Sistema proxy (dos tarjetas de red):
Notas:
eth0 : Interfaz para la entrada de internet(WAN) eth1 : Interfaz para nuestra red local(LAN) red internet: eth0 ip de salida internet: 192.168.1.2 puerta de enlace: 192.168.1.1 red local: eth1 ip para la entrada lan: 192.168.0.1 puerta de enlace: <vacío> ip pc cliente: 192.168.0.x
Se prueba con la distribución ubuntu 9.04, pero esto puede aplicarse a toda distribución basada en debian, y con algunas modificaciones, también a distribuciones basadas en redhat.
Hagamos la configuración de internet, para nuestro ubuntu:
-Desactivamos las interfaces de red.
sudo ifdown eth0 sudo ifdown eth1
-Editamos el archivo “/etc/network/interfaces”
copiar:
Para la interfaz de salida
auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 192.168.1.2 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255 gateway 192.168.1.1
Para la interfaz de entrada, y seguido de lo anterior:
auto eth1 iface eth1 inet static address 192.168.0.1 netmask 255.255.255.0 network 192.168.0.0 broadcast 192.168.0.255
Guardamos y salimos.
Editar el archivo “/etc/resolv.conf”, y agregar las dns de nuestro proveedor de internet o el que deseemos
Copiar: (caso telefónica Perú)
nameserver 200.48.225.130 nameserver 200.48.225.146
Luego reiniciamos el servicio:
sudo /etc/init.d/networking restart
*Ahora que tenemos nuestras interfaces configuradas, procedemos a instalar squid, en este caso lo probamos con squid V2.7.STABLE3
sudo apt-get install squid
configuramos squid transparente
sudo gedit /etc/squid/squid.conf
modificamos:
http_port 3128 transparent cache_mem 30 mb cache_dir ufs /var/spool/squid 2000 16 256
y agregamos en la seccion de las acl’s:
acl red_local src 192.168.0.0/24 acl localhost src 127.0.0.1/32
Agregamos lo siguiente después de donde dice:
“#INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS”
http_access allow localhost http_access allow red_local
reemplazamos en “maximum_object_size_in_memory 8 KB” por “maximum_object_size_in_memory 100 KB”
Esto indica que haremos cache de a lo más 100KB, esto debe depender de cada uno.
reemplazamos en “cache_replacement_policy lru” por “cache_replacement_policy heap gdsf”
Con esto indicamos el tipo de algoritmo que se ha de seguir para poder administrar los archivos que se encuentran en cache.
para más información visitar aqui.
Luego la parte esencial de todo esto, la configuración de los patrones de refresco.
# Debian refresh_pattern -i \.deb$ 129600 100% 129600 refresh_pattern -i \.gz$ 129600 100% 129600 refresh_pattern -i \.bz2$ 129600 100% 129600 # Imagenes refresh_pattern -i \.gif$ 14400 80% 43200 refresh_pattern -i \.tiff?$ 14400 80% 43200 refresh_pattern -i \.bmp$ 14400 80% 43200 refresh_pattern -i \.jpe?g$ 14400 80% 43200 refresh_pattern -i \.xbm$ 14400 80% 43200 refresh_pattern -i \.png$ 14400 80% 43200 refresh_pattern -i \.wrl$ 14400 80% 43200 refresh_pattern -i \.ico$ 14400 80% 43200 refresh_pattern -i \.pnm$ 14400 80% 43200 refresh_pattern -i \.pbm$ 14400 80% 43200 refresh_pattern -i \.pgm$ 14400 80% 43200 refresh_pattern -i \.ppm$ 14400 80% 43200 refresh_pattern -i \.rgb$ 14400 80% 43200 refresh_pattern -i \.ppm$ 14400 80% 43200 refresh_pattern -i \.rgb$ 14400 80% 43200 refresh_pattern -i \.xpm$ 14400 80% 43200 refresh_pattern -i \.xwd$ 14400 80% 43200 refresh_pattern -i \.pict?$ 14400 80% 43200 # Movies refresh_pattern -i \.mov$ 14400 80% 43200 refresh_pattern -i \.mpe?g?$ 14400 80% 43200 refresh_pattern -i \.avi$ 14400 80% 43200 refresh_pattern -i \.qtm?$ 14400 80% 43200 refresh_pattern -i \.viv$ 14400 80% 43200 refresh_pattern -i \.swf$ 14400 80% 43200 # Sounds refresh_pattern -i \.wav$ 14400 80% 43200 refresh_pattern -i \.aiff?$ 14400 80% 43200 refresh_pattern -i \.au$ 14400 80% 43200 refresh_pattern -i \.ram?$ 14400 80% 43200 refresh_pattern -i \.snd$ 14400 80% 43200 refresh_pattern -i \.mid$ 14400 80% 43200 refresh_pattern -i \.mp2$ 14400 80% 43200 refresh_pattern -i \.mp3$ 14400 80% 43200 # Archives refresh_pattern -i \.sit$ 14400 80% 43200 refresh_pattern -i \.zip$ 14400 80% 43200 refresh_pattern -i \.hqx$ 14400 80% 43200 refresh_pattern -i \.exe$ 14400 80% 43200 refresh_pattern -i \.arj$ 14400 80% 43200 refresh_pattern -i \.lzh$ 14400 80% 43200 refresh_pattern -i \.lha$ 14400 80% 43200 refresh_pattern -i \.cab$ 14400 80% 43200 refresh_pattern -i \.rar$ 14400 80% 43200 refresh_pattern -i \.tar$ 14400 80% 43200 refresh_pattern -i \.gz$ 14400 80% 43200 refresh_pattern -i \.z$ 14400 80% 43200 refresh_pattern -i \.a[0-9][0-9]$ 14400 80% 43200 refresh_pattern -i \.r[0-9][0-9]$ 14400 80% 43200 # Data files refresh_pattern -i \.txt$ 14400 80% 43200 refresh_pattern -i \.pdf$ 14400 80% 43200 refresh_pattern -i \.doc$ 14400 80% 43200 refresh_pattern -i \.rtf$ 14400 80% 43200 refresh_pattern -i \.tex$ 14400 80% 43200 refresh_pattern -i \.latex$ 14400 80% 43200 # Java-type objects refresh_pattern -i \.class$ 14400 80% 43200 refresh_pattern -i \.js$ 14400 80% 43200 refresh_pattern -i \.class$ 14400 80% 43200 # Web-type objects refresh_pattern -i \.css$ 10 20% 4320 refresh_pattern -i \.html?$ 10 20% 4320 refresh_pattern \/$ 10 20% 4320 # Para evitar problemas con scripts .do refresh_pattern -i \.do$ 0 0% 1440 # Default refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320
Finalmente:
Reiniciamos el servicio squid:
sudo /etc/init.d/squid restart
Aquí el cliente (192.168.0.x) podría egresar a internet por medio del proxy configurado desde el navegador.
Reglas de iptables
sudo iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 192.168.1.2 sudo iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 #permitir conexión entre las interfaces de red echo 1 > /proc/sys/net/ipv4/ip_forward
Las anteriores lineas, se guardan en un archivo “proxy_rules.sh” en “/etc/init.d/” luego le damos permisos de ejecución
Luego editamos el archivo “/etc/init.d/rc.local” y le agregamos al inicio
cd /etc/init.d ./proxy_rules.sh
Con esto hacemos que desde el inicio squid funcione de manera transparente.
Reconfiguramos el servicio squid:
sudo squid -k reconfigure
Con esto el cliente (192.168.0.x) puede navegar por internet, sin necesidad de configurar el proxy en su navegador, es decir en modo transparente.
Comentarios
hola soy nuevo en linux tengo instalado Mikrotik el cual hace de athenticacion de clientes y de web proxi y quiero ponerle un squid para cache mi consulta seria como puede configurar el para que cachee el squid solamente con una solo ether? porque aca el ejemplo esta con 2 ether. y otra cosa el thundercahce es free o es pago? saludos y muy buena la web gracias.
Hola,
si tienes un proxy con mikrotik, entonces puedes colocar el squid como proxy padre. osea despues de tu mikrotik, pasa por el squid y de ahi regresa al mk y después a internet, para tener más información deberías de buscar un tuto por internet.
http://under-linux.org/f284/mikrotik-thundercache%3D-perfeito-126156/
y el thundercache 3.0 es shareware, osea es gratis pero sin código fuente.
salu2.
desde ya gracias por la rta tan rapida, ahora en una localidad tengo armado el mikrotik con un proxi cache de videos y el mikrotik tiene 3 placas 1-wan 1-clientes 1-ciclope y el ciclope(proxi cache de videos) tiene en uso una sola lan ahora mi consulta es como lo puedo aramar asi? porque este que te menciono me lo armaron y me salio bastante caro por eso estoy intentando instalarlo yo en otro lado el mikrotik ya lo tengo pero le quiero agregar el cahce de video. Se como enlazarlos con el mkt pero la configuracion del squid.conf es lo que me cuesta si tengo 2gb de Ram y 500gb de disco cual es la configuracion mas recomendable? desde ya muchas gracias.
Si ya tienes configurado el mikrotik, entonces no hay problema, debes de configurar el squid, casi como por defecto.
poniendo http_port (no pongas transparente)
de donde el proxy tiene el gw el ip por donde se conecta con el mikrotik.
y supongo que tu mikrotik esta como cache hijo y el thunder como cache parent
salu2.
DISULPA MI OTRA P? EL PRIMER PASO QUE AGO ES INSTALAR DEBIAN 5 EN FORMA ESTANDAR LUGO INSTALO THUNDERCAHE ALGO QUE NO ENTIENDO TRABAJA CON DOS TARGETAS DE RED O UNA SOLA DOMAS
DIME UNOS PASOS PLIZ LA VERDAD SOY NUEVO EN ESTAS COSAS DE ROMPE CABEZAS ESTOY CONECTADO email: comunicaciones_satelitales@hotmail.com
Hola, el thunder puede trabajar con 1 o dos tarjetas de red, en tu caso que vas a usarlo con el mikrotik, debes de tener 1 tarjeta de red.
dime como como hago para configurar una sola targeta de red proxy trasparante y que me de acceso al internet
primero quiero configurar este caso,,,, luego le pongo thunder cache
amigo necesito ayuda soy nuevo con linux, quiero implementar en mi red un servidor squid para cachear videos, actulizaciones, etc, tengo implementado mikrotik con hotspot al momento utilizo el web proxy de mikrotik para realiazar el cache, pero no se como unir el servidor proxy con mikrotik, el servidor mikrotik tiene dos tarjetas de red una para la wan y la ptra para la lan, la wan recibe ip dinamica por el proveedor de internet, mi pregunta es hago esta configuracion y luego como lo integro al mikrotik?? por favor agradeceria su ayuda..
hola disculpa mi ???
pero ocurre que mi squid no bre completo la bandeja de entrada del correo hotmail.com
y otra es que squid lentea la navegacion del internet
como puedo ser para solucionar mi problema
Primeramente muchas gracias por el post. Estoy tratando con una sola tarjeta de red pero no logro hacer funcionar el squid transparente, esto en Ubuntu Server 10.10, esta es la configuración :
eth0:1 INTERNET
eth0 LAN
# /etc/network/interfaces
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 192.168.2.1
netmask 255.255.255.0
auto eth0:1
iface eth0:1 inet static
address 192.168.1.100
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.254
dns-nameservers 192.168.1.254
# /etc/squid/squid.conf
http_port 192.168.2.1:3128 transparent
acl localhost src 127.0.0.1/32
acl red_local src 192.168.2.0/24
http_access allow localhost
http_access allow red_local
# /etc/init.d/iptables.cf
# myFilter
# turn off IP forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -Z
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
iptables -F -t mangle
iptables -X -t mangle
iptables -Z -t mangle
iptables -F -t filter
iptables -X -t filter
iptables -Z -t filter
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 192.168.1.0/24 -j MASQUERADE
iptables -t nat -A PREROUTING -s 192.168.2.0/24 ! -d 192.168.2.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128
iptables -A INPUT -s 192.168.2.0/24 -i eth0 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth0 -p tcp –dport 993 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth0 -p tcp –dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth0 -p tcp –dport 465 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth0 -p tcp –dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth0 -p tcp –dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth0 -p tcp –dport 443 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth0 -p tcp –dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth0 -p udp –dport 53 -j ACCEPT
# Turn on IP Forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
Con proxy manual en los browsers cliente funciona bien, pero el proxy transparente falla. Agradezco la ayuda.
Saludos
En http_port, ubica el puerto y la entrada transparent.(http_port 3128 transparent).
otra observación, estas poniendo las politicas del forward en accept, y estas redundando, aceptando paquetes en determinados puertos. creo que te falto un iptables -A FORWARD -s 192.168.2.0/24 -i eth0 -p tcp -j DROP, igualmente con el INPUT, aceptas paquetes por defecto, y luego dices que los paquetes de la red 192.168.2.0/24 sean aceptados.
Salu2.
Gracias keikurono01 :
Ya hice los cambios que amablemente me sugeriste pero el problema persisteñ de hecho si le quito las reglas que tenia tampoco entra con proxy manual.
Algunas ideas para resolver esto ??
Tendrá sentido utilizar Bridgin para estos propositos ??
sudo apt-get install bridge-utils
Ahora el porqué lo tengo asi, es decir con un solo adaptador de red. Lo que pasa es que el servidor que estoy configurando (HP Proliant ML110 G6), trae dos adaptadores de red, sin embargo el proceso de instalación de Ubuntu Server 10.10, únicamente reconoció un solo adaptador de red.
Actualmente el driver utilizado para eth0 es el modulo tg3.ko, ubicado en /lib/modules/`uname -r`/kernel/drivers/net/
Es posible utilizar este mismo driver para habilitar la otra tarjeta física en eth1??
El adaptador que está en funcionamiento en eth0 es un “Broadcom NetXtreme BCM5723 Gigabit Ethernet”, pero el otro adaptador no tengo conocimiento de marca y modelo, pero supongo que debe ser igual. Gracias nuevamente por responder, espero tus comentarios …
Saludos
Hola, muy aparte de mis recomendaciones de los iptables, al principio dijiste que te funcionaba manualmente, en los browsers, entonces dejando los iptables como estaban, y cambiando la linea “iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 192.168.1.0/24 -j MASQUERADE”
por el “iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j SNAT –to 192.168.1.100″ (el –to con dos guiones).
De esa manera pues estas usando interfaces virtuales.
y el “http_port 192.168.2.1:3128 transparent” por el “http_port 3128 transparent”
y dejando las demás reglas de iptables como estaban.
hubo algun cambio?, sigue igual?.
Salu2!..
” No se encontró el servidor ”
Es lo que marca en los browsers cliente.
Hice el cambio que me recomendaste en squid:
# /etc/squid/squid.conf
http_port 3128 transparent
Siguiendo tu recomendación el iptables quedó asi:
# turn off IP forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -Z
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
iptables -F -t mangle
iptables -X -t mangle
iptables -Z -t mangle
iptables -F -t filter
iptables -X -t filter
iptables -Z -t filter
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j SNAT –to 192.168.1.100
iptables -t nat -A PREROUTING -s 192.168.2.0/24 ! -d 192.168.2.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128
iptables -A INPUT -s 192.168.2.0/24 -i eth0 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth0 -p tcp –dport 993 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth0 -p tcp –dport 110 -j ACCEPT
iptables -A INPUT -s 192.168.2.0/24 -i eth0 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth0 -p tcp –dport 993 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth0 -p tcp –dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth0 -p tcp –dport 465 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth0 -p tcp –dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth0 -p tcp –dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth0 -p tcp –dport 443 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth0 -p tcp –dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth0 -p udp –dport 53 -j ACCEPT
# Turn on IP Forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
Una pregunta en la regla que me recomendaste ” iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j SNAT –to 192.168.1.100 ” Si estás considerando la definición que tengo en /etc/network/interfaces ?? :
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 192.168.2.1
netmask 255.255.255.0
auto eth0:1
iface eth0:1 inet static
address 192.168.1.100
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.254
dns-nameservers 192.168.1.254
Agradezco toda la atención que estás poniendo a esto.
Saludos
Solo para descartar que fuesen los dns, puedes probar navegando a la direccion: http://74.125.211.52/
y esto para probar tus reglas iptables : http://transamrit.net:8082/
Comentas los resultados.
“Una pregunta en la regla que me recomendaste ” iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j SNAT –to 192.168.1.100 ” Si estás considerando la definición que tengo en /etc/network/interfaces ??”
Sí, estoy siguiendo las ips de tu interfaces.
Salu2.
Resultado:
La conexión caducó
La operación superó el tiempo de espera al intentar conectar con 74.125.211.52.
Muy posiblemente el problema sea el acceso a los DNS server. En qué parte debo configurar esto para que Squid los encuentre ??
# /etc/resolv.conf
nameserver 192.168.1.254
domain gateway.2wire.net
search gateway.2wire.net
Estos son algunos fragmentos en /var/log/squid/cache.log :
2011/03/01 17:41:27| Performing DNS Tests…
2011/03/01 17:41:27| Successful DNS name lookup tests…
2011/03/01 17:41:27| DNS Socket created at 0.0.0.0, port 50079, FD 6
2011/03/01 17:41:27| Adding nameserver 192.168.1.254 from /etc/resolv.conf
2011/03/01 17:41:27| Adding domain gateway.2wire.net from /etc/resolv.conf
2011/03/01 17:41:27| Adding domain gateway.2wire.net from /etc/resolv.conf
…
2011/03/01 17:41:29| Accepting transparently proxied HTTP connections at 0.0.0.0, port 3128, FD 14.
2011/03/01 17:41:29| Accepting ICP messages at 0.0.0.0, port 3130, FD 15.
2011/03/01 17:41:29| HTCP Disabled.
2011/03/01 17:41:29| WCCP Disabled.
2011/03/01 17:41:29| Ready to serve requests.
Me llamó la atención particularmente:
” Accepting transparently proxied HTTP connections at 0.0.0.0, port 3128″
Espero tus comentarios, y perdona el tiempo que demoré pero iba en carretera precisamente a la ciudad del cliente. Muchas gracias.
Saludos
saludos tengo instalado el thunder 3.0 en ubuntu…. pero algunos de los videos musicales de youtube no se estan cacheando,,, son la mayoria… y no tengo idea de lo que pueda ser no se si me pueden hechar una manito…. estoy haciendo la misma configuracion que esplican aqui?????
Hola hay fallas en la instalacion hay librerias que no estan en las dependencias
no es automatizado ademas como vinculas con mikrotik
falto esa parte Gracias esta bueno
Trackbacks
[...] usar 2 tarjetas de red, deben de configurar el proxy en modo transparente, vean como se configura aqui, o pueden buscar "como configurar proxy transparente" en [...]
[...] usar 2 tarjetas de red, deben de configurar el proxy en modo transparente, vean como se configura aqui, o pueden buscar "como configurar proxy transparente" en [...]