+ Responder ao Tópico



  1. #1

    Padrão Proxy Paralelo com Debian / squid

    Estou usando a v. 3.2 com proxy cache habilitado, e firewall redirecionando a porta 80 para 3126 do proxy-cache do mikrotik e usando parent proxy para redirecionar para a 3128 do squid no debian. tudo funcionando blz, porém percebi um alto consumo de memoria no mikrotik, tipo em mais ou menos 6 horas vão-se mais de 1 gb da memória livre, pq se estou redirecioando tudo para o debian, se limpo o cache mikrotik continuo baixando arquivos cacheados no squid a 3.3 mb/s na rede.
    Pq este consumo de memória no mikrotik, algo errado ?
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         conf. mikrotik.JPG
Visualizações:	510
Tamanho: 	98,3 KB
ID:      	3588  

  2. #2

    Padrão

    Pessoal, adianto que não me aguentei, to usando um cartão ide de 1 gb no meu servidor com a ver. 2.9.51, com as mesmas configurações e claro, com o parent proxy redirecionando a porta 80 para o debian, vamos ver como ele se sai, e se a memória do mikrotik vai continuar caindo, novidades posto aki, obrigado...



  3. #3
    André Andrade*MikrotikRio Avatar de interhome
    Ingresso
    Oct 2008
    Localização
    Brasil.
    Posts
    1.095
    Posts de Blog
    15

    Padrão

    Reveja as regras do firewall, presta atenção. Bloqueie a porta do squid para uso de fora da sua rede. Na maioria das vezes com proxy, é o pessoal espancando o seu proxy. Espero ter ajudado.

  4. #4

    Padrão

    Citação Postado originalmente por interhome Ver Post
    Reveja as regras do firewall, presta atenção. Bloqueie a porta do squid para uso de fora da sua rede. Na maioria das vezes com proxy, é o pessoal espancando o seu proxy. Espero ter ajudado.
    infelismente não resolveu, continua comendo banda do mikrotik, tem alguma regra que eu possa usar que funcione o proxy squid debian com o proxy-cache do mikrotik desativado?



  5. #5
    André Andrade*MikrotikRio Avatar de interhome
    Ingresso
    Oct 2008
    Localização
    Brasil.
    Posts
    1.095
    Posts de Blog
    15

    Padrão

    / ip firewall nat
    add chain=dstnat src-address=Faixa de ip dos seus clientes protocol=tcp dst-port=80 action=dst-nat to-addresses=ip do debian to-ports=3128 \
    comment="NAT - Proxy" disabled=no

    Mas dessa forma desative a regra de drop da porta 3128 do seu firewall. Tudo funcionando agente monta ela denovo.

    Desabilite o proxy e o web-proxy do mk.
    Última edição por interhome; 15-02-2009 às 23:08.

  6. #6

    Padrão

    Citação Postado originalmente por interhome Ver Post
    / ip firewall nat
    add chain=dstnat src-address=Faixa de ip dos seus clientes protocol=tcp dst-port=80 action=dst-nat to-addresses=ip do debian to-ports=3128 \
    comment="NAT - Proxy" disabled=no

    Mas dessa forma desative a regra de drop da porta 3128 do seu firewall. Tudo funcionando agente monta ela denovo.

    Desabilite o proxy e o web-proxy do mk.
    Existe alguma exigencia para que essa regra funcione, o squid ta ativo, ja confirmei a porta e o ip, mais quando ativo as regra não navega.



  7. #7
    André Andrade*MikrotikRio Avatar de interhome
    Ingresso
    Oct 2008
    Localização
    Brasil.
    Posts
    1.095
    Posts de Blog
    15

    Padrão

    Para funcionar:

    Se vc colocar uma maquina ligado e apontanda diretamente para o seu squid, tem que navegar.

    Logo apos no mk,

    Nao pode ter um drop no firewall, para teste rapido marcar todas as regras do firewall e desabilite

    Faz um nat da rede do seu squid, para teste,

    /ip firewall nat

    add

    chain dstnat action masquerade

    Tem que navegar

    Caso não, de traceroute para um site, tipo www.uol.com e veja aonde esta parando

  8. #8

    Padrão

    Agradeço muito a atenção, tenho empenhado muito tempo na tentativa de fazer com que o proxy no debian funcione sem a necessidade do parent proxy do mikrotik.

    mais ta um pouco complicado, vou postar detalhes da minha conf.

    ether1 link ip da operadora
    ether 2 clientes 10.0.0.1/24
    ether 3 debian 192.168.200.1/24

    o debian ta com 192.168.100.2 e ja navegando com o squid habilitado

    só quero redirecionar as requisições da porta 80 dos clientes para a 3128 do squid sem o uso do web-proxy do mikrotik.



  9. #9
    André Andrade*MikrotikRio Avatar de interhome
    Ingresso
    Oct 2008
    Localização
    Brasil.
    Posts
    1.095
    Posts de Blog
    15

    Padrão

    / ip firewall nat
    add chain=dstnat src-address=10.0.0.0/24 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.100.2 to-ports=3128 \
    comment="NAT - Proxy" disabled=no

  10. #10
    André Andrade*MikrotikRio Avatar de interhome
    Ingresso
    Oct 2008
    Localização
    Brasil.
    Posts
    1.095
    Posts de Blog
    15

    Padrão

    Esse camarada fez um sistema que roda em debian e disponibiliza a versao 2 para baixar gratuitamente para quem só quer usar o squid.

