Ademir,
Tive problema com a caixa e um simples "pass" antes dos ip's da caixa
funcionou 100%.
Sobre ip's que não sejam da rede local, eu tenho diversos clientes
conectados atrás de Mikrotik, fzendo roteamento e fornecendo, por exemplo,
um IP válido via PPPoE que também está OK.
Estes mikrotik estão em diversas placas internas, entao a regra ficou algo
mais ou menos assim:
##PROXY TRANSPARENTE
${fwcmd} add deny log tcp from any to ${fwmkt} 3128 in via ${extif}
#ACESSO DIRETO DMZ
${fwcmd} add allow tcp from ${clientesvalidos} to ${asn} 80
#ACESSO DIRETO RADIOS
${fwcmd} add allow tcp from ${clientesvalidos} to ${radios} 80
#ACESSO DIRETO CEF E OUTROS
for noproxy in `cat /etc/noproxy.txt`; do ipfw table 1 add $noproxy;done
${fwcmd} add allow tcp from ${clientesvalidos} to table\(1\) 80 keep-state
${fwcmd} add allow tcp from ${clientesvalidos} to ${fwmkt} 3128
${fwcmd} add allow tcp from ${fwmkt} 3128 to ${clientesvalidos}
${fwcmd} add allow tcp from ${fwmkt} to any 80,443
${fwcmd} add allow tcp from any 80,443 to ${fwmkt}
${fwcmd} add fwd ${fwmkt},3128 tcp from ${clientesvalidos} to any 80 in via
${mktif1}
${fwcmd} add fwd ${fwmkt},3128 tcp from ${clientesvalidos} to any 80 in via
${mktif2}
${fwcmd} add fwd ${fwmkt},3128 tcp from ${clientesvalidos} to any 80 in via
${mktif3}
${fwcmd} add fwd ${fwmkt},3128 tcp from ${clientesvalidos} to any 80 in via
${mktif4}
${fwcmd} add fwd ${fwmkt},3128 tcp from ${clientesvalidos} to any 80 in via
${mktif5}
${fwcmd} add fwd ${fwmkt} tcp from any 80 to ${clientesvalidos} in via
${extif}
Explicando as variaveis,
$fwmkt é o IP externo que o servidor possui;
$clientesvalidos é a rede /21 que engloba todos os clientes com ip válido;
$asn e $radios são redes que eu não desejo fazer Proxy;
Noproxy.txt é a lista de ip's da caixa e de outros acessos que não aceitam
Proxy transparente
Mktif1 a mktif5 são as 5 interfaces internas que se ligam a diversos PtP.
Então creio que meu cenário é bem parecido com o seu.
Tirando um aumento expressivo de CPU e memória(que é esperado afinal o
servidor agora trata centenas de estados de conexão 'spoofados'), tudo está
OK.
Tem algumas regras acima que podem até ser removidas, mesmo meu firewall
sendo o padrão fechado, mas não mexi por falta de tempo e janela de testes..
:)
> -----Mensagem original-----
> De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em
> nome de Ademir Costa Peixoto
> Enviada em: quinta-feira, 29 de janeiro de 2009 11:50
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] Cacheboy esta sendo renomeado
>
> Olá Luiz,
>
> Aproveito seu e-mail pra falar sobre os pathes do tproxy no
> freebsd.
> Instalei e ele funcionou.
> Mas surgiram algumas limitações bastante complicadas.
> 1 - Ele não faz cache de ip que não esteja com a rede conectada na
> placa
> local.
> 2 - Ele não suporta mais de uma interface de rede fazendo saida pra
> cliente (temos 4).
> 3 - Ele não suportou os skipto de sites como a caixa (famigerado
> conectividade social)
>
>
> Não tive tempo de testá-lo melhor. Vi que ele estava repassando o
> ip,
> mas não vazia cache de ips reais de clientes que estão atrás de outros
> dispositivos de roteamento (como mikrotik)
> Sei que está e versão beta mas essas coisas que citei acima são
> extremamente necessárias pra serem usadas em provedores.
> Parabéns pelo trabalho
>
> Ats,
>
> Ademir Peixoto
>
>
>
> ----- Original Message -----
> From: "Luiz Otavio O Souza" <l...@visualconnect.com.br>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd@fug.com.br>
> Sent: Thursday, January 29, 2009 10:08 AM
> Subject: [FUG-BR] Cacheboy esta sendo renomeado
>
>
> Srs. e Sras.,
>
> O projeto cacheboy esta mudando seu nome para lusca (um tipo de monstro
> marinho não totalmente catalogado - o google É seu amigo) e busca
> através
> desse novo caminho uma melhor e maior visibilidade como comunidade
> opensource.
>
> O novo site já foi providenciado e esta disponível em:
> http://www.lusca.org
>
> Eu fiz um contato muito interessante com o Adrian Chadd para o
> desenvolvimento do tproxy no freebsd e tive a oportunidade de conhecer
> melhor o trabalho dele a frente do cacheboy, agora lusca.
>
> Recomendo a todos que utilizam squid que façam um teste com o lusca,
> como eu
> fiz e espero que vocês tenham a mesma impressão que eu: HMMM ele é
> rápido !
>
> Não há qualquer diferença na estrutura, você pode usar o seu squid.conf
> no
> lusca, enfim a migração é bemmm tranquila.
>
> E claro, haverá um suporte especial para nós brasileiros, e em ultima
> instancia eu mesmo estou disposto a contribuir com os colegas
> brasileiros
> que precisem de alguma ajuda, ou seja, o lusca terá seu lugar ao sol
> aqui no
> Brasil.
>
> Sem mais e certo da atenção de todos,
>
> Muito obrigado,
> Luiz
> PS: Todos estão convidados a participar e colaborar
> (http://www.lusca.org/participate.html)
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
