[FUG-BR] Proxy repassar o IP Origem
Thiago Damas
tdamas em gmail.com
Sexta Fevereiro 8 11:28:11 BRST 2008
natd vai usar mais CPU!
[]s
2008/2/8 Jean Zanuzo <jean at w3nt.com>:
> Thiago Damas escreveu:
>
> > Tenho aqui um squid com acls para 5 classes C (1200 IPs).
> > load averages: 0.16, 0.15, 0.16
> >
> > CPU states: 11.8% user, 0.0% nice, 4.3% system, 1.1% interrupt, 82.8% idle
> > Mem: 1009M Active, 117M Inact, 149M Wired, 54M Cache, 162M Buf, 2320K Free
> > Swap: 4096M Total, 88K Used, 4096M Free
> >
> > PID USERNAME THR PRI NICE SIZE RES STATE TIME WCPU COMMAND
> > 9881 squid 29 20 0 1005M 992M kserel 68:29 0.00% squid
> >
> > Tenho outro com 500 acls e fica pouca coisa diferente.
> >
> > Utilizo o PF.
> > []s
> >
> >
> > 2008/2/7 Jean Zanuzo <jean at w3nt.com>:
> >
> >> Thiago Damas escreveu:
> >>
> >>
> >>> date Nov 20, 2007 4:53 PM
> >>> subject Re: [FUG-BR] Proxy 100% Transparente
> >>>
> >>> Ai fazes o seguinte:
> >>> se tens clientes num /24 inteiro, cria aliases pra cada IP de um
> >>> bloco /24 invalido na maquina local, faz regras no squid com acls pro
> >>> tcp_outgoing_address de cada IP valido do cliente pra um IP invalido
> >>> da maquina, e faz nat 1:1 de cada 1 IP invalido pra 1 IP valido no
> >>> proxy, (pf, ipnat etc), tendo a certeza de "casar" os IPs. E voilah!
> >>> Caso o proxy nao for o gateway da rede, faz alguma regra de fwd, etc
> >>> pra ter o trafego fluindo como deveria.
> >>>
> >>>
> >>> 2008/2/7 Thiago Damas <tdamas at gmail.com>:
> >>>
> >>>
> >>>> Ja postei na FUG um comentario de como fazer proxy 100% transparente
> >>>> no squid, com o IP de saida do proxy o mesmo do cliente. Acho que
> >>>> ninguem quis implementar, mas funciona, ate mesmo tenho rodando uma
> >>>> instancia com mais de 1000 clientes atras.
> >>>>
> >>>> Thiago
> >>>>
> >>>> 2008/2/7 Jean Zanuzo <jean at w3nt.com>:
> >>>>
> >>>>
> >>>>
> >>>>> Luiz Otavio O Souza escreveu:
> >>>>>
> >>>>>
> >>>>>
> >>>>>> ----- Original Message -----
> >>>>>> From: "Ademir" <ademir at tellecom.com.br>
> >>>>>>
> >>>>>>
> >>>>>> Acho que o amigo que dizer proxy 100% transparente.
> >>>>>> Isso só funciona se seus clientes tiverem IP real e se não existir NAT no
> >>>>>> micro que será o gateway squid.
> >>>>>> Pena que o Free não faça isso. Estou começando do zero com Debian por causa
> >>>>>> do TProxy.
> >>>>>> Uma pena, são quase 8 anos de adoração ao FreeBSD. Mas tá ai uma coisa que
> >>>>>> não sei como resolver.
> >>>>>>
> >>>>>> O tcp_outgoing_address do squid.conf apenas muda a saida de ip. Mas sempre
> >>>>>> ficando com uma só. (testado no Free 7 com Squid 2.6.17)
> >>>>>>
> >>>>>> Ats,
> >>>>>> Ademir Peixoto
> >>>>>> ----------------------------
> >>>>>>
> >>>>>> Ademir,
> >>>>>>
> >>>>>> Com um pouco (ou talvez muita) paciencia você pode sentar e tentar portar o
> >>>>>> TProxy para o FreeBSD. Não há muita complexidade no tproxy, não se deixe
> >>>>>> levar pela complexidade aparente.
> >>>>>>
> >>>>>> Agora se programar, ler códigos e etc. realmente não é a sua praia,
> >>>>>> considere pagar a alguem que possa faze-lo a exemplo do depenguinator
> >>>>>> (http://www.daemonology.net/blog/2008-01-29-depenguinator-2.0.html) do Colin
> >>>>>> Percival, que foi "motivado" por uma doação a freebsd fundation.
> >>>>>>
> >>>>>> Infelizmente como já foi comentado aqui na lista (e mundo afora), muita
> >>>>>> gente depende do dinheiro suado pra manter sua casa e nem sempre tem tempo
> >>>>>> disponível para "doar".
> >>>>>>
> >>>>>> []'s
> >>>>>> Luiz
> >>>>>>
> >>>>>> -------------------------
> >>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>> Algum voluntario quer fazer? Qnto fica? talvez tenhamos alguns
> >>>>> voluntarios a mais para pagar essa boa ação. Eu tenho interesse nesse
> >>>>> beneficio e posso ajudar a pagar, depende do valor ;)
> >>>>>
> >>>>>
> >>>>> Jean Zanuzo
> >>>>>
> >>>>> -------------------------
> >>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>>
> >>>>>
> >>>>>
> >>> -------------------------
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>
> >>>
> >> Oi Thiago,
> >>
> >> Funcionou perfeitamente o "TransparentPROXY" como voce mensionou, voce
> >> tem testes de como o squid se comporta com 2,5mil (ou algo q eu possa
> >> usar como base) acls com tcp_outgoing_address?
> >> Muito obrigado!
> >>
> >>
> >> Jean Zanuzo
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >>
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> fiz com o natd e ipfw, acredito q a carga vai ficar semelhante, att.
>
> obrigado!
>
> Jean Zanuzo
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd