Redirecionar para proxy sem proxy parent tem como?

**fablinuxer** · 14-06-2009, 23:03

Pessoal boa noite, gostaria de sabar se tem como redirecionar as requisiçoes com destino a porta 80 para um proxy squid em paralelo com mikrotik, mas sem usar o proxy parent parent do mikrotik, me parece, mas me corrijam se tiver errado que dessa forma( proxy parent ) o proxy sempre se atualiza no link principal e sem ser dessa forma temos a autonomia de atraves de regras de mangle dizer em qual link proxy vai atualizar/usar é isso mesmo??? gostaria tambem se fosse possivel o pessoal mais experiente postar informaçoes sempre o funcionamento de proxy em geral, espero tirar duvidas e que esse post possa ser de grande valia para que tem duvidas a respeito, pessoal boa noite.

**fronteirams** · 15-06-2009, 00:25

sim tem...

**luock** · 15-06-2009, 06:16

Existe sim. Até 2 maneiras que se usa bastante.

a 1ª delas é através de um dst-nat configurado como abaixo.

ip firewall nat add chain=dstnat src-address=10.10.10.0/24 protocol=tcp dst-port=80 action=dst-nat to-addresses=20.20.20.2 to-ports=3128

Onde:
src-address = faixa de IPs utilizadas pelos computadores a serem redirecionados para um proxy paralelo.
to-addresses = IP do seu proxy paralelo
to-ports = porta de seu proxy paralelo

Lembrando que, voce deverá permitir no squid.conf que o IP do seu MK que se comunica com o Linux tenha acesso ao squid. No caso do exemplo, o linux possui ip 20.20.20.2 e o MK 20.20.20.1 então deverá existir uma ACL allow para o IP 20.20.20.1 se não dará acesso negado.

a 2ª forma é repassando os IPs dos clientes para o SQUID.

Para isto é necessário fazer uma marcação nas conexões para porta 80 em seu MK da seguinte forma:

ip firewall mangle chain=prerouting action=mark-routing new-routing-mark=proxy-flow dst-port=80 passthrough=no protocol=tcp src-address=10.10.10.0/24

Feita a marcação devemos direcionar estes pacotes ao Linux através da criação de uma rota específica utilizando o código:

ip route add routing-mark=proxy-flow gateway=20.20.20.2

Neste caso o gateway a ser informado deverá ser do se Linux rodando squid.

Já no Linux algumas configurações são necessárias:

Compartilhe a internet no linux através do comando:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Agora faça um direcionamento dentro do linux de todas as conexões de porta 80 para o SQUID porta 3128.

iptables -t nat -A PREROUTING -i eth0 -s 10.10.10.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 3128

Feito isto, seus clientes estarão direcionados ao proxy paralelo, inclusive com geração de relatórios no SARG exibindo os IP's dos clientes.

Não esqueça de permitir neste caso no SQUID.CONF a faixa de IPs de seus clientes, que no exemplo é 10.10.10.0/24

**fablinuxer** · 15-06-2009, 10:21

Gostaria de agradece ao grande amigo da comunidade luock pela contribuição, e perguntar a que puder responder sobre o funcionamento, o proxy relmente se atualiza no link da rota padrao e ele se atualiza com a velocidade configurada na queue simple do cliente ou ele mesmo precisa de largura de banda individual como é esse funcionamento, abraço a todos. bom dia

**darklinux3** · 15-06-2009, 10:29

É isso aí luock, valeu to vendo que anda praticando meus topicos hehe.

Conforme nosso amigo disse as duas maneiras são por rota estatica e por dst-nat.

Com rotas o pacote nao é modificado pelo firewall, sendo assim é muito mais facil detectar directivas como "X-cache", "thunder: thunder", etc...
Já com dst-nat alguns pacotes passam, acredito que o firewall do mk remarque os pacotes e acabe dificultando o reconhecimento.

Aqui eu uso rotas estaticas pelo fato que o ip de origem fica intacto e consigo fazer os relatorios do sarg para minha rede.

Abs!

**darklinux3** · 15-06-2009, 10:41

Se você nao ativar cache full na queue tree para as requisicoes vindas do cache, os arquivos do cache virão na velocidade da queue do cliente.
Abs

**fablinuxer** · 15-06-2009, 11:37

hummmmmmm entendi, mas me repondam, pense comigo, imagem que um usuario faça um acesso a um derterminado site ou um down, qualquer coisa, essa requisições são redirecionadas para o proxy até ai tudo bem, mas dai pra frente o que acontece até o usuario obter uma resposta? o proxy é que vai atras do pedido do cliente e sai com a velocidade cadastrada para ele(sendo que se ele faz proxy no mesmo mk ou paralelo por proxy parent sai com toda a velicidade do link é isso mesmo?) ou o pedido sai como se fosse um pedido normal de usario com velocidade de usuario e atualiza o proxy? na verdade o que é relmente interessante é o proxy se atualizar na velicidade do cliente e liberar o está em cache a full ou a velocidade que convier ao administrador, e ai o que acham é possivel? bom dia.

