raptor cache 2.0.3 error para navegar

Publicado por juan_junior99, Mayo 11, 2016, 10:02:15 PM

Tema anterior - Siguiente tema

juan_junior99

Hola a todos..

Recién instale el sistema raptor en paralelo con un mikrotik rb-2011 (tiene 2 switch uno gigabit y otro fast ethernet) y no logro hacer que funcione (las paginas no abren, cualquiera que coloque), muestra este error en el navegador, ya sea intentando abrir páginas http o https

CitarSe encontró el siguiente error al intentar recuperar la dirección URL: http://www.google.co.ve/

Acceso Denegado

La configuración de control de acceso evita que su solicitud sea permitida en este momento. Por favor, póngase en contacto con su proveedor de servicios si cree que esto es incorrecto.

Su administrador del caché es raptor.os.



les doy un bosquejo de mi configuración para que me ayuden a solucionar mi caso por favor  :)

mikotik rb-2011uias 6.35

Reglas de mangle del tutorial
/ip firewall mangle
add action=mark-routing chain=prerouting comment="Raptor - Mangle ====================>" dst-port=80 in-interface=bridge1 new-routing-mark=raptor_route passthrough=no protocol=tcp
add action=mark-connection chain=forward comment="== RAPTORCACHE ==" content="X-Cache-Raptor: HIT from Raptor" new-connection-mark=raptor-connection
add action=mark-packet chain=forward connection-mark=raptor-connection new-packet-mark=raptor-packs passthrough=no


Nat general
/ip firewall nat
add action=masquerade chain=srcnat
add chain=srcnat


Route del raptor y del modem
/ip route
add check-gateway=ping distance=1 gateway=192.168.10.2 routing-mark=raptor_route
add distance=1 gateway=192.168.1.1


Rangos de red usados
/ip address
add address=192.168.88.1/24 interface=ether2-PC-IZQ network=192.168.88.0
add address=192.168.1.100/24 interface="ether10-Modem" network=192.168.1.0
add address=192.168.10.1/24 interface=ether5-Raptor network=192.168.10.0




Configuración raptor

Squid.conf
#=====================================================================#
#                           Squid 3.x Conf                            #
#=====================================================================#
http_port 3128 intercept
visible_hostname raptor.os
icp_port 0
#----------------------------------------------------------------------
acl google url_regex -i (googlevideo\.com|www\.youtube\.com)
acl mobile browser -i regexp (iPhone|iPad|Windows.*Phone|BlackBerry|PlayBook|Trident|IEMobile)
request_header_access User-Agent deny google !mobile
request_header_replace User-Agent Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
#----------------------------------------------------------------------
#error_directory /usr/share/squid3/errors/Spanish/
#----------------------------------------------------------------------
acl blacklist url_regex -i "/etc/squid3/blacklist.lst"
#----------------------------------------------------------------------
# Servidor DNS y Politica de Cambios
#----------------------------------------------------------------------
dns_nameservers 8.8.8.8 8.8.4.4
dns_retransmit_interval 5 seconds
dns_timeout 2 minutes
#----------------------------------------------------------------------
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl localnet src 10.0.0.0/8     # RFC 1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC 1918 possible internal network
acl localnet src 192.168.88.0/24 # RFC 1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl CONNECT method CONNECT

acl Safe_ports port 80          # http
acl Safe_ports port 443         # https
acl SSL_ports port 443          # https

http_access deny blacklist
http_access allow manager localhost
http_access deny manager all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow localnet
#----------------------------------------------------------------------
coredump_dir /var/spool/squid3
#----------------------------------------------------------------------
# Log de acessos
#----------------------------------------------------------------------
logfile_rotate 7
#access_log /var/log/squid3/access.log
access_log none
#----------------------------------------------------------------------
# Otras configuraciones
#----------------------------------------------------------------------
cache_mgr raptor.os
shutdown_lifetime 2 seconds
half_closed_clients off
server_persistent_connections off
client_persistent_connections off
log_fqdn off
quick_abort_min 0 KB
quick_abort_max 0 KB
quick_abort_pct 95
max_filedescriptors 65536
#----------------------------------------------------------------------
#cache deny all
#----------------------------------------------------------------------
acl sys_lst url_regex -i "/etc/raptor/sys.lst"
acl raptor_lst url_regex -i "/etc/raptor/raptor.lst"
acl wth_lst url_regex -i "/etc/raptor/whitelist.lst"
acl host_lst req_header Host -i "/etc/raptor/host.lst"
acl exts url_regex -i \.(cab|exe|msi|msu|zip|deb|rpm|bz|bz2|gz|tgz|rar|bin|7z|mp3|mp4|flv)$
acl head_html req_header Accept -i text/html.+
cache deny raptor_lst
cache_peer 192.168.10.2 parent 8080 0 proxy-only no-digest
dead_peer_timeout 2 seconds
cache_peer_access 192.168.10.2 allow host_lst
cache_peer_access 192.168.10.2 allow exts
cache_peer_access 192.168.10.2 deny head_html
cache_peer_access 192.168.10.2 deny wth_lst
cache_peer_access 192.168.10.2 allow raptor_lst
cache_peer_access 192.168.10.2 allow sys_lst
cache_peer_access 192.168.10.2 deny all
cache deny all
#----------------------------------------------------------------------


fw.sh
#!/bin/bash
echo ";;;;;;;;;;;;;;;;;;;;;;;"
echo ";     RaptorCache     ;"
echo ";;;;;;;;;;;;;;;;;;;;;;;"

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -X
iptables -Z
iptables -t nat -F

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

iptables -A INPUT -i lo -j ACCEPT #comment#Localhost

iptables -A INPUT -s 192.168.88.0/24 -j ACCEPT #comment#Input LAN

iptables -A FORWARD -i eth0 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-por$
iptables -A FORWARD -i eth0 -p udp -m udp --dport 443 -j REJECT --reject-with icmp-po$

# ------------------------------------| Redireccion |--------------------------------$
iptables  -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 #$
# -----------------------------------------------------------------------------------$




Si desactivo la regla route del raptor o el mangle prerouting puedo navegar sin pasar por el raptor, pero al tenerlas activas no navego...

Ya aplique estas reglas
mysql -uroot raptor -praptor << eof
ALTER TABLE  raptor ADD  thread_usage INT(8) NOT NULL AFTER last_request;
ALTER TABLE  raptor ADD  ip varchar(30) NOT NULL AFTER ext;
eof
apt-get install -y ioping
chmod 777 /etc/fstab

y no soluciona el problema


Tengo dudas:
1. En mi caso el segmento de red 192.168.10.0/24 (segmento del raptor) debe estar incluido en el squid.conf en las reglas acl obligatoriamente?

Lo he incluido, pero al hacerlo comienza a subir el numero de conexiones sin parar y sin nadie navegando hasta 5000 conexiones y pero igual no navego



2. Debo hacer un masquerade para el segmento de red del raptor? o con el general me basta?

venezu

en el mk debes de identificar en el enmascarado la wan en out-interface

juan_junior99

Gracias amigo venezu por responder


logre solucionar, el error que tenia era que la interface ether5 a la que estaba conectado el raptor tenia como master ether1 y esta interface esta conectada al bridge1, al desconectar la ether5 del bridge funciono sin problemas...

Y si, en mi caso obligatoriamente el segmento de red del raptor debe estar declarado en las reglas acl del squid.conf

lem13631363