Escolar Documentos
Profissional Documentos
Cultura Documentos
Mikrotik montado em paralelo com proxy (Debian), sendo que todas as funções, rotas,
bloqueios etc são realizadas pelo mikrotik, só restando o serviço de armazenamento de dados
para o Debian, não sendo para tanto necessário nenhuma configuração de firewall nem
adicionais com iptables, tornando extremamente fácil a montagem, configuração e
manutenção.
Claro que para esta montagem seu servidor (roteador) tem que ser mikrotik versão 3.X, tendo
uma placa onde recebe o link da operadora, uma placa exclusiva para comunicação com o
proxy (ponto a ponto) e uma terceira que servirá o acesso ao clientes diretamente. Não vamos
nos prender a configuração dos clientes, controle de clientes, controle de banda, nem a
entrada de link , nem load balance etc, mas trataremos neste artigo supondo que seu servidor
já tenha isto configurado e funcionando, vamos tratar as configurações necessárias para que o
mikrotik controle o proxy, e o computador onde estará o proxy com Debian.
Topologia visual
Nesta imagem, só pra entendermos melhor a topologia que usaremos, fica claro onde chega o
link, é tratado pelo mikrotik, quando necessário é enviado ao segundo servidor que de forma
isolada somente faz o armazenamento com o Squid, e enfim é enviado aos clientes.
Adicionando as regras ao mikrotik para "conversar" com o proxy
Precisamos criar uma classe de rede em que somente existam o mikrotik e proxy, com uma
classe que não permita uma terceira máquina.
Agora precisamos dar internet ilimitada a esta classe, de forma que seu proxy possa ser
abastecido de link com internet pra todos seus clientes, mas note, não fazemos nenhuma
limitação de banda na entrada de link do servidor proxy, mas seu mikrotik deve fazer esta
limitação para os clientes por algum servidor habilitado, hotspot (portal captive) ou pppoe etc.
A criação destes servidores é tópico para um outro artigo.
Vá em Firewall, dentro da aba NAT, clique em + , na janela a seguir, na primeira aba chamada
GENERAL, no campo CHAIN escolha a opção SRCNAT, na opção SRC. ADDRESS coloque
192.168.10.0/30, vá até a aba ACTION E selecione MASQUERADE.
Agora temos internet disponível para instalação do proxy na etapa que se segue.
Como citado antes, este servidor precisa somente do sistema básico, então baixe o cd do
Debian intitulado netinstall, procure (http://www.debian.org/CD/http-ftp/#stable) a
versão para o seu processador, instale somente o sistema básico.
#####################
#INSTALANDO O SQUID:
#####################
--enable-err-languages=Portuguese \
--enable-default-err-language=Portuguese \
--enable-async-io \
--enable-cache-digests \
--enable-linux-netfilter \
--enable-htcp \
--prefix=/usr/local/squid )
make
make install
if [ -x /usr/local/squid/sbin/squid ]; then
/usr/local/squid/bin/RunCache&
Fi
Configurando o Squid
Temos agora que configurar o proxy, vou postar um exemplo bem simples agora de squid.conf,
você poderá alterá-lo, mas configurações de segurança seriam desperdiçadas um vez que o
mikrotik fará o controle.
#################################################################
############################
# Configuracoes basicas:
############################
hierarchy_stoplist cgi-bin ?
cache_swap_low 90
cache_swap_high 95
maximum_object_size 192880 KB
maximum_object_size_in_memory 512 KB
visible_hostname Charles.barbacena.com.br
dns_testnames www.barbacena.com.br
#############################
# Configuracoes da cache:
#############################
cache_dir aufs /usr/local/squid/cache 8000 64 64
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log
coredump_dir /usr/local/squid/var/cache
###########################
###########################
#########################
# Definicoes de acesso
#########################
http_access allow jp
###############################
cache_effective_user squid
cache_effective_group squid
#######################
# Configuracao HTTP
#######################
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
ie_refresh on
####################
# Rotacionando Log
####################
logfile_rotate 8
Vamos supor que a rede que você tem configurada para seus clientes é 10.0.0.0/24 (cliente 1 =
10.0.0.2/24, cliente 2 =10.0.0.3/24 etc...), também vamos pegar o primeiro ip desta classe
como o configurado em IP ADDRESS ou seja 10.0.0.1/24.
Vá em IP > WEB PROXY, na aba ACCESS clique em +, já janela seguinte adicione a classe
10.0.0.0/24 no campo SRC-ADDRESS, na opção action deixe em ALLOW.
Clique novamente no + e na deixe todos os campos como estão, somente altere a opção action
para DENY.
Precisamos agora direcionar todo o trafego da porta 80 para o proxy, vá em IP > FIREWALL >
aba NAT clique em + e coloque exatamente como esta na imagem abaixo:
Nas imagens acima, na aba GENERAL temos um campo marcado com um [!] escrito IP VÁLIDO
DO SEU SERVIDOR, troque esta mensagem pelo IP válido que você está utilizando nesta
máquina e mantenha o [!], no campo interfaces, onde na imagem aparece REDE_8 troque pela
interface que atende diretamente seus clientes (ex: ether3).
Agora temos que bloquear o acesso externo ao proxy, esta regra é muito importante, clique na
aba FILTER RULES e clique no +, coloque exatamente como na figura abaixo:
Prontinho, seu servidor mikrotik já está utilizando proxy em paralelo, na página seguinte
teremos considerações importantes sobre uso.
Considerações finais
A sua máquina em Debian (Squid) estará sendo acessada somente pelo mikrotik, então se você
quiser acessar remotamente ela dentro da sua rede (rede de clientes) pode fazer via SSH de
qualquer parte da rede (a menos que exista uma regra no seu firewall dizendo o contrário),
porém quando o acesso é externo temos que primeiro utilizar o mikrotik, acessando
remotamente pelo ip válido e pelo WINBOX, clicando no menu TELNET temos a opção de
acesso por SSH, clique nela coloque o ip do seu servidor (192.168.10.2) o usuário abaixo (root),
lembrando também que na opção de instalação do Debian você só instalou o sistema básico,
então em via local (pelo teclado e monitor local) .
A segurança da máquina proxy (Debian / squid) é afetada somente pelo script de configuração
de Firewall do seu mikrotik, toda segurança que você tiver no firewall também será aplicada a
máquina do proxy, já que ela está sob um nat e não possui ip válido.
Bom pessoal, é isso, espero que gostem, apliquem, alterem para necessidade de vocês,
aplicando assim a finalidade deste artigo, copiem a vontade, não se esqueçam de mencionar
autoria e fontes.