+ Responder ao Tópico



  1. #1

    Padrão Redirecionamento Proxy Externo

    Pessoal tou com problema estranho com as regras de redirecionamento de proxy externo...

    regras que testei:


    add chain=dstnat in-interface=CLIENTES src-address=!15.15.0.2 protocol=tcp \
    dst-port=80 action=dst-nat to-addresses=15.15.0.2 to-ports=3128 comment="" \
    disabled=yes

    add chain=dstnat src-address=!15.15.0.2 protocol=tcp \
    dst-port=80 action=dst-nat to-addresses=15.15.0.2 to-ports=3128 comment="" \
    disabled=yes

    add chain=dstnat in-interface=CLIENTES protocol=tcp dst-port=80 hotspot=auth \
    action=redirect to-ports=3128 comment="PROXY REDIRECIONAMENTO\\" \
    disabled=no

    add chain=dstnat protocol=tcp dst-port=80 hotspot=auth \
    action=redirect to-ports=3128 comment="PROXY REDIRECIONAMENTO\\" \
    disabled=no


    usando proxy, webproxy ou direto todas essas deixam a conexão lenta, mesmo se só um pc esta passando por elas, fiz uma experiência e setei manualmente no navegador dos clientes, e pra minha surpresa não houve problema algum, uma maravilha, velocidade boa!


    o que pode estar acontecendo??

  2. #2

    Padrão

    Observe se não está sendo causado por regras de filter ou mangle.



  3. #3

    Padrão

    Citação Postado originalmente por Raniel Ver Post
    Observe se não está sendo causado por regras de filter ou mangle.

    filter

    / ip firewall filter
    add chain=input in-interface=LINK protocol=tcp dst-port=3128 action=drop \
    comment="BLOQUEIO DO PROXY EXTERNO" disabled=no
    add chain=forward connection-state=established action=accept \
    comment="ESTABELECER CONEXAO" disabled=no
    add chain=forward protocol=tcp dst-port=1863 action=accept comment="MSN" \
    disabled=no
    add chain=forward action=jump jump-target=virus comment=";;; jump to the \
    virus chain" disabled=no
    add chain=virus protocol=tcp dst-port=135-139 action=drop comment="BLOQUEIO \
    DE VIRUS" disabled=no
    add chain=virus protocol=udp dst-port=135-139 action=drop comment="" \
    disabled=no
    add chain=virus protocol=tcp dst-port=445 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="" \
    disabled=no
    add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="" \
    disabled=no
    add chain=virus protocol=udp dst-port=4444 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=1373 action=drop comment="" disabled=no
    add chain=virus protocol=tcp dst-port=2535 action=drop comment="" disabled=no

    mangle

    / ip firewall mangle
    add chain=forward out-interface=RADIO protocol=tcp tcp-flags=syn \
    action=change-mss new-mss=1300 comment="MSN" disabled=no
    add chain=prerouting p2p=all-p2p action=mark-connection \
    new-connection-mark=p2p-conn passthrough=yes comment="p2p" disabled=no
    add chain=prerouting connection-mark=p2p-conn action=mark-packet \
    new-packet-mark=p2p-conn passthrough=yes comment="" disabled=no
    add chain=output protocol=tcp src-port=3128 content="X-Cache: HIT" \
    action=mark-connection new-connection-mark=squid-connection-HIT \
    passthrough=yes comment="PROXY FULL" disabled=no
    add chain=output connection-mark=squid-connection-HIT action=mark-packet \
    new-packet-mark=squid-packet-HIT passthrough=yes comment="" disabled=no
    add chain=prerouting protocol=tcp dst-port=443 connection-state=new \
    action=mark-connection new-connection-mark=con-443 passthrough=yes \
    comment="Conex es 443" disabled=no
    add chain=prerouting connection-state=new dst-address-list=ORKUT \
    action=mark-connection new-connection-mark=con-443 passthrough=yes \
    comment="" disabled=no
    add chain=prerouting connection-mark=con-443 action=mark-packet \
    new-packet-mark=orkut-packet passthrough=yes comment="" disabled=no
    add chain=output protocol=tcp src-port=3128 content="X-Cache: HIT" \
    action=mark-connection new-connection-mark=conn_squid-up passthrough=yes \
    comment="CACHE FULL" disabled=no
    add chain=output connection-mark=conn_squid-up action=mark-packet \
    new-packet-mark=pacotes_squid-up passthrough=yes comment="" disabled=no
    add chain=prerouting protocol=tcp dst-port=3128 action=mark-connection \
    new-connection-mark=conn_squid-down passthrough=yes comment="" \
    disabled=no
    add chain=prerouting connection-mark=conn_squid-down action=mark-packet \
    new-packet-mark=pacotes_squid-down passthrough=yes comment="" disabled=no

    na minha concepção não raniel, outra ideia?

  4. #4

    Padrão

    opa, qual versao tais usando?

    ative o webprox, coloque em parent o ip do proxy externo e a porta,

    em ip firewal uma simples regra redirecionando para seu proxy interno,
    add action=redirect chain=srcnat dst port 80 - protocol tcp to ports 3128(no meu caso, essa é a porta do mk)

    OBs na configuração do webproxy, pra evitar problemas utilize uma porta diferente da porta de seu proxy externo.

    sendo assim o seu cliente acesso seu mk, ele é redirecionado para o proxy do mk, que por sua vez redireciona para seu proxy externo.

    testa ai,,



  5. #5

    Padrão

    Pessoal só aproveitando o post do colega e nãopoluir muito o forum, depois demuito custo consegui instalar o Debian+Squid e colocar-lo para funcionar, ai fiquei sabendo desse ZPH, qual a finalidade dele ? Aproveitando o tópico, em vez de habilitar o proxy do mk e colocar o linux como parent, eu fiz uma regra no NAT redirecionando meus clientes para o IP e porta do proxy Debian, capturando as portas 21,80,443, são somente estas portas mesmo ? Esta regra que eu fiz pode dar problemas ?

    Obrigado!!!

  6. #6

    Padrão

    Citação Postado originalmente por jhonnyp Ver Post
    opa, qual versao tais usando?

    ative o webprox, coloque em parent o ip do proxy externo e a porta,

    em ip firewal uma simples regra redirecionando para seu proxy interno,
    add action=redirect chain=srcnat dst port 80 - protocol tcp to ports 3128(no meu caso, essa é a porta do mk)

    OBs na configuração do webproxy, pra evitar problemas utilize uma porta diferente da porta de seu proxy externo.

    sendo assim o seu cliente acesso seu mk, ele é redirecionado para o proxy do mk, que por sua vez redireciona para seu proxy externo.

    testa ai,,
    testei colocar a porta diferente, o problema continua...



  7. #7

    Padrão

    marconipcd, eu fiz da seguinte maneira e deu certo,
    LINK <> MK(NAT) <> CLIENTES (Portas !21,!80, NAT para o LINK)
    ___________\/ (Requisições das 21,80 vão para a porta 3128 do Debian)
    Debian (Squid+Sarg) (Debian ligado na ether2 da RB e utilizando NAT)

    Todos os clientes passam por um controle (Queue e QOS), sendo que os pacotes que são priorizados são os das portas 80(www), ICMP(ping), 53(dns).
    Última edição por agpnet; 23-03-2009 às 20:20.

  8. #8

    Padrão

    amigo, meu esquema é o mesmo que vocë me descreveu,com uma unica diferença que nÃO utilizava ip valido no squid, re-configurei e até agora esta normal(claro que não é horario de pico) vouobservar o dia inteiro e se der certo ou errado eu posto aqui pra galera



  9. #9

    Padrão

    amigo, mais ou menos 1 hora esta estavel sem problemas algum notei que quando começou horario de pico a partir de uns 20 minutos atraz começou o mesmo problema, tou pensando uma coisa aqui defini um ip valido para o squid tudo bem, porém utilizo dois links de 2 megas que chegam no meu swthi e um cabo do swthi para o linux-squid então definir como interface eth1 e eth1:1 e também definir dois gatways agora minha pergunta é será que todos os dois links estão sendo utilizados??

  10. #10

    Smile rota estática

    Amigo tenta isso aqui... tinha o mesmo problema que vc mais agora está tuuudo ok ^^
    Abraço!

