# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
########## WAN ############
auto eth0
iface eth0 inet static
address 192.168.0.2
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.1
########## LAN #############
auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
broadcast 192.168.1.255
service netwoking restart
apt-get install isc-dhcp-server
# Algunos de estos parametros podrían configurarse
# de diferente manera adaptando cada red a nuestras
# necesidades, con por ejemplo, diferentes tiempos
# de asignación de IP (max-lease-time 604800)
# Configuración del servifor DHCP
ddns-update-style none;
option domain-name "syconet.example";
option domain-name-servers 196.3.81.5, 196.3.81.132;
default-lease-time 7200;
max-lease-time 21600;
authoritative;
log-facility local7;
# Rangos
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.2 192.168.1.254;
option routers 192.168.1.1;
}
# Equipos rango 192.168.1.0 #
host windowsxp {
hardware ethernet 00:11:22:33:44:55;
fixed-address 192.168.1.240;
}
/etc/init.d/isc-dhcp-server restart
########## PARAMETROS #########
INT_IN=eth0 # Interface que provee internet
INT_OUT=eth1 # interface que comparte internet a la Lan
RANGO=192.168.1.0/24
###############################
echo " Borrando las Cadenas existentes..."
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
# Zero all packets and counters.
iptables -Z
iptables -t nat -Z
iptables -t mangle -Z
echo " Estableciendo Politica por Defecto (ACEPTAR)"
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
echo " Redireccionamos las peticiones de www hacia Squid Proxy"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i $INT_OUT -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o $INT_IN -s $RANGO -j MASQUERADE
echo " Terminando la Configuracion del Firewall."
touch script-parametros.sh
chmod 700 /root/script-parametros.sh
sh /root/script-parametros.sh
wget http://www.alterserv.com/raptor/install_raptor2.sh
chmod 777 install_raptor2.sh
bash install_raptor2.sh
Cita de: WALYN en Septiembre 17, 2015, 09:07:13 PM
Esperamos que tenemos conectado el servidor a un moden por cable de red, y que tenemos otra tarjeta libre..pues bien.
Serían Eth0 y Eth1 respectivamente.
y usaremos WinSCP Y PUTTY Y recordar que todo esto hay que hacerlo en modo root después de instalar debían y ante de instalar raptorcache.
Para empezar tenemos que echar un vistazo al archivo /etc/network/interfaces y editarlo... ojo hacerlo con WinSCP..
Si desea borra todo el contenido para hacerlo mas rápido solo copia y pega esto:Código (javascript) [Seleccionar]# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
########## WAN ############
auto eth0
iface eth0 inet static
address 50.0.0.2
netmask 255.255.255.0
network 50.0.0.0
broadcast 50.0.0.255
gateway 50.0.0.1
###### LAN #####
auto eth1
iface eth1 inet static
address 60.0.0.1
netmask 255.255.255.0
broadcast 60.0.0.255
Ingresar la ip del WAN estático, poner su rango de su LAN preferida guarda y sierra.
Reiniciar la interfaces con putty asi:Código (javascript) [Seleccionar]service netwoking restart
Con eso ya hemos configurado nuestra tarjeta red.
ahora bamos a instalar con putty a isc-dhcp-server con esto:Código (javascript) [Seleccionar]apt-get install isc-dhcp-server
Una vez instalado el paquete, tendremos que configurarlo según nuestras necesidades.
los archivos principales de configuración son /etc/default/isc-dhcp-server y /etc/dhcp/dhcpd.conf.
empezaremos a configurar los archivos, lo primero que deberemos es decirle cual es la tarjeta de
red que se ocupara de dar el servicio DHCP, para ello haremos los siguientes pasos. Editamos el
archivo isc-dhcp-server. y vamos con WinSCP a /etc/dafault/isc-dhcp-server.
En la ultima línea:
INTERFACES=""
Y TENDREMOS QUE DEJARLO DE LA SIGUIENTE MANERA:
INTERFACES="eth1"
Recordemos que en este caso eth1 es la tarjeta de red que se encuentra conectada a nuestra red local.
Ya con la tarjeta prepara para servir direcciones IP, toca configurar el servicio y nuestros clientes DHCP.
Editamos el archivo dhcp.conf.que esta /etc/dhcp/dhcpd.conf
En el archivo tendremos que hacer algunas modificaciones, voy a dejaros un fichero de ejemplo para que podras modificar
a nuestro antojo, ademas, explicare que hace cada orden del fichero de configuración de DHCP.
para no complicarnos mucho si desea puedes borrar todo lo que esta dentro del archivo copia y pega esto:Código (javascript) [Seleccionar]# Algunos de estos parametros podrían configurarse
# de diferente manera adaptando cada red a nuestras
# necesidades, con por ejemplo, diferentes tiempos
# de asignación de IP (max-lease-time 604800)
# Configuración del servifor DHCP
ddns-update-style none;
option domain-name "syconet.example";
option domain-name-servers 196.3.81.5, 196.3.81.132;
default-lease-time 7200;
max-lease-time 21600;
authoritative;
log-facility local7;
# Rangos
subnet 60.0.0.0 netmask 255.255.255.0 {
range 60.0.0.2 60.0.0.254;
option routers 60.0.0.1;
}
# Equipos rango 60.0.0.0 #
host windowsxp {
hardware ethernet 00:11:22:33:44:55;
fixed-address 60.0.0.240;
}
Si desean modificar donde dice option domain-name-servers 8.8.8.8, 8.8.4.4; poner lo de su proveedor
PJ: el mio es de CLARO y es 196.3.81.5 196.3.81.132 que quedaría así:
option domain-name-servers 196.3.81.5 196.3.81.132;
También recordar su rango de ip preferida y guarda y sierra.
Una vez tenemos todo el archivo listo, tendremos que reiniciar el servidor para que cargue
la configuración Lo podemos hacer desde init.d o con el paquete servicie con esto:
Código (javascript) [Seleccionar]/etc/init.d/isc-dhcp-server restart
La configuración de iptables es muy importante ya que nos permite la dirección del puerto 80 al 3128 de squid,
haciendo que squid trabaje de modo transparente y esto es beneficioso ya que no tendremos que configurar nuestros
navegadores en la red para que entren al proxy y la segunda se encarga de enmascarar nuestra red para que pueda salir
a Internet mediante la interfaz que nos provee el Internet.
Esta capacidad de traducción de direcciones permite aplicar una técnica llamada enmascaramiento de IP (IP Masquerading),
usada muy a menudo para dar acceso a Internet a los equipos de una LAN compartiendo una única conexión a Internet, y por tanto, una única dirección IP externa.Código (javascript) [Seleccionar]########## PARAMETROS #########
INT_IN=eth0 # Interface que provee internet
INT_OUT=eth1 # interface que comparte internet a la Lan
RANGO=60.0.0.0/24
###############################
echo " Borrando las Cadenas existentes..."
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
# Zero all packets and counters.
iptables -Z
iptables -t nat -Z
iptables -t mangle -Z
echo " Estableciendo Politica por Defecto (ACEPTAR)"
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
echo " Redireccionamos las peticiones de www hacia Squid Proxy"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i $INT_OUT -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o $INT_IN -s $RANGO -j MASQUERADE
echo " Terminando la Configuracion del Firewall."
Recodar que donde esta RANGO=60.0.0.0/24 poner su rango.
Este script lo guardan con extension .sh y le dan permisos de ejecucion.
para crear un archivo .sh:Código (javascript) [Seleccionar]touch script-parametros.sh
Ve ala carpeta root donde se creo este archivo copia y pega el script de arriba y dale permiso con esto:Código (javascript) [Seleccionar]chmod 700 /root/script-parametros.sh
Ahora copian y pegan esta linea en el archivo /etc/rc.local antes de exit 0 guarda y sierra para que inicie con el sistema y con putty ejecútalo para ver si todo salio bien.Código (javascript) [Seleccionar]sh /root/script-parametros.sh
Ahora bien, con esto ya podemos instalar raptor.. no sin antes configurar el script de instalación de raptorcache
para que tome la ip de la interface que compartira el internet a su red, la linea
en cuestion a cambiar es:
IPSERV=$(ifconfig eth0 | grep 'inet addr:' | cut -d: -f2 | awk '{ print $1}')
Esta linea es para guiarte para que sepa donde cambiar el eth0 por eth1
¿Como modificar? primero en la instalación ejecuta con putty:Código (javascript) [Seleccionar]wget http://www.alterserv.com/raptor/install_raptor2.sh
Después abre WinSCP y en la carpeta root veras un archivo como: install_raptor2.sh ábrelo y busca donde se encuentre la linea:
IPSERV=$(ifconfig eth0 | grep 'inet addr:' | cut -d: -f2 | awk '{ print $1}')
Cambiando eth0 por eth1 la interfaces que como repito compartirá el Internet, reitero esta parte ya que es muy importante.
tienen que modificar por ejemplo quedar así:
IPSERV=$(ifconfig eth1 | grep 'inet addr:' | cut -d: -f2 | awk '{ print $1}')
guarda y sierra.
despues con putty:Código (javascript) [Seleccionar]chmod 777 install_raptor2.sh
Código (javascript) [Seleccionar]bash install_raptor2.sh
instalar raptorcache 2.0
Si en la instalación estuvo todo bien.. continuaremos ahora con la configuración en el archivo squid.conf que esta en /etc/squid3/squid.conf esta configuración es muy importante ya que el raptor se hace el sordo sino lo hacen..
