+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Mikrotik, squid и tproxy

Mikrotik, squid и tproxy, RouterOS

Madrox

Guest

10.04.2010 22:08:00

Привет, у меня проблема с настройкой прозрачного прокси через tproxy на Mikrotik. Много читал, как это сделать, но никак не получается. Обычно все используют прокси как мост, но я считаю, что это ещё одна точка отказа, из-за которой всё может упасть. Поэтому я хочу поставить прокси на core-коммутаторе с одним сетевым интерфейсом. Кто-нибудь здесь уже делал такое? Я понимаю, что надо перенаправлять весь трафик на порт 80 с core-роутера на прокси, но что дальше?

Chupaka

Guest

20.02.2012 09:18:00

Разница в том, что при NAT меняется целевой IP-адрес, а при маршрутизации пакет проходит без изменений. То есть, в первом случае пакет направляется на машину с squid из-за изменённого адреса назначения, а во втором — маршрут задаётся с помощью политической маршрутизации. Для NAT требуется включённый Connection Tracking, а при простой маршрутизации ConnTrack не нужен.

nina Guest	#3 0 21.02.2012 22:06:00 Clear, chupaka. Значит, что бы ни было прописано в squid.conf — будь то squid port tproxy или squid port transparent — всё зависит от того, как настроена маршрутизация: через собственный IP или IP роутера, с учетом маршрутизации или NAT.

nina Guest	#4 0 21.02.2012 22:06:00 Понятно, chupaka. Значит, что бы ни было прописано в squid.conf — будь то squid port tproxy или squid port transparent — всё зависит от того, настроена ли маршрутизация или NAT, например, собственный IP или IP роутера.

Chupaka Guest	#5 0 22.02.2012 11:47:00 Да, это просто два разных режима, и, похоже, на роутере можно использовать tproxy вместе с dst-nat.

nina Guest	#6 0 22.02.2012 20:26:00 Спасибо

alv1n

Guest

04.06.2012 16:54:00

Раньше у меня всё работало, пока я не сменил у клиентов статический IP на PPPoE — тогда всё перестало работать. Если отключить src-mac-address, пакеты перенаправляются, но на прокси-сервер приходят с ошибками tcp, и из-за этого клиенты не могут серфить. А если использовать src-mac-address=!squid_mac, вообще ничего не перенаправляется (0 попаданий). Мистер Чупака, подскажите, пожалуйста.

Chupaka Guest	#8 0 20.06.2011 12:44:00 /ip fi nat add chain=dstnat protocol=tcp port=80 action=dst-nat to-addresses=squid-address to-ports=3128 убедитесь, что вы не скрываете этот трафик с помощью маскарадинга

senthil

Guest

21.06.2011 09:12:00

Большое спасибо, сэр. Я настроил всё согласно правилам ниже:
/ip route add gateway=squid_ip routing-mark=tproxied
/ip firewall mangle add chain=prerouting protocol=tcp port=80 src-mac-address=!squid_mac action=mark-routing new-routing-mark=tproxied

Подскажите, зачем мы используем «src-mac-address=!squid_mac»? Можно ли заменить это на IP?

Chupaka Guest	#10 0 21.06.2011 09:38:00 Ты не можешь, Layer2 работает с MAC-адресами; IP-адреса используются на Layer3.

Chupaka Guest	#11 0 10.06.2011 09:40:00 Просто настроил политическую маршрутизацию, как в моем предыдущем посте.

nina

Guest

#12

19.02.2012 23:12:00

В чём разница между redirect dst nat и статическим маршрутом с маркировкой routing для прозрачного кэша? Что лучше? Потому что я использовал редирект — работает очень хорошо (squid с одним Ethernet-прозрачным интерфейсом).

jtroybailey

Guest

#13

15.02.2011 14:28:00

Я бы для начала разделил сеть. Например: Клиенты: 172.19.64.0/24 Сетевые устройства: 172.19.65.0/24 Это позволит лучше настроить файрвол и правила NAT. Затем можно добавить что-то вроде:
/ip firewall nat
add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=ether3 protocol=tcp to-addresses=172.19.65.10 to-ports=3128

где eth3 — интерфейс, к которому подключены клиенты, а 172.19.65.10 — адрес squid proxy.

jtroybailey Guest	#14 0 16.02.2011 04:01:00 Я бы назвал это прозрачным прокси, и да, с использованием dst-nat.

Chupaka Guest	#15 0 18.02.2011 15:38:00 Попробуй так: /ip route add gateway=squid_ip routing-mark=tproxied /ip fi man add chain=prerouting protocol=tcp port=80 src-mac-address=!squid_mac action=mark-routing new-routing-mark=tproxied

emanuelmc

Guest

#16

10.06.2011 02:43:00

Привет, Chupak! Сейчас я использую Lusca + tproxy, потому что мои пользователи имеют фиксированные и действительные IP-адреса. Это нужно, чтобы они могли пользоваться некоторыми сервисами, где ограничивают количество пользователей с одним IP, например, megaupload! У меня есть 4 блока по /24, и я решил назначить каждому пользователю фиксированный IP.

Я использую Slackware 64-бит с Lusca tproxy, создаю и применяю несколько правил с маркировкой пакетов, чтобы tproxy работал. Приведу пример:

${IPTABLES} -t mangle -N FUN
${IPTABLES} -t mangle -j MARK --set-mark 1
${IPTABLES} -t mangle -j ACCEPT

${IPTABLES} -t mangle -A PREROUTING -p tcp -m socket -j FUN
${IPTABLES} -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY --tproxy-mark 0x1/0x1 --on-port 3129

ip rule add lookup fwmark 1 100
ip route add local 0.0.0.0/0 dev lo table 100

И как использовать PPPoE концентратор RB1100! Но я хочу использовать только Linux для tproxy и DNS, а как работать с firewall, QoS, PPPoE на Mikrotik — не очень понимаю. Мне нужна помощь, как сделать перенаправление с Mikrotik на Linux с tproxy! Сам tproxy висит на порту 3129.

Буду очень признателен за помощь!
С уважением, Эмануэл Магальяэш Кунья

senthil Guest	#17 0 17.06.2011 04:38:00 Моя настройка tproxy выглядит так. Веб-сервер (172.16.1.0/24) \| клиент (192.168.2.0/24) — Microtik (172.16.1.0/2) — squid tproxy (192.168.1.0/24). Squid слушает порт 3128, и нам нужно перенаправить трафик с порта 80 от клиентов на прокси squid на тот же порт. Ниже приведённое правило не делало никакого перенаправления, так что как правильно переадресовать трафик? /ip route add gateway=squid_ip routing-mark=tproxied /ip firewall mangle add chain=prerouting protocol=tcp port=80 src-mac-address=!squid_mac action=mark-routing new-routing-mark=tproxied

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры