Proxy em paralelo com o mikrotik

Autor: Andr A. Ferreira <andre at sempredejesus.com.br> Data: 25/04/2008 Pr-requisitos e passos iniciais Reso !i escre!er este arti"o por 2 ra#$es% a primeira &ue o mikrotik 'do &ua sou () incondiciona * n)o um bom sistema para pro+, 'e+c usi!amente na min-a opini)o* &uando comparado a &ua &uer outra distribui.)o% no caso a min-a pre(erida o Debian% o outro moti!o &ue precisei de muito tempo pra c-e"ar a este /conjunto/ e dei+01 o (uncionando e ten-o !isto a necessidade de muitos em montar a "o seme -ante% ent)o espero &ue este pe&ueno arti"o possa ajudar. 2 aro &ue para esta monta"em seu ser!idor 'roteador* tem &ue ser mi3roti3 !ers)o 4.5% tendo uma p aca onde recebe o in3 da operadora% uma p aca e+c usi!a para comunica.)o com o pro+, 'ponto a ponto* e uma terceira &ue ser!ir0 o acesso ao c ientes diretamente. 6)o !amos nos prender a con(i"ura.)o dos c ientes% contro e de c ientes% contro e de banda% nem a entrada de in3 % nem oad ba ance etc% mas trataremos neste arti"o supondo &ue seu ser!idor j0 ten-a isto con(i"urado e (uncionando% !amos tratar as con(i"ura.$es necess0rias para &ue o mi3roti3 contro e o pro+,% e o computador onde estar0 o pro+, com Debian.

Topologia visual
6esta ima"em% s7 pra entendermos me -or a topo o"ia &ue usaremos% (ica c aro onde c-e"a o in3% tratado pe o mi3roti3% &uando necess0rio en!iado ao se"undo ser!idor &ue de (orma iso ada somente (a# o arma#enamento com o 8&uid% e en(im en!iado aos c ientes.

Adicionando as regras ao mikrotik para "conversar" com o proxy 9recisamos criar uma c asse de rede em &ue somente e+istam o mi3roti3 e pro+,% com uma c asse &ue n)o permita uma terceira m0&uina. :m ;9 > ADDR:88:8 c i&ue no < e adicione um ip =>2.=?8.=0.=/40% na op.)o inter(ace esco -a a p aca de rede &ue esta i"ada (isicamente ao pro+, 'e+: et-er2*. A"ora precisamos dar internet i imitada a esta c asse% de (orma &ue seu pro+, possa ser abastecido de in3 com internet pra todos seus c ientes% mas note% n)o (a#emos nen-uma imita.)o de banda na entrada de in3 do ser!idor pro+,% mas seu mi3roti3 de!e (a#er esta imita.)o para os c ientes por a "um ser!idor -abi itado% -otspot 'porta capti!e* ou pppoe etc. A cria.)o destes ser!idores t7pico para um outro arti"o. @0 em FireAa % dentro da aba 6AB% c i&ue em < % na jane a a se"uir% na primeira aba c-amada C:6:RAD% no campo 2EA;6 esco -a a op.)o 8R26AB% na op.)o 8R2. ADDR:88 co o&ue =>2.=?8.=0.0/40% !0 at a aba A2B;F6 : se ecione GA8HI:RAD:. A"ora temos internet disponJ!e para insta a.)o do pro+, na etapa &ue se se"ue.

Instalao e configurao inicial do proxy 2omo citado antes% este ser!idor precisa somente do sistema b0sico% ent)o bai+e o cd do Debian intitu ado netinstall% procure '-ttp://AAA.debian.or"/2D/-ttp1(tp/Kstab e* a !ers)o para o seu processador% insta e somente o sistema b0sico% se &uiser pode se"uir este passo a passo do meu +ar0 Andr Ricardo% se"ue o in3:

;nsta a.)o do Debian C6I/Dinu+ 1 9asso a passo

;G9FRBA6B:: 2o o&ue o ip =>2.=?8.=0.2 com m0scara de sub rede /40 '255.255.255.252*% "ateAa, =>2.=?8.=0.= e dns =>2.=?8.=0.=% depois de insta ado use o apt para insta ar o 8&uid. apt-get update apt-get install squid :ste comando atua i#a as istas de (ontes e bai+a tudo &ue necess0rio para &ue o pro+, (uncione% e insta a tambm. 8eu Debian j0 esta ati!o% (a ta con(i"ur01 o.

