proxy
0 views
Skip to first unread message
cesilho
Nov 26, 2008, 4:30:32 PM11/26/08
to openbsdbr
Olá pessoal sou novo no open e recebi a incubencia de manter a
administração de dois servidores com openbsd, dois com isaserver e
dois ad.
Os servidores com open rodam dns e firewall.
meu problema é o seguinte.
eu já encontrei tudo montado e não tenho muita experiência com openbsd
e antes que me perguntem porque quero substituir os isa vou logo
dizendo que acho a administração e as regras do open bem mais fáceis.
quero substituir estes dois isa daqui da minha rede por um só openbsd
com squid e quatro placas de rede.
é assim.
tem um roteador com duas saidas:
ip roteador saida a= 10.10.0.1
ip roteador saida b= 10.13.0.1
quero montar meu servidor de proxy com esta configuração:
rl0= 10.10.0.2 ext_if
rl1= 10.10.0.3 int_if
xl0= 10.13.0.2 ext_if
xl1= 10.13.0.2 int_if
instalei o open 4.3 tudo bl a principio com duas placas só, fiz todas
as configurações do squid mas não funcionou.
outra coisa que eu percebi e não sei se é normal, é que quando eu
pingo de dentro da própria máquina para o ip 10.10.0.2 ele responde
mas para o 10.10.0.3 ele dá a mensagem: ping: wrote 10.10.0.3 64
chars, ret=-1
ping: sendto: host is down
alguem poderia me ajudar?
administração de dois servidores com openbsd, dois com isaserver e
dois ad.
Os servidores com open rodam dns e firewall.
meu problema é o seguinte.
eu já encontrei tudo montado e não tenho muita experiência com openbsd
e antes que me perguntem porque quero substituir os isa vou logo
dizendo que acho a administração e as regras do open bem mais fáceis.
quero substituir estes dois isa daqui da minha rede por um só openbsd
com squid e quatro placas de rede.
é assim.
tem um roteador com duas saidas:
ip roteador saida a= 10.10.0.1
ip roteador saida b= 10.13.0.1
quero montar meu servidor de proxy com esta configuração:
rl0= 10.10.0.2 ext_if
rl1= 10.10.0.3 int_if
xl0= 10.13.0.2 ext_if
xl1= 10.13.0.2 int_if
instalei o open 4.3 tudo bl a principio com duas placas só, fiz todas
as configurações do squid mas não funcionou.
outra coisa que eu percebi e não sei se é normal, é que quando eu
pingo de dentro da própria máquina para o ip 10.10.0.2 ele responde
mas para o 10.10.0.3 ele dá a mensagem: ping: wrote 10.10.0.3 64
chars, ret=-1
ping: sendto: host is down
alguem poderia me ajudar?
_dooloco
Nov 26, 2008, 4:44:08 PM11/26/08
to openbsdbr
Cara, tb sou iniciante mas eu montei o meu proxy atravez desse
tutorial (http://www.openbsd-br.org/)
Proxy Transparente com Squid e PF
Instalando o Squid
Instale o squid a partir da árvore de ports do OpenBSD. Se você não
tem familiaridade com o sistema de ports do OpenBSD leia isto antes.
# cd /usr/ports/www/squid
# env FLAVOR=transparent make install
Configurando o Squid
O arquivo de configuração do squid fica em /etc/squid/squid.conf, você
necessitará fazer ao menos as seguintes mudanças na configuração
padrão.
http_port 127.0.0.1:3128
http_access deny to_localhost
acl our_networks src 10.0.0.0/8
http_access allow our_networks
visible_hostname insomnia.benzedrine.cx
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Inicie o squid primeiramente com a opção -z para que sejam criados os
diretórios de swap.
# squid -z
2006/01/03 16:26:13| Creating Swap Directories
Depois disso você pode iniciar o squid sem parâmetro algum.
# squid
Quando você faz mudanças no arquivo de configuração, deve avisar ao
squid para reler o arquivo:
# squid -k reconfigure
Configurando o PF
A configuração do pf fica em /etc/pf.conf. Este arquivo é documentado
em pf.conf(5). Este é um exemplo mínimo de uma regra rdr.
int_if="gem0"
ext_if="kue0"
rdr on $int_if inet proto tcp from any to any port www -> 127.0.0.1
port 3128
pass in on $int_if inet proto tcp from any to 127.0.0.1 port 3128 keep
state
pass out on $ext_if inet proto tcp from any to any port www keep state
Note que o squid precisa abrir /dev/pf para consulta o filtro de
pacotes. A permição padrão para este arquivo é de acesso somente para
o root. O squid roda como user_squid, grupo _squid. Então para que o
squid tenha permição para acessar o /dev/pf faça o seguinte:
# chgrp _squid /dev/pf
# chmod g+rw /dev/pf
----
Autor
João Salvatti / salv...@gmail.com
PS. qualquer duvida pede para o Salvatti que ele lhe ajudará
tutorial (http://www.openbsd-br.org/)
Proxy Transparente com Squid e PF
Instalando o Squid
Instale o squid a partir da árvore de ports do OpenBSD. Se você não
tem familiaridade com o sistema de ports do OpenBSD leia isto antes.
# cd /usr/ports/www/squid
# env FLAVOR=transparent make install
Configurando o Squid
O arquivo de configuração do squid fica em /etc/squid/squid.conf, você
necessitará fazer ao menos as seguintes mudanças na configuração
padrão.
http_port 127.0.0.1:3128
http_access deny to_localhost
acl our_networks src 10.0.0.0/8
http_access allow our_networks
visible_hostname insomnia.benzedrine.cx
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Inicie o squid primeiramente com a opção -z para que sejam criados os
diretórios de swap.
# squid -z
2006/01/03 16:26:13| Creating Swap Directories
Depois disso você pode iniciar o squid sem parâmetro algum.
# squid
Quando você faz mudanças no arquivo de configuração, deve avisar ao
squid para reler o arquivo:
# squid -k reconfigure
Configurando o PF
A configuração do pf fica em /etc/pf.conf. Este arquivo é documentado
em pf.conf(5). Este é um exemplo mínimo de uma regra rdr.
int_if="gem0"
ext_if="kue0"
rdr on $int_if inet proto tcp from any to any port www -> 127.0.0.1
port 3128
pass in on $int_if inet proto tcp from any to 127.0.0.1 port 3128 keep
state
pass out on $ext_if inet proto tcp from any to any port www keep state
Note que o squid precisa abrir /dev/pf para consulta o filtro de
pacotes. A permição padrão para este arquivo é de acesso somente para
o root. O squid roda como user_squid, grupo _squid. Então para que o
squid tenha permição para acessar o /dev/pf faça o seguinte:
# chgrp _squid /dev/pf
# chmod g+rw /dev/pf
----
Autor
João Salvatti / salv...@gmail.com
PS. qualquer duvida pede para o Salvatti que ele lhe ajudará
cesar castro
Nov 26, 2008, 4:55:10 PM11/26/08
to open...@googlegroups.com
valu irmão vou tentar obrigado.
Em 26/11/08, _dooloco <fagne...@gmail.com> escreveu:
|##| |##|
"Urgente é algo que algum idiota deixou
de fazer em tempo hábil e que algum
imbecil quer que você faça em tempo
recorde"
Reply all
Reply to author
Forward
0 new messages