Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

QoS e proxy Trasparente

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Lun Giu 22, 2009 6:43 pm    Oggetto: QoS e proxy Trasparente Rispondi citando

Sto provando una soluzione (non è delle più eleganti ma evita la creazione delle regole del qos a manina quando è abilitato il proxy).

Per utilizzare questa soluzione devo utilizzare 2 schede di rete supplamentari.

ETH02/ETH03 bridge

ETH00/ETH01 router (ETH00 wan ETH01 lan)

Dopo aver configurato ZS sulle interfacce ETH00/ETH01 (routing/nat/CP/proxy ecc) creo un bridge tra ETH02 ed ETH03 senza assegnarli un indirizzo ip. Il bridge cosi configurato forwarda tutti i pacchetti. Connetto ETH00 ed ETH02 con un cavo cross e ETH03 alla porta wan.

In questo modo ho un router ed un bridge traparente in cascata. Ora sul bridge configuro le regole di qos che a questo punto non sono più influenzate dal proxy.

E qualche giorno che ho questa configurazione in test e sembra funzionare correttamente.

Ciao
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Lun Giu 22, 2009 7:12 pm    Oggetto: Rispondi citando

Complimenti per la fantasia e l'ingegno. Dal punto di vista formale non c'e' alcun problema, solo che temo che il connection tracking in alcune situazioni possa confondersi poiché pacchetti simili tra loro entrano e riescono per due volte e le tabelle di tracciatura non tengono conto dell'interfaccia. Comunque se continua a funzionare potrebbe essere una soluzione valida. Ti pregherei tra qualche giorno di farci sapere come procedono i test.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Mer Lug 01, 2009 2:42 pm    Oggetto: Rispondi citando

Il sistema configurato in questo modo è acceso dal giorno che ho inserito il primo post senza presentare problemi. Non ho avuto tempo di analizzare i log del connection tracking ma spero di riuscirci nei prossimi nei prossimi giorni.

Ciao.
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Ven Lug 24, 2009 4:22 pm    Oggetto: Rispondi citando

Ciao Giancarlo puoi dirmi se con questo stratagemma da te ideato si può
ovviare anche al problema quà descritto?
Per me è molto importante così risolviamo questo altro problema .

http://www.zeroshell.net/forum/viewtopic.php?t=1839

P.S. hai controllato nei log?

cordiali saluti Vito
Top
Profilo Invia messaggio privato
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Ven Lug 24, 2009 11:28 pm    Oggetto: Rispondi citando

Non ho provato. Sono fuori ufficio sin a lunedi al rientro faro la prova.

Ciao.
Top
Profilo Invia messaggio privato
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Lun Lug 27, 2009 12:44 pm    Oggetto: Rispondi citando

La prova l'ho fatta con la beta 12.

Il sito ( http://www.roc.agcom.it:8080/metro/roc/jsp/index.jsp?PA=AGCOM&AOO=PR ) è visibile senza nessuna impostazione particolare.

ti riporto la mia configurazione

5 scede lan

eth1,eh2 captive portal con script modificato x attivarlo su 2 porte

eth0 in nat

eth3/eth4 in bridge senza ip asseganto.

Cavo cross che collega eth0 con eth3

Wan connessa su eth4

Proxy abilitato su eth1 e eth2 con dst 0.0.0.0/0.0.0.0

Per testare se il proxy funziona puoi usare questo link

http://www.eicar.org/anti_virus_test_file.htm

Se provi a fare un download dei vari pattern in http ti da la segnalazione di download bloccato.

Il proxy è http quindi la prova con https non funziona.

Ciao.
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Lun Lug 27, 2009 4:20 pm    Oggetto: Rispondi citando

Hai fatto la prova con il balancing attivo ?
Se la risp. è no poresti farla
Saluti Vito
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Mar Lug 28, 2009 2:59 pm    Oggetto: Rispondi citando

Gian... hai dans guardian abilitato?
Saluti Vito
Top
Profilo Invia messaggio privato
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Mar Lug 28, 2009 7:28 pm    Oggetto: Rispondi citando

Non su questa instazione non c'è. Non riesco neanche a fare la prova del load balance. Sulle installazioni con più wan ho ancora la beta 11.
Top
Profilo Invia messaggio privato
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Mar Lug 28, 2009 7:59 pm    Oggetto: Rispondi citando

Ho provato il sito da te indicato su una installazione beta 11. Balancer attivo proxy attivo. Il sito è perfettamente raggiongibile. Anche qui non ho dans attivo.

Configurazione utilizzata

Xeon 4 core 4 Gb ram 2 HD sas mirroring hw.

eth00 wan (5 VLAN con indirizzo pubblico)
ETH00.1000 HDSL 8M
ETH00.116 adsl 20M
ETH00.117 adsl 20M
ETH00.118 adsl 20M
ETH00.119 adsl 20M

eth01 lan con CP attivo.

proxy attivo su eth01 con capture rule 0.0.0.0 / 0.0.0.0
Blacklist e whitelist disattivate.

Ho fatto test se havp attivo con www.eicar.org.

Firewall (chain input) drop su tutte le vlan di eth00 state new

In questa prova per restare autenticato sul sito di ZS ho dovuto fare una balance rules manuale.

Ciao.
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Mar Lug 28, 2009 8:18 pm    Oggetto: Rispondi citando

ho lavorato circa 20ore a fare i test
ed ho provato anche la tua configurazione
credo di aver trovato 2 bug enormi .
uno mi sa che dipende da dans infatti ti accorgi che se lo attivi nella tua config il tuo amato sistema va in tilt e ti garantisco che il sito del roc su porta 8080 non va.
Con questa tua confugurazione permane anche il problema di download con burst.Su più regole
Convintissimo ancora di più dei bug esistenti.

Saluti Vito
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Sab Ago 01, 2009 9:13 am    Oggetto: Rispondi citando

In questa prova per restare autenticato sul sito di ZS ho dovuto fare una balance rules manuale.

Già giancarlo infatti ciò è descritto quì.

http://www.zeroshell.net/forum/viewtopic.php?t=1812&start=0&postdays=0&postorder=asc&highlight=

Saluti Vito
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it