Redirección RaptorCache por Mangle

[joemg6]

Redirección RaptorCache 2 por Mangle

Al usar esta redirección es necesario configurar el firewall de RaptorCache, para eso vamos a usar el siguiente esquema para identificar la red Lan de acuerdo a su segmento de red por su clase (CIDR), entonces sería 192.168.1.0/24 si se usa como Máscara de subred 255.255.255.0

Entonces solo remplazamos el segmento que viene por defecto por el que estemos usando y también vefificamos el nombre de nuestra interface de red del servidor Raptor, en este caso es eth0(se puede verificar con el comando "ifconfig"), y nos quedaría como la siguiente imagen


En el caso que tengamos más de un segmento de red, solo agregamos reglas adicionales agregando los segmentos restantes, por ej.


Si se quiere editar manualmente pueden hacerlo en el archivo "etc/raptor/fw.sh"
y quedaría de la siguiente manera

Código:

1. #!/bin/bash
2. echo ";;;;;;;;;;;;;;;;;;;;;;;"
3. echo ";     RaptorCache     ;"
4. echo ";;;;;;;;;;;;;;;;;;;;;;;"
5.  
6. echo 1 > /proc/sys/net/ipv4/ip_forward
7.  
8. iptables -F
9. iptables -X
10. iptables -Z
11. iptables -t nat -F
12.  
13. iptables -P INPUT ACCEPT
14. iptables -P OUTPUT ACCEPT
15. iptables -P FORWARD ACCEPT
16. iptables -t nat -P PREROUTING ACCEPT
17. iptables -t nat -P POSTROUTING ACCEPT
18.  
19.  
20. iptables -A INPUT -i lo -j ACCEPT #comment#Localhost
21.  
22. # -----------------------------| Redireccion por mangle |----------------------------------
23. iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT #comment#Input LAN  
24. iptables  -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 #comment#Redirect 3128
25. iptables -A FORWARD -i eth0 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
26. # -----------------------------------------------------------------------------------------
27.  
28.  

En Mikrotik se ingresan las siguientes reglas
En la regla de Mangle modificar el in-interface por el nombre que estén usando

Código:

1. /ip route
2. add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.10.2 routing-mark=raptor_route scope=30 target-scope=10
3. /ip firewall mangle
4. add action=mark-routing chain=prerouting comment="Raptor - Mangle ====================>" disabled=no dst-port=80 in-interface=LAN new-routing-mark=raptor_route passthrough=no protocol=tcp
5. add action=mark-connection chain=forward comment="== RAPTORCACHE ==" content="X-Cache: HIT from Raptor" disabled=no new-connection-mark=raptor-connection passthrough=yes
6. add action=mark-packet chain=forward connection-mark=raptor-connection disabled=no new-packet-mark=raptor-packs passthrough=no
7. /queue tree
8. add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=4M name="RaptorCache" packet-mark=raptor-packs parent=global-out priority=4 queue=default
9. add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=4M name="Squid 3.x" packet-mark=squid-packs parent=global-out priority=4 queue=default

[kurss]

Muchas gracias por el aporte.

Pero tiene alguna ventaja hacer el redirect de esta forma??

Saludos.

[joemg6]

Muchas gracias por el aporte.

Pero tiene alguna ventaja hacer el redirect de esta forma??

Saludos.

La redirección por mangle es más eficiente con respecto al consumo del procesador, también hay configuraciones en el mangle que se adecuan más por esta redirección.

[tonyvzla]

Gracias joem, esto es valido solo con debian 7? esto sustituye el redireccionamiento de las primeras instalaciones? saludos

[ingjaab]

eres lo maximo, 

[ninohwifi]

La ventaja de esta redireccion es que consume menos procesador que la redireccion por nat ?? alguna otra ventaja ??

[kurss]

eres lo maximo,  

Yo he probado en Debian 6, el de la primera instalación en 32 Bits y no me ha funcionado, no me redireccionaba ningún cliente al Raptor. Tuve que volver a la redireccion por NAT.

Saludos.

[carlx]

#Aceptamos la red local
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

en esa regla no debería ser así:
iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT?

[joemg6]

Yo he probado en Debian 6, el de la primera instalación en 32 Bits y no me ha funcionado, no me redireccionaba ningún cliente al Raptor. Tuve que volver a la redireccion por NAT.

Saludos.

Fíjate si estan funcionando tus reglas de iptables

Código: [Seleccionar]

iptables -L -n
También fijarse que en las reglas del mikrotik esten especificadas bien los datos con respecto a tu red (ip y interfaces)

[joemg6]

#Aceptamos la red local
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

en esa regla no debería ser así:
iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT?

Eso sería en el caso que la red local sea la misma que del servidor, lo que debemos de especificar es la red local de los usuarios, sería interesante abrir un post de iptables para así tener un firewall más personalizado.

[carlx]

gracias por la aclaratoria

[tonyvzla]

Buenas tarde amigos, hoy decidi hacerle pruebas al raptor con Deb.7, solo coloque el marcado que dejo el amigo joemg lo demas lo re-configure para que trabajara con la nueva ip, quiere decir que deje nat y agregue la regla que arriba se menciona, resulta que el squid no esta generando trafico, alguna ayuda con esto:





Alguna otra cosa adicional? gracias por su ayuda

[tonyvzla]

Tambien probe por mangle y me deja sin internet, alguien que lo halla hecho por uno u otro metodo que este funcionando 100%? gracias

[joemg6]

Se ha actualizado la información, para los que han tenido problemas con este redireccionamiento y el marcado del squid por TOS-12, se ha incluido un video donde se muestra la configuración y su funcionamiento.

[cmoya]

funciona para debian 6.0.7 confirmeme por favor, Dios le Bendiga, o si no como hacemos para actualizar squid y funcione tambien el qos ya da error tambien el qos su ayuda por favor o es solo para debian 7

[luistec]

funciona para debian 6.0.7 confirmeme por favor, Dios le Bendiga, o si no como hacemos para actualizar squid y funcione tambien el qos ya da error tambien el qos su ayuda por favor o es solo para debian 7

El detalle es que en debian 6 sus repositorios te instalan el squid v. 3.1.6, si quieres utilizar el marcado por tos en debian 6 tienes que compilar el squid (minimo la versión 3.1.18), en el caso del debian 7 sus repositorios instalan el squid 3.1.20.

Saludos.

[cmoya]

Es la unica opcion disculpa podra postearla para verla todos si es tan amable y gracias por responder Dios le Bendiga

[cmoya]

El detalle es que en debian 6 sus repositorios te instalan el squid v. 3.1.6, si quieres utilizar el marcado por tos en debian 6 tienes que compilar el squid (minimo la versión 3.1.18), en el caso del debian 7 sus repositorios instalan el squid 3.1.20.

Saludos.

pPodria ayudarme como hacerlo y postear la solucion por favor Dios le Bendiga o como actualizar a debian 7 tenga la bondad de postear y nosotros poder hacer eso

[ZonawifiSDP]

tengo problemas al utilizar putty o kitty... yo utilice una dirección ip distinta a la de la instalación, sin embargo puedo acceder al webpanel, no se que estoy haciendo mal, trato de ingresar median SSH y nada, si alguien puede decirme que pasa se lo agradezco 

[luistec]

tengo problemas al utilizar putty o kitty... yo utilice una dirección ip distinta a la de la instalación, sin embargo puedo acceder al webpanel, no se que estoy haciendo mal, trato de ingresar median SSH y nada, si alguien puede decirme que pasa se lo agradezco 

Tienes que ingresar con el IP del servidor y como usuario root, o en todo caso desde el mismo terminal del servidor.

Saludos.