Thread: tproxy single interface/ethernet

Originally Posted by ucok_karnadi

...
dan sepertinya untuk squid 2.7 harus di patch dulu dech om.
...

apakah squid 2.7stable9 yang sudah dipatch yang banyak beredar diforum ini sudah support tproxy?

@ TS
jika sebelumnya pake squid 2.7stable9 dan beralih ke yang support tproxy apakah cachenya harus dihapus dulu?apa cache yang lama te2p ngeHIT?
thx b4,

Originally Posted by ucok_karnadi

perubahan dikit

Code:

cat /boot/config-2.6.XX `uname -r` | grep -E '(NF_CONNTRACK=|TPROXY|XT_MATCH_SOCKET|XT_TARGET_T PROXY)'

menjadi

Code:

cat /boot/config-`uname -r` | grep -E '(NF_CONNTRACK=|TPROXY|XT_MATCH_SOCKET|XT_TARGET_T PROXY)'

dan sepertinya untuk squid 2.7 harus di patch dulu dech om.

mirip tproxy thundercache + mikrotik

betul betul betul ....

sangat membantu di tingkatan ISP yang ingin memberikan HIT loss kepada client meskipun tetap melakukan distribusi ip publik

icip-icip dulu ah, thanks om ndasjowo

Originally Posted by ndasjowo

Syarat :
kernel dan iptables support tproxy:
pengecekan ...
cat /boot/config-`uname -r` | grep -E '(NF_CONNTRACK=|TPROXY|XT_MATCH_SOCKET|XT_TARGET_T PROXY)'
jika muncul pesen gini berarti support

Code:

CONFIG_NF_CONNTRACK=m
CONFIG_NETFILTER_TPROXY=m
CONFIG_NETFILTER_XT_TARGET_TPROXY=m
CONFIG_NETFILTER_XT_MATCH_SOCKET=m

Mohon bimbingannya... Saya sudah coba:

Code:

stillhard@proxy:~/LUSCA_FMI# cat /boot/config-`uname -r` | grep -E '(NF_CONNTRACK=|ROXY|XT_MATCH_SOCKET|XT_TARGET_T PROXY)'
CONFIG_NF_CONNTRACK=m
CONFIG_NETFILTER_TPROXY=m
CONFIG_NETFILTER_XT_TARGET_TPROXY=m
CONFIG_NETFILTER_XT_MATCH_SOCKET=m

Hasil ./configure ...

Code:

checking if TPROXY header files are installed... no
WARNING: Cannot find TPROXY headers, you need to patch your kernel with the
tproxy package from:
 - lynx http://www.balabit.com/downloads/files/tproxy/

masih mentok...

coba di dmesg...

Code:

# dmesg | grep PROXY
NF_TPROXY: Transparent proxy support initialized, version 4.1.0
NF_TPROXY: Copyright (c) 2006-2007 BalaBit IT Ltd.

pastikan juga squid udah di patch ( ver 2.XX )

Originally Posted by ndasjowo

coba di dmesg...

Code:

# dmesg | grep PROXY
NF_TPROXY: Transparent proxy support initialized, version 4.1.0
NF_TPROXY: Copyright (c) 2006-2007 BalaBit IT Ltd.

pastikan juga squid udah di patch ( ver 2.XX )

Nah, ini yang kurang jadi bisa ditambahkan di first post bang... terima kasih, ditunggu petunjuk-petunjuk berikutnya...

Originally Posted by ndasjowo

/ip route add dst-address=0.0.0.0/0 gateway=(ip-proxy) routing-mark="VIA_TPROXY";
/ip firewall mangle add chain=prerouting protocol=tcp dst-port=80 src-address-list="ip-client" dst-address-list="no-proxy" in-interface=(ether-client) action=mark-routing new-routing-mark=VIA_TPROXY;
/ip firewall mangle add chain=prerouting in-interface=(ether-proxy) action=mark-connection new-connection-mark=VIA_TPROXY;
/ip firewall add chain=prerouting in-interface=(ether-internet) connection-mark=VIA_TPROXY action=mark-routing new-routing-mark=VIA_TPROXY;

rule yang kedua itu yang dst-address-list diisi apaan ya om dasjowo, thanks

---------- Post added at 09:49 ---------- Previous post was at 08:29 ----------

om ndasjowo, berdasarkan disini
confignya cuman pake ini

http_port 3128
http_port 3129 tproxy

dan ini explainnya

NP: The Balabit document still refers to using options tproxy transparent. Do not do this. It was only needed short-term for a bug which is now fixed

CMIIW

Originally Posted by why_you

rule yang kedua itu yang dst-address-list diisi apaan ya om dasjowo, thanks

---------- Post added at 09:49 ---------- Previous post was at 08:29 ----------

om ndasjowo, berdasarkan disini
confignya cuman pake ini



dan ini explainnya


CMIIW

dst-address-list="no-proxy" (ip/web yang direct lsg )

http_port 3128
http_port 3129 tproxy
( untuk squid 3.XX )
http_port 0.0.0.0:3129 transparent tproxy
http_port localhost:3128
( u/ lusca/squid2.7.XX )

Originally Posted by ndasjowo

lama gak absen nih ...
mohon maap kalo adadole posting ...

