Squid proxy ve loadbalance için yapı önerisi ?
-
Şu anda kullanmakta olduğumuz yapıda pfsense üzerinde squid ve squidguard'da kullanmak zorunda olduğumuzdan, ve squid'in de sadece default gateway'i kullanması sebebi ile http-https için load balance yapamıyoruz.
Kullanıcı bilgisayarlarımızda transparan proxy yerine, group policy ile Proxy adresi dağıtılmış olarak kullanıyoruz.
Ekte bu yapıyı grafik olarak göstermeye çalıştım.Load balance kısıtını aşmak için şöyle düşünüyorum
pfsense sayısını ikiye çıkarayım
wan'lara bakan pfsense load balance yapsın
ikinci pfsense ise proxy olarak çalışsın.Sorularım ise şunlar
1- bu mantıklı bir yapı mı ?
2- proxy olan pfsense'i kullanıcılar ve diğer pfsense ile aynı lan'a koysam (10.10.1.253 olarak), kullanıcılarda gateway olarak 10.10.254 olan pfsense olsa ama proxy olarak da 10.10.1.253 yazılı olsa, gateway'den web trafiğine çıkış olarak sadece proxy izinli olsa olur mu ?
3- eğer 2 numaralı yaklaşım mantıklı ise, proxy'yi fiziksel makine olarak ayırmadan vmware üzerinde tutsam olur mu ?
4- proxy olacak olan makinede ip yapılandırmasını nasıl yapacağım ? squid(10.10.1.253) lan'dan (10.10.1.x) aldığı istekleri yine aynı lan'daki diğer pfsense (10.10.1.254) üzerine nasıl yönlendirecek ? proxy makinesindeki Wan interface'i nasıl konfigüre edilmeli ?
ya da bambaşka bir yaklaşımda mı bulunmak gerek.
not : pfsense'leri iki ayrı fiziksel makinede de çalıştırabilirim, boşta bilgisayar var.
-
Wan tarafi icin oncelikle baslayalim pfsense makinayi standart kurun kurulumda ister pppoe ister statick ip ile kurun tavsiyem modemleri brdige modda pppoe seklinde kurmaniz yuk dengelemeyi falan yapilandirin lan tarafina 172.16.0.0/30 bir ip adresi girin ve yuk dengelemesi internete cikisi falan testlerinozi yaptiktan sonra ikinci lan tarafina bakacak pfsenseyi kurun lan tarafinic aginiza gore yapilandirin wan tarafinida diger pfsensenin lan tarafina gore yapilandirin gateway falan duzgun olursa birde bu sekilde test edin. Performams acisindan birsey diyemeyecegim boyle bir yapiyi test amacli kurmustum fakat ben tamamen sanal ortamlarda kurup test etme sansim oldu.
-
peki bu durumda NAT'ları yapmanın pratik bir yolu olacak mı ? (1:1 NAT, bridge interface vs)
yoksa her bir nat kuralı için her iki pfsense'e de tek tek kural mı yazmalıyız. -
Aynen oyle olmus olacak nat kurallarini girmeniz gerekecek 2 firewallada pratik bir yontem dusunuyorum ama malesef ikiside birbirinden bagimsiz calisiyor. Wan tarafindan gelebilecek saldirilarda rules kismi icin pfblocker gibi yapilandirmalari wan tarafindaki firewaldan kullanici bazli kurallarida lan tarafindaki cihazdan yapmaniz gerekecek
-
Merhaba
Asagidaki ayarlar ile loadbalance ve squid sorunsuz bir sekilde kullanmaktayim. Baska haricten bir ayar yapmadim.
-
Merhaba
Asagidaki ayarlar ile loadbalance ve squid sorunsuz bir sekilde kullanmaktayim. Baska haricten bir ayar yapmadim.
Ben de bir deneyeyim.
-
Denedim ve birkaç saattir takip ediyorum.
Şimdilik bir sorun yok.İlk fırsatta wan'ların birisini devreden çıkarıp failover'da çalışır mı ona bakacağım.
Peki durum bu kadar kolaysa (ki 2.0.3 versiyonuna kadar da buna benzer şekilde çalışıyordu), hem Türkçe kısımda hem de forumun uluslararası kısmında, hemen herkes loadbalance+squid'in çalışmadığını söylüyor ?
Gözden kaçırdığımız bir şey mi var acaba ?
-
tuzsuzdeli, web cache ağır bir iş.
cache, gerçekten önemli ise aşağıdaki şekilde bir yapı öneririm.________ WAN1
/
LAN –PF---/
_________FWAN(1.2.3.4)--->PROXY(1.2.3.1)---->WAN2 -
tuzsuzdeli, web cache ağır bir iş.
cache, gerçekten önemli ise aşağıdaki şekilde bir yapı öneririm.________ WAN1
/
LAN –PF---/
_________FWAN(1.2.3.4)--->PROXY(1.2.3.1)---->WAN2Bizim amacımız aslında cache değil, web filtreleme.
Hatta şu an squid'in disk cache'i kapalı bile.
