Lusca + Tproxy + wccpv2, quase lá!

**Josue Guedes** · 14-03-2010, 16:55

Boa tarde a todos do forum. Recentemente postei um tópico, e obtive uma grande ajuda na configuração do wccp em um cisco 2801. Estou indo agora a solução do tproxy, juntamente com o wccp. Segue a configuração utilizada, espero que os amigos ajudem pois ainda não funcionou, no momento que o Cisco reconhece o proxy pelo wccp, a navegação para de funcionar. O sistema usado foi o Fedora 11 Kernel 2.6.30, já com suporte ao Tproxy. No Cisco:

Código :

 
ip subnet-zero
ip wccp 80
ip wccp 90
ip cef
!
!
no ip dhcp use vrf connected
!
!
!
!
!
!
interface FastEthernet0/0 (Clientes)
 ip address 189.xxx.xxx.97 255.255.255.248
 ip wccp 80 redirect in
 ip wccp 90 redirect out
 duplex auto
 speed auto
!
interface FastEthernet0/1 (Proxy)
 ip address 189.xxx.xxx.105 255.255.255.252
ip wccp redirect exclude in
 duplex auto
 speed auto
!
interface Serial0/1/0
 ip address 200.xxx.xxx.126 255.255.255.252
 ip wccp 80 redirect in
 ip wccp 90 redirect out
 encapsulation ppp
!
interface Serial0/1/1
 no ip address
 shutdown
 clockrate 2000000
!
interface Serial0/3/0
 no ip address
 shutdown
 clockrate 2000000
!
interface Serial0/3/1
 no ip address
 shutdown
 clockrate 2000000
!

No squid.conf, usando o Lusca, ultima versão no site:

Código :

 
wccp2_router 189.xxx.xxx.105 
http_port 3129 tproxy wccp2_service dynamic 80 wccp2_service_info 80 protocol=tcp lags=src_ip_hash priority=240 ports=80 
wccp2_service dynamic 90 wccp2_service_info 90 protocol=tcp flags=dst_ip_hash,ports_source priority=240 ports=80

Tentei utilizar:

Código :

wccp2_forwarding_method gre 
wccp2_return_method gre 
wccp2_forwarding_method 2 
wccp2_return_method 2

Na versão do Lusca que utilizei estes parametros deram erro. Aqui fica uma de minhas dúvidas, que tipo de configuração deve ser usada? Minhas regras de iptables foram:

Código :

 
iptables -t mangle -N DIVERT iptables -t mangle -A DIVERT -j MARK --set-mark 1 iptables -t mangle -A DIVERT -j ACCEPT
 
iptables -t mangle -A PREROUTING -p tcp -m socket -j DIVERT
 
iptables -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY --tproxy-mark 0x1/0x1 --on-port 3129 
 
ip rule add fwmark 1 lookup 100 
 
ip route add local 0.0.0.0/0 dev lo table 100
 
 echo 0 > /proc/sys/net/ipv4/conf/lo/rp_filter echo 1 > /proc/sys/net/ipv4/ip_forward

Tentei com o tunel Gre e sem o tunel. Aparentemente está faltando alguma regra, pois vejo evolução nos contadores de pacotes do wccp do cisco. Grato pela ajuda.

**alexandrecorrea** · 15-03-2010, 02:01

os services voce deve informa-los em apenas 1 interface, recomendo na interface com os clientes..

por exemplo.. o service 80 tem como base o ip source, ja o 90 tem o dest_ip ...

eu voltarei a testar o tproxy com wccp em breve !!

abraço

**Josue Guedes** · 15-03-2010, 08:20

Bom dia Alexandre, farei novos testes aqui hoje, mudarei no Cisco segundo você sugeriu. Você utiliza como em sua rede para ter o spoofing de ip´s nos clientes?

**alexandrecorrea** · 15-03-2010, 10:22

me parece que as ultimas versoes do kernel estao com problemas no tproxy..

use a versao 2.6.31 !!

**Josue Guedes** · 15-03-2010, 12:12

Mudei no Cisco aqui, os serviçoes de redirect estão agora só na interface dos clientes. Mudei umas configurações no squid.conf também:

Código :

 
wccp2_router 189.xxx.xxx.105
wccp_version 2
wccp2_rebuild_wait on
wccp2_fowarding_method 1
wccp2_return_method 1
wccp2_assigment_method 1
wccp2_service dynamic 80
wccp2_service dynamic 90
wccp2_service_info 80 protocol=tcp flags=src_ip_hash priority=240 ports=80
wccp2_service_info 90 protocol=tcp flags=dst_ip_hash,ports_source priority=240 ports=80

Notei um erro no cache.log:

Código :

 
comm_fdopen6: FD 12: TPROXY comm_ips_bind_lcl() failed? Why?

Alexandre esse erro ai seria algo relacionado a compilação do Lusca?

Grato pela ajuda.

**Josue Guedes** · 15-03-2010, 12:14

Postado originalmente por alexandrecorrea

me parece que as ultimas versoes do kernel estao com problemas no tproxy..

use a versao 2.6.31 !!

Segundo um tuto no site oficial do Squid, a versão 2.6.32 também tem problemas.

**alexandrecorrea** · 15-03-2010, 12:30

qual a versao do lusca ?

ja tentou usar a versao do svn ??

svn checkout http://lusca-cache.googlecode.com/svn/branches/LUSCA_HEAD/

dps entra no LUSCA_HEAD e executa?

sh bootstrap.sh

e roda o configure.. make.. make install.. novamente !!

acredito que com a versao do svn vá funcionar

**Josue Guedes** · 15-03-2010, 22:14

Postado originalmente por alexandrecorrea

qual a versao do lusca ?

ja tentou usar a versao do svn ??

svn checkout http://lusca-cache.googlecode.com/svn/branches/LUSCA_HEAD/

dps entra no LUSCA_HEAD e executa?

sh bootstrap.sh

e roda o configure.. make.. make install.. novamente !!

acredito que com a versao do svn vá funcionar

Boa noite Alexandre, a versão aqui foi a R14448, tentarei fazer as correções que você sugeriu e postos os resultados. Mais uma vez, muito obrigado!

**Josue Guedes** · 17-03-2010, 07:27

Alexandre, rodei os bootstrap.sh, e o processo ocorreu sem erros, contudo a mensagem no cache.log referente a tproxy, continua aparecendo, e o tproxy ainda não fucionou, tentarei aplicar o patch na versão 2.7, posto os resultados.

**Josue Guedes** · 18-03-2010, 22:50

O path que tentei rodar aqui, retornou problemas, no squid 2.7, tenho procurado informações, e vejo muitos, que tentaram, e também não conseguiram, parece que o que funciona mesmo é o path para squid 2.6, isso é verdade? O tproxy é estável? É a melhor opção para spoof de Ip´s?

Lusca + Tproxy + wccpv2, quase lá!

Ferramentas de Tópicos

Lusca + Tproxy + wccpv2, quase lá!