disini saya akan coba share ngebuat tpoxy 1 ethernet.
mungkin temen udah sering/biasa make proxy external.
tapi pernah kan anda meng-alami kasus di mana baddwith ( yang memang request client) habis kesedot oleh proxy ( yg biasanya proxy posisi los dan client dilimit)
kenapa bisa terjadi...?
- Pada saat client melakukan request web/file oleh mikrotik diredirect ke proxy ekternal.
- jika web/file belum tersedia di cache maka proxy melakukan request ke internet ( dimanaproxy request keinternet los/not shaping).
- karena kondisi file belum ke cache, maka bw yang di teruskan ke-client akan mengikuti shaping di mikrotik.
- maka akan timbul kejadian aneh ....
- bandwith yang masuk akan lebih besar ( di sedot proxy) daripada bandwith yang di kirim ke-client ( terlimit mikrotik karena blm posisi hit)
-
Udah ngomel nya ....
lsg ke solusi aja bagaimana ngebuat real shaping ke client
solosinya kita gunakan tproxy.....!

topologi jaringan:

internet => Mikrotik -> client
. .|.
. pcbox/tproxy

Langkah :
( di-mikrotik )
1. buat routing untuk tproxy
2. buat mangle untuk routing tproxy
[ code]
/ip route add dst-address=0.0.0.0/0 gateway=(ip-proxy) routing-mark="VIA_TPROXY";
/ip firewall mangle add chain=prerouting protocol=tcp dst-port=80 src-address-list="ip-client" dst-address-list="no-proxy" in-interface=(ether-client) action=mark-routing new-routing-mark=VIA_TPROXY;
/ip firewall mangle add chain=prerouting in-interface=(ether-proxy) action=mark-connection new-connection-mark=VIA_TPROXY;
/ip firewall add chain=prerouting in-interface=(ether-internet) connection-mark=VIA_TPROXY action=mark-routing new-routing-mark=VIA_TPROXY;
[/code]

( di pcbox/tproxy )
Syarat :
kernel dan iptables support tproxy:
pengecekan ...
cat /boot/config-2.6.XX `uname -r` | grep -E '(NF_CONNTRACK=|TPROXY|XT_MATCH_SOCKET|XT_TARGET_T PROXY)'
jika muncul pesen gini berarti support

Code:

CONFIG_NF_CONNTRACK=m
CONFIG_NETFILTER_TPROXY=m
CONFIG_NETFILTER_XT_TARGET_TPROXY=m
CONFIG_NETFILTER_XT_MATCH_SOCKET=m

u tuk build squid 2.7.XX/ lusca
./configure --enable-linux-tproxy4
u tuk build squid 3.XX
./configure --enable-linux-netfilter
untuk konfig squid ( squid.conf )
http_port 0.0.0.0:3129 transparent tproxy ( u/ lusca/squid2.7.XX )
http_port localhost:3128
atau
http_port 0.0.0.0:3129 tproxy ( u/ squid3.XX )
http_port localhost:3128

Sedangakn untuk iptables nya bisa load dari file ini:

Code:

# Generated by nDasJoWo
*nat
:PREROUTING ACCEPT [541:35450]
:POSTROUTING ACCEPT [796:56114]
:OUTPUT ACCEPT [795:56050]
COMMIT
# Completed 
# Generated by nDasJoWo
*mangle
:PREROUTING ACCEPT [51:11203]
:INPUT ACCEPT [5711:2016323]
:FORWARD ACCEPT [3:1580]
:OUTPUT ACCEPT [8347:3818817]
:POSTROUTING ACCEPT [8350:3820397]
:DIVERT - [0:0]
-A PREROUTING -p tcp -m socket -j DIVERT 
-A PREROUTING -p tcp -m tcp --dport 80 -j TPROXY --on-port 3129 --on-ip 0.0.0.0 --tproxy-mark 0x1/0xffffffff 
-A DIVERT -j MARK --set-xmark 0x1/0xffffffff 
-A DIVERT -j ACCEPT 
COMMIT
# Completed

atau download di sini ....

simpan dengan nama iptables-TPROXY
kemudian load iptabes tersebut

Code:

#iptables-restore < /(path-file)/iptables-TPROXY

untuk pengecekan apakah iptables sudah masuk

Code:

#iptables -t mangle -L

untuk yg belom sukses biasa tammbahkan ini

Code:

ip rule add fwmark 1 lookup 100
ip route add local 0.0.0.0/0 dev lo table 100

sysctl net.ipv4.ip_nonlocal_bind=1
sysctl net.ipv4.ip_forward=1

tralala ... sukses ...

regrad
ym : heddy_joe@yahoo.com

akhirnya racun tproxy dirilis juga ...........

ikut menyimak dan mencoba

thanks




___________________________
[SIZE=5]maaf gak pandai komen[/SIZE]

Wah ini yg saya cari, tapi ada bbrp pertanyaan, maklum masih nubi...
Itu topologinya brti Modem harus dipakein HUB yah supaya bisa nyambung ke Tproxy dan MT secara terpisah ? soalnya :
INTERNET- MIKROTIK
|
TPROXY

Brti tproxy dan mikrotik lgsg nyambung modem dengan jalur terpisah ?

Terus, traffic client tetap di shape atau gausah ?