{"id":2312,"date":"2015-01-14T23:33:08","date_gmt":"2015-01-15T01:33:08","guid":{"rendered":"http:\/\/www.viazap.com.br\/?p=2312"},"modified":"2015-01-14T23:33:53","modified_gmt":"2015-01-15T01:33:53","slug":"proxy-em-paralelo-com-o-mikrotik","status":"publish","type":"post","link":"https:\/\/blog.clusterweb.com.br\/?p=2312","title":{"rendered":"PROXY EM PARALELO COM O MIKROTIK"},"content":{"rendered":"

PR\u00c9-REQUISITOS E PASSOS INICIAIS<\/h1>\n

Resolvi escrever este artigo por 2 raz\u00f5es, a primeira \u00e9 que o mikrotik<\/i> (do qual sou f\u00e3 incondicional) n\u00e3o \u00e9 um bom sistema para proxy (exclusivamente na minha opini\u00e3o) quando comparado a qualquer outra distribui\u00e7\u00e3o, no caso a minha preferida \u00e9 o Debian, o outro motivo \u00e9 que precisei de muito tempo pra chegar a este “conjunto” e deix\u00e1-lo funcionando e tenho visto a necessidade de muitos em montar algo semelhante, ent\u00e3o espero que este pequeno artigo possa ajudar.<\/p>\n

Claro que para esta montagem seu servidor (roteador) tem que ser mikrotik vers\u00e3o 3.X, tendo uma placa onde recebe o link da operadora, uma placa exclusiva para comunica\u00e7\u00e3o com o proxy (ponto a ponto) e uma terceira que servir\u00e1 o acesso ao clientes diretamente. N\u00e3o vamos nos prender a configura\u00e7\u00e3o dos clientes, controle de clientes, controle de banda, nem a entrada de link , nem load balance etc, mas trataremos neste artigo supondo que seu servidor j\u00e1 tenha isto configurado e funcionando, vamos tratar as configura\u00e7\u00f5es necess\u00e1rias para que o mikrotik controle o proxy, e o computador onde estar\u00e1 o proxy com Debian.
\n<\/p>\n

TOPOLOGIA VISUAL<\/h1>\n

Nesta imagem, s\u00f3 pra entendermos melhor a topologia que usaremos, fica claro onde chega o link, \u00e9 tratado pelo mikrotik, quando necess\u00e1rio \u00e9 enviado ao segundo servidor que de forma isolada somente faz o armazenamento com o Squid, e enfim \u00e9 enviado aos clientes.<\/p>\n<\/div>\n

 <\/p>\n

ADICIONANDO AS REGRAS AO MIKROTIK PARA “CONVERSAR” COM O PROXY<\/center>
<\/center><\/div>\n

Precisamos criar uma classe de rede em que somente existam o mikrotik e proxy, com uma classe que n\u00e3o permita uma terceira m\u00e1quina.<\/p>\n

Em IP > ADDRESSES clique no + e adicione um ip 192.168.10.1\/30, na op\u00e7\u00e3o interface escolha a placa de rede que esta ligada fisicamente ao proxy (ex: ether2).Agora precisamos dar internet ilimitada a esta classe, de forma que seu proxy possa ser abastecido de link com internet pra todos seus clientes, mas note, n\u00e3o fazemos nenhuma limita\u00e7\u00e3o de banda na entrada de link do servidor proxy, mas seu mikrotik deve fazer esta limita\u00e7\u00e3o para os clientes por algum servidor habilitado, hotspot (portal captive) ou pppoe etc. A cria\u00e7\u00e3o destes servidores \u00e9 t\u00f3pico para um outro artigo.<\/p>\n

V\u00e1 em Firewall, dentro da aba NAT, clique em + , na janela a seguir, na primeira aba chamada GENERAL, no campo CHAIN escolha a op\u00e7\u00e3o SRCNAT, na op\u00e7\u00e3o SRC. ADDRESS coloque 192.168.10.0\/30, v\u00e1 at\u00e9 a aba ACTION E selecione MASQUERADE.<\/p>\n

