Luiz, mais em relação a despempenho o Tproxy é a mesma coisa do noss proxy convencional ? Att,
Renato Maia --------------------------------------- Rapidus Internet http://www.rapidus.com.br --------------------------------------- Contato: Cel.: +55 37 8829 0369 skype: renatopereiramaia -------------------------------------------------- From: "Luiz Otavio O Souza" <l...@visualconnect.com.br> Sent: Thursday, January 29, 2009 3:47 PM To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" <freebsd@fug.com.br> Subject: Re: [FUG-BR] TProxy em FreeBSD >> Luiz, >> >> >> Meu proxy estava rodando a mais de 2 anos com as mesmas regras de >> firewall. >> Eu sempre usei o SKIPTO jogando pra 65000 que tem um allow ip from >> any >> to any --- a linha 65535 tem a mesma instrução porque o firewal é OPEN. > > Ademir, > > Até aqui tudo tranquilo, mas a diferença é que para fazer o tproxy > funcionar > foram necessárias duas regras, uma que direciona o trafego das estações > para > o freebsd (o proxy transparente) e a segunda que força o caminho inverso, > quando o servidor responde para o proxy ele responde para o ip do cliente > e > é essa regra que força a volta para o freebsd ao invés do cliente. > > Tudo certo se isso não quebrasse a comunicação direta do cliente com os > servidores :) > >> O fato é que todos os sites que tinham o SKIPTO (caixa, sefaz, >> rapdshare >> e o escambau) simplesmente pararam de funcionar. >> Quando eu apagava a linha do SKIP ele funcionava (sendo cacheado). > > Exatamente. > > Mas existe uma forma de contornar isso, adicione um segundo skipto, como > sugeri, para que ele jogue os pacotes de volta (entrando na interface > externa - dos servidores da caixa para os seus clientes) direto para a > sua > regra 65000, evitando que eles cheguem ao fwd. > >> O que vi como problema foi o fato do squid ter o ip da rede interna >> como >> parâmetro do squid.conf. A solução que vi foi aquela de várias instâncias >> squid rodando. >> No exemplo que vc mandou abaixo está o redirecionamendo do localhost >> e >> não do ip real. Isso é realmente funcional? > > Funciona sim, você pode colocar seu proxy no endereço 127.0.0.1:3128 e > direcionar os acessos de todas as suas redes válidas para ele. > > E se você realmente precisar você pode ter vários http_port diferentes no > mesmo squid.conf e assim você evita as várias instancias, usa uma só com > comportamentos diferentes: > > http_port 127.0.0.1:3128 transparent > http_port 127.0.0.1:3129 transparent tproxy > > Att., > Luiz > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd