Re: Proxy transparente similar a um acesso iptables, existe?

Não é apenas performance, a performance é satisfatória, apenas não é mais rápido do que se não houvesse proxy.

Mas é que o conjunto da obra é aborrecedor, tenho de lidar com regras de iptables, regras do squid e além disso, lidar com regras de acesso com os famigerados serviços do governo.

Por exemplo, o joaquim do RH tem regra de iptables para navegar transparente para certos lugares (sites/ip do governo), mas seu navegador está ajustado para autoconfiguração via rede (wpad), então o wpad tem regras para determinar se o joaquim vai usar proxy ou não, outros na rede tem situações similares.

Quando um acesso na internet falha para um programa ou uma pessoa, lá vai eu tentar descobrir se é o hardware, iptables, squid ou o wpad,... eu fiz o melhor que pude criando menus orientados que automatizam muitas tarefas, mas estou quase escrevendo um sistema operacional com tantas variáveis em scripts. As vezes um sistema do governo simplesmente falha o acesso, daí vai eu até o programa do usuário, usar um netstat e observar onde o programa quer chegar e lá vai mexer nas regras de iptables de novo, wpad e squid (dizer que tal site/ip é direto). As configurações de meu squid é praticamente um monte de 'include' com arquivos picados para lidar com varias situações, já aconteceu por exemplo, alguma atualização no linux quebrar a autenticação no AD, dai por meio de menus, troco a parte de autenticação pelo AD por nenhuma autenticação e a rede fica liberada para navegar sem a autenticação.

Até tenho menus com orientações que automatiza várias situações, mas vou lhe dizer, se eu sair daqui dessa empresa, dificilmente a próxima pessoa entenderia as camadas que tenho de lidar. Minha angustia é ter uma pilha de configurações e oras mexer aqui e oras mexer acolá, isso nem acontece sempre, mas quando acontece é aborrecedor. Me lembro que uns 10 anos atrás (ou mais), na época da linha discada, tinha um programa chamado wingate, liberou o usuário/maquina, pronto, onde ele fosse tava liberado nas portas que determinei que estivessem abertas, se eu não me engano era um proxy baseado em sockets. Tinha apenas que instalar um client, era tão simples!

Tentei convencer a empresa a comprar um appliance que fizesse tudo isso, mas devido ao custo mensal, disseram 'não'.

Estou planejamento mudar o que temos, daí o motivo de minha pergunta inicial, tornar as coisas mais simples.

Em 15 de agosto de 2013 19:48, Mauricio S. T. Neto <mstneto@gmail.com> escreveu:

Hamacker boa noite.
Minha resposta pode ser considerada um tanto "off topic", mas vamos lá.
Claro que cada vez que você adiciona uma camada de software existe uma queda de performance mas pelo que sei o Squid é capaz de dar conta do recado com centenas (ou milhares) de conexões simultâneas. Será que não existe algum problema com sua configuração ou hardware?

É conhecimento corrente que existe uma relação de numero de conexões (usuários) e necessidade de memória para que o squid possa trabalhar de forma eficiente. Outra questão é o disco que deve ter baixa latência, ou seja se este disco é compartilhado com um banco de dados a possibilidade é ser o "vilão" é grande.

Aqui nesta lista já faz algum tempo tivemos um amigo usando o Squid para muitos usuários e enfrentando problema de performance, mas ele conseguiu solucionar a questão seguindo as diversas dicas aqui discutidas. Lembro ate que a toca de mensagens atingiu um nível técnico muito bom.

Eu procuraria usar ferramentas do tipo iostat, sar, etc para identificar a causa da sua queda significativa de performance efetuar algumas avaliações na sua configuração buscando tips & tricks (essa lista :-)) para discutir possíveis soluções.

Abraço.

Em 15-08-2013 14:06, hamacker escreveu:

Pessoal, eu tô montando um novo servidor de internet e ao mostrar a performance usando proxy squid e sem proxy squid (apenas iptables), a diferença de performance é muito maior usando apenas iptables. O problema com iptables é que não há autenticação e nem logs para saber como está sendo usado este acesso.

Eu acho que não, mas não custa perguntar:

Existe algo que permita o acesso transparente a internet, semelhante ao iptables+gateway, mas que contenha logs de acesso e autenticação?

O squid aqui tá bem balanceado, mas para funcionar adequadamente tem que ajustar regras iptables+regras squid por causa de aplicações como caixa.gov.br, receita federal, etc... e sinceramente é um saco, além é claro na queda de performance que isso dá.

Talvez voces saibam um jeito melhor de lidar com isso ou usam outro proxy, sei lá, eu gostaria de experimentar outras alternativas.

[]´s a todos.

-- Mauricio S.T. Neto