[FUG-BR] Proxy repassar o IP Origem

Jean Zanuzo jean em w3nt.com
Sexta Fevereiro 8 12:26:05 BRST 2008 

Thiago Damas escreveu:
>   Tenho aqui um squid com acls para 5 classes C (1200 IPs).
> load averages: 0.16, 0.15, 0.16
>
> CPU states: 11.8% user,  0.0% nice,  4.3% system,  1.1% interrupt, 82.8% idle
> Mem: 1009M Active, 117M Inact, 149M Wired, 54M Cache, 162M Buf, 2320K Free
> Swap: 4096M Total, 88K Used, 4096M Free
>
>   PID USERNAME  THR PRI NICE   SIZE    RES STATE    TIME   WCPU COMMAND
>  9881 squid      29  20    0  1005M   992M kserel  68:29  0.00% squid
>
>   Tenho outro com 500 acls e fica pouca coisa diferente.
>
>   Utilizo o PF.
> []s
>
>
> 2008/2/7 Jean Zanuzo <jean em w3nt.com>:
>   
>> Thiago Damas escreveu:
>>
>>     
>>> date  Nov 20, 2007 4:53 PM
>>> subject       Re: [FUG-BR] Proxy 100% Transparente
>>>
>>>  Ai fazes o seguinte:
>>>  se tens clientes num /24 inteiro, cria aliases pra cada IP de um
>>> bloco /24 invalido na maquina local, faz regras no squid com acls pro
>>> tcp_outgoing_address de cada IP valido do cliente pra um IP invalido
>>> da maquina, e faz nat 1:1 de cada 1 IP invalido pra 1 IP valido no
>>> proxy, (pf, ipnat etc), tendo a certeza de "casar" os IPs. E voilah!
>>> Caso o proxy nao for o gateway da rede, faz alguma regra de fwd, etc
>>> pra ter o trafego fluindo como deveria.
>>>
>>>
>>> 2008/2/7 Thiago Damas <tdamas em gmail.com>:
>>>
>>>       
>>>>   Ja postei na FUG um comentario de como fazer proxy 100% transparente
>>>> no squid, com o IP de saida do proxy o mesmo do cliente. Acho que
>>>> ninguem quis implementar, mas funciona, ate mesmo tenho rodando uma
>>>> instancia com mais de 1000 clientes atras.
>>>>
>>>> Thiago
>>>>
>>>> 2008/2/7 Jean Zanuzo <jean em w3nt.com>:
>>>>
>>>>
>>>>         
>>>>> Luiz Otavio O Souza escreveu:
>>>>>
>>>>>
>>>>>           
>>>>>> ----- Original Message -----
>>>>>> From: "Ademir" <ademir em tellecom.com.br>
>>>>>>
>>>>>>
>>>>>> Acho que o amigo que dizer proxy 100% transparente.
>>>>>> Isso só funciona se seus clientes tiverem IP real e se não existir NAT no
>>>>>> micro que será o gateway squid.
>>>>>> Pena que o Free não faça isso. Estou começando do zero com Debian por causa
>>>>>> do TProxy.
>>>>>> Uma pena, são quase 8 anos de adoração ao FreeBSD. Mas tá ai uma coisa que
>>>>>> não sei como resolver.
>>>>>>
>>>>>> O tcp_outgoing_address do squid.conf apenas muda a saida de ip. Mas sempre
>>>>>> ficando com uma só. (testado no Free 7 com Squid 2.6.17)
>>>>>>
>>>>>> Ats,
>>>>>> Ademir Peixoto
>>>>>> ----------------------------
>>>>>>
>>>>>> Ademir,
>>>>>>
>>>>>> Com um pouco (ou talvez muita) paciencia você pode sentar e tentar portar o
>>>>>> TProxy para o FreeBSD. Não há muita complexidade no tproxy, não se deixe
>>>>>> levar pela complexidade aparente.
>>>>>>
>>>>>> Agora se programar, ler códigos e etc. realmente não é a sua praia,
>>>>>> considere pagar a alguem que possa faze-lo a exemplo do depenguinator
>>>>>> (http://www.daemonology.net/blog/2008-01-29-depenguinator-2.0.html) do Colin
>>>>>> Percival, que foi "motivado" por uma doação a freebsd fundation.
>>>>>>
>>>>>> Infelizmente como já foi comentado aqui na lista (e mundo afora), muita
>>>>>> gente depende do dinheiro suado pra manter sua casa e nem sempre tem tempo
>>>>>> disponível para "doar".
>>>>>>
>>>>>> []'s
>>>>>> Luiz
>>>>>>
>>>>>> -------------------------
>>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>>
>>>>>>
>>>>>>             
>>>>> Algum voluntario quer fazer? Qnto fica? talvez tenhamos alguns
>>>>> voluntarios a mais para pagar essa boa ação. Eu tenho interesse nesse
>>>>> beneficio e posso ajudar a pagar, depende do valor ;)
>>>>>
>>>>>
>>>>> Jean Zanuzo
>>>>>
>>>>> -------------------------
>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>
>>>>>
>>>>>           
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>       
>> Oi Thiago,
>>
>> Funcionou perfeitamente o "TransparentPROXY" como voce mensionou, voce
>> tem testes de como o squid se comporta com 2,5mil (ou algo q eu possa
>> usar como base) acls com tcp_outgoing_address?
>> Muito obrigado!
>>
>>
>> Jean Zanuzo
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>     
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>   
fiz com o natd e ipfw, acredito q a carga vai ficar semelhante, att. 
obrigado!

Jean Zanuzo

Mais detalhes sobre a lista de discussão freebsd