#----------------------------------------------------------------------
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 10.0.0.0/8 # RFC 1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC 1918 possible internal network
acl localnet src 60.0.0.0/24 # RFC 1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
acl CONNECT method CONNECT
acl Safe_ports port 80 # http
acl Safe_ports port 443 # https
acl SSL_ports port 443 # https
http_access deny blacklist
http_access allow manager localhost
http_access deny manager all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow localnet
#----------------------------------------------------------------------
Poner su rango de ip osea la LAN en esta linea:
acl localnet src 60.0.0.0/24 # RFC 1918 possible internal network
desatiba todo los firewall del raptor que esta en el webpanel y Reinicia
Todo listo.. ya tememos raptor en MODO GATEWAY
Cita de: WALYN en Septiembre 17, 2015, 10:44:16 PM
es que no savias? los rangos que son pj:
10.0.0.x
60.0.0.x
20.0.0.x
ect..
son mas rápido para entregar a los clientes con dhcp..
Cita de: TooR en Septiembre 17, 2015, 11:14:26 PM
??? esa norma me la perdí.. otros usan y que 200.. :-[
Lo correcto:
Redes privadas IPv4
https://es.wikipedia.org/wiki/Red_privada (https://es.wikipedia.org/wiki/Red_privada) :-*
Cita de: WALYN en Septiembre 17, 2015, 11:29:55 PM
que... es ilegal ese rango?
Cita de: rubennoboa en Septiembre 18, 2015, 01:42:10 PM
desactivo los firewall del web panel y se me va el internet mmmmmmm... y activados sigue trabajando .. alguien me podria decir para que son los firewall del panel de raptor
Cita de: angelsantana en Septiembre 18, 2015, 04:03:00 PM
si les gusta usar ips medio raros jajajaj.........a en fin.. amigo Walyn. cual es la ventaja de tener cofigurado en modo gateway. y tener una configuracion normal me encantaria leer tu opinion con respecto a las ventajas que da en modo gateway y claro i esque hay desventajas tambien.. ??? ??? ??? ehh estado viendo el post del nuestro maste firecold que habla sobre el gateway mmm pero no me quedo tan claro que digamos.. ??? ??? ???
Cita de: WALYN en Septiembre 18, 2015, 04:33:24 PMsuena interesante probare en modo gateway, ya que no tengo idea de que las ventas. que trae. ya que si hablas del nat y mangle ps puedo decir que en mangle es mucho mejor. por que lo eh probado. sin enbargo no estaria de mas probar el modo gateway... bueno saltandome del tema me podrias dar alguna guia de como crear un qos. osea yo uso el queue simple para dar limitaciones a mis usuarios les doy 512k y 1M de internet. lo que eh visto esque hay personas que habren 2 o tres paginas de video al mismo tiempo y claro que en el juego se lagea esa maquina debido alas limitaciones. y por eso esque queria crear un qos que me ayude a dar prioridad a todo lo que es juegos en especial el dota2 que es o que mas juegan... como decir excluir a de la limitacion solo juegos... ??? ??? ??? ??? :-X :'(
yo e usado mikrotik por maso meno 2 años y me di cuenta que era hora de cambiar a algo mejor ya que compre la versión rb450g
pero se saturo pero seguí con una pc preparada para server y instale el mikrotik para pc pero era crakiado ;D no podía actualizarme
porque se caía pensé comprar la licencia pero si el disco se daña pierde la licencia :o pensé adiós mikrotik..
después encontré rapto iban en la versión 1.3,1.4 pero me dio problema me fui para pfsense que me lo aconsejan pero medio problema bol vi a raptorcache en ese entonse estaba la versión 1.5 pensé poner de otra manera mejor leyendo en este foro encontré el modo que quería en modo gateway lo e probado y tiene muchas ventajas..
Cita de: angelsantana en Septiembre 18, 2015, 07:16:55 PM
suena interesante probare en modo gateway, ya que no tengo idea de que las ventas. que trae. ya que si hablas del nat y mangle ps puedo decir que en mangle es mucho mejor. por que lo eh probado. sin enbargo no estaria de mas probar el modo gateway... bueno saltandome del tema me podrias dar alguna guia de como crear un qos. osea yo uso el queue simple para dar limitaciones a mis usuarios les doy 512k y 1M de internet. lo que eh visto esque hay personas que habren 2 o tres paginas de video al mismo tiempo y claro que en el juego se lagea esa maquina debido alas limitaciones. y por eso esque queria crear un qos que me ayude a dar prioridad a todo lo que es juegos en especial el dota2 que es o que mas juegan... como decir excluir a de la limitacion solo juegos... ??? ??? ??? ??? :-X :'(
Cita de: WALYN en Septiembre 18, 2015, 08:26:00 PMaaa mmm ps entonces no le veo la gracia de ponerle un servidor.
tenerlo así es ventajoso ya que la mayoría de los clientes descargan de madrugada y así se aprovecha todo el Internet de noche ya que no hay que bajarlo de días donde todos los clientes están.
Cita de: dalepincha en Septiembre 19, 2015, 07:37:45 PM
Muchísimas gracias por el instructivo, muy claro, lo que no he podido hacer es entrar como root en el winscp, entonces no puedo modificar ningún archivo, por favor me podrías incicar como hacer?
Saludos!
Cita de: rubennoboa en Septiembre 20, 2015, 04:04:36 PM
utilizo modo gateway,,, por eso quiero saber que significa las reglas de firewall o como se utiliza... porque cuando estan activadas tengo internet peor cuando las desactivo como tu dices se me va el internet... ..
otra cosa mas ..
si no cambio esto por la th1 antes de instalar tengo algun problema o puedo cambiarlo cuando ya este intalado el raptor... ya que yo no cambio primero instalke el raptor...........
IPSERV=$(ifconfig eth0 | grep 'inet addr:' | cut -d: -f2 | awk '{ print $1}')
Cita de: WALYN en Septiembre 17, 2015, 09:07:13 PM
instalar raptorcache 2.0
Si en la instalación estuvo todo bien.. continuaremos ahora con la configuración en el archivo squid.conf que esta en /etc/squid3/squid.conf esta configuración es muy importante ya que el raptor se hace el sordo sino lo hacen..
#----------------------------------------------------------------------
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 10.0.0.0/8 # RFC 1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC 1918 possible internal network
acl localnet src 60.0.0.0/24 # RFC 1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
acl CONNECT method CONNECT
acl Safe_ports port 80 # http
acl Safe_ports port 443 # https
acl SSL_ports port 443 # https
http_access deny blacklist
http_access allow manager localhost
http_access deny manager all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow localnet
#----------------------------------------------------------------------
Poner su rango de ip osea la LAN en esta linea:
acl localnet src 60.0.0.0/24 # RFC 1918 possible internal network
desatiba todo los firewall del raptor que esta en el webpanel y Reinicia
Todo listo.. ya tememos raptor en MODO GATEWAY
Cita de: firecold en Septiembre 21, 2015, 08:24:11 AM
Amigo has dado en el clavo como dicen por aqui, el problema de muchos es que no han configurado Squid.conf se acuerdo a su estructura o rangos de red que tienen definido en su red, no es que Raptor se haga el sordo, si no que si llamas a la puerta equivocada o buscas en el lugar donde no estoy no me encontraras, igualmente pasa con Raptor si le marcas unas ip que no usas el estara intentando hacer cache en dicho rango de Red y no buscara donde no le has indicado, solo ten cuidado con los Rangos de Red ya que que las normas o RFC (https://es.wikipedia.org/wiki/Request_for_Comments)que existen es por motivos diversos, Saludos
Cita de: firecold en Septiembre 21, 2015, 08:24:11 AM
Amigo has dado en el clavo como dicen por aqui, el problema de muchos es que no han configurado Squid.conf se acuerdo a su estructura o rangos de red que tienen definido en su red, no es que Raptor se haga el sordo, si no que si llamas a la puerta equivocada o buscas en el lugar donde no estoy no me encontraras, igualmente pasa con Raptor si le marcas unas ip que no usas el estara intentando hacer cache en dicho rango de Red y no buscara donde no le has indicado, solo ten cuidado con los Rangos de Red ya que que las normas o RFC (https://es.wikipedia.org/wiki/Request_for_Comments)que existen es por motivos diversos, Saludos
Cita de: angelsantana en Septiembre 19, 2015, 12:38:36 AM
aaa mmm ps entonces no le veo la gracia de ponerle un servidor.
prefiero usar un qos. que exlcuya juegos en el mikrotik, pero bueno cada quien a su criterio.
volviendo al tema de gateway ya voy entendiendo de mas o menos su estructura.
usa 2 tarjeatas de red. una que es la wan eth00===>> como entrada y la otra la lan etho1 =====> que es la salida
es decir como un intermedio en entre la red el swtich que van a los clientes. eso hice cuando era mas nobato puse un simple proxy con un squid. que guardaba solo paginas. ps tendrias que usar una buena tarjeta de red para eth01 ya que si no se tiene incombenientes cuando hay demaciados usuarios... es lo unico que vi por que por lo demas traba muy vien. y gracias amigo Walyn ya entendi el mod gateway. y saludos. :D :D :D
Cita de: WALYN en Septiembre 24, 2015, 10:06:02 PM
mi proveedor usa 10.0.0.1
10.0.0.0 – 10.255.255.255
Cita de: firecold en Octubre 01, 2015, 01:06:07 PM
si su proveedor usa ese rango usted puede usar un 192.168.1.0/24 o 192.168.2.0/24 o 10.10.0.0/24, como ejemplo el amigo Toor le envio un link de redes privadas la que nos dice que nuestro rango en redes privadas puede ser:Código [Seleccionar]10.0.0.0 – 10.255.255.255
Desde 10.0.0.0 hasta 10.255.255.255, esto quiere decir que si se me da la gana puedo usar una rango 10.10.10.0/8, es cuestion de que usted use su creatividad y que no ignore las reglas impuestas por la maximas autoridades de las cosas en Internet, ya que estos rangos son para redes privadas, Saludos
Cita de: WALYN en Octubre 01, 2015, 01:12:48 PM
hay algo que no entiendo...si ip de intertet no interfiere con la dela red local por el motivo que uso nat porque no usar cualquiera..
Cita de: firecold en Octubre 01, 2015, 01:20:26 PM
Por las reglas que han sido impuestas, ya que si yo tengo una red local o privada, tengo que tener un rango de redes privadas, pero si usted es un servidor de Internet puede tener un rango mucho mas abierto, de acuerdo a los estandares impuestos, ya que pasaria si usted por ejemplo tiene un rango de red igual a el rango de servidores que tiene google, simplemente cuando quisiera ingresar a google seria como entrar al localhost de su propia maquina, no entraria a google, he alli es detalle, Saludos
CitarDirecciones privadas
Existen ciertas direcciones en cada clase de dirección IP que no están asignadas y que se denominan direcciones privadas. Las direcciones privadas pueden ser utilizadas por los hosts que usan traducción de dirección de red (NAT) para conectarse a una red pública o por los hosts que no se conectan a Internet. En una misma red no pueden existir dos direcciones iguales, pero sí se pueden repetir en dos redes privadas que no tengan conexión entre sí o que se conecten mediante el protocolo NAT. Las direcciones privadas son:
Clase A: 10.0.0.0 a 10.255.255.255 (8 bits red, 24 bits hosts).
Clase B: 172.16.0.0 a 172.31.255.255 (16 bits red, 16 bits hosts). 16 redes clase B contiguas, uso en universidades y grandes compañías.
Clase C: 192.168.0.0 a 192.168.255.255 (24 bits red, 8 bits hosts). 256 redes clase C continuas, uso de compañías medias y pequeñas además de pequeños proveedores de internet (ISP).
Muchas aplicaciones requieren conectividad dentro de una sola red, y no necesitan conectividad externa. En las redes de gran tamaño a menudo se usa TCP/IP. Por ejemplo, los bancos pueden utilizar TCP/IP para conectar los cajeros automáticos que no se conectan a la red pública, de manera que las direcciones privadas son ideales para estas circunstancias. Las direcciones privadas también se pueden utilizar en una red en la que no hay suficientes direcciones públicas disponibles.
Las direcciones privadas se pueden utilizar junto con un servidor de traducción de direcciones de red (NAT) para suministrar conectividad a todos los hosts de una red que tiene relativamente pocas direcciones públicas disponibles. Según lo acordado, cualquier tráfico que posea una dirección destino dentro de uno de los intervalos de direcciones privadas no se enrutará a través de Internet.
Cita de: firecold en Octubre 01, 2015, 02:11:36 PM
Cita de: WALYN en Octubre 01, 2015, 02:20:41 PMamigo WALYN tengo una duda mas para el modo gateway. si raptor tiene ese de los limites de 40 a 50 procesos. luego tiene que reiniciarse. no se quedan sin internet los demas ya que raptor en modo gateway ps esta como puente o solo se reinica el programa raptor. ??? ??? ??? y muy bueno tu post amigo saludos y gracias Joemg.
boy a cambiar mi rango..grasia por todo..
Cita de: angelsantana en Octubre 01, 2015, 10:38:23 PM
amigo WALYN tengo una duda mas para el modo gateway. si raptor tiene ese de los limites de 40 a 50 procesos. luego tiene que reiniciarse. no se quedan sin internet los demas ya que raptor en modo gateway ps esta como puente o solo se reinica el programa raptor. ??? ??? ??? y muy bueno tu post amigo saludos y gracias Joemg.
Cita de: firecold en Octubre 01, 2015, 11:29:41 PMsi amigo firecol gracias lo voy a leer detalldamente. pero la pregunta era si reinicia toda la pc del servidor, o solo se reinicia raptor
La verdad amigo el modo gateway es muy util y aun teniendo el limite es muy eficiente, por el detalle de como tu dices en todo caso se callera el servicio, puedes usar un script para monitorear cada cierto tiempo dicho servicio, esto ya esta desde algun tiempo en este foro: Script Monitorear Servicios (http://www.alterserv.com/foros/index.php?topic=1643.msg13170#msg13170), Saludos
Cita de: angelsantana en Octubre 01, 2015, 11:41:54 PM
si amigo firecol gracias lo voy a leer detalldamente. pero la pregunta era si reinicia toda la pc del servidor, o solo se reinicia raptor
ya que al hacer un reicion general ps habria un pequeño corto donde se qedarian definitibamente sin interte hasta que inicie todo
por otro lado si solo se reinicia raptor. ps no habria ningun incobeniente ya se reinicie o no igual seguiran con internet eso era la duda amigo... un saludaso asi de graaaaaaaaaaannnnnde para el amigo JOEMG y claro para usted amigo FIRECOLD... saludos y que tengan una bonita noche.. :) :)
Cita de: firecold en Octubre 01, 2015, 11:43:44 PMclaro amigo muy claroo entoces solo reinicia a raptor que ya esta caido mas no todo el servidor. eso quiere decir que estube en lo correcto pero con dudas. de nuevo gracias MASTER por alcarme las dudas... ;)
Amigo esto solo reinicia el servicio que este caido, no el servidor, esto lo puede agregar a contrab para que revise por ejemplo los servicios cada minuto y asi se olvida de estar reiniciando servicios, si en caso ese fuera su problema, Saludos
Cita de: angelsantana en Octubre 01, 2015, 11:48:28 PM
claro amigo muy claroo entoces solo reinicia a raptor que ya esta caido mas no todo el servidor. eso quiere decir que estube en lo correcto pero con dudas. de nuevo gracias MASTER por alcarme las dudas... ;)
Cita de: angelsantana en Octubre 01, 2015, 10:38:23 PM
amigo WALYN tengo una duda mas para el modo gateway. si raptor tiene ese de los limites de 40 a 50 procesos. luego tiene que reiniciarse. no se quedan sin internet los demas ya que raptor en modo gateway ps esta como puente o solo se reinica el programa raptor. ??? ??? ??? y muy bueno tu post amigo saludos y gracias Joemg.
Cita de: WALYN en Octubre 02, 2015, 11:54:47 AMunmm entonces casi no seria recomendalble ya mis clientes esta jugando su dota2 en tiempo real, y si se corta se desconectan del total hasta que termine de reiniciarse y recien luego volver a conectarse. ooo como le estas haciendo eso mi amigo....
si se reinicia el raptor hay un pequeño corto breve.. pero si reinicia el server dura mas el corto..
Cita de: WALYN en Octubre 02, 2015, 11:54:47 AM
si se reinicia el raptor hay un pequeño corto breve.. pero si reinicia el server dura mas el corto..
Cita de: angelsantana en Octubre 02, 2015, 12:51:09 PM
unmm entonces casi no seria recomendalble ya mis clientes esta jugando su dota2 en tiempo real, y si se corta se desconectan del total hasta que termine de reiniciarse y recien luego volver a conectarse. ooo como le estas haciendo eso mi amigo....
ya que si solo se reiiniciara raptor. mas no todo el sistema operativio ps normal seguirian con internet. y no afectaria en nada solo que no tendrian entrga de cache por unos 30seg. o 1min a lo mucho pero es de lo menos eso que se queden sin internet....
Cita de: rubennoboa en Octubre 02, 2015, 01:20:49 PM
desde ayer me comenzo a dar el inconveniente de que cada cuatro horas me corta el servicio de internet .. por unos 20 a 30 segundos ha veces hasta un minuto... como podria corregir ese pequeño problema ??????????gracias...
CitarAhora bien amigo a identificado que servicio se cae, ya que como comente si se reiniciara el servicio de Raptor no tarda mucho, talvez unos dias segundos cuando mucho, pero cuando Squid se reinicia si parece eterno, por eso le pido que identifique cual es el servicio que se satura o se reinicia, Saludos
Cita de: rubennoboa en Octubre 14, 2015, 09:31:25 PM
sin duda creo que es squid3 porque se demora mucho en volver la señal de internet ... ya no se que hacer :( :( :( :( hot se me fue como unas 30 veces y me esta dando mucho dolor de cabeza... cuando llega bastante gente al ciber creo que sucita este problema... pero solo tengo 28 maquinas
CitarYo te suplicaria que antes dieras unas revisada a tu infraestructura, cables de red, router, switch´s, interfaces de red, todas ellas testeadas, mejor si haces un test de rendimiento de tu red y despues miramos el hardware de tu servidor, Saludos
Cita de: rubennoboa en Octubre 24, 2015, 01:55:42 PM
amigo muchas gracias ya solucione el inconveniente mil disuclpas...
el problema fue una confusion la red del servicio que me dan es 192.168.10.1
y la de la lan es 192.168.0.1
y pues antes de instalar el raptor cambie la eth0 a th1 y la configuracion del squid tomo la red lan 192.168.0.1 y ese era el problema luego la cambie por la de red 192.168.10.1 y se soluciono el inconveniente.... pues yo lei que para modo gateway tocaba hacer asi .. y me parece que me estaba funcionando mal de esa manera me cortaba el intenet ha cada momento... :-* ya tengo casi una semana asi y todo bien full cache hasta el momento y nada de cortes :P ::) :-[
Citarboy a cambiar mi rango..grasia por todo..una pregunta amigo te funciona bien el raptor en modo gateway ..??? te pregunto porque me estaba funcionando de maravilla pero me ha empezado a dar problemas sobre todo con las paginas de youtube en mozilla no me hace cache para nada
Cita de: rubennoboa en Noviembre 01, 2015, 01:50:45 PM
una pregunta amigo te funciona bien el raptor en modo gateway ..??? te pregunto porque me estaba funcionando de maravilla pero me ha empezado a dar problemas sobre todo con las paginas de youtube en mozilla no me hace cache para nada
CitarAMI TODO BIEN..
