Proxy em paralelo com o mikrotik

Mikrotik montado em paralelo com proxy (Debian), sendo que todas as funções, rotas, bloqueios etc são realizadas pelo mikrotik, só restando o serviço de armazenamento de dados para o Debian, não sendo para tanto necessário nenhuma configuração de firewall nem adicionais com iptables, tornando extremamente fácil a montagem, configuração e manutenção.

[ Hits: 520.717 ]

Por: André A. Ferreira em 25/04/2008


Pré-requisitos e passos iniciais



Resolvi escrever este artigo por 2 razões, a primeira é que o mikrotik (do qual sou fã incondicional) não é um bom sistema para proxy (exclusivamente na minha opinião) quando comparado a qualquer outra distribuição, no caso a minha preferida é o Debian, o outro motivo é que precisei de muito tempo pra chegar a este "conjunto" e deixá-lo funcionando e tenho visto a necessidade de muitos em montar algo semelhante, então espero que este pequeno artigo possa ajudar.

Claro que para esta montagem seu servidor (roteador) tem que ser mikrotik versão 3.X, tendo uma placa onde recebe o link da operadora, uma placa exclusiva para comunicação com o proxy (ponto a ponto) e uma terceira que servirá o acesso ao clientes diretamente. Não vamos nos prender a configuração dos clientes, controle de clientes, controle de banda, nem a entrada de link , nem load balance etc, mas trataremos neste artigo supondo que seu servidor já tenha isto configurado e funcionando, vamos tratar as configurações necessárias para que o mikrotik controle o proxy, e o computador onde estará o proxy com Debian.

Topologia visual

Nesta imagem, só pra entendermos melhor a topologia que usaremos, fica claro onde chega o link, é tratado pelo mikrotik, quando necessário é enviado ao segundo servidor que de forma isolada somente faz o armazenamento com o Squid, e enfim é enviado aos clientes.



    Próxima página

Páginas do artigo
   1. Pré-requisitos e passos iniciais
   2. Adicionando as regras ao mikrotik para "conversar" com o proxy
   3. Instalação e configuração inicial do proxy
   4. Configurando o Squid
   5. Terminando a configuração no mikrotik
   6. Considerações finais
Outros artigos deste autor

Web proxy Mikrotik V3.XX com controle de acesso

Leitura recomendada

Squid avançado + OpenLDAP

Squid autenticando em base Active Directory

Squid autenticando em Win2000/2003 com Debian Etch

Squid 3 como proxy transparente + firewall Iptables

Bloqueando conteúdo com Squid no RedHat 9

  
Comentários
[1] Comentário enviado por thioz21 em 25/04/2008 - 16:23h

ótimo esse artigo

[2] Comentário enviado por vladijr em 25/04/2008 - 16:57h

olá amigo muito interessante a sua implementação mas gostaria de saber maiores detalhes sobre configurações do mikrotik pois estou iniciando e gostaria de aprender sobre ele se tiver alguma apostila ou link da net que possa me ajudar ficarei grato

[3] Comentário enviado por Andre_A_Ferreira em 25/04/2008 - 19:13h

Obrigado thioz21.

[4] Comentário enviado por Andre_A_Ferreira em 25/04/2008 - 19:14h

Olá, vladijr , rapaz, infelizmente o mikrotik ainda é muito pobre de documentação em nosso idioma, minha fonte é o site do fabricante (www.mikrotik.com), mas se puder te ajudar em algo é só falar.
Abraços.


sds
André

[5] Comentário enviado por removido em 26/04/2008 - 22:17h

muito bom,mikrotik é sensacional.um leque de possibilidades.

[6] Comentário enviado por maran em 27/04/2008 - 20:33h

Cara gostei mesmo do artigo, estarei logo em breve testando , ai te falo que que rolou...
Nota 10

[7] Comentário enviado por Andre_A_Ferreira em 28/04/2008 - 08:55h

Obrigado matpestana.

[8] Comentário enviado por Andre_A_Ferreira em 28/04/2008 - 08:55h

Obrigado maran.


sds
André

[9] Comentário enviado por anderson_souza em 28/04/2008 - 12:51h

O artigo eh bom, nao conhecia o mikrotik. Acho que foi isso que faltou, explicar inicialmento o que eh o mikrotik.

Achei confusa a parte inicial do artigo.

Pelo o que eu entendi ele eh um programa de gerenciamento que roda numa distribuicao de linux, certo?

Estou baixando o mikrotik do site www.mikrotik.com para testar, OK.

[10] Comentário enviado por Andre_A_Ferreira em 28/04/2008 - 13:34h

Olá anderson_souza, este artigo foi criado para um publico alvo que tenha mais intimidade com mikrotik, mas respondendo a sua pergunta, sim é um sistema operacional (www.mikrotik.com) desenvolvido para servir de roteador, servidor com portal captive, servidor pppoe, etc..etc...
Mas de qualquer forma estou desenvolvendo outros artigos com propósitos diferentes, aguarde.
Abraços.


sds
André

[11] Comentário enviado por thiago paeta em 28/04/2008 - 15:58h

Não seria Redundante o fato do mikrotik na borda... Abraço!!!

[12] Comentário enviado por Andre_A_Ferreira em 28/04/2008 - 16:09h

olá thiagofilip, na função router, poderia ser um tipo de redudancia pra o servidor proxy, uma vez que estando o artigo pronto e funcionando, vc poderia, em uma eventual falha, configurar o proxy do mikrotik pra funcionar como um back-up (claro que com menor desempenho) enquanto resolve o problema do debian (ou outra distro), porém deixar um script de execução automática pra isso pode causar problemas, então a solução se tornaria manual.


sds
André

[13] Comentário enviado por ianix em 19/05/2008 - 19:48h

Eu instalei um mikrotik em um ambiente que á estava funcionando com um servidor de autenticação rWindows 2003, e um Debian/Squid compartilhando a conexão. E sempre que eu habilitava o hotspot algumas máquinas perdiam a conexão, na verdade a maioria das máquinas. Vc tem idéia de o que possa ter ocorrido?

**Ah, outra coisa, sobre material em português http://under-linux.org/forums tem ótimos materiais.

[14] Comentário enviado por Andre_A_Ferreira em 23/05/2008 - 13:04h

Olá ianix,

Pode ser a regra que habilita o firewall em NAT, verifique ela.

Quanto ao material em portugues no under-linux.org, sim conheço, mas quando me refiro a falta de material em nosso idioma, me refiro a conteudo explicativo de funções, e não um simples passo-a-passo.

Espero ter ajudado, abraços.

sds
André

[15] Comentário enviado por zipfile em 27/05/2008 - 15:44h

andrexmail parabens pelo seu artigo, estou tesntando agora mesmo na bancanda, no meu mk uso hotspot, alguma consideraçao sobre isto?
abraçao.

[16] Comentário enviado por mcliano em 27/05/2008 - 17:41h

Parabéns pelo tutorial, muito objetivo e totalmente funcional. Já instalei e funciona perfeitamente.

[17] Comentário enviado por Andre_A_Ferreira em 28/05/2008 - 09:04h

Olá zipfile,

Funciona em hotspot ou pppoe perfeitamente.

Obrigado.

sds
André

[18] Comentário enviado por Andre_A_Ferreira em 28/05/2008 - 09:05h

Olá mcliano,

Obrigado pelo comentário.

sds
André.

[19] Comentário enviado por dirlei10 em 29/05/2008 - 09:46h

?comentario=ola muito bom mas so uma pergunta como eu faço a configuração nos cliente EX. eu tenho o controle de banda no meu mk com o ip 192.168.50.1 e o proxy no Debian com o ip 192.168.50.200 ,como fica a configuração do cliente Gateway e DNS.

eu to usando da seguinte forma ( Cliente
ip xxxxxxxx
gateway 192.168.50.200 q é o do servidor proxy e não o do controle de banda
dns 192.168.50.200
sera q assim o mk q ta como controle de banda vai controlar a banda direitinho ou o Gateway te q ser o do mk q no ex é 192.168.50.1 ?
desculpa a amolação desde ja obrigado /......

[20] Comentário enviado por Andre_A_Ferreira em 31/05/2008 - 09:49h

Olá dirlei10.
O correto neste caso, é voce usar o Gw 192.168.50.1 e dns 192.168.50.1, no caso que é seu mikrotik, porque assim quando voce tiver problemas no seu proxy/debian voce simplesmente desabilita a regra no firewall/nat e continua provendo internet aos seus clientes.
Uma dica importante para seu caso seria voce nao colocar o proxy na mesma classe de clientes.

sds
André

[21] Comentário enviado por dirlei10 em 31/05/2008 - 10:09h

brigadão amigão vlw................................................

[22] Comentário enviado por dirlei10 em 31/05/2008 - 12:48h

Vlw

[23] Comentário enviado por Andre_A_Ferreira em 31/05/2008 - 13:18h

Bom este script tem muitas opções que se tornam inúteis se aplicado ao artigo, pois este proxy esta fazendo controle de usuarios baseado em horarios e classes ips, entre outras coisas, então te recomendo usar o script postado no artigo, alterando apenas as capacidades de memoria e hd, a menos, que voce nao tenha uma topologia igual a mencionada no artigo.

sds
Andre

[24] Comentário enviado por DIVNU em 01/06/2008 - 16:37h

no caso pelas configuracoes do squid.conf, nao precisa ser transparente para os clientes.

[25] Comentário enviado por Andre_A_Ferreira em 02/06/2008 - 09:29h

Olá DIVNU ,

Na verdade o mikrotik (funcionando na forma apresentado no artigo) já é transparente, então é desnecessária a configuração no squid.conf para este fim.


sds
André

[26] Comentário enviado por adrianofante em 02/06/2008 - 13:49h

ola, achei excelente seu post, só estou com uma duvida, posso prover a internet para o meuy proxy direto do meu router, com um ip valido, ou seja sem ser cliente do mikrotik, mas estando conectado diretamente pelas eth?

[27] Comentário enviado por adrianofante em 02/06/2008 - 13:49h

ola, achei excelente seu post, só estou com uma duvida, posso prover a internet para o meuy proxy direto do meu router, com um ip valido, ou seja sem ser cliente do mikrotik, mas estando conectado diretamente pelas eth? ou posso ligar ele apenas pleo mesmo switch q vem do router do direto do link?

[28] Comentário enviado por DIVNU em 02/06/2008 - 23:37h

ola andrexmail

com essa solucao funciona na versao 2.9 do mikrotik, ou vc nao testou? obrigado.

[29] Comentário enviado por rogeriodj em 03/06/2008 - 09:50h

E ai andrexmail!

Como deve ficar a configuração no Debian, como na interface, IPTables etc?

