Raptorcache 2 Configuración Modo Gateway

Publicado por WALYN, Septiembre 17, 2015, 09:07:13 PM

Tema anterior - Siguiente tema

WALYN

Cita de: juliobrenis en Diciembre 17, 2015, 01:31:23 PM
Esta configuracion me sirve en modo no transparente es decir colocar en el navegador usar servidor proxy
Gracias por tu pronta respuesta amigo firecol

Para mi la mejor forma de poner roptor es en modo gateway  con WAN Y LAN  con servicio dhcp..
ya que todo es automático y esto modo no hay que ir a los clientes a poner la ip del raptor al navegador para que tenga cache..

firecold

Cita de: juliobrenis en Diciembre 17, 2015, 01:31:23 PM
Esta configuracion me sirve en modo no transparente es decir colocar en el navegador usar servidor proxy
Gracias por tu pronta respuesta amigo firecol

Si mi amigo la misma configuracion es la misma para el modo no transparente, pero igual en modo gateway, aunque es muy practico y facil usar el modo transparente, en todo caso no tengas MK, si tienes MK el mejor modo es paralelo, Saludos

firecold

Cita de: WALYN en Diciembre 17, 2015, 01:46:37 PM
Para mi la mejor forma de poner roptor es en modo gateway  con WAN Y LAN  con servicio dhcp..
ya que todo es automático y esto modo no hay que ir a los clientes a poner la ip del raptor al navegador para que tenga cache..

Tienes razon amigo, es la mejor forma, ya que te evitas la configuracion de cliente en cliente y se hace sin que el cliente se entere de nada, en mi caso yo hago unas modificaciones a squid para que no sepan que estan pasando por un proxy, Saludos

rubennoboa

buenos dias amigos yo tengo el rango :
192.168.0.1      .. cual es la manera correcta amigos
192.168.0.0/16
192.168.0.0/24           esta parte no entiendo bien..

WALYN

Cita de: rubennoboa en Diciembre 19, 2015, 08:56:40 AM
buenos dias amigos yo tengo el rango :
192.168.0.1      .. cual es la manera correcta amigos
192.168.0.0/16
192.168.0.0/24           esta parte no entiendo bien..

PARA LOS CLIENTES ES MEJOR 192.168.0.0/24 O 192.168.1.0/24

rubennoboa

CitarPARA LOS CLIENTES ES MEJOR 192.168.0.0/24 O 192.168.1.0/24
MUCHAS GRACIAS

firecold

Cita de: rubennoboa en Diciembre 19, 2015, 08:56:40 AM
buenos dias amigos yo tengo el rango :
192.168.0.1      .. cual es la manera correcta amigos
192.168.0.0/16
192.168.0.0/24           esta parte no entiendo bien..

La verdad hay muchos rangos de red que puedes usar sin ningun problema, asi como nosotros que utilizamos redes privadas y para saber como crear nuestra, te dejo un ejemplo.



Como tambien puedes saber la mascara de red y te dejo un enlace para que puedas profundizar en ello y mas cuando quieres dejar un rango pequeño de red, mas que nada por seguridad, http://www.calculadora-redes.com/, Saludos

rubennoboa

CitarLa verdad hay muchos rangos de red que puedes usar sin ningun problema, asi como nosotros que utilizamos redes privadas y para saber como crear nuestra, te dejo un ejemplo.



Como tambien puedes saber la mascara de red y te dejo un enlace para que puedas profundizar en ello y mas cuando quieres dejar un rango pequeño de red, mas que nada por seguridad, http://www.calculadora-redes.com/, Saludos

GRACIAS AMIGO HE SALIDO DE TODAS LAS DUDAS

firecold

Cita de: rubennoboa en Diciembre 20, 2015, 10:58:43 AM
GRACIAS AMIGO HE SALIDO DE TODAS LAS DUDAS

Me alegra mucho, siempre para lo que quiera ahi estamos, en lo que podemos y en el poco conocimiento que se tiene, pues algo aprende usted y algo aprendo yo, Saludos

rubennoboa

CitarMe alegra mucho, siempre para lo que quiera ahi estamos, en lo que podemos y en el poco conocimiento que se tiene, pues algo aprende usted y algo aprendo yo, Saludos

BENDICIONES...  :-*

WALYN

Cita de: firecold en Diciembre 17, 2015, 03:36:03 PM
Tienes razon amigo, es la mejor forma, ya que te evitas la configuracion de cliente en cliente y se hace sin que el cliente se entere de nada, en mi caso yo hago unas modificaciones a squid para que no sepan que estan pasando por un proxy, Saludos

que ventaja tiene que no lo sepan que hay un prosy..y como lo haces? 

firecold

Cita de: WALYN en Diciembre 26, 2015, 02:02:34 PM
que ventaja tiene que no lo sepan que hay un prosy..y como lo haces?

lo que pasa que siempre hay un usuario que se quiere pasar de listo y entonces quiere saltarse el proxy y por si no lo sabes hay un monton de formas de saltarselo, ya sea porque le tengas alguna limitacion de velocidad o de contenido o simplemente porque no quiere que sepas que esta haciendo, la ventaja es que tiene trabajar mas para poder saltarse la restriccion, Saludos

WALYN

Cita de: firecold en Diciembre 26, 2015, 02:16:23 PM
lo que pasa que siempre hay un usuario que se quiere pasar de listo y entonces quiere saltarse el proxy y por si no lo sabes hay un monton de formas de saltarselo, ya sea porque le tengas alguna limitacion de velocidad o de contenido o simplemente porque no quiere que sepas que esta haciendo, la ventaja es que tiene trabajar mas para poder saltarse la restriccion, Saludos

En mi caso tengo el 70% de mujeres y 30% de chicos y de eso 30% quizá 10% saben algo de red pero creo que no saben ni siquiera clonar un mac..y mis clientes esta muy satisfecho con el servicio.. Realmente yo no uso limitaciones a los clientes.. se me a olvidos todo lo que tiene que ver con limitaciones..lo que yo uso es algo mejor que limitar a los clientes pj: si yo tengo 20Mbs de Internet en mi red con 10 clientes los 20Mbs se reparten uniformemente osea que le dará de 2Mbs a cada uno..pero si hay un cliente conectado tendrá los 20Mbs para el solo..el Internet se comparte sin que un cliente se robe todo el Internet.. tenerlo así es ventajoso ya que la mayoría de los clientes descargan de madrugada y así se aprovecha todo el Internet de noche ya que no hay que bajarlo de días donde todos los clientes están.   

firecold

Cita de: WALYN en Diciembre 28, 2015, 11:42:15 AM
En mi caso tengo el 70% de mujeres y 30% de chicos y de eso 30% quizá 10% saben algo de red pero creo que no saben ni siquiera clonar un mac..y mis clientes esta muy satisfecho con el servicio.. Realmente yo no uso limitaciones a los clientes.. se me a olvidos todo lo que tiene que ver con limitaciones..lo que yo uso es algo mejor que limitar a los clientes pj: si yo tengo 20Mbs de Internet en mi red con 10 clientes los 20Mbs se reparten uniformemente osea que le dará de 2Mbs a cada uno..pero si hay un cliente conectado tendrá los 20Mbs para el solo..el Internet se comparte sin que un cliente se robe todo el Internet.. tenerlo así es ventajoso ya que la mayoría de los clientes descargan de madrugada y así se aprovecha todo el Internet de noche ya que no hay que bajarlo de días donde todos los clientes están.


Ahí esta el detalle, en mi trabajo solo de un cliente son 450 usuarios de un edificio de oficinas donde todo el mundo quiere ver el facebook o cualquier red social y obviamente tiene que estar bloqueadas, solo algunas paginas están libres y hay un ancho de banda que se contrata y ese es el que se le da, y todos buscan la manera de entrar facebook de las maneras mas tontas hasta las mas astutas, cuando se habla del ámbito profesional te piden 2MB y les das lo que contrataron no mas, ni tampoco menos, por eso hablo de esconder el proxy, para que trabajen mas, entre otras medidas de seguridad que se implementan para poder bloquear https, bloquear pop-ups, paginas maliciosas y malintencionadas, pornografía y uuuffff ya te digo que siempre hay alguien queriéndose pasar de listo, en tu caso pues esta relax, jajajajjaja, Saludos

juliobrenis

Cita de: firecold en Diciembre 28, 2015, 05:11:45 PM

Ahí esta el detalle, en mi trabajo solo de un cliente son 450 usuarios de un edificio de oficinas donde todo el mundo quiere ver el facebook o cualquier red social y obviamente tiene que estar bloqueadas, solo algunas paginas están libres y hay un ancho de banda que se contrata y ese es el que se le da, y todos buscan la manera de entrar facebook de las maneras mas tontas hasta las mas astutas, cuando se habla del ámbito profesional te piden 2MB y les das lo que contrataron no mas, ni tampoco menos, por eso hablo de esconder el proxy, para que trabajen mas, entre otras medidas de seguridad que se implementan para poder bloquear https, bloquear pop-ups, paginas maliciosas y malintencionadas, pornografía y uuuffff ya te digo que siempre hay alguien queriéndose pasar de listo, en tu caso pues esta relax, jajajajjaja, Saludos