Cita de: rubennoboa en Noviembre 07, 2015, 02:50:59 PM
ya solucione el asunto.. utilizo el navegador opera.... gracias
Citarque raro amigo no deberia tener ningun problema con ningun navegador, deberia de mostrarnos su script de iptables, Saludos
########## PARAMETROS ######### INT_IN=eth0 # Interface que provee internet INT_OUT=eth1 # interface que comparte internet a la Lan RANGO=192.168.0.1/24 ############################### echo " Borrando las Cadenas existentes..." iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -t nat -X iptables -t mangle -X # Zero all packets and counters. iptables -Z iptables -t nat -Z iptables -t mangle -Z echo " Estableciendo Politica por Defecto (ACEPTAR)" iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT echo " Redireccionamos las peticiones de www hacia Squid Proxy" echo 1 > /proc/sys/net/ipv4/ip_forward iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable iptables -t nat -A PREROUTING -i $INT_OUT -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A POSTROUTING -o $INT_IN -s $RANGO -j MASQUERADE echo " Terminando la Configuracion del Firewall." |
Citarque ventaja tiene usar esta regla
iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable
Cita de: debian en Noviembre 20, 2015, 07:03:18 AM
Disculpen pero soy nueva podrías poner mas detalles de como configurarlo, le agradecería mucho.
Enviado desde mi HTC Desire 626s mediante Tapatalk
Cita de: debian en Noviembre 20, 2015, 11:53:42 AMpues al principio de este post
Si exacto
Enviado desde mi HTC Desire 626s mediante Tapatalk
Cita de: WALYN en Septiembre 17, 2015, 09:07:13 PM
Esperamos que tenemos conectado el servidor a un moden por cable de red, y que tenemos otra tarjeta libre..pues bien.
Serían Eth0 y Eth1 respectivamente.
y usaremos WinSCP Y PUTTY Y recordar que todo esto hay que hacerlo en modo root después de instalar debían y ante de instalar raptorcache.
Para empezar tenemos que echar un vistazo al archivo /etc/network/interfaces y editarlo... ojo hacerlo con WinSCP..
Si desea borra todo el contenido para hacerlo mas rápido solo copia y pega esto:Código (javascript) [Seleccionar]# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
########## WAN ############
auto eth0
iface eth0 inet static
address 192.168.0.2
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.1
###### LAN #####
auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
broadcast 192.168.1.255
Ingresar la ip del WAN estático, poner su rango de su LAN preferida guarda y sierra.
Reiniciar la interfaces con putty asi:Código (javascript) [Seleccionar]service netwoking restart
Con eso ya hemos configurado nuestra tarjeta red.
ahora bamos a instalar con putty a isc-dhcp-server con esto:Código (javascript) [Seleccionar]apt-get install isc-dhcp-server
Una vez instalado el paquete, tendremos que configurarlo según nuestras necesidades.
los archivos principales de configuración son /etc/default/isc-dhcp-server y /etc/dhcp/dhcpd.conf.
empezaremos a configurar los archivos, lo primero que deberemos es decirle cual es la tarjeta de
red que se ocupara de dar el servicio DHCP, para ello haremos los siguientes pasos. Editamos el
archivo isc-dhcp-server. y vamos con WinSCP a /etc/dafault/isc-dhcp-server.
En la ultima línea:
INTERFACES=""
Y TENDREMOS QUE DEJARLO DE LA SIGUIENTE MANERA:
INTERFACES="eth1"
Recordemos que en este caso eth1 es la tarjeta de red que se encuentra conectada a nuestra red local.
Ya con la tarjeta prepara para servir direcciones IP, toca configurar el servicio y nuestros clientes DHCP.
Editamos el archivo dhcp.conf.que esta /etc/dhcp/dhcpd.conf
En el archivo tendremos que hacer algunas modificaciones, voy a dejaros un fichero de ejemplo para que podras modificar
a nuestro antojo, ademas, explicare que hace cada orden del fichero de configuración de DHCP.
para no complicarnos mucho si desea puedes borrar todo lo que esta dentro del archivo copia y pega esto:Código (javascript) [Seleccionar]# Algunos de estos parametros podrían configurarse
# de diferente manera adaptando cada red a nuestras
# necesidades, con por ejemplo, diferentes tiempos
# de asignación de IP (max-lease-time 604800)
# Configuración del servifor DHCP
ddns-update-style none;
option domain-name "syconet.example";
option domain-name-servers 196.3.81.5, 196.3.81.132;
default-lease-time 7200;
max-lease-time 21600;
authoritative;
log-facility local7;
# Rangos
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.2 192.168.1.254;
option routers 192.168.1.1;
}
# Equipos rango 192.168.1.0 #
host windowsxp {
hardware ethernet 00:11:22:33:44:55;
fixed-address 192.168.1.240;
}
Si desean modificar donde dice option domain-name-servers poner lo de su proveedor
PJ: el mio es de CLARO y es 196.3.81.5 196.3.81.132 que quedaría así:
option domain-name-servers 196.3.81.5 196.3.81.132;
También recordar su rango de ip preferida y guarda y sierra.
Una vez tenemos todo el archivo listo, tendremos que reiniciar el servidor para que cargue
la configuración Lo podemos hacer desde init.d o con el paquete servicie con esto:
Código (javascript) [Seleccionar]/etc/init.d/isc-dhcp-server restart
La configuración de iptables es muy importante ya que nos permite la dirección del puerto 80 al 3128 de squid,
haciendo que squid trabaje de modo transparente y esto es beneficioso ya que no tendremos que configurar nuestros
navegadores en la red para que entren al proxy y la segunda se encarga de enmascarar nuestra red para que pueda salir
a Internet mediante la interfaz que nos provee el Internet.
Esta capacidad de traducción de direcciones permite aplicar una técnica llamada enmascaramiento de IP (IP Masquerading),
usada muy a menudo para dar acceso a Internet a los equipos de una LAN compartiendo una única conexión a Internet, y por tanto, una única dirección IP externa.Código (javascript) [Seleccionar]########## PARAMETROS #########
INT_IN=eth0 # Interface que provee internet
INT_OUT=eth1 # interface que comparte internet a la Lan
RANGO=192.168.1.0/24
###############################
echo " Borrando las Cadenas existentes..."
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
# Zero all packets and counters.
iptables -Z
iptables -t nat -Z
iptables -t mangle -Z
echo " Estableciendo Politica por Defecto (ACEPTAR)"
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
echo " Redireccionamos las peticiones de www hacia Squid Proxy"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
iptables -t nat -A PREROUTING -i $INT_OUT -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o $INT_IN -s $RANGO -j MASQUERADE
echo " Terminando la Configuracion del Firewall."
Recodar que donde esta RANGO=192.168.1.0/24 poner su rango.
Este script lo guardan con extension .sh y le dan permisos de ejecucion.
para crear un archivo .sh:Código (javascript) [Seleccionar]touch script-parametros.sh
Ve ala carpeta root donde se creo este archivo copia y pega el script de arriba y dale permiso con esto:Código (javascript) [Seleccionar]chmod 700 /root/script-parametros.sh
Ahora copian y pegan esta linea en el archivo /etc/rc.local antes de exit 0 guarda y sierra para que inicie con el sistema y con putty ejecútalo para ver si todo salio bien.Código (javascript) [Seleccionar]sh /root/script-parametros.sh
Ahora bien, con esto ya podemos instalar raptor.. no sin antes configurar el script de instalación de raptorcache
para que tome la ip de la interface que compartira el internet a su red, la linea
en cuestion a cambiar es:
IPSERV=$(ifconfig eth0 | grep 'inet addr:' | cut -d: -f2 | awk '{ print $1}')
Esta linea es para guiarte para que sepa donde cambiar el eth0 por eth1
¿Como modificar? primero en la instalación ejecuta con putty:Código (javascript) [Seleccionar]wget http://www.alterserv.com/raptor/install_raptor2.sh
Después abre WinSCP y en la carpeta root veras un archivo como: install_raptor2.sh ábrelo y busca donde se encuentre la linea:
IPSERV=$(ifconfig eth0 | grep 'inet addr:' | cut -d: -f2 | awk '{ print $1}')
Cambiando eth0 por eth1 la interfaces que como repito compartirá el Internet, reitero esta parte ya que es muy importante.
tienen que modificar por ejemplo quedar así:
IPSERV=$(ifconfig eth1 | grep 'inet addr:' | cut -d: -f2 | awk '{ print $1}')
guarda y sierra.
despues con putty:Código (javascript) [Seleccionar]chmod 777 install_raptor2.sh
Código (javascript) [Seleccionar]bash install_raptor2.sh
instalar raptorcache 2.0
Si en la instalación estuvo todo bien.. continuaremos ahora con la configuración en el archivo squid.conf que esta en /etc/squid3/squid.conf esta configuración es muy importante ya que el raptor se hace el sordo sino lo hacen..
#----------------------------------------------------------------------
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 10.0.0.0/8 # RFC 1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC 1918 possible internal network
acl localnet src 192.168.1.0/24 # RFC 1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
acl CONNECT method CONNECT
acl Safe_ports port 80 # http
acl Safe_ports port 443 # https
acl SSL_ports port 443 # https
http_access deny blacklist
http_access allow manager localhost
http_access deny manager all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow localnet
#----------------------------------------------------------------------
Poner su rango de ip osea la LAN en esta linea:
acl localnet src 192.168.1.0/24 # RFC 1918 possible internal network
desatiba todo los firewall del raptor que esta en el webpanel y Reinicia
Todo listo.. ya tememos raptor en MODO GATEWAY
Cita de: juliobrenis en Diciembre 17, 2015, 01:31:23 PM
Esta configuracion me sirve en modo no transparente es decir colocar en el navegador usar servidor proxy
Gracias por tu pronta respuesta amigo firecol
Cita de: juliobrenis en Diciembre 17, 2015, 01:31:23 PM
Esta configuracion me sirve en modo no transparente es decir colocar en el navegador usar servidor proxy
Gracias por tu pronta respuesta amigo firecol
Cita de: WALYN en Diciembre 17, 2015, 01:46:37 PM
Para mi la mejor forma de poner roptor es en modo gateway con WAN Y LAN con servicio dhcp..
ya que todo es automático y esto modo no hay que ir a los clientes a poner la ip del raptor al navegador para que tenga cache..
Cita de: rubennoboa en Diciembre 19, 2015, 08:56:40 AM
buenos dias amigos yo tengo el rango :
192.168.0.1 .. cual es la manera correcta amigos
192.168.0.0/16
192.168.0.0/24 esta parte no entiendo bien..
CitarPARA LOS CLIENTES ES MEJOR 192.168.0.0/24 O 192.168.1.0/24MUCHAS GRACIAS
Cita de: rubennoboa en Diciembre 19, 2015, 08:56:40 AM
buenos dias amigos yo tengo el rango :
192.168.0.1 .. cual es la manera correcta amigos
192.168.0.0/16
192.168.0.0/24 esta parte no entiendo bien..
CitarLa verdad hay muchos rangos de red que puedes usar sin ningun problema, asi como nosotros que utilizamos redes privadas y para saber como crear nuestra, te dejo un ejemplo.
Como tambien puedes saber la mascara de red y te dejo un enlace para que puedas profundizar en ello y mas cuando quieres dejar un rango pequeño de red, mas que nada por seguridad, http://www.calculadora-redes.com/, Saludos
Cita de: rubennoboa en Diciembre 20, 2015, 10:58:43 AM
GRACIAS AMIGO HE SALIDO DE TODAS LAS DUDAS
CitarMe alegra mucho, siempre para lo que quiera ahi estamos, en lo que podemos y en el poco conocimiento que se tiene, pues algo aprende usted y algo aprendo yo, Saludos
Cita de: firecold en Diciembre 17, 2015, 03:36:03 PM
Tienes razon amigo, es la mejor forma, ya que te evitas la configuracion de cliente en cliente y se hace sin que el cliente se entere de nada, en mi caso yo hago unas modificaciones a squid para que no sepan que estan pasando por un proxy, Saludos
Cita de: WALYN en Diciembre 26, 2015, 02:02:34 PM
que ventaja tiene que no lo sepan que hay un prosy..y como lo haces?
Cita de: firecold en Diciembre 26, 2015, 02:16:23 PM
lo que pasa que siempre hay un usuario que se quiere pasar de listo y entonces quiere saltarse el proxy y por si no lo sabes hay un monton de formas de saltarselo, ya sea porque le tengas alguna limitacion de velocidad o de contenido o simplemente porque no quiere que sepas que esta haciendo, la ventaja es que tiene trabajar mas para poder saltarse la restriccion, Saludos
Cita de: WALYN en Diciembre 28, 2015, 11:42:15 AM
En mi caso tengo el 70% de mujeres y 30% de chicos y de eso 30% quizá 10% saben algo de red pero creo que no saben ni siquiera clonar un mac..y mis clientes esta muy satisfecho con el servicio.. Realmente yo no uso limitaciones a los clientes.. se me a olvidos todo lo que tiene que ver con limitaciones..lo que yo uso es algo mejor que limitar a los clientes pj: si yo tengo 20Mbs de Internet en mi red con 10 clientes los 20Mbs se reparten uniformemente osea que le dará de 2Mbs a cada uno..pero si hay un cliente conectado tendrá los 20Mbs para el solo..el Internet se comparte sin que un cliente se robe todo el Internet.. tenerlo así es ventajoso ya que la mayoría de los clientes descargan de madrugada y así se aprovecha todo el Internet de noche ya que no hay que bajarlo de días donde todos los clientes están.
Cita de: firecold en Diciembre 28, 2015, 05:11:45 PM
Ahí esta el detalle, en mi trabajo solo de un cliente son 450 usuarios de un edificio de oficinas donde todo el mundo quiere ver el facebook o cualquier red social y obviamente tiene que estar bloqueadas, solo algunas paginas están libres y hay un ancho de banda que se contrata y ese es el que se le da, y todos buscan la manera de entrar facebook de las maneras mas tontas hasta las mas astutas, cuando se habla del ámbito profesional te piden 2MB y les das lo que contrataron no mas, ni tampoco menos, por eso hablo de esconder el proxy, para que trabajen mas, entre otras medidas de seguridad que se implementan para poder bloquear https, bloquear pop-ups, paginas maliciosas y malintencionadas, pornografía y uuuffff ya te digo que siempre hay alguien queriéndose pasar de listo, en tu caso pues esta relax, jajajajjaja, Saludos
Cita de: juliobrenis en Diciembre 29, 2015, 08:04:16 AM
Amigo Firecol te toma la palabra ya que el escenario que mencionas es similar al mio y por consiguiente tenemos que optar por el modo GATEWAY o modo no transparente para mi caso a la fecha todo bien a excepcion de algunas paginas (sobre todo del gobierno de mi pais - PERU - que no funcionan apropiadamente para lo cual se hace un trato especial.
Gracias por tus aportes
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
########## WAN ############
auto eth0
iface eth0 inet static
address 192.168.10.55
netmask 255.255.255.0
network 192.168.10.1
broadcast 192.168.10.255
gateway 192.168.10.1
########## LAN #############
auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
broadcast 192.168.1.255
# Algunos de estos parametros podrían configurarse
# de diferente manera adaptando cada red a nuestras
# necesidades, con por ejemplo, diferentes tiempos
# de asignación de IP (max-lease-time 604800)
# Configuración del servifor DHCP
ddns-update-style none;
option domain-name "syconet.example";
option domain-name-servers 8.8.8.8, 8.8.4.4;
default-lease-time 7200;
max-lease-time 21600;
authoritative;
log-facility local7;
# Rangos
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.2 192.168.1.254;
option routers 192.168.1.1;
}
# Equipos rango 192.168.1.0 #
host windowsxp {
hardware ethernet 00:11:22:33:44:55;
fixed-address 192.168.1.240;
}
########## PARAMETROS #########
INT_IN=eth0 # Interface que provee internet
INT_OUT=eth1 # interface que comparte internet a la Lan
RANGO=192.168.1.0/24
###############################
echo " Borrando las Cadenas existentes..."
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
# Zero all packets and counters.
iptables -Z
iptables -t nat -Z
iptables -t mangle -Z
echo " Estableciendo Politica por Defecto (ACEPTAR)"
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
echo " Redireccionamos las peticiones de www hacia Squid Proxy"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
iptables -t nat -A PREROUTING -i $INT_OUT -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o $INT_IN -s $RANGO -j MASQUERADE
echo " Terminando la Configuracion del Firewall."
if [ $DHCP != 0 ]; then
echo "Error! Use config IP static in /etc/network/interfaces"
echo ""
exit 0
fi
IPSERV=$(ifconfig eth1 | grep 'inet addr:' | cut -d: -f2 | awk '{ print $1}')
HOST_NAME="raptor.os"
apt-get update
if [ $? -ne 0 ]; then
echo "Error! Internet Connection"
exit
#=====================================================================#
# Squid 3.x Conf #
#=====================================================================#
http_port 3128 intercept
visible_hostname raptor.os
icp_port 0
#----------------------------------------------------------------------
acl google url_regex -i (googlevideo.com|www.youtube.com)
acl mobile browser -i regexp (iPhone|iPad|Windows.*Phone|BlackBerry|PlayBook|Trident|IEMobile)
request_header_access User-Agent deny google !mobile
request_header_replace User-Agent Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
#----------------------------------------------------------------------
#error_directory /usr/share/squid3/errors/Spanish/
#----------------------------------------------------------------------
acl blacklist url_regex -i "/etc/squid3/blacklist.lst"
#----------------------------------------------------------------------
# Servidor DNS y Politica de Cambios
#----------------------------------------------------------------------
dns_nameservers 8.8.8.8 8.8.4.4
dns_retransmit_interval 5 seconds
dns_timeout 2 minutes
#----------------------------------------------------------------------
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 10.0.0.0/8 # RFC 1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC 1918 possible internal network
acl localnet src 192.168.1.0/24 # RFC 1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
acl CONNECT method CONNECT
acl Safe_ports port 80 # http
acl Safe_ports port 443 # https
acl SSL_ports port 443 # https
http_access deny blacklist
http_access allow manager localhost
http_access deny manager all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow localnet
#----------------------------------------------------------------------
coredump_dir /var/spool/squid3
#----------------------------------------------------------------------
# Log de acessos
#----------------------------------------------------------------------
logfile_rotate 7
#access_log /var/log/squid3/access.log
access_log none
#----------------------------------------------------------------------
# Otras configuraciones
#----------------------------------------------------------------------
cache_mgr raptor.os
shutdown_lifetime 2 seconds
half_closed_clients off
server_persistent_connections off
client_persistent_connections off
log_fqdn off
quick_abort_min 0 KB
quick_abort_max 0 KB
quick_abort_pct 95
max_filedescriptors 65536
#----------------------------------------------------------------------
#cache deny all
#----------------------------------------------------------------------
acl sys_lst url_regex -i "/etc/raptor/sys.lst"
acl raptor_lst url_regex -i "/etc/raptor/raptor.lst"
acl wth_lst url_regex -i "/etc/raptor/whitelist.lst"
acl host_lst req_header Host -i "/etc/raptor/host.lst"
acl exts url_regex -i \.(cab|exe|msi|msu|zip|deb|rpm|bz|bz2|gz|tgz|rar|bin|7z|mp3|mp4|flv)$
acl head_html req_header Accept -i text/html.+
cache deny raptor_lst
cache_peer 192.168.1.1 parent 8080 0 proxy-only no-digest
dead_peer_timeout 2 seconds
cache_peer_access 192.168.1.1 allow host_lst
cache_peer_access 192.168.1.1 allow exts
cache_peer_access 192.168.1.1 deny head_html
cache_peer_access 192.168.1.1 deny wth_lst
cache_peer_access 192.168.1.1 allow raptor_lst
cache_peer_access 192.168.1.1 allow sys_lst
cache_peer_access 192.168.1.1 deny all
cache deny all
#----------------------------------------------------------------------
Cita de: WALYN en Enero 09, 2016, 09:20:35 PM
acuérdate que hay dos forma de entrar en modo gateway pj: en tu caso tu entraría por eth0 usaria 192.168.10.55:82 y tambien por la
eth1 con 192.168.1.1:82 al webpanel..