    Manual :: MK-AUTH



  11. #11

    Padrão

    Citação Postado originalmente por interhome Ver Post
    / ip firewall nat
    add chain=dstnat src-address=10.0.0.0/24 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.100.2 to-ports=3128 \
    comment="NAT - Proxy" disabled=no
    ERROR

    The requested URL could not be retrieved

    ta dando esse erro quando habilito a regra

  12. #12
    André Andrade*MikrotikRio Avatar de interhome
    Ingresso
    Oct 2008
    Localização
    Brasil.
    Posts
    1.095
    Posts de Blog
    15

    Padrão

    / ip firewall nat
    add chain=dstnat src-address=10.0.0.0/24 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.200.1 to-ports=3128 \
    comment="NAT - Proxy" disabled=no

    Estava errado o ip do debian, o debian é 192.168.200.1 ? Caso não coloque o ip da interface do Debian.



  13. #13
    André Andrade*MikrotikRio Avatar de interhome
    Ingresso
    Oct 2008
    Localização
    Brasil.
    Posts
    1.095
    Posts de Blog
    15

    Padrão

    CITANDO:

    ether1 link ip da operadora
    ether 2 clientes 10.0.0.1/24
    ether 3 debian 192.168.200.1/24

    o debian ta com 192.168.100.2 e ja navegando com o squid habilitado

    só quero redirecionar as requisições da porta 80 dos clientes para a 3128 do squid sem o uso do web-proxy do mikrotik.

    --------------------------------------------------------------------------------------------

    ATENÇÃO: O ip da interface do debian no MK esta em 192.168.200.1/24 e o Debian em 192.168.200.1/24, Classes de ip diferente. NÃO SE COMUNICAM.

  14. #14

    Padrão

    So uma pequena observação, no sistema MK_AUTH, o Pedro usa a Distro ubuntu remasterizada e não Debian.



  15. #15
    André Andrade*MikrotikRio Avatar de interhome
    Ingresso
    Oct 2008
    Localização
    Brasil.
    Posts
    1.095
    Posts de Blog
    15

    Padrão

    Citação Postado originalmente por Mirandapb Ver Post
    So uma pequena observação, no sistema MK_AUTH, o Pedro usa a Distro ubuntu remasterizada e não Debian.
    O Pedro usa o Ubuntu remasterizada, porem wagnercandioto autor do tópico usa Debian.

  16. #16

    Padrão

    Ok amigo, desculpa a intromissao. Mas por falar no MK_AUTH ontem revendo uns posts antigos vi que voce tem experiencia com esse software, se possivel, me faz uma referencia dele. Tentei instalar a versao DEMO 2.0, aqui mas logo no boot me aparece um montao de erro e encerra a instalação, será um problema do processador? pois uso core 2 duo 2.2 64 bits. Agradeço antecipadamente.



  17. #17

    Padrão

    Citação Postado originalmente por wagnercandioto Ver Post
    Estou usando a v. 3.2 com proxy cache habilitado, e firewall redirecionando a porta 80 para 3126 do proxy-cache do mikrotik e usando parent proxy para redirecionar para a 3128 do squid no debian. tudo funcionando blz, porém percebi um alto consumo de memoria no mikrotik, tipo em mais ou menos 6 horas vão-se mais de 1 gb da memória livre, pq se estou redirecioando tudo para o debian, se limpo o cache mikrotik continuo baixando arquivos cacheados no squid a 3.3 mb/s na rede.
    Pq este consumo de memória no mikrotik, algo errado ?
    Olá

    mude a opção Max. Cache Size:unlimited para none.

    /ip proxy
    set max-cache-size=none

    como vc está usando parent proxy no mk nao há nescessidade de usar essa opção, e tbm proteja seu proxy contra acesso externo.

    /ip firewall filter
    add action=drop chain=input comment="" disabled=no dst-port=3128 in-interface=interface do seu link protocol=tcp

    Abraços

  18. #18
    André Andrade*MikrotikRio Avatar de interhome
    Ingresso
    Oct 2008
    Localização
    Brasil.
    Posts
    1.095
    Posts de Blog
    15

    Padrão

    Citação Postado originalmente por Mirandapb Ver Post
    Ok amigo, desculpa a intromissao. Mas por falar no MK_AUTH ontem revendo uns posts antigos vi que voce tem experiencia com esse software, se possivel, me faz uma referencia dele. Tentei instalar a versao DEMO 2.0, aqui mas logo no boot me aparece um montao de erro e encerra a instalação, será um problema do processador? pois uso core 2 duo 2.2 64 bits. Agradeço antecipadamente.

    Amigo, comprei a versão 1 para teste. Instalei, o squid rodou perfeito porem o radius não se comunicou com mikrotik por nada. Outra dificuldade que tive foi conseguir configurar as placas de rede. Não tinha permissão, pois não era o root.
    Agora estou com uma maquina com a versão 2 e vou tentar configurar. Estou tentando usar esse programa porque gostaria que o cliente pudesse imprimir a segunda via dos boletos e ter seu gráfico de consumo. Porem tem algumas questões que estou questionando com Pedro. A minha maior preocupação é que acredito que ele tem acesso ao servidor e desculpa, ali vai ter Nome, Endereço, CPF... Isso é bem sério. Outros programas como o myauth,... Acontece o mesmo.
    Preferiria que fosse igual ao mikrotik, por exemplo, a pessoa baixa, instala, passa o serial e o fabricante libera.
    O programa MK-AUTH é bem interessante e fiquei de instalar em um provedor que damos suporte. O problema é que as respostas com o Pedro demoram e ainda não nos afinamos.
    Esses erros devem ser no seu HD. Use outro para teste. A instalação é rápida, conselho, abrira a tela do ubuntu e terá que mandar instalar no Hd, antes faça as configurações das placas de rede.



  19. #19

    Padrão

    Valeu amigo, suas considerações sao importantes. Valeu mesmo.