Agora temos internet dispon\u00edvel para instala\u00e7\u00e3o do proxy na etapa que se segue.<\/p>\n<\/div>\n

 <\/p>\n

INSTALA\u00c7\u00c3O E CONFIGURA\u00c7\u00c3O INICIAL DO PROXY<\/h1>\n

 <\/p>\n

Como citado antes, este servidor precisa somente do sistema b\u00e1sico, ent\u00e3o baixe o cd do Debian<\/i> intitulado netinstall<\/i>, procure (http:\/\/www.debian.org\/CD\/http-ftp\/#stable<\/a>) a vers\u00e3o para o seu processador, instale somente o sistema b\u00e1sico.IMPORTANTE: Coloque o ip 192.168.10.2 com m\u00e1scara de sub rede \/30 (255.255.255.252), gateway 192.168.10.1 e dns 192.168.10.1, depois de instalado use o apt para instalar o Squid.<\/p>\n

# apt-get update
\n# apt-get install squid<\/b><\/p>\n

Este comando atualiza as listas de fontes e baixa tudo que \u00e9 necess\u00e1rio para que o proxy funcione, e instala tamb\u00e9m.<\/p>\n

Seu Debian j\u00e1 esta ativo, falta configur\u00e1-lo.<\/p>\n<\/div>\n

 <\/p>\n

CONFIGURANDO O SQUID<\/h1>\n

 <\/p>\n

Temos agora que configurar o proxy, vou postar um exemplo bem simples agora de squid.conf<\/i>, voc\u00ea poder\u00e1 alter\u00e1-lo, mas configura\u00e7\u00f5es de seguran\u00e7a seriam desperdi\u00e7adas um vez que o mikrotik far\u00e1 o controle.<\/p>\n
#Inicio do script<\/span>
\n#Squid.conf gerado por Datanet Solu\u00e7\u00f5es – Andre A. Ferreira<\/span>
\n#Contato (35) 8857-3763<\/span>
\n#<\/span>
\n#Script gerado para configura\u00e7\u00e3o simples com mikrotik em paralelo com<\/span>
\n# regras de seguran\u00e7a, iptables, etc. executadas no mikrotik.<\/span>http_port 5128
\nvisible_hostname webproxy<\/p>\n

acl all src 0.0.0.0\/0.0.0.0
\nacl manager proto cache_object
\nacl localhost src 127.0.0.1\/255.255.255.255
\nacl SSL_ports port 443 563
\nacl Safe_ports port 80
\nacl Safe_ports port 21
\nacl Safe_ports port 443 563
\nacl Safe_ports port 70 #protocolo gopher antig\u00e3o<\/span>
\nacl Safe_ports port 210 #whais<\/span>
\nacl Safe_ports port 1024-65535 #todas as outras portas<\/span>
\nacl Safe_ports port 280 #http-mgmt<\/span>
\nacl Safe_ports port 488 #gss-http<\/span>
\nacl Safe_ports port 591 #filemaker<\/span>
\nacl Safe_ports port 777 #multi http<\/span>
\nacl Safe_ports port 901 #acesso Swat<\/span>
\nacl purge method PURGE
\nacl CONNECT method CONNECT
\nhttp_access allow manager localhost
\nhttp_access deny manager
\nhttp_access allow purge localhost
\nhttp_access deny purge
\nhttp_access deny !Safe_ports
\nhttp_access deny CONNECT !SSL_PORTS<\/p>\n

#permiss\u00e3o de acesso ao proxy, troque 0.0.0.0\/0 pela sua <\/span>
\n#classe de rede ou classes separadas por espa\u00e7os.<\/span>
\nacl redelocal src 192.168.10.1
\nhttp_access allow localhost
\nhttp_access allow redelocal<\/p>\n