**darklinux3** · 15-06-2009, 13:46

O segmento proxy até mk estára com link full, se vc nao criar uma queue especifica controlando a velocidade no mk.
Já o segmento mk até o cliente sairá com a velocidade que voce cadastrar para o cliente

Abs!

**edcomrocha** · 15-06-2009, 19:06

Postado originalmente por darklinux3

É isso aí luock, valeu to vendo que anda praticando meus topicos hehe.

Conforme nosso amigo disse as duas maneiras são por rota estatica e por dst-nat.

Com rotas o pacote nao é modificado pelo firewall, sendo assim é muito mais facil detectar directivas como "X-cache", "thunder: thunder", etc...
Já com dst-nat alguns pacotes passam, acredito que o firewall do mk remarque os pacotes e acabe dificultando o reconhecimento.

Aqui eu uso rotas estaticas pelo fato que o ip de origem fica intacto e consigo fazer os relatorios do sarg para minha rede.

Abs!

Opa boa noite, poderia me dar um exemplo de como configurar essas rotas estaticas no mikrotik?
tem que configurar algo no proxy paralelo tbm??

Falow abraços a todos

**darklinux3** · 15-06-2009, 19:11

Postado originalmente por edcomrocha

Opa boa noite, poderia me dar um exemplo de como configurar essas rotas estaticas no mikrotik?
tem que configurar algo no proxy paralelo tbm??

Falow abraços a todos

Dá uma olhada nesse meu post

Mikrotik + Squid 3.0-Stable8 Paralelo(rota estática) + Thunder Cache + Sarg

Abs!

**edcomrocha** · 15-06-2009, 19:24

Postado originalmente por darklinux3

Dá uma olhada nesse meu post

Mikrotik + Squid 3.0-Stable8 Paralelo(rota estática) + Thunder Cache + Sarg

Abs!

Blz valew vou dar uma olhada la e tentar amanha

Abraços

**fablinuxer** · 16-06-2009, 08:59

darklinux3 esse seu tuto, realiza esse procedimentos no funcionamento do proxy, so relembrando .. o usuario para objetos que não em cache velocidade normal da queue simple e pra objetos em cache sair a full ou a uma velocidade que o administrador ache interessante, pois o que eu tenho visto, nos tutos que li é que o proxy quando esta a full(quando configurado na mesma maq do mk), baixa os objetos que não estao em cache na velocidade total do link e entrega a full ao usuario, pois se for isso mesmo gostaria de redirecionar o ip do proxy para se atualizar/usar um link separado e deixa outros links para o resto entendeu ou ta meio confuso? qq tamo ai, bom dia abraço.

**darklinux3** · 16-06-2009, 10:56

Postado originalmente por fablinuxer

darklinux3 esse seu tuto, realiza esse procedimentos no funcionamento do proxy, so relembrando .. o usuario para objetos que não em cache velocidade normal da queue simple e pra objetos em cache sair a full ou a uma velocidade que o administrador ache interessante, pois o que eu tenho visto, nos tutos que li é que o proxy quando esta a full(quando configurado na mesma maq do mk), baixa os objetos que não estao em cache na velocidade total do link e entrega a full ao usuario, pois se for isso mesmo gostaria de redirecionar o ip do proxy para se atualizar/usar um link separado e deixa outros links para o resto entendeu ou ta meio confuso? qq tamo ai, bom dia abraço.

Esta é uma falha por parte do mk. No meu tuto nao existe proxy rodando no mk.
Se não me engano isso é quando se utiliza proxy parent com cache full, e no meu tuto nao tem cache full.

Abs

**edcomrocha** · 17-06-2009, 15:37

Postado originalmente por fablinuxer

darklinux3 esse seu tuto, realiza esse procedimentos no funcionamento do proxy, so relembrando .. o usuario para objetos que não em cache velocidade normal da queue simple e pra objetos em cache sair a full ou a uma velocidade que o administrador ache interessante, pois o que eu tenho visto, nos tutos que li é que o proxy quando esta a full(quando configurado na mesma maq do mk), baixa os objetos que não estao em cache na velocidade total do link e entrega a full ao usuario, pois se for isso mesmo gostaria de redirecionar o ip do proxy para se atualizar/usar um link separado e deixa outros links para o resto entendeu ou ta meio confuso? qq tamo ai, bom dia abraço.

Esse problema de quando deixar o cache full quando se esta usando o web proxy do mk foi resolvido em um post do Alexandre Correia, mostrando como se faz para marcar somente os arquivos que estao no cache, marcando uma content no mangle como X-CACHE_hits se nao me engano da uma procurada no blog do Alexandre que vc acha la

Abraços

**byosni** · 25-08-2009, 16:21

seguindo....

Redirecionar para proxy sem proxy parent tem como?

Ferramentas de Tópicos

Redirecionar para proxy sem proxy parent tem como?