Página 3 de 4 PrimeiroPrimeiro 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. Citação Postado originalmente por _AGM_ Ver Post
    Na verdade, eu tenho clientes com IP Válido (configurados diretamente no cliente) e também com IP Inválido... Como já disse, minha intenção era de fazer com que os clientes baixassem o que já estivesse em cache do squid sem controle de banda, mas o que não estivesse no cache, bem como todo o tráfego restante (de outras portas) fosse aplicado o controle de banda, que é feito numa outra máquina, entre o proxy e o link de internet... Mas para isso o micro do controle de banda deveria receber as requisições como se as mesmas estivessem partindo diretamente do cliente, e não sendo mascaradas pelo proxy...
    certo, posso lhe dar uma sugestão, nao sei até onde será útil.

    1 - seus clientes com ips validos, coloque um ip invalido nele e faça nat 1-para-1 no ip dele.
    suponha que o ip valido seja 200.200.200.200 e o ip invalido 192.168.0.200.
    no iptables faça..
    # o trafego de 192.168.0.200 sair como 200.200.200.200
    iptables -t nat -A PREROUTING -s 192.168.0.200 -j SNAT --to 200.200.200.200
    # trafego destinado a 200.200.200.200 redirecionar para 192.168.0.200
    iptables -t nat -A PREROUTING -d 200.200.200.200 -j DNAT --to 192.168.0.200

    2 - e faça seu cliente, mesmo com ip invalido passar pelo squid normalmente
    # acl do cliente
    acl cliente200 src 192.168.0.200
    # forçar a saida do cliente com o ip 200.200.200.200
    tcp_outgoing_address 200.200.200.200 cliente200
    http_access allow cliente200

    3 - crie um alias ao ip 200.200.200.200 na sua eth de internet. para poder o squid usar tcp_outgoing_address

    4 - libere o forward dos ips.
    iptables -A FORWARD -d 200.200.200.200 -j ACCEPT
    iptables -A FORWARD -d 192.168.0.200 -j ACCEPT
    iptables -A FORWARD -s 200.200.200.200 -j ACCEPT
    iptables -A FORWARD -s 192.168.0.200 -j ACCEPT


    conclusao:
    seu cliente entra no squid com ip invalido e sai com o ip desejado.
    e seu cliente passar pelo firewall com ip invalido e sai com o ip desejado.

    sobre o cache full, pode usar o zph como citado anteriormente

    ou faz SNAT no mikrotik, que o webcache do mikrotik usa cachefull tb. so nao sei se tem a possibilidade de fazer tcp_outgoing_address no mk.

    nao custa tentar ajudar.

  2. na verdade o proxy nao precisa saber o ip dos seus clientes para fazer isso ai... o gateway recebe o pacote ve se eh do cache.. se for envia pro destino (cliente) sem velocidade (o gateway neste caso SABE quem eh o cliente)...



  3. Citação Postado originalmente por alexandrecorrea Ver Post
    na verdade o proxy nao precisa saber o ip dos seus clientes para fazer isso ai... o gateway recebe o pacote ve se eh do cache.. se for envia pro destino (cliente) sem velocidade (o gateway neste caso SABE quem eh o cliente)...
    nao entedi sobre o que diz dizer com "pra fazer isso ai..."

    se for sobre o alias do ip...

    caso nao queira que o pacote passe pelo squid, nao precisa criar o alias mesmo nao. o gw (gateway) realmente sabe qual o cliente (ele marca os pacotes do FORWARD).

    agora se for passar os ips validos/invalidos pelo squid (sem tproxy) vai precisar criar o alias sim.

    porque para o squid poder mudar a origem, ele (o squid) tem q pode usar o ip e para isso vc precisa ter o referido ip na sua máquina do proxy, senao o squid dá o seguinte erro:

    commBind: Cannot bind socket FD 38 to 200.200.200.200:0: (99) Cannot assign request address

    que significa que o squid nao consegiu atribuir o endereço especificado na variavel tcp_outgoing_address porque o mesmo nao pertence a máquina do proxy.

    agora se tiver uma solução mais facil, passe pra nós.

    assim eu aplico no meu cenário tb.

    até.

  4. o tproxy+squid precisam rodar no GATEWAY



  5. Neon,

    Vou testar a sua dica aqui e depois posto os resultados... Se funcionar, já ajuda bastante quanto ao excesso de conexões partindo do mesmo IP... Sites como o Google.com.br, por exemplo, estão dando problema aqui por causa do excesso de conexões do mesmo IP... Assim, poderia definir grupos de clientes a saírem cada um com um IP diferente...






Tópicos Similares

  1. Squid sem nat
    Por z226 no fórum Servidores de Rede
    Respostas: 1
    Último Post: 01-09-2005, 07:05
  2. Forward e NAT no Star-OS
    Por hawk23 no fórum Redes
    Respostas: 18
    Último Post: 11-07-2005, 17:36
  3. Iptables - Forward Vs. Nat
    Por no fórum Servidores de Rede
    Respostas: 6
    Último Post: 04-08-2004, 15:27
  4. Gateway com pppoe e sem NAT
    Por haas no fórum Sistemas Operacionais
    Respostas: 1
    Último Post: 08-07-2004, 02:14
  5. Compartilhamento sem nat
    Por no fórum Servidores de Rede
    Respostas: 8
    Último Post: 04-01-2003, 15:46

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L