mgessolo

Senhores, na minha empresa uma pessoa terceirizada montou um servidor proxy com uma máquina Linux + Squid. Ela libera a internet em horários pré-determinados para os usuários da rede. Como eu terei uma aplicação que terá que ter acesso total á internet eu pergunto:

- Como liberar o acesso para uma máquina específica?
- O Modem tem uma Nat que direciona todo o tráfego da Internet para a máquina Linux, teria como eu colocar mais uma nat rule para a outra máquina _também_ e assim "dividir" a banda??

Obrigado!

jqueiroz

Olá mgessolo, seja bem vindo ao fórum.

A configuração do Squid é feita num arquivo chamado "squid.conf", e de acordo com a distribuição, costuma ficar num diretório que pode ser "/etc/squid" (mais comum), "/etc" ou "/usr/local/squid".

Para liberar uma máquina para ter acesso total e indiscriminado, você deve acrescentar duas linhas a esse arquivo de configuração:

acl aplicacao src xxx.xxx.xxx.xxx
http_access allow aplicacao

Estas regras devem ser colocadas antes das regras de bloqueio (que devem ser algo parecido com "http_access deny alguma-coisa"), ou então o bloqueio prevalecerá sobre a liberação --- a primeira regra encontrada tem prioridade.
Feito isso, basta reiniciar o squid com o comando "squid -k reconfigure".

Sobre sua segunda pergunta, não há muitos motivos para direcionar todo o tráfego da internet para uma máquina; mas os poucos que há são importantes (por exemplo, controle de acesso e firewall). Não vejo muita vantagem em fazer o que você pensou, até pq você só vai conseguir mesmo isso: dividir a banda (ou seja, vai sobrar menos pra todo mundo).

Alternativamente, há como configurar a máquina linux para priorizar o tráfego da sua aplicação. Dê mais detalhes.

__________________

mgessolo

Olá jqueiroz, obrigado pelas respostas!

Mas é o seguinte: eu gostaria que essa maquina ficasse fora do caminho do Squid, talvez ate fisicamente na rede, eu pensei em por um hub entre o modem e o linux para cascatear um cabo ate essa outra maquina, pois o q ela usaria de banda seria insignificante para o resto da rede e os usuarios não perceberiam uma queda de trafego. Porem eu teria que mexer na nat rule do modem para o Linux, isso daria certo? O q vc acha?


Obrigado!

jqueiroz

Não esqueça que no servidor não tem só Squid, tem um firewall também. Colocar a máquina da aplicação antes do Squid vai tirá-la da proteção do firewall. Isso vale mesmo a pena???

Bom, uma das coisas que é preciso saber, pra ter certeza se é possível ou não fazer o que você quer, é o tipo de conexão internet que você usa.

__________________

mgessolo

Sem problemas quanto a firewall, na maquina tem um local, quanto a conexao é um ADSL da BRT, modem Speedtouch Pro.

jqueiroz

OK. Você pode confirmar se o modem está trabalhando em modo router, e quais são as regras de NAT definidas nele?

__________________

mgessolo

É ai q está o problema Jqueiroz! Mesmo colocando um switch entre o modem e a máquina linux eu não enxergo o modem!! Jogando os ip´s padrão tipo 10.0.0.138 através do ping não há retorno nenhum, provavelmente o modem tem um outro ip q eu desconheço. Existe algum comando para identificar o ip do modem?

jqueiroz

Hummm, isso com a Internet em pleno funcionamento??? Tá com cara de que esse modem está em modo bridge, então. Vc tem acesso ao console da máquina linux??? Se tiver, executa um comando lá pra gente:

ifconfig

Vê se aparece uma interface "ppp0".

__________________

mgessolo

Eu digitei o comando ifconfig e o sistema me retornou "command not found", ou seja, meu usuario nao deve ter privilegios para tal açao. Alguma outra ideia


Obrigado!

jqueiroz

o ifconfig não é um comando restrito; ele apenas não deve estar no seu PATH. Se vc olhar de novo a mensagem de erro, vai ver que ele não encontrou o comando, o que é bem diferente de não ter autorização pra executá-lo.
Tente:

/sbin/ifconfig
/usr/sbin/ifconfig

que deve resolver.

