magnun** · 02-10-2008, 20:25

Postado originalmente por Pirigoso

ALC ALC_REDE1 src 192.168.1.0/255.255.255.0
ALC ALC_REDE2 src 192.168.2.0/255.255.255.0
http_access allow ALC_REDE1
http_access allow ALC_REDE2
tcp_outgoing_address IP_PLACA_DE_REDE(ETH0)_QUE_USA_O_GATEWAY1 ALC_REDE1
tcp_outgoing_address IP_PLACA_DE_REDE(ETH1)_QUE_USA_O_GATEWAY2 ALC_REDE2

deu pra ter uma ideia?

Pirigoso, não seria ACL não?

**Pirigoso** · 03-10-2008, 10:02

nao entendi sua duvida..

vc cria uma ALC e manda sair por determinda interface

**Pirigoso** · 03-10-2008, 10:03

hehehhe agora que vi escrivi errado ALC ehehhe ACL
arrumei ja hehe

**Pirigoso** · 03-10-2008, 10:09

Postado originalmente por Magnun

Cara, pra começar temos que criar 2 tabelas.
Em /etc/iproute2/rt_tables aidione 2 tabelas, por exemplo adiciona o seguinte:
21 lan1
22 lan2

Depois criar rotas padrões em cada tabela...
# ip route add default via <ip_do_router1> table lan1
# ip route add default via <ip_do_router2> table lan2

Pra listar as rotas de cada tabela
# ip route list table lan1
# ip route list table lan2

Depois definir as rules, que dizem que rota vai ser usada pra cada origem:
# ip rule add from <rede_da_lan1> table lan1
# ip rule add from <rede_da_lan2> table lan1

Pra confirmar as rules configuradas:
# ip rule list

Lembrando que é interessante remover a rota padrão do kernel (mas não é obrigatório)
# route del -net 0/0 gw <ip_do_gateway>

Caso remova a rota do kernel, todas as possíveis origens da sua rede devem estar especificadas em uma rule.

Outra coisa, se o seus firewall1 e firewall2 estiverem fazendo nat para as redes lan1 e lan2 você vai ter que especificar a rede do firewall1 e do firewall2 nas rotas.

Só confirmando, você habilitou o roteamento no kernel?

Qualquer dúvida posta ai...

to pra te dizer que para usar apenas o recurso do squid ele necessita adcionar outro gateway nao precisando criar regras com iproute

**Magnun** · 03-10-2008, 10:55

Postado originalmente por Pirigoso

to pra te dizer que para usar apenas o recurso do squid ele necessita adcionar outro gateway nao precisando criar regras com iproute

Sério?! Dessa eu não sabia! Valeu pela dica.
Vivendo e aprendendo...
E o linux sempre me surpreendendo...

**Pirigoso** · 03-10-2008, 12:50

Postado originalmente por Magnun

Sério?! Dessa eu não sabia! Valeu pela dica.
Vivendo e aprendendo...
E o linux sempre me surpreendendo...

nao tenho certeza mas acho que é so deixar a maquina com 2 gateway e ja era

squid + 2 links + 2 redes

Ferramentas de Tópicos

squid + 2 links + 2 redes