!onfigurando o "quid Bemos a"ora &ue con(i"urar o pro+,% !ou postar um e+emp o bem simp es a"ora de squid.conf% !ocL poder0 a ter01 o% mas con(i"ura.$es de se"uran.a seriam desperdi.adas um !e# &ue o mi3roti3 (ar0 o contro e. K;nicio do script K8&uid.con( "erado por Datanet 8o u.$es 1 Andre A. Ferreira K2ontato '45* 885M14M?4 K K8cript "erado para con(i"ura.)o simp es com mi3roti3 em para e o com K re"ras de se"uran.a% iptab es% etc. e+ecutadas no mi3roti3. -ttpNport 5=28 !isib eN-ostname Aebpro+, ac a src 0.0.0.0/0.0.0.0 ac mana"er proto cac-eNobject ac oca -ost src =2M.0.0.=/255.255.255.255 ac 88DNports port 444 5?4 ac 8a(eNports port 80 ac 8a(eNports port 2= ac 8a(eNports port 444 5?4 ac 8a(eNports port M0 Kprotoco o "op-er anti")o ac 8a(eNports port 2=0 KA-ais ac 8a(eNports port =0241?5545 Ktodas as outras portas ac 8a(eNports port 280 K-ttp1m"mt ac 8a(eNports port 488 K"ss1-ttp ac 8a(eNports port 5>= K(i ema3er ac 8a(eNports port MMM Kmu ti -ttp ac 8a(eNports port >0= Kacesso 8Aat ac pur"e met-od 9IRC: ac 2F66:2B met-od 2F66:2B -ttpNaccess a oA mana"er oca -ost -ttpNaccess den, mana"er -ttpNaccess a oA pur"e oca -ost -ttpNaccess den, pur"e -ttpNaccess den, O8a(eNports -ttpNaccess den, 2F66:2B O88DN9FRB8 Kpermiss)o de acesso ao pro+,% tro&ue 0.0.0.0/0 pe a sua Kc asse de rede ou c asses separadas por espa.os.

ac rede oca src =>2.=?8.=0.= -ttpNaccess a oA oca -ost -ttpNaccess a oA rede oca Kb o&uear todos outros acessos. -ttpNaccess den, a Kmemoria reser!ada para o cac-e% co o&ue um !a or de pre(erencia 40P K do tota da sua ma&uina% e n)o mais. cac-eNmem 5=2 GQ Km0+imo taman-o dos ar&ui!o cac-e na memoria ma+imumNobjectNsi#eNinNmemor, =28 RQ Km0+imo taman-o dos ar&ui!o cac-e no -d ma+imumNobjectNsi#e 20 GQ minimumNobjectNsi#e 0 RQ Kre"ra &ue come.a a es!a#iar / substituir ar&ui!os no cac-e em >0P cac-eNsAapN oA >0 cac-eNsAapN-i"- >5 Kindica.)o de oca i#a.)o da pasta de ar&ui!os cac-e e em se&uLncia !a or Ktota em GQ de espa.o no -d a ser usado pe o cac-e% numero de pastas% e Knumero de subpastas do cac-e. cac-eNdir u(s /!ar/spoo /s&uid 24048 25? 5=2 Kinter!a os de tempos &ue o pro+, !eri(icara os ar&ui!os dos site acessado Kcon(erem com o do cac-e% o !a or 45?0 si"ni(ica 04 dias re(res-Npattern S(tp: =5 20P 45?0 re(res-Npattern S"op-er: =5 0P 45?0 re(res-Npattern . =5 20P 45?0 :ntre no ar&ui!o /etc/s&uid/s&uid.con( e copie/co e o script acima. 2omo est0 bem comentado e e pode ser a terado por !ocL mesmo para ajust01 o por e+emp o ao taman-o do seu -d. @amos a"ora a terminar a con(i"ura.)o no mi3roti3 na pr7+ima p0"ina...

