Hmm estoy usando el ultimo script de joemg del thunder 3.1.2 con squid 3 para 32, creo q no tiene esa parte del bloqueo de virus :S.

porcierto pongo mi squid.conf si es mayormente requerido:

#=========================== Squid 3.x Conf =============================#

#=================== Para uso con ThunderCache ===================#

# Opciones de SQUID 3.x
#----------------------------------------------------------------------
http_port 3128 intercept
visible_hostname proxy.cache.local
icp_port 0
#----------------------------------------------------------------------
#error_directory /usr/share/squid3/errors/Spanish/
#----------------------------------------------------------------------
acl denegados url_regex -i "/etc/squid3/denegados.lst"
#----------------------------------------------------------------------
# Servidor DNS y Politica de Cambios
#----------------------------------------------------------------------
dns_nameservers 200.105.128.40 200.105.128.41
dns_retransmit_interval 5 seconds
dns_timeout 2 minutes
#----------------------------------------------------------------------
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl CONNECT method CONNECT

acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl SSL_ports port 443
acl Safe_ports port 443         # https
acl Safe_ports port 563
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl Safe_ports port 1863        # MSN
#acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync

http_access allow manager localhost
http_access deny manager all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny denegados
#----------------------------------------------------------------------
coredump_dir /var/spool/squid3
#----------------------------------------------------------------------
# Memoria reservada para cache
# Se recomienda que dedique aprox. 5MB de RAM por cada 1GB asignado a cache_dir
#----------------------------------------------------------------------
cache_mem 2048 MB
#----------------------------------------------------------------------
# Maximo tamaño de archivo en cache de memoria
#----------------------------------------------------------------------
maximum_object_size_in_memory 128 KB
#----------------------------------------------------------------------
# Maximo y minimo tamaño de archivos cache en el Disco duro
#----------------------------------------------------------------------
maximum_object_size 30 MB
minimum_object_size 0 KB
#----------------------------------------------------------------------
# Sustituir archivos de cache cuando llegue a 96%
#----------------------------------------------------------------------
cache_swap_low 92
cache_swap_high 96
#----------------------------------------------------------------------
# Total de espacio en HD a ser usado por el cache, numero de carpetas,
# numero de subcarpetas en cache
# 100000 = 1500 GB
#----------------------------------------------------------------------
cache_dir aufs /var/spool/squid3/cache1 100000  16 256
#----------------------------------------------------------------------
# Estandar de actualización de cache
# 1 mes = 10080 mins, 1 dia = 1440 mins
#----------------------------------------------------------------------
refresh_pattern -i \.jpg$ 14400 80% 43200 reload-into-ims
refresh_pattern -i \.gif$ 14400 80% 43200 reload-into-ims
refresh_pattern -i \.png$ 14400 80% 43200 reload-into-ims
refresh_pattern -i \.jpeg$ 14400 80% 43200 reload-into-ims
refresh_pattern -i \.bmp$ 14400 80% 43200 reload-into-ims
refresh_pattern -i \.tif$ 14400 80% 43200 reload-into-ims
refresh_pattern -i \.tiff$ 14400 80% 43200 reload-into-ims
refresh_pattern -i \.swf$ 14400 80% 43200 reload-into-ims
refresh_pattern -i \.html$ 10 20% 4320 reload-into-ims
refresh_pattern -i \.htm$ 10 20% 4320 reload-into-ims
refresh_pattern -i \.shtml$ 10 20% 4320 reload-into-ims
refresh_pattern -i \.shtm$ 10 20% 4320 reload-into-ims
refresh_pattern -i \.nub$ 2880 80% 21600 reload-into-ims
refresh_pattern -i \.exe$ 14400 80% 43200
refresh_pattern -i \.zip$ 14400 80% 43200
refresh_pattern -i \.mov$ 14400 80% 43200
refresh_pattern -i \.mpe?g?$ 14400 80% 43200
refresh_pattern -i \.avi$ 14400 80% 43200
refresh_pattern -i \.qtm?$ 14400 80% 43200
refresh_pattern -i \.viv$ 14400 80% 43200
refresh_pattern -i \.wav$ 14400 80% 43200
refresh_pattern -i \.aiff?$ 14400 80% 43200
refresh_pattern -i \.au$ 14400 80% 43200
refresh_pattern -i \.ram?$ 14400 80% 43200
refresh_pattern -i \.snd$ 14400 80% 43200
refresh_pattern -i \.mid$ 14400 80% 43200
refresh_pattern -i \.mp2$ 14400 80% 43200
refresh_pattern -i \.mp3$ 14400 80% 43200
refresh_pattern -i \.sit$ 14400 80% 43200
refresh_pattern -i \.zip$ 14400 80% 43200
refresh_pattern -i \.hqx$ 14400 80% 43200
refresh_pattern -i \.arj$ 14400 80% 43200
refresh_pattern -i \.lzh$ 14400 80% 43200
refresh_pattern -i \.lha$ 14400 80% 43200
refresh_pattern -i \.cab$ 14400 80% 43200
refresh_pattern -i \.rar$ 14400 80% 43200
refresh_pattern -i \.tar$ 14400 80% 43200
refresh_pattern -i \.gz$ 14400 80% 43200
refresh_pattern -i \.z$ 14400 80% 43200
refresh_pattern -i \.a[0-9][0-9]$ 14400 80% 43200
refresh_pattern -i \.r[0-9][0-9]$ 14400 80% 43200
refresh_pattern -i \.txt$ 14400 80% 43200
refresh_pattern -i \.pdf$ 14400 80% 43200
refresh_pattern -i \.doc$ 14400 80% 43200
refresh_pattern -i \.rtf$ 14400 80% 43200
refresh_pattern -i \.tex$ 14400 80% 43200
refresh_pattern -i \.latex$ 14400 80% 43200
refresh_pattern -i \.class$ 14400 80% 43200
refresh_pattern -i \.js$ 14400 80% 43200
refresh_pattern -i \.ico$ 14400 80% 43200
refresh_pattern -i \.css$ 10 20% 4320
#----------------------------------------------------------------------
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
#refresh_pattern (Release|Package(.gz)*)$       0       20%     2880
refresh_pattern .               0       20%     4320
#----------------------------------------------------------------------
# Log de acessos por el cache o para SARG
#----------------------------------------------------------------------
logfile_rotate 7
access_log /var/log/squid3/access.log
access_log /var/log/squid3/error.log
cache_store_log none
#----------------------------------------------------------------------
# Otras configuraciones
#----------------------------------------------------------------------
half_closed_clients off
server_persistent_connections off
client_persistent_connections off
log_fqdn off
quick_abort_min 0 KB
quick_abort_max 0 KB
quick_abort_pct 95
max_filedescriptors 65536
cache_effective_user proxy
cache_effective_group proxy
#----------------------------------------------------------------------
# Manteniendo objetos recientes y pequeños en memoria
#----------------------------------------------------------------------
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
#----------------------------------------------------------------------
# Sitios que se les niega el cache  
#----------------------------------------------------------------------
acl nocache dstdomain .4shared.com .youtube.com .windowsupdate.com
no_cache deny nocache
#----------------------------------------------------------------------
# Negar cache para archivos con extencion .asx e .asf |streaming|
#----------------------------------------------------------------------
acl asx url_regex -i \.asx$
cache deny asx
acl asf url_regex -i \.asf$
cache deny asf
#----------------------------------------------------------------------
#Redireccionamiento Thunder - REGEx
#----------------------------------------------------------------------
acl thunder_lst url_regex -i "/etc/thunder/thunder.lst"
cache deny thunder_lst
cache_peer 192.168.3.2 parent 8080 0 proxy-only no-digest
dead_peer_timeout 2 seconds
cache_peer_access 192.168.3.2 allow thunder_lst
cache_peer_access 192.168.3.2 deny all
#----------------------------------------------------------------------

Respecto a los plugins, no me hice ninguno para mikrotik.com, solo tengo algunos para los test de velocidad, y viendo los headers del pdf de la mum me responde el servidor squid :S.

Espero que la info sea de ayuda y agradezco todo su apoyo nuevamente

Saludos

Muchas gracias por responder, pero una preguntilla en que parte esta eso del bloqueo de virus???

Saludos

Bueno como el titulo lo dice, no puedo descargar ni ver los titulos de la mum de mikrotik, por alguna razon cuando trato de acceder a ellos con el thunder habilitado cancela la descarga de los pdfs, Actualmente cambie el squid 2.7 por el 3.0, y cambie su nombre dns del proxy.cache, no se si esto este afectando, pero me gustaria saber si tiene solucion, parece que con algunas paginas tiene problema el squid, el thunder esta bastante estable

Agradeciendo de antemano como siempre su excelente trabajo.

Nota1: Revisando sin squid, parece que el primer intento de descarga siempre es cancelado, luego vuelve a intentarlo y recien descarga, no se si alguien mas puede probar si le funciona los pdfs de la mum de mikrotik, dejo un link http://mum.mikrotik.com/presentations/CZ09/QoS_Megis.pdf

Saludos

En el BIOS aparece con 4GB de ram, y eso de dual channel que es o como lo veo?

Tengo el mismo problema tengo un servidor Dual Core 4 Gb de RAM y Debian x32 y solo reconoce 3286 Mb de RAM y todo el tiempo consume 97%.


total       used       free     shared    buffers     cached
Mem:      3286       3169        117          0         86       2753
-/+ buffers/cache:    330       2956
Swap:     3939          0       3939


Solo tengo unos 12 clientes no creo q se consuman la RAM del sistema entre todos.

No se si alguien puede hechar una mano

Gracias.

Si, pero como te dije revisaste los gateways de tu pc y tu servidor?, puedo saber que servidor es, linux o winserver?, tecnicamente ya deberian estar enrutando sin necesidad de OSPF, debido a que es el mismo gateway fisico.

Otra consulta puedes escribir lo siguiente en el cmd:

route print

Y todo las rutas de IPv4 lo pones aca

Saludos
Requium

Como esta tu regla de masquereade?? podrias hacer un export de tu firewall nat.

En el gateway de tu pc pusiste el 192.168.25.1?
En el gateway de tu server pusiste 10.0.0.1?

Por defecto al asignarle al enrutador diferentes IPs a sus interfaces lo que realizas es crear rutas estaticas para enrutar ambas redes, siendo asi que ambas redes usaran un diferente gateway logico para llegar a la otra red pero en realidad pasan por el mismo gateway fisico lo cual hace posible el enrutamiento "manual" por asi decirlo, sin necesidad de usar protocolos avanzados de enrutamiento, pero si no estan configurados los gateways en ambos lados ambos seran invisibles para el opuesto

OSPF es un entorno donde existen multiples redes añadidas a diferentes gateways fisicos, y donde todas estas redes y gateways estan añadidos a un dominio de enrutamiento dirigido por OSPF, este tipo de protocolo consume mayor recurso y produce menor delay en redes grandes.

Pero si quieres usar ospf puedes usar algo asi:


/ip address
add address=192.168.56.3/24 disabled=no interface=ether1 network=192.168.56.0
add address=192.168.88.1/24 disabled=no interface=ether2 network=192.168.88.0

/routing ospf instance
set [ find default=yes ] disabled=no distribute-default=never in-filter=\
   ospf-in metric-bgp=auto metric-connected=20 metric-default=1 \
   metric-other-ospf=auto metric-rip=20 metric-static=20 name=default \
   out-filter=ospf-out redistribute-bgp=no redistribute-connected=as-type-1 \
   redistribute-other-ospf=no redistribute-rip=no redistribute-static=\
   as-type-1 router-id=0.0.0.0
/routing ospf area
set [ find default=yes ] area-id=0.0.0.0 disabled=no instance=default name=\
   backbone type=default
/routing ospf interface
add authentication=none authentication-key="" authentication-key-id=1 cost=10 \
   dead-interval=40s disabled=no hello-interval=10s instance-id=0 interface=\
   ether1 network-type=default passive=no priority=1 retransmit-interval=5s \
   transmit-delay=1s use-bfd=no
/routing ospf network
add area=backbone disabled=no network=192.168.56.0/24
add area=backbone disabled=no network=192.168.88.0/24

Si no entiendes algo puedes preguntar.

Saludos
Requium

No soy muy experto en el tema, pero revisaste que los queues esten funcionales? es decir en algún momento se ponen amarillo o rojo?.

Talvez probaste usar en vez de forward en las cadenas de tu mangle, output o post-routing y seleccionar tu interfaz Lan como out-interface?

Como dije no soy muy experto en el tema pero viendo un poco el packet flow de Mk, creo que iría así para marcar tus reglas :/. Me parece mas un problema de mangle que del queue tree.

Respecto a lo del PCQ estas en lo correcto, tu pcq-rate esta en 0 por lo que dependera del limit del queue para dividirlo en la cantidad de clientes y esto te de el resultado de ancho de banda para cada cliente, ojo que tus pcq son para mas o menos 40 clientes :P.

Saludos
Requium

Bueno yo uso los queue tree para distribucion de ancho de banda entre clientes y basicamente lo uso asi:

Mangle:


/ip firewall mangle
add action=mark-connection chain=postrouting content="X-Cache: HIT from Thunder" disabled=no new-connection-mark=thunder_cnx passthrough=no protocol=tcp

add action=mark-packet chain=postrouting connection-mark=thunder_cnx disabled=no new-packet-mark=Thunder_pkt passthrough=yes src-address=192.168.3.2

add action=mark-connection chain=postrouting disabled=no dscp=12 new-connection-mark=proxy_hits_cnx passthrough=yes protocol=tcp src-address=192.168.3.2

add action=mark-packet chain=postrouting connection-mark=proxy_hits_cnx disabled=no new-packet-mark=Squid_pkt passthrough=no

add action=mark-packet chain=forward comment="Cliente 1" disabled=no dst-address=192.168.3.10 new-packet-mark=cli_1_pkt passthrough=no protocol=tcp

En el codigo se debe destacar que el 192.168.3.2 es el thunder cache y el 192.168.3.10 es la direccion del cliente.

Para el queue tree:


/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=5M max-limit=5M name="----====Static Full Speed===----" packet-mark=Squid_pkt parent=global-out priority=6 queue=hotspot-default

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name="----====Download====----" packet-mark="" parent=global-out priority=5

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=5M max-limit=5M name="----====Dynamic Full Speed====----" packet-mark=Thunder_pkt parent=global-out priority=7 queue=hotspot-default

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=236k max-limit=251k name="//Cliente 1\\\\" packet-mark=cli_1_pkt parent="----====Download====----" priority=8 queue=hotspot-default

Basicamente solo trabajo con el download, el upload esta libre porque no se usa mucho en mi red, y todo lo trabaje en global-out creándome 3 colas padre Download, Dynamic Full Speed, Static Full speed asociadas al global-out, algunas cosas te pueden parecer antiguas como que no use pcq, la vdd esto lo hice hace mas de 6 meses y no lo he tocado desde entonces(excepto para agregar clientes), actualmente me dedico a crear VPNs, seguridad, enlaces y enrutamiento para clientes coorporativos y he dejado esto medio que abandonado =_=, ya le estaré dando una pulida.


Espero que te sirva el ejemplo, en tu caso creo q solo tendrías que cambiar la aplicación, para tipo de trafico, HTTP, ICMP,DNS segun los queues que usas.

Saludos
Requium

Bueno primeramente felicitar y agradecer por todo el trabajo que ha realizado joemg con el magnifico thundercache :), y aportar un granito de arena al nuevo foro :).

Quiero presentar algunas reglas que pueden servir a algunas personas que usan acceso remoto mediante redireccionamiento de puertos en ip publicas a servidores, tales como escritorio remoto a un servidor, servidores web, donde se requiere usuario y password y donde puede ser susceptible a ataques del tipo brutal attack (Con diccionario).

