Squid + Bridge + TProxy no CentOS 5.4

Depois de inúmeras tentativas buscando por documentações na Internet usando o Google, consegui através de pedaços de documentações e testes realizados em minha casa e em um dos provedores para o qual presto serviço realizar o que essa documentação se propõe. Mostrar como podemos configurar um CentOS 5.4 como bridge e ao mesmo tempo servir de proxy totalmente transparente através do TProxy.

[ Hits: 61.414 ]

Por: Marcelo Gondim em 26/05/2010


Adicionando repositório EPEL



Agora que temos nosso ambiente quase pronto, vamos precisar fazer os devidos redirecionamentos e para isso vamos precisar do ebtables e ele não está nos repositórios do CentOS. O ebtables é muito importante para o funcionamento desse nosso servidor em modo bridge. Se alguém estiver usando esse tutorial, mas não querendo fazer uma bridge, então poderá pular essa parte do ebtables e suas regras.

Para instalarmos o ebtables vamos adicionar o repositório do EPEL, da turma do Fedora para o CentOS/RHEL. Antes instalaremos o yum-priorities para delegarmos prioridade nesses repositórios e não bagunçarmos nosso ambiente.

# yum install yum-priorities

Agora vamos nos repositórios em /etc/yum.repos.d/ editar o CentOS-Base.repo e deixá-lo parecido com o abaixo. Reparem a variável "priority=":

[base]
name=CentOS-$releasever - Base
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os
#baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5
priority=1

#released updates
[updates]
name=CentOS-$releasever - Updates
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=updates
#baseurl=http://mirror.centos.org/centos/$releasever/updates/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5
priority=1

#packages used/produced in the build but not released
[addons]
name=CentOS-$releasever - Addons
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=addons
#baseurl=http://mirror.centos.org/centos/$releasever/addons/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5
priority=1

#additional packages that may be useful
[extras]
name=CentOS-$releasever - Extras
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=extras
#baseurl=http://mirror.centos.org/centos/$releasever/extras/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5
priority=1

#additional packages that extend functionality of existing packages
[centosplus]
name=CentOS-$releasever - Plus
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=centosplus
#baseurl=http://mirror.centos.org/centos/$releasever/centosplus/$basearch/
gpgcheck=1
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5
priority=2

#contrib - packages by Centos Users
[contrib]
name=CentOS-$releasever - Contrib
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=contrib
#baseurl=http://mirror.centos.org/centos/$releasever/contrib/$basearch/
gpgcheck=1
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5
priority=2

Agora vamos instalar o repositório EPEL.

Para sistemas i386 (32 bits):

# rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-3.noarch.rpm

Para sistema x86_64 (64 bits):

# rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/x86_64/epel-release-5-3.noarch.rpm

Ainda nos repositórios vamos editar agora o epel.repo e deixá-lo como abaixo:

[epel]
name=Extra Packages for Enterprise Linux 5 - $basearch
#baseurl=http://download.fedoraproject.org/pub/epel/5/$basearch
mirrorlist=http://mirrors.fedoraproject.org/mirrorlist?repo=epel-5&arch=$basearch
failovermethod=priority
enabled=1
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL
priority=12

[epel-debuginfo]
name=Extra Packages for Enterprise Linux 5 - $basearch - Debug
#baseurl=http://download.fedoraproject.org/pub/epel/5/$basearch/debug
mirrorlist=http://mirrors.fedoraproject.org/mirrorlist?repo=epel-debug-5&arch=$basearch
failovermethod=priority
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL
gpgcheck=1
priority=12

[epel-source]
name=Extra Packages for Enterprise Linux 5 - $basearch - Source
#baseurl=http://download.fedoraproject.org/pub/epel/5/SRPMS
mirrorlist=http://mirrors.fedoraproject.org/mirrorlist?repo=epel-source-5&arch=$basearch
failovermethod=priority
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL
gpgcheck=1
priority=12

Quanto maior o valor do priority, menor é a prioridade dos pacotes, assim se tiverem 2 pacotes iguais, um no repositório do CentOS e outro no EPEL, o pacote que será instalado será o do CentOS e não do EPEL.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Configurando o Kernel e a Bridge
   3. IPtables, libcap e Squid
   4. Adicionando repositório EPEL
   5. Instalando o ebtables e configurações finais
Outros artigos deste autor

Adicionando suporte ao Layer7 no CentOS 5.3

Adicionando suporte ao Layer7 no Debian Lenny

Leitura recomendada

Proxy em paralelo com o mikrotik

Proxy Squid Transparente

Filtro de conteúdo autenticado com níveis de privilégio

Servidor proxy com Squid - Instalação e configuração

MySAR - Um ótimo analisador de logs do Squid

  
Comentários
[1] Comentário enviado por removido em 26/05/2010 - 14:54h

Fala Gondim.

Parabéns por mais um grande Artigo.

[]'s

[2] Comentário enviado por joaopaulobrinate em 15/06/2010 - 00:38h

Rapaz parabens pela sua documentacao.... vc ta de parabens.... abs ai amigo... aki passa o msn ai rapaz...

[3] Comentário enviado por removido em 22/06/2010 - 19:32h

amigo boa noite..estou montando um server com cent os 64 bits mas queria saber como deixar o squid 3.1 no cent os com cache full pois ele vem com o path zph nativo mas tem que sair na compilação...qual comando adiciono na linha? e quais linhas adiciono no squid.conf para o cache full?


[4] Comentário enviado por gondim em 23/06/2010 - 09:20h

Opa. Ainda não usei esse cara não mas você pode tentar adicionar na linha do ./configure esse parâmetro: --enable-zph-qos

Tipo ficaria algo assim:

./configure --prefix=/usr --mandir=/usr/share/man --infodir=/usr/share/info --datadir=/usr/share --localstatedir=/var/lib --sysconfdir=/etc/squid --libexecdir=/usr/libexec/squid --localstatedir=/var --datadir=/usr/share/squid --enable-removal-policies=lru,heap --enable-icmp --disable-ident-lookups --enable-cache-digests --enable-delay-pools --enable-arp-acl --with-pthreads --with-large-files --enable-htcp --enable-carp --enable-follow-x-forwarded-for --enable-snmp --enable-ssl --enable-async-io=32 --enable-linux-netfilter --enable-epoll --disable-poll --with-maxfd=16384 --enable-err-languages=Portuguese --enable-default-err-language=Portuguese --enable-zph-qos

[5] Comentário enviado por demattos em 27/07/2010 - 13:00h

opa bom dia, muito bom este artigo e proveitoso, fiz todo o processo e funciona show de bola. Mas ocorreo o seguinte ,fiz todos os testes em bancada e funcionou perfeitamente mas quando coloquei na rede com ip valido minha rede ficou doida, queria saber se ocorreo isto com vc,

Meu cenario e o seguinte

Tenho um swite ligado em um roteador com a rede 200.215.XX192/29 e um firewall ( squid+NAT+controle) ligado por uma placa de rede ligado no swit do roteador e outra placa ligado em um swit com rede 172.31.XX.1 que sai para rede interna. Bom eu fiz o que ? montei esta maquina Tproxy e liguei do swit do roteador pela placa eth0 e a eth1 liguei no swit da rede interna para prover ip valido em algumas maquina desta rede, ai que ficou feia a coisa rsrsr a rede parou de fucionar....tem alguma ideia do que seja, acredito q e vacilo meu mas nao achei o erro.
OBS: queria q o firewall e o a maquina Tproxy na mesma rede onde para algumas maquina colocario o ip valido e outras continuaria com a rede do firewall.




Por favor me ajude....rsrsrs
Obrigado pela atencao.

[6] Comentário enviado por gondim em 29/07/2010 - 10:50h

Opa, aqui funciona exatamente como está no desenho da rede. Nossa rede tem atualmente mais de 1000 conexões simultâneas e links de 100Mbps. Todos os nossos assinantes recebem IPs públicos dinamicamente.
Para o TProxy funcionar o mesmo teria que ter roteamento até as estações dos clientes, porque o TProxy spoofa o IP do assinante e depois responde para ele, se nesse momento o Tproxy não tiver roteamento para o cliente aí não vai funcionar mesmo. Vamos dizer que o IP do assinante fosse 192.192.192.50 quando passa pelo TProxy o mesmo spoofa esse IP e passa à usar o 192.192.192.50 para fazer as consultas daquele assinante. No retorno os pacotes precisam passar pelo Tproxy e aí o mesmo envia os dados para a máquina 192.192.192.50. Resumindo se do Tproxy não tiver roteamento para dele chegar ao IP 192.192.192.50, então não funcionará. :)

[7] Comentário enviado por demattos em 31/07/2010 - 12:54h

E verdade,descobri o erro e foi resolvido, era exatamente o que vc relatou, coloquei o tproxy em sequencia do roteador como no diagrama ai funcionou perfeitamente.....obrigado pela atencao

[8] Comentário enviado por luiginardelli em 12/08/2010 - 17:30h

Boa Tarde Godim,

Caramba, quanta coisa que tem alterar para fazer funcionar o tproxy né, chamais conseguiria sem o auxilio de seu artigo, muito bom mesmo.. parabéns.

Tenho uma dúvida será que você poderia me ajudar ?

Olha só, a pergunda é semelhante a do "demattos" só que a diferença é que estou com o tproxy em sequencia veja só :

>>>>---| Clientes |-->>>--| Router RB800 |-->>>>--| Tproxy |-->>>--| Router Rb450G |-->>>--| Internet |

Clientes: 192.168.X.0/24
Rb800: 192.168.X.254
Tproxy: 192.168.X.200
Rb450G: 192.168.Y.254

Erro no squid: O servidor DNS retornou: Timeout via navegador

esse erro se deu quando habilito a regra do ebtables...

Outra coisa: qual é a verdadeira função do ebtables e porque ele está em DROP ?

Obrigado pela paciencia e atenção...

Atenciosamente

Luiz


[9] Comentário enviado por luiginardelli em 19/08/2010 - 08:28h

Descobri meu erro e agora está funcionando, meu erro estava em um gateway que não existia (hehehehe) desculpe a todos...

Tenho outra dúvida, meu squid está gerando no arquivo "store.log" o seguinte aviso:

WARNING: HTTP: Invalid Response: Bad header encountered from www.qualquersite.combr AKA www.qualquersite.combr

O que é isso ?

Obrigado

Luiz

[10] Comentário enviado por cicerosouza em 11/11/2010 - 15:51h

Caro amigo, como faço para aplicar o TProxy no kernel 2.6.26-2?

Obrigado

[11] Comentário enviado por gondim em 11/11/2010 - 17:00h

Opa veja se esse meu tuto lhe ajuda:

http://www.linuxinfo.com.br/squid_tproxy_ubuntu.htm

[]´s

[12] Comentário enviado por luizrfabri em 07/04/2011 - 15:02h

Olá, configurei exatamente como manda seu tuto ( por sinal excelente), porem da erro ao iniciar o squid, conforme o log abaixo do squid.out:
WARNING: -D command-line option is obsolete.
O que poderia estar causando esse erro?

Acabei resolvendo o problema logo em seguida, no seu script o squid aponta os logs para /var/logs/squid e no meu centos o default é /var/log/squid, fiz as devidas alterações, acertei as permissões dos arquivos e rodou tudo certinho.

[13] Comentário enviado por gondim em 07/04/2011 - 15:35h

Olá, isso não é um erro e sim um warning, que diz que o parâmetro -D é obsoleto para a versão de squid que você tá usando. Para não dar a mensagem basta rodar sem o -D. :)

[14] Comentário enviado por luizrfabri em 09/04/2011 - 13:33h

Olá gondim, ja que vc respondeu tão prontamente a minha duvida, vou deixar mais uma aqui srsr:

Eu preciso que um dominio nao seija cacheado, ou seja, os clintes tem que acessar o mesmo sem q seja armazenado, exsite alguma regra que eu possa fazer no squid ou no iptables para que eu retire esse dominio do proxy?
Lembrando que essa regra terá que ser valida para todos os usuarios.
Grato por qualquer ajuda.

Luiz

[15] Comentário enviado por thiagoirch em 12/05/2011 - 16:48h

Gondim, show de bola teu tuto, tive de fazer alguma alterações para adquar a meu ambiente (Provedor de internet com 6 mil usuários) e realmente a performance ficou muito boa e a economia de link na casa de 20% no entanto estou com um problema e não consigo detectar a solução. O Squid ou a Bridge está interrompendo download de usuários mais sensiveis. Por exemplo o usuário começa a baixar um arquivo de 100MB quando chega em 40% (número aleatório as vezes é 20 as vezes 80) o download é do nada "concluido" ainda com o arquivo incompleto. Se puder me ajudar.

[16] Comentário enviado por blaizer em 22/06/2014 - 16:02h

Otimo tutorial !!

Deu certinho aqui , no centos 6.5, tive dificuldade apenas com o libpcap .. mas resolvi.

Uma duvida amigo, montei tudo encima de 192.168.0.0/24 , funcionou.... se eu trafegar nesta bridge com 192.168.1.0/24 "subnet diferente" ele não funciona.

Você teria alguma ideia doque poderia ser?

Já adicionei as rotas das subnet e mesmo assim não funcionou, o server até faz ping nos pc's da outra subnet, mas nada de navegar.

Obrigado


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts