só um detalhe que deve estar ocorrendo no cenário do colega: o patch deve ser aplicado no STABLE, 8.2-STABLE
no RELEASE não funciona. eu to sem tempo, mas fiz umas correções no patch do loos pra funcionar no RELEASE do 8.1 e 8.2, assim que der eu publico. abraços Em 8 de setembro de 2011 10:22, Patrick Tracanelli <[email protected]> escreveu: > Vou assumir o seguinte cenário, que é o que tenho aqui: > > - Lusca (último do ports) com TPROXY > - FreeBSD 8.2 com o patch do Loos que se encontra nesse e-mail/thread > - Regras de fwd como as desse e-mail/thread > - Lusca testado em modo roteado e com TPROXY funcional: fundamental pro seu > debug passo-a-passo > > Pergunta: > > - Seu tráfego não http passa normalmente pela bridge? > - Seu tráfego http sai pela bridge corretamente? (confira com tcpdump no > router) > - A resposta http volta pra bridge (confira com tcpdump na bridge freebsd) > - Ambos counters incrementam (saida/retorno) no ipfw show? > - O mesmo cenário em modo roteado (sem bridge) funciona? (a resposta tem que > ser SIM, e testado de fato) > > Voce não precisa modificar nada de comm_ips_freebsd.c e principalmente não > use Squid. > > Va de Lusca, FreeBSD 8.2 e teste primeiro o tproxy roteado. > > Tem que funcionar, e precisa funcionar antes de voce dar o proximo passo. > > Quando estiver OK aplique o patch do Loos, compile o kernel e adeque as > regras. > > Ai cole sua config da bridge, suas regras de firewall, seu squid.conf pra > sabermos o que e como :-) > > > > >> >> >>> Nenhuma opinião? >>> >>> Sei que a comunidade do FreeBSD não gosta de dar informações mais >>> aprofundadas (dar o peixe e sim ensinar a pescar), mas já corri a trás >>> o quanto eu pude, por isso estou perguntando aqui novamente. >>> >>> Já formatei a máquina coloquei o FreeBSD-7.4-Release, apliquei os >>> patch no kernel e no squid30 e estou com o mesmo problema. >>> >>> Já reformatei a máquina e voltei para o FreeBSD-8.2-Release, >>> modifiquei no lusca o comm_ips_freebsd.c, recompilei e a mesma coisa. >>> >>> Creio que o meu problema esteja agora penas no filtro do ipfw. Com >>> tudo rodando, bridge, lusca, etc. >>> >>> Os filtros estão incrementando mas não estão "chegando" no lusca, pois >>> não incrementa nada no access.log, store.log e nem no cache.log (nesse >>> incrementa apenas quando inicio o lusca, mensagens padrões...). >>> >>> Estou conseguindo acessar passando pela bridge, tudo normal. A bridge >>> freebsd está com ip setado e acessando a internet, pingando e >>> resolvendo nomes. Aparentemente tudo normal. >>> >>> Estão setando o ip público do freebsd em qual interface? Interna, >>> Externa ou na Bridge ? >>> >>> >>> Atenciosamente, >>> >>> Wenderson Souza >>> e-mail: [email protected] >>> msn: [email protected] >>> skype: wendersonsouza >>> >>> >>> >>> Em 31 de agosto de 2011 13:49, Wenderson Souza >>> <[email protected]> escreveu: >>>> Olá todos, >>>> >>>> Estou apanhando para fazer o tproxy funcionar no freebsd. >>>> >>>> Alguém poderia me dar uma "Luz" ? >>>> >>>> Meu cenário: >>>> >>>> FreeBSD 8.2-RELEASE sem aplicar nenhum patch (conforme recomendado) >>>> >>>> Lusca com o patch aplicado. >>>> # squid -v >>>> Squid Cache: Version LUSCA_HEAD-r14809 >>>> configure options: '--enable-delay-pools' '--enable-removal-policies' >>>> '--enable-snmp' '--enable-http-violations' '--bindir=/usr/local/sbin' >>>> '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/lusca' >>>> '--libexecdir=/usr/local/libexec/lusca' '--localstatedir=/var/lusca' >>>> '--sysconfdir=/usr/local/etc/lusca' '--enable-removal-policies=lru >>>> heap' '--disable-linux-netfilter' '--disable-linux-tproxy' >>>> '--disable-epoll' '--enable-auth=basic digest negotiate ntlm' >>>> '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB' >>>> '--enable-digest-auth-helpers=password' >>>> '--enable-external-acl-helpers=ip_user session unix_group >>>> wbinfo_group' '--enable-ntlm-auth-helpers=SMB' '--enable-storeio=aufs >>>> null' '--enable-wccp' '--enable-wccpv2' '--disable-ident-lookups' >>>> '--disable-kqueue' '--with-large-files' '--enable-large-cache-files' >>>> '--enable-err-languages=Portuguese' >>>> '--enable-default-err-language=Portuguese' '--prefix=/usr/local' >>>> '--mandir=/usr/local/man' '--infodir=/usr/local/info/' >>>> '--enable-freebsd-tproxy' '--build=amd64-portbld-freebsd8.2' >>>> 'build_alias=amd64-portbld-freebsd8.2' 'CC=cc' 'CFLAGS=-O2 -pipe >>>> -fno-strict-aliasing' 'LDFLAGS=' 'CPPFLAGS=' 'CPP=cpp' >>>> >>>> squid.conf - http_port 3128 transparent tproxy >>>> >>>> >>>> Bridge ativa e com as interfaces setadas, ips externos (tenho mais de >>>> um link) e internos setados (para controle interno) na bridge. >>>> >>>> regras de firewall: >>>> rl0 - interna >>>> rl1 - externa >>>> # redirect proxy >>>> ipfw add 150 fwd 127.0.0.1,3128 tcp from 189.x.x.0/25 to any 80 via rl0 >>>> ipfw add 151 fwd 127.0.0.1 tcp from any 80 to 189.x.x.0/25 via rl1 >>>> >>>> Consigo acessar, com o ip publico setado na maquina atrás da bridge, >>>> mas não está caindo no proxy. >>>> >>>> Apesar de estar incrementando as regras do ipfw, conforme abaixo: >>>> 00150 3152 649814 fwd 127.0.0.1,3128 tcp from any to any >>>> dst-port 80 via rl0 >>>> 00151 3018 2283772 fwd 127.0.0.1 tcp from any 80 to any via rl1 >>>> >>>> Estou acompanhando o cache.log e o access.log e não há nenhum >>>> incremento ou de erro (informação) ou de acesso. >>>> >>>> Agradeço desde já a possível ajuda de todos. >>>> >>>> >>>> Wenderson Souza >>>> e-mail: [email protected] >>>> msn: [email protected] >>>> skype: wendersonsouza >>>> >>>> >>>> >>>> Em 27 de agosto de 2011 12:04, Wenderson Souza >>>> <[email protected]> escreveu: >>>>> Hum, entao só precisaria mexer no lusca? >>>>> >>>>> Mas mesmo antes de aplicar o patch tentei compilar com IP_BINDANY e deu >>>>> erro. >>>>> >>>>> Vou retornar e testar. >>>>> >>>>> Reporto aqui. >>>>> >>>>> >>>>> Wenderson Souza >>>>> e-mail: [email protected] >>>>> msn: [email protected] >>>>> skype: wendersonsouza >>>>> >>>>> >>>>> >>>>> Em 27 de agosto de 2011 11:39, Marcelo da Silva >>>>> <[email protected]> escreveu: >>>>>> intaum.. aqui no manual: >>>>>> >>>>>> FreeBSD 8 already support this, but you will need to change the >>>>>> IP_NONLOCALOK to IP_BINDANY in src/comm.cc (or >>>>>> libiapp/comm_ips_freebsd.c under lusca). >>>>>> >>>>>> diz q no freebsd 8 ja tem o suporte, so precisa mexer no >>>>>> libiapp/comm_ips_freebsd.c under lusca >>>>>> >>>>>> >>>>>> >>>>>> On Sat, 27 Aug 2011 11:35:24 -0300, Wenderson Souza wrote: >>>>>>> Tentei colocar o options IP_BINDANY conforme o >>>>>>> http://tproxy.no-ip.org/ mas deu erro também. >>>>>>> >>>>>>> O que fiz, apliquei o patch na unha (no código) e estou recompilando >>>>>>> agora, assim que testar posto aqui. >>>>>>> >>>>>>> >>>>>>> Wenderson Souza >>>>>>> e-mail: [email protected] >>>>>>> msn: [email protected] >>>>>>> skype: wendersonsouza >>>>>>> >>>>>>> >>>>>>> >>>>>>> Em 27 de agosto de 2011 11:12, Marcelo da Silva >>>>>>> <[email protected]> escreveu: >>>>>>>> no fBSD 8.x o IP_NONLOCALBIND foi substituido pelo IP_BINDANY. >>>>>>>> axo q nao precisa recompilar >>>>>>>> >>>>>>>> http://tproxy.no-ip.org/ >>>>>>>> >>>>>>>> On Sat, 27 Aug 2011 10:17:52 -0300, Wenderson Souza wrote: >>>>>>>>> Bom dia, >>>>>>>>> >>>>>>>>> Ao tentar compilar o kernel recebi o erro abaixo: >>>>>>>>> >>>>>>>>> /usr/src/sys/amd64/conf/PROXY: unknown option "IP_NONLOCALBIND" >>>>>>>>> >>>>>>>>> Alguma luz? >>>>>>>>> >>>>>>>>> >>>>>>>>> Wenderson Souza >>>>>>>>> e-mail: [email protected] >>>>>>>>> msn: [email protected] >>>>>>>>> skype: wendersonsouza >>>>>>>>> >>>>>>>>> >>>>>>>>> >>>>>>>>> Em 27 de agosto de 2011 09:42, Wenderson Souza >>>>>>>>> <[email protected]> escreveu: >>>>>>>>>> Precisa recompilar o kernel e o lusca posteriormente? >>>>>>>>>> >>>>>>>>>> Pois o patch pelo que vi é aplicado no soucre do Kernel, não? >>>>>>>>>> >>>>>>>>>> # uname -a >>>>>>>>>> FreeBSD proxy.xxx.com.br 8.2-RELEASE FreeBSD 8.2-RELEASE #3: Thu >>>>>>>>>> Aug >>>>>>>>>> 25 22:43:06 BRT 2011 >>>>>>>>>> [email protected]:/usr/obj/usr/src/sys/PROXY amd64 >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> Wenderson Souza >>>>>>>>>> e-mail: [email protected] >>>>>>>>>> msn: [email protected] >>>>>>>>>> skype: wendersonsouza >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> Em 27 de julho de 2011 15:10, Hygor <[email protected]> >>>>>>>>>> escreveu: >>>>>>>>>>> Boa tarde, >>>>>>>>>>> O Lusca está marcando TOS com o patch aplicado? >>>>>>>>>>> >>>>>>>>>>> Obrigado pela solução... >>>>>>>>>>> >>>>>>>>>>> Hygor Cavalcante >>>>>>>>>>> FSNETWORK CONSULTORIA >>>>>>>>>>> Skype: hygorr >>>>>>>>>>> MSN: [email protected] >>>>>>>>>>> EMAIL: [email protected] >>>>>>>>>>> >>>>>>>>>>> >>>>>>>>>>> >>>>>>>>>>> Em 24 de julho de 2011 18:43, slp <[email protected]> escreveu: >>>>>>>>>>> >>>>>>>>>>>> Ola, >>>>>>>>>>>> >>>>>>>>>>>> Testei o patch e tambem funcionou para mim, mesmo cenario, Lusca >>>>>>>>>>>> em >>>>>>>>>>>> bridge entre os clientes e a net. >>>>>>>>>>>> >>>>>>>>>>>> Obrigado pela solucao. >>>>>>>>>>>> >>>>>>>>>>>> Sidnei >>>>>>>>>>>> >>>>>>>>>>>> >>>>>>>>>>>> Em 21/07/2011 23:58, Luiz Otavio O Souza escreveu: >>>>>>>>>>>>> Hello folks, >>>>>>>>>>>>> >>>>>>>>>>>>> Eu (finalmente) tenho o lusca funcionando em modo bridge com o >>>>>>>>>>>> tproxy. >>>>>>>>>>>> Antes que eu acredite que isso funcionou, alguem mais pode >>>>>>>>>>>> testar >>>>>>>>>>>> o patch >>>>>>>>>>>> abaixo ? >>>>>>>>>>>>> >>>>>>>>>>>>> http://loos.no-ip.org/lusca_tproxy.diff >>>>>>>>>>>>> >>>>>>>>>>>>> No meu ambiente de teste eu tinha: >>>>>>>>>>>>> >>>>>>>>>>>>> Clientes (192.168.0.0/24) -> xl0 -> bridge -> vr0 -> >>>>>>>>>>>> internet >>>>>>>>>>>>> >>>>>>>>>>>>> Então precisei criar duas regras para acomodar o vai-e-vem dos >>>>>>>>>>>> pacotes: >>>>>>>>>>>>> >>>>>>>>>>>>> # Direciona os pacotes da rede interna para o proxy >>>>>>>>>>>>> ipfw add 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via >>>>>>>>>>>> xl0 >>>>>>>>>>>>> >>>>>>>>>>>>> # Direciona o retorno dos pacotes para o S.O. >>>>>>>>>>>>> ipfw add 127.0.0.1 tcp from any 80 to 192.168.0.0/24 via vr0 >>>>>>>>>>>>> >>>>>>>>>>>>> Liguei o ipfw para os pacotes da bridge: >>>>>>>>>>>>> >>>>>>>>>>>>> sysctl net.link.bridge.ipfw=1 >>>>>>>>>>>>> >>>>>>>>>>>>> e modifiquei o http_port do lusca para: >>>>>>>>>>>>> >>>>>>>>>>>>> http_port 3128 tproxy transparent >>>>>>>>>>>>> >>>>>>>>>>>>> Pronto, tudo funcionou :-) Alguem mais confirma ? >>>>>>>>>>>>> >>>>>>>>>>>>> O patch em si é uma variação do outro patch que já fazia o lusca >>>>>>>>>>>> funcionar no modo transparente também em bridge (mas ainda não >>>>>>>>>>>> com o tproxy). >>>>>>>>>>>>> >>>>>>>>>>>>> A idéia do patch (permitir checar os pacotes no ipfw não >>>>>>>>>>>> apenas >>>>>>>>>>>> na saída >>>>>>>>>>>> mas também na entrada) foi dada pelo Patrick já faz algum tempo, >>>>>>>>>>>> mas só >>>>>>>>>>>> agora consegui colocar ela em prática (Patrick, mais uma vez >>>>>>>>>>>> obrigado !). >>>>>>>>>>>>> >>>>>>>>>>>>> Att., >>>>>>>>>>>>> Luiz >>>>>>>>>>>>> >>>>>>>>>>>>> PS: esse patch inclui um segundo patch que faz o tproxy do >>>>>>>>>>>> lusca >>>>>>>>>>>> funcionar sem precisar de qualquer alteração (não precisa ser >>>>>>>>>>>> executado como >>>>>>>>>>>> root), talvez depois eu deixe ele separado para evitar >>>>>>>>>>>> confusões. >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > -- > Patrick Tracanelli > > FreeBSD Brasil LTDA. > Tel.: (31) 3516-0800 > [email protected] > http://www.freebsdbrasil.com.br > "Long live Hanin Elias, Kim Deal!" > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- /\ Luiz Gustavo S. Costa / \ Programmer at BSD Perimeter / \ /\/\/\ Visit the pfSense Project / \ \ \ http://www.pfsense.org --------------------------------------------------------------------- BSD da serra carioca, Teresopolis (visite: http://miud.in/Inv) Contatos: [email protected] / [email protected] Blog: http://www.luizgustavo.pro.br ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
