Redirección RaptorCache por Mangle

Publicado por joemg6, Mayo 28, 2013, 10:46:40 AM

Tema anterior - Siguiente tema

joemg6

Redirección RaptorCache 2 por Mangle

Al usar esta redirección es necesario configurar el firewall de RaptorCache, para eso vamos a usar el siguiente esquema para identificar la red Lan de acuerdo a su segmento de red por su clase (CIDR), entonces sería 192.168.1.0/24 si se usa como Máscara de subred 255.255.255.0

Entonces solo remplazamos el segmento que viene por defecto por el que estemos usando y también vefificamos el nombre de nuestra interface de red del servidor Raptor, en este caso es eth0(se puede verificar con el comando "ifconfig"), y nos quedaría como la siguiente imagen


En el caso que tengamos más de un segmento de red, solo agregamos reglas adicionales agregando los segmentos restantes, por ej.


Si se quiere editar manualmente pueden hacerlo en el archivo "etc/raptor/fw.sh"
y quedaría de la siguiente manera
Código (bash) [Seleccionar]

#!/bin/bash
echo ";;;;;;;;;;;;;;;;;;;;;;;"
echo ";     RaptorCache     ;"
echo ";;;;;;;;;;;;;;;;;;;;;;;"

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -X
iptables -Z
iptables -t nat -F

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT


iptables -A INPUT -i lo -j ACCEPT #comment#Localhost

# -----------------------------| Redireccion por mangle |----------------------------------
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT #comment#Input LAN 
iptables  -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 #comment#Redirect 3128
iptables -A FORWARD -i eth0 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
# -----------------------------------------------------------------------------------------



En Mikrotik se ingresan las siguientes reglas
En la regla de Mangle modificar el in-interface por el nombre que estén usando
Código (mk) [Seleccionar]

/ip route
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.10.2 routing-mark=raptor_route scope=30 target-scope=10
/ip firewall mangle
add action=mark-routing chain=prerouting comment="Raptor - Mangle ====================>" disabled=no dst-port=80 in-interface=LAN new-routing-mark=raptor_route passthrough=no protocol=tcp
add action=mark-connection chain=forward comment="== RAPTORCACHE ==" content="X-Cache: HIT from Raptor" disabled=no new-connection-mark=raptor-connection passthrough=yes
add action=mark-packet chain=forward connection-mark=raptor-connection disabled=no new-packet-mark=raptor-packs passthrough=no
/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=4M name="RaptorCache" packet-mark=raptor-packs parent=global-out priority=4 queue=default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=4M name="Squid 3.x" packet-mark=squid-packs parent=global-out priority=4 queue=default






RaptorCache Developer

kurss

Muchas gracias por el aporte.

Pero tiene alguna ventaja hacer el redirect de esta forma??

Saludos.

joemg6

Cita de: kurss en Mayo 28, 2013, 11:44:07 AM
Muchas gracias por el aporte.

Pero tiene alguna ventaja hacer el redirect de esta forma??

Saludos.
La redirección por mangle es más eficiente con respecto al consumo del procesador, también hay configuraciones en el mangle que se adecuan más por esta redirección.
RaptorCache Developer

tonyvzla

Gracias joem, esto es valido solo con debian 7? esto sustituye el redireccionamiento de las primeras instalaciones? saludos
En ayuda de los mas desprotegidos

ingjaab

Mueres siendo un héroe, o vives lo suficiente para convertirte en villano

ninohwifi

La ventaja de esta redireccion es que consume menos procesador que la redireccion por nat ?? alguna otra ventaja ??

kurss

Cita de: ingjaab en Mayo 29, 2013, 10:49:20 PM
eres lo maximo,  :-*

Yo he probado en Debian 6, el de la primera instalación en 32 Bits y no me ha funcionado, no me redireccionaba ningún cliente al Raptor. Tuve que volver a la redireccion por NAT.

Saludos.

carlx

#Aceptamos la red local
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

en esa regla no debería ser así:
iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT????

joemg6

Cita de: kurss en Mayo 31, 2013, 12:57:25 PM
Yo he probado en Debian 6, el de la primera instalación en 32 Bits y no me ha funcionado, no me redireccionaba ningún cliente al Raptor. Tuve que volver a la redireccion por NAT.

Saludos.
Fíjate si estan funcionando tus reglas de iptables

iptables -L -n

También fijarse que en las reglas del mikrotik esten especificadas bien los datos con respecto a tu red (ip y interfaces)
RaptorCache Developer

joemg6

Cita de: carlx en Junio 04, 2013, 04:14:42 PM
#Aceptamos la red local
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

en esa regla no debería ser así:
iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT????

Eso sería en el caso que la red local sea la misma que del servidor, lo que debemos de especificar es la red local de los usuarios, sería interesante abrir un post de iptables para así tener un firewall más personalizado.
RaptorCache Developer

carlx


tonyvzla

Buenas tarde amigos, hoy decidi hacerle pruebas al raptor con Deb.7, solo coloque el marcado que dejo el amigo joemg lo demas lo re-configure para que trabajara con la nueva ip, quiere decir que deje nat y agregue la regla que arriba se menciona, resulta que el squid no esta generando trafico, alguna ayuda con esto:





Alguna otra cosa adicional? gracias por su ayuda
En ayuda de los mas desprotegidos

tonyvzla

Tambien probe por mangle y me deja sin internet, alguien que lo halla hecho por uno u otro metodo que este funcionando 100%? gracias
En ayuda de los mas desprotegidos

joemg6

Se ha actualizado la información, para los que han tenido problemas con este redireccionamiento y el marcado del squid por TOS-12, se ha incluido un video donde se muestra la configuración y su funcionamiento.
RaptorCache Developer

cmoya

funciona para debian 6.0.7 confirmeme por favor, Dios le Bendiga, o si no como hacemos para actualizar squid y funcione tambien el qos ya da error tambien el qos su ayuda por favor o es solo para debian 7

luistec

Cita de: cmoya en Junio 11, 2013, 02:58:55 PM
funciona para debian 6.0.7 confirmeme por favor, Dios le Bendiga, o si no como hacemos para actualizar squid y funcione tambien el qos ya da error tambien el qos su ayuda por favor o es solo para debian 7
El detalle es que en debian 6 sus repositorios te instalan el squid v. 3.1.6, si quieres utilizar el marcado por tos en debian 6 tienes que compilar el squid (minimo la versión 3.1.18), en el caso del debian 7 sus repositorios instalan el squid 3.1.20.

Saludos.

cmoya

Es la unica opcion disculpa podra postearla para verla todos si es tan amable y gracias por responder Dios le Bendiga

cmoya

Cita de: luistec en Junio 11, 2013, 03:09:29 PM
El detalle es que en debian 6 sus repositorios te instalan el squid v. 3.1.6, si quieres utilizar el marcado por tos en debian 6 tienes que compilar el squid (minimo la versión 3.1.18), en el caso del debian 7 sus repositorios instalan el squid 3.1.20.

Saludos.

pPodria ayudarme como hacerlo y postear la solucion por favor Dios le Bendiga o como actualizar a debian 7 tenga la bondad de postear y nosotros poder hacer eso

ZonawifiSDP

tengo problemas al utilizar putty o kitty... yo utilice una dirección ip distinta a la de la instalación, sin embargo puedo acceder al webpanel, no se que estoy haciendo mal, trato de ingresar median SSH y nada, si alguien puede decirme que pasa se lo agradezco  :-*

luistec

Cita de: ZonawifiSDP en Junio 13, 2013, 09:26:11 PM
tengo problemas al utilizar putty o kitty... yo utilice una dirección ip distinta a la de la instalación, sin embargo puedo acceder al webpanel, no se que estoy haciendo mal, trato de ingresar median SSH y nada, si alguien puede decirme que pasa se lo agradezco  :-*
Tienes que ingresar con el IP del servidor y como usuario root, o en todo caso desde el mismo terminal del servidor.

Saludos.