Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Wink Proxy pararelo ao Mikrotik através de rota estática

    Olá amigos, venho desta vez tentar ajudar muitos que estão com problemas
    em implantar o sistema de webproxy em pararelo com o MikroTik, pois eu tinha
    uma necessidade, que era a seguinte, redirecionar as requisições de http[TCP80]
    vindas dos clientes até o MikroTik para o Linux com Squid assim podendo conter
    os ips dos clientes e não somente o do MikroTik no access.log do Squid.
    Suponhamos que você já tenha configurado a sua rede junto ao MikroTik e precise
    apenas incluir o seu webproxy(ubuntu server 8.04lts meu caso), faça o seguinte:

    Crie um endereço de ip isolado para o seu MikroTik que fique na mesma faixa do seu webproxy por exemplo:
    MikroTik
    /ip address add address=10.100.100.1/30 broadcast=10.100.100.3 comment=proxy disabled=no interface=proxy network=10.100.100.0

    Linux
    $ sudo ifconfig eth0 10.100.100.2 netmask 255.255.255.252 up
    $ sudo route add default gw 10.100.100.1

    Em seguida compartilhe a conexão de internet no Linux:
    $ sudo modprobe iptable_nat
    $ sudo iptables -A POSTROUTING -t nat -s 192.168.100.0/24 -o eth0 -j MASQUERADE
    $ sudo echo 1 > /proc/sys/net/ipv4/ip_forward

    Em seguida compartilhe a conexão de internet no MikroTik para o seu webproxy:
    /ip firewall nat add action=masquerade chain=srcnat comment="masquerade para servidor proxy" disabled=no out-interface=link src-address=10.100.100.2

    Crie uma regra de marcação para roteamento, com essa regra você irá marcar todas as requisições vindas de seus clientes até a porta 80:
    /ip firewall mangle add action=mark-routing chain=prerouting comment="Marcação de rota na porta TCP 80 vindo de clientes" disabled=no dst-port=80 in-interface=clientes new-routing-mark=proxy-clientes passthrough=no protocol=tcp src-address=192.168.100.0/24

    Agora crie a ultima regra que será responsável pela a rota "clientes[TCP80]<-->webproxy":
    /ip route add comment="Rota Estática para o Proxy Pararelo[TCP80] - clientes" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.100.100.2 routing-mark=proxy-clientes scope=255 target-scope=255

    Vamos agora adicionar as regras de "cache-full" para que tudo que foi cacheado pelo o squid passe a full por entre as regras de simple queues, vamos lá!...
    /ip firewall mangle add action=mark-connection chain=forward comment="" content="X-Cache: HIT" disabled=no in-interface=link new-connection-mark=cachefull-connection \
    passthrough=yes protocol=tcp
    add action=mark-packet chain=forward comment="" connection-mark=cachefull-connection disabled=no in-interface=link new-packet-mark=cachefull-packs \
    passthrough=yes protocol=tcp

    E por ultimo vamos adicionar a regra que irá definir a que velocidade será entregue o itens cacheados pelo o squid marcados com o cabeçalho "X-Cache: HIT":
    /queue tree add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=5000000 name=cachefull packet-mark=cachefull-packs parent=global-out \
    priority=8 queue=default

    Nas linhas dos scripts substitua o que estiver em negrito segundo suas necessidades!

    Versão do MikroTik: 3.10 level 4 em uma RB433
    Versão do Linux: Ubuntu Server 8.04LTS em uma Máquina Virtual{VMWare/Vista Ultimate SP1/Intel Core 2 Quad}

    Ahhh e lembre-se de deixar seu Squid em proxy transparent, ufa! acabou depois de tudo isso seu webproxy já deve estar cacheando tudo certinho e mantendo seu MikroTik como gateway, router, nat, firewall e tudo mais, espero poder ter contribuido em algo, fui galera fiquem com DEUS!!!
    Última edição por animetaldeath; 18-04-2009 às 06:54. Razão: Adicionei as regras de cache-full para este tutorial...

  2. #2



  3. #3

    Talking

    Citação Postado originalmente por byosni Ver Post
    bom post!
    byosni,
    Brigadão cara, espero que seja de grande utilidade para quem tem duvidas de como implantar um webproxy em paralelo o MikroTik sem a necessidade de um parent proxy... vlw!

  4. #4

    Padrão

    amigo.. hoje eu naum uso proxy paraleo.. mas pretendo implantar logo logo, mas quando eu estava testando, eu simplismente coloquei uma "dst-nat" de tudo q vinha dos clientes da porta 80 para o ip do meu proxy para a respequitiva porta do meu proxy no linux.....

    agora vem a pergunta para os experientes.

    Qual a melhor forma de implantar o proxy em paralelo com mk???



  5. #5

    Padrão

    Ola amigo, excelente tutorial... mas seguinte, se usa seu squid pra fazer DHCP pros clientes pelo q entendi? to certo?? pq aki quero montar esse seu scripts, so q uso o servidor mikrotik pra fazer autentica'cao PPPOE, e nos logs, do squid chega a requisi'cao de meu Mk, onde nesse seu script, deve chegar os ips dos clientes do mikrotik... isso q quero fazer aki. So quero tirar a duvida, vc usa o squid pra fazer DHPC, ou qual a forma de autentica;'cao de seus clientes.

  6. #6

    Padrão

    Citação Postado originalmente por animetaldeath Ver Post
    Crie uma regra de marcação para roteamento, com essa regra você irá marcar todas as requisições vindas de seus clientes até a porta 80:
    /ip firewall nat add action=mark-routing chain=prerouting comment="Marcação de rota na porta TCP 80 vindo de clientes" disabled=no dst-port=80 in-interface=clientes new-routing-mark=proxy-clientes passthrough=no protocol=tcp src-address=192.168.100.0/24
    Ola amigo notei um erro na sua REGRA,,, falto ali em /ip firewall nat add action=mark-routing falto ai e teve um erro a op'cao NAT, essa regra, prerouting, e mark-routing eh na aba MANGLE, ficando assim:

    /ip firewall mangle
    add action=mark-routing chain=prerouting comment="Marcação de rota na porta TCP 80 vindo de clientes" disabled=no dst-port=80 in-interface=clientes new-routing-mark=proxy-clientes passthrough=no protocol=tcp src-address=192.168.100.0/24
    Última edição por aka2005; 25-03-2009 às 15:36.



  7. #7

    Padrão

    Citação Postado originalmente por animetaldeath Ver Post
    Por fim crie a ultima regra que será responsável pela a rota "clientes[TCP80]<-->webproxy":
    /ip firewall nat add comment="Rota Estática para o Proxy Pararelo[TCP80] - clientes" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.100.100.2 routing-mark=proxy-clientes scope=255 target-scope=255
    Ola amigo, denovo, essa regra nao consegui criar no mikrotik... gateway, distance=1 ??? nao axei ali nem por comandos.

  8. #8

    Padrão

    muito bom mesmo.. vou por em pratica essa semana..

    valeu.



  9. #9

    Padrão

    Citação Postado originalmente por aka2005 Ver Post
    Ola amigo notei um erro na sua REGRA,,, falto ali em /ip firewall nat add action=mark-routing falto ai e teve um erro a op'cao NAT, essa regra, prerouting, e mark-routing eh na aba MANGLE, ficando assim:

    /ip firewall mangle
    add action=mark-routing chain=prerouting comment="Marcação de rota na porta TCP 80 vindo de clientes" disabled=no dst-port=80 in-interface=clientes new-routing-mark=proxy-clientes passthrough=no protocol=tcp src-address=192.168.100.0/24
    bem lembrado amigo, realmente digitei na pressa, vou acertar isso ae, abraço!

  10. #10

    Padrão

    Citação Postado originalmente por aka2005 Ver Post
    Ola amigo, denovo, essa regra nao consegui criar no mikrotik... gateway, distance=1 ??? nao axei ali nem por comandos.
    opa! entaum opção "distance" está lá sim amigo tente observar com mais atenção, ressaltando que a versão usada do mikrotik é a 3.10 em uma RB433, porém com pequenas modificações nas ultimas regras tbm funciona na versão 2.9.27, já testei!



  11. #11

    Talking

    Citação Postado originalmente por GEISSONHUGO Ver Post
    amigo.. hoje eu naum uso proxy paraleo.. mas pretendo implantar logo logo, mas quando eu estava testando, eu simplismente coloquei uma "dst-nat" de tudo q vinha dos clientes da porta 80 para o ip do meu proxy para a respequitiva porta do meu proxy no linux.....

    agora vem a pergunta para os experientes.

    Qual a melhor forma de implantar o proxy em paralelo com mk???
    Olá GEISSONHUGO!,
    Entaum cara ae já vai da necessidade de cada um, no caso do dst-nat que é uma regra de NAT fazendo traduções de endereços locais para endereços válidos e vice-versa, creio que não seja a melhor solução para este cenário, já as rotas estáticas com marcação de rota já é de longe a regra mais indicada pois trata todas as requisições vindas de um determinado adaptador de rede e originado de uma determinada sub-rede ou de um determinado ip usando determinadas portas ou uma determinada porta em espefícifica, ou seja é uma regra totalmente efetiva e detelhada, por isso optei por ela, abraço!

  12. #12

    Padrão

    Citação Postado originalmente por aka2005 Ver Post
    Ola amigo, excelente tutorial... mas seguinte, se usa seu squid pra fazer DHCP pros clientes pelo q entendi? to certo?? pq aki quero montar esse seu scripts, so q uso o servidor mikrotik pra fazer autentica'cao PPPOE, e nos logs, do squid chega a requisi'cao de meu Mk, onde nesse seu script, deve chegar os ips dos clientes do mikrotik... isso q quero fazer aki. So quero tirar a duvida, vc usa o squid pra fazer DHPC, ou qual a forma de autentica;'cao de seus clientes.
    Não... dhcp-server, dhcp-client, nat, gateway, router, firewall, forwarder-ports, shaper(queue) é feito no MikroTik, somente o web-proxy(squid 2.6 stable18) e o thundercache 2 são usados no servidor ubuntu, as autenticações de usuários é feita através da interface wireless usando 802.1x(WPA2-AES), tbm é cadastrado o MAC do cliente no Access-List na interface wireless sendo possivel assim acesso somente por usuários que possuam perfil cadastro no mesmo, evitando assim conexão provinda de MACs que não possuem cadastro na Access-List, e tbm usado o ARP da interface wireless no modo "reply-only", forçando assim o casamento IPxMAC dos meus clientes para uma camada extra de proteção ao acessar o server... é isso ae!



  13. #13

    Question squid 2.6 stable18 e thundercache 2

    Citação Postado originalmente por animetaldeath Ver Post
    (squid 2.6 stable18) e o thundercache 2 são usados no servidor ubuntu,



    Iaeee parceiro me responde uma coisa, esses aplicativos ja vem instalados por padrão no Ubuntu 8.04 Server?

    caso não passa os comandos ai pra mim poder estar fazendo essa instalação!!
    Abração e Parabens pelo codigo.

  14. #14
    Avatar de stevens144
    Ingresso
    Oct 2007
    Localização
    Campo Grande MS
    Posts
    313
    Posts de Blog
    3

    Padrão

    vc pode obter esses pacotes atraves do serviço apt-get

    normalmente se usa

    apt-get install nomedosoftware

    veja a lista completa dos comandos apt-get em

    Tutorial Completo apt-get



  15. #15

  16. #16
    Avatar de stevens144
    Ingresso
    Oct 2007
    Localização
    Campo Grande MS
    Posts
    313
    Posts de Blog
    3

    Padrão

    tranquilo parcero qqlr coisa tamo ai



  17. #17

    Padrão

    Citação Postado originalmente por animetaldeath Ver Post
    opa! entaum opção "distance" está lá sim amigo tente observar com mais atenção, ressaltando que a versão usada do mikrotik é a 3.10 em uma RB433, porém com pequenas modificações nas ultimas regras tbm funciona na versão 2.9.27, já testei!
    Isso minha RB tava com 2.9, mudei ela pra 3.20 agora foi. obrigado.. Atualmente uso Proxy no Slacke, com Squid 3.. e Mikrotik como Autenticado PPoE... e RedRat como controle de Emaisl, DNS...

  18. #18

    Padrão

    Citação Postado originalmente por animetaldeath Ver Post
    opa! entaum opção "distance" está lá sim amigo tente observar com mais atenção, ressaltando que a versão usada do mikrotik é a 3.10 em uma RB433, porém com pequenas modificações nas ultimas regras tbm funciona na versão 2.9.27, já testei!
    Desculpa amigo, vi errado, nao notei la q é: IP ROUTE,,, eu tava criando outra regra em NAT,,, como de costume pra proxy em paralelo por estatica, eu faço em DST-NAT...
    Testei aki, ficou show, repasssa tudo pro Gateway... da até pra cria um QUEUE TREE pra controle de banda dele... a unica coisa q notei, foi os logs, infelizmente o Cache, vai registras o gateway do Mikrotik como consulta, e nao o Ip dos clientes... mas fora isso, ta 100%.



  19. #19

    Padrão

    Citação Postado originalmente por aka2005 Ver Post
    Desculpa amigo, vi errado, nao notei la q é: IP ROUTE,,, eu tava criando outra regra em NAT,,, como de costume pra proxy em paralelo por estatica, eu faço em DST-NAT...
    Testei aki, ficou show, repasssa tudo pro Gateway... da até pra cria um QUEUE TREE pra controle de banda dele... a unica coisa q notei, foi os logs, infelizmente o Cache, vai registras o gateway do Mikrotik como consulta, e nao o Ip dos clientes... mas fora isso, ta 100%.
    e ae aka2005 blz cara?
    entaum velho o ip que requisita o acesso registrado no log no squid é o ip do cliente sim, é só vc não usar o parent proxy do mk!

  20. #20

    Padrão

    Eita nois, pior mesmo, fiz o teste com o parente proxy ativado, o vida viu, tbm tanta merda pra pensa aki rsss... vlw amigo... so uma pergunta, vc viu resultado bom usando ROTA ESTATICA conforme seu tuto ai, em comparaçao com SQUID em PARALELO por PARENT PROXY, e por DST-NAT... ???