Amigo Firecol te toma la palabra ya que el escenario que mencionas es similar al mio y por consiguiente tenemos que optar por el modo GATEWAY o modo no transparente para mi caso a la fecha todo bien a excepcion de algunas paginas (sobre todo del gobierno de mi pais - PERU - que no funcionan apropiadamente para lo cual se hace un trato especial.
Gracias por tus aportes

firecold

Cita de: juliobrenis en Diciembre 29, 2015, 08:04:16 AM
Amigo Firecol te toma la palabra ya que el escenario que mencionas es similar al mio y por consiguiente tenemos que optar por el modo GATEWAY o modo no transparente para mi caso a la fecha todo bien a excepcion de algunas paginas (sobre todo del gobierno de mi pais - PERU - que no funcionan apropiadamente para lo cual se hace un trato especial.
Gracias por tus aportes

En mi caso si uso el modo transparente para todas las conexiones, ya sea en modo paralelo o modo gateway o en algunos casos optamos por el modo bridge, pero es cuestion de los escenarios, ya que todos los escenarios son distintos de algun modo, Saludos

atma

hola disculpen que los moleste pero tengo un problema  :-X

seguí paso a paso pero no tengo conexion a internet
antes de modificar el /etc/squid3/squid.conf   tenia internet pero no podia entrar al servidor raptor cuando lo modifique ya no tenia internet pero puedo entrar a la web del servidor raptorcache

en el servidor le doy ping www.google.com y funciona pero en las maquinas de mi red no tienen internet

que puede ser ?




# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

########## WAN ############
auto eth0
iface eth0 inet static
        address 192.168.10.55
        netmask 255.255.255.0
        network 192.168.10.1
        broadcast 192.168.10.255
        gateway 192.168.10.1

########## LAN #############
auto eth1
iface eth1 inet static
      address 192.168.1.1
      netmask 255.255.255.0
      broadcast 192.168.1.255


en   /etc/default/isc-dhcp-server   cambie
INTERFACES="eth1"

/etc/dhcp/dhcpd.conf
# Algunos de estos parametros podrían configurarse
# de diferente manera adaptando cada red a nuestras
# necesidades, con por ejemplo, diferentes tiempos
# de asignación de IP (max-lease-time 604800)

# Configuración del servifor DHCP
ddns-update-style none;
option domain-name "syconet.example";
option domain-name-servers 8.8.8.8, 8.8.4.4;
default-lease-time 7200;
max-lease-time 21600;
authoritative;
log-facility local7;

# Rangos
subnet 192.168.1.0 netmask 255.255.255.0 {
      range 192.168.1.2 192.168.1.254;
      option routers 192.168.1.1;
}
# Equipos rango 192.168.1.0 #
host windowsxp {
   hardware ethernet 00:11:22:33:44:55;
   fixed-address 192.168.1.240;
}


script-parametros.sh

########## PARAMETROS #########
INT_IN=eth0 # Interface que provee internet
INT_OUT=eth1 # interface que comparte internet a la Lan
RANGO=192.168.1.0/24
###############################
echo " Borrando las Cadenas existentes..."
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
# Zero all packets and counters.
iptables -Z
iptables -t nat -Z
iptables -t mangle -Z
echo " Estableciendo Politica por Defecto (ACEPTAR)"
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
echo " Redireccionamos las peticiones de www hacia Squid Proxy"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
iptables -t nat -A PREROUTING -i $INT_OUT -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o $INT_IN -s $RANGO -j MASQUERADE
echo " Terminando la Configuracion del Firewall."




y esto tambien lo cambie install_raptor2.sh

if [ $DHCP != 0 ]; then
   echo "Error! Use config IP static in /etc/network/interfaces"
echo ""
exit 0
fi

IPSERV=$(ifconfig eth1 | grep 'inet addr:' | cut -d: -f2 | awk '{ print $1}')
HOST_NAME="raptor.os"

apt-get update
if [ $? -ne 0 ]; then
   echo "Error! Internet Connection"
   exit


cuando cambie esto ya no tenia internet pero podia entrar desde la red al raptorcache 192.168.1.1:82
/etc/squid3/squid.conf


