Configuración del firewall de RaptorCache

[Greenhat]

 Saludos amigos y en especial al Amigo joemg6 muy buenas noches saludos desde venezuela

Soy nuevo en esto he escuchado de raptorcache y aplaudo la idea de que cobres por tu trabajo, aunque en nuestro pais es muy dificil comprarte las licencias debido a los problemas de divisas etc, etc ese es otro tema, donaciones por paypal si pudiera ser y quisiera donar y aportarte algo por tu trabajo.

solo quiero preguntarte o a los que quieran responder  algo, tengo mi red una antena picostation mi mikrotik version 5.9, y quiero implementar este sistema raptor, solo sigo las instrucciones que se colocaron en la pagina central y listo o hay algo mas que se deba realizar, al conectar va a ser automatico el cache, tengo un cpu core 2 duo E 7400 3 Gb de Ram y 500 Gb de disco mis clientes estimados para empezar serian de 30 a 50, el equipo seria el adecuado para correr este sistema gracias espero su pronta ayuda :)

[Adrian Aular]

Configuración del firewall de RaptorCache

Vamos a usar el siguiente esquema para identificar la red Lan de acuerdo a su segmento de red por su clase (CIDR), entonces sería 192.168.1.0/24 si se usa como Máscara de subred 255.255.255.0

Entonces solo remplazamos el segmento que viene por defecto por el que estemos usando y también vefificamos el nombre de nuestra interface de red del servidor Raptor, en este caso es eth0(se puede verificar con el comando "ifconfig"), y nos quedaría como la siguiente imagen


En el caso que tengamos más de un segmento de red, solo agregamos reglas adicionales agregando los segmentos restantes, por ej.


Si se quiere editar manualmente pueden hacerlo en el archivo "etc/raptor/fw.sh"
y quedaría de la siguiente manera

Código (bash) [Seleccionar] Expandir


#!/bin/bash
echo ";;;;;;;;;;;;;;;;;;;;;;;"
echo ";     RaptorCache     ;"
echo ";;;;;;;;;;;;;;;;;;;;;;;"

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -X
iptables -Z
iptables -t nat -F

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT


iptables -A INPUT -i lo -j ACCEPT #comment#Localhost

# -----------------------------| Redireccion por mangle |----------------------------------
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT #comment#Input LAN 
iptables  -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 #comment#Redirect 3128
iptables -A FORWARD -i eth0 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
# -----------------------------------------------------------------------------------------



Es recomendable que se use estas reglas aún si se está usando la redirección por NAT.

En: Input LAN   ##-##iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
puedo agregarlo asi: Input LAN   ##-##iptables -A INPUT -s 10.0.0.2-10.0.254.2 -j ACCEPT (asi englobaria todas las ips de los clientes desde la 0.2 hasta la 254.2)

Debido a que trabajo con ips estatico mediante pppoe de la siguiente manera; acada usuario le asigno la ip directamente al usuario en secrets o deberia agregarlo asi:

Input LAN   ##-##iptables -A INPUT -s 10.0.0.2 -j ACCEPT
Input LAN   ##-##iptables -A INPUT -s 10.0.1.2 -j ACCEPT
Input LAN   ##-##iptables -A INPUT -s 10.0.2.2 -j ACCEPT
Input LAN   ##-##iptables -A INPUT -s 10.0.3.2 -j ACCEPT

Hay que destacar que de cada segmente de red solo se usa 1 ip para el cliente.

[luistec]

En: Input LAN   ##-##iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
puedo agregarlo asi: Input LAN   ##-##iptables -A INPUT -s 10.0.0.2-10.0.254.2 -j ACCEPT (asi englobaria todas las ips de los clientes desde la 0.2 hasta la 254.2)

Debido a que trabajo con ips estatico mediante pppoe de la siguiente manera; acada usuario le asigno la ip directamente al usuario en secrets o deberia agregarlo asi:

Input LAN   ##-##iptables -A INPUT -s 10.0.0.2 -j ACCEPT
Input LAN   ##-##iptables -A INPUT -s 10.0.1.2 -j ACCEPT
Input LAN   ##-##iptables -A INPUT -s 10.0.2.2 -j ACCEPT
Input LAN   ##-##iptables -A INPUT -s 10.0.3.2 -j ACCEPT

Hay que destacar que de cada segmente de red solo se usa 1 ip para el cliente.

Eso lo puedes hacer con subredes (255.255.0.0) y le asignas su CIDR, una imagen de guía


Saludos.

[angel]

bueno comentarles que el raptor2 si esta haciendo cache de todo lo que puede, lo raro es que no me cachea las  actualizaciones de steam, solo me aparece esto

Icon   Dominio             Archivos    Tamaño   Eco                 Hits   Eficacia
   steamstatic.com   851    6.9 MiB   641.34 KiB   58   9.07%
lo de steampowered nada
el modo que lo tengo trabajando el server es geteway, a alguien mas le pasa eso?
y lo pudo solucionar

[zatarra]

Configuración del firewall de RaptorCache

Vamos a usar el siguiente esquema para identificar la red Lan de acuerdo a su segmento de red por su clase (CIDR), entonces sería 192.168.1.0/24 si se usa como Máscara de subred 255.255.255.0

Entonces solo remplazamos el segmento que viene por defecto por el que estemos usando y también vefificamos el nombre de nuestra interface de red del servidor Raptor, en este caso es eth0(se puede verificar con el comando "ifconfig"), y nos quedaría como la siguiente imagen


En el caso que tengamos más de un segmento de red, solo agregamos reglas adicionales agregando los segmentos restantes, por ej.


Si se quiere editar manualmente pueden hacerlo en el archivo "etc/raptor/fw.sh"
y quedaría de la siguiente manera

Código (bash) [Seleccionar] Expandir


#!/bin/bash
echo ";;;;;;;;;;;;;;;;;;;;;;;"
echo ";     RaptorCache     ;"
echo ";;;;;;;;;;;;;;;;;;;;;;;"

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -X
iptables -Z
iptables -t nat -F

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT


iptables -A INPUT -i lo -j ACCEPT #comment#Localhost

# -----------------------------| Redireccion por mangle |----------------------------------
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT #comment#Input LAN 
iptables  -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 #comment#Redirect 3128
iptables -A FORWARD -i eth0 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
# -----------------------------------------------------------------------------------------



Es recomendable que se use estas reglas aún si se está usando la redirección por NAT.

joemg6... Saludos, tengo 3 preguntas reciente actualice el binario y he implemente subredes en mi red, leyendo este post verifique mi archivo etc/raptor/fw.sh, lo fui a editar y no tenia nada :s, es normal después de haberlo actualizado? la otra es, si declaro en el firewall la red 10.0.0.0/24 y las subredes están dentro de esa id de red, es necesario declarar 1 a 1 las subredes por ejemplo 10.0.0.68/30, 10.0.0.72/30, o solo con tener el 10.0.0.0/24 estaría bien? y la ultima ¿hay alguna manera de limitar en numero de conexiones por ip? tengo clientes que tienen hasta 300 conexiones en Nº de Conex. por Ip, active unas reglas de firewall x mikrotik y no se si le causaran problemas al raptor, Olive decir que mi redireccionamiento es por mangle...

Estas son las reglas que conseguí:

Código [Seleccionar] Expandir

/ip firewall filter
add action=drop comment="Limitar Numero de conexiones TCP para cada cliente (32)" chain=forward connection-limit=80,32 disabled=no protocol=tcp tcp-flags=syn   

add action=drop comment="Limitar Numero de conexiones UDP para cada cliente (32)" chain=forward connection-state=new disabled=no dst-port=!53,67 limit=30,150 protocol=udp 

add action=drop comment="Limitar Numero de conexiones P2P para cada cliente (32)" chain=forward connection-limit=10,32 connection-state=new disabled=no p2p=all-p2p protocol=tcp

[joemg6]

joemg6... Saludos, tengo 3 preguntas reciente actualice el binario y he implemente subredes en mi red, leyendo este post verifique mi archivo etc/raptor/fw.sh, lo fui a editar y no tenia nada :s, es normal después de haberlo actualizado? la otra es, si declaro en el firewall la red 10.0.0.0/24 y las subredes están dentro de esa id de red, es necesario declarar 1 a 1 las subredes por ejemplo 10.0.0.68/30, 10.0.0.72/30, o solo con tener el 10.0.0.0/24 estaría bien? y la ultima ¿hay alguna manera de limitar en numero de conexiones por ip? tengo clientes que tienen hasta 300 conexiones en Nº de Conex. por Ip, active unas reglas de firewall x mikrotik y no se si le causaran problemas al raptor, Olive decir que mi redireccionamiento es por mangle...

Estas son las reglas que conseguí:

Código [Seleccionar] Expandir

/ip firewall filter
add action=drop comment="Limitar Numero de conexiones TCP para cada cliente (32)" chain=forward connection-limit=80,32 disabled=no protocol=tcp tcp-flags=syn   

add action=drop comment="Limitar Numero de conexiones UDP para cada cliente (32)" chain=forward connection-state=new disabled=no dst-port=!53,67 limit=30,150 protocol=udp 

add action=drop comment="Limitar Numero de conexiones P2P para cada cliente (32)" chain=forward connection-limit=10,32 connection-state=new disabled=no p2p=all-p2p protocol=tcp

Las actualizaciones no modifican archivos de configuración, debes de restaurar el archivo "/etc/raptor/fw.sh" y darle permisos de ejecución, sobre las subredes al declarar 10.0.0.0/24 ya estaría abarcando a todo ese segmento, y sobre limitar el número de conexiones si puedes usar la reglas que pusistes.

[zatarra]

Las actualizaciones no modifican archivos de configuración, debes de restaurar el archivo "/etc/raptor/fw.sh" y darle permisos de ejecución, sobre las subredes al declarar 10.0.0.0/24 ya estaría abarcando a todo ese segmento, y sobre limitar el número de conexiones si puedes usar la reglas que pusistes.

Muchas Gracias joemg6 ^^, ahora que veo lo había puesto mal (nano etc/raptor/fw.sh) me falto el primer /...

[ehcoma]

En el caso que tengamos más de un segmento de red, solo agregamos reglas adicionales agregando los segmentos restantes, por ej.


Buenos días, asi tengo el firewall, quedaría asi las reglas de direccionamiento en el mangle?


/ip firewall mangle
add action=mark-routing chain=prerouting comment=\
    "Raptor - Mangle Lan 1====================>" disabled=no dst-port=80 \
    in-interface="Lan 1" new-routing-mark=raptor_route passthrough=no \
    protocol=tcp
add action=mark-routing chain=prerouting comment=\
    "Raptor - Mangle Lan 2====================>" disabled=no dst-port=80 \
    in-interface="Lan 2" new-routing-mark=raptor_route passthrough=no \
    protocol=tcp
add action=mark-connection chain=forward comment=\
    "== RAPTORCACHE LAN 1 Y LAN 2 ==" content=\
    "X-Cache-Raptor: HIT from Raptor" disabled=no new-connection-mark=\
    raptor-connection passthrough=yes
add action=mark-packet chain=forward connection-mark=raptor-connection \
    disabled=no new-packet-mark=raptor-packs passthrough=no

[joemg6]

En el caso que tengamos más de un segmento de red, solo agregamos reglas adicionales agregando los segmentos restantes, por ej.


Buenos días, asi tengo el firewall, quedaría asi las reglas de direccionamiento en el mangle?


/ip firewall mangle
add action=mark-routing chain=prerouting comment=\
    "Raptor - Mangle Lan 1====================>" disabled=no dst-port=80 \
    in-interface="Lan 1" new-routing-mark=raptor_route passthrough=no \
    protocol=tcp
add action=mark-routing chain=prerouting comment=\
    "Raptor - Mangle Lan 2====================>" disabled=no dst-port=80 \
    in-interface="Lan 2" new-routing-mark=raptor_route passthrough=no \
    protocol=tcp
add action=mark-connection chain=forward comment=\
    "== RAPTORCACHE LAN 1 Y LAN 2 ==" content=\
    "X-Cache-Raptor: HIT from Raptor" disabled=no new-connection-mark=\
    raptor-connection passthrough=yes
add action=mark-packet chain=forward connection-mark=raptor-connection \
    disabled=no new-packet-mark=raptor-packs passthrough=no

Así es, por cada interface agregas una regla más.

[Adrian Aular]

En el caso que se esté usando la redirección por Mangle, en la regla de route, está para que verifique por medio de un ping al gateway si este se llegase a cortar la regla se deshabilita, pero también como opcional uno puede emplear una regla en el netwatch en el caso del Mangle sería

Código (mk) [Seleccionar] Expandir


/tool netwatch
add comment=\
    "Redirect Raptor Mangle ======================================================================================>" \
    disabled=no down-script=\
    "/ip firewall mangle set [find comment=\"Raptor - Mangle ====================>\"] disabled=yes" host=\
    192.168.10.2 interval=2s timeout=2s up-script=\
    "/ip firewall mangle set [find comment=\"Raptor - Mangle ====================>\"] disabled=no"

Saludos; disculpa y como se haría si utillizo la redireccion por NAT?

[joemg6]

Saludos; disculpa y como se haría si utillizo la redireccion por NAT?

Puedes revisar en su tema correspondiente
http://www.alterserv.com/foros/index.php?topic=6.msg6#msg6

[schepo]

Amigos...Necesito su ayuda....he realizado todos los pasos que aquí se mencionan....pero me perdí en algún paso....tengo un Mikrotik Pc que yo mismo hice, con 4 Interfaces, WAN, LAN CYBER(192.168.20.1),LAN WIFI (192.168.10.1) y acá mi duda.... RAPTOR seria 192.168.30.1????..o, debo de conectar el Raptor al Swicth de mi red.? agradecería mucho si pudieran ayudarme. el Raptor que hice esta funcionando, lo veo por red y le puse la IP 192.168.20.10....pero cuando lo conecto al mikrotik no se que hacer porque nose que poner en la interfaz osea que rango de red....gracias amigos

[joemg6]

Amigos...Necesito su ayuda....he realizado todos los pasos que aquí se mencionan....pero me perdí en algún paso....tengo un Mikrotik Pc que yo mismo hice, con 4 Interfaces, WAN, LAN CYBER(192.168.20.1),LAN WIFI (192.168.10.1) y acá mi duda.... RAPTOR seria 192.168.30.1????..o, debo de conectar el Raptor al Swicth de mi red.? agradecería mucho si pudieran ayudarme. el Raptor que hice esta funcionando, lo veo por red y le puse la IP 192.168.20.10....pero cuando lo conecto al mikrotik no se que hacer porque nose que poner en la interfaz osea que rango de red....gracias amigos

Si Raptor no cuenta con su interface de conexión independiente al Mikrotik, entonces estaría conectado al Switch y en ese segmento de Red, lo más conveniente es que tenga su propia interface de red en el Mikrotik.

[schepo]

sorry pero la respuesta fue muy simple y yo soy un poco tonto....la interfaz independiente de mikrotik tiene ke ser distinta a la de mis redes?... si es asi, como le cambio el nº de IP al Raptor? porque por lo que veo aca debe estar en el mismo segmento de IP el Raptor con la interfaz de Mikrotik o me equivoco?

[schepo]

Si alguien me pudiera ayudar...no queria molestar, pero ya no se que mas hacer...y nesecito el raptor me seria de mucha utilidad....

[joemg6]

sorry pero la respuesta fue muy simple y yo soy un poco tonto....la interfaz independiente de mikrotik tiene ke ser distinta a la de mis redes?... si es asi, como le cambio el nº de IP al Raptor? porque por lo que veo aca debe estar en el mismo segmento de IP el Raptor con la interfaz de Mikrotik o me equivoco?

Al mencionar que tiene que tener su interface independiente, hago referencia a que tiene que tener su propio puerto ethernet conectado del servidor hacia el Mikrotik y tendría su propio segmento de red, con la regla de redirección ya se conectaría a los demás segmentos para que hagan caché. Si quieres cambiar el IP del servidor los puedes hacer desde el WebPanel en la opción "Ajustes->Network", también se puede editar manualmente en el archivo del servidor "/etc/network/interfaces".

[hmgv1973]

hola como estas
necesito ayuda   ya instale raptorcache esta genero ip 192.168.88.2:82
ha hora configuración con mikrotik 450 g
tengo IP para mk 192.168.88.1 como  ayudar para  configurar ya hechos todas las que están en  Internet como  la de esta pagina no tengo  resultado  espero su respuesta

[TCAICE]

ayuda estoy nuevo en esto esta bien mi firewall a si o tiene algo de mas ?? hay dos reglas que dicen Block QUIC cual tengo q eliminar o no importa q esten las dos ??

[jsuarez]

ayuda estoy nuevo en esto esta bien mi firewall a si o tiene algo de mas ?? hay dos reglas que dicen Block QUIC cual tengo q eliminar o no importa q esten las dos ??

Si se quiere implementar las reglas de bloqueo QUIC, pueden revisar en el siguiente tema
http://www.alterserv.com/foros/index.php?topic=2097.0

[lantiano]

ayuda estoy nuevo en esto esta bien mi firewall a si o tiene algo de mas ?? hay dos reglas que dicen Block QUIC cual tengo q eliminar o no importa q esten las dos ??

Esta bien el orden de ese firewall ???

Ya que me parece que el Redirect 3128 , va primero que Block QUIC