Squid + Bridge + TProxy no CentOS 5.4
Depois de inúmeras tentativas buscando por documentações na Internet usando o Google, consegui através de pedaços de documentações e testes realizados em minha casa e em um dos provedores para o qual presto serviço realizar o que essa documentação se propõe. Mostrar como podemos configurar um CentOS 5.4 como bridge e ao mesmo tempo servir de proxy totalmente transparente através do TProxy.
[ Hits: 62.000 ]
Por: Marcelo Gondim em 26/05/2010
Introdução
Depois de inúmeras tentativas buscando por documentações na Internet usando o Google, consegui através de pedaços de documentações e testes realizados em minha casa e em um dos provedores para o qual presto serviço realizar o que essa documentação se propõe. Mostrar como podemos configurar um CentOS 5.4 como bridge e ao mesmo tempo servir de proxy totalmente transparente através do TProxy.
Com esse recurso a colocação do proxy não afeta a configuração da sua topologia de rede e ao mesmo tempo permite que os acessos dos seus usuários sejam identificados do lado da Internet porque não é mais o IP do proxy que faz a consulta e sim o IP do usuário. Também acaba com problemas como RapidShare que não permitem downloads vindos do mesmo IP sendo contas Free, pois cada cliente sairá com o seu próprio IP.
Obs.: Se depois do proxy houver algum sistema fazendo NAT N:1, vulgo masquerade, de nada adiantará o TProxy. Este documento visa ajudar, mas não serei responsável por quaisquer danos que possam vir a acontecer.
Para montar nosso servidor precisaremos ter o mínimo exigido para que este funcione. Pré-requisitos abaixo:
Como o CentOS 5.4 não possui esses requisitos, seremos obrigados a baixá-los, compilarmos e instalarmos. Uma outra coisa, esse tutorial não ensinará a instalar um CentOS 5.4, pois já existem diversas documentações por aí. O que precisaremos é de um sistema preparado para compilar programas. Precisará pelo menos disso:
# yum groupinstall 'Development Tools'
# yum groupinstall 'Development Libraries'
Uma boa prática é usar sempre um sistema atualizado com o comando:
# yum update
Agora veremos como está nossa rede de testes, nossa topologia antes do Servidor Proxy em Bridge:
Na rede acima cada cliente sai com seu IP público e se colocássemos um proxy transparente, mesmo que em bridge, teríamos o problema do IP que sairia para navegação, que seria o do proxy. Meu objetivo aqui é mostrar como configurar um proxy 100% transparente e em bridge usando o TProxy no kernel, iptables, ebtables e Squid.
Agora vejamos como ficará nossa nova topologia. Reparem que o gateway continua sendo o mesmo 186.193.x.1, porque o proxy, para a rede, não existirá:
Com esse recurso a colocação do proxy não afeta a configuração da sua topologia de rede e ao mesmo tempo permite que os acessos dos seus usuários sejam identificados do lado da Internet porque não é mais o IP do proxy que faz a consulta e sim o IP do usuário. Também acaba com problemas como RapidShare que não permitem downloads vindos do mesmo IP sendo contas Free, pois cada cliente sairá com o seu próprio IP.
Obs.: Se depois do proxy houver algum sistema fazendo NAT N:1, vulgo masquerade, de nada adiantará o TProxy. Este documento visa ajudar, mas não serei responsável por quaisquer danos que possam vir a acontecer.
Para montar nosso servidor precisaremos ter o mínimo exigido para que este funcione. Pré-requisitos abaixo:
- Kernel 2.6.30 ou 2.6.31, não usem o 2.6.32 porque esse está com problemas no TProxy e por isso não é aconselhado seu uso até que seja resolvido. Existem versões mais novas do kernel, mas ainda não fiz testes com elas.
- IPTables 1.4.3
- Squid 3.1.1
- libcap2-devel
Como o CentOS 5.4 não possui esses requisitos, seremos obrigados a baixá-los, compilarmos e instalarmos. Uma outra coisa, esse tutorial não ensinará a instalar um CentOS 5.4, pois já existem diversas documentações por aí. O que precisaremos é de um sistema preparado para compilar programas. Precisará pelo menos disso:
# yum groupinstall 'Development Tools'
# yum groupinstall 'Development Libraries'
Uma boa prática é usar sempre um sistema atualizado com o comando:
# yum update
Agora veremos como está nossa rede de testes, nossa topologia antes do Servidor Proxy em Bridge:
Agora vejamos como ficará nossa nova topologia. Reparem que o gateway continua sendo o mesmo 186.193.x.1, porque o proxy, para a rede, não existirá:
Páginas do artigo
1. Introdução2. Configurando o Kernel e a Bridge
3. IPtables, libcap e Squid
4. Adicionando repositório EPEL
5. Instalando o ebtables e configurações finais
Outros artigos deste autor
Adicionando suporte ao Layer7 no Debian Lenny
Adicionando suporte ao Layer7 no CentOS 5.3
Leitura recomendada
Proxy com autenticação em servidores Samba ou Windows NT
Bloqueando o Messenger com iptables e Squid
Squid 2.6 com autenticação e bloqueio de sites, downloads, Orkut, MSN, vídeos e googletalk
Comentários
[1] Comentário enviado por removido em 26/05/2010 - 14:54h
Fala Gondim.
Parabéns por mais um grande Artigo.
[]'s
Fala Gondim.
Parabéns por mais um grande Artigo.
[]'s
[2] Comentário enviado por joaopaulobrinate em 15/06/2010 - 00:38h
Rapaz parabens pela sua documentacao.... vc ta de parabens.... abs ai amigo... aki passa o msn ai rapaz...
Rapaz parabens pela sua documentacao.... vc ta de parabens.... abs ai amigo... aki passa o msn ai rapaz...
[3] Comentário enviado por removido em 22/06/2010 - 19:32h
amigo boa noite..estou montando um server com cent os 64 bits mas queria saber como deixar o squid 3.1 no cent os com cache full pois ele vem com o path zph nativo mas tem que sair na compilação...qual comando adiciono na linha? e quais linhas adiciono no squid.conf para o cache full?
amigo boa noite..estou montando um server com cent os 64 bits mas queria saber como deixar o squid 3.1 no cent os com cache full pois ele vem com o path zph nativo mas tem que sair na compilação...qual comando adiciono na linha? e quais linhas adiciono no squid.conf para o cache full?
[4] Comentário enviado por gondim em 23/06/2010 - 09:20h
Opa. Ainda não usei esse cara não mas você pode tentar adicionar na linha do ./configure esse parâmetro: --enable-zph-qos
Tipo ficaria algo assim:
./configure --prefix=/usr --mandir=/usr/share/man --infodir=/usr/share/info --datadir=/usr/share --localstatedir=/var/lib --sysconfdir=/etc/squid --libexecdir=/usr/libexec/squid --localstatedir=/var --datadir=/usr/share/squid --enable-removal-policies=lru,heap --enable-icmp --disable-ident-lookups --enable-cache-digests --enable-delay-pools --enable-arp-acl --with-pthreads --with-large-files --enable-htcp --enable-carp --enable-follow-x-forwarded-for --enable-snmp --enable-ssl --enable-async-io=32 --enable-linux-netfilter --enable-epoll --disable-poll --with-maxfd=16384 --enable-err-languages=Portuguese --enable-default-err-language=Portuguese --enable-zph-qos
Opa. Ainda não usei esse cara não mas você pode tentar adicionar na linha do ./configure esse parâmetro: --enable-zph-qos
Tipo ficaria algo assim:
./configure --prefix=/usr --mandir=/usr/share/man --infodir=/usr/share/info --datadir=/usr/share --localstatedir=/var/lib --sysconfdir=/etc/squid --libexecdir=/usr/libexec/squid --localstatedir=/var --datadir=/usr/share/squid --enable-removal-policies=lru,heap --enable-icmp --disable-ident-lookups --enable-cache-digests --enable-delay-pools --enable-arp-acl --with-pthreads --with-large-files --enable-htcp --enable-carp --enable-follow-x-forwarded-for --enable-snmp --enable-ssl --enable-async-io=32 --enable-linux-netfilter --enable-epoll --disable-poll --with-maxfd=16384 --enable-err-languages=Portuguese --enable-default-err-language=Portuguese --enable-zph-qos
[5] Comentário enviado por demattos em 27/07/2010 - 13:00h
opa bom dia, muito bom este artigo e proveitoso, fiz todo o processo e funciona show de bola. Mas ocorreo o seguinte ,fiz todos os testes em bancada e funcionou perfeitamente mas quando coloquei na rede com ip valido minha rede ficou doida, queria saber se ocorreo isto com vc,
Meu cenario e o seguinte
Tenho um swite ligado em um roteador com a rede 200.215.XX192/29 e um firewall ( squid+NAT+controle) ligado por uma placa de rede ligado no swit do roteador e outra placa ligado em um swit com rede 172.31.XX.1 que sai para rede interna. Bom eu fiz o que ? montei esta maquina Tproxy e liguei do swit do roteador pela placa eth0 e a eth1 liguei no swit da rede interna para prover ip valido em algumas maquina desta rede, ai que ficou feia a coisa rsrsr a rede parou de fucionar....tem alguma ideia do que seja, acredito q e vacilo meu mas nao achei o erro.
