Ademir, Tive problema com a caixa e um simples "pass" antes dos ip's da caixa funcionou 100%. Sobre ip's que não sejam da rede local, eu tenho diversos clientes conectados atrás de Mikrotik, fzendo roteamento e fornecendo, por exemplo, um IP válido via PPPoE que também está OK.
Estes mikrotik estão em diversas placas internas, entao a regra ficou algo mais ou menos assim: ##PROXY TRANSPARENTE ${fwcmd} add deny log tcp from any to ${fwmkt} 3128 in via ${extif} #ACESSO DIRETO DMZ ${fwcmd} add allow tcp from ${clientesvalidos} to ${asn} 80 #ACESSO DIRETO RADIOS ${fwcmd} add allow tcp from ${clientesvalidos} to ${radios} 80 #ACESSO DIRETO CEF E OUTROS for noproxy in `cat /etc/noproxy.txt`; do ipfw table 1 add $noproxy;done ${fwcmd} add allow tcp from ${clientesvalidos} to table\(1\) 80 keep-state ${fwcmd} add allow tcp from ${clientesvalidos} to ${fwmkt} 3128 ${fwcmd} add allow tcp from ${fwmkt} 3128 to ${clientesvalidos} ${fwcmd} add allow tcp from ${fwmkt} to any 80,443 ${fwcmd} add allow tcp from any 80,443 to ${fwmkt} ${fwcmd} add fwd ${fwmkt},3128 tcp from ${clientesvalidos} to any 80 in via ${mktif1} ${fwcmd} add fwd ${fwmkt},3128 tcp from ${clientesvalidos} to any 80 in via ${mktif2} ${fwcmd} add fwd ${fwmkt},3128 tcp from ${clientesvalidos} to any 80 in via ${mktif3} ${fwcmd} add fwd ${fwmkt},3128 tcp from ${clientesvalidos} to any 80 in via ${mktif4} ${fwcmd} add fwd ${fwmkt},3128 tcp from ${clientesvalidos} to any 80 in via ${mktif5} ${fwcmd} add fwd ${fwmkt} tcp from any 80 to ${clientesvalidos} in via ${extif} Explicando as variaveis, $fwmkt é o IP externo que o servidor possui; $clientesvalidos é a rede /21 que engloba todos os clientes com ip válido; $asn e $radios são redes que eu não desejo fazer Proxy; Noproxy.txt é a lista de ip's da caixa e de outros acessos que não aceitam Proxy transparente Mktif1 a mktif5 são as 5 interfaces internas que se ligam a diversos PtP. Então creio que meu cenário é bem parecido com o seu. Tirando um aumento expressivo de CPU e memória(que é esperado afinal o servidor agora trata centenas de estados de conexão 'spoofados'), tudo está OK. Tem algumas regras acima que podem até ser removidas, mesmo meu firewall sendo o padrão fechado, mas não mexi por falta de tempo e janela de testes.. :) > -----Mensagem original----- > De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em > nome de Ademir Costa Peixoto > Enviada em: quinta-feira, 29 de janeiro de 2009 11:50 > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Assunto: Re: [FUG-BR] Cacheboy esta sendo renomeado > > Olá Luiz, > > Aproveito seu e-mail pra falar sobre os pathes do tproxy no > freebsd. > Instalei e ele funcionou. > Mas surgiram algumas limitações bastante complicadas. > 1 - Ele não faz cache de ip que não esteja com a rede conectada na > placa > local. > 2 - Ele não suporta mais de uma interface de rede fazendo saida pra > cliente (temos 4). > 3 - Ele não suportou os skipto de sites como a caixa (famigerado > conectividade social) > > > Não tive tempo de testá-lo melhor. Vi que ele estava repassando o > ip, > mas não vazia cache de ips reais de clientes que estão atrás de outros > dispositivos de roteamento (como mikrotik) > Sei que está e versão beta mas essas coisas que citei acima são > extremamente necessárias pra serem usadas em provedores. > Parabéns pelo trabalho > > Ats, > > Ademir Peixoto > > > > ----- Original Message ----- > From: "Luiz Otavio O Souza" <l...@visualconnect.com.br> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > <freebsd@fug.com.br> > Sent: Thursday, January 29, 2009 10:08 AM > Subject: [FUG-BR] Cacheboy esta sendo renomeado > > > Srs. e Sras., > > O projeto cacheboy esta mudando seu nome para lusca (um tipo de monstro > marinho não totalmente catalogado - o google É seu amigo) e busca > através > desse novo caminho uma melhor e maior visibilidade como comunidade > opensource. > > O novo site já foi providenciado e esta disponível em: > http://www.lusca.org > > Eu fiz um contato muito interessante com o Adrian Chadd para o > desenvolvimento do tproxy no freebsd e tive a oportunidade de conhecer > melhor o trabalho dele a frente do cacheboy, agora lusca. > > Recomendo a todos que utilizam squid que façam um teste com o lusca, > como eu > fiz e espero que vocês tenham a mesma impressão que eu: HMMM ele é > rápido ! > > Não há qualquer diferença na estrutura, você pode usar o seu squid.conf > no > lusca, enfim a migração é bemmm tranquila. > > E claro, haverá um suporte especial para nós brasileiros, e em ultima > instancia eu mesmo estou disposto a contribuir com os colegas > brasileiros > que precisem de alguma ajuda, ou seja, o lusca terá seu lugar ao sol > aqui no > Brasil. > > Sem mais e certo da atenção de todos, > > Muito obrigado, > Luiz > PS: Todos estão convidados a participar e colaborar > (http://www.lusca.org/participate.html) > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd