Squid com problemas usando Load Balance
-
para restringir o acesso a bancos e determinados sites somente por um link.
modo fácil:
Criar uma regra na LAN com
source LAN NET
destination any
destination port 443
gateway: (gatewayA ou gatewayB ou fail over criado na aba routing)modo mais detalhado e seguro:
Crie um alias chamado hosts_bancos por exemplo
defina ele com tipo hostadicione todas os hosts de url que voce conhece do banco.
exemplo
www.bb.com.br
www.itau.com.brcaso o banco tenha vários hosts com nomes diferentes para o servico de https( www2,www333,www01)
resolva o ip do site principalnslookup www.bb.com.br Non-authoritative answer: Name: www.bb.com.br Address: 170.66.11.10
pesquise o ip encontrado no site whois.registro.br, para encontrar a faixa de ip deste banco
no caso do banco do brasil, a faixa é 170.66/16
crie um segundo alias chamado redes_bancos
defina ele com tipo network
adicione as redes encontradas
170.66.0.0/16Depois de criar e associar todos os sites nos aliases,
vá em firewall -> rules -> lan e crie uma regra para cada alias de banco da seguinte forma
Criar uma regra na LAN com
source LAN NET
destination hosts_bancos
destination port 443
gateway: (gatewayA ou gatewayB ou fail over criado na aba routing)source LAN NET
destination redes_bancos
destination port 443
gateway: (gatewayA ou gatewayB ou fail over criado na aba routing) -
Na verdade nem precisa de tudo isso.
Se seu PFSense for o 2.0.0 ou o 2.0.1, basta configurar os Gateways em SYSTEC>ROUTING e depois no mesmo lugar criar um Grupo.
Tutorial em Ingles: http://doc.pfsense.org/index.php/Multi-WAN_2.0
Tutorial em Portugues: http://pontoexe.wordpress.com/2010/11/01/configurando-loadbalance-no-pfsense-2-0/Depois que fizer o que esta descrito nos tutoriais, va em System> Advanced e clique na aba Miscellaneous, clique na opcao Allow default gateway switching.
Nao esqueca de colocar o Gateway nas regras de saida Firewall, o Squid ira alternar entre as conexoes normalmente, apenas com um lease de 2 a 3 segundos.
-
Marcello.
Seguindo o tutorial, em Services - Proxy server / General settings, escolhendo LAN e loopback interface a seguinte mensagem de erro ocorre com todas as tentativas de acesso a qualquer página:
ERRO
A URL solicitada não pode ser recuperadaNa tentativa de recuperar a URL:
GET / HTTP/1.1
Host: www.terra.com.br
User-Agent: Mozilla/5.0 (Windows NT 6.0; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: pt-br,pt;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: keep-aliveO seguinte erro foi encontrado:
Requisição inválida.
Alguns aspectos de requisição HTTP são invalidos. Possíveis causas:
Método desconhecido ou faltando (GET, POST)
Faltou a URL
Faltou o identificador HTTP (HTTP/1.0)
A requisição pode ser muito grande
Hostname com caracter inválido; não é permitido o uso de underscoresSe eu tirar a interface LoopBack a páginas voltam ao normal. O que poderia tá errado?
Abraços…
ATT
Breno Alencar
-
Qual tutorial você esta seguindo? O seu ou um dos que foi postado?
Você esta usando proxy transparente ou marcado no browser?
-
Marcello:
A - Segui o tutorial:
http://securite-ti.com/pfSense_Web_Proxy_with_multi-WAN_links.pdf
Usando PFSense:
2.0.1-RELEASE (i386)
built on Mon Dec 12 18:24:17 EST 2011B - Pacotes:
Squid + SquidGuard + HAPV
C - 2 Links de Internet:
1 - OI ( OPT1 ) ADSL
2 - Embratel ( WAN ) Link Dedicado Frame RelayEm System: Advanced: Miscellaneous - As opções:
- Use sticky connections
- Allow default gateway switching
Estão Marcadas.
Se precisar de mais algum detalhe estou a disposição.
ATT
Breno Alencar
-
Onde está o havp nesta hierarquia de proxy?