OBS: queria q o firewall e o a maquina Tproxy na mesma rede onde para algumas maquina colocario o ip valido e outras continuaria com a rede do firewall.
Por favor me ajude....rsrsrs
Obrigado pela atencao.
opa bom dia, muito bom este artigo e proveitoso, fiz todo o processo e funciona show de bola. Mas ocorreo o seguinte ,fiz todos os testes em bancada e funcionou perfeitamente mas quando coloquei na rede com ip valido minha rede ficou doida, queria saber se ocorreo isto com vc,
Meu cenario e o seguinte
Tenho um swite ligado em um roteador com a rede 200.215.XX192/29 e um firewall ( squid+NAT+controle) ligado por uma placa de rede ligado no swit do roteador e outra placa ligado em um swit com rede 172.31.XX.1 que sai para rede interna. Bom eu fiz o que ? montei esta maquina Tproxy e liguei do swit do roteador pela placa eth0 e a eth1 liguei no swit da rede interna para prover ip valido em algumas maquina desta rede, ai que ficou feia a coisa rsrsr a rede parou de fucionar....tem alguma ideia do que seja, acredito q e vacilo meu mas nao achei o erro.
OBS: queria q o firewall e o a maquina Tproxy na mesma rede onde para algumas maquina colocario o ip valido e outras continuaria com a rede do firewall.
Por favor me ajude....rsrsrs
Obrigado pela atencao.
[6] Comentário enviado por gondim em 29/07/2010 - 10:50h
Opa, aqui funciona exatamente como está no desenho da rede. Nossa rede tem atualmente mais de 1000 conexões simultâneas e links de 100Mbps. Todos os nossos assinantes recebem IPs públicos dinamicamente.
Para o TProxy funcionar o mesmo teria que ter roteamento até as estações dos clientes, porque o TProxy spoofa o IP do assinante e depois responde para ele, se nesse momento o Tproxy não tiver roteamento para o cliente aí não vai funcionar mesmo. Vamos dizer que o IP do assinante fosse 192.192.192.50 quando passa pelo TProxy o mesmo spoofa esse IP e passa à usar o 192.192.192.50 para fazer as consultas daquele assinante. No retorno os pacotes precisam passar pelo Tproxy e aí o mesmo envia os dados para a máquina 192.192.192.50. Resumindo se do Tproxy não tiver roteamento para dele chegar ao IP 192.192.192.50, então não funcionará. :)
Opa, aqui funciona exatamente como está no desenho da rede. Nossa rede tem atualmente mais de 1000 conexões simultâneas e links de 100Mbps. Todos os nossos assinantes recebem IPs públicos dinamicamente.
Para o TProxy funcionar o mesmo teria que ter roteamento até as estações dos clientes, porque o TProxy spoofa o IP do assinante e depois responde para ele, se nesse momento o Tproxy não tiver roteamento para o cliente aí não vai funcionar mesmo. Vamos dizer que o IP do assinante fosse 192.192.192.50 quando passa pelo TProxy o mesmo spoofa esse IP e passa à usar o 192.192.192.50 para fazer as consultas daquele assinante. No retorno os pacotes precisam passar pelo Tproxy e aí o mesmo envia os dados para a máquina 192.192.192.50. Resumindo se do Tproxy não tiver roteamento para dele chegar ao IP 192.192.192.50, então não funcionará. :)
[7] Comentário enviado por demattos em 31/07/2010 - 12:54h
E verdade,descobri o erro e foi resolvido, era exatamente o que vc relatou, coloquei o tproxy em sequencia do roteador como no diagrama ai funcionou perfeitamente.....obrigado pela atencao
E verdade,descobri o erro e foi resolvido, era exatamente o que vc relatou, coloquei o tproxy em sequencia do roteador como no diagrama ai funcionou perfeitamente.....obrigado pela atencao
[8] Comentário enviado por luiginardelli em 12/08/2010 - 17:30h
Boa Tarde Godim,
Caramba, quanta coisa que tem alterar para fazer funcionar o tproxy né, chamais conseguiria sem o auxilio de seu artigo, muito bom mesmo.. parabéns.