quita esta dos linea en parametro porque ya no se usan por la cuestión de youtube
iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
Cita de: jhonathanve en Enero 09, 2016, 09:36:43 PM
deberia de dejarla por lo quue si se a la final se arregla de lo de los navegadores, joemg6 habia dicho que aun youtube pasa por http
Cita de: atma en Enero 09, 2016, 11:35:08 PM
iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
gracias por responder ya lo quite pero no logro tener internet en las demás maquinas que podrá ser
Cita de: atma en Enero 10, 2016, 10:43:42 PMexecuta esto y me dice:
eso me sale cuando intento entrar al internet
(https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-xal1/v/t1.0-9/12376382_10153400964627945_6458416769137586281_n.jpg?oh=2188e013a42472ee43ef8de748a5b7f0&oe=57440164&__gda__=1460787861_0b6f7ec05d2dc5918cac15be663696e7)
Cita de: WALYN en Septiembre 17, 2015, 09:07:13 PM
Esperamos que tenemos conectado el servidor a un moden por cable de red, y que tenemos otra tarjeta libre..pues bien.
Serían Eth0 y Eth1 respectivamente.
y usaremos WinSCP Y PUTTY Y recordar que todo esto hay que hacerlo en modo root después de instalar debían y ante de instalar raptorcache.
Para empezar tenemos que echar un vistazo al archivo /etc/network/interfaces y editarlo... ojo hacerlo con WinSCP..
Si desea borra todo el contenido para hacerlo mas rápido solo copia y pega esto:Código (javascript) [Seleccionar]# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
########## WAN ############
auto eth0
iface eth0 inet static
address 192.168.0.2
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.1
########## LAN #############
auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
broadcast 192.168.1.255
Ingresar la ip del WAN estático, poner su rango de su LAN preferida guarda y sierra.
Reiniciar la interfaces con putty asi:Código (javascript) [Seleccionar]service netwoking restart
Con eso ya hemos configurado nuestra tarjeta red.
ahora bamos a instalar con putty a isc-dhcp-server con esto:Código (javascript) [Seleccionar]apt-get install isc-dhcp-server
Una vez instalado el paquete, tendremos que configurarlo según nuestras necesidades.
los archivos principales de configuración son /etc/default/isc-dhcp-server y /etc/dhcp/dhcpd.conf.
empezaremos a configurar los archivos, lo primero que deberemos es decirle cual es la tarjeta de
red que se ocupara de dar el servicio DHCP, para ello haremos los siguientes pasos. Editamos el
archivo isc-dhcp-server. y vamos con WinSCP a /etc/dafault/isc-dhcp-server.
En la ultima línea:
INTERFACES=""
Y TENDREMOS QUE DEJARLO DE LA SIGUIENTE MANERA:
INTERFACES="eth1"
Recordemos que en este caso eth1 es la tarjeta de red que se encuentra conectada a nuestra red local.
Ya con la tarjeta prepara para servir direcciones IP, toca configurar el servicio y nuestros clientes DHCP.
Editamos el archivo dhcp.conf.que esta /etc/dhcp/dhcpd.conf
En el archivo tendremos que hacer algunas modificaciones, voy a dejaros un fichero de ejemplo para que podras modificar
a nuestro antojo, ademas, explicare que hace cada orden del fichero de configuración de DHCP.
para no complicarnos mucho si desea puedes borrar todo lo que esta dentro del archivo copia y pega esto:Código (javascript) [Seleccionar]# Algunos de estos parametros podrían configurarse
# de diferente manera adaptando cada red a nuestras
# necesidades, con por ejemplo, diferentes tiempos
# de asignación de IP (max-lease-time 604800)
# Configuración del servifor DHCP
ddns-update-style none;
option domain-name "syconet.example";
option domain-name-servers 196.3.81.5, 196.3.81.132;
default-lease-time 7200;
max-lease-time 21600;
authoritative;
log-facility local7;
# Rangos
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.2 192.168.1.254;
option routers 192.168.1.1;
}
# Equipos rango 192.168.1.0 #
host windowsxp {
hardware ethernet 00:11:22:33:44:55;
fixed-address 192.168.1.240;
}
Si desean modificar donde dice option domain-name-servers poner lo de su proveedor
PJ: el mio es de CLARO y es 196.3.81.5 196.3.81.132 que quedaría así:
option domain-name-servers 196.3.81.5 196.3.81.132;
También recordar su rango de ip preferida y guarda y sierra.
Una vez tenemos todo el archivo listo, tendremos que reiniciar el servidor para que cargue
la configuración Lo podemos hacer desde init.d o con el paquete servicie con esto:
Código (javascript) [Seleccionar]/etc/init.d/isc-dhcp-server restart
La configuración de iptables es muy importante ya que nos permite la dirección del puerto 80 al 3128 de squid,
haciendo que squid trabaje de modo transparente y esto es beneficioso ya que no tendremos que configurar nuestros
navegadores en la red para que entren al proxy y la segunda se encarga de enmascarar nuestra red para que pueda salir
a Internet mediante la interfaz que nos provee el Internet.
Esta capacidad de traducción de direcciones permite aplicar una técnica llamada enmascaramiento de IP (IP Masquerading),
usada muy a menudo para dar acceso a Internet a los equipos de una LAN compartiendo una única conexión a Internet, y por tanto, una única dirección IP externa.Código (javascript) [Seleccionar]########## PARAMETROS #########
INT_IN=eth0 # Interface que provee internet
INT_OUT=eth1 # interface que comparte internet a la Lan
RANGO=192.168.1.0/24
###############################
echo " Borrando las Cadenas existentes..."
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
# Zero all packets and counters.
iptables -Z
iptables -t nat -Z
iptables -t mangle -Z
echo " Estableciendo Politica por Defecto (ACEPTAR)"
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
echo " Redireccionamos las peticiones de www hacia Squid Proxy"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i $INT_OUT -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o $INT_IN -s $RANGO -j MASQUERADE
echo " Terminando la Configuracion del Firewall."
Recodar que donde esta RANGO=192.168.1.0/24 poner su rango.
Este script lo guardan con extension .sh y le dan permisos de ejecucion.
para crear un archivo .sh:Código (javascript) [Seleccionar]touch script-parametros.sh
Ve ala carpeta root donde se creo este archivo copia y pega el script de arriba y dale permiso con esto:Código (javascript) [Seleccionar]chmod 700 /root/script-parametros.sh
Ahora copian y pegan esta linea en el archivo /etc/rc.local antes de exit 0 guarda y sierra para que inicie con el sistema y con putty ejecútalo para ver si todo salio bien.Código (javascript) [Seleccionar]sh /root/script-parametros.sh
Ahora bien, con esto ya podemos instalar raptor.. no sin antes configurar el script de instalación de raptorcache
para que tome la ip de la interface que compartira el internet a su red, la linea
en cuestion a cambiar es:
IPSERV=$(ifconfig eth0 | grep 'inet addr:' | cut -d: -f2 | awk '{ print $1}')
Esta linea es para guiarte para que sepa donde cambiar el eth0 por eth1
¿Como modificar? primero en la instalación ejecuta con putty:Código (javascript) [Seleccionar]wget http://www.alterserv.com/raptor/install_raptor2.sh
Después abre WinSCP y en la carpeta root veras un archivo como: install_raptor2.sh ábrelo y busca donde se encuentre la linea:
IPSERV=$(ifconfig eth0 | grep 'inet addr:' | cut -d: -f2 | awk '{ print $1}')
Cambiando eth0 por eth1 la interfaces que como repito compartirá el Internet, reitero esta parte ya que es muy importante.
tienen que modificar por ejemplo quedar así:
IPSERV=$(ifconfig eth1 | grep 'inet addr:' | cut -d: -f2 | awk '{ print $1}')
guarda y sierra.
despues con putty:Código (javascript) [Seleccionar]chmod 777 install_raptor2.sh
Código (javascript) [Seleccionar]bash install_raptor2.sh
instalar raptorcache 2.0
Si en la instalación estuvo todo bien.. continuaremos ahora con la configuración en el archivo squid.conf que esta en /etc/squid3/squid.conf esta configuración es muy importante ya que el raptor se hace el sordo sino lo hacen..
#----------------------------------------------------------------------
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 10.0.0.0/8 # RFC 1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC 1918 possible internal network
acl localnet src 192.168.1.0/24 # RFC 1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
acl CONNECT method CONNECT
acl Safe_ports port 80 # http
acl Safe_ports port 443 # https
acl SSL_ports port 443 # https
http_access deny blacklist
http_access allow manager localhost
http_access deny manager all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow localnet
#----------------------------------------------------------------------
Poner su rango de ip osea la LAN en esta linea:
acl localnet src 192.168.1.0/24 # RFC 1918 possible internal network
desatiba todo los firewall del raptor que esta en el webpanel y Reinicia
Todo listo.. ya tememos raptor en MODO GATEWAY
Cita de: WALYN en Enero 11, 2016, 12:26:18 AM
ejecutar esto:
sh /root/script-parametros.sh
Cita de: atma en Enero 11, 2016, 03:38:51 PMES QUE TE FALTO ESTA COFIGURACION:
muchhas gracias walyn ya fuinciona : :D que felicidad realmente muchas pero muchas gracias
(https://fbcdn-photos-b-a.akamaihd.net/hphotos-ak-xtl1/v/t1.0-0/q73/p261x260/1910090_10153402350322945_1731862922115386115_n.jpg?oh=b69812ae73381b5e4cceb87d8a0dfa87&oe=57026B71&__gda__=1463522335_7bb5a15b34c5d5a3ce74a0a24315d986)
una ultima pregunta cuando reinicie el servidor raptor de nuevo no tenia internet cuando pongo este comando tengo internet cada que lo reinicie tengo que ponerlo ?