Lo que se realiza es un conjunto de reglas dentro del firewall que agregan las direcciones IPs a diferentes zonas de alerta, donde se dará hasta 4 intentos o 4 zonas, una vez terminados los intentos se pasa a una zona donde los paquetes provenientes de esa IP seran dropeados.

Se usará como ejemplo el puerto 3389 que es de escritorio remoto y teniendo en cuenta la regla de redireccionamiento de puertos:

/ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-port=3389 protocol=tcp to-addresses=192.168.1.130 to-ports=3389

La regla de arriba direcciona el puerto 3389 a la ip 192.168.1.130 al puerto 3389 que sera nuestro servidor de escritorio remoto. (Esto solo es por motivo de ejemplo)

add action=drop chain=forward disabled=no dst-port=3389 protocol=tcp src-address-list=ER_Blacklist

Esta regla se aplica cuando el usuario ya fallo su cuarto intento y solo cuando se encuentra en el address-list ER_Blacklist, dropea todo los paquetes al puerto 3389.

add action=add-src-to-address-list address-list=ER_Blacklist address-list-timeout=0s chain=forward connection-state=new disabled=no dst-port=3389 protocol=tcp src-address-list=ER_Fase3

Esta regla se aplica después del fallo de 4to intento y agrega al usuario que fallo por 4ta vez a la fase ER_Blacklist, si uno se da cuenta el timeout es 0 es decir el usuario sera agregado a al address-list=ER_Blacklist hasta que se reinicie el router.

add action=add-src-to-address-list address-list=ER_Fase3 address-list-timeout=2h chain=forward connection-state=new disabled=no dst-port=3389 protocol=tcp src-address-list=ER_Fase2

Esta regla agrega al usuario en la fase ER_Fase3 y solo cuando el usuario ya ha fallado 3 intentos y esta por el 4to, dentro de esta regla se usa el timeout, donde estará en esta fase durante 2h, esto solo es por si el usuario es real y sabe la contraseña estará dentro de esta fase durante 2 horas, pasadas estas se borrara de la lista.

add action=add-src-to-address-list address-list=ER_Fase2 address-list-timeout=39m chain=forward connection-state=new disabled=no dst-port=3389 protocol=tcp src-address-list=ER_Fase1

Esta Fase es cuando ya fallado 2 intento y va por el tercero, el timeout es menor que el anterior, siendo de 39 min.

add action=add-src-to-address-list address-list=ER_Fase1 address-list-timeout=13m chain=forward connection-state=new disabled=no dst-port=3389 protocol=tcp src-address-list=ER_Fase0

Esta fase es cuando ya fallo el primer intento y va por el segundo el timeout es menor siendo 13 min y esto es por si el usuario real fallara el primer intento el estar en esta zona sea menor

add action=add-src-to-address-list address-list=ER_Fase0 address-list-timeout=1m20s chain=forward connection-state=new disabled=no dst-port=3389 protocol=tcp

Esta es la fase principal, siempre estará activa y sera la que marcara el inicio de todo, esta regla se aplica para todos, marcara la primera conexión y meterá al usuario en la fase0, todos los usuarios sean reales o falsos estarán dentro de esta address list durante 1m20s


Cabe destacar que se usa el connection-state=new debido a que la conexión que se crea al fallar la contraseña es nueva :) y esto permite marcar con mayor facilidad los intentos, cada marca que se realiza entra en una fase, y la siguiente fase tendrá como requisito detectar la marca anterior y asi hasta que lleguen al blacklist, si están usando un brutal attack, se fallara rápidamente los cuatro intentos :) y entrara en el black-list.

OJO: Las IPs que entren al black-list se mostraran con la D de dinámica, estas address-list se borraran si el router se resetea, es recomendable copiarlas para volverlas estáticas y se mantengan en el router después del reinicio

Espero que esto le sirva, y agradezco los comentarios y las correcciones si tienen alguna :P.

NOTA: esta regla es para redireccionamiento de puertos, si se quiere aplicar a los puertos 23,22,80 del router mikrotik es decir para bloquear el brutal attack hacia el mikrotik se cambia la cadena a "input".

Creditos:Wiki de mikrotik

Saludos
Requium