#=====================================================================#
#                           Squid 3.x Conf                            #
#=====================================================================#
http_port 3128 intercept
visible_hostname raptor.os
icp_port 0
#----------------------------------------------------------------------
acl google url_regex -i (googlevideo.com|www.youtube.com)
acl mobile browser -i regexp (iPhone|iPad|Windows.*Phone|BlackBerry|PlayBook|Trident|IEMobile)
request_header_access User-Agent deny google !mobile
request_header_replace User-Agent Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
#----------------------------------------------------------------------
#error_directory /usr/share/squid3/errors/Spanish/
#----------------------------------------------------------------------
acl blacklist url_regex -i "/etc/squid3/blacklist.lst"
#----------------------------------------------------------------------
# Servidor DNS y Politica de Cambios
#----------------------------------------------------------------------
dns_nameservers 8.8.8.8 8.8.4.4
dns_retransmit_interval 5 seconds
dns_timeout 2 minutes
#----------------------------------------------------------------------
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl localnet src 10.0.0.0/8     # RFC 1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC 1918 possible internal network
acl localnet src 192.168.1.0/24 # RFC 1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl CONNECT method CONNECT

acl Safe_ports port 80          # http
acl Safe_ports port 443         # https
acl SSL_ports port 443          # https

http_access deny blacklist
http_access allow manager localhost
http_access deny manager all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow localnet
#----------------------------------------------------------------------
coredump_dir /var/spool/squid3
#----------------------------------------------------------------------
# Log de acessos
#----------------------------------------------------------------------
logfile_rotate 7
#access_log /var/log/squid3/access.log
access_log none
#----------------------------------------------------------------------
# Otras configuraciones
#----------------------------------------------------------------------
cache_mgr raptor.os
shutdown_lifetime 2 seconds
half_closed_clients off
server_persistent_connections off
client_persistent_connections off
log_fqdn off
quick_abort_min 0 KB
quick_abort_max 0 KB
quick_abort_pct 95
max_filedescriptors 65536
#----------------------------------------------------------------------
#cache deny all
#----------------------------------------------------------------------
acl sys_lst url_regex -i "/etc/raptor/sys.lst"
acl raptor_lst url_regex -i "/etc/raptor/raptor.lst"
acl wth_lst url_regex -i "/etc/raptor/whitelist.lst"
acl host_lst req_header Host -i "/etc/raptor/host.lst"
acl exts url_regex -i \.(cab|exe|msi|msu|zip|deb|rpm|bz|bz2|gz|tgz|rar|bin|7z|mp3|mp4|flv)$
acl head_html req_header Accept -i text/html.+
cache deny raptor_lst
cache_peer 192.168.1.1 parent 8080 0 proxy-only no-digest
dead_peer_timeout 2 seconds
cache_peer_access 192.168.1.1 allow host_lst
cache_peer_access 192.168.1.1 allow exts
cache_peer_access 192.168.1.1 deny head_html
cache_peer_access 192.168.1.1 deny wth_lst
cache_peer_access 192.168.1.1 allow raptor_lst
cache_peer_access 192.168.1.1 allow sys_lst
cache_peer_access 192.168.1.1 deny all
cache deny all
#----------------------------------------------------------------------

WALYN

acuérdate que hay dos forma de entrar en modo gateway pj: en tu caso tu entraría por  eth0 usaria 192.168.10.55:82 y tambien por la
eth1 con 192.168.1.1:82 al webpanel..



quita esta dos linea en parametro  porque ya no se usan por la cuestión de youtube

iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC



jhonathanve

Cita de: WALYN en Enero 09, 2016, 09:20:35 PM
acuérdate que hay dos forma de entrar en modo gateway pj: en tu caso tu entraría por  eth0 usaria 192.168.10.55:82 y tambien por la
eth1 con 192.168.1.1:82 al webpanel..



quita esta dos linea en parametro  porque ya no se usan por la cuestión de youtube

iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC


deberia de dejarla por lo quue si se a la final se arregla de lo de los navegadores, joemg6 habia dicho que aun youtube pasa por http

WALYN

Cita de: jhonathanve en Enero 09, 2016, 09:36:43 PM

deberia de dejarla por lo quue si se a la final se arregla de lo de los navegadores, joemg6 habia dicho que aun youtube pasa por http

quilata te puede dar conflicto..cuando lo reglen lo pone