[30] Comentário enviado por Andre_A_Ferreira em 03/06/2008 - 11:42h

Olá adrianofante ,
Sim pode, mas terá um grave problema de segurança, primeiro voce teria que levantar nesta maquina um bom firewall com politicas proprias de seguranca, depois quem quisesse configurar o seu servidor ( ou uma excessao indicando o ip valido dele ) se tornaria facil o que é um grande problema junto ao seus clientes.
Não recomendo.

sds
André

[31] Comentário enviado por Andre_A_Ferreira em 03/06/2008 - 11:44h

Olá DIVNU,

Funciona sim.
Testado nas versões 2.9.48, 2.9.50, 3.1, 3.3, 3.7.

sds
André

[32] Comentário enviado por Andre_A_Ferreira em 03/06/2008 - 11:46h

olá rogeriodj ,

Voce nao deve usar iptables com nenhuma regra, como descrito no artigo, voce só configura o ip, com classe /30, mascara, GW, e o squid.

sds
André

[33] Comentário enviado por dirlei10 em 03/06/2008 - 14:07h

http_port 5128 aqui eu tenho que deixar como estar ou colocar o ip do Debian q no meu caso

http_port 192.168.10.1:5128
e a mascara de sub-rede ´tem q ser a 255.255.255.252 mesmo so leigo rsrss

[34] Comentário enviado por Andre_A_Ferreira em 04/06/2008 - 12:43h

Olá dirlei10,
Siga exatamente como esta descrito no artigo e voce vai conseguir, troque os ips do seu debian pelos descritos no artigo, o squid.conf também.


sds
Andre

[35] Comentário enviado por israelbm em 08/06/2008 - 19:21h

Olá, quero guardar o log de acesso do IP dos clientes que estão no mikrotik, neste exemplo acima só consigo guardar o ip 192.168.10.1.

[36] Comentário enviado por Andre_A_Ferreira em 08/06/2008 - 19:38h

Olá israelbm

O log de cada cliente e seu respectivo ip pode ser registrado sim, mas nao no debian e sim no mikrotik.

sds
Andre

[37] Comentário enviado por persistente em 17/06/2008 - 22:17h

Olá andrexmail, instalei o debian, coloquei o IP 192.168.10.2 masc 255.255.255.252 gat e dns 192.168.10.1, adicionei o IP Address e o NAT igual ao do seu tutorial. Coloquei um cabo de rede da placa do debian e na placa correspondente no mikrotik mais qdo vou instalar o squid o debian nao tem internet. Onde será que errei?? Outra coisa mais adiante no Tutorial tem uma parte da configuraçao que pede IP VALIDO, uso adsl e meu ip nao é fixo, qual ip devo colocar??
Obrigado pela atençao!!!

[38] Comentário enviado por persistente em 18/06/2008 - 19:46h

Boa noite, no comentario anterior disse que o debian nao tinha internet para instalar o squid. Para resolver isso cadastrei pelo arp o ip e o mac da placa, fiz certo? Outra duvida é sobre o ip valido , qual devo colocar? Desculpa pessoal sou leigo no assunto.
Grato pela ajuda de todos...

[39] Comentário enviado por MR. RG em 19/06/2008 - 18:59h

Olá amigo persistente,
Quando o nosso amigo fala em ip válido, ele se refere ao ip que está na interface que tem saída para internet.

[40] Comentário enviado por Andre_A_Ferreira em 20/06/2008 - 20:14h

Ola persistente,

Descupe a demora em responder, mais o amigo MR.RG respondeu corretamente.



sds
André

[41] Comentário enviado por persistente em 20/06/2008 - 21:25h

Boa noite Andre, coloquei o ip da interface do modem e nao dá certo, qdo habilito o redirecionamento aparece a mensagem no navegador:
ERROR: Gateway Timeout
--------------------------------------------------------------------------------
Your cache administrator is webcache.
--------------------------------------------------------------------------------
Generated Fri, 20 Jun 2008 21:06:34 GMT by 10.0.0.1 (Mikrotik HttpProxy) Vou te passar como fiz a config. pra ver se vc pode me ajudar. O Ip do debian tá 192.168.10.2 gat e dns 192.168.10.1 Ip da interface da internet 10.1.2.10, saida para os clientes 10.0.0.0/24 sendo que o gat e dns para os clientes é 10.0.0.1, igualzinho o tutorial, no campo ip valido coloquei 10.1.2.10. Não sei mais o que fazer, peço mais uma vez sua ajuda...
Grato...

[42] Comentário enviado por Andre_A_Ferreira em 22/06/2008 - 15:39h

Ola persistente,

Veja, o ip valido na regra de direcionamento precisa ser o ip que seu mikrotik usa pra acessar a internet.

sds
André.

[43] Comentário enviado por removido em 24/06/2008 - 18:09h

André qual a configuração da maquina necessária para instalar o proxy?
Obrigada
Elis

[44] Comentário enviado por byosni em 25/06/2008 - 18:07h

andre, otimo artigo,
porem to com um grande problema, uso o mikrotik v. 2.9.6 com conttrole de banda e amarro os ip+mac, quando eu ativo a regra para redirecionar o tragefo para o proxy meu controle de banda não controla mais ninguem, ou seja, quando eu ativo a regra eu faço downloads com a velocidade do meu link, 5mbits e não com os 256kbits que está setado no controle de banda, fiz tudinho como esta escrito no seu tutorial. t+

[45] Comentário enviado por Andre_A_Ferreira em 25/06/2008 - 21:49h

Olá Elis.

A configuração da ,maquina depende de uma série de fatores, alguns deles são:
Quantidade de clientes
Planos de atendimento
Quantidade de link
Topologia da rede (se vai adotar a do artigo ou tem outra)
etc.

Posta ai as informações que falo.

sds
André

[46] Comentário enviado por Andre_A_Ferreira em 25/06/2008 - 21:51h

Olá byosni

Use um servidor como hotspot ou pppoe, dai voce não terá este problema.

sds
André

[47] Comentário enviado por persistente em 26/06/2008 - 20:55h

Bo noite, Andre consegui fazer funcionar, graças a Deus e a vcs rsrs, agora quero saber o seguinte: na opçao de Nat tenho 01 liberado a faixa de ip do debian, 02 liberado a faixa de ip dos clientes e 03 o redirecionamento para o proxy. Queria saber se caso eu alterar essa ordem influencia alguma coisa?
Agradeço novamente a juda....

[48] Comentário enviado por Andre_A_Ferreira em 26/06/2008 - 21:23h

Ola persistente,

Que legal, olha só, se as tres regras estiverem por ultmo (nao importando qual vai ser a primeira ou ultima) não altera não.

sds
André

[49] Comentário enviado por DIVNU em 27/06/2008 - 21:06h

amigo andrexmail, dessa forma tem algum problema se eu usar 3 servidores mikrotik pegando requisicoes do servidor de proxy com mascara /30 ou outras.

[50] Comentário enviado por Andre_A_Ferreira em 27/06/2008 - 21:14h

Olá DIVNU,

Nenhum problema, voce poderia colocar entre o servidores um pequeno switch de 8 portas e entre os 3 servidores usar uma classe /29 (06 ips aceitos) para comunicar entre eles, dois ou tres servidores usando um único servidor proxy como proxy paralelo, mas tome cuidado com o desempenho e dimensionamento destas máquinas.
O único detalhe é que somente 1 destes tres servidores poderia fornecer internet para o proxy. (01 entrada e 03 destinos).

Abraços.

sds
André

[51] Comentário enviado por inter-conection em 30/06/2008 - 21:58h

Ola amigo tentei fazer esse seu artigo e ta dando esse erro oq pode ser???
estou usando usando o mikrotik 3.10.
Your cache administrator is webmaster.
--------------------------------------------------------------------------------
Generated Mon, 30 Jun 2008 21:38:44 GMT by 130.155.232.1 (Mikrotik HttpProxy)

onde sera q pode estar o erro??

[52] Comentário enviado por DIVNU em 30/06/2008 - 23:30h

opa andrexmail, consegui configurar no primeiro mk faltam os 2, como seria as configuracoes de rede como gateway no linux proxy tem q adcionar outro gateway do outro mk, e outra coisa seria melhor ativar um dns interno (bind9).

[53] Comentário enviado por Andre_A_Ferreira em 01/07/2008 - 09:05h

Olá inter-conection.

Este erro indica que o proxy não esta funcionando, mas não dá uma dica especifica de onde é, revise todas as configurações e os scripts pra ver se acha o erro ou navegue com uma maquina diretamente no debian pra verificar esta tudo correto com ela.

sds
André

[54] Comentário enviado por Andre_A_Ferreira em 01/07/2008 - 09:07h

Olá DIVNU,

Não tem que adicionar não, nos outros 2 somente use a classe de rede cadastrada em IP > ADDRESS, e a regra que direciona o tráfego http (80) para o ip do debian, o forncimento de internet só para o proxy já esta sendo feito pelo primeiro mikrotik.
Não se esqueça de editar no debian a permissão de acesso ao proxy no squid.conf permitindo os outros mikrotik's.


sds
André.

[55] Comentário enviado por DIVNU em 01/07/2008 - 21:41h

opa andrexmail, funcionou legal so que funciona durante 30 minutos entao cai a navegacao, estou achando q nao estou acertando as configuracoes de nat no mikrotik, minha rede do clientes e da seguinte forma, 10.10.1.2/30 tipo:

cliente 1

10.10.1.2
255.255.255.252
10.10.1.1
10.10.1.1

cliente 2

10.10.2.2
255.255.255.252
10.10.2.1
10.10.2.1

so mudando o penultimo octeto, pra ficar em redes diferentes.
uso hotspot e dhcp server.

na minha regra de nat esta assim:

add chain=dstnat action=redirect to-ports=3128 in-interface=CLIENTE \
src-address=10.10.0.0/30 dst-address=!200.xxx.xxx.xxx dst-port=80 protocol=tcp \
comment="REGRA PROXY EXTERNO" disabled=no

[56] Comentário enviado por rogeriodj em 03/07/2008 - 16:19h

Seu artigo é o bicho, funcionando a mil por hora, mais como faço com os logs q o proxy esta gerando, pois esta aparecendo o IP do MK e não do cliente.

[57] Comentário enviado por Andre_A_Ferreira em 03/07/2008 - 16:26h

Olá, DIVNU
Verifique se voce bloqueou acesso externo ao proxy, aparentemente as regras de nat estao ok.

sds
André

[58] Comentário enviado por Andre_A_Ferreira em 03/07/2008 - 16:28h

Olá rogeriodj ,

Quem deve fazer o log é o mikrotik que tem acesso direto aos clientes, use um programinha gratuito para capturar os logs do mikrotik, o kiwisyslog é muito bom.

sds
André

[59] Comentário enviado por rogeriodj em 04/07/2008 - 09:53h

Valeu pela dica amigo, outra dúvida, quem faz o bloqueio de sites, o MK ou o proxy(Debian)?

[60] Comentário enviado por Andre_A_Ferreira em 05/07/2008 - 12:18h

Olá rogeriodj,

O mk, aguarde um artigo que ja esta concluido e estou revisando para publica-lo, explicando exatamente como controlar sites no proxy do mikrotik, seja mikrotik em paralelo como o do artigo acima ou somente proxy do mikrotik.

sds
André.

[61] Comentário enviado por wrreis em 08/07/2008 - 12:56h

Ola a Todos.

Sou novo aqui no site estou com um problema fiz o squid em paralelo mas quando habilito o hotspot nao faz o proxy o pode estar acontecendo desde ja agradesso...

ads
Wander Rogerio

[62] Comentário enviado por Andre_A_Ferreira em 08/07/2008 - 13:06h

olá, wrreis,
Confira direitinho todas as regras, pricipalmente a regra que habilita o proxy no firewall.

sds
André.

[63] Comentário enviado por grandmaster em 11/07/2008 - 21:20h

Bem legal o artigo, nao tinha visto o mirokit em funcionamento, apenas ouvi muita gente falar.

Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

[64] Comentário enviado por Andre_A_Ferreira em 11/07/2008 - 22:53h

Olá grandmaster,

Obrigado pelo comentário.

sds
André

[65] Comentário enviado por filho.matos em 19/07/2008 - 23:59h

Parabéns pelo artigo amigo.
Mas tem algo que ainda nao compreendi sobre o MK, jah procurei na net inteira e só vejo exemplos com o pessoal usando o proprio MK como AP(com uma placa wifi em uma das interfaces, porém gostaria de por um MK em um sala de servidores com uma interface ligada num switch e um router dlink em outra sala, sendo controlado pelo MK, mas nao encontrei em lugar algum alguem fazendo isto, apenas a imagem ai da sua topologia....
Nao sei se posso fazer isso, e se sim, se o roteador dlink tem q ser configurado para ficar em bridge. Nas configs do dlink eu posso configura-lo direto para um servidor radius, será que é mais vantajoso ligar o dlink no MK e o MK no RADIUS ou esqueçer o MK e deixar o DLINK direto pra o RADIUS?? Alguem pode me ajudar??? Desde já agradeço.

[66] Comentário enviado por Andre_A_Ferreira em 20/07/2008 - 02:28h

olá filho.matos.

Obrigado.
Bom, pra usar o radius direto com d-link pelo jeito voce ja deve saber fazer, neste caso coloca o mikrotik no meio seria um disperdicio de hardware, mas no caso de deixar somente mikrotik com o d-link voce deveria configura-lo para ser uma bridge, porem são poucos aps da dlink que suportam bridge, (sou suspeito para falar que detesto essa marca para aps) mas deixando marca de lado, para usar o mikrotik seria o ideal, mas claro que depende da sua rede e pretenções com ela.

sds
André

[67] Comentário enviado por zipfile em 21/07/2008 - 08:19h

Parabens mais uma vez pelo post colega.
Andrex, caso eu esteja usando loadbalance, como devo proceder? levando em consideraçao que terei dois Gw.
pela foto inicial do post leva a crer que o mk deve ter 3 placas ethernet instalada, uma pra debian, uma para cliente e outra para link internet.
poderia usar um swint e ligar o link internet e o debian em uma mesma interface? pq aqui quero fazer um load balance, e vai faltar slot pci, heheh.
abraçao.

[68] Comentário enviado por Andre_A_Ferreira em 21/07/2008 - 09:06h

Olá zipfile.
Bom não tem problema nenhum fazer load balance, mas o ideal seria usar mais uma placa de rede para isso, criando duas wan´s, use a RB44, é uma placa pci de 4 portas fast-ethernet, uso dela aqui e é show de bola.

sds
André

[69] Comentário enviado por csoares em 23/07/2008 - 19:04h

Olá André, sou bem novo em linux, mas to tentando. Muito bom teu artigo, simples e direto.
só estou tendo problemas para acessar meu debian
via ssh, instalou tudo certinho, acesso a net por ele e tudo, pinga pra fora blz, mas quando tento usar
o apt-get para instalar o ssh ele dá erro, nem mesmo o apt-get update ele faz correto, vai até 70%
e da erro, diz q teve problemas para baixar os arquivos, e q vai usar os arquivos antigos, ai tentei
instalar o ssh, e da erro, não encontra os arquivos no servidor.
Tem alguma ideia pque?
Valeu pela força...

[70] Comentário enviado por Andre_A_Ferreira em 24/07/2008 - 10:59h

Olá csoares,

Tente apt-get install sshd

sds
André.

[71] Comentário enviado por csoares em 24/07/2008 - 18:40h

Valeu novamente André, mas já tinha resolvido, não me pergunte como, pois fiz tudo igual como antes umas 500 vezes, e não funcionou, mas na ultima vez foi.
Agora acesso via ssh sem problemas, mas quando tento editar o /etc/squid/squid.conf ele me da erro de permissão. Não deixa editar..
Poderia mais uma ver me dar uma força? Obrigado des de já...

[72] Comentário enviado por Andre_A_Ferreira em 24/07/2008 - 21:25h

Olá csoares.

Verifique se seu usuario é o root, somente com ele voce poderá realizar a modificação.
Experimente tambem usar o mcedit, é um editor bem melhor e mais facil do que o vi, para instala-lo use: apt-get install mc
Para usar chame: mcedit /etc/squid/squid.conf

sds
André.


[73] Comentário enviado por csoares em 25/07/2008 - 15:00h

Bahh cara, já to vendo q isso aqui é mesmo complicado...
Olha a mensagem q eu recebo quando tento instalar o mc To logado como root, executo o comando apt-get update e depois
o comando para instalar o mc, mas não rola..
debian:~# apt-get install mc. vai...
Lendo lista de pacotes... Pronto
Construindo árvore de dependências... Pronto
E: Impossível achar pacote mc
debian:~#

Se vc ou alguém puder ajudar, agradeço...

[74] Comentário enviado por Andre_A_Ferreira em 25/07/2008 - 15:07h

Suas Fontes estão desatualizadas.
Verifique com o comando "apt-get update"
Se não der certo procure aqui no VOL como atulizar suas fontes para o apt-get.

sds
André;

[75] Comentário enviado por Estival em 01/08/2008 - 18:09h

Olá, muito bom o artigo, tenho algums considerações e perguntas para esclarecer e tambem trocar ideias, se puder responder ficarei muito grato:

1 - Voce usa esta solução hoje ? Depois da mudança voce teve ganho no acesso dos clientes ? Esta pergunta vai de encontro a minha necessidade pois hoje utilizo o mikrotik, mais o webcache esta desativado, estou pensando em montar a solução com o proxy em linux, mais minha duvida é se realmente vou ter ganho para meus clientes nestas mudanças.

2 - Sua topologia ficou clara pra mim, quais as considerações se eu mudasse a maquina linux pra ficar entre o MK e a internet, ou seja poderia continuar a fazer meu proxy e ainda utilizar as regras de Iptables no linux, qual sua opnião isso funcionaria ?

3 - Outra Ideia, estou pensando em montar isso tudo em uma maquina so utilizando o VMWare Server em cima do linux, acho que seria interessante, vou montar um lab antes e se der tudo certo, postarei um artigo aqui.

Obrigado, pela contribuição no VOL.

Marcos Estival
marcos.estival@bol.com.br


[76] Comentário enviado por Andre_A_Ferreira em 02/08/2008 - 13:25h

Olá Estival,
Obrigado.
1-Sim uso, e sim tem ganho consideravel, de 8% a 30% dependendo do tipo de acesso, a média de economia do link é de mais de 10%.

2-Funciona, mas é desnecessario, pois esta dentro de uma rede interna do mikrotik e por consequencia protegida por seu firewall etc, mas nada impede de implementar iptables.

3-Muito bom, o VMware é uma boa ferramenta de testes, e alguns casos até para ambiente de produção, só não use o proxy dentro de uma vmware em ambiente de produção pois terá problemas de desempenho.

sds
André

[77] Comentário enviado por doniti em 19/08/2008 - 21:18h

Esse post funciona com balanceamento de links? Se funciona, como seria a configuração para dois gateways?

[78] Comentário enviado por vini_alpha em 20/08/2008 - 19:39h

Depois que fiz a configuracao, e vou iniciar o squid, aparece esses avisos, eh normal ??

2008/08/20 19:17:44| WARNING: '0.0.0.0/0.0.0.0' is a subnetwork of '0.0.0.0/0.0.0.0'
2008/08/20 19:17:44| WARNING: because of this '0.0.0.0/0.0.0.0' is ignored to keep splay tree searching predictable
2008/08/20 19:17:44| WARNING: You should probably remove '0.0.0.0/0.0.0.0' from the ACL named 'all'

Grato,

Vinicius Silva

[79] Comentário enviado por vini_alpha em 20/08/2008 - 21:00h

no meu comentario acima, eu comentei a linha e passou normal, tinha dado um erro, mas so foi rodar squid -z, ele criou os subdiretorios e pronto, ta rodando. Quer dizer, eu configurei tudo com ta no artigo, mas eu acho que o proxy nao ta funcionando nao, pois no arquivo /var/log/squid/cache.log nao ta sendo gravado nada nele... u q pode ta acontecendo... os clientes estao navegando normal pelo mikrotik, mas o proxy, acho que nao ta funcionando nao... uso mk 2.9.27 sera que eh por isso ?

Grato por qualquer dica

Vinicius

[80] Comentário enviado por Andre_A_Ferreira em 21/08/2008 - 09:15h

Olá, doniti.

Bom nunca precisei, mas acreadito que sim, terá que identificar partes de sua rede que vão ser atendidas por cada GW, ou o balanceamento pode ser feito por portas, dai fica bem fácil.

sds
André.

[81] Comentário enviado por Andre_A_Ferreira em 21/08/2008 - 09:19h

Olá vini_alpha,

Voce usou o arquivo idêntico ao postado no artigo, esse não tem problemas.
Quanto a versão do mikrotik, essa versão 2.9.27 é boa só para fazer alguns testes (exclusivamente na minha opnião), pois tem bugs e mais bugs, use uma versão considerada estavel, a 3.3 é show.

sds
André.


[82] Comentário enviado por removido em 21/08/2008 - 21:24h

boa noite,

amigo hoje tenho o squid 2.7 autenticado com controle por usuário então como eu faço para usar ele com cache full mikrotik já que pelo o que vi o squid que vc colocou só faz o cache puro e o mikrotik faz o restante?desde já agradeço pois precico fazer cache full com urgência.
Lembro que nessa mesma máquina tenho toda meu firewall iptables rodando.

[83] Comentário enviado por jocelmo em 24/08/2008 - 15:41h

Boa Tarde!

Estou seguindo os passos do seu Tutorial, fiz tudo certinho mas esbarrei quando vou configurar o squid digito:/etc/squid/squid.conf e dá a mensagem de permissão negada
ahh entrei com a senha de root mais um detalhe que comando uso para salvar as alterações? agradeço desde já.



[84] Comentário enviado por Andre_A_Ferreira em 24/08/2008 - 17:39h

Olá lfernandosg

Posta ai seu squid.conf pra gente, já que não esta usando o do artigo.
Se estiver usando iptables tambem, poste o arquivo também.

sds
André

[85] Comentário enviado por Andre_A_Ferreira em 24/08/2008 - 17:41h

Olá jocelmo

Use o mcedit, se sua distribuição for debian ou derivados instale com o comando #apt-get install mc
depois é morro abaixo tem uma lista de funções bem explicadas abaixo do programa, por exemplo, para sair é F10 e pergunta se salva ou não as alterações no arquivo.
O correto nesse caso para editar o arquivo é #mcedit /etc/squid/squid.conf


sds
André.

[86] Comentário enviado por jocelmo em 24/08/2008 - 21:22h

Obrigado por responder André
reinstalei tudo denovo usei os comandos # apt-get update
# apt-get install squid deu certo quando coloquei #apt-get install mc me deu a resposta: impossivel achar pacote mc.
danadinho esse Debian né.
mas notei o seguinte: quando ele inicia coloco o login e senha e aparece o seguinte:
"Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law"
é normal?

Jocelmo

[87] Comentário enviado por Andre_A_Ferreira em 24/08/2008 - 22:29h

Olá jocelmo,

Tente mudar os repositórios, para conseguir instalar qualquer pacote.
A mensagem é normal.

sds
André.

[88] Comentário enviado por ricardofjayme em 01/09/2008 - 17:01h

Parabéns pelo tutorial André!
Só queria uma opinião sua: vc acha que colocar a comunicação do mk com o Linux na mesma interface que sai para o clientes, mas com classe de ip diferente, teria algum problema? É pq tenho 3 eths no meu mk, 2 recebendo links e uma saindo para os clinetes... e não tenho mais slots na MB.
Obrigado pela atenção!
Abs

[89] Comentário enviado por Andre_A_Ferreira em 01/09/2008 - 17:15h

Olá ricardofjayme,

Não recomendo, dependo seu trafego entre MK e Linux pode ser tão grande que atrapalhará os clientes, sem falar em colisão de pacotes se não for uma boa switch.

sds
André

[90] Comentário enviado por malvadofsa em 01/09/2008 - 21:29h

cara quero colocar meu mk pra trabalhar junto com o debian mais mais quero saber se vou sentir diferença tendo em vista q tenho
apenas 200 clientes se o cash naum vai almentar meus pings na rede devido ao trafgo?

[91] Comentário enviado por Andre_A_Ferreira em 02/09/2008 - 08:21h

Olá malvadofsa,

A diferença fica em 8% a 25%, depende do conteúdo acessado entre outras coisas, mas vale a pena sim.

sds
André.

[92] Comentário enviado por chrisdoc em 02/09/2008 - 13:34h

Ola boa tarde...
essa msg Mikrotik HttpProxy

--------------------------------------------------------------------------------

Error: 504 Gateway Timeout
apareceu no meu pc, qdo tentei abrir a pagina do google,gmail e orkut.e isso nunca apareceu, eu gostaria de saber como faço pra descobrir e arrumar isso ai, pra poder entrar novamente nestes sites,pq so ta dando problemas com esse site,começou ontem a noite,pq pela tarde eu ja tinha conseguido entrar e td mais. se puder me ajudar, ficarei grata.

[93] Comentário enviado por leandrolz em 02/09/2008 - 20:44h

EXELENTE MUITO BOM MESMO.PARABENS.
MAS PRECISO DE AJUDA
{no campo interfaces, onde na imagem aparece REDE_8 troque pela interface que atende diretamente seus clientes (ex: ether3). }

por favor sou novo aqui e nao sei como fazer quando no mesmo mikrotik tenho duas interfaces atendendo os clientes uma em 5.8 e a outra em 2.4 qual eu coloco?? e tambem neste mikrotik tem 2 links que vem de cable modem da net virtua??

{Nas imagens acima, na aba GENERAL temos um campo marcado com um [!] escrito IP VÁLIDO DO SEU SERVIDOR, troque esta mensagem pelo IP válido que você está utilizando nesta máquina e mantenha o [!] }
EU SÓ TENHO IP DINAMICO QUE RECEBO DOS DOIS CABLE MODEM DA NET VIRTUA, E AI COMO EU FAÇO???
POR FAVOR ME AJUDE EU PRECISO FAZER ISSO FUNCIONAR. MUITO OBRIGADO

[94] Comentário enviado por Andre_A_Ferreira em 04/09/2008 - 09:11h

Olá leandrolz,

O seu caso não é o recomendado para aplicação do artigo como foi publicado,
o ideal é usar um servidor mikrotik para receber o seu link, fazer o
balanceamento de carga na entrada, fazer o sistema de proxy como descrito no
artigo e sair somente por uma placa de rede, e dai sim, em outro mikrotik
(mikrotik AP) fazer a distribuição ao seus clientes, essa é uma das opções,
a mais simples e mais viavel.

sds
André.

[95] Comentário enviado por ricardofjayme em 05/09/2008 - 12:14h

Opa André,
Há alguns dias postei um comentário sobre colocar o Squid na mesma eth dos clientes do Mk. Vc disse que dependendo do tráfego e da Switch poderia até atrapahar. Meu tráfego atual é em torno de 10Mbs (down+up) e uso um switcj 3Com Baseline 2016. Sei que ainda não é recomendável, mas vc acha que posso arriscar fazer um teste?
Outra coisa, para colaborar um pouco tb..rs.. Qnd acabei de montar o squid, ativei por alguns minutos para ver se as regras funcionavam. Direcionou o tráfego para o Squid, mas dava o seguinte erro:

**************************************************************
* Unable to forward this request at this time.

This request could not be forwarded to the origin server or to any parent caches. The most likely cause for this error is that:
*The cache administrator does not allow
this cache to make direct connections to
origin servers, and

*All configured parent caches are currently
unreachable

****************************************************

Procurei na net e achei esse post aqui tb no vivaolinux.com.br:

http://www.vivaolinux.com.br/topico/Squid-Iptables/Squid-Parou

Então se alguém mais enfrentar esse problema, fiz o seguinte:

Dei os comamandos

funap01:/# ./etc/init.d/squid stop
funap01:/# ./etc/init.d/squid -z
2007/11/07 12:17:29| Creating Swap Directories
funap01:/# ./etc/init.d/squid start

Aí funcionou blza!
Abs e obrigado novamente!

[96] Comentário enviado por Andre_A_Ferreira em 05/09/2008 - 13:55h

Olá ricardofjayme,

Certo, acho que voce pode testar, mais ao primeiro sinal de problemas, "olhe torto" para essa switch, penso comigo que temos que sempre ter a visão de expandir as capacidades, neste caso ponha em mente que já esta fazendo algo com a capacidade bem perto do seu limite, o que não é bom.
Quanto ao erro, diz que o cache não esta acessivel da máquina onde voce tentou acessar ou o armazenamento do squid não existe (mais provavel), o que de fato foi sanado com os comando acima postados.

sds
André.


[97] Comentário enviado por malvadofsa em 07/09/2008 - 12:37h

cara eu fiz exatamente como vc postou e esta rodando perfeitamente se não fosse por um detalhe, a memoria do meu mikrotik tah
baixando por qual motivo não sei se poder me ajudar! e tenho uma duvida os arkivos q já foram baixados era pra baixar bem mais rapido ou na velocidade q eu determino para os clientes e se eu desligar o modem eu navego pelo os arkivos q tem no cash?

[98] Comentário enviado por Andre_A_Ferreira em 08/09/2008 - 09:09h

Olá malvadofsa,

Bem a memoria do mikrotik vai baixar mesmo com o uso do proxy, isso é normal, claro que não a ponto de travar.
Não, como não se trata de cache full, os arquivos serão baixados na velocidade que o seu cliente contratou, porém com uma sensação de agilidade maior, e sem usar o link no caso do arquivo já estar no proxy, e não, porque o squid confere o arquivo de vez em quando para ver se continua sendo o original e disponibiliza o mais recente caso o arquivo do proxy seja antigo.

sds
André.


[99] Comentário enviado por gzanatta00 em 01/10/2008 - 11:01h

para quem aparece gateway timeout vai no servidor cache e digita squid -z

outra coisa, nao estou vendo vantagem alguma nessa cache

tipo a cache de memoria funciona, pq as paginas ficam mais rapidas
mas a cache de arquivos q é no hd tenho certeza q nao ta funcionando
me hd esta sempre na mesma quantidade de mb e se eu fizer um download aqui no meu pc de um programa por exemplo e ir em outro pc esse arquivoi esta sendo dsescarregado denovo do link

pro pessoal q ta acompanhando ai, viram diferença?

não mudei nada das regras, somente adaptei a minha rede

[100] Comentário enviado por Andre_A_Ferreira em 01/10/2008 - 11:33h

Olá gzanatta00,

Com certeza ou voce pode ter algo de errado, pois o cache melhora sim e economiza link, revise a configuração que provavelmente voce tem algo errado.

sds
André.

[101] Comentário enviado por gzanatta00 em 04/10/2008 - 09:11h

ta aqui a minha configuracao

http_port 5128
visible_hostname webproxy

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70 #protocolo gopher antigao
acl Safe_ports port 210 #whais
acl Safe_ports port 1024-65535 #todas as outras portas
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multi http
acl Safe_ports port 901 #acesso Swat
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_PORTS

#permissão de acesso ao proxy, troque 0.0.0.0/0 pela sua
#classe de rede ou classes separadas por espaços.
acl redelocal src 0.0.0.0/0
http_access allow localhost
http_access allow redelocal

#bloquear todos outros acessos.
#http_access deny all

#memoria reservada para o cache, coloque um valor de preferencia 40%
# do total da sua maquina, e não mais.
cache_mem 512 MB

#máximo tamanho dos arquivo cache na memoria
maximum_object_size_in_memory 128 KB

#máximo tamanho dos arquivo cache no hd
maximum_object_size 20 MB
minimum_object_size 0 KB

#regra que começa a esvaziar / substituir arquivos no cache em 90%
cache_swap_low 90
cache_swap_high 95

#indicação de localização da pasta de arquivos cache e em sequência valor
#total em MB de espaço no hd a ser usado pelo cache, numero de pastas, e
#numero de subpastas do cache.
cache_dir ufs /var/spool/squid 24048 256 512

#intervalos de tempos que o proxy verificara os arquivos dos site acessado
#conferem com o do cache, o valor 4560 significa 04 dias
refresh_pattern ^ftp: 15 20% 4560
refresh_pattern ^gopher: 15 0% 4560
refresh_pattern . 15 20% 4560





no mikrotik setei a as variaveis bem do jeitinho q ta o manual

[102] Comentário enviado por Andre_A_Ferreira em 04/10/2008 - 13:39h

Olá gzanatta00,

Vamos as suas dúvidas pelo começo, pelo que percebi, no comentario anterior:

"tipo a cache de memoria funciona, pq as paginas ficam mais rapidas
mas a cache de arquivos q é no hd tenho certeza q nao ta funcionando
me hd esta sempre na mesma quantidade de mb e se eu fizer um download aqui no meu pc de um programa por exemplo e ir em outro pc esse arquivoi esta sendo dsescarregado denovo do link"

O cache esta funcionando, isso já é bom, mas quando voce faz um download qualquer o link é utilizado sempre, veja algumas considerações importantes no arquivo de configuração:


Localize no seu squid.conf as seguintes linhas e observe os comentarios que adicionei.


