Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Squid 3.3.4 com suporte a TPROXY no BSD

    Portuguese
    3
    5
    1469
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • marcelloc
      marcelloc last edited by

      Pessoal,

      Esta nova funcionalidade, se compatível com o pfsense, pode abrir muitas possibilidades

      http://wiki.squid-cache.org/ConfigExamples/Intercept/FreeBsdPf

      Até onde entendi, o TPROXY é capaz de fazer proxy transparente e ainda enviar o forjar o ip do cliente no pacote de saída.

      Isso abriria possibilidade para o uso simultâneo de proxy e traffic shape no pfsense? proxy e load balance sem a necessidade de tcp_outgoing_address ou regras na aba floating? ???

      att,
      Marcello Coutinho

      1 Reply Last reply Reply Quote 0
      • M
        mantunespb last edited by

        alguma previsão para atualizar o pacote ? se quiser posso testar

        1 Reply Last reply Reply Quote 0
        • marcelloc
          marcelloc last edited by

          @mantunespb:

          alguma previsão para atualizar o pacote ? se quiser posso testar

          O buraco é mais em baixo, mandei na lista de devel e parece que o que o squid precisa só vem na 2.2

          Ainda sim vou tentar alguma coisa…

          1 Reply Last reply Reply Quote 0
          • L
            lgcosta last edited by

            Vamos lá…. questões sobre TPROXY:

            TPROXY é um metodo que faz com que o ip do cliente saia pelo o proxy diretamente, deixando o proxy mais transparente ainda em relação a conexão, é como se o proxy fosse realmente o cliente fazendo conexão.

            Neste caso, você precisa que o ip do cliente seja roteavel diretamente do outro lado, nesses casos, esqueça o NAT ! já que a conexão é integrada (via tproxy) a conexão do cliente.

            Eu trabalho muito com tproxy, mas 99% dos ambientes são provedores, onde eles entregam ip's publicos no lado cliente, então via tproxy, eu roteio a conexão no squid (no caso sempre usei lusca)

            Já houve um tentativa minha de mexer nisso a dois anos no pfsense, mas isso implica em aplicar patchs no kernel e na base do pfsense, iria dar um certo trabalho por conta do número grande de patchs aplicados na base do pfsense assim como as alterações poderiam interferir em outras alterações.

            Nesses casos, quando eu preciso aplicar tproxy em algum ambiente, eu uso o freebsd puro com aplicação de patch na base.

            Eu fiz adaptações no patch do Luiz Otavio (loos), segue abaixo:

            http://www.mundounix.com.br/~gugabsd/lusca_tproxy_8_STABLE.diff
            http://www.mundounix.com.br/~gugabsd/lusca_tproxy_9-STABLE.diff

            Quem quiser brincar, use em conjunto com o lusca (www/lusca-head) que já vem nativo com a funcionalidade de tproxy.

            Abraços

            1 Reply Last reply Reply Quote 0
            • L
              lgcosta last edited by

              uma outra questão que esqueci de mencionar é sobre o forwarding do packet filter que ainda não tem suporte a faze-lo sem alterar o pacote. Hoje o forward funciona alterando o cabeçalho do pacote afim de "natear" a conexão, coisa que com o tproxy não deve ser alterado, para que o tproxy reconheça a origem e faça a simulação do ip de origem.

              Para que isso funcione no FreeBSD, é necessário o patch que citei anteriormente e usa funções nativas do ipfw e adapta ao uso do mesmo em situações de BRIDGE.

              Isso mesmo, eu uso o patch sempre quando o ambiente esta em uma conexão em bridge, sem bridge, sendo o firewall o roteador da rede, não é necessário o uso do patch, já que nativamente o IPFW faz o forwarding sem gerar um "NAT" na conexão.

              Nas versões do PF via openbsd 5.4, talvez isso funcione com alguns parâmetros novos que vi  no manual do mesmo, mas como ainda não temos portado para o FreeBSD, não sei te dizer ao certo se os parâmetros são para isso mesmo.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post

              Products

              • Platform Overview
              • TNSR
              • pfSense
              • Appliances

              Services

              • Training
              • Professional Services

              Support

              • Subscription Plans
              • Contact Support
              • Product Lifecycle
              • Documentation

              News

              • Media Coverage
              • Press
              • Events

              Resources

              • Blog
              • FAQ
              • Find a Partner
              • Resource Library
              • Security Information

              Company

              • About Us
              • Careers
              • Partners
              • Contact Us
              • Legal
              Our Mission

              We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

              Subscribe to our Newsletter

              Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

              © 2021 Rubicon Communications, LLC | Privacy Policy