Montando squid

fabrin
(usa CentOS)

Enviado em 23/10/2010 - 21:38h

Pessoal, tenho uma rede com 70 usuários, vou colocar um proxy num ubuntu 9.04, um pentium d 3.0 com 2gb de ram. Qual a melhor posição do proxy na estrutura? deixo ele como gateway dos pcs e faço ele encaminhar todos os pacotes para o firewall? ou adiciono ele na rede somente como proxy deixando como gateway dos pcs o firewall, tenho que levar em conta que se ele não for o gateway da rede apenas navegação http vai passar por ele, email e demais conexões não, isso vai otimizar a utilização da banda (switchs).
E aí....me dêem algumas sugestões.....obrigado.

Diede
(usa Debian)

Enviado em 24/10/2010 - 15:10h

Por economia de hardware (consolidação) é mais viável deixar essa máquina como proxy+gateway.
Em termos de banda, não há tanta diferença, já que necessariamente o squid só lida com HTTP. O ganho em sí vem em termos de controle. Nada como economizar banda filtrando adequadamente requisições (Firewall)

tlaloc
(usa Gentoo)

Enviado em 24/10/2010 - 15:21h

Diede tá certo.

Só que se você deixa seu squid como gateway da rede, você pode ter problemas com acesso não autorizado posteriormente.
Lembre-se que o gateway é o primeiro passo para dentro de uma rede. Logo, se alguém conseguir passar para dentro do Squid... bom, suas regrinhas de input bloqueando conexões externas serão ineficientes.

O ideal é o firewall ser o gateway, sempre. O firewall vai repassar as conexões para os lugares certos e os micros vão repassar as conexões ao firewall, que vai mandar para o squid, que vai passar de volta ao firewall e aí sim mandar para a porta de saída correta.

Esse é o padrão de segurança mínimo.
Se quisermos melhorar a segurança, já temos de falar em implementação de mais de um firewall.

dolivervl
(usa Slackware)

Enviado em 24/10/2010 - 16:20h

Eu sou a favor de separar o fw do proxy, cada um na sua.

fabrin
(usa CentOS)

Enviado em 25/10/2010 - 10:05h

O firewall que eu tenho é um 3com, então vou deixar assim:

3com(gateway do proxy) <--> proxy(gateway da lan) <--> switch <--> lan
mais seguro, só que sobrecarrega o proxy.

ou

3com(gateway da lan) <--> switch <--> lan
^
|
proxy

por exeperiência, o que vcs me dizem??

Diede
(usa Debian)

Enviado em 25/10/2010 - 12:43h

Agora ficou mais claro. Achei que o Firewall já era outra máquina Linux.
Siga o "modelo 1" por ser mais eficiente. Como o proxy será "forced", seus usuários não terão como escapar dele.
A não ser que as interfaces do seu proxy gerem algum gargalo (por exemplo elas serem 10/100 e a rede toda 10/100/1000) não haverá sobrecarga. Um P3 já é suficiente para manusear milhares de conexões por segundo.

fabrin
(usa CentOS)

Enviado em 25/10/2010 - 13:18h

E o detalhe de fazer nat duas vezes, no 3com e no proxy, não vai ficar mais lento?

yros
(usa Slackware)

Enviado em 25/10/2010 - 13:22h

Aqui na empresa o firewall é gateway da rede, deixo tudo bloqueado apenas navegação vindo do proxy que deixo em aberto, outro tipo de requisição tenho que liberar mas so após solicitarem, existe outra forma que seria o proxy sendo o default gateway da rede interna, e o firewall sendo o default gateway do proxy, porém toda porta que for necessário liberar voce terá que liberar no squid e permitir no firewall requisicoes do proxy para essa porta, o bom é que o firewall fica recebendo requisicoes somente do proxy, so que regras de PAT/NAT de ip publicos para ip privado ficam mais complicadas, pois o seu firewall sabe que é diretamente conectado a rede interna, porém a sua rede interna acha que para chegar ao ip publico tem que ir pelo proxy.

yros
(usa Slackware)

Enviado em 25/10/2010 - 13:29h

acredito que a segunda forma que voce postou e mais facil de gerenciar.

Aqui na empresa eh assim


3com(switch camada3)(Rede Giga)(Default GW)
| | |____Firewall(default GW da rede)--------WAN
| |
| |______Proxy
|______ Rede local