[FUG-BR] TProxy em FreeBSD
Renato Maia
renato em rapidus.com.br
Quinta Janeiro 29 16:01:21 BRST 2009
Luiz, mais em relação a despempenho o Tproxy é a mesma coisa do noss proxy
convencional ?
Att,
Renato Maia
---------------------------------------
Rapidus Internet
http://www.rapidus.com.br
---------------------------------------
Contato:
Cel.: +55 37 8829 0369
skype: renatopereiramaia
--------------------------------------------------
From: "Luiz Otavio O Souza" <luiz em visualconnect.com.br>
Sent: Thursday, January 29, 2009 3:47 PM
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Subject: Re: [FUG-BR] TProxy em FreeBSD
>> Luiz,
>>
>>
>> Meu proxy estava rodando a mais de 2 anos com as mesmas regras de
>> firewall.
>> Eu sempre usei o SKIPTO jogando pra 65000 que tem um allow ip from
>> any
>> to any --- a linha 65535 tem a mesma instrução porque o firewal é OPEN.
>
> Ademir,
>
> Até aqui tudo tranquilo, mas a diferença é que para fazer o tproxy
> funcionar
> foram necessárias duas regras, uma que direciona o trafego das estações
> para
> o freebsd (o proxy transparente) e a segunda que força o caminho inverso,
> quando o servidor responde para o proxy ele responde para o ip do cliente
> e
> é essa regra que força a volta para o freebsd ao invés do cliente.
>
> Tudo certo se isso não quebrasse a comunicação direta do cliente com os
> servidores :)
>
>> O fato é que todos os sites que tinham o SKIPTO (caixa, sefaz,
>> rapdshare
>> e o escambau) simplesmente pararam de funcionar.
>> Quando eu apagava a linha do SKIP ele funcionava (sendo cacheado).
>
> Exatamente.
>
> Mas existe uma forma de contornar isso, adicione um segundo skipto, como
> sugeri, para que ele jogue os pacotes de volta (entrando na interface
> externa - dos servidores da caixa para os seus clientes) direto para a
> sua
> regra 65000, evitando que eles cheguem ao fwd.
>
>> O que vi como problema foi o fato do squid ter o ip da rede interna
>> como
>> parâmetro do squid.conf. A solução que vi foi aquela de várias instâncias
>> squid rodando.
>> No exemplo que vc mandou abaixo está o redirecionamendo do localhost
>> e
>> não do ip real. Isso é realmente funcional?
>
> Funciona sim, você pode colocar seu proxy no endereço 127.0.0.1:3128 e
> direcionar os acessos de todas as suas redes válidas para ele.
>
> E se você realmente precisar você pode ter vários http_port diferentes no
> mesmo squid.conf e assim você evita as várias instancias, usa uma só com
> comportamentos diferentes:
>
> http_port 127.0.0.1:3128 transparent
> http_port 127.0.0.1:3129 transparent tproxy
>
> Att.,
> Luiz
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd