+ Responder ao Tópico



  1. #1

    Padrão Dois servidores, o 1º com CBQ e o 2º com squid transparente para a rede

    Boa noite,

    quero colocar este esquema para funcionar, o servidor número 01 irá trabalhar com CBQ, Firewall, DNS, NAT, o servidor número 02 irá trabalhar somente como Squid fazendo cache das páginas e downloads de arquivos feitos pelos usuários da rede, sendo que este servidor número 02 será totalmente transparente para a rede igual a um HUB, mas o mesmo não irá sofre controle de banda pelo CBQ e assim todos as páginas e arquivos que estão armazenados no cache não iram sofre controle de banda pelo sbq, assim as páginas e os downloads de arquivos que já estão no cache vão passar para o cliente a toda velocidade.

    Alguém tem alguma dica ou tem alguma outra idéia?


    Portela

  2. #2

    Padrão Re: Dois servidores, o 1º com CBQ e o 2º com squid transparente para a rede

    Bom cara idéia eu até tenho, não sei se funciona...to esperando sobrar um tempo e algumas máquinas pra testar.

    Minha idéia é basicamente a mesma que a sua. Ou seja o servidor que faz o papel de proxy transparente (Squid) ficaria entre os clientes e o servidor que faz o controle de banda. Esse servidor na minha opinião teria que ser configurado como bridge para que ficasse transparente (como um switch gerenciavel digamos assim). Até andei vendo esse artigo http://freshmeat.net/articles/view/1433/ que explica como configurar essa bridge com squid, ele usa um tal de ebtables junto com iptables pro direcionamento dos pacotes, vou tentar fazer só com iptables.

    O problema é que eu não sei como ficam os pacotes depois que passarem pelo bridge, se eles continuarão com o endereço ip e mac original (da maquina do cliente) ou vai ocorrer alguma mudança. É isso que quero testar, pois se os ips mudarem (acho que no modo bridge isso não deve acontecer) foi-se embora o controle de banda, e isso é o pior que pode acontecer. Quanto ao mac penso em colocar um controle de ip+mac daí tem que ver qual o mac que vai ficar atribuido ao ip do cliente quando os pacotes chegarem no servidor de controle de banda. Acho que quem trabalha com wireless sabe que alguns bridges mantem o mac original dos clientes outros não.

    Vou ver se consigo executar os testes até o final de semana...se você conseguir algo poste aí.

  3. #3

    Padrão Re: Dois servidores, o 1º com CBQ e o 2º com squid transparente para a rede

    nod3vic3,

    veja esse link:


    http://focalinux.cipsga.org.br/guia/...ch-cfgrede.htm

    Portela

  4. #4

    Padrão Re: Dois servidores, o 1º com CBQ e o 2º com squid transparente para a rede

    Sim já havia visto esse link...

    Estive fazendo os meus testes aqui e não deu certo...que m@*&($#

    Minha rede ficou assim:

    ------------ ----------------------- ----------------------
    | Cliente |-----------| Bridge + Squid |-----------------| NAT + CBQ |--------( Internet )
    ------------ ----------------------- ----------------------


    O negócio é o seguinte, quando eu direciono as conexões da porta 80 para o squid na porta 3128 o Squid é quem faz as requisições http enviando o ip da máquina onde ele está instalado. O ip da máquina cliente até chega no gateway só que o controle de banda não funciona, pois quem "baixa" as coisas é o Squid.

    Vou tentar agora marcar os pacotes com Iptables no Bridge e ver se na maquina com CBQ consigo fazer controle com esses pacotes marcados. Não sei se o CBQ vai conseguir "ler" a marca após sair do Bridge, mas não custa tentar.

  5. #5

    Padrão Re: Dois servidores, o 1º com CBQ e o 2º com squid transparente para a rede

    faca o controle de banda ANTES. tente o seguinte no seu cenario


    Bridge + CBQ -> NAT + Squid

    tenho certeza que funcionara melhor do que o atual esquema apresentado.

  6. #6

    Padrão Re: Dois servidores, o 1º com CBQ e o 2º com squid transparente para a rede

    Citação Postado originalmente por mistymst
    faca o controle de banda ANTES. tente o seguinte no seu cenario


    Bridge + CBQ -> NAT + Squid

    tenho certeza que funcionara melhor do que o atual esquema apresentado.
    Dessa forma o que estiver no cache do Squid vai passar pelo controle de banda, que é exatamente o que estamos tentando evitar.

  7. #7

    Padrão Re: Dois servidores, o 1º com CBQ e o 2º com squid transparente para a rede

    humm ok sorry nao li direito, maldita gripe.

    voce deve precisar de algumas regras de iptables, uma marcando os pacotes na PREROUTING antes de mandar pro Squid (ou no caso no momento que estiver enviando) e na hora que pacote sair pelo squid, voce faz um outro tagging para que o proximo fcomputador que fará o controle de banda se oriente mais especificamente pelo tagging do que pelo source ip.


    deu para entender mais ou menos a ideia?

  8. #8

    Padrão Re: Dois servidores, o 1º com CBQ e o 2º com squid transparente para a rede

    Bom entendi a lógica da coisa, só não consegui ainda processar a maneira que vou fazer isso.... vamos ver

    iptables -t mangle -A PREROUTING -i br0 -s 192.168.0.64 -j MARK --set-mark 64
    iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 3128
    Essas seriam as regras para marcar os pacotes(regra 1) antes de ser direcionado pro squid (regra 2). Me corrija se estiver errado.

    Agora como ficaria o esquema do tagging na hora que o pacote sair? Isso eu não entendi direito, devo fazer isso com o iptables ou com o squid?

  9. #9

    Padrão Re: Dois servidores, o 1º com CBQ e o 2º com squid transparente para a rede

    Tente fazer um teste com o tcpdump no site que o squid e veja se apos o squid enviar os pacotes a marcacao continua, se continuar veja no iptables se voce consegue verificar a marca dos pacotes... isso eh uma saida.

    A outra acredito que o squid nao faca nenhuma alteracao no pacote, acho dificil, mas se voce conseguir que ele "taggueie" o pacote fica legal tambem.

    Outra coisa que voce pode pensar tambem, nao sei realmente resolveria o seu problema, eh o seguinte, nao taggear os pacotes de volta no squid, mas acho que isso ai iria dar problema pois o teu controle de banda nao seria efetivo no http... o problema eh que o squid "faz" a conexao e perder o ip do controle, isso que mata o controle de banda. Agora se vc fizer o controle de banda no proxy, nao se iria servir para ti, acho que CBQ+DelayPools nao ficaria tao bom, mas entretanto funcionaria.

    Bom vou tentar pensar em allguma coisa mais por aqui em termos mais praticos, mas faz o teste com o tcpdump pelo meio da rede, que sabendo exatamente como os pacotes estao andando fica mais facil de pensar em algo.