Сильно тормозит webproxy

Обсуждение оборудования и его настройки
Ответить
Stepleer
Сообщения: 6
Зарегистрирован: 17 ноя 2011, 13:22

Здравствуйте, уважаемые.
Столкнулся с проблемой на RB 433UAH, включаю редирект всех входящих на 80-й порт на порт 8080, включаю вебпрокси, и инет начинает дико тормозить на всех машинах, некоторые сайты вообще не открываются. С чем может быть связана проблема?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

до кучи заверните 443 порт на прокси

это ssl без него некоторые сайты (например гугл почта) не откроются


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Stepleer
Сообщения: 6
Зарегистрирован: 17 ноя 2011, 13:22

а на какой порт его редиректить?
тоже на 8080 ?

Кстати, у меня стоит прослушка 443-го порта из инета и проброс на комп.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

веб прокси подходит только для http трафика, то есть 80 порта

443й порт придется натить

далее, посмотрите, работают ли запросы DNS (udp:53)

посмотрел вебпрокси - там особо нечего настраивать,

вы используете просто прокси или веб-прокси?

посмотрите мануал по просто прокси, http://www.mikrotik.com/testdocs/ros/3.0/pnp/proxy.php , там больше настроек, но нет кеша надиск


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Stepleer
Сообщения: 6
Зарегистрирован: 17 ноя 2011, 13:22

использую веб-прокси


Stepleer
Сообщения: 6
Зарегистрирован: 17 ноя 2011, 13:22

такое ощущение, что затык идет именно в днс.
какие парвила для веб-прокси и для днс должны быть созданы?
у меня сейчас всё исходящее из одного интерфейса (лок. сети) разрешено на все внешние интерфейсы.


Stepleer
Сообщения: 6
Зарегистрирован: 17 ноя 2011, 13:22

Сделано всё так, как по ссылке, включен вебпрокси на 8080, сделан в НАТе редирект.

admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; INET_NAT
chain=srcnat action=masquerade out-interface=pppoe-RTK

1 chain=srcnat action=masquerade out-interface=ether2

2 chain=srcnat action=masquerade out-interface=ppp-out1

3 ;;; ALLOW_RDP
chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=3389 protocol=tcp in-interface=ether2 dst-port=3389

4 chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=3389 protocol=tcp in-interface=pppoe-RTK dst-port=3389

5 chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=3389 protocol=tcp in-interface=ppp-out1 dst-port=3389

6 ;;; ALLOW_HTTPS
chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=443 protocol=tcp in-interface=ether2 dst-port=443

7 chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=443 protocol=tcp in-interface=pppoe-RTK dst-port=443

8 ;;; MANAGERS
chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=8631 protocol=tcp in-interface=ether2 dst-port=8631

9 chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=8631 protocol=tcp in-interface=pppoe-RTK dst-port=8631

10 chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=8431 protocol=tcp in-interface=ether2 dst-port=8431

11 chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=8431 protocol=tcp in-interface=pppoe-RTK dst-port=8431

12 ;;; DRIVERS
chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=4130-4132 protocol=tcp in-interface=ether2
dst-port=4130-4132

13 chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=4130-4132 protocol=tcp in-interface=pppoe-RTK
dst-port=4130-4132

14 chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=4130-4132 protocol=tcp in-interface=ppp-out1
dst-port=4130-4132

15 ;;; SIP
chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=5060-5068 protocol=udp in-interface=ether2
dst-port=5060-5068

16 chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=5060-5068 protocol=tcp in-interface=ether2
dst-port=5060-5068

17 chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=9000-20000 protocol=udp in-interface=ether2
dst-port=9000-20000

18 chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=9000-20000 protocol=tcp in-interface=ether2
dst-port=9000-20000

19 chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=5060-5068 protocol=udp in-interface=pppoe-RTK
dst-port=5060-5068

20 chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=5060-5068 protocol=tcp in-interface=pppoe-RTK
dst-port=5060-5068

21 chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=9000-20000 protocol=udp in-interface=pppoe-RTK
dst-port=9000-20000

22 chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=9000-20000 protocol=tcp in-interface=pppoe-RTK
dst-port=9000-20000

23 chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=5060-5068 protocol=udp in-interface=ppp-out1
dst-port=5060-5068

24 chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=5060-5068 protocol=tcp in-interface=ppp-out1
dst-port=5060-5068

25 chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=9000-20000 protocol=udp in-interface=ppp-out1
dst-port=9000-20000

26 chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=9000-20000 protocol=tcp in-interface=ppp-out1
dst-port=9000-20000

27 ;;; PROXY
chain=dstnat action=redirect to-ports=8080 protocol=tcp in-interface=ether1 dst-port=80


Stepleer
Сообщения: 6
Зарегистрирован: 17 ноя 2011, 13:22

[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Drop invalid connection packets
chain=input action=drop connection-state=invalid

1 ;;; Allow all 4 router
chain=output action=accept src-address=127.0.0.1

2 chain=forward action=accept src-address=ип роутера

3 ;;; VPN
chain=input action=accept protocol=tcp dst-port=1723

4 chain=input action=accept protocol=gre

5 ;;; Allow established connections
chain=forward action=accept connection-state=established

6 ;;; Allow related connections
chain=forward action=accept connection-state=related

7 ;;; Allow ping
chain=forward action=accept protocol=icmp

8 ;;; Access to router only for admin
chain=input action=accept src-address=192.168.0.1

9 chain=input action=accept src-address=192.168.0.151

10 chain=input action=drop protocol=tcp src-address=0.0.0.0/0 in-interface=!ether1 dst-port=8080 //запрет публичного веб-прокси

11 ;;; p2p
chain=forward action=drop p2p=all-p2p src-address=!192.168.0.2


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

DNS, судя по википедии

использует Порт/ID:53/TCP, 53/UDP

соответственно смотрите, в какие правила заворачиваются у Вас пакеты с этих портов


Попробуйте в фильтре разрешить порт 53 TCP и 53 UDP


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Ответить