Implementar squid em uma rede já com proxy [RESOLVIDO]

cream3
(usa Outra)

Enviado em 25/01/2011 - 09:50h

Pessoal, sei que não é muito viavel, mas, necessito implementar um servidor de cache (squid).

Sequinte, tenho um proxy que me dá o ip 10.31.20.4, os computadores da rede estão como dhcp e os navegadores acessando o proxy por este ip citado acima.
Bom, distribuimos a internet via wirelees para um outro predio onde os usuários acessam a internet via o mesmo proxy acima.

Gostaria de implementar neste segundo predio um servidor de cache com squid. Seria servidor transparente com nat?

No caso, teria que configurar a placa de rede do server (vou chamar de proxy2) eth0 com um range de ip, mais mascara, mais a configuração de acesso a proxy via ip do proxy1?

Configurar o iptables?

e como ficaria a conf de rede do squid, porque a de controle de acesso está tranquilo.

cream3
(usa Outra)

Enviado em 25/01/2011 - 11:06h

Estou lendo sobre o cache_peer

parece que pode resolver, vou fazer alguns testes.

Diede
(usa Debian)

Enviado em 25/01/2011 - 13:06h

Você auto-respondeu sua pergunta.
No seu caso você pode implementar outros proxies, mas configure-os como peers (filhos) do proxy principal.
Depois de configurado o peer, nada te impede de fazer transparente com nat, ter dhcp próprio, etc. Só teria que ter um server com 2 placas de rede...

cream3
(usa Outra)

Enviado em 25/01/2011 - 13:11h

Ahhh, entao para ele ser transparente, ele terá que ter 2 placas de rede?
a primeira com range da rede local e a segunda com a saida.

bom, se o range da priemira rede é 10.31.20.x, como configuraria a segunda?
teria como fazr um exemplo?

Diede
(usa Debian)

Enviado em 25/01/2011 - 13:31h

Você pode ter um server peer com uma placa de rede só, mas daí fica um pouco mais difícil configurar um DHCP próprio, já que sem isolamento ele pode "vazar" para a rede do vizinho e começar a distribuir sua faixa de IP indevidamente.
O Ambiente ideal seria assim:

Proxy existente -----> Seu server (duas placas de rede) ---> Seu AP.

Seu servidor teria 2 placas de rede.
Na primeira você liga a estrutura existente, que te dá acesso ao proxy existente, da forma como está agora.
Você configura um squid para usar o proxy existente como pai (peer), seta como transparent e configura uma REDIRECT no iptables.
Instala DNS, DHCP (PS: A rede existente é 10.31.20.x, mas você pode usar a que quiser na sua faixa. É indiferente.).
E na segunda placa de rede liga o seu AP, que distribui Wireless para o segundo prédio...

A configuração do seu squid seria algo assim:

cache_peer [IP_DO_PROXY_ATUAL] parent 3128 0 proxy-only
cache_peer_access [IP_DO_PROXY_ATUAL] allow all

cream3
(usa Outra)

Enviado em 26/01/2011 - 17:02h

pessoal segue meu squid.conf

parece que ele começou a querer funcionar e parou.
No log access, me apareceu duas paginas de teste, mas, o teste sendo feito dentro do proprio servidor.
no log cache, não me mostra nenhuma estatistica sendo processada.

postar o codigo:

http_port 3177 transparent

acl manager proto cache_object
acl localteste src 10.31.20.84/32
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
#http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

#Allow ICP queries from local networks only
icp_access allow localnet
icp_access deny all
icp_access allow localteste

# For example,
#
# # proxy icp
# # hostname type port port options
# # -------------------- -------- ----- ----- -----------
cache_peer 10.31.20.253 parent 3177 0 proxy-only default
# cache_peer sib1.foo.net sibling 3128 3130 proxy-only
# cache_peer sib2.foo.net sibling 3128 3130 proxy-only
#

cache_peer_access 10.31.20.253 allow all

cache_dir ufs /home/seminmg/squid 140000 10 1000
maximum_object_size 102400 KB

#########################################################################################
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
refresh_pattern -i^http://.*\.(css|htm|html|ico|js|jsp|xml)$ 1440 80% 20000
refresh_pattern -i^http://.*\.(bmp|gif|jpeg|jpg|png)$ 1440 80% 20000
refresh_pattern -ittp://.*\.(ace|adt|arj|asf|avi|bin|bz2|bzip|cab|dat|dll|doc|dot|exe|fla|gz|iso|lha|log|lzh|mdb|mid|mov|mp3|mpeg|mpg|msi|mso|ogg|pps|ppt|rar|rm|rtf|shs|src|sys|swf|tgz|tif|ttf|wav|wma|wri|wmv|vpu|vpaa|vqf|vob|zip)$ 43200 100% 20000

#refresh_pattern -i\.flv$ 10080 90% 999999 ignore-no-cache override-expire ignore-private


#acl youtube dstdomain .youtube.com
#cache allow youtube

#########################################################################################


Para colocar transparente fiz:

# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to- port 3177

////////////////////////////////////////////////////////////////////////

cream3
(usa Outra)

Enviado em 27/01/2011 - 10:28h

pessoal alguem poderia ver isso para mim? Estou passando apertado

cream3
(usa Outra)

Enviado em 28/01/2011 - 10:03h

Problema era no arquivo de configuração do squid. squid.conf


Obrigado pela força.