Dica - Proxy paralelo cacheando apenas alguns destinos

[marcelbentes]

Para quem usa proxy paralelo e tem algum tipo de problema com ele ou apenas deseja cachear alguns destinos segue abaixo uma solução que encontrei aqui pra mim, quando meu proxy paralelo ficava cacheando tudo na porta 80 havia muita instabilidade na minha rede, e o meu maior consumo de trafego mesmo eram atualizações de antivírus, youtube, windows update, 4shared e por ai vai, então decidi fazer cache apenas dos destinos que eu achava que pesavam mais na minha rede, na primeira tentativa tentei utilizando os IP's de destino mas como todos sabem a maioria dos sites hoje em dia utiliza vários servidores diferentes e ficar tentando descobrir todos é meio difícil, ai lembrei que no mikrotik tem o layer7 ai bolei as regras abaixo e estão me servindo muito bem:

No layer7 você põe os destinos que deseja, abaixo seguem alguns exemplos, se quiserem adicionar outros é só seguir a mesma lógica:

/ip firewall layer7-protocol
add comment="" name=orkut.com regexp=orkut.com
add comment="" name=facebook.com regexp=facebook.com
add comment="" name=youtube.com regexp=youtube.com
add comment="" name=globo.com regexp=globo.com
add comment="" name=windowsupdate.com regexp=windowsupdate.com
add comment="" name=pornhub.com regexp=pornhub.com
add comment="" name=4shared.com regexp=4shared.com
add comment="" name=flashvideo.globo.com regexp=flashvideo.globo.com
add comment="" name=video.msn.com regexp=video.msn.com
add comment="" name=avast.com regexp=avast.com

Aqui o firewall do mikrotik identifica os destinos junto com a regra de layer7 e adiciona os ips de destino na address-list proxy:

/ ip firewall filter
add action=add-dst-to-address-list address-list=proxy address-list-timeout=1d \
chain=forward comment=orkut.com disabled=no dst-port=80 layer7-protocol=\
orkut.com protocol=tcp
add action=add-dst-to-address-list address-list=proxy address-list-timeout=1d \
chain=forward comment=facebook.com disabled=no dst-port=80 \
layer7-protocol=facebook.com protocol=tcp
add action=add-dst-to-address-list address-list=proxy address-list-timeout=1d \
chain=forward comment=youtube.com disabled=no dst-port=80 \
layer7-protocol=youtube.com protocol=tcp
add action=add-dst-to-address-list address-list=proxy address-list-timeout=1d \
chain=forward comment=flashvideo.globo.com disabled=no dst-port=80 \
layer7-protocol=flashvideo.globo.com protocol=tcp
add action=add-dst-to-address-list address-list=proxy address-list-timeout=1d \
chain=forward comment=globo.com disabled=no dst-port=80 layer7-protocol=\
globo.com protocol=tcp
add action=add-dst-to-address-list address-list=proxy address-list-timeout=1d \
chain=forward comment=windowsupdate.com disabled=no dst-port=80 \
layer7-protocol=windowsupdate.com protocol=tcp
add action=add-dst-to-address-list address-list=proxy address-list-timeout=1d \
chain=forward comment=video.msn.com disabled=no dst-port=80 \
layer7-protocol=video.msn.com protocol=tcp
add action=add-dst-to-address-list address-list=proxy address-list-timeout=1d \
chain=forward comment=pornhub.com disabled=no dst-port=80 \
layer7-protocol=pornhub.com protocol=tcp
add action=add-dst-to-address-list address-list=proxy address-list-timeout=1d \
chain=forward comment=4shared.com disabled=no dst-port=80 \
layer7-protocol=4shared.com protocol=tcp
add action=add-dst-to-address-list address-list=proxy address-list-timeout=1d \
chain=forward comment=avast.com disabled=no dst-port=80 layer7-protocol=\
avast.com protocol=tcp

Aqui vai o redirecionamento para o proxy paralelo, ponha o endereço do seu proxy:

/ ip firewall nat
add action=dst-nat chain=dstnat comment="REDIRECT PROXY" disabled=no dst-address-list=proxy dst-port=80 protocol=tcp src-address-list=clientes to-addresses=192.168.254.2 to-ports=3128


Essa address-list é faixa de ip dos seus clientes, a outra address-list será criada dinamicamente:

/ip firewall address-list
add address=192.168.0.0/24 comment="" disabled=no list=clientes

Espero que ajude alguém.

[Roberto21]

Olá colega, boa noite!

Já tentei usar algo parecido aqui ano passado, porém, a quantidade de ip's do youtube é tão grande que a lista se tornava enorme causando maior processamento e consequentemente lentidão na rede, isso não aconteceu com você?

Acho a regra mais interessante para quem tem dois ''prox's'' na rede, e quer redirecionar determinados domínios, para cada proxy, não acha? O que pega é o youtube...

[megabyte]

Isso seria muito interessante . Vamos ver outros comentarios sobre essas regras .

[marcelbentes]

E ai Roberto, aqui já utilizo essa regra a algum tempo e não tive problema de lentidão e nem processamento elevado, não sei se por meu mikrotik estar instalado num PC, mas na verdade minha rede ficou até melhor depois que implementei essas regras, pois o meu proxy paralelo quando ativo para qualquer destino deixava a navegação em alguns sites instável, foi exatamente por isso que matutei para criar essas regras, e que isso fique bem claro, essas regras são para casos específicos em que você quer cachear apenas alguns destinos, se você está feliz com seu sistema de proxy atual continue com ele da forma em que esta, e Roberto a utilização que você propôs para a regra também funciona muito bem, basta apenas alterar algumas regras e criar outras, mas basicamente segue-se a mesma lógica, valeu pelo comentário.

[demattos]

acompanhando

[Roberto21]

Certo, compreendi seu raciocínio, porém uma outra questão que esqueci de mencionar é:

Caso o tempo (que é setado em 1D) expire, o arquivo não sairá do cache, por que para a requisição vir do cache o ip vai ter que estar lá no address-list não ? Sendo assim, se algo entrar em cache e passarem dois dias sem acesso, quando for acessado de imediato não sairá do cache, por que o ip ''ainda não estará lá'', agora, se depois de dois dias ele for acessado duas vezes, ((na segunda vez)) ai sim ele será acessado por que o ip estará lá....Concorda?

[marcelbentes]

Isso mesmo roberto, mas aqui pra mim não há esse problema porque os clientes não param de acessar esses sites nem por um minuto, quanto mais por um dia, mas depois de um tempo que a regra ta rodando é só pegar os IP's e colocar eles fixos e não como dinâmicos, assim eles não saem da address-list. E essa regra também pode ser usada para passar certos domínios fora do proxy, é só inverter a regra de nat. Valeu por comentar o tópico ai Roberto sempre acompanho seus posts e já aprendi muitas coisas lendo eles. Essas regras podem ser utilizadas de várias formas e com várias finalidades diferentes é só cada um adaptar ao seu caso específico.