Tenho uma dúvida será que você poderia me ajudar ?
Olha só, a pergunda é semelhante a do "demattos" só que a diferença é que estou com o tproxy em sequencia veja só :
>>>>---| Clientes |-->>>--| Router RB800 |-->>>>--| Tproxy |-->>>--| Router Rb450G |-->>>--| Internet |
Clientes: 192.168.X.0/24
Rb800: 192.168.X.254
Tproxy: 192.168.X.200
Rb450G: 192.168.Y.254
Erro no squid: O servidor DNS retornou: Timeout via navegador
esse erro se deu quando habilito a regra do ebtables...
Outra coisa: qual é a verdadeira função do ebtables e porque ele está em DROP ?
Obrigado pela paciencia e atenção...
Atenciosamente
Luiz
Boa Tarde Godim,
Caramba, quanta coisa que tem alterar para fazer funcionar o tproxy né, chamais conseguiria sem o auxilio de seu artigo, muito bom mesmo.. parabéns.
Tenho uma dúvida será que você poderia me ajudar ?
Olha só, a pergunda é semelhante a do "demattos" só que a diferença é que estou com o tproxy em sequencia veja só :
>>>>---| Clientes |-->>>--| Router RB800 |-->>>>--| Tproxy |-->>>--| Router Rb450G |-->>>--| Internet |
Clientes: 192.168.X.0/24
Rb800: 192.168.X.254
Tproxy: 192.168.X.200
Rb450G: 192.168.Y.254
Erro no squid: O servidor DNS retornou: Timeout via navegador
esse erro se deu quando habilito a regra do ebtables...
Outra coisa: qual é a verdadeira função do ebtables e porque ele está em DROP ?
Obrigado pela paciencia e atenção...
Atenciosamente
Luiz
[9] Comentário enviado por luiginardelli em 19/08/2010 - 08:28h
Descobri meu erro e agora está funcionando, meu erro estava em um gateway que não existia (hehehehe) desculpe a todos...
Tenho outra dúvida, meu squid está gerando no arquivo "store.log" o seguinte aviso:
WARNING: HTTP: Invalid Response: Bad header encountered from www.qualquersite.combr AKA www.qualquersite.combr
O que é isso ?
Obrigado
Luiz
Descobri meu erro e agora está funcionando, meu erro estava em um gateway que não existia (hehehehe) desculpe a todos...
Tenho outra dúvida, meu squid está gerando no arquivo "store.log" o seguinte aviso:
WARNING: HTTP: Invalid Response: Bad header encountered from www.qualquersite.combr AKA www.qualquersite.combr
O que é isso ?
Obrigado
Luiz
[10] Comentário enviado por cicerosouza em 11/11/2010 - 15:51h
Caro amigo, como faço para aplicar o TProxy no kernel 2.6.26-2?
Obrigado
Caro amigo, como faço para aplicar o TProxy no kernel 2.6.26-2?
Obrigado
[11] Comentário enviado por gondim em 11/11/2010 - 17:00h
Opa veja se esse meu tuto lhe ajuda:
http://www.linuxinfo.com.br/squid_tproxy_ubuntu.htm
[]´s
Opa veja se esse meu tuto lhe ajuda:
http://www.linuxinfo.com.br/squid_tproxy_ubuntu.htm
[]´s
[12] Comentário enviado por luizrfabri em 07/04/2011 - 15:02h
Olá, configurei exatamente como manda seu tuto ( por sinal excelente), porem da erro ao iniciar o squid, conforme o log abaixo do squid.out:
WARNING: -D command-line option is obsolete.
O que poderia estar causando esse erro?
Acabei resolvendo o problema logo em seguida, no seu script o squid aponta os logs para /var/logs/squid e no meu centos o default é /var/log/squid, fiz as devidas alterações, acertei as permissões dos arquivos e rodou tudo certinho.
Olá, configurei exatamente como manda seu tuto ( por sinal excelente), porem da erro ao iniciar o squid, conforme o log abaixo do squid.out:
WARNING: -D command-line option is obsolete.
O que poderia estar causando esse erro?
Acabei resolvendo o problema logo em seguida, no seu script o squid aponta os logs para /var/logs/squid e no meu centos o default é /var/log/squid, fiz as devidas alterações, acertei as permissões dos arquivos e rodou tudo certinho.