#memoria reservada para o cache, coloque um valor de preferencia 40%
# do total da sua maquina, e não mais.
#ADICIONAL= somente memoria ram.
cache_mem 512 MB

#máximo tamanho dos arquivo cache na memoria
#ADICIONAL=Tamanho somente usado na memoria ram.
maximum_object_size_in_memory 128 KB

#máximo tamanho dos arquivo cache no hd
#ADICIONAL= Aqui temos uma variavel importante que pode estar causando essa
#percepção equivocada de que o cache não esta funcionando, veja, o
#"minimum_object_size 0 KB" precisa ficar assim, mas o "maximum_object_size 20 MB"
# pode ser alterado, sendo que, ele representa o tamanho máximo do objeto a ser
#"guardado" no download de seus clientes e depois fornecido através do cache, porém,
#tome cuidado ao setar tamanhos muito grandes, pois a regra é: Quanto maior esse
# número, mais lento seu proxy fica, quanto menor, mais rápido ele fica.
maximum_object_size 20 MB
minimum_object_size 0 KB

Portanto, se o download que voce esta fazendo, não estiver sendo guardado pelo cache para futuras requisições, provavelmente esse é o problema, mais, voce também pode estar fazendo algum download de páginas que o proxy, por natureza não atuará por padrão.

Grande abraço.

sds
André.

[103] Comentário enviado por luiz.henrique em 08/10/2008 - 08:29h

po cara gostei deste tutorial vai dar certinho na minha empresa. Eu queria tirar uma duvida, no servidor Debian So vai ter uma plca de rede ou duas? Pelo que eu percebi vc esta utilizando somente uma.

e outra coisa a minha classe IP é 192.168.1.0 eu possuo dois IP que não pode pasar pelo proy, tem que ter acesso direto com a net. tem como criar uma nat no MK para isso

[104] Comentário enviado por gzanatta00 em 08/10/2008 - 17:39h

ola amigo Andre_A_Ferreira

entao as minhas configuracoes estao certas??

pq aqui nao adiantou, nao ta armazenando arquivos nenhum, hj mesmo instalei um mikrotik 2.9.27 na maquina e deixa da mesma forma, so nas configuracoes do mikrotik e ali sim fez a cache com 5 horas tava jah com uns 800mb e fiz os testes bem certinhos e a cache atras do mikrotik funcionou

qq eu faco?? jah refiz todo o servidor e nada

[105] Comentário enviado por Andre_A_Ferreira em 09/10/2008 - 21:32h

Olá gzanatta00,

Com toda certeza voce fez algo de errado, resta voce conferir o que foi, passo a passo, mas não espere nesse artigo nenhuma mágica, cabe voce procurar entender o que foi feito, mais informações sobre proxy em outros tantos lugares que tem precisosas informações.
Como voce mesmo disse, não esta longe, voce conseguiu com a versão pirata, então revise direitinho e tire aqui as duvidas que quiser, conte comigo se precisar, mas faça sua parte.

Abraços.
sds
André.



[106] Comentário enviado por Andre_A_Ferreira em 09/10/2008 - 21:37h

Olá luiz.henrique,

O Debian realmente usa somente uma placa de rede, e sim, é possivel fazer, olhe aqui a uma dica que publiquei para passar clientes fora do proxy:
http://www.vivaolinux.com.br/dica/Adicionando-excecoes-ao-proxy-Mikrotik-V3.XX/

sds
André

[107] Comentário enviado por megalink em 14/10/2008 - 14:54h

Ola Andre... como vai... eu estive fazendo o seu proxu paralelo ao mk.. e estou com o seguinte problema...
No nat onde coloco o ip valido do meu servidor para fazer o redireconamento para o proxy... se deixo ele marcado com (!) ele não deixa acessar paginas http... ou seja... msn, email... etc funciona normal... mas as paginas web não acessa nenhuma... o que podera ser... vc tem alguma dica...

[108] Comentário enviado por jocelmo em 15/10/2008 - 21:42h

Caro amigo Andre pessoa a sua ajuda ou de qualquer outro do fórum que possa. Seguinte: baixei o debian criei o cd e o instalei deixei ele baixar o sistema básico pela internet após usei os comando de vc fala apt-get update e apt-get install squid tudo certo reiniciei a máquina entrei com a senha de root quando digito etc/squid/squid.conf me dá a resposta que o arquivo ou diretorio não foi encontrado. Sinceramente não consegui decifrar claro q sou leigo em linux se alguém puder me ajudar fico grato.

ATT Luiz Jocelmo

[109] Comentário enviado por ricardofjayme em 22/10/2008 - 15:58h

Caro Luiz,
Tinha acontecido issocomigo, qnd baixei apenas a versão em CD. Aí baixei a do DVD (mais completa) e não tive mais problemas. Vc tentou baixar o DVD?

[110] Comentário enviado por luiz.henrique em 23/10/2008 - 16:49h

Fiz tudo que vc postou no topico mas quando vou navegar pelo debian ele não navega fica sem net

[111] Comentário enviado por interconections em 06/11/2008 - 23:26h

Ola amigo uso praticamente oq vc colocou ai em seu artigo mudo apenas algumas regras no squid,
so q estou tendo problemas com a versào 3.13 do mikrotik fica parando o proxy, vou em web proxy
tiro ele e abiloto o proxy externo d volta ele volta a funcionar...!!!oq poderia ser??? q versão vcs
estaum usando???temteni usar as mais novas parou o problema mas dai n funciona o controle de banda!!!
oq fazeer...???

[112] Comentário enviado por and_pl em 10/11/2008 - 12:33h

Amigo, como fica o relatorio de acesso dessa forma?
o access.log do squid fica com ip dos usuarios ou com o ip de mk?

obrigado!

[113] Comentário enviado por and_pl em 10/11/2008 - 12:36h

Da para colocar Squid em paralelo nas versoes 2.9.x?

tks!

[114] Comentário enviado por Andre_A_Ferreira em 12/11/2008 - 07:23h

Olá megalink,

Sim, use a versão 3.XX que resolve.

sds
André

[115] Comentário enviado por Andre_A_Ferreira em 12/11/2008 - 07:28h

Olá jocelmo,

Seu squid provavelmente não foi instalado ou apresentou algum erro na hora de instalar.
Eu costumo instalar o MCEDIT (apt-get install mc) dai uso o comando: mcedit /etc/squid/squid.conf ,
porem se nao consegue acessar este arquivo é por que não conseguiu instalar o squid.

sds
André

[116] Comentário enviado por Andre_A_Ferreira em 12/11/2008 - 07:30h

Olá luiz.henrique,

Se seu debian esta corretamente instalado e sem net, verifique a regra de NAT no mikrotik que fornece internet ao debian.

sds
André.

[117] Comentário enviado por Andre_A_Ferreira em 12/11/2008 - 07:32h

Olá interconections,

Tente usar exatamente como descrito no artigo que voce conseguirá, após isso, vá fazendo as suas mudanças ao poucos, voce achará o problema, uso a versão 3.13 sem problemas.

sds
André.

[118] Comentário enviado por Andre_A_Ferreira em 12/11/2008 - 07:37h

Olá and_pl,

O relatorio de acesso do squid pode ser até desativado, isso porque ele só registra os ips do mikrotik, mas voce consegue os logs bem detalhados a partir do mikrotik, instale em uma maquina windows um programa de armazenamento de log (kiwi sys log) e depois no mikrotik em SYSTEM > LOGGING configure o ip dessa maquina windows para receber os logs, dai sim voce tera os ips dos clientes cadastrados em cada respectiva ação.

sds
André.

[119] Comentário enviado por Andre_A_Ferreira em 12/11/2008 - 07:38h

olá and_pl,

Dá sim.

sds
André.

[120] Comentário enviado por interconections em 13/11/2008 - 12:56h

Ola amigo....!!!Muito bom esse seu artig!!!! usei ele 4 meses sem m encomodar com servidor, entaum
resolvi trocar as maquinas q tenho...refiz meu mk com a 3.11 pq a 3.13 so travava e dava erro
em load balance refiz ena 3.11 achei mais estavel...!!!!Qnd coloquei o squid do mk pra rodar na abre mail
do hotmail to ficando quase loco aq...!!!! ja teve esse problema??? como faço pra arrumar isso????


Obrigado...!!!!!

[121] Comentário enviado por Andre_A_Ferreira em 13/11/2008 - 13:34h

Olá interconections,

De uma olhada em seu firewall, pode ser ele.


sds
André.

[122] Comentário enviado por megalink em 13/11/2008 - 16:42h

Ola Andre... como vai... amigo... tenho o seguinte cenario aqui... eu fiz o proxy paralelo seu aqui na empresa e funciona 100% é uma maravilha... agora eu tenho uma duvida...

Eu tenho 2 ADSL aqui... ligados num servidor fazendo um balanceamento...

adsl1- 200.200.10.1
adsl2- 200.200.20.1

no nat eu to fazendo o redirecionamento para o proxy somente do adsl1 e pelo que tenho monitorado o squid recebe somente o trafego desta adsl para fazer o proxy...

existe alguma forma de eu jogar o adsl2 pra dentro do squid tambem...

lembrando que eu tenho apenas 1 saida para clientes... 172.100.50.0/24

se vc tiver um tempo pra me dar uma força ou uma dica sobre essa configuração eu agradeço...

obrigado

Andre Miranda

[123] Comentário enviado por interconections em 14/11/2008 - 20:58h

Ola amigo resolvi o problema do hotmail desabilitando na nat o ponto de exclamção no endereço de ip externo funcionou norma??oq seguinifica esse ponto marcado... faz alguma diferen~ca ele marcado ou naum ele marcado?Tem como fazer cache full usando essa regra...???

[124] Comentário enviado por kadupe27 em 25/11/2008 - 12:56h

Andre muito bom seu artigo aqui está rodando certinho com a faixa de ip que eu designei para a rede, porém meu controle de
clientes é feito pelo PPPOE e quando eu faço a discagem do cliente ele não passa pela placa de rede no caso ether1 ele faz uma
discagem ppoe e o cache squid não roda, navega mais não faz cache por que eu olho no access.log do slackware, agora quando eu
coloco na opção da regra de redirecionamento do firewall em IN INTERFACE ppoe-cliente1 ai blaz fica fazendo cache, porém quando
disconecto o cliente a linha fica vermelha de inativa.


1- tem como fazer esse seu esquema funcionar com PPOe fazendo controle de cliente?

Observei que quando vc usa ppoe como controle de clientes vc não consegue que os clientes passem pelo proxy ?


OBRIGADO PELA ATENÇÃO.

[125] Comentário enviado por nardeljipa em 06/12/2008 - 02:27h

olá amigo estou a 3 dias tentando instalar esse proxy paralelo mas n ao funciona, tenho mikrotik 3.10 em uma rb433 licençiado e tudo mais level 4... quando colocao a porra do (!) no ip do servidor para a navegaçao web ficando funcionando msn, skype e alguns outros programas, e ai o debian fica recebendo dados.... quando tiro esse (!) a navegaçao funciona mas o debian nao trafega nada nele... ja estou pra ficar doido... ja reinstalei debian estou com a nova agora 4.05 e nada... fica da mesma forma... me ajudem pois preciso muito desse cache paralelo pois na rb nao tem como fazer proxy... só tenho uma rede para clientes nela 192.168.1.0/24 gatway 192.168.1.1 para o debian coloquei outra rede com ips 30.30.30.0/24 o debian está com 30.30.30.11 navegando baixando updates e tudo mais.... me ajudem meu link de 512 está no talo a galera ta reclamando de lentidao... nao queria aumentar agora queria dar uma aliviada nele....

desde ja muito obrigado....


[126] Comentário enviado por nardeljipa em 09/12/2008 - 17:57h

galera por favor me ajudem alguem pode me passar como configurar na V3.10 estou precisando muito...

meu msn nardel_jpa@hotmail.com



[127] Comentário enviado por Andre_A_Ferreira em 09/12/2008 - 19:35h

Olá nardeljipa,

Rapaz, nunca testei em uma RB, com certeza existem diferenças, meu conselho a voce é realizar os procedimentos já descritos no artigo usando um servidor no lugar da RB433, até por motivos de capacidade, uma vez que esses procedimentos aplicados consomem bastante recursos de processamento, o que não existe de sobra em um RB.
Bom, o proxy também não pode ser sua única solução para falta de banda, com certeza ele vai melhorar um pouquinho, mas não vai fazer mágica, o correto no caso do artigo é algo em torno de 8% na pior hipotese e 20% de melhoria na melhor hipotese, claro que depende de muitos fatores, ou seja, cada caso é um caso.
Quanto a versão, use a 3.13, se for problema na versão será resolvido, mas existe uma grande propabilidade de ser por causa da RB.

Se tiver sucesso, posta ai para galera saber como voce fez.

Abraços.

sds
André.

[128] Comentário enviado por d3funt0 em 19/12/2008 - 00:59h

muito bom esse seu artigo mas fica muito estranho para quem estar começando no mundo do linux.
Fica aqui minha gratidão por todos que estão e farão parte do linux.

^^

fui...

[129] Comentário enviado por Andre_A_Ferreira em 19/12/2008 - 10:26h

Olá d3funt0,

Obrigado pelo comentário.

sds
André

[130] Comentário enviado por d3funt0 em 20/12/2008 - 01:13h

Amigo. como ja disse sou totalmente leigo quando se trata de Linux, ainda mais no modo texto.
aew vai a minha iguinorancia. como faz para saber se os comando foram bem inseridos e eu queria tanto fazer o web proxy para a lan onde trabalho e mais uma vez, desculpa pelo incomodo.

^^


fui...

[131] Comentário enviado por Andre_A_Ferreira em 18/01/2009 - 13:00h

Olá d3funt0,

Primeiro desculpe a demora em responder.
Na verdade o melhor teste é a técnica de tentativa e erro voltando-se sempre aos principios do artigo, um por vez.
Espero ter ajudado,

abraços.

sds
André;

[132] Comentário enviado por brn.souza em 01/02/2009 - 19:39h

Maravilhoso artigo André, Parabéns pela boa vontade de contribuir.
Te pergunto, Neste cenário, é possível fazer com que o mikrotik não mascare o ip do cliente (se tratando de um ip válido) ?
Abração e sucesso.

[133] Comentário enviado por Andre_A_Ferreira em 02/02/2009 - 13:05h

Olá brn.souza,

Obrigado.

Sim é possilvel, somente elimine o regra de NAT, e na regra que envia a classe de rede para os ips do NAT, coloque a(s) classe(s) de ips válidos.

Abraços.

sds
André.

[134] Comentário enviado por d3funt0 em 07/02/2009 - 18:57h

Amigo André.

Este seu tutorial fuciona na versão 2.9.27.
Esta tudo fucionando para controle na Lan House e queria fazer esse seu aew para melhorar um pouco mais a navegação de meus clientes.

Obrigado de novo e até mais.

[135] Comentário enviado por Andre_A_Ferreira em 08/02/2009 - 22:33h

Olá d3funt0,

Sim normal, a tela de opções do web-proxy muda um pouquinho mas são as mesmas informações.

Abraços.
sds
André A. Ferreira.

[136] Comentário enviado por lelyrock em 10/02/2009 - 19:42h

pessoal, implantei aqui e ta show de bola!
mas to com uma duvida aqui, a memoria ram do meu mikrotik ta aumentando progressivamente como se o cache estivesse sendo feito nele, e no final da tarde a ram do mkt ja ta qse toda cheia, chegou a 161mb dos meus 256mb do sistema, e apos desligar o debian, a memoria voltou ao normal (19mb), mesmo valor q era antes da instalaçao do proxy.
observando as interfaces e aceess.log vejo q o squid no debian esta funcionando normalmente, inclusive passou 650mb pelo debian, mas sera q esta fazendo cache nos dois sistemas? mkt fazendo cache do debiam????
uso o mk 2.9.27 e la no webproxy tem uma opçao q nao tem ai no tutorial, q o "maximum object size" q por padrao tava 4096KiB e nao alterei, sera q ta fazendo cache tanto no MK qto no debian???? o "parente proxy" ta marcado para o 192.168.10.2

[137] Comentário enviado por agnaldo52 em 11/02/2009 - 17:11h

veja se a opção transparent proxy está marcada, se estiver então desmarque

[138] Comentário enviado por lelyrock em 11/02/2009 - 20:22h

mas ai o proxy nao funciona....
ou melhor, ai teria q especificar nas maquinas clientes o endereço do proxy ne? e o proxy deixa de ser transparent, oq nao é a minha intensao..... tem outro jeito de resolver isso?

[139] Comentário enviado por baianonegrao em 03/03/2009 - 09:59h

Olá André,

Estou com uma pequena dúvida, como você é um cara que manja das configurações deve manjar de desempenho também. Vamos lá...
Tenho um athlon 2400+ @2000MHz + Memo 1280MB + HD 80GB Ja com o ubuntu server + squid do artigo rodando...e tenho um Pentium-3 850MHz + Memo 256MB + HD 10GB com Mikrotik. Quantos clientes posso pongar nesse servidor mk sendo server PPPoE?? Posteriormente caso eu queira fazer um cache full "Squid Linux + Mikrotik" o meu servidor proxy suportaria quantos clientes em conjunto com o mk??
Eu gostaria apenas de ter uma base para o que quero fazer...


Sds,
Baiano Negrão

[140] Comentário enviado por maumauns em 03/03/2009 - 13:13h

Olá André, Boa Tarde

Estou com uma pequena duvida aqui, trabalho na prefeitura da cidade e mês que vem terei de ter controle em cima de + ou - 200 maquinas, tenho um servidor Fedora Core com proxy configurado com autenticação e controle de usuario simples. Gostaria de saber se eu utilizando esse tutorial vai ocasionar algum problema no meu proxy e a autenticação eu terei de retira-la? Seria mais interessante eu criar um Hotspot para poder controlar cada usuario no MK? Obrigado.

[141] Comentário enviado por Alexnadre.A em 07/07/2009 - 17:46h

Muito Bom Post!!

Porem estou um um problema, intalei o squid, configurei e tudo mais, segui fielmente seu Toturial... O squid starta, o mikrotik tem ligação com o proxy, porem os dados (paginas,downloads, etc, etc) Não são armazenados no proxy.

Disculpe Não Se Mais Especifico Sou Meio Newbie No Assunto =)

Obrigado

[142] Comentário enviado por galo10 em 27/07/2009 - 02:34h

pessoal como faso para desativar o proxy do meu mikrotik .pois eu tou montando um pc ap
com o mikrotik pois um trabalhar em bride e o para gerenciar e ter o proxy e cache full !!!
alguem pode me ajudar

[143] Comentário enviado por Andre_A_Ferreira em 03/08/2009 - 22:03h

Olá baianonegrao,

Rapaz, dificil de calcular, faltaram alguns numeros importantes que voce não forneceu, tipo, a conexao vai ser PPPoE, mas cada cliente terá quanto de velocidade em média?

sds
André A. Ferreira


[144] Comentário enviado por Andre_A_Ferreira em 03/08/2009 - 22:06h

Olá maumauns,

Neste caso sua maquina que faz o proxy teria contato somente com o servidor mikrotik, inclusive log etc...teria que ser retirado do mikrotik.
Seria ideal dependendo de sua rede optar por portal captive (hotspot) ou PPPoE.

sds

André A. Ferreira.


[145] Comentário enviado por Andre_A_Ferreira em 03/08/2009 - 22:09h

Olá Alexnadre.A,

Bom, se seguiu fielmente o artigo não tem porque não funcionar, com certeza deve haver algo de errado.
Comece tentando usar o proxy manualmente para teste, analizando o log (syslog) ...


Posta para gente os resultados para podermos ajudar mais.

sds
André A. Ferreira



[146] Comentário enviado por Andre_A_Ferreira em 03/08/2009 - 22:19h

Olá galo10,

Não entendi, voce vai montar um bridge ou vai colocar o servidor para fazer cache-full?

Para desativar o proxy no mikrotik desative a regra dentro do IP>FIREWALL>NAT que se direciona o tráfego da porta 80 para o proxy. (mais detalhes na pagina 04 do artigo)

sds
André A. Ferreira.

[147] Comentário enviado por megalink em 21/09/2009 - 20:37h

OLA ANDRÉ... TUDO BEM... ESTOU COM A SEGUINTE DUVIDA... SERIA POSSIVEL USAR O CACHE DO SQUID PARA 2 MIKROTIK ASSIM:


SQUID (ligado em uma switich)

MIKROTIK 1 E MIKROTIK 2 (ligado na mesma switch


Assim ambos buscam o cache do mesmo squid

EU TENTEI FAZER AQUI BASEADO NO SEU TUTORIAL SÓ MUDANDO O ENDEREÇO IP DA PORTA DO SQUID DO MIKROTIK MAS SOMENTE UM MIKROTIK CONSEGUE BUSCAR O CACHE DO SQUID E O OUTRO NÃO...

