Dúvida sobre PROXY x IPTABLES
O uso do proxy (squid) deixa a navegação das estações/clientes da rede uma pouco mais lenta do se eu apenas rotear a conexão com iptables? O amigo comentou isso comigo e confesso que fiquei surpreso. Esse informação procede?
Obrigado e aguardo comentários.
Re: Dúvida sobre PROXY x IPTABLES
Amigo eu acho que cada um faz um coisa, o squid ele faz cache das paginas acessadas, na lógica não é para a navegação ficar lenta, pode ser algum erro no seu squid.conf.
Re: Dúvida sobre PROXY x IPTABLES
Amigo o erro esta no iptables, ele não deve estar fazendo o mascaramendo corretamente.
Re: Dúvida sobre PROXY x IPTABLES
Amigo posta ai seu squid.conf e seu iptables para galera aqui analisar.
t +
Re: Dúvida sobre PROXY x IPTABLES
Citação:
Postado originalmente por
mktguaruja
Amigo posta ai seu squid.conf e seu iptables para galera aqui analisar.
t +
Isso foi só um comentários, mas estou postando os respectivos script para uma avaliação dos colegas.
1) rc.firewall.sh (iptables):
#!/bin/bash
#
# /etc/init.d/rc.firewall
#
# eth0 - web (on board) eth1 - lan (extra) eth2 - lan nova
#
# Limpa
iptables -F
iptables -t nat -F
iptables -t mangle -F
# Modulos
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
# Bloqueia acessos externo ao Apache (eth0)
iptables -A INPUT -p tcp -i eth0 --dport 80 -j DROP
# Messenger
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.1.0/24 -d loginnet.passport.com -j REJECT
# Proxy (eth1)
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
# Compartilha Internet (eth0)
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Libera repasse de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward
2) squid.conf:
# Porta padrao
http_port 3128 transparent
visible_hostname proxy.olivestur
# Configuracao do cache
#cache_mem 64 MB
cache_mem 512 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 300 KB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
# Onde sera armazenado o cache do Squid
cache_dir ufs /var/spool/squid 20000 16 256
# Mensagens de erro do Squid em Portugues
error_directory /usr/share/squid/errors/Portuguese
# Localizacao do arquivo de log do Squid
cache_access_log /var/log/squid/access.log
# Atualizacao do Cache
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
# Regras gerais
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
# Controle de uso de banda para a rede local
# delay_pools 1
# delay_class 1 2
# delay_parameters 1 114688/114688 16384/16384 # Conexao de 1024 kbps
# delay_access 1 allow redelocal
# Libera o IP da sua rede interna
acl redelocal src 192.168.1.0/24
# Libera sem restricao
#----acl ipsembloqueios src 192.168.1.1 192.168.1.2
acl ipsliberados src "/etc/squid/acessos/ipsliberados"
acl macsliberados arp "/etc/squid/acessos/macsliberados"
acl sitesliberados url_regex -i "/etc/squid/acessos/sitesliberados"
#----acl sitesbloqueados url_regex -i "/etc/squid/acessos/sitesbloqueados"
acl msnbloqueado url_regex -i "/etc/squid/acessos/msnbloqueado"
http_access allow redelocal sitesliberados
http_access allow ipsliberados
http_access allow macsliberados
http_access allow localhost
http_access deny msnbloqueado
# Bloqueia acessos externos
http_access deny all
Aparentemente não ternho problemas.
Obrigado e aguardo comentários