Cita de: juliobrenis en Enero 11, 2016, 02:40:25 PM
Saludos Cordiales quisiera saber si hay algun problema cuando el servicio de internet proviene de un mikrotik con balance de carga pcc
Gracias por su pronta respuesta
Cita de: kuwox en Enero 14, 2016, 03:47:34 PM
Saludos WALYN, espectacular tu tuto, lo aplicamos y todo salió excelente, tuvimos que agregar estas reglas al script de firewall para evitar muchos ataques que teniamos, usamos netstat -anp para auditar un poco las conexiones, soy novato, pero estas reglas nos sirvieron de mucho, si puedes actualizar el tuto y agregarlas sería de gran ayuda para muchos.
Gracias por tu gran aporte.
iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 23 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 8080 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 80 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 53 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 53 -j DROP
Cita de: WALYN en Septiembre 18, 2015, 04:33:24 PM
yo e usado mikrotik por maso meno 2 años y me di cuenta que era hora de cambiar a algo mejor ya que compre la versión rb450g
pero se saturo pero seguí con una pc preparada para server y instale el mikrotik para pc pero era crakiado ;D no podía actualizarme
porque se caía pensé comprar la licencia pero si el disco se daña pierde la licencia :o pensé adiós mikrotik..
después encontré rapto iban en la versión 1.3,1.4 pero me dio problema me fui para pfsense que me lo aconsejan pero medio problema bol vi a raptorcache en ese entonces estaba la versión 1.5 pensé poner de otra manera mejor leyendo en este foro encontré el modo que quería en modo gateway lo e probado y tiene muchas ventajas..
Cita de: lantiano en Enero 26, 2016, 03:01:31 AMcuando tenia mikrotik controlaba a los clientes..pero medio problema porque meter internet en mikrotik era como si entrara el internet en un laberinto con tantas reglas.. entre meno control mas fluido es el internet si quiere controlar alos clientes si usas ubiquiti haslo por los equipos ubiquiti..y asi usara muchos equipos que teda mas ram, procesador y mayor estabilidad cada ves que instala un cliente tendrás mas hardwere y no uno solo como mikrotik..
Hola solo comentas el por q has puesto en gateway , pero no las ventajas o desventajas.
Creo q una desventaja debe ser el no poder filtrar a los usuarios, ademas de no poder limitar su ancho de banda o si tiene esa opcion ???
Cita de: WALYN en Enero 14, 2016, 09:23:39 PM
dame mas detalles..
Cita de: lantiano en Enero 26, 2016, 10:15:49 AM
Cada quien con su forma de pensar, pero para mi no me hace unos gigas mas de ram si es q eso me ayuda a controlar mas a mis clientes , ten en cuenta q muchas veces los mismos clientes empiezan a snifear con la finalidad de ya no pagar el mes.
Cual es la forma q dices q tienes de asignar un ancho de banda a cada cliente ???
Cita de: kuwox en Enero 26, 2016, 04:10:41 PMno daria problema a paginas?
Me explico un poco, para comenzar, la interfaz que está conectada a la WAN es eth0, por la cual entran los ataques.
Reglas:
iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP => Toda conexión que quiera entrar por eth0 a través del puerto TCP 21 (FTP) córtelo.
iptables -A INPUT -i eth0 -p tcp --dport 23 -j DROP => Toda conexión que quiera entrar por eth0 a través del puerto TCP 23 (Telnet) córtelo.
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j DROP => Toda conexión que quiera entrar por eth0 a través del puerto TCP 3128 (Proxy Squid) córtelo.
iptables -A INPUT -i eth0 -p tcp --dport 8080 -j DROP => Toda conexión que quiera entrar por eth0 a través del puerto TCP 8080 (HTTP ALTERNATIVO) córtelo.
iptables -A INPUT -i eth0 -p tcp --dport 80 -j DROP => Toda conexión que quiera entrar por eth0 a través del puerto TCP 80 (WWW) córtelo.
iptables -A INPUT -i eth0 -p tcp --dport 53 -j DROP => Toda conexión que quiera entrar por eth0 a través del puerto TCP 53 (DNS) córtelo.
iptables -A INPUT -i eth0 -p udp --dport 53 -j DROP Toda conexión que quiera entrar por eth0 a través del puerto UDP 53 (DNS) córtelo.
Esto lo detectamos usando el comando netstat -anp y nos generó una serie de conexiones que entraban usando IPs diferentes a las que nos había asignado nuestro proveedor de internet (ISP).
Por ejemplo, si nuestro ISP nos dio la IP 180.233.32.71 entonces nuestra conexiones correctas para todos los servicios DNS (Puerto 53) por ejemplo tendrian que provenir de nuestra propia IP, es decir 180.233.32.71:53; mas vimos que al usar netstat -anp nos dio muchas conexiones pero usando IP como 80.20.14.23:53 y así muchas otras IPs diferentes a la nuestra.
Un gran saludos a todos los foreros.
Cita de: WALYN en Enero 26, 2016, 07:12:33 PM
Cada quien con su forma de pensar, pero para mi no me hace unos gigas mas de ram si es q eso me ayuda a controlar mas a mis clientes:
te esta hablando un experto en redes..yo tengo muchas competencias y me lo estoy comiendo vivo por que no saven como organizar un red esta usando mikrotik..no es que tenga un mikrotik con 20 gb de ran un procesador 3.0 no te lleve de eso... es la forma de organizar el problema de mikrotik que el internet tiene que pasar por muchas reglas que hace que internet se ponga lento..
Cual es la forma q dices q tienes de asignar un ancho de banda a cada cliente ???
si te refiere el ancho de banda automático lo hago con un balanceador de carga
si te refiere el ancho de banda asignado si lo hiciera lo haria con ubiquiti en modo router..ve a google ..
Cita de: lantiano en Enero 26, 2016, 08:29:09 PM
En la respuesta 93 dices esto
"Realmente yo no uso limitaciones a los clientes.. se me a olvidos todo lo que tiene que ver con limitaciones..lo que yo uso es algo mejor que limitar a los clientes pj: si yo tengo 20Mbs de Internet en mi red con 10 clientes los 20Mbs se reparten uniformemente osea que le dará de 2Mbs a cada uno..pero si hay un cliente conectado tendrá los 20Mbs para el solo..el Internet se comparte sin que un cliente se robe todo el Internet."
Ahora te pregunto de q manera lo haces ???
Cita de: WALYN en Enero 26, 2016, 08:54:23 PM
lo hago con un balanceador de carga bienen con eso..TP-LINK R480T Y PFSENSE Y OTROS
los balanceadores si lo pone en modo sumado las linea el internet se comparte uniformemente..NADIE PUEDE SATURAL LA RED NI CON ACELERADORES.. si quiere pruevalo..
Cita de: WALYN en Enero 26, 2016, 07:16:26 PM
no daria problema a paginas?
Cita de: jhonnyjjac en Febrero 16, 2016, 10:54:13 AM
Buenos días compañeros del foro, aca les dejo la configuración en modo gateway del raptor 2 sin utilizar mikrotik, solo lo tengo con un server pfsense para control de usuarios y anchos de banda y un balanceador tplink para unir 4 lineas aba...les comento que hace mucho mucho tiempo estuve buscando y preguntando aca mismo como hacerlo y hasta hace poco fue que pude encontrar en este foro como hacerlo, pero solo con la configuración del sr WALYN tal cual la explica no me funcionó pero si me sirvió en algunas cosas....aca les dejo el archivo de configuración del fw.sh del raptor, de las interfaces y el de dhcp....espero puedan configurarlo...hasta los momentos va funcionando bien..y me quité de encima el mikrotik...
ojo...aclaro para los moderadores que estas configuraciones no son mias, solo copio y pego segun vaya haciendo pruebas, espero no se ofenda nadie, menos aun molestarse....
**************fw.sh del raptor *************
#!/bin/bash
echo ";;;;;;;;;;;;;;;;;;;;;;;"
echo "; RaptorCache 2 ;"
echo ";;;;;;;;;;;;;;;;;;;;;;;"
echo 1 > /proc/sys/net/ipv4/ip_forward = 1
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -A INPUT -i lo -j ACCEPT #comment#Localhost
iptables -A INPUT -s 192.168.20.0/24 -j ACCEPT #comment#Input LAN
iptables -A FORWARD -i eth1 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC 80
iptables -A FORWARD -i eth1 -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC 443
# ------------------------------------| Redireccion |--------------------------------------
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 #comment#Redirect 3128
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.20.0/24 -j MASQUERADE
***************dhcpd.conf del servidor dhcp **************
#
# Sample configuration file for ISC dhcpd for Debian
#
#
ddns-update-style none;
# option definitions common to all supported networks...
option domain-name "aqui colocas el nombre de tu servidor con el dominio que prefieras";
option domain-name-servers 8.8.8.8, 8.8.4.4;
default-lease-time 600;
max-lease-time 7200;
# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
authoritative;
# Use this to send dhcp log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).
log-facility local7;
# No service will be given on this subnet, but declaring it helps the
# DHCP server to understand the network topology.
#subnet 10.152.187.0 netmask 255.255.255.0 {
#}
# This is a very basic subnet declaration.
subnet 192.168.20.0 netmask 255.255.255.0 {
range 192.168.20.1 192.168.20.252;
option routers 192.168.20.254;
}
esto es solo la parte que se modificó....el resto lo dejan tal cual viene....
**********configuracion de las interfaces **********
# The loopback network interface
auto lo
iface lo inet loopback
# ADAPTADOR PRINCIPAL eth0 - ENTRADA DE INTERNET
auto eth0
iface eth0 inet dhcp
##### ADAPTADOR SECUNDARIO eth1 - REPARTE Y COMPARTE LA SEÑAL DE INTERNET a la red local
auto eth1
iface eth1 inet static
address 192.168.20.254 # aca colocan la ip de la red local para su servidor la cual es la que repartirá el internet
netmask 255.255.255.0
network 192.168.20.0
broadcast 192.168.20.255
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 8.8.8.8 # Aca colocan los dns preferidos por ustedes, en mi caso uso los de google
dns-nameservers 8.8.4.4
#dns-search #aca va el nombre que le colocaron al servidor
Cita de: jhonnyjjac en Febrero 17, 2016, 09:23:17 AMhay un problema en esa configuración..CON EL CLONADO DE MAC ...TE MANCA.. portal captivo.... :-X
Buen día... el esquema que implementé es el siguiente....
Internet ABA 4 lineas ----> 01 Balanceador de Cargas Tplink ----> 01 Servidor RaptorCache ----> 01 Servidor Pfsense para el portal captivo....
Seria algo asi, de las lineas aba entra el internet hacia el balanceador tplink, este reparte la señal al servidor cache (RaptorCache) que la recibe por la eth0 y este la envia por la eth1 al servidor pfsense quien la recibe por la eth1 (wan) para repartirla por la eth0 (lan) no se si me entiendes....los archivos que publiqué son tal cual los configuré solo cambias tus parámetros en las respectivas eth...
De esta manera me quito de encima el mikrotik...no por malo...sino que es muy basico rb750 y siento que me generaba un cuello de botella...aun no he mirado el registro de threads en el raptor para ver que tal....voy a esperar unos dias a ver si funciona...por los momentos les digo que siento que funciona mas rápido....espero no sean solo ideas mias...Suerte !!!
Cita de: jhonnyjjac en Febrero 18, 2016, 07:49:40 AM
Buen día....yo he utilizado el portal captivo por años...hasta ahora pues el clonado de mac no me ha preocupado....los clientes que tengo pues son en su mayoría profesionales en área distintas a la informática....y sus hijos tampoco andan por esas vías....esta configuración pues me quito de encima al mikrotik....ya es mucho decir pues me tenia esclavo de estar reiniciandolo casi todos los días...Ahora bien, puedes por favor WALYN darme algun tipo de configuración para evitar que e clonen la mac...del portal me imagino que hablas...Hasta la fecha yo reviso día por medio o cada 2 días como van los usuarios con la navegación, y monitoreo en tiempo real el trafico en el pfsense...te agradecería mucho si tienes alguna configuración para evitar el clonado de mac y cualquier otro tipo de salto que quiera hacer el usuario...Te agradezco de antemano
Cita de: kuwox en Enero 14, 2016, 03:47:34 PM
Saludos WALYN, espectacular tu tuto, lo aplicamos y todo salió excelente, tuvimos que agregar estas reglas al script de firewall para evitar muchos ataques que teniamos, usamos netstat -anp para auditar un poco las conexiones, soy novato, pero estas reglas nos sirvieron de mucho, si puedes actualizar el tuto y agregarlas sería de gran ayuda para muchos.
Gracias por tu gran aporte.
iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 23 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 8080 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 80 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 53 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 53 -j DROP
Cita de: jhonnyjjac en Febrero 18, 2016, 07:49:40 AM
Buen día....yo he utilizado el portal captivo por años...hasta ahora pues el clonado de mac no me ha preocupado....los clientes que tengo pues son en su mayoría profesionales en área distintas a la informática....y sus hijos tampoco andan por esas vías....esta configuración pues me quito de encima al mikrotik....ya es mucho decir pues me tenia esclavo de estar reiniciandolo casi todos los días...Ahora bien, puedes por favor WALYN darme algun tipo de configuración para evitar que e clonen la mac...del portal me imagino que hablas...Hasta la fecha yo reviso día por medio o cada 2 días como van los usuarios con la navegación, y monitoreo en tiempo real el trafico en el pfsense...te agradecería mucho si tienes alguna configuración para evitar el clonado de mac y cualquier otro tipo de salto que quiera hacer el usuario...Te agradezco de antemano
Cita de: kiga en Marzo 21, 2016, 10:40:24 PM
Ya lo solucione!! reinstale la actualizacion 2.0.3 y segui estos pasos del tuto de joemg6
Código:
mysql -uroot raptor -praptor << eof
ALTER TABLE raptor ADD thread_usage INT(8) NOT NULL AFTER last_request;
ALTER TABLE raptor ADD ip varchar(30) NOT NULL AFTER ext;
eof
apt-get install -y ioping
chmod 777 /etc/fstab
Código:
wget https://dl.dropboxusercontent.com/u/74360564/raptor2/update/raptor2.0.3_update.tar.gz
mv raptor2.0.3_update.tar.gz /tmp
tar -xzvf /tmp/raptor2.0.3_update.tar.gz -C /
service raptor restart && service squid3 restart
Cita de: venezu en Marzo 25, 2016, 05:29:47 PMLo estas usando en modo gateway?
saludos algo que no tengo claro es debo conectar la ether 1 en la misma lan de mis clientes que mas tendria que hacer en el mk para que no me cree algun conflicto al tener el raptor el mismo rango de ip que mis clientes que estan por dhcp en mi red
Cita de: WALYN en Abril 14, 2016, 10:16:44 PMquiero probar este modo pero estuve viendo unos post relacionados en modo getaway y tendría que ir a donde cada cliente a configurar cada equipo ya que a todos les asigno ip estática y en este modo el getaway es el proxy, se me haría un poco complicado y bastante trabajo, y me podrías orientar que ventajas tiene de este modo al paralelo, el full cache como seria ya que no hay nada mas aquí publicado o se entrega a ful velocidad eso no lo tengo claro y mejoraria la velocidad del internet, y gracias por tu aporte
Lo estas usando en modo gateway?
Cita de: venezu en Abril 14, 2016, 10:29:59 PMventajas muchisimass..
quiero probar este modo pero estuve viendo unos post relacionados en modo getaway y tendría que ir a donde cada cliente a configurar cada equipo ya que a todos les asigno ip estática y en este modo el getaway es el proxy, se me haría un poco complicado y bastante trabajo, y me podrías orientar que ventajas tiene de este modo al paralelo, el full cache como seria ya que no hay nada mas aquí publicado o se entrega a ful velocidad eso no lo tengo claro y mejoraria la velocidad del internet, y gracias por tu aporte
Cita de: venezu en Julio 24, 2016, 07:16:07 AMPUES CLARO...ASÍ TE EVITARÍA TANTAS REGLAS Y SERIA MAS FLUIDO CON 2 TARJETA DE RED..
saludos amigo walyn, hay alguna forma de liberar o hacer full cache de raptor en modo gateway colocado antes de mikrotik, me explico:
internet===== raptor====== mikrotik====== clientes
Cita de: WALYN en Julio 24, 2016, 02:30:12 PMok pero como hago para identificar los hits en mk por la wan y liberar el ful cache a los usuarios y no se los entregue a la velocidad asignada
PUES CLARO...ASÍ TE EVITARÍA TANTAS REGLAS Y SERIA MAS FLUIDO CON 2 TARJETA DE RED..
Cita de: venezu en Julio 24, 2016, 04:13:37 PMYa en ese modo solo lo veras en el raptor lo que es de raptor...pasara el cable del raptor a mikrotik como si de Internet fuese..
ok pero como hago para identificar los hits en mk por la wan y liberar el ful cache a los usuarios y no se los entregue a la velocidad asignada
Cita de: WALYN en Agosto 05, 2016, 08:13:51 PMEn realidad hace mucho que se puede configurar en modo bridge el Raptor, lo puedes hacer con ebtables e iptables, por algo ya viene instalado por defecto en la instalación de Raptor; tal vez lo que falta es el tutorial oficial.
le informo que me boy para thundercache 7.2 ya que es muy estable y ya biene con modo briger hace mucho ..que era lo que yo queria ...por que cuando lansaron el thunder 7 no era posible en ads ponerlo en modo brige pero ya si..pero no me ire de todo estare viendo de ves encuando de como va el raptor..pero no lloren..le seguire contestando...
Cita de: luistec en Agosto 06, 2016, 04:31:17 PM8) también te falto borra el mensaje de arriba... donde dije::::(boy para thundercache 7.2)
En realidad hace mucho que se puede configurar en modo bridge el Raptor, lo puedes hacer con ebtables e iptables, por algo ya viene instalado por defecto en la instalación de Raptor; tal vez lo que falta es el tutorial oficial.
Saludos
Cita de: WALYN en Agosto 10, 2016, 10:17:23 PMSr. entendemos el sarcasmo, lea las reglas del foro; creo ya es un usuario antiguo para esto. Hay sistemas para cada usuario, si desea puede abrir un tema en su debido área.
8) también te falto borra el mensaje de arriba... donde dije::::(boy para thundercache 7.2)
Cita de: luistec en Agosto 10, 2016, 10:43:42 PM
Sr. entendemos el sarcasmo, lea las reglas del foro; creo ya es un usuario ya antiguo para esto. Hay sistemas para cada usuario, si desea puede abrir un tema en su debido área.
Saludos.
Cita de: WALYN en Agosto 10, 2016, 10:46:28 PM
ok
Cita de: rubennoboa en Octubre 03, 2016, 04:31:24 PMyo creo que debe ser algo semejante a este diagrama de la imagen de esta pagina
ayudaaaaaaaaaaaaaaaaaaaaaa alguien que me pueda decir como funciona en modo gateway...