VC TEM ALGUMA IDEIA PRA COLABORAR...

aBRAÇOS


[148] Comentário enviado por superxandaoce em 12/10/2009 - 09:12h

Amigo, primeiramente venho agradecer, já tinha seguido outros post´s mais não tinha conseguido. Somente pelo seu deu certo fazer o proxy paralelo com o squid + Mikrotik.

Tenho umas dúvidas, sei que existem mais valores do squid.conf que podem tunar o squid, que não foram usadas ou postadas aqui para não complicar, pois a intensão aqui seria instalação básica, mais vc tem esses exemplos mais complexos em outros post´s seus ?

tipo esse aqui em baixo, só que eu não sei o que funciona ou não se vc poder nos ajudar:

# squid.conf
#-----------------------------------------------
http_port 172.167.0.1:3128 transparent
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_mem 128 MB
cache_swap_low 75
cache_swap_high 78
maximum_object_size 150 MB
minimum_object_size 0 KB
maximum_object_size_in_memory 1024 KB

cache_replacement_policy heap LFUDA
#cache_replacement_policy heap LRU
memory_replacement_policy heap GDSF
cache_dir aufs /var/spool/squid 6000 64 128

cache_access_log /var/log/squid/access.log
cache_store_log none
cache_log /var/log/squid/cache.log


auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

# CACHE DE PAGINAS
refresh_pattern -i \.(html|htm|shtml|php|php3|xml|jsp|is|jhtm)$ 0 70% 4320

# CACHE DE FOTOS
refresh_pattern -i \.(bmp|gif|jpeg|jpg|png|tif|tiff|ico|swf)$ 0 90% 21600 reload-into-ims

# CACHE DE EXECUTAVEIS
refresh_pattern -i \.(exe|gz|tar|tgz|zip|arj|ace|bin|cab|msi)$ 0 90% 14400

# CACHE ANTI VIRUS
refresh_pattern -i http.*(\.kaspersky-labs\.com|\.geo\.kaspersky\.com).*\.avc 0 100% 43200 reload-into-ims
refresh_pattern -i eset.com/.*\.(rar|nup|ver) 0 100% 43200 reload-into-ims
refresh_pattern -i symantecliveupdate.com/.* 0 100% 43200 reload-into-ims
refresh_pattern -i http.*(\.avg\.com|\.grisoft\.com|\.grisoft\.cz).*(\.bin|\.exe) 0 100% 43200 reload-into-ims
refresh_pattern -i http.*(\.avgate\.com|\.avgate\.net|\.freeav\.net|\.freeav\.com).*(\.dll\.gz|\.vdf\.gz) 0 100% 43200 reload-into-ims
refresh_pattern -i http.*\.avast\.com.*(\.def|\.vpu|\.vpaa|\.stamp) 0 100% 43200 reload-into-ims

# CACHE DE SITES
refresh_pattern -i http.*\.blogspot.com/.* 720 100% 10080 reload-into-ims
refresh_pattern -i http.*\.wordpress.com/.* 720 100% 10080 reload-into-ims
refresh_pattern -i http.*\.yahoo.*/.* 720 100% 7200 reload-into-ims
refresh_pattern -i http.*\.globo.com/.* 720 100% 7200 reload-into-ims
refresh_pattern -i http.*\.terra.com.br/.* 720 100% 7200 reload-into-ims
refresh_pattern -i http.*\.google.*/.* 720 100% 10080 reload-into-ims
refresh_pattern -i http.*\.msn.*/.* 720 100% 10080 reload-into-ims
refresh_pattern -i http.*\.yimg.*/.* 720 100% 4320 reload-into-ims
refresh_pattern -i http.*\.doubleclick.*/.* 720 100% 4320 reload-into-ims
refresh_pattern -i http.*\.google-analytics.*/.* 720 100% 4320 reload-into-ims
refresh_pattern -i http.*\.myspace.com/.* 720 100% 4320 reload-into-ims
refresh_pattern -i http.*\.photobucket.com/.* 180 100% 4320 reload-into-ims
refresh_pattern -i http.*\.imageshack.us/.* 180 100% 4320 reload-into-ims
refresh_pattern -i http.*\.geocities.com/.* 180 100% 4320 reload-into-ims
refresh_pattern -i http.*\.facebook.com/.* 180 100% 4320 reload-into-ims
refresh_pattern -i http.*\.googlesyndication.*/.* 720 100% 4320 reload-into-ims
refresh_pattern -i http.*\.olhardireto.com.br/.* 720 100% 10080 reload-into-ims
refresh_pattern -i http.*\.mercadolivre.com.br/.* 720 100% 10080 reload-into-ims

# CACHE DE ALGUMS VIDEOS / DOWNLOADS
refresh_pattern -i http.*\.4shared\.com.*(\.exe|\.iso|\.torrent|\.zip|\.rar|\.pdf|\.doc|\.tar|\.mp3|\.mp4|\.avi|\.wmv) 0 100% 20160 reload-into-ims
refresh_pattern -i http.*\.dailymotion\.com.*(\.flv|\.on2) 0 100% 20160 reload-into-ims
refresh_pattern -i http.*flashvideo\.globo\.com.*(\.mp4|\.flv) 0 100% 20160 reload-into-ims
refresh_pattern -i http.*\.googlevideo\.com.*videoplayback 0 100% 20160 reload-into-ims
refresh_pattern -i http.*\.megavideo\.com.*\.flv 0 100% 20160 reload-into-ims
refresh_pattern -i http.*\.metacafe\.com.*\.flv 0 100% 20160 reload-into-ims
refresh_pattern -i http.*\.pornhub\.com.*\.flv 0 100% 20160 reload-into-ims
refresh_pattern -i http.*\.pornotube\.com.*\.flv 0 100% 20160 reload-into-ims
refresh_pattern -i http.*\.redtube\.com\/_videos.*flv 0 100% 20160 reload-into-ims
refresh_pattern -i http.*media[a-z0-9]{2}\.tube8\.com.*.*\.flv 0 100% 20160 reload-into-ims
refresh_pattern -i http.*\storage\.mais\.uol\.com\.br.*\.flv 0 100% 20160 reload-into-ims
refresh_pattern -i http.*\.viddler\.com.*\.flv 0 100% 20160 reload-into-ims
refresh_pattern -i http.*\.video\.msn\.com.*\.flv 0 100% 20160 reload-into-ims
refresh_pattern -i http.*\.vimeo\.com.*\.flv 0 100% 20160 reload-into-ims
refresh_pattern -i http.*\.xtube\.com.*\.flv 0 100% 20160 reload-into-ims
refresh_pattern -i http.*\.xvideos\.com.*\.flv 0 100% 20160 reload-into-ims
refresh_pattern -i http.*\.youtube\.com.*videoplayback 0 100% 20160 reload-into-ims
refresh_pattern -i http.*\.ziddu\.com.*(\.exe|\.iso|\.torrent|\.zip|\.rar|\.pdf|\.doc|\.tar|\.mp3|\.mp4|\.avi|\.wmv) 0 100% 20160 reload-into-ims
refresh_pattern -i http.*\.terra\.com.*\.flv 0 100% 20160 reload-into-ims

# CACHE FOTOS ORKUT
refresh_pattern -i http.*\.images.orkut.com/.* 0 100% 43200 reload-into-ims
refresh_pattern -i http.*\.static1.orkut.com/.* 0 100% 43200 reload-into-ims
refresh_pattern -i http.*\.static2.orkut.com/.* 0 100% 43200 reload-into-ims
refresh_pattern -i http.*\.static3.orkut.com/.* 0 100% 43200 reload-into-ims
refresh_pattern -i http.*\.static4.orkut.com/.* 0 100% 43200 reload-into-ims
refresh_pattern -i http.*\.img1.orkut.com/.* 0 100% 43200 reload-into-ims
refresh_pattern -i http.*\.img2.orkut.com/.* 0 100% 43200 reload-into-ims
refresh_pattern -i http.*\.img3.orkut.com/.* 0 100% 43200 reload-into-ims
refresh_pattern -i http.*\.img4.orkut.com/.* 0 100% 43200 reload-into-ims

# CACHE WINDOWS UPDATE
refresh_pattern -i http.*\.office\.microsoft\.com/ 0 100% 20160 reload-into-ims
refresh_pattern -i http.*\.w?xpsp[0-9]\.microsoft\.com/ 0 100% 20160 reload-into-ims
refresh_pattern -i http.*\.w2ksp[0-9]\.microsoft\.com/ 0 100% 20160 reload-into-ims
refresh_pattern -i http.*\.windowsupdate.com/.*\.(cab|exe|dll|msi) 0 100% 43200 reload-into-ims
refresh_pattern -i http.*\.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern -i http.*\.download\.macromedia\.com/ 0 100% 20160 reload-into-ims

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 20% 2280
refresh_pattern (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

quick_abort_min -1 KB
quick_abort_max 0 KB
quick_abort_pct 100%

negative_ttl 2 minute
positive_dns_ttl 5 minute
half_closed_clients off
read_timeout 60 second
pconn_timeout 120 second

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSl_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

acl rede src 172.167.0.0/255.255.0.0
http_access allow localhost
http_access allow rede
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access deny all

visible_hostname vg.lgm.farolbr.com
forwarded_for off
error_directory /usr/share/squid/errors/Portuguese
strip_query_terms off
ie_refresh on
detect_broken_pconn on
pipeline_prefetch on


[149] Comentário enviado por Andre_A_Ferreira em 12/10/2009 - 09:57h

Olá megalink,

Não tem problemas, funciona sim com 2 mk's, porém, se você seguiu o tutorial, a classe /30 só aceita 2 ips para comunicação entre proxy e mk, então tente usar uma /29 por exemplo que permitirá comunicação com mais de duas máquinas, deve funcionar.Apenas tome cuidado com as dimensões pretendidas, por exemplo a switch neste caso precisa ser uma de qualidade, e o número de clientes atendidos pelos 2 mk's não deve ultrapassar os limites de hardware que você possui, ou terá problemas.



Abraços.

André A. Ferreira

[150] Comentário enviado por Andre_A_Ferreira em 12/10/2009 - 10:01h

Olá superxandaoce ,

Obrigado.
Com relação ao script, realmente qualquer um funcionaria, mas existem tutoriais aqui mesmo no VOL, que são muito específicos e com certeza até melhores explicados do que eu poderia te passar,lembrer-se que este squid.conf não tem intenção de funcionar como um gatway bloqueando este ou aquele site, com regras e mais regras para uma infinidade de funções, neste modelo, isso é trabalho para o mikrotik, então dê uma olhada, vai conseguir um bom, notei que quer fazer cache de vídeos no seu squid.conf, aconselho nesse caso a usar o thundercache.

Grande abraço.

