Pr-requisitos e passos iniciais

Resolvi escrever este artigo por 2 razes, a primeira que o mikrotik (do qual sou f incondicional) no um bom sistema para proxy (exclusivamente na min a opinio) quando comparado a qualquer outra distribui!o, no caso a min a preferida o "ebian, o outro motivo que precisei de muito tempo pra c egar a este #con$unto# e deix%&lo funcionando e ten o visto a necessidade de muitos em montar algo semel ante, ento espero que este pequeno artigo possa a$udar' (laro que para esta montagem seu servidor (roteador) tem que ser mi)roti) verso *'+, tendo uma placa onde recebe o lin) da operadora, uma placa exclusiva para comunica!o com o proxy (ponto a ponto) e uma terceira que servir% o acesso ao clientes diretamente' ,o vamos nos prender a configura!o dos clientes, controle de clientes, controle de banda, nem a entrada de lin) , nem load balance etc, mas trataremos neste artigo supondo que seu servidor $% ten a isto configurado e funcionando, vamos tratar as configura!es necess%rias para que o mi)roti) controle o proxy, e o computador onde estar% o proxy com "ebian'

Topologia visual
,esta imagem, s- pra entendermos mel or a topologia que usaremos, fica claro onde c ega o lin), tratado pelo mi)roti), quando necess%rio enviado ao segundo servidor que de forma isolada somente faz o armazenamento com o .quid, e enfim enviado aos clientes'

Adicionando as regras ao mikrotik para "conversar" com o proxy

/recisamos criar uma classe de rede em que somente existam o mi)roti) e proxy, com uma classe que no permita uma terceira m%quina' 0m 1/ 2 3""R0..0. clique no 4 e adicione um ip 562'578'59'5:*9, na op!o interface escol a a placa de rede que esta ligada fisicamente ao proxy (ex; et er2)' 3gora precisamos dar internet ilimitada a esta classe, de forma que seu proxy possa ser abastecido de lin) com internet pra todos seus clientes, mas note, no fazemos nen uma limita!o de banda na entrada de lin) do servidor proxy, mas seu mi)roti) deve fazer esta limita!o para os clientes por algum servidor abilitado, otspot (portal captive) ou pppoe etc' 3 cria!o destes servidores t-pico para um outro artigo' <% em =ire>all, dentro da aba ,3?, clique em 4 , na $anela a seguir, na primeira aba c amada @0,0R3A, no campo (B31, escol a a op!o .R(,3?, na op!o .R(' 3""R0.. coloque 562'578'59'9:*9, v% at a aba 3(?1C, 0 selecione D3.EF0R3"0' 3gora temos internet disponGvel para instala!o do proxy na etapa que se segue'

Instalao e configurao inicial do proxy

(omo citado antes, este servidor precisa somente do sistema b%sico, ento baixe o cd do Debian intitulado netinstall, procure ( ttp;::>>>'debian'org:(": ttp&ftp:Hstable) a verso para o seu processador, instale somente o sistema b%sico, se quiser pode seguir este passo a passo do meu xar% Andr Ricardo, segue o lin); 1D/CR?3,?0; (oloque o ip 562'578'59'2 com m%scara de sub rede :*9 (2II'2II'2II'2I2), gate>ay 562'578'59'5 e dns 562'578'59'5, depois de instalado use o apt para instalar o .quid' apt-get update apt-get install squid 0ste comando atualiza as listas de fontes e baixa tudo que necess%rio para que o proxy funcione, e instala tambm' .eu "ebian $% esta ativo, falta configur%&lo'

!onfigurando o "quid
?emos agora que configurar o proxy, vou postar um exemplo bem simples agora de squid.conf, vocJ poder% alter%&lo, mas configura!es de seguran!a seriam desperdi!adas um vez que o mi)roti) far% o controle' Inicio do script "quid#conf gerado por $atanet "olu%es - Andre A# &erreira !ontato '()* ++),-(,-( "cript gerado para configurao simples com mikrotik em paralelo com regras de segurana. ipta/les. etc# executadas no mikrotik# 0ttp1port )23+ visi/le10ostname 4e/proxy acl all src 5#5#5#565#5#5#5 acl manager proto cac0e1o/7ect acl local0ost src 23,#5#5#263))#3))#3))#3)) acl ""81ports port 99( )-( acl "afe1ports port +5 acl "afe1ports port 32 acl "afe1ports port 99( )-( acl "afe1ports port ,5 protocolo gop0er antigo acl "afe1ports port 325 40ais acl "afe1ports port 2539--))() todas as outras portas acl "afe1ports port 3+5 0ttp-mgmt acl "afe1ports port 9++ gss-0ttp acl "afe1ports port ):2 filemaker acl "afe1ports port ,,, multi 0ttp acl "afe1ports port :52 acesso "4at acl purge met0od P;<=> acl !?@@>!T met0od !?@@>!T 0ttp1access allo4 manager local0ost 0ttp1access deny manager 0ttp1access allo4 purge local0ost 0ttp1access deny purge 0ttp1access deny A"afe1ports 0ttp1access deny !?@@>!T A""81P?<T" permisso de acesso ao proxy. troque 5#5#5#565 pela sua classe de rede ou classes separadas por espaos# acl redelocal src 2:3#2-+#25#2 0ttp1access allo4 local0ost 0ttp1access allo4 redelocal /loquear todos outros acessos# 0ttp1access deny all memoria reservada para o cac0e. coloque um valor de preferencia 95B do total da sua maquina. e no mais# cac0e1mem )23 CD mEximo taman0o dos arquivo cac0e na memoria

maximum1o/7ect1siFe1in1memory 23+ GD mEximo taman0o dos arquivo cac0e no 0d maximum1o/7ect1siFe 35 CD minimum1o/7ect1siFe 5 GD regra que comea a esvaFiar 6 su/stituir arquivos no cac0e em :5B cac0e1s4ap1lo4 :5 cac0e1s4ap10ig0 :) indicao de localiFao da pasta de arquivos cac0e e em sequHncia valor total em CD de espao no 0d a ser usado pelo cac0e. numero de pastas. e numero de su/pastas do cac0e# cac0e1dir ufs 6var6spool6squid 3959+ 3)- )23 intervalos de tempos que o proxy verificara os arquivos dos site acessado conferem com o do cac0e. o valor 9)-5 significa 59 dias refres01pattern IftpJ 2) 35B 9)-5 refres01pattern Igop0erJ 2) 5B 9)-5 refres01pattern # 2) 35B 9)-5 0ntre no arquivo :etc:squid:squid'conf e copie:cole o script acima' (omo est% bem comentado ele pode ser alterado por vocJ mesmo para a$ust%&lo por exemplo ao taman o do seu d' <amos agora a terminar a configura!o no mi)roti) na pr-xima p%gina'''

Terminando a configurao no mikrotik

3gora temos que a$ustar alguns parKmetros, com o >inbox aberto v% em 1/ 2 L0M /RC+N 2 .0??1,@.' (onfira na imagem como devero ficar os campos;

/ronto, seu proxy tem comunica!o com o mi)roti) e est% apto a atender clientes, vamos as configura!es para que os clientes passem pelo proxy' <amos supor que a rede que vocJ tem configurada para seus clientes 59'9'9'9:2O (cliente 5 P 59'9'9'2:2O, cliente 2 P59'9'9'*:2O etc'''), tambm vamos pegar o primeiro ip desta classe como o configurado em 1/ 3""R0.. ou se$a 59'9'9'5:2O' /recisamos primeiro permitir que esta classe acesse o proxy; <% em 1/ 2 L0M /RC+N, na aba 3((0.. clique em 4, $% $anela seguinte adicione a classe 59'9'9'9:2O no campo .R(&3""R0.., na op!o action deixe em 3AACL' 3gora vamos barrar qualquer outra classe para acesso ao proxy; (lique novamente no 4 e na deixe todos os campos como esto, somente altere a op!o action para "0,N' /recisamos agora direcionar todo o trafego da porta 89 para o proxy, v% em 1/ 2 =1R0L3AA 2 aba ,3? clique em 4 e coloque exatamente como esta na imagem abaixo;

,as imagens acima, na aba @0,0R3A temos um campo marcado com um QRS escrito 1/ <TA1"C "C .0F .0R<1"CR, troque esta mensagem pelo 1/ v%lido que vocJ est% utilizando nesta m%quina e manten a o QRS, no campo interfaces, onde na imagem aparece R0"0U8 troque pela interface que atende diretamente seus clientes (ex; et er*)' 3gora temos que bloquear o acesso externo ao proxy, esta regra muito importante, clique na aba =1A?0R RFA0. e clique no 4, coloque exatamente como na figura abaixo;

/rontin o, seu servidor mi)roti) $% est% utilizando proxy em paralelo, na p%gina seguinte teremos considera!es importantes sobre uso'

!onsidera%es finais
3 sua m%quina em "ebian (.quid) estar% sendo acessada somente pelo mi)roti), ento se vocJ quiser acessar remotamente ela dentro da sua rede (rede de clientes) pode fazer via ..B de qualquer parte da rede (a menos que exista uma regra no seu fire>all dizendo o contr%rio), porm quando o acesso externo

temos que primeiro utilizar o mi)roti), acessando remotamente pelo ip v%lido e pelo L1,MC+, clicando no menu ?0A,0? temos a op!o de acesso por ..B, clique nela coloque o ip do seu servidor (562'578'59'2) o usu%rio abaixo (root), lembrando tambm que na op!o de instala!o do "ebian vocJ s- instalou o sistema b%sico, ento em via local (pelo teclado e monitor local) use os comandos; apt-get update apt-get install ss0 /ronto, o procedimento descrito acima $% possGvel e vocJ $% pode descartar a necessidade de uso de um teclado e monitor para a m%quina "ebian' 3 seguran!a da m%quina proxy ("ebian : squid) afetada somente pelo script de configura!o de =ire>all do seu mi)roti), toda seguran!a que vocJ tiver no fire>all tambm ser% aplicada a m%quina do proxy, $% que ela est% sob um nat e no possui ip v%lido'