Pr-requisitos e passos iniciais

Resolvi escrever este artigo por 2 razes, a primeira que o mikrotik (do qual sou f incondicional) no um bom sistema para proxy (exclusivamente na minha opinio) quando comparado a qualquer outra distribuio, no caso a minha preferida o Debian, o outro motivo que precisei de muito tempo pra chegar a este "conjunto" e deix-lo funcionando e tenho visto a necessidade de muitos em montar algo semelhante, ento espero que este pequeno artigo possa ajudar. Claro que para esta montagem seu servidor (roteador) tem que ser mikrotik verso 3.X, tendo uma placa onde recebe o link da operadora, uma placa exclusiva para comunicao com o proxy (ponto a ponto) e uma terceira que servir o acesso ao clientes diretamente. No vamos nos prender a configurao dos clientes, controle de clientes, controle de banda, nem a entrada de link , nem load balance etc, mas trataremos neste artigo supondo que seu servidor j tenha isto configurado e funcionando, vamos tratar as configuraes necessrias para que o mikrotik controle o proxy, e o computador onde estar o proxy com Debian.

Topologia visual
Nesta imagem, s pra entendermos melhor a topologia que usaremos, fica claro onde chega o link, tratado pelo mikrotik, quando necessrio enviado ao segundo servidor que de forma isolada somente faz o armazenamento com o Squid, e enfim enviado aos clientes.

Adicionando as regras ao mikrotik para "conversar" com o proxy

Precisamos criar uma classe de rede em que somente existam o mikrotik e proxy, com uma classe que no permita uma terceira mquina. Em IP > ADDRESSES clique no + e adicione um ip 192.168.10.1/30, na opo interface escolha a placa de rede que esta ligada fisicamente ao proxy (ex: ether2). Agora precisamos dar internet ilimitada a esta classe, de forma que seu proxy possa ser abastecido de link com internet pra todos seus clientes, mas note, no fazemos nenhuma limitao de banda na entrada de link do servidor proxy, mas seu mikrotik deve fazer esta limitao para os clientes por algum servidor habilitado, hotspot (portal captive) ou pppoe etc. A criao destes servidores tpico para um outro artigo. V em Firewall, dentro da aba NAT, clique em + , na janela a seguir, na primeira aba chamada GENERAL, no campo CHAIN escolha a opo SRCNAT, na opo SRC. ADDRESS coloque 192.168.10.0/30, v at a aba ACTION E selecione MASQUERADE. Agora temos internet disponvel para instalao do proxy na etapa que se segue.

Instalao e configurao inicial do proxy

Como citado antes, este servidor precisa somente do sistema bsico, ento baixe o cd do Debian intitulado netinstall, procure (http://www.debian.org/CD/http-ftp/#stable) a verso para o seu processador, instale somente o sistema bsico, se quiser pode seguir este passo a passo do meu xar Andr Ricardo, segue o link: IMPORTANTE: Coloque o ip 192.168.10.2 com mscara de sub rede /30 (255.255.255.252), gateway 192.168.10.1 e dns 192.168.10.1, depois de instalado use o apt para instalar o Squid. # apt-get update # apt-get install squid Este comando atualiza as listas de fontes e baixa tudo que necessrio para que o proxy funcione, e instala tambm. Seu Debian j esta ativo, falta configur-lo.

Configurando o Squid
Temos agora que configurar o proxy, vou postar um exemplo bem simples agora de squid.conf, voc poder alter-lo, mas configuraes de segurana seriam desperdiadas um vez que o mikrotik far o controle. #Inicio do script #Squid.conf gerado por Datanet Solues - Andre A. Ferreira #Contato (35) 8857-3763 # #Script gerado para configurao simples com mikrotik em paralelo com # regras de segurana, iptables, etc. executadas no mikrotik. http_port 5128 visible_hostname webproxy acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl SSL_ports port 443 563 acl Safe_ports port 80 acl Safe_ports port 21 acl Safe_ports port 443 563 acl Safe_ports port 70 #protocolo gopher antigo acl Safe_ports port 210 #whais acl Safe_ports port 1024-65535 #todas as outras portas acl Safe_ports port 280 #http-mgmt acl Safe_ports port 488 #gss-http acl Safe_ports port 591 #filemaker acl Safe_ports port 777 #multi http acl Safe_ports port 901 #acesso Swat acl purge method PURGE acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_PORTS #permisso de acesso ao proxy, troque 0.0.0.0/0 pela sua #classe de rede ou classes separadas por espaos. acl redelocal src 192.168.10.1 http_access allow localhost http_access allow redelocal #bloquear todos outros acessos. http_access deny all #memoria reservada para o cache, coloque um valor de preferencia 40% # do total da sua maquina, e no mais. cache_mem 512 MB #mximo tamanho dos arquivo cache na memoria

