+ Responder ao Tópico



  1. Citação Postado originalmente por Arlin Ver Post
    instala o SARG que ele gera os relatorios do Squid
    as regras do cache full pra versão 2xxxx uso essas

    / ip firewall mangle
    add chain=output protocol=tcp src-port=3128 content="X-Cache: HIT" action=mark-connection \
    new-connection-mark=conn_squid-up passthrough=yes comment="CACHE FULL" disabled=no
    add chain=output connection-mark=conn_squid-up action=mark-packet new-packet-mark=pacotes_squid-up \
    passthrough=yes comment="" disabled=no
    add chain=prerouting protocol=tcp dst-port=3128 action=mark-connection new-connection-mark=conn_squid-down \
    passthrough=yes comment="" disabled=no
    add chain=prerouting connection-mark=conn_squid-down action=mark-packet new-packet-mark=pacotes_squid-down \
    passthrough=yes comment="" disabled=no


    /ip firewall filter
    add chain=input protocol=tcp dst-port=3128 action=accept comment="ACEITAR CONEXOES PROXY" disabled=no

    /queue tree
    add name="\[CACHE-FULL\] - Download" parent=global-in packet-mark=pacotes_squid-down limit-at=0 queue=default \
    priority=1 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
    add name="\[CACHE-FULL\] - Upload" parent=global-out packet-mark=pacotes_squid-up limit-at=0 queue=default \
    priority=1 max-limit=7000000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no

    Arlin, fiz conforme acima para que o mk ficasse com o cache full apenas do squid. Mas parece que não ta rolando. Fiz testes com velocidade de 120 k e parece que mesmo o site estanco em cache vai para o cliente na velocidade de 128k. Até todos os contadores mesmo do queue tree e do firewall Mangle estão zerados. Será que esqueci de algo ou tem algo errado neste script?

    Lembrando que não fiz nenhuma alteração. Tinha que ter feito alguma?

  2. Citação Postado originalmente por ceusbar Ver Post
    /ip firewall filter
    add action=accept chain=forward comment="Bloqueio de usuarios por falta de pagamento.Suspensao" disabled=no dst-port=81 protocol=tcp src-address-list=\
    Bloqueio-Debito-Suspensao
    add action=accept chain=forward comment="" disabled=no dst-port=53 protocol=udp src-address-list=Bloqueio-Debito-Suspensao
    add action=drop chain=forward comment="" disabled=no src-address-list=Bloqueio-Debito-Suspensao
    /ip firewall nat
    add action=masquerade chain=srcnat comment="Redirecionamento para pagina de aviso" disabled=no src-address=192.160.1.0/24
    add action=same chain=dstnat comment="Controle de clientes por falta de pagamento.Debito 15 dias de atraso" disabled=no dst-port=80 protocol=tcp \
    same-not-by-dst=no src-address-list=Bloqueio-Debito to-addresses=192.168.100.2 to-ports=81
    - Onde esta em verde:
    Faixa de ip da sua rede
    - Onde esta em vermelho:
    Ip da maquina onde esta hospedada a página (Nesse caso,em nosso proxy)
    as regras do filter rules vc adicona elas e podem ficar na ultima linha mesmo mais as duas regras do nat tem que ficar logo abaixo da nat dos clientes ou seja em primeiro lugar a nat dos clientes ai em segundo a redirecionamento pra pagina de aviso e a terceira a controle de falta de pagamento debito 15 dias e depois as demais regras por ultimo redirecionamento pro proxy ai depois em address list coloque em NOME bloqueio-debito e o ip do camarada a ser bloqueado e em coment o nome do danado e pronto vai funcionar de certeza ok.



  3. Citação Postado originalmente por FernandodeDeus Ver Post
    Arlin, fiz conforme acima para que o mk ficasse com o cache full apenas do squid. Mas parece que não ta rolando. Fiz testes com velocidade de 120 k e parece que mesmo o site estanco em cache vai para o cliente na velocidade de 128k. Até todos os contadores mesmo do queue tree e do firewall Mangle estão zerados. Será que esqueci de algo ou tem algo errado neste script?

    Lembrando que não fiz nenhuma alteração. Tinha que ter feito alguma?
    amigo as regras estão corretas e deve aver trafego de dados no queue tree sim se não ta tendo deve ter algo errado vc usando a versão 2 XX deve ter o web proxy configurado as regras de redirecionamento pro proxy interno tudo funcionando pro cache full funcionar.

    configurando web proxy
    Primeiro vamos em ip -> web-proxy e clique no botão Settings.
    Em PORT Escolha a porta do seu web-proxy, no meu caso escolhi a porta padrão do proxy 3128;

    Marque a opção TRANSPARENT PROXY. Lembre de deixar desmarcada esta opção "Transparent Proxy" nos perfil do hotsport (ip -> hotspot -> user - > Botão Profiles);

    Em CACHE ADMINISTRATOR, deixe padrão: "webmaster";

    Em MAXIMUM OBJECT SIZE, deixei "65536 kiB" que é 64M para o tamanho máximo para arquivos que devem ser armazenados, acima disso não gravo.

