RES: [FUGSPBR] Bridge c/ Squid... por favor !

Sex Out 22 09:48:42 BRT 2004

Vitor Renato Alves de Brito wrote:
> Olá Pessoal,
> 
> Acho que eu não estou entendendo a discussão :-)
> 
> Eu uso FreeBSD como Bridge (uma placa sem IP e outra com IP válido) e
> Squid no modo transparente sem usar nenhum patch pra isto.
> 
> Qual é o problema?
> 
> Tenho aqui o seguinte:
> FreeBSD como bridge com 1 placa sem IP e outra com IP válido com
> IPFIREWALL e BRIDGE habilitados no kernel
> Squid compilado com a seguinte opcao:
>    --enable-ipf-transparent
> IPFW com as regras:
> # Acesso sem proxy para o servidor, evitas LOOP
> ipfw add 3070 allow tcp from ${ipproxy} to any 80
> # Redireciona todo o trafego na porta 80/out para o proxy
> ipfw add 3078 fwd ${ipproxy},3128 tcp from ${net1}:${mask1} to any 80
> O gateway da minha rede para os outros micros é o ${ipproxy}

Oi Vitor, se realmente funciona, voce ajudou e muito viu, acredito que a 
muita gente, mas diz ai, qual sua versao do Squid? qual o conteudo da 
variavel ipproxy? 127.0.0.1?

ipfw show 3078 contabiliza pacotes?

A discussao e o ponto que eu to falando faz mencao ao seguinte 
comportamento (da man page):

  A fwd rule will not match layer-2 packets (those received on
  ether_input, ether_output, or bridged).

O patch do mantenedor do IPFW (ainda não incorporado por não ter o 
comportamento ideal) é esse que começa nessa thread:

http://lists.freebsd.org/pipermail/freebsd-ipfw/2003-September/000526.html

E funciona (na serie 4 funcionava, na 5 depois que o ipfw passou a usar 
pfil_hooks voce tem q fazer manualmente), e o patch do Kelly acho que 
nao tem nas listas (se alguem precisar eu tenho).

Precisei isso 1 vez, na serie 4 fluiu, na serie 5 nao tive sucesso. 
Sempre dependente do patch.

Faz uns testes basicos no seu ambiente, adiciona a regra de fwd com log 
e cola pra gente a saida dos logs dessa regra, e os trechos do log do 
access.log do squid relevantes...

Lembre-se que estou considerando que todas interfaces envolvidas na 
bridge estejam "em bridge", a que tem o IP do Squid e a que nao tem. Tem 
uma disposicao seguinte: 3 interfaces de rede, 2 bridged no mesmo 
cluster (por exemplo fxp0:0,fxp1:0) e uma terceira fora da bridge, nesse 
ambiente funciona, nos pacotes cuja origem é da interface fora da bridge.

Envia esses logs pra gente ver ;)

-- 
Atenciosamente,

Patrick Tracanelli

FreeBSD Brasil LTDA.
The FreeBSD pt_BR Documentation Project
http://www.freebsdbrasil.com.br
patrick @ freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/