    Proxy Pararelo ao Mikrotik Através de Rota Estática



  11. #11

    Padrão

    Amigo minha versão do mikrotik é a 2.9.27 o seu ultimo passo (5º)

    Por fim crie a ultima regra que será responsável pela a rota "clientes[TCP80]<-->webproxy":
    /ip firewall nat add comment="Rota Estática para o Proxy Pararelo[TCP80] - clientes" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.100.100.2 routing-mark=proxy-clientes scope=255 target-scope=255

    não consegui encontrar opção de configurar o gateway, então adicionei um novo gateway e marquei e tentei criar um nat para redirecionar, mais ele não redireciona

    e agora o que faço?

  12. #12

    Padrão

    Citação Postado originalmente por marconipcd Ver Post
    Amigo minha versão do mikrotik é a 2.9.27 o seu ultimo passo (5º)

    Por fim crie a ultima regra que será responsável pela a rota "clientes[TCP80]<-->webproxy":
    /ip firewall nat add comment="Rota Estática para o Proxy Pararelo[TCP80] - clientes" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.100.100.2 routing-mark=proxy-clientes scope=255 target-scope=255

    não consegui encontrar opção de configurar o gateway, então adicionei um novo gateway e marquei e tentei criar um nat para redirecionar, mais ele não redireciona

    e agora o que faço?
    marconipcd,
    vc fez o quarto passo em mangle marcou em routing-mark? na rota vc deve usar o mesmo routing-mark se não o fizer não funciona, e o gateway na rota a ser criada é o ip do seu web-proxy...
    outra coisa importante com essa configuração que te passei não é pra ser usada com o webproxy do mikrotik como um parent proxy, se o mesmo estiver ativado desative-o e tbm desativa a regra nat de redirect para ele...
    passa pra gente as suas configurações de rota, nat e mangle pra gente dar uma olhada...
    ficamos no aguardo!
    Última edição por animetaldeath; 24-03-2009 às 19:05.



  13. #13

    Padrão

    Citação Postado originalmente por marconipcd Ver Post
    Amigo minha versão do mikrotik é a 2.9.27 o seu ultimo passo (5º)

    Por fim crie a ultima regra que será responsável pela a rota "clientes[TCP80]<-->webproxy":
    /ip firewall nat add comment="Rota Estática para o Proxy Pararelo[TCP80] - clientes" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.100.100.2 routing-mark=proxy-clientes scope=255 target-scope=255

    não consegui encontrar opção de configurar o gateway, então adicionei um novo gateway e marquei e tentei criar um nat para redirecionar, mais ele não redireciona

    e agora o que faço?
    Cara me perdoe, no passo, no início da regra ao invés de /ip firewall nat é /ip route, por isso vc não está conseguindo inserir a regra cara, desde já peço desculpas digitei muuuito rápido, agora é só fazer como está lá na dica que vc conseguirá com certeza abraço!

  14. #14

    Padrão

    aproveitando o embalo do redirecionamento:

    tenho alguns clientes meus pedindo pra gerar relátorios do squid...de páginas acessadas, porém meu squid está atras do mk (nat), intao toda e qq requisição dos clientes (que usam IPs inválidos) chega no squid com o ip do mk, ae nao tem como diferenciar os clientes. Existe alguma forma de marcar a conexão do cliente no mk, e ser identificada no squid, mesmo vindo tudo do mesmo IP ???

    agradeço a qq ajuda...


    Corrigindo, a todos que prescisarem, a resposta está aqui:

    https://under-linux.org/f124004-prox...-rota-estatica

    abraços...
    Última edição por Mr_Dom; 02-04-2009 às 09:56.



  15. #15

    Padrão

    Citação Postado originalmente por Mr_Dom Ver Post
    aproveitando o embalo do redirecionamento:

    tenho alguns clientes meus pedindo pra gerar relátorios do squid...de páginas acessadas, porém meu squid está atras do mk (nat), intao toda e qq requisição dos clientes (que usam IPs inválidos) chega no squid com o ip do mk, ae nao tem como diferenciar os clientes. Existe alguma forma de marcar a conexão do cliente no mk, e ser identificada no squid, mesmo vindo tudo do mesmo IP ???

    agradeço a qq ajuda...


    Corrigindo, a todos que prescisarem, a resposta está aqui:

    Proxy Pararelo ao Mikrotik Através de Rota Estática

    abraços...
    Fico feliz em saber que o meu PRIMEIRO tutorial está sendo útil pra bastante gente, logo logo vou postar um de como fazer cache do YouTube e muitos outros, abraço!