[FUG-BR] TProxy em FreeBSD

Luiz Otavio O Souza luiz em visualconnect.com.br
Quinta Janeiro 29 15:47:14 BRST 2009


> Luiz,
>
>
>     Meu proxy estava rodando a mais de 2 anos com as mesmas regras de
> firewall.
>     Eu sempre usei o SKIPTO jogando pra 65000 que tem um allow ip from any
> to any  --- a linha 65535 tem a mesma instrução porque o firewal é OPEN.

Ademir,

Até aqui tudo tranquilo, mas a diferença é que para fazer o tproxy funcionar 
foram necessárias duas regras, uma que direciona o trafego das estações para 
o freebsd (o proxy transparente) e a segunda que força o caminho inverso, 
quando o servidor responde para o proxy ele responde para o ip do cliente e 
é essa regra que força a volta para o freebsd ao invés do cliente.

Tudo certo se isso não quebrasse a comunicação direta do cliente com os 
servidores :)

>     O fato é que todos os sites que tinham o SKIPTO (caixa, sefaz, 
> rapdshare
> e o escambau) simplesmente pararam de funcionar.
>     Quando eu apagava a linha do SKIP ele funcionava (sendo cacheado).

Exatamente.

Mas existe uma forma de contornar isso, adicione um segundo skipto, como 
sugeri, para que ele jogue os pacotes de volta (entrando na interface 
externa - dos servidores da caixa para os seus clientes)  direto para a sua 
regra 65000, evitando que eles cheguem ao fwd.

>     O que vi como problema foi o fato do squid ter o ip da rede interna 
> como
> parâmetro do squid.conf. A solução que vi foi aquela de várias instâncias
> squid rodando.
>     No exemplo que vc mandou abaixo está o redirecionamendo do localhost e
> não do ip real. Isso é realmente funcional?

Funciona sim, você pode colocar seu proxy no endereço 127.0.0.1:3128 e 
direcionar os acessos de todas as suas redes válidas para ele.

E se você realmente precisar você pode ter vários http_port diferentes no 
mesmo squid.conf e assim você evita as várias instancias, usa uma só com 
comportamentos diferentes:

http_port 127.0.0.1:3128 transparent
http_port 127.0.0.1:3129 transparent tproxy

Att.,
Luiz 



Mais detalhes sobre a lista de discussão freebsd