-
Marcello. Sinceramente não entendi sua pergunta.
Desculpas.
ATT
Breno Alencar
-
Galera,
Bom dia, tambem seguir a risca os passos do tutorial - Tutorial em Ingles: http://doc.pfsense.org/index.php/Multi-WAN_2.0
o Loab Balance Funcionou até Instalar o Squid em modo transparente, que acusou o mesmo erro do colega acimaERRO
A URL solicitada não pode ser recuperadaNa tentativa de recuperar a URL:
GET / HTTP/1.1
Host: www.terra.com.br
User-Agent: Mozilla/5.0 (Windows NT 6.0; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: pt-br,pt;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: keep-aliveO seguinte erro foi encontrado:
Requisição inválida.
Alguns aspectos de requisição HTTP são invalidos. Possíveis causas:
Método desconhecido ou faltando (GET, POST)
Faltou a URL
Faltou o identificador HTTP (HTTP/1.0)
A requisição pode ser muito grande
Hostname com caracter inválido; não é permitido o uso de underscoresO que será que falta ??
-
Marcello. Sinceramente não entendi sua pergunta.
Como você integrou o pacote havp com o squid?
O havp é parent do squid ou é ele quem esta funcionando em modo transparente?
-
Marcello. O HAVP estava como parent do squid. Mas para dar continuidade ao nosso tópico sem mudar de direção acabei desistalando o HAPV para que o tópico fique somente relativo ao loadbalance + squid.
Mas um colega no tópico relata um erro igual ao meu usando o squid em modo transparente com loadbalance.
Ficamos no aguardo de suas orientações.
Abraços
ATT
Breno Alencar
-
Ficamos no aguardo de suas orientações.
Não fui eu que fiz o tutorial, apenas o indiquei para ilustar como criar as regras na "floating rules" :)
Vou tentar seguir os passos para ver onde para, mas não tenho este ambiente aqui em casa, pode demorar um pouco.
Tente ver o que pode estar errado comparando este tutorial de squid.
att,
Marcello Coutinho -
Marcelo,
Vc pode simular o ambiente usando virtual box e tres placas virtuais, eu mesmo simulei aqui em casa, só que usando uma maquina física que tenho para teste, coloquei os dois links, um com ip fixo e outro com dhcp e seguir o tutorial.. e tambem apresentou o mesmo erro dos demais colegas, somente o uso do squid.
pode q pode ter aalgo errado ai..
-
Galera,
aparece que o negocio é mais serio que eu imaginava.
http://forum.pfsense.org/index.php?topic=37083.45
E fica duvida.. será que funciona mesmo o Balanceamento de Carga+Failover+squid ?? Já tentei de tudo, inclusive
adicionado uma regra de DNS 53 em FloatingRules e não funcionou.. -
você configurou estes passos?
After manually adding my subnet in the "Allowed subnets" box, my dual wan, squid setup is now functioning using pfSense Version 2.0-Release (i386)
but as the Ermal said, just putting the "tcp_outgoing_address 127.0.0.1" worked for me.
-
Marcelo,
a segunda opção sim.. porem a primeira onde fica essa configuração.
Eu só espero não ter que mudar para outra distribuição.. já sai do endian para pfsense justamente
por isso. -
Eu utilizou loadbalance com squid sem problmas
-
Souza,
Poderia passar as telas de configuração que vc fez. seria uma ótima, talvez estamos esquecendo de habilitar ou configurar algo.
-
a segunda opção sim.. porem a primeira onde fica essa configuração.
aba access control primeiro campo
-
Ta osso..
acabei de colocar a faixa de ip da minha rede.. em access control.. e não funcionou..
-
OK segue um passo a passo do que eu exatamente fiz e quando monitoro os link observo navegação em ambos os link, utilizo Squid + SquidGuard
E quando desligo um o outro assume
Melhorias pode falar
Bom não sei se podia mas estou colocando o link do docx para download
www.piocom.com.br/download/Loadbalance+FailOver.docx
abs
Por Favor postem os resultado aqui.
Souza Linux