    Em CACHE DRIVE, deixe "system", dessa forma o HD será o mesmo HD que o Mikrotik estar instalado. No caso da imgem, tenho um HD de 40Gb extra como escravo onde utilizo a opção "secondary-master" que é meu segundo HD.

    Em MAXIMUM CACHE SIZE, defini o tamanho máximo do meu HD de 40GB para "33712000 KiB", no seu caso pode ser diferente de acordo com seu HD, sempre informe o tamanho em KiloBytes.

    Em MAXIMUM RAM, defini o tamanho máximo da minha mémória RAM em "458752 KiB" porque tenho 512Mb de ram, mas deixei apenas 448MB para cache, porque deixei 64M para o Mikrotik.

    O web-proxy estar configurado, agora clique no botão “ENABLE” para dar início ao web-proxy.

    Agora vamos definir o que não pode ser gravado no web-proxy:

    /ip web-proxy cache
    add url=":cgi-bin \\\?" action=deny comment="sem cache" disabled=no
    add url="https:/
    /" action=deny comment="sem cache" disabled=no

    As duas regras são páginas dinâmicas e páginas de autenticação como as que os bancos usam, estas não devem ser gravadas no web-proxy e para isso estaremos definidos elas como deny (negadas).

    Vamos definir quem tem o acesso ao web-proxy:

    / ip web-proxy access
    add src-address=192.168.20.0/
    24 action=allow comment="" disabled=no
    add action=deny comment="" disabled=no

    Na regra acima, a primeira definir que minha rede de clientes 192.168.20.0/24 terá acesso ao web-proxy, e na segunda falo ao mikrotik que fora estas nenhuma mais.

    Agora vamos configurar o mikrotik para conversar antes com o proxy, vamos criar a regra para redirecionar as requisições primeiro para o proxy, para isso:

    A regra baixo criará um redirecionamento da porta 80 para a porta do web-proxy 3128 em ip -> firewall -> nat:

    / ip firewall nat
    add chain=dstnat in-interface=CLIENTES src-address=192.168.20.0/
    24 protocol=tcp dst-port=80 action=redirect \
    to-ports=3128 comment="REDIRECIONAR PROXY" disabled=no

    Em IN-INTERFACE, definimos a interface dos clientes, no caso a minha tem o nome CLIENTES, onde pode ser o nome da sua INTERFACE onde fica os seus clientes.

    Em SRC-ADDRESS, definir a rede dos CLIENTES, altere de acordo com sua rede.

    Obs.: Se tiver mais de uma interface, crie uma regra para cada.


    Uma regra importante é o bloqueio do proxy externo:

    / ip firewall filter
    add chain=input in-interface=LINK1 protocol=tcp dst-port=3128 action=drop comment="BLOQUEIO DO PROXY EXTERNO"\

    Em IN-INTERFACE, defina sua interface com a internet, ou seja, seu link de internet.


    faça assim depois como falei no outro post o CACHE FULL OK que vai da certo se vc ta usando o proxy externo em web proxy em parent proxy coloque o IP do seu proxy externo e em Parent proxy Port a porta que seu proxy trabalha ex. 3128



  4. Citação Postado originalmente por Arlin Ver Post
    as regras do filter rules vc adicona elas e podem ficar na ultima linha mesmo mais as duas regras do nat tem que ficar logo abaixo da nat dos clientes ou seja em primeiro lugar a nat dos clientes ai em segundo a redirecionamento pra pagina de aviso e a terceira a controle de falta de pagamento debito 15 dias e depois as demais regras por ultimo redirecionamento pro proxy ai depois em address list coloque em NOME bloqueio-debito e o ip do camarada a ser bloqueado e em coment o nome do danado e pronto vai funcionar de certeza ok.

    ahhh tá....agora realmente funfou blz.....
    mas nobre Arli, essa regra não bloqueia msn e p2p, apenas os browsers não é?



  5. Citação Postado originalmente por ceusbar Ver Post
    ahhh tá....agora realmente funfou blz.....
    mas nobre Arli, essa regra não bloqueia msn e p2p, apenas os browsers não é?
    sim mais se ele sair e tentar entrar novamnete no msn tambem não vai entrar mais o mesmo vale pro p2p se ele desconectar não reconecta mais






Tópicos Similares

  1. Respostas: 12
    Último Post: 30-09-2009, 10:28
  2. Respostas: 0
    Último Post: 09-08-2009, 20:05
  3. Respostas: 0
    Último Post: 08-08-2009, 20:14
  4. Respostas: 0
    Último Post: 08-08-2009, 13:33
  5. Respostas: 0
    Último Post: 08-08-2009, 11:12

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L