Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Transparent Proxy + Blacklist + QoS

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
ziconick



Registrato: 13/09/07 09:42
Messaggi: 10

MessaggioInviato: Lun Apr 20, 2009 3:30 pm    Oggetto: Transparent Proxy + Blacklist + QoS Rispondi citando

Non riesco ad attivare il Transparent Proxy insieme al QoS, nel senso che appena attivo il transparent proxy tutto il traffico gira sulla Classe QoS DEFAULT.
Ho notato che non blocca neanche le url della Blacklist.

Cerco di farvi capire la mia situazione.
Ho zeroshell installato su un server VMware ESXi 3.5 (quindi è virtuale).
Le caratteristiche di zeroshell sono:
2 x CPU xeon 2,97 GHz
RAM 1GB
HD 20GB
4 schede di rete.

Le schede di rete sono così configurate:
Codice:
Interface        VLAN                 IP/Netmask
ETH00           Default              10.0.5.250/24
ETH00            6                   10.0.6.254/24
ETH01           Default              Not configured
ETH02           Default              Not configured
ETH02            2                   10.0.2.254/24
ETH02            3                   10.0.3.254/24
ETH02            4                   10.0.4.254/24
ETH03           Default              x.x.x.x/30


QoS - CLASS MANAGER:
Codice:
Class     Description                             Priority  Max Bandwidth  Guaranteed   On
DEFAULT   Default class for unclassified traffic  Medium
ROUTEINT  Traffico interno alle subnet            Medium       
SUBNET2   Banda Subnet 2                          Medium    4Mbit/s        3500Kbit/s   yes
SUBNET3   Banda Subnet 3                          Medium    1Mbit/s        256Kbit/s    yes
SUBNET4   Banda Subnet 4                          Medium    1Mbit/s        256Kbit/s    yes


QoS Rules:
Codice:
Seq   Input    Output  Description                                                          QoS Class   Log  Active
1      *        *      MARK all opt -- in * out * 10.0.0.0/8 -> 10.0.0.0/8 MARK set 0x1a    ROUTEINT    no   yes
2      *        *      MARK all opt -- in * out * 0.0.0.0/0 -> 10.0.2.0/24 MARK set 0x17    SUBNET2     no   yes
3      *        *      MARK all opt -- in * out * 10.0.2.0/24 -> 0.0.0.0/0 MARK set 0x17    SUBNET2     no   yes
4      *        *      MARK all opt -- in * out * 0.0.0.0/0 -> 10.0.3.0/24 MARK set 0x18    SUBNET3     no   yes
5      *        *      MARK all opt -- in * out * 10.0.3.0/24 -> 0.0.0.0/0 MARK set 0x18    SUBNET3     no   yes
6      *        *      MARK all opt -- in * out * 0.0.0.0/0 -> 10.0.4.0/24 MARK set 0x19    SUBNET4     no   yes
7      *        *      MARK all opt -- in * out * 10.0.4.0/24 -> 0.0.0.0/0 MARK set 0x19    SUBNET4     no   yes


Interface Manager
Codice:
ETH02    1000Mb/s Full Duplex
Intel Corporation 82545EM Gigabit Ethernet Controller (Copper) (rev 01)                        On
QoS Status:Enabled       Max:1000Mbit/s       Guaranteed:1000Mbit/s  (Assigned:100%)

Codice:
Class     Description                             Priority  Max Bandwidth  Guaranteed   On
DEFAULT   Default class for unclassified traffic  Medium
ROUTEINT  Traffico interno alle subnet            Medium       
SUBNET2   Banda Subnet 2                          Medium    4Mbit/s        3500Kbit/s   yes
SUBNET3   Banda Subnet 3                          Medium    1Mbit/s        256Kbit/s    yes
SUBNET4   Banda Subnet 4                          Medium    1Mbit/s        256Kbit/s    yes


HTTP Capturing Rules:
Codice:
Rule                           Action
src:10.0.0.0/8 dst:0.0.0.0/0   Capture


Spero tanto che qualcuno mi possa aiutare.
Top
Profilo Invia messaggio privato
ASVP



Registrato: 21/05/08 12:58
Messaggi: 134

MessaggioInviato: Lun Apr 20, 2009 3:36 pm    Oggetto: Rispondi citando

credo dipenda dal fatto che il qos lavori sulla chain forward mentre il proxy sulla input output

che io sappia su zs non e' attivo il qos sulla input / output

Se stai virtualizzando risolvi facilmente realizzando un ulteriore installazione che sia frapposta tra GW e ZS che fa QOS, cui farai fare il proxy.