#bloquear todos outros acessos.<\/span>
\nhttp_access deny all<\/p>\n

#memoria reservada para o cache, coloque um valor de preferencia 40% <\/span>
\n# do total da sua maquina, e n\u00e3o mais.<\/span>
\ncache_mem 512 MB<\/p>\n

#m\u00e1ximo tamanho dos arquivo cache na memoria<\/span>
\nmaximum_object_size_in_memory 128 KB<\/p>\n

#m\u00e1ximo tamanho dos arquivo cache no hd<\/span>
\nmaximum_object_size 20 MB
\nminimum_object_size 0 KB<\/p>\n

#regra que come\u00e7a a esvaziar \/ substituir arquivos no cache em 90%<\/span>
\ncache_swap_low 90
\ncache_swap_high 95<\/p>\n

#indica\u00e7\u00e3o de localiza\u00e7\u00e3o da pasta de arquivos cache e em sequ\u00eancia valor <\/span>
\n#total em MB de espa\u00e7o no hd a ser usado pelo cache, numero de pastas, e<\/span>
\n#numero de subpastas do cache.<\/span>
\ncache_dir ufs \/var\/spool\/squid 24048 256 512<\/p>\n

#intervalos de tempos que o proxy verificara os arquivos dos site acessado<\/span>
\n#conferem com o do cache, o valor 4560 significa 04 dias<\/span>
\nrefresh_pattern ^ftp: 15 20% 4560
\nrefresh_pattern ^gopher: 15 0% 4560
\nrefresh_pattern . 15 20% 4560<\/p>\n<\/div>\n

Entre no arquivo \/etc\/squid\/squid.conf e copie\/cole o script acima.<\/p>\n

Como est\u00e1 bem comentado ele pode ser alterado por voc\u00ea mesmo para ajust\u00e1-lo por exemplo ao tamanho do seu hd.<\/p>\n

Vamos agora a terminar a configura\u00e7\u00e3o no mikrotik na pr\u00f3xima p\u00e1gina…<\/p>\n<\/div>\n

 <\/p>\n

TERMINANDO A CONFIGURA\u00c7\u00c3O NO MIKROTIK<\/h1>\n

 <\/p>\n

Agora temos que ajustar alguns par\u00e2metros, com o winbox aberto v\u00e1 em IP > WEB PROXY > SETTINGS.Confira na imagem como dever\u00e3o ficar os campos:<\/p>\n

\"\"<\/center>Pronto, seu proxy tem comunica\u00e7\u00e3o com o mikrotik e est\u00e1 apto a atender clientes, vamos as configura\u00e7\u00f5es para que os clientes passem pelo proxy.<\/p>\n

Vamos supor que a rede que voc\u00ea tem configurada para seus clientes \u00e9 10.0.0.0\/24 (cliente 1 = 10.0.0.2\/24, cliente 2 =10.0.0.3\/24 etc…), tamb\u00e9m vamos pegar o primeiro ip desta classe como o configurado em IP ADDRESS ou seja 10.0.0.1\/24.<\/p>\n

Precisamos primeiro permitir que esta classe acesse o proxy:<\/p>\n

V\u00e1 em IP > WEB PROXY, na aba ACCESS clique em +, j\u00e1 janela seguinte adicione a classe 10.0.0.0\/24 no campo SRC-ADDRESS, na op\u00e7\u00e3o action deixe em ALLOW.<\/p>\n

Agora vamos barrar qualquer outra classe para acesso ao proxy:<\/p>\n

Clique novamente no + e na deixe todos os campos como est\u00e3o, somente altere a op\u00e7\u00e3o action para DENY.<\/p>\n

Precisamos agora direcionar todo o trafego da porta 80 para o proxy, v\u00e1 em IP > FIREWALL > aba NAT clique em + e coloque exatamente como esta na imagem abaixo:<\/p>\n

\"\"<\/a><\/center>Nas imagens acima, na aba GENERAL temos um campo marcado com um [!] escrito IP V\u00c1LIDO DO SEU SERVIDOR, troque esta mensagem pelo IP v\u00e1lido que voc\u00ea est\u00e1 utilizando nesta m\u00e1quina e mantenha o [!], no campo interfaces, onde na imagem aparece REDE_8 troque pela interface que atende diretamente seus clientes (ex: ether3).<\/p>\n

Agora temos que bloquear o acesso externo ao proxy, esta regra \u00e9 muito importante, clique na aba FILTER RULES e clique no +, coloque exatamente como na figura abaixo:<\/p>\n

\"\"<\/a><\/center>Prontinho, seu servidor mikrotik j\u00e1 est\u00e1 utilizando proxy em paralelo, na p\u00e1gina seguinte teremos considera\u00e7\u00f5es importantes sobre uso.<\/p>\n<\/div>\n

 <\/p>\n

CONSIDERA\u00c7\u00d5ES FINAIS<\/h1>\n

 <\/p>\n

A sua m\u00e1quina em Debian (Squid) estar\u00e1 sendo acessada somente pelo mikrotik, ent\u00e3o se voc\u00ea quiser acessar remotamente ela dentro da sua rede (rede de clientes) pode fazer via SSH de qualquer parte da rede (a menos que exista uma regra no seu firewall dizendo o contr\u00e1rio), por\u00e9m quando o acesso \u00e9 externo temos que primeiro utilizar o mikrotik, acessando remotamente pelo ip v\u00e1lido e pelo WINBOX, clicando no menu TELNET temos a op\u00e7\u00e3o de acesso por SSH, clique nela coloque o ip do seu servidor (192.168.10.2) o usu\u00e1rio abaixo (root), lembrando tamb\u00e9m que na op\u00e7\u00e3o de instala\u00e7\u00e3o do Debian voc\u00ea s\u00f3 instalou o sistema b\u00e1sico, ent\u00e3o em via local (pelo teclado e monitor local) use os comandos:# apt-get update
\n# apt-get install ssh<\/b><\/p>\n

Pronto, o procedimento descrito acima j\u00e1 \u00e9 poss\u00edvel e voc\u00ea j\u00e1 pode descartar a necessidade de uso de um teclado e monitor para a m\u00e1quina Debian.<\/p>\n

A seguran\u00e7a da m\u00e1quina proxy (Debian \/ squid) \u00e9 afetada somente pelo script de configura\u00e7\u00e3o de Firewall do seu mikrotik, toda seguran\u00e7a que voc\u00ea tiver no firewall tamb\u00e9m ser\u00e1 aplicada a m\u00e1quina do proxy, j\u00e1 que ela est\u00e1 sob um nat e n\u00e3o possui ip v\u00e1lido.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

PR\u00c9-REQUISITOS E PASSOS INICIAIS Resolvi escrever este artigo por 2 raz\u00f5es, a primeira \u00e9 que o mikrotik (do qual sou f\u00e3 incondicional) n\u00e3o \u00e9 um bom sistema para proxy (exclusivamente na minha opini\u00e3o) quando comparado a qualquer outra distribui\u00e7\u00e3o, no caso a minha preferida \u00e9 o Debian, o outro motivo \u00e9 que precisei de muito […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[730,1,79,51,415,495,514,85,68,271,111,548],"tags":[349,369,297,698,822,87],"class_list":["post-2312","post","type-post","status-publish","format-standard","hentry","category-clusterweb","category-viazap","category-firewall","category-linux-linuxrs","category-mikrotik-2","category-profissional-de-ti","category-programacao","category-proxy","category-redes-2","category-seguranca-2","category-squid-2","category-ubuntu-2","tag-com","tag-em","tag-mikrotik","tag-o","tag-paralelo","tag-proxy-2"],"_links":{"self":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/2312","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2312"}],"version-history":[{"count":2,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/2312\/revisions"}],"predecessor-version":[{"id":2314,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/2312\/revisions\/2314"}],"wp:attachment":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2312"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2312"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2312"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}