Precedente :: Successivo |
Autore |
Messaggio |
ziconick
Registrato: 13/09/07 09:42 Messaggi: 10
|
Inviato: Lun Apr 20, 2009 3:30 pm Oggetto: Transparent Proxy + Blacklist + QoS |
|
|
Non riesco ad attivare il Transparent Proxy insieme al QoS, nel senso che appena attivo il transparent proxy tutto il traffico gira sulla Classe QoS DEFAULT.
Ho notato che non blocca neanche le url della Blacklist.
Cerco di farvi capire la mia situazione.
Ho zeroshell installato su un server VMware ESXi 3.5 (quindi è virtuale).
Le caratteristiche di zeroshell sono:
2 x CPU xeon 2,97 GHz
RAM 1GB
HD 20GB
4 schede di rete.
Le schede di rete sono così configurate:
Codice: | Interface VLAN IP/Netmask
ETH00 Default 10.0.5.250/24
ETH00 6 10.0.6.254/24
ETH01 Default Not configured
ETH02 Default Not configured
ETH02 2 10.0.2.254/24
ETH02 3 10.0.3.254/24
ETH02 4 10.0.4.254/24
ETH03 Default x.x.x.x/30 |
QoS - CLASS MANAGER:
Codice: | Class Description Priority Max Bandwidth Guaranteed On
DEFAULT Default class for unclassified traffic Medium
ROUTEINT Traffico interno alle subnet Medium
SUBNET2 Banda Subnet 2 Medium 4Mbit/s 3500Kbit/s yes
SUBNET3 Banda Subnet 3 Medium 1Mbit/s 256Kbit/s yes
SUBNET4 Banda Subnet 4 Medium 1Mbit/s 256Kbit/s yes |
QoS Rules:
Codice: | Seq Input Output Description QoS Class Log Active
1 * * MARK all opt -- in * out * 10.0.0.0/8 -> 10.0.0.0/8 MARK set 0x1a ROUTEINT no yes
2 * * MARK all opt -- in * out * 0.0.0.0/0 -> 10.0.2.0/24 MARK set 0x17 SUBNET2 no yes
3 * * MARK all opt -- in * out * 10.0.2.0/24 -> 0.0.0.0/0 MARK set 0x17 SUBNET2 no yes
4 * * MARK all opt -- in * out * 0.0.0.0/0 -> 10.0.3.0/24 MARK set 0x18 SUBNET3 no yes
5 * * MARK all opt -- in * out * 10.0.3.0/24 -> 0.0.0.0/0 MARK set 0x18 SUBNET3 no yes
6 * * MARK all opt -- in * out * 0.0.0.0/0 -> 10.0.4.0/24 MARK set 0x19 SUBNET4 no yes
7 * * MARK all opt -- in * out * 10.0.4.0/24 -> 0.0.0.0/0 MARK set 0x19 SUBNET4 no yes |
Interface Manager
Codice: | ETH02 1000Mb/s Full Duplex
Intel Corporation 82545EM Gigabit Ethernet Controller (Copper) (rev 01) On
QoS Status:Enabled Max:1000Mbit/s Guaranteed:1000Mbit/s (Assigned:100%) |
Codice: | Class Description Priority Max Bandwidth Guaranteed On
DEFAULT Default class for unclassified traffic Medium
ROUTEINT Traffico interno alle subnet Medium
SUBNET2 Banda Subnet 2 Medium 4Mbit/s 3500Kbit/s yes
SUBNET3 Banda Subnet 3 Medium 1Mbit/s 256Kbit/s yes
SUBNET4 Banda Subnet 4 Medium 1Mbit/s 256Kbit/s yes |
HTTP Capturing Rules:
Codice: | Rule Action
src:10.0.0.0/8 dst:0.0.0.0/0 Capture |
Spero tanto che qualcuno mi possa aiutare. |
|
Top |
|
 |
ASVP
Registrato: 21/05/08 12:58 Messaggi: 134
|
Inviato: Lun Apr 20, 2009 3:36 pm Oggetto: |
|
|
credo dipenda dal fatto che il qos lavori sulla chain forward mentre il proxy sulla input output
che io sappia su zs non e' attivo il qos sulla input / output
Se stai virtualizzando risolvi facilmente realizzando un ulteriore installazione che sia frapposta tra GW e ZS che fa QOS, cui farai fare il proxy.
Inelegante ma funziona
ZS QOS---> ZS Proxy ---> GW _________________ www.asvp.it |
|
Top |
|
 |
svenny
Registrato: 18/09/08 12:11 Messaggi: 245
|
Inviato: Lun Apr 20, 2009 4:34 pm Oggetto: |
|
|
Forse il problema sta nel fatto che attivando il proxy trasparente, Il modulo per il QoS si vede arrivare le richieste con l'IP del proxy e non con l'IP sorgente della richiesta pervenuta a ZS:
http://www.zeroshell.net/proxy-antivirus/#transparent-proxy
In teoria però, la blacklist dovrebbe continuare a funzionare.....
Ciao |
|
Top |
|
 |
ziconick
Registrato: 13/09/07 09:42 Messaggi: 10
|
Inviato: Lun Apr 20, 2009 4:49 pm Oggetto: Transparent Proxy + Blacklist + QoS |
|
|
ASVP ha scritto: | credo dipenda dal fatto che il qos lavori sulla chain forward mentre il proxy sulla input output
che io sappia su zs non e' attivo il qos sulla input / output
Se stai virtualizzando risolvi facilmente realizzando un ulteriore installazione che sia frapposta tra GW e ZS che fa QOS, cui farai fare il proxy.
Inelegante ma funziona
ZS QOS---> ZS Proxy ---> GW |
La tua soluzione credo mi complicherebbe la vita una volta che devo pubblicare dei server con VIRTUAL SERVERS. |
|
Top |
|
 |
ziconick
Registrato: 13/09/07 09:42 Messaggi: 10
|
Inviato: Lun Apr 20, 2009 4:55 pm Oggetto: |
|
|
svenny ha scritto: | Forse il problema sta nel fatto che attivando il proxy trasparente, Il modulo per il QoS si vede arrivare le richieste con l'IP del proxy e non con l'IP sorgente della richiesta pervenuta a ZS:
http://www.zeroshell.net/proxy-antivirus/#transparent-proxy
In teoria però, la blacklist dovrebbe continuare a funzionare.....
Ciao |
Quindi se è come dici tu non posso gestire le code Qos insieme al proxy trasparente, ameno che non ci sia un modo per far intervenire prima qos e poi il proxy per l'uscita all'esterno e il contrario per l'ingresso, correggetemi se sbaglio. |
|
Top |
|
 |
svenny
Registrato: 18/09/08 12:11 Messaggi: 245
|
Inviato: Lun Apr 20, 2009 5:36 pm Oggetto: |
|
|
Considera che il proxy gestisce solo le richieste per la porta 80. Quindi, se è vero quello che ti ho indicato prima, il modulo QoS vedrebbe l'IP del proxy solo nel caso in cui la richiesta originale fosse diretta versa la porta 80. Per tutti gli altri servizi, il modulo QoS funzionerebbe normalmente. Quello che non puoi fare, secondo me, è fare QoS in base all'IP sorgente, quando i pacchetti hanno come destinazione il servizio HTTP. In questo caso, dovrai utilizzare altri criteri per classificare il traffico.
Ciao |
|
Top |
|
 |
ASVP
Registrato: 21/05/08 12:58 Messaggi: 134
|
|
Top |
|
 |
ziconick
Registrato: 13/09/07 09:42 Messaggi: 10
|
Inviato: Gio Mag 07, 2009 12:53 pm Oggetto: |
|
|
Fulvio, come mi avevi promesso, attendo una tua risposta, ti rifaccio la domanda:
Sul forum inglese suggerisci di intervenire manualmente per
classificare il traffico con IPTABLES su OUTPUT chain invece che
FORWARD ("You should classify the traffic manualy with iptables
applied to mangle table and OUTPUT chain instead of FORWARD.").
Non sono molto esperto con IPTABLES, potresti dirmi precisamente cosa fare?
Grazie |
|
Top |
|
 |
|