Integração Mk + BFW 3.x

Ver o tópico anterior Ver o tópico seguinte Ir em baixo

Integração Mk + BFW 3.x

Mensagem  Marcio Marques em Qua 17 Abr - 8:26

OBS.: Os Acessos externos as Portas 22, 8181, 3129(edite o acesso externo do Squid de 3128 para 3129) tem que estar ativas.

1º Criamos uma Range de Ip no Mk para colocarmos no BFW.
IP -> ADDRESSES -> + -> 192.168.10.1/30 e selecione a Interface que você destinou ao BFW

- Após isso coloque o ip 192.168.10.2 no BFW.
- Feito isso tente acessar o BFW por https://192.168.10.2:8181, se conseguir falta pouco.
- Após os passos acima é só colar as regras no Mk

Aceitando as Conexões do BFW
Código:
/ip firewall filter
add action=accept chain=forward comment="Aceita BFW" disabled=no \
    src-address=192.168.10.0/30

Redirecionando o tráfego para o Cache
Obs.:Tem que mudar a porta do acesso externo do Squid-BFW de 3128 para 3129
Código:
/ip firewall nat
add action=dst-nat chain=dstnat comment="Redirect BFW Cache" disabled=yes \
    dst-port=80 protocol=tcp src-address=10.0.0.0/8 to-addresses=\
    192.168.10.2 to-ports=3129

Fazendo a marcação dos Pacotes
Código:
/ip firewall mangle
add action=mark-connection chain=postrouting comment="BFW CACHE FULL =====\
    ==========================================================================\
    =======================" content="X-Cache: HIT from BFW Cache" disabled=no \
    new-connection-mark=bfw-connection passthrough=yes protocol=tcp \
    src-address=192.168.10.2
add action=mark-packet chain=postrouting comment="" connection-mark=\
    bfwcache-connection disabled=no new-packet-mark=bfwcache-packs passthrough=\
    yes
add action=mark-connection chain=postrouting comment="TOS 12==================\
    ==========================================================================\
    =========================" disabled=no dscp=12 new-connection-mark=\
    proxy-hits passthrough=yes protocol=tcp src-address=192.168.10.2
add action=mark-packet chain=postrouting comment="" connection-mark=\
    proxy-hits disabled=no new-packet-mark=proxy-squid passthrough=yes

Definindo a velocidade do Cache Full
Código:
/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
    max-limit=2M name="T -cache_hits" packet-mark=proxy-squid parent=\
    global-out priority=4 queue=default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
    max-limit=2M name=BFW Cache packet-mark=bfwcache-packs parent=\
    global-out priority=4 queue=default

Domínios que não passarão pelo Cache
Código:
/ip firewall address-list
add address=69.147.95.0/24 comment="\"\"\"\"YAHOO MAIL\"\"\"\"" disabled=no \
    list=nobalance
add address=209.191.106.0/24 comment="\"\"\"\"YAHOO MAIL\"\"\"\"" disabled=no \
    list=nobalance
add address=74.6.228.0/24 comment="\"\"\"\"YAHOO MAIL\"\"\"\"" disabled=no \
    list=nobalance
add address=98.136.131.0/24 comment="\"\"\"\"YAHOO MAIL\"\"\"\"" disabled=no \
    list=nobalance
add address=200.143.37.0/24 comment="\"\"\"\"WEBMOTORS\"\"\"\"" disabled=no \
    list=nobalance
add address=65.54.0.0/16 comment=MSN1 disabled=no list=nobalance
add address=207.46.0.0/16 comment=MSN2 disabled=no list=nobalance
add address=64.4.0.0/16 comment=MSN3 disabled=no list=nobalance
add address=200.143.0.0/16 comment=Pagdigital disabled=no list=nobalance
add address=201.88.0.0/16 comment=f2b disabled=no list=nobalance
add address=200.201.0.0/16 comment="caixa economica" disabled=no list=\
    nobalance
add address=170.66.0.0/16 comment="bb do brasil" disabled=no list=nobalance
add address=200.155.0.0/16 comment=bradesco disabled=no list=nobalance
add address=200.196.0.0/16 comment=itau disabled=no list=nobalance
add address=200.208.0.0/16 comment=sudameris disabled=no list=nobalance
add address=200.220.0.0/16 comment=santander disabled=no list=nobalance
add address=201.63.0.0/16 comment="wwws bradesco" disabled=no list=nobalance
add address=65.55.0.0/16 comment=MSN4 disabled=no list=nobalance
add address=74.52.0.0/16 comment="caixa economica" disabled=no list=nobalance
add address=174.133.0.0/16 comment="caixa economica" disabled=no list=\
    nobalance
add address=200.219.137.0/24 comment="" disabled=no list=nobalance
add address=200.252.8.0/24 comment="" disabled=no list=nobalance
add address=201.2.207.0/24 comment="" disabled=no list=nobalance
add address=200.196.226.0/24 comment="" disabled=no list=nobalance
add address=201.24.72.0/24 comment="" disabled=no list=nobalance
add address=78.46.46.139 comment="" disabled=no list=nobalance

Regra para habilitar os domínios que passaram por fora
Código:
ip firewall nat
add action=accept chain=dstnat comment=\
    "\"\"\"\"\"\"Sites FORA DO PROXY\"\"\"\"\"\"" disabled=no \
    dst-address-list=nobalance dst-port=80 protocol=tcp


Fonte:http://www.brazilfw.com.br/forum/viewtopic.php?f=77&t=84267&sid=f09a6e2708f916f6273604c0e3ca2608

_________________
Analista de Sistemas e Consultoria para Provedores de Internet
avatar
Marcio Marques
ADMINISTRADOR FUNDADOR
ADMINISTRADOR FUNDADOR

Mensagens : 1225
Pontos : 104608
Reputação : 3215
Data de inscrição : 02/02/2012
Idade : 46
Localização : Belo Horizonte

Ver perfil do usuário http://marquescsh.blogspot.com

Voltar ao Topo Ir em baixo

Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo

- Tópicos similares

 
Permissão deste fórum:
Você não pode responder aos tópicos neste fórum