Instalação e configuração do Squid com TProxy no Debian
Quando se tem na rede um Mikrotik e precisa-se fazer controle do que os usuários acessam, existem algumas formas, uma delas é o proxy em paralelo com o Mikrotik e a outra o proxy em uma bridge no meio do caminho. Nesse artigo demonstro como configurar o Squid em bridge, assim como a aplicação dos patches necessários.
[ Hits: 50.972 ]
Por: Leandro Moreira em 11/07/2009
Aplicando os patches e compilando
Aplicando os patches e compilando o kernel
Vamos entrar no diretório dos fontes do kernel para iniciar a aplicação dos patches.# patch -p1 < /usr/src/cttproxy-2.6.18-2.0.6/patch_tree/01-nat_reservations.patch
# patch -p1 < /usr/src/cttproxy-2.6.18-2.0.6/patch_tree/02-tproxy.patch
# patch -p1 < /usr/src/cttproxy-2.6.18-2.0.6/patch_tree/03-nat_delete.patch
Agora vamos entrar no menu de opções do kernel e habilitar como built-in os módulos do TProxy:
# menuconfig
-> Networking
---> Networking support
-----> Networking options
-------> Network packet filtering
----------> IP: Netfilter Configuration
--------------->Transparent proxying (IP_NF_TPROXY)
---------------> tproxy match support (IP_NF_MATCH_TPROXY)
---------------> TPROXY target support (IP_NF_TARGET_TPROXY)
--------------->NAT reservations support (IP_NF_NAT_NRES)
Vamos agora compilar o kernel com o comando abaixo:
# make-kpkg --rootcmd fakeroot --initrd --append-to-version=-tproxy.1.0 binary-arch
Após terminar a execução do comando acima, teremos dois pacotes .deb prontos para uso, o linux-image e o linux-headers.
Aplicando os patches e compilando o iptables
O primeiro comando baixa todas as dependências necessárias para compilação do iptables, enquanto o segundo comando baixa os fontes:# apt-get build-dep iptables
# apt-get source iptables
Agora vamos fazer alguns ajustes no diretório do iptables, primeiramente vamos fazer uma cópia de segurança do diretório "linux", que se encontra dentro da pasta iptables, mas antes, como fizemos com o kernel, vamos criar um link simbólico do diretório do iptables:
# ln -s /usr/src/iptables-1.3.6.0debian1 /usr/src/iptables
# cd /usr/src/iptables
# mv linux linux-default
# mkdir linux
# for x in COPYING Makefile include net;do cp -va ../linux-2.6-2.6.18.dfsg.1/$x linux/$x;done
Agora vamos entrar no diretório iptables, aplicar o patch e compilar o pacote. Note que existe dentro do diretório iptables um subdiretório iptables.
# cd iptables
# patch -p1 < ../../cttproxy-2.6.18-2.0.6/iptables/iptables-1.3-cttproxy.diff
# chmod +x extensions/.tproxy-test
# dpkg-buildpackage -rfakeroot -us -uc -b
# cd /usr/src/
# cd ..
Instalando nosso pacote recém compilado:
# dpkg -i /usr/src/iptables_1.3.6.0debian1-5_i386.deb
2. Aplicando os patches e compilando
3. Squid - Compilando, instalando e configurando
4. Configurando o proxy e modo bridge
Integrando autenticação do Squid ao Active Directory
Compilando kernel com suporte a POM (path-omatic) e Layer7 no Debian e Slackware
Monitorando Host via IPMI no Zabbix
Instalando e configurando o Nagios com e sem MySQL
Integrando Apache 2 com Tomcat 5
Compilar e habilitar os módulos ip_table e iptable_nat no kernel 2.6.26 no Debian Linux
Como explicar o que é kernel para um leigo
Recompilar o Kernel? Isso ainda existe??
Linux Virtual Memory Management e lentidão ao copiar arquivos grandes para mídia lenta
Recompilando kernel 2.6 no Debian Lenny
Leandro, essa solução de TProxy é velha e complexa!
O Kernel do Linux já tem suporte nativo ao TProxy, sem a necessidade de Patch (versões >= 2.6.28).
O TProxy também evoluiu para a versão 4.1, a versão do Squid 3.1 já conta com isso e a configuração é extremamente simples, como pode ser visto no link: http://wiki.squid-cache.org/Features/Tproxy4
Abraços,
lopan,
Me desculpa pelo artigo então, ja o escrevi a um ano e meio e so publiquei pois nas listas que frequento tenho percebido que muitas pessoas pedem documentação sobre o tproxy, a proposito quem usa a versão estable do debian (kernel 2.6.26) não tem esse modulo embracado no kernel, portando e uma escolha que a pessoa tera de fazer, ou aplica o patch e recompila o kernel, ou usa o kernel nao disponível, mas sua observação é valida pois nao consegui aplicar de forma alguma o tproxy no squid3, vou olhar o seu link e testar a versção 3.1, obrigado pela dica.
Att.
Leandro Moreira.
Precisei da solução neste momento e tentei a configuração a partir da versão mais nova disponível no site do SQUID enviada por lopan. Até agora não obtive sucesso. O IP SPOOFING está acontecendo, porém não está fazendo cache, nem o access.log é gravado.
As permissões dos arquivos estão ok e a configuração dos parâmetros do access_log no squid.conf está direcionada também ok, bem como o diretório do cache.
Vcs têm alguma luz?
Obg
LEandro,
muito bom artigo,
uma dúvida...vc nao usou tcp_outgoing_address?
Como ficou a saída dos endereços dos clientes? Estão saindo independentes, ou seja, sai cada um com seu IP e nao com o do proxy, evitando problemas com Rapidshare e afins.
Abraços
Ramc,
Nao usei o tcp_outgoin, na verdade eles saem com o ip do gateway da rede, pois o gateway-tproxy, fica entre a rede o gateway da rede. Com relaçao ao rapidshare e afins, os problemas que tem e os problemas corriqueiros de multiplos acessos de um mesmo IP, creio eu pois os meus clientes pedem o bloqueio de acesso a esses serviços. Com relacao a saida, fica listado o ip de origem. Pra evitar problemas, eu restinjo acesso a porta 3128 a apenas a minha(s) rede (s) interna(s).
Qualquer duvida estou a disposiçao.
Att.
Leandro Moreira.
eu preciso que os ips dos clientes saiam livremente...
de forma realmente transparente.
Alguma dica?
Abraço ;)
Cara, otima atitude de postar sobre o que voce ja teve experiencia, mas sinceramente, na minha opinião, o TPROXY no linux continua uma gambiarra, uso essa solução com FreeBSD, nas versões do FreeBSD inferiores à 8.0, é necessario aplicar um patch e recompilar o kernel, mesmo assim, é muito simples, agora ja no 8.0 ja tem o suporte nativo e 100% funcional.
Modesto,
No linux no kernel acima de 2.6.28 ele também é nativo, mas infelizmente ainda nao pude testar por falta de tempo, acredido que seja necessário apenas complila-lo sem a necessidade de aplicar o patch.
Att.
Leandro Moreira.
Patrocínio
Destaques
Artigos
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
E a guerra contra bots continua
Tradução do artigo do filósofo Gottfried Wilhelm Leibniz sobre o sistema binário
Conheça o firewall OpenGFW, uma implementação do (Great Firewall of China).
Dicas
Instalando o FreeOffice no LMDE 6
Anki: Remover Tags de Estilo HTML de Todas as Cartas
Colocando uma opção de redimensionamento de imagem no menu de contexto do KDE
Tópicos
Não consigo acessar os modos de desempenho (2)
Ubuntu — tentando iniciar o windows? (0)
Top 10 do mês
-
Xerxes
1° lugar - 69.578 pts -
Fábio Berbert de Paula
2° lugar - 56.893 pts -
Clodoaldo Santos
3° lugar - 42.731 pts -
Supervisor dos Moderadores
4° lugar - 23.070 pts -
Sidnei Serra
5° lugar - 22.497 pts -
Daniel Lara Souza
6° lugar - 17.047 pts -
Mauricio Ferrari
7° lugar - 16.958 pts -
Alberto Federman Neto.
8° lugar - 16.931 pts -
Diego Mendes Rodrigues
9° lugar - 15.657 pts -
edps
10° lugar - 14.090 pts
Scripts
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