__________________

mgessolo

Isso mesmo!!! Bem jqueiroz, o comando mostrou o seguinte:

eth0 Link encap:Ethernet HWaddr 00:80:AD:70:F7:2E
inet addr:10.06.0.32 Bcast:10.06.255.255 Mask:255.255.0.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5613735 errors:0 dropped:0 overruns:0 frame:0
TX packets:2317104 errors:0 dropped:0 overruns:0 carrier:0
collisions:76757 txqueuelen:100
RX bytes:131990034 (125.8 Mb) TX bytes:240328121 (229.1 Mb)
Interrupt:9 Base address:0xec00

eth1 Link encap:Ethernet HWaddr 00:0BB:8E:C4:57
inet addr:192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:4 dropped:0 overruns:0 carrier:4
collisions:0 txqueuelen:100
RX bytes:0 (0.0 b) TX bytes:168 (168.0 b)
Interrupt:10 Base address:0xe4c0 Memory:ff8fe000-ff8fe038

eth2 Link encap:Ethernet HWaddr 00:02:44:07:35:C5
inet addr:200.xxx.xxx.xxx Bcast:200.xxx.xxx.xxx Mask:255.255.255.192
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2451470 errors:0 dropped:0 overruns:0 frame:0
TX packets:3055820 errors:0 dropped:0 overruns:0 carrier:0
collisions:47433 txqueuelen:100
RX bytes:247117900 (235.6 Mb) TX bytes:3598520682 (3431.8 Mb)
Interrupt:11 Base address:0x7800

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:734 errors:0 dropped:0 overruns:0 frame:0
TX packets:734 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:40851 (39.8 Kb) TX bytes:40851 (39.8 Kb)

tun0 Link encap:Point-to-Point Protocol
inet addr:10.117.0.11 P-t-P:10.117.0.10 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:5302 errors:0 dropped:0 overruns:0 frame:0
TX packets:220893 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:4778258 (4.5 Mb) TX bytes:94272896 (89.9 Mb)


E agora?

Obrigado!

jqueiroz

OK, mgessolo, perfeito, isso esclarece tudo.

[Nota: editei seu tópico, retirei a informação do seu IP real, OK?]

Pelo que pude ver, sua Internet não é ADSL. Então a pergunta sobre o modem ser modem ou router não cabe.

Com base na configuração, concluo que você tem um roteador dedicado que é ligado à porta eth2 do servidor Linux. Este repassa os pacotes para as portas eth0 e eth1, muito provavelmente com NAT, e cria um túnel VPN em tun0, muito provavelmente passando pela eth2 em direção a outra unidade de sua empresa.

Bom, se eu entendi direito, é possível sim fazer o que você quer, mas vai depender de como o DNAT desse servidor está configurado. Você tem um bloco com máscara 255.255.255.192 (/26). Isso deixa 62 endereços livres pra sua rede (64 - 2). Você com certeza já usou 2 (o do roteador e o do servidor). Agora é preciso descobrir qual das alternativas abaixo se aplica:

1) O servidor Linux mapeia os endereços da rede interna em endereços registrados, de forma que todos os endereços estejam ocupados.

2) O servidor mapeia todos os endereços da rede interna em um único endereço registrado --- o próprio (MASQUERADE), de forma que há endereços registrados livres.

Em ambos os casos, você vai colocar essa máquina nova no mesmo switch onde fica o servidor Linux e o roteador.

No primeiro caso, vc deve reconfigurar o servidor Linux pra que um dos endereços seja reservado pra ser usado pelo novo equipamento.

No segundo caso, simplesmente escolha um dos endereços livres e ative a máquina.

__________________

mgessolo

Valeu mesmo jqueiroz, com estas infos eu ja sei o q fazer!!!!