Inelegante ma funziona

ZS QOS---> ZS Proxy ---> GW
_________________
www.asvp.it
Top
Profilo Invia messaggio privato
svenny



Registrato: 18/09/08 12:11
Messaggi: 245

MessaggioInviato: Lun Apr 20, 2009 4:34 pm    Oggetto: Rispondi citando

Forse il problema sta nel fatto che attivando il proxy trasparente, Il modulo per il QoS si vede arrivare le richieste con l'IP del proxy e non con l'IP sorgente della richiesta pervenuta a ZS:

http://www.zeroshell.net/proxy-antivirus/#transparent-proxy

In teoria però, la blacklist dovrebbe continuare a funzionare.....

Ciao
Top
Profilo Invia messaggio privato
ziconick



Registrato: 13/09/07 09:42
Messaggi: 10

MessaggioInviato: Lun Apr 20, 2009 4:49 pm    Oggetto: Transparent Proxy + Blacklist + QoS Rispondi citando

ASVP ha scritto:
credo dipenda dal fatto che il qos lavori sulla chain forward mentre il proxy sulla input output

che io sappia su zs non e' attivo il qos sulla input / output

Se stai virtualizzando risolvi facilmente realizzando un ulteriore installazione che sia frapposta tra GW e ZS che fa QOS, cui farai fare il proxy.

Inelegante ma funziona

ZS QOS---> ZS Proxy ---> GW


La tua soluzione credo mi complicherebbe la vita una volta che devo pubblicare dei server con VIRTUAL SERVERS.
Top
Profilo Invia messaggio privato
ziconick



Registrato: 13/09/07 09:42
Messaggi: 10

MessaggioInviato: Lun Apr 20, 2009 4:55 pm    Oggetto: Rispondi citando

svenny ha scritto:
Forse il problema sta nel fatto che attivando il proxy trasparente, Il modulo per il QoS si vede arrivare le richieste con l'IP del proxy e non con l'IP sorgente della richiesta pervenuta a ZS:

http://www.zeroshell.net/proxy-antivirus/#transparent-proxy

In teoria però, la blacklist dovrebbe continuare a funzionare.....

Ciao


Quindi se è come dici tu non posso gestire le code Qos insieme al proxy trasparente, ameno che non ci sia un modo per far intervenire prima qos e poi il proxy per l'uscita all'esterno e il contrario per l'ingresso, correggetemi se sbaglio.
Top
Profilo Invia messaggio privato
svenny



Registrato: 18/09/08 12:11
Messaggi: 245

MessaggioInviato: Lun Apr 20, 2009 5:36 pm    Oggetto: Rispondi citando

Considera che il proxy gestisce solo le richieste per la porta 80. Quindi, se è vero quello che ti ho indicato prima, il modulo QoS vedrebbe l'IP del proxy solo nel caso in cui la richiesta originale fosse diretta versa la porta 80. Per tutti gli altri servizi, il modulo QoS funzionerebbe normalmente. Quello che non puoi fare, secondo me, è fare QoS in base all'IP sorgente, quando i pacchetti hanno come destinazione il servizio HTTP. In questo caso, dovrai utilizzare altri criteri per classificare il traffico.

Ciao
Top
Profilo Invia messaggio privato
ASVP



Registrato: 21/05/08 12:58
Messaggi: 134

MessaggioInviato: Lun Apr 20, 2009 11:00 pm    Oggetto: Rispondi citando

guarda cosa ho trovato

http://www.zeroshell.net/eng/forum/viewtopic.php?t=756

credo il tuo problema sia questo... nel topic fulvio suggerisce una soluzione... ma è al di la della mia comprensione.

ciao
_________________
www.asvp.it
Top
Profilo Invia messaggio privato
ziconick



Registrato: 13/09/07 09:42
Messaggi: 10

MessaggioInviato: Gio Mag 07, 2009 12:53 pm    Oggetto: Rispondi citando

Fulvio, come mi avevi promesso, attendo una tua risposta, ti rifaccio la domanda:

Sul forum inglese suggerisci di intervenire manualmente per
classificare il traffico con IPTABLES su OUTPUT chain invece che
FORWARD ("You should classify the traffic manualy with iptables
applied to mangle table and OUTPUT chain instead of FORWARD.").
Non sono molto esperto con IPTABLES, potresti dirmi precisamente cosa fare?

Grazie
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it