[13] Comentário enviado por gondim em 07/04/2011 - 15:35h
Olá, isso não é um erro e sim um warning, que diz que o parâmetro -D é obsoleto para a versão de squid que você tá usando. Para não dar a mensagem basta rodar sem o -D. :)
Olá, isso não é um erro e sim um warning, que diz que o parâmetro -D é obsoleto para a versão de squid que você tá usando. Para não dar a mensagem basta rodar sem o -D. :)
[14] Comentário enviado por luizrfabri em 09/04/2011 - 13:33h
Olá gondim, ja que vc respondeu tão prontamente a minha duvida, vou deixar mais uma aqui srsr:
Eu preciso que um dominio nao seija cacheado, ou seja, os clintes tem que acessar o mesmo sem q seja armazenado, exsite alguma regra que eu possa fazer no squid ou no iptables para que eu retire esse dominio do proxy?
Lembrando que essa regra terá que ser valida para todos os usuarios.
Grato por qualquer ajuda.
Luiz
Olá gondim, ja que vc respondeu tão prontamente a minha duvida, vou deixar mais uma aqui srsr:
Eu preciso que um dominio nao seija cacheado, ou seja, os clintes tem que acessar o mesmo sem q seja armazenado, exsite alguma regra que eu possa fazer no squid ou no iptables para que eu retire esse dominio do proxy?
Lembrando que essa regra terá que ser valida para todos os usuarios.
Grato por qualquer ajuda.
Luiz
[15] Comentário enviado por thiagoirch em 12/05/2011 - 16:48h
Gondim, show de bola teu tuto, tive de fazer alguma alterações para adquar a meu ambiente (Provedor de internet com 6 mil usuários) e realmente a performance ficou muito boa e a economia de link na casa de 20% no entanto estou com um problema e não consigo detectar a solução. O Squid ou a Bridge está interrompendo download de usuários mais sensiveis. Por exemplo o usuário começa a baixar um arquivo de 100MB quando chega em 40% (número aleatório as vezes é 20 as vezes 80) o download é do nada "concluido" ainda com o arquivo incompleto. Se puder me ajudar.
Gondim, show de bola teu tuto, tive de fazer alguma alterações para adquar a meu ambiente (Provedor de internet com 6 mil usuários) e realmente a performance ficou muito boa e a economia de link na casa de 20% no entanto estou com um problema e não consigo detectar a solução. O Squid ou a Bridge está interrompendo download de usuários mais sensiveis. Por exemplo o usuário começa a baixar um arquivo de 100MB quando chega em 40% (número aleatório as vezes é 20 as vezes 80) o download é do nada "concluido" ainda com o arquivo incompleto. Se puder me ajudar.
[16] Comentário enviado por blaizer em 22/06/2014 - 16:02h
Otimo tutorial !!
Deu certinho aqui , no centos 6.5, tive dificuldade apenas com o libpcap .. mas resolvi.
Uma duvida amigo, montei tudo encima de 192.168.0.0/24 , funcionou.... se eu trafegar nesta bridge com 192.168.1.0/24 "subnet diferente" ele não funciona.
Você teria alguma ideia doque poderia ser?
Já adicionei as rotas das subnet e mesmo assim não funcionou, o server até faz ping nos pc's da outra subnet, mas nada de navegar.
Obrigado
Otimo tutorial !!
Deu certinho aqui , no centos 6.5, tive dificuldade apenas com o libpcap .. mas resolvi.
Uma duvida amigo, montei tudo encima de 192.168.0.0/24 , funcionou.... se eu trafegar nesta bridge com 192.168.1.0/24 "subnet diferente" ele não funciona.
Você teria alguma ideia doque poderia ser?
Já adicionei as rotas das subnet e mesmo assim não funcionou, o server até faz ping nos pc's da outra subnet, mas nada de navegar.
Obrigado
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Flatpak: remover runtimes não usados e pacotes
Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2
Tópicos
Como atualizar o Debian 8 para o 10 (10)
Dica sobre iptables ACCEPT e DROP (6)
NGNIX - Aplicar SNAT para evitar roteamento assimetrico (29)
Top 10 do mês
-
Xerxes
1° lugar - 65.460 pts -
Fábio Berbert de Paula
2° lugar - 48.874 pts -
Buckminster
3° lugar - 18.483 pts -
Mauricio Ferrari
4° lugar - 14.716 pts -
Alberto Federman Neto.
5° lugar - 13.508 pts -
Diego Mendes Rodrigues
6° lugar - 12.717 pts -
Daniel Lara Souza
7° lugar - 12.622 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
8° lugar - 11.953 pts -
Andre (pinduvoz)
9° lugar - 10.772 pts -
edps
10° lugar - 10.392 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
