não vou explicar as regras, somente copiem e colem, e pronto... dará tudo certo!
OBS.: Os Acessos externos as Portas 22, 8181, 3129(edite o acesso externo do Squid de 3128 para 3129) tem que estar ativas.
EDIT
1º Criamos uma Range de Ip no Mk para colocarmos no BFW.
IP -> ADDRESSES -> + -> 192.168.10.1/30 e selecione a Interface que você destinou ao BFW
- Após isso coloque o ip 192.168.10.2 no BFW.
- Feito isso tente acessar o BFW por https://192.168.10.2:8181, se conseguir falta pouco.
- Após os passos acima é só colar as regras no Mk
Aceitando as Conexões do BFW
- Código: Selecionar todos
/ip firewall filter
add action=accept chain=forward comment="Aceita BFW" disabled=no \
src-address=192.168.10.0/30
Redirecionando o tráfego para o Cache
Obs.:Tem que mudar a porta do acesso externo do Squid-BFW de 3128 para 3129
- Código: Selecionar todos
/ip firewall nat
add action=dst-nat chain=dstnat comment="Redirect BFW Cache" disabled=yes \
dst-port=80 protocol=tcp src-address=10.0.0.0/8 to-addresses=\
192.168.10.2 to-ports=3129
Fazendo a marcação dos Pacotes
- Código: Selecionar todos
/ip firewall mangle
add action=mark-connection chain=postrouting comment="BFW CACHE FULL =====\
==========================================================================\
=======================" content="X-Cache: HIT from BFW Cache" disabled=no \
new-connection-mark=bfw-connection passthrough=yes protocol=tcp \
src-address=192.168.10.2
add action=mark-packet chain=postrouting comment="" connection-mark=\
bfwcache-connection disabled=no new-packet-mark=bfwcache-packs passthrough=\
yes
add action=mark-connection chain=postrouting comment="TOS 12==================\
==========================================================================\
=========================" disabled=no dscp=12 new-connection-mark=\
proxy-hits passthrough=yes protocol=tcp src-address=192.168.10.2
add action=mark-packet chain=postrouting comment="" connection-mark=\
proxy-hits disabled=no new-packet-mark=proxy-squid passthrough=yes
Definindo a velocidade do Cache Full
- Código: Selecionar todos
/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=2M name="T -cache_hits" packet-mark=proxy-squid parent=\
global-out priority=4 queue=default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=2M name=BFW Cache packet-mark=bfwcache-packs parent=\
global-out priority=4 queue=default
Domínios que nao passarão pelo Cache
- Código: Selecionar todos
/ip firewall address-list
add address=69.147.95.0/24 comment="\"\"\"\"YAHOO MAIL\"\"\"\"" disabled=no \
list=nobalance
add address=209.191.106.0/24 comment="\"\"\"\"YAHOO MAIL\"\"\"\"" disabled=no \
list=nobalance
add address=74.6.228.0/24 comment="\"\"\"\"YAHOO MAIL\"\"\"\"" disabled=no \
list=nobalance
add address=98.136.131.0/24 comment="\"\"\"\"YAHOO MAIL\"\"\"\"" disabled=no \
list=nobalance
add address=200.143.37.0/24 comment="\"\"\"\"WEBMOTORS\"\"\"\"" disabled=no \
list=nobalance
add address=65.54.0.0/16 comment=MSN1 disabled=no list=nobalance
add address=207.46.0.0/16 comment=MSN2 disabled=no list=nobalance
add address=64.4.0.0/16 comment=MSN3 disabled=no list=nobalance
add address=200.143.0.0/16 comment=Pagdigital disabled=no list=nobalance
add address=201.88.0.0/16 comment=f2b disabled=no list=nobalance
add address=200.201.0.0/16 comment="caixa economica" disabled=no list=\
nobalance
add address=170.66.0.0/16 comment="bb do brasil" disabled=no list=nobalance
add address=200.155.0.0/16 comment=bradesco disabled=no list=nobalance
add address=200.196.0.0/16 comment=itau disabled=no list=nobalance
add address=200.208.0.0/16 comment=sudameris disabled=no list=nobalance
add address=200.220.0.0/16 comment=santander disabled=no list=nobalance
add address=201.63.0.0/16 comment="wwws bradesco" disabled=no list=nobalance
add address=65.55.0.0/16 comment=MSN4 disabled=no list=nobalance
add address=74.52.0.0/16 comment="caixa economica" disabled=no list=nobalance
add address=174.133.0.0/16 comment="caixa economica" disabled=no list=\
nobalance
add address=200.219.137.0/24 comment="" disabled=no list=nobalance
add address=200.252.8.0/24 comment="" disabled=no list=nobalance
add address=201.2.207.0/24 comment="" disabled=no list=nobalance
add address=200.196.226.0/24 comment="" disabled=no list=nobalance
add address=201.24.72.0/24 comment="" disabled=no list=nobalance
add address=78.46.46.139 comment="" disabled=no list=nobalance
Regra para habilitar os domínios que passaram por fora
- Código: Selecionar todos
ip firewall nat
add action=accept chain=dstnat comment=\
"\"\"\"\"\"\"Sites FORA DO PROXY\"\"\"\"\"\"" disabled=no \
dst-address-list=nobalance dst-port=80 protocol=tcp
e pronto, aconcelho a colocar um cabo direto, PC-PC para a comunicaçao.
bom e é só, qualquer dúvida é só deixar no post!