Proxy…



  • A la carga de nuevo preguntando… ;D

    A ver, ¿como puedo saber si el tráfico que genera el proxy sin salir por WAN no interfiere en la conexión?... no sé si me explico, lo intento con un ejemplo.

    Yo tengo 4MB simétricos (SI, simétricos, ya lo hemos hablado varias veces :) y se que no es 100% real, pero tengo que decir lo que tengo para explicarme). Entonces tengo configurado Traffic Shaper ---> Queues con 4096 en qwanRoot  y 4096 en qlanRoot. Hasta aqui bien, pero pregunto... ¿cuando pFSense  ofrece información DIRECTAMENTE desde el proxy este tráfico cuenta en qwanRoot ?.. Ufff, no se si me explico bien.

    Todo esto es porque la regla que controla el trafico en LAN hay veces que la tengo en 3MB y esto hace subir la grafica en el lado WAN.... Ufff, creo me he explicado muy mal, pero no se de qué otra manera exponer mi duda.

    Saludos... :)



  • ¡Hola!

    Si un contenido se sirve desde la caché del proxy sólo habrá ido por la WAN la correspondiente comprobación en destino de que el contenido de la caché está al día. Nada más. Por tanto si sirves un objeto de 20 megas desde la caché sólo habrán pasado por WAN algunos k para asegurarse de que tu objeto en caché sea el mismo que está (todavía) en Internet.

    Espero también haberme explicado …

    Saludos,

    Josep Pujadas



  • ¡Hola de nuevo!

    Creo que las gráficas no te cuadran porque el tráfico que gestiona tu proxy no pasa por Traffic Shaper.

    http://forum.pfsense.org/index.php/topic,10726.msg61226.html#msg61226

    Igual no estás con proxy transparente, como en el hilo que te doy de referencia, pero tendrías que revisar bien tus colas/reglas. Aunque no he probado una configuración de este tipo, el origen del tráfico del proxy deber ser 127.0.0.1, lo cual lo debe dejar fuera de las colas/reglas generadas por el asistente de Traffic Shaper.

    Mira bien este aspecto y ya nos dirás qué.

    Saludos,

    Josep Pujadas



  • ¡Hola!

    De todos modos,  el origen del trafico seguirá siendo siempre la LAN  ¿no?…

    Auguraba que sería 127.0.0.1 (localhost) porque no tengo una instalación como la tuya delante. Por lo que veo, está montado basándose en la IP de la LAN de pfSense. En realidad viene a ser lo mismo. Si lo han hecho así tendrán sus motivos …

    Trabajo con FreeBSD (en el que está basado pfSense) y suelo emplear 127.0.0.1 cuando un servicio está en la propia máquina, por si algún día la cambio de IP. Entiendo que en el caso de pfSense da lo mismo porque el configurador ya rehace todo si se llegan a cambiar las IPs del equipo.

    Por otro lado, cuando hablaba de origen del tráfico quería decir que si se pasa por un proxy desde el lado WAN siempre ser verá como origen de la petición la IP del proxy (LAN de pfSense), no la IP de cada cliente (una IP cualquiera de la LAN).

    Cuando se instala squid se crea automáticamente esta regla:

    If                      Proto                  Source                    Destination                        Target                      Description
    LAN->LAN            TCP              LAN address            LAN net Port: 3128            qlanRoot/qlanRoot

    Eso es bueno. Quiere decir que está previsto que squid y Traffic Shaper trabajen juntos. Y si no lo entiendo mal, por la regla, que el tráfico del proxy no es modelado en el lado LAN, ya que va a la cola-madre. Lo cual es lógico que sea así.

    Si, si tengo proxy transparente, voy a seguir investigando…

    Pues como ya se dijo en http://forum.pfsense.org/index.php/topic,10726.msg61226.html#msg61226 el tráfico de tu proxy (en el lado WAN) no debe pasar por Traffic Shaper. Nadie contestó a mi suposición pero por lógica creo que proxy transparente y Traffic Shaper no deben poder trabajar juntos.

    No tengo una instalación como esta para probarlo …

    Si dispones de presupuesto, aisla el proxy del cortafuegos+modelador. Algún compañero propuso en su día dos pfSense, uno detrás de otro. Es una buena solución. También lo es configurar una máquina con FreeBSD y squid+squidguard, pero eso requiere conocimientos de entornos UNIX/Linux.

    Saludos,

    Josep Pujadas


Log in to reply