Centos 5.4 Squid

fabio_floripa
(usa Ubuntu)

Enviado em 14/05/2010 - 15:21h

Pessoal, Apos um ano de desistencia voltei a mexer no linux e novamente estou encontrando dificuldades mas desta vez nao quero desistir como antes.
Quero configurar um servidor de internet. que faça cache controle com cbq e bloquear alguns sites e serviços.
1-Instalaçao do centos Sucesso!
2-Instalaçao squid,sarg e webmin tudo seguindo tutos linha por linha ok
3- Fazer a coisa funcionar 2 anos de fracasso!
Meu cenario é o seguinte:
3 links 192.168.1.1 8mb, .1.6 10mb e .2.1 3mb.
centos eth0 192.168.1.81 - eth1 192.168.2.2
Pela eth1 eu consigo acessar o modem porem nao navega nem pinga pra lugar nenhum.
pela eth0 navega na boa o enxerga a rede.
Segui os tutos daki do site e quando configuro um cliente com dhcp apontando para o centos eu recebo uma pagina de que o servidor (squid) nao foi capaz de encontrar o endereço, e toda a comunicaçao com a net para.
Rodei este comando :
iptables -A PREROUTING -i eth0 -s 10.10.10.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -A PREROUTING -i eth0 -s 10.10.10.0/24 -p udp -m udp --dport 80 -j REDIRECT --to-ports 3128
iptables -A POSTROUTING -o eth1 -j MASQUERADE

Mas nada mudou. Peço a ajuda de vcs e posso ate fazer tudo outra vez do zero! so quero entender isso e faze-lo funcionar.. estou a tempos tentando migrar do isa para o linux mas minhas experiencias tem sido so derrota. To começando a me achar burro de mais!

Agradeço qualquer ajuda desde ja!

irado
(usa XUbuntu)

Enviado em 15/05/2010 - 21:07h

ptables -A PREROUTING -i eth0 -s 10.10.10.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

esta linha aqui está errada:
iptables -A PREROUTING -i eth0 -s 10.10.10.0/24 -p udp -m udp --dport 80 -j REDIRECT --to-ports 3128

o squid não (não sabe, não foi projetado para) tratar udp ;)

por outro lado, o dhcpd aguarda conexões da LAN pelas porta 67 e 68 udp, portanto:

iptables -A INPUT -i <interface.da.lan> -p udp -m multiport --destination-ports 67:68 -j ACCEPT

korvoman
(usa Debian)

Enviado em 15/05/2010 - 21:28h

Boa noite, se retorna a página do squid, que não localizou a página, é direcionado a problemas com o dns. Confira a qual dns que o dhcp entrega. Se apontar ao centos, lhe recomendo instalar e configurar o bind para fazer cache também.
Outro detalhe importante, o que deve estar faltando é o parâmetro ao kernel que permite o repasse de pacotes:

echo 1 > /proc/sys/net/ipv4/ip_forward

Por gentileza explique como está sua rede hoje, para que possibilite melhor compreensão.

fabio_floripa
(usa Ubuntu)

Enviado em 19/05/2010 - 15:59h

Eu ja respondi esse tópico mas nao apareceu intao vamos lá.. primeiro peço desculpas pela minha falta de motivaçao é que neste dia eu fiquei bem chateado por nao ter feito o squid funcionar.
Meu cenario é: 2 links 192.168.1.1 e 192.168.2.1(feito para o squid)
DHCP e DNS: windows 2003 rede interna 192.168.1.0/24
Centos/squid: rede externa 192.168.2.2(abre a pagina do modem mas nao pinga nem navega pra fora) - Rede interna 192.168.1.1(navega normal).
Preciso que que os makinas usem o squid para fazer cache e controlar banda e acesso(ja virou zona faz tempo!)Os pc devem utilizar o meu dns 192.168.1.50 pois o site da empresa e os programas web estao em um servidor aki do meu lado e controlo os endereços por este dns!
Sera que deu pra entender? alguem pode iluminar o meu caminho?
Muito obrigado gente..
Sucesso a todos!!

korvoman
(usa Debian)

Enviado em 19/05/2010 - 23:50h

Boa noite,
Antes de qualquer coisa, confira a navegabilidade do modem de ip final 2.2 em uma maquina separada.Se estiver ok, o problema apontado são as rotas do kernel a ser trabalhadas.

Sobre a disponibilidade de dois links para internet, conheço duas soluções que lhe atenderia, que é fazer balanceamento de carga ou direcionar por classe de ips por saidas de links.

Ambas soluções lhe direcionam a aplicação do iproute, o qual voce tratará de duas rotas de saidas ao kernel.
A implantei esta solução com base neste site : http://lartc.org/howto/lartc.rpdb.multiple-links.html

A segunda solução é mais simples porem limitada.
tcp_outgoing_address 192.168.2.4 academ , o qual defino ip de saida de meu servidor squid, no caso o ip privado "192.168.2.4" para a acl academ. Esta regra academ pode ser uma lista de ips, ou faixa de rede, site web, e por ai vai.

Sobre a utilização de dns, há uma diretiva ao squid : dns_nameservers 192.168.1.50
O squid possue tambem controle de trafego interno, no vol há tutoriais sobre isto.
Tuning de performace do squid pode ser feito no tamanho do cache em memoria, o sistemas de armazenamento,"refresh_patterns". Um link para referncia : http://www.linux.com/archive/feature/153221

Algo para o futuro, o qual voce poderia implantar, caso os links sejam de fornecedores diferentes é o fault-tolerance, há o patch nano que tratada disto melhor juntamente com o iproute.Já testei e gostei do resultado, porem estou finalizando para colocar em produção em uma faculdade.

Contudo lhe sugiro fazer tudo da forma mais simples, para que facilite na sua aprendizagem. Comece com apenas um link, e aos poucos após o acerto do squid, efetue testes com o link alternativo. Com tudo é bom fazer teste em máquinas virtuais, até que tenha segurança em aplicar na area de produção.