maximum_object_size_in_memory 128 KB #mximo tamanho dos arquivo cache no hd maximum_object_size 20 MB minimum_object_size 0 KB #regra que comea a esvaziar / substituir arquivos no cache em 90% cache_swap_low 90 cache_swap_high 95 #indicao de localizao da pasta de arquivos cache e em sequncia valor #total em MB de espao no hd a ser usado pelo cache, numero de pastas, e #numero de subpastas do cache. cache_dir ufs /var/spool/squid 24048 256 512 #intervalos de tempos que o proxy verificara os arquivos dos site acessado #conferem com o do cache, o valor 4560 significa 04 dias refresh_pattern ^ftp: 15 20% 4560 refresh_pattern ^gopher: 15 0% 4560 refresh_pattern . 15 20% 4560 Entre no arquivo /etc/squid/squid.conf e copie/cole o script acima. Como est bem comentado ele pode ser alterado por voc mesmo para ajust-lo por exemplo ao tamanho do seu hd. Vamos agora a terminar a configurao no mikrotik na prxima pgina...

Terminando a configurao no mikrotik

Agora temos que ajustar alguns parmetros, com o winbox aberto v em IP > WEB PROXY > SETTINGS. Confira na imagem como devero ficar os campos:

Pronto, seu proxy tem comunicao com o mikrotik e est apto a atender clientes, vamos as configuraes para que os clientes passem pelo proxy. Vamos supor que a rede que voc tem configurada para seus clientes 10.0.0.0/24 (cliente 1 = 10.0.0.2/24, cliente 2 =10.0.0.3/24 etc...), tambm vamos pegar o primeiro ip desta classe como o configurado em IP ADDRESS ou seja 10.0.0.1/24. Precisamos primeiro permitir que esta classe acesse o proxy: V em IP > WEB PROXY, na aba ACCESS clique em +, j janela seguinte adicione a classe 10.0.0.0/24 no campo SRC-ADDRESS, na opo action deixe em ALLOW. Agora vamos barrar qualquer outra classe para acesso ao proxy: Clique novamente no + e na deixe todos os campos como esto, somente altere a opo action para DENY. Precisamos agora direcionar todo o trafego da porta 80 para o proxy, v em IP > FIREWALL > aba NAT clique em + e coloque exatamente como esta na imagem abaixo:

Nas imagens acima, na aba GENERAL temos um campo marcado com um [!] escrito IP VLIDO DO SEU SERVIDOR, troque esta mensagem pelo IP vlido que voc est utilizando nesta mquina e mantenha o [!], no campo interfaces, onde na imagem aparece REDE_8 troque pela interface que atende diretamente seus clientes (ex: ether3). Agora temos que bloquear o acesso externo ao proxy, esta regra muito importante, clique na aba FILTER RULES e clique no +, coloque exatamente como na figura abaixo:

Prontinho, seu servidor mikrotik j est utilizando proxy em paralelo, na pgina seguinte teremos consideraes importantes sobre uso.

Consideraes finais
A sua mquina em Debian (Squid) estar sendo acessada somente pelo mikrotik, ento se voc quiser acessar remotamente ela dentro da sua rede (rede de clientes) pode fazer via SSH de qualquer parte da rede (a menos que exista uma regra no seu firewall dizendo o contrrio), porm quando o acesso externo

temos que primeiro utilizar o mikrotik, acessando remotamente pelo ip vlido e pelo WINBOX, clicando no menu TELNET temos a opo de acesso por SSH, clique nela coloque o ip do seu servidor (192.168.10.2) o usurio abaixo (root), lembrando tambm que na opo de instalao do Debian voc s instalou o sistema bsico, ento em via local (pelo teclado e monitor local) use os comandos: # apt-get update # apt-get install ssh Pronto, o procedimento descrito acima j possvel e voc j pode descartar a necessidade de uso de um teclado e monitor para a mquina Debian. A segurana da mquina proxy (Debian / squid) afetada somente pelo script de configurao de Firewall do seu mikrotik, toda segurana que voc tiver no firewall tambm ser aplicada a mquina do proxy, j que ela est sob um nat e no possui ip vlido.