Terminando a configurao no mikrotik A"ora temos &ue ajustar a "uns parTmetros% com o Ainbo+ aberto !0 em ;9 > U:Q 9RF5V > 8:BB;6C8. 2on(ira na ima"em como de!er)o (icar os campos:

9ronto% seu pro+, tem comunica.)o com o mi3roti3 e est0 apto a atender c ientes% !amos as con(i"ura.$es para &ue os c ientes passem pe o pro+,. @amos supor &ue a rede &ue !ocL tem con(i"urada para seus c ientes =0.0.0.0/24 'c iente = W =0.0.0.2/24% c iente 2 W=0.0.0.4/24 etc...*% tambm !amos pe"ar o primeiro ip desta c asse como o con(i"urado em ;9 ADDR:88 ou seja =0.0.0.=/24. 9recisamos primeiro permitir &ue esta c asse acesse o pro+,: @0 em ;9 > U:Q 9RF5V% na aba A22:88 c i&ue em <% j0 jane a se"uinte adicione a c asse =0.0.0.0/24 no campo 8R21ADDR:88% na op.)o action dei+e em ADDFU. A"ora !amos barrar &ua &uer outra c asse para acesso ao pro+,: 2 i&ue no!amente no < e na dei+e todos os campos como est)o% somente a tere a op.)o action para D:6V. 9recisamos a"ora direcionar todo o tra(e"o da porta 80 para o pro+,% !0 em ;9 > F;R:UADD > aba 6AB c i&ue em < e co o&ue e+atamente como esta na ima"em abai+o:

6as ima"ens acima% na aba C:6:RAD temos um campo marcado com um XOY escrito ;9 @ZD;DF DF 8:I 8:R@;DFR% tro&ue esta mensa"em pe o ;9 !0 ido &ue !ocL est0 uti i#ando nesta m0&uina e manten-a o XOY% no campo inter(aces% onde na ima"em aparece R:D:N8 tro&ue pe a inter(ace &ue atende diretamente seus c ientes 'e+: et-er4*. A"ora temos &ue b o&uear o acesso e+terno ao pro+,% esta re"ra muito importante% c i&ue na aba F;DB:R RID:8 e c i&ue no <% co o&ue e+atamente como na (i"ura abai+o:

9rontin-o% seu ser!idor mi3roti3 j0 est0 uti i#ando pro+, em para e o% na p0"ina se"uinte teremos considera.$es importantes sobre uso.

!onsidera#es finais A sua m0&uina em Debian '8&uid* estar0 sendo acessada somente pe o mi3roti3% ent)o se !ocL &uiser acessar remotamente e a dentro da sua rede 'rede de c ientes* pode (a#er !ia 88E de &ua &uer parte da rede 'a menos &ue e+ista uma re"ra no seu (ireAa di#endo o contr0rio*% porm &uando o acesso e+terno temos &ue primeiro uti i#ar o mi3roti3% acessando remotamente pe o ip !0 ido e pe o U;6QF5% c icando no menu B:D6:B temos a op.)o de acesso por 88E% c i&ue ne a co o&ue o ip do seu ser!idor '=>2.=?8.=0.2* o usu0rio abai+o 'root*% embrando tambm &ue na op.)o de insta a.)o do Debian !ocL s7 insta ou o sistema b0sico% ent)o em !ia oca 'pe o tec ado e monitor oca * use os comandos: apt-get update

apt-get install ss$ 9ronto% o procedimento descrito acima j0 possJ!e e !ocL j0 pode descartar a necessidade de uso de um tec ado e monitor para a m0&uina Debian. A se"uran.a da m0&uina pro+, 'Debian / s&uid* a(etada somente pe o script de con(i"ura.)o de FireAa do seu mi3roti3% toda se"uran.a &ue !ocL ti!er no (ireAa tambm ser0 ap icada a m0&uina do pro+,% j0 &ue e a est0 sob um nat e n)o possui ip !0 ido. 8cript de (ireAa por comp eto tambm assunto para outro arti"o. Qom pessoa % isso% espero &ue "ostem% ap i&uem% a terem para necessidade de !ocLs% ap icando assim a (ina idade deste arti"o% copiem a !ontade% n)o se es&ue.am de mencionar autoria e (ontes. Abra.os. Andr A. Ferreira. Datanet 8o u.$es.

-ttp://AAA.!i!ao inu+.com.br/arti"o/9ro+,1em1para e o1com1o1mi3roti3 @o tar para o site