André A. Ferreira;

[151] Comentário enviado por superxandaoce em 13/10/2009 - 08:54h

Agradeço a atenção,

Deixa eu te explicar melhor, na verdade esse squid.conf que postei eu não utilizo, apenas o encontrei tentando adaptar esse seu para minha configuração de Hardware, quad core com 4Gb de Ram e um HD de 500GB, assim como vc não uso o squid para bloquear paginas ou realizar controles mais complexos, uso o mikrotik, o que eu estou querendo é uma config que trabalhe melhor no meu hardware, para que nao fique HD sem ser usado ou memória sem uso.

Tem como me passar alguma coisa que se enquadre melhor no meu hardware ?

[152] Comentário enviado por superxandaoce em 13/10/2009 - 09:03h

Se poder me ajudar tbm, estou usando o squid 2.7 queria marcar o TOS e depois fazer a regra no mikrotik para cache-full, vc pode me ajudar com isso ?

Já estou explorando vc né ? rsrsrsrs

Obrigado

[153] Comentário enviado por expansão net em 10/11/2009 - 11:41h

Opa bom dia a todos sou novo no forum e gostaria de saber se esse proxy, é só pra paginas ou tem como ficar armagenado todo o conteudo, tipo videos, downloads, atualizações do windows, tudo em geral, agradeço desde já.

[154] Comentário enviado por robneto.stz em 30/11/2009 - 12:34h

Olá André boa tarde!
Parabens pelo artigo!
Funciona perfeitamente!

André segui todos os passos que foi passado nesse artigo e consegui fazer funcionar usando Mikrotik com proxy paralelo CentOS.

Funcionou até eu precisar colocar uma outra internet no meu servidor e fazer LoadBalance no Mikrotik.

Não consigo identificar o problema.
Tenho uma internet speedy com ip válido e outra internet NetVirtua ip Dinamico.
Meu servidor mikrotik está com 4 placas de rede.
1º-Speedy, 2º-NetVirtua, 3º-ProxyParalelo, 4º-RedeLocal
Porém não funciona mais meu proxy. Oque eu posso estar fazendo de errado?
Sou iniciante em linux. É meu primeiro trabalho.

[155] Comentário enviado por alex.oliver em 15/04/2010 - 16:59h

Olá André, muito show seu artigo!

Eu tenho uma estrutura parecida na empresa onde trabalho, e gostaria de fazer um DNS dinâmico, ou seja, quando os clientes realizarem requisições a sites eles são redirecionados para o servidor proxy, onde este terá que armazenar o cache e mantê-lo(não pretendo excluir o cache do proxy apenas atualiza-lo) e se não houver como realizar a requisição do site pelo proxy ele redireciona para o link do provedor. A idéia é economia de trafego, pois o excende de consumo, custa uma boa quantia para a empresa.
Como eu poderia fazer esse tipo de redirecionamento, onde as requisições dos clientes buscarão o cache armazenado no proxy, batendo no ip válido?

Parabéns novamente pelo artigo!

Abraço


[156] Comentário enviado por norivalbarros em 27/06/2010 - 16:16h

andré, só tenho a agradecer pela boa vontade de nos ajudar com esse seu tutorial ensinando a configurar um proxy paralelo com MK,gostaria que tirasse-me uma duvida. Qual o comando que uso para copiar e colar a sua configuração no squid.conf do debian pois instalei o sistema básico como foi postado por vc e ainda sou iniciante no sistema debian, desde já agradeço pela ajuda.

[157] Comentário enviado por deefpardal em 28/06/2010 - 19:57h

olá pessoal,

to tdando uma estudada no debian pra web proxi e esse artigo me veio com uma luva! só tenho algumas dúvidas de início, como não manjo nada ainda...
no caso deu instalar 2 HDs como configuro pra que o segundo disco seja utilizado no web proxi?
e no caso de vídeos do youtube ele armazena tbm?
funciona bem em RAID?


[158] Comentário enviado por viniartes em 29/10/2010 - 20:15h

Boa noite André, parabéns pelo artigo gostaria de tirar uma duvida com vc tenho a mesma necessidade do Israelbm preciso ter os logs de todos ip´s que estiverem na rede, meu cenário tenho a rede local 192.168.0.0/24 e também a rede 192.168.10.0/30 preciso que o log de acesso dos ip´s 192.168.0.0/24 sejam emitidos não somente do ip 192.168.10.1 do mikrotik, será que se eu colocar o debian na rede 192.168.0.0/24 vou ter todos os acessos de todos ip´s. Grato pela atenção.

[159] Comentário enviado por geovaneroberto em 23/08/2011 - 20:43h

Boa noite!
Bacana o posto, queria tirar uma duvida, você sabe me dizer como eu consigo configurar uma dlink D520 com mikrotic?

Queria montar um servidor de MK usando um pentium 4, isso é possivel?

[160] Comentário enviado por norivalbarros em 04/09/2011 - 12:05h

segui todos os passos para montar o servidor debian para funcionar em paralelo com MK 3.22 o que aconteceu é que o servidor debian está funcionando perfeitamente com meu windows mais em paralelo com MK 3.22 não andré será que tá faltando alguma coisa para que seja feita para meu MK possa enxergar meu servidor debian além do que vc nos ensinou


[161] Comentário enviado por net4fun em 23/01/2012 - 03:12h

Ola Andre, segui passo a passo o seu artigo porem não tive exito no resultado final por isso gostaria de pedir a sua ajuda para identificar oque esta errado no meu servidor, Meu servidor Mikrotik esta esta rodando em uma maquina virtual por enquanto, pretendo comprar uma RB 750GL em breve, o Mikrotik esta configurado com 4 Placas de rede desta forma: ETH1 (Cache) IP 192.168.1.2/30, ETH2 (ISP1) IP 10.1.1.2/30, ETH3 (ISP2) IP 10.2.2.2/30, ETH4 (LAN) IP 10.0.0.111/24,
o mikrotik atualmente roda os seguintes serviços: Loadbalance PCC 2 Links 4MB PPPOE, Controle de Banda por Micro (Queue List) e Firewall, até ai tudo funcionando perfeitamente, mas está faltando o cache full, como uso loadbalance li a respeito que só é possivel fazer cache full utilizando proxy paralelo, por isso instalei o debian Squeeze e segui seu artigo para tentar completar os serviços de internet na minha rede, o debian esta configurado assim:
ETH0 (Mikrotik) IP 192.168.1.1 netmask: 255.255.255.252 (/30), ETH1 (REDE) IP 10.0.0.222 netmask 255.255.255.0(/24), esta rodando os serviços Samba ja configurado e funcionando, Servidor DNS tbm OK e Squid3 com a config sugerida no seu artigo e com as adaptações para a minha rede apenas alterei os IPs, bom acho que é isso, desde ja agradeço a ajuda de todos que puderem contribuir e compartilhar um pouco de conhecimento.

[162] Comentário enviado por euclidespaim em 08/03/2012 - 17:21h

Olá André muito bom o artigo

estou pensando em adotar essa solução pra fazer cache aqui no provedor, como tenho um Switch Cisco entre a MKT e meu link de internet surgiu a dúvida se haveria alguma maneira de ligar o Squid direto no switch e se a MKT iria fazer cache no squid com essa topologia.

MKT
|
|
CISCO----SQUID?
|
|
INTERNET
[]'s
até breve

[163] Comentário enviado por gelcimarF em 14/03/2012 - 09:16h

bom dia tem como vc fazer um tutorial de como integrar o mickrotik, com o squid no debian 6 para bloqueiar o facebook

[164] Comentário enviado por connectair em 03/04/2012 - 12:02h

td bem andre, o tutorial e muito bom e muito bem explicado, porem segui td direitinho, mas o debian nao esta repassando internet para o mk, a internet chega ao debian, pois consigo navegar com ele tranquilamente, no mk chega ate aparecer a pagina do hotspot, mas apos q loga a mensagem

ERROR: Gateway Timeout
While trying to retrieve the URL:http://www.google.com.br/:
connection refused
your cache administrator is wemaster

Generated sun, 03 apr 2011......ip da minha rede de clientes

o qpode esta errado.um grande abraco.

[165] Comentário enviado por connectair em 04/04/2012 - 09:39h

Fazendo por partes o artigo descobri que quando habilito web proxy setings, a internet não funciona para os clientes...onde agente coloca port..3128...parente proxy...192.168.10.2...parent proxy port 5128.... A net não retorna pros clientes...o que pode ser...um abraço.

[166] Comentário enviado por wilson silva em 20/05/2012 - 11:02h

opa!
primeiramente gostaria de dizer q é uma honra pra mim estar postando aqui... pois sou apenas um iniciante nesse mundo servevidores e linux!

gostei muito da dica, pois uso o mk eu uma pequena rede cabeada e faço web proxy cache full, mais tem hora q nada adianta...

estou até pensando em montar um server BrasilFW, o q vc acha? conheçe o sstema?

mais a pergunta é o seguinte: posso usar essa sua dica usando o ubunto server em paralelo com o mk?
as configurações basicamente serão as mesmas?

t+

[167] Comentário enviado por lanzondf em 09/07/2012 - 19:17h

Boas pessoal já ando ha semana de volta disto alguem me consegue ajudar nao consigo de maneira nenhuma comunicar com o debia que regras e que necessito preciso de fazer alguma coisa no debian para comunicar com o mk. Ja tentei de tudo e nao consigo pingar.

Abraço

[168] Comentário enviado por evertonterra em 23/01/2015 - 11:11h


Olá André, to com uma dúvida cruel aqui e vi que pela internet a fora tem muita gente com a mesma dúvida não consegui sanar o meu problema , por isso recorri ao fórum.
A estrutura do seu tutorial foi montada e funciona 100%, mais sem controle de banda no mikrotik, quando crio uma queue simple para qualquer ip da minha rede interna o mesmo é limitado tanto para o tráfego da internet quanto o tráfego do servidor squid, alguém percebeu isso?Alguém tem essa solução?
Desde já agradeço a quem se dispor a contribuir.

[169] Comentário enviado por removido em 03/02/2015 - 23:41h

Olá a todos , gente fez exatamente como esta no tutorial mais acontece o seguinte estou conseguindo navegar mais nao estou conseguindo fazer com que meu cache do Debian funciona pois testei baixar diversas coisa ate que baixa rapidinho mais armazenar que e bom nada o que será que pode esta acontecendo em por favor me ajudem .

[170] Comentário enviado por JonatasSantos em 17/10/2017 - 09:07h

Bom dia tudo bem?
Tenho uma Hap Lite Mikrotik Routerboard 941 2nd Lv4 Tipo Rb 750 C Wifi e estou tentando configurar servidor proxy para fazer teste de blacklist, porém de todas as maneira que tento configura-la da como se o proxy está desconhecido.
Ela está discando PPPoE e fazendo a distribuição de IP por um /24.
Será que pode me ajudar?


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts