Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Alguém que utilize tproxy poderia me informar qual seria o equivalente no freebsd a estes comandos que uso no linux? ip rule add fwmark 1 lookup 100 ip route add local 0.0.0.0/0 dev lo table 100 $IPTABLES -X $IPTABLES -F $IPTABLES -t mangle -F $IPTABLES -t mangle -N DIVERT $IPTABLES -t mangle -A DIVERT -j MARK --set-mark 1 $IPTABLES -t mangle -A DIVERT -j ACCEPT $IPTABLES -t mangle -A PREROUTING -p tcp -m socket -j DIVERT $IPTABLES -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY --on-port 3128 --tproxy-mark 0x1/0x1 Em 8 de agosto de 2012 16:28, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu: acho que o erro ta ai, você ta fazendo NAT do pacote na porta 80, tá alterando o head do pacote. Você tem que mudar o gateway do pacote, em linux acho que tem que fazer um monte de xunxu, iproute, etc.. não sei ao certo como fazer isso no linux. de forma que o pacote chegue no cache como se fosse o gateway padrão daquela conexão. Dessa forma, você consegue fazer o tproxy atuar. Em 8 de agosto de 2012 16:17, Tiago syt...@gmail.com escreveu: Luiz, o meu cenário é o seguinte: Depois de autenticado no pppoeserver, eu redireciono nessa máquina com uma regra do tipo: iptables -t nat -A PREROUTING -i ppp425 -s 189.x.x.x/32 -p tcp --dport 80 -j DNAT --to-destination 177.x.x.x:3129 Sendo que se nessa máquina(pppoeserver) eu tenho um default gateway que aponta para o meu roteador de borda. Ou seja, toda conexão para porta 80 está indo para o lusca e toda conexão para outras portas seguem para o default gateway direto. Basicamente é isso que está acontecendo, quando eu seto manualmente o proxy no navegador 177.x.x.x:3128 funciona, e se eu usar http_port 3129 transparent vai funcionar também. Exceto quando uso o http_port 3129 tproxy Em 8 de agosto de 2012 15:33, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu: Em 8 de agosto de 2012 15:26, Tiago syt...@gmail.com escreveu: Pessoal, acerca desse problema... confirmo que com a opção transparent está funcionando. No entanto, tproxy ainda não. Será que não está faltando habilitar algum recurso? Alguma idéia? como você ta capturando os pacotes no freebsd ? é interessante mudar o gateway das conexões destino porta 80 para o freebsd com tproxy e no tproxy, desviar via fwd do ipfw se fizer redir via porta no roteador, pode ser que altere o cabeçalho do pacote observe isso -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Em 9 de agosto de 2012 15:26, Tiago syt...@gmail.com escreveu: Alguém que utilize tproxy poderia me informar qual seria o equivalente no freebsd a estes comandos que uso no linux? ip rule add fwmark 1 lookup 100 ip route add local 0.0.0.0/0 dev lo table 100 $IPTABLES -X $IPTABLES -F $IPTABLES -t mangle -F $IPTABLES -t mangle -N DIVERT $IPTABLES -t mangle -A DIVERT -j MARK --set-mark 1 $IPTABLES -t mangle -A DIVERT -j ACCEPT $IPTABLES -t mangle -A PREROUTING -p tcp -m socket -j DIVERT $IPTABLES -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY --on-port 3128 --tproxy-mark 0x1/0x1 ipfw add fwd 127.0.0.1,3128 tcp from any to any 80 via em0 ipfw add fwd 127.0.0.1 tcp from any 80 to any via em0 se for um nat, você tem que tratar o desvio (para o cache) e a volta do cache no gateway (que faz o desvio e o nat) -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Luiz, [root@cachebsd30 ]# ipfw add fwd 127.0.0.1,3129 tcp from any to any 80 via em0 ipfw: getsockopt(IP_FW_ADD): Invalid argument Você diz o desvio /volta no roteador de borda linux, ou na origem(no meu caso o pppoe server)? 2012/8/9 Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br: Em 9 de agosto de 2012 15:26, Tiago syt...@gmail.com escreveu: Alguém que utilize tproxy poderia me informar qual seria o equivalente no freebsd a estes comandos que uso no linux? ip rule add fwmark 1 lookup 100 ip route add local 0.0.0.0/0 dev lo table 100 $IPTABLES -X $IPTABLES -F $IPTABLES -t mangle -F $IPTABLES -t mangle -N DIVERT $IPTABLES -t mangle -A DIVERT -j MARK --set-mark 1 $IPTABLES -t mangle -A DIVERT -j ACCEPT $IPTABLES -t mangle -A PREROUTING -p tcp -m socket -j DIVERT $IPTABLES -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY --on-port 3128 --tproxy-mark 0x1/0x1 ipfw add fwd 127.0.0.1,3128 tcp from any to any 80 via em0 ipfw add fwd 127.0.0.1 tcp from any 80 to any via em0 se for um nat, você tem que tratar o desvio (para o cache) e a volta do cache no gateway (que faz o desvio e o nat) -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Pessoal, acerca desse problema... confirmo que com a opção transparent está funcionando. No entanto, tproxy ainda não. Será que não está faltando habilitar algum recurso? Alguma idéia? Em 8 de agosto de 2012 11:38, Tiago syt...@gmail.com escreveu: Bom dia pessoal, Executei o procedimento citado, e o erro de permissão de execução foi solucionado, mas continuo com o seguinte erro ao tentar usar o tproxy: Logs: 2012/08/08 11:32:58| clientTryParseRequest: FD 49 (189.x.x.x:65154) Invalid Request 2012/08/08 11:32:58| The reply for GET error:invalid-request is ALLOWED, because it matched 'rede_interna' Em 7 de agosto de 2012 17:25, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu: Em 7 de agosto de 2012 16:56, Tiago syt...@gmail.com escreveu: Estranho, Se eu setar no navegador a configuração manual do proxy :3128, eu navego corretamente. Se eu redirecionar as requisições via iptables para o meu servidor freebsd com o intuito do tproxy como eu faço nos meus outros caches linux, ele gera alguns erros: comm_fdopen6: FD 29: TPROXY comm_ips_bind_rem() failed: errno 1 ((1) Operation not permitted) e clientTryParseRequest: FD 14 (meuIP:61505) Invalid Request Estou caindo nos casos já citados? A necessidade dos patches? tem que rodar o lusca como root tem que fazer um hackezinho no fonte do lusca para ele aceitar escutar como root: No codigo fonte do lusca edite o arquivo src/main.c, comente essa parte de if, para que ele não verifique se esta rodando como root. if (geteuid() == 0) { debug(0, 0) (Squid is not safe to run as root! If you must\n); debug(0, 0) (start Squid as root, then you must configure\n); debug(0, 0) (it to run as a non-priveledged user with the\n); debug(0, 0) ('cache_effective_user' option in the config file.\n); fatal(Don't run Squid as root, set 'cache_effective_user'!); } o patch é para fazer o tproxy funfar com bridge. Que acho que não é o seu caso -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Em 8 de agosto de 2012 15:26, Tiago syt...@gmail.com escreveu: Pessoal, acerca desse problema... confirmo que com a opção transparent está funcionando. No entanto, tproxy ainda não. Será que não está faltando habilitar algum recurso? Alguma idéia? como você ta capturando os pacotes no freebsd ? é interessante mudar o gateway das conexões destino porta 80 para o freebsd com tproxy e no tproxy, desviar via fwd do ipfw se fizer redir via porta no roteador, pode ser que altere o cabeçalho do pacote observe isso -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Luiz, o meu cenário é o seguinte: Depois de autenticado no pppoeserver, eu redireciono nessa máquina com uma regra do tipo: iptables -t nat -A PREROUTING -i ppp425 -s 189.x.x.x/32 -p tcp --dport 80 -j DNAT --to-destination 177.x.x.x:3129 Sendo que se nessa máquina(pppoeserver) eu tenho um default gateway que aponta para o meu roteador de borda. Ou seja, toda conexão para porta 80 está indo para o lusca e toda conexão para outras portas seguem para o default gateway direto. Basicamente é isso que está acontecendo, quando eu seto manualmente o proxy no navegador 177.x.x.x:3128 funciona, e se eu usar http_port 3129 transparent vai funcionar também. Exceto quando uso o http_port 3129 tproxy Em 8 de agosto de 2012 15:33, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu: Em 8 de agosto de 2012 15:26, Tiago syt...@gmail.com escreveu: Pessoal, acerca desse problema... confirmo que com a opção transparent está funcionando. No entanto, tproxy ainda não. Será que não está faltando habilitar algum recurso? Alguma idéia? como você ta capturando os pacotes no freebsd ? é interessante mudar o gateway das conexões destino porta 80 para o freebsd com tproxy e no tproxy, desviar via fwd do ipfw se fizer redir via porta no roteador, pode ser que altere o cabeçalho do pacote observe isso -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
acho que o erro ta ai, você ta fazendo NAT do pacote na porta 80, tá alterando o head do pacote. Você tem que mudar o gateway do pacote, em linux acho que tem que fazer um monte de xunxu, iproute, etc.. não sei ao certo como fazer isso no linux. de forma que o pacote chegue no cache como se fosse o gateway padrão daquela conexão. Dessa forma, você consegue fazer o tproxy atuar. Em 8 de agosto de 2012 16:17, Tiago syt...@gmail.com escreveu: Luiz, o meu cenário é o seguinte: Depois de autenticado no pppoeserver, eu redireciono nessa máquina com uma regra do tipo: iptables -t nat -A PREROUTING -i ppp425 -s 189.x.x.x/32 -p tcp --dport 80 -j DNAT --to-destination 177.x.x.x:3129 Sendo que se nessa máquina(pppoeserver) eu tenho um default gateway que aponta para o meu roteador de borda. Ou seja, toda conexão para porta 80 está indo para o lusca e toda conexão para outras portas seguem para o default gateway direto. Basicamente é isso que está acontecendo, quando eu seto manualmente o proxy no navegador 177.x.x.x:3128 funciona, e se eu usar http_port 3129 transparent vai funcionar também. Exceto quando uso o http_port 3129 tproxy Em 8 de agosto de 2012 15:33, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu: Em 8 de agosto de 2012 15:26, Tiago syt...@gmail.com escreveu: Pessoal, acerca desse problema... confirmo que com a opção transparent está funcionando. No entanto, tproxy ainda não. Será que não está faltando habilitar algum recurso? Alguma idéia? como você ta capturando os pacotes no freebsd ? é interessante mudar o gateway das conexões destino porta 80 para o freebsd com tproxy e no tproxy, desviar via fwd do ipfw se fizer redir via porta no roteador, pode ser que altere o cabeçalho do pacote observe isso -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Olá, Nos meus caches linux com tproxy tenho rodando o quagga / ospf que troca as rotas dinamicas e o gateway padrão entre os servidores e nesse cache funcional aponta o caminho de volta para aquela conexão especificamente. Será esse motivo do funcionamento do tproxy linux e do não funcionamento do tproxy freebsd ou tem alguma outra diferença de conceito? Em 8 de agosto de 2012 16:28, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu: acho que o erro ta ai, você ta fazendo NAT do pacote na porta 80, tá alterando o head do pacote. Você tem que mudar o gateway do pacote, em linux acho que tem que fazer um monte de xunxu, iproute, etc.. não sei ao certo como fazer isso no linux. de forma que o pacote chegue no cache como se fosse o gateway padrão daquela conexão. Dessa forma, você consegue fazer o tproxy atuar. Em 8 de agosto de 2012 16:17, Tiago syt...@gmail.com escreveu: Luiz, o meu cenário é o seguinte: Depois de autenticado no pppoeserver, eu redireciono nessa máquina com uma regra do tipo: iptables -t nat -A PREROUTING -i ppp425 -s 189.x.x.x/32 -p tcp --dport 80 -j DNAT --to-destination 177.x.x.x:3129 Sendo que se nessa máquina(pppoeserver) eu tenho um default gateway que aponta para o meu roteador de borda. Ou seja, toda conexão para porta 80 está indo para o lusca e toda conexão para outras portas seguem para o default gateway direto. Basicamente é isso que está acontecendo, quando eu seto manualmente o proxy no navegador 177.x.x.x:3128 funciona, e se eu usar http_port 3129 transparent vai funcionar também. Exceto quando uso o http_port 3129 tproxy Em 8 de agosto de 2012 15:33, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu: Em 8 de agosto de 2012 15:26, Tiago syt...@gmail.com escreveu: Pessoal, acerca desse problema... confirmo que com a opção transparent está funcionando. No entanto, tproxy ainda não. Será que não está faltando habilitar algum recurso? Alguma idéia? como você ta capturando os pacotes no freebsd ? é interessante mudar o gateway das conexões destino porta 80 para o freebsd com tproxy e no tproxy, desviar via fwd do ipfw se fizer redir via porta no roteador, pode ser que altere o cabeçalho do pacote observe isso -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Freebsd 9.x + Lusca + tproxy
Olá pessoal, Seguindo recomendações estou começando a configurar um servidor freebsd 9.x para utilizar com o Lusca + incomun em um ambiente com tproxy. No caso, o meu cenário é esse: cliente - pppoeserver - squid3 com tproxy - linux gateway/router - internet Andei lendo no histórico aqui da lista que é necessário um patch no lusca para o funcionamento do tproxy? Em outro lugar li que não seria necessário no freebsd 9.x. O que está correto? Como baixar/aplicar esse patch? Estou iniciando no freebsd agora, meu background é em Linux e tenho atualmente 3 servidores linux+tproxy+squid3 atendendo a +- 4mil usuários simultâneos em horário de pico. Aceito sugestões e opiniões. Obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Em 07/08/2012 10:26, Tiago escreveu: Olá pessoal, Seguindo recomendações estou começando a configurar um servidor freebsd 9.x para utilizar com o Lusca + incomun em um ambiente com tproxy. No caso, o meu cenário é esse: cliente - pppoeserver - squid3 com tproxy - linux gateway/router - internet Andei lendo no histórico aqui da lista que é necessário um patch no lusca para o funcionamento do tproxy? Em outro lugar li que não seria necessário no freebsd 9.x. Que eu lembre o patch era para uso em bridge, que parece o seu caso. Não uso cache faz tempo mas porque você não coloca seu cache em paralelo? Pelo que entendi na sua configuração se qualquer coisa parar o cache como a máquina queimar ou interfaces, você teria que remanejar fisicamente os cabos. A configuração que usávamos aqui no Provedor era assim: cliente - [pppoeserver] - [FreeBSD Firewall 2º nível] - [FreeBSD Firewall 1º nível / Router BGP] - Internet | | [FreeBSD Lusca TProxy] Não sei se vai sair como eu quero mas o [FreeBSD Lusca TProxy] era ligado diretamente com o [FreeBSD Firewall 2º nível] e os pacotes repassados pelo ipfw para ele. Nesse caso se houvesse algum problema com o Cache, era só desabilitar no Firewall que a rede prosseguiria normalmente, sem mexer em nada físico. O que está correto? Como baixar/aplicar esse patch? Estou iniciando no freebsd agora, meu background é em Linux e tenho atualmente 3 servidores linux+tproxy+squid3 atendendo a +- 4mil usuários simultâneos em horário de pico. Aceito sugestões e opiniões. Obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
No caso já é assim Marcelo. No pppoeserver eu redireciono as requisições para porta :80 via iptables para o cache squid e caso o cache caia, basta remover estas regras que ele redireciona direto para o gateway. Em 7 de agosto de 2012 10:40, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 07/08/2012 10:26, Tiago escreveu: Olá pessoal, Seguindo recomendações estou começando a configurar um servidor freebsd 9.x para utilizar com o Lusca + incomun em um ambiente com tproxy. No caso, o meu cenário é esse: cliente - pppoeserver - squid3 com tproxy - linux gateway/router - internet Andei lendo no histórico aqui da lista que é necessário um patch no lusca para o funcionamento do tproxy? Em outro lugar li que não seria necessário no freebsd 9.x. Que eu lembre o patch era para uso em bridge, que parece o seu caso. Não uso cache faz tempo mas porque você não coloca seu cache em paralelo? Pelo que entendi na sua configuração se qualquer coisa parar o cache como a máquina queimar ou interfaces, você teria que remanejar fisicamente os cabos. A configuração que usávamos aqui no Provedor era assim: cliente - [pppoeserver] - [FreeBSD Firewall 2º nível] - [FreeBSD Firewall 1º nível / Router BGP] - Internet | | [FreeBSD Lusca TProxy] Não sei se vai sair como eu quero mas o [FreeBSD Lusca TProxy] era ligado diretamente com o [FreeBSD Firewall 2º nível] e os pacotes repassados pelo ipfw para ele. Nesse caso se houvesse algum problema com o Cache, era só desabilitar no Firewall que a rede prosseguiria normalmente, sem mexer em nada físico. O que está correto? Como baixar/aplicar esse patch? Estou iniciando no freebsd agora, meu background é em Linux e tenho atualmente 3 servidores linux+tproxy+squid3 atendendo a +- 4mil usuários simultâneos em horário de pico. Aceito sugestões e opiniões. Obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Em 07/08/2012 10:43, Tiago escreveu: No caso já é assim Marcelo. No pppoeserver eu redireciono as requisições para porta :80 via iptables para o cache squid e caso o cache caia, basta remover estas regras que ele redireciona direto para o gateway. Ah então não precisa de patch não. :) O patch era para modo bridge. Que eu lembre rsrsrsrs Em 7 de agosto de 2012 10:40, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 07/08/2012 10:26, Tiago escreveu: Olá pessoal, Seguindo recomendações estou começando a configurar um servidor freebsd 9.x para utilizar com o Lusca + incomun em um ambiente com tproxy. No caso, o meu cenário é esse: cliente - pppoeserver - squid3 com tproxy - linux gateway/router - internet Andei lendo no histórico aqui da lista que é necessário um patch no lusca para o funcionamento do tproxy? Em outro lugar li que não seria necessário no freebsd 9.x. Que eu lembre o patch era para uso em bridge, que parece o seu caso. Não uso cache faz tempo mas porque você não coloca seu cache em paralelo? Pelo que entendi na sua configuração se qualquer coisa parar o cache como a máquina queimar ou interfaces, você teria que remanejar fisicamente os cabos. A configuração que usávamos aqui no Provedor era assim: cliente - [pppoeserver] - [FreeBSD Firewall 2º nível] - [FreeBSD Firewall 1º nível / Router BGP] - Internet | | [FreeBSD Lusca TProxy] Não sei se vai sair como eu quero mas o [FreeBSD Lusca TProxy] era ligado diretamente com o [FreeBSD Firewall 2º nível] e os pacotes repassados pelo ipfw para ele. Nesse caso se houvesse algum problema com o Cache, era só desabilitar no Firewall que a rede prosseguiria normalmente, sem mexer em nada físico. O que está correto? Como baixar/aplicar esse patch? Estou iniciando no freebsd agora, meu background é em Linux e tenho atualmente 3 servidores linux+tproxy+squid3 atendendo a +- 4mil usuários simultâneos em horário de pico. Aceito sugestões e opiniões. Obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Entendi, então é só fazer a instalação padrão freebsd 9.x + suporte a tproxy (squid_tproxy) e voilá? hehe Em 7 de agosto de 2012 10:45, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 07/08/2012 10:43, Tiago escreveu: No caso já é assim Marcelo. No pppoeserver eu redireciono as requisições para porta :80 via iptables para o cache squid e caso o cache caia, basta remover estas regras que ele redireciona direto para o gateway. Ah então não precisa de patch não. :) O patch era para modo bridge. Que eu lembre rsrsrsrs Em 7 de agosto de 2012 10:40, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 07/08/2012 10:26, Tiago escreveu: Olá pessoal, Seguindo recomendações estou começando a configurar um servidor freebsd 9.x para utilizar com o Lusca + incomun em um ambiente com tproxy. No caso, o meu cenário é esse: cliente - pppoeserver - squid3 com tproxy - linux gateway/router - internet Andei lendo no histórico aqui da lista que é necessário um patch no lusca para o funcionamento do tproxy? Em outro lugar li que não seria necessário no freebsd 9.x. Que eu lembre o patch era para uso em bridge, que parece o seu caso. Não uso cache faz tempo mas porque você não coloca seu cache em paralelo? Pelo que entendi na sua configuração se qualquer coisa parar o cache como a máquina queimar ou interfaces, você teria que remanejar fisicamente os cabos. A configuração que usávamos aqui no Provedor era assim: cliente - [pppoeserver] - [FreeBSD Firewall 2º nível] - [FreeBSD Firewall 1º nível / Router BGP] - Internet | | [FreeBSD Lusca TProxy] Não sei se vai sair como eu quero mas o [FreeBSD Lusca TProxy] era ligado diretamente com o [FreeBSD Firewall 2º nível] e os pacotes repassados pelo ipfw para ele. Nesse caso se houvesse algum problema com o Cache, era só desabilitar no Firewall que a rede prosseguiria normalmente, sem mexer em nada físico. O que está correto? Como baixar/aplicar esse patch? Estou iniciando no freebsd agora, meu background é em Linux e tenho atualmente 3 servidores linux+tproxy+squid3 atendendo a +- 4mil usuários simultâneos em horário de pico. Aceito sugestões e opiniões. Obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Em 07/08/2012 11:57, Tiago escreveu: Entendi, então é só fazer a instalação padrão freebsd 9.x + suporte a tproxy (squid_tproxy) e voilá? hehe FreeBSD 9.x + Lusca com TProxy. :) Em 7 de agosto de 2012 10:45, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 07/08/2012 10:43, Tiago escreveu: No caso já é assim Marcelo. No pppoeserver eu redireciono as requisições para porta :80 via iptables para o cache squid e caso o cache caia, basta remover estas regras que ele redireciona direto para o gateway. Ah então não precisa de patch não. :) O patch era para modo bridge. Que eu lembre rsrsrsrs Em 7 de agosto de 2012 10:40, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 07/08/2012 10:26, Tiago escreveu: Olá pessoal, Seguindo recomendações estou começando a configurar um servidor freebsd 9.x para utilizar com o Lusca + incomun em um ambiente com tproxy. No caso, o meu cenário é esse: cliente - pppoeserver - squid3 com tproxy - linux gateway/router - internet Andei lendo no histórico aqui da lista que é necessário um patch no lusca para o funcionamento do tproxy? Em outro lugar li que não seria necessário no freebsd 9.x. Que eu lembre o patch era para uso em bridge, que parece o seu caso. Não uso cache faz tempo mas porque você não coloca seu cache em paralelo? Pelo que entendi na sua configuração se qualquer coisa parar o cache como a máquina queimar ou interfaces, você teria que remanejar fisicamente os cabos. A configuração que usávamos aqui no Provedor era assim: cliente - [pppoeserver] - [FreeBSD Firewall 2º nível] - [FreeBSD Firewall 1º nível / Router BGP] - Internet | | [FreeBSD Lusca TProxy] Não sei se vai sair como eu quero mas o [FreeBSD Lusca TProxy] era ligado diretamente com o [FreeBSD Firewall 2º nível] e os pacotes repassados pelo ipfw para ele. Nesse caso se houvesse algum problema com o Cache, era só desabilitar no Firewall que a rede prosseguiria normalmente, sem mexer em nada físico. O que está correto? Como baixar/aplicar esse patch? Estou iniciando no freebsd agora, meu background é em Linux e tenho atualmente 3 servidores linux+tproxy+squid3 atendendo a +- 4mil usuários simultâneos em horário de pico. Aceito sugestões e opiniões. Obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Em 07/08/2012, às 12:03, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 07/08/2012 11:57, Tiago escreveu: Entendi, então é só fazer a instalação padrão freebsd 9.x + suporte a tproxy (squid_tproxy) e voilá? hehe FreeBSD 9.x + Lusca com TProxy. :) Em 7 de agosto de 2012 10:45, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 07/08/2012 10:43, Tiago escreveu: No caso já é assim Marcelo. No pppoeserver eu redireciono as requisições para porta :80 via iptables para o cache squid e caso o cache caia, basta remover estas regras que ele redireciona direto para o gateway. Ah então não precisa de patch não. :) O patch era para modo bridge. Que eu lembre rsrsrsrs Em 7 de agosto de 2012 10:40, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 07/08/2012 10:26, Tiago escreveu: Olá pessoal, Seguindo recomendações estou começando a configurar um servidor freebsd 9.x para utilizar com o Lusca + incomun em um ambiente com tproxy. No caso, o meu cenário é esse: cliente - pppoeserver - squid3 com tproxy - linux gateway/router - internet Andei lendo no histórico aqui da lista que é necessário um patch no lusca para o funcionamento do tproxy? Em outro lugar li que não seria necessário no freebsd 9.x. Que eu lembre o patch era para uso em bridge, que parece o seu caso. Não uso cache faz tempo mas porque você não coloca seu cache em paralelo? Pelo que entendi na sua configuração se qualquer coisa parar o cache como a máquina queimar ou interfaces, você teria que remanejar fisicamente os cabos. A configuração que usávamos aqui no Provedor era assim: cliente - [pppoeserver] - [FreeBSD Firewall 2º nível] - [FreeBSD Firewall 1º nível / Router BGP] - Internet | | [FreeBSD Lusca TProxy] Não sei se vai sair como eu quero mas o [FreeBSD Lusca TProxy] era ligado diretamente com o [FreeBSD Firewall 2º nível] e os pacotes repassados pelo ipfw para ele. Nesse caso se houvesse algum problema com o Cache, era só desabilitar no Firewall que a rede prosseguiria normalmente, sem mexer em nada físico. O que está correto? Como baixar/aplicar esse patch? Estou iniciando no freebsd agora, meu background é em Linux e tenho atualmente 3 servidores linux+tproxy+squid3 atendendo a +- 4mil usuários simultâneos em horário de pico. Aceito sugestões e opiniões. Obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Caros, Poderiam passar algum material sobre essa combinação?! Quero fazer tproxy aqui sem bridge, qual sistema de arquivos recomendam? Também uso incomum. Lí sobre algum problema não especificado com ufs+softupdates nalguns cenários e zfs é pisar em ovos até acertar a configuração. Peço desculpas em pegar carona no tópico do colega mas creio que também lhe será útil. ___ Bruno Araújo Antes de imprimir, verifique se tem papel e tinta suficiente na impressora. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Estranho, Se eu setar no navegador a configuração manual do proxy :3128, eu navego corretamente. Se eu redirecionar as requisições via iptables para o meu servidor freebsd com o intuito do tproxy como eu faço nos meus outros caches linux, ele gera alguns erros: comm_fdopen6: FD 29: TPROXY comm_ips_bind_rem() failed: errno 1 ((1) Operation not permitted) e clientTryParseRequest: FD 14 (meuIP:61505) Invalid Request Estou caindo nos casos já citados? A necessidade dos patches? Em 7 de agosto de 2012 12:03, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 07/08/2012 11:57, Tiago escreveu: Entendi, então é só fazer a instalação padrão freebsd 9.x + suporte a tproxy (squid_tproxy) e voilá? hehe FreeBSD 9.x + Lusca com TProxy. :) Em 7 de agosto de 2012 10:45, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 07/08/2012 10:43, Tiago escreveu: No caso já é assim Marcelo. No pppoeserver eu redireciono as requisições para porta :80 via iptables para o cache squid e caso o cache caia, basta remover estas regras que ele redireciona direto para o gateway. Ah então não precisa de patch não. :) O patch era para modo bridge. Que eu lembre rsrsrsrs Em 7 de agosto de 2012 10:40, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 07/08/2012 10:26, Tiago escreveu: Olá pessoal, Seguindo recomendações estou começando a configurar um servidor freebsd 9.x para utilizar com o Lusca + incomun em um ambiente com tproxy. No caso, o meu cenário é esse: cliente - pppoeserver - squid3 com tproxy - linux gateway/router - internet Andei lendo no histórico aqui da lista que é necessário um patch no lusca para o funcionamento do tproxy? Em outro lugar li que não seria necessário no freebsd 9.x. Que eu lembre o patch era para uso em bridge, que parece o seu caso. Não uso cache faz tempo mas porque você não coloca seu cache em paralelo? Pelo que entendi na sua configuração se qualquer coisa parar o cache como a máquina queimar ou interfaces, você teria que remanejar fisicamente os cabos. A configuração que usávamos aqui no Provedor era assim: cliente - [pppoeserver] - [FreeBSD Firewall 2º nível] - [FreeBSD Firewall 1º nível / Router BGP] - Internet | | [FreeBSD Lusca TProxy] Não sei se vai sair como eu quero mas o [FreeBSD Lusca TProxy] era ligado diretamente com o [FreeBSD Firewall 2º nível] e os pacotes repassados pelo ipfw para ele. Nesse caso se houvesse algum problema com o Cache, era só desabilitar no Firewall que a rede prosseguiria normalmente, sem mexer em nada físico. O que está correto? Como baixar/aplicar esse patch? Estou iniciando no freebsd agora, meu background é em Linux e tenho atualmente 3 servidores linux+tproxy+squid3 atendendo a +- 4mil usuários simultâneos em horário de pico. Aceito sugestões e opiniões. Obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
2012/8/7 Tiago syt...@gmail.com: Estranho, Se eu setar no navegador a configuração manual do proxy :3128, eu navego corretamente. Se eu redirecionar as requisições via iptables para o meu servidor freebsd com o intuito do tproxy como eu faço nos meus outros caches linux, ele gera alguns erros: comm_fdopen6: FD 29: TPROXY comm_ips_bind_rem() failed: errno 1 ((1) Operation not permitted) e clientTryParseRequest: FD 14 (meuIP:61505) Invalid Request Estou caindo nos casos já citados? A necessidade dos patches? Existe uma trava de segurança no kernel do FreeBSD onde apenas o root (uid 0) pode fazer bind(2) para endereços não locais, já que isso pode abrir uma séria brecha de segurança. Em um dos patches do tproxy (notadamente o http://loos.no-ip.org/lusca_tproxy.diff) eu desabilitei essa trava no kernel (a alteração no arquivo netinet/ip_output.c). Existe uma outra solução e um patch (acredito que esteja disponivel no histórico das listas do lusca) que faz com que o lusca rode como root. Você vai precisar aplicar uma dessas soluções para rodar com o tproxy. Att., Luiz - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Em 7 de agosto de 2012 16:56, Tiago syt...@gmail.com escreveu: Estranho, Se eu setar no navegador a configuração manual do proxy :3128, eu navego corretamente. Se eu redirecionar as requisições via iptables para o meu servidor freebsd com o intuito do tproxy como eu faço nos meus outros caches linux, ele gera alguns erros: comm_fdopen6: FD 29: TPROXY comm_ips_bind_rem() failed: errno 1 ((1) Operation not permitted) e clientTryParseRequest: FD 14 (meuIP:61505) Invalid Request Estou caindo nos casos já citados? A necessidade dos patches? tem que rodar o lusca como root tem que fazer um hackezinho no fonte do lusca para ele aceitar escutar como root: No codigo fonte do lusca edite o arquivo src/main.c, comente essa parte de if, para que ele não verifique se esta rodando como root. if (geteuid() == 0) { debug(0, 0) (Squid is not safe to run as root! If you must\n); debug(0, 0) (start Squid as root, then you must configure\n); debug(0, 0) (it to run as a non-priveledged user with the\n); debug(0, 0) ('cache_effective_user' option in the config file.\n); fatal(Don't run Squid as root, set 'cache_effective_user'!); } o patch é para fazer o tproxy funfar com bridge. Que acho que não é o seu caso -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd