Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Squid Ayuda Buena
Squid Ayuda Buena
Contenido
1. Conceptos de Interceptacin Caching
2. Requisitos y mtodos de interceptacin Caching
3. Pasos necesarios para configurar Interceptacin Caching
1. Compilar una versin de Squid que acepta conexiones para otras
direcciones
1. La eleccin de las opciones correctas para pasar a. / Configure
2. Configurar Squid para aceptar y procesar las 80 conexiones de los
puertos redirigidos
2. Para que tu trfico al puerto de la derecha en su cach Squid
1. Redireccin de paquetes Caching Interceptacin para Solaris,
SunOS y BSD sistemas
1. Instale el filtro IP
2. Configure ipnat
2. Redireccin de paquetes Caching intercepcin para OpenBSD PF
3. Consiga los paquetes de los clientes finales a su servidor de cach
1. Caching Interceptacin redireccin de paquetes con los routers
Cisco utilizando la poltica de enrutamiento (NO WCCP)
1. Deficiencias del mtodo de la ruta poltica-mapa IP de Cisco
2. Caching Interceptacin redireccin de paquetes con interruptores
Foundry L4
3. Interceptacin Caching redireccin de paquetes con un Alcatel
OmnySwitch 7700
4. Caching Interceptacin redireccin de paquetes con productos de
Cabletron / Entrasys
5. Redireccin de paquetes Caching Interceptacin con ACC Tigris
servidor de acceso digital
4. Protocolo de Coordinacin de Web Cache - WCCP
1. Admite Squid WCCP?
2. Necesito un router cisco para funcionar WCCP?
3. Puedo ejecutar WCCP con el puerto de Windows del calamar?
4. Dnde puedo encontrar ms informacin sobre WCCP?
5. Software del router Cisco requiere para WCCP
Sin embargo tambin hay desventajas significativas para esta estrategia, como se indica
por Mark Elsen:
Interceptar HTTP rompe los estndares TCP / IP porque los agentes de usuario
piensan que estn hablando directamente al servidor de origen.
Requiere IPv4 con NAT en la mayora de los sistemas operativos, aunque algunos
ahora apoyan TPROXY o NAT para IPv6 tambin.
Autenticacin basada en IP por el origen falla porque los usuarios son vistos por
venir de la propia direccin de IP de la interceptacin de cach.
para el servidor proxy para otros protocolos distintos de HTTP desde el cliente no
sabr qu hacer con l.
Carga de DNS se duplica, ya que los clientes hacen una bsqueda de DNS, y el
proxy de intercepcin repite.
Si usted siente que las ventajas superan a los inconvenientes en su red, puede optar por
seguir leyendo y ver la implementacin de Interceptacin de almacenamiento en cach.
Usted necesita tener una buena comprensin de lo que est haciendo antes de
empezar. Esto implica entender a una capa de TCP lo que est sucediendo a las
conexiones. Esto le ayudar tanto configurar el sistema y, adems, le ayudar si
sus clientes finales experimentan problemas despus de haber implementado su
solucin.
Un calamar actual (2.5 +). Debe ejecutar la ltima versin de Squid que est
disponible en el momento.
Nota: Si utiliza routers y switches Cisco en su red puede que desee investigar el uso de
WCCP. WCCP es una forma muy flexible de redirigir el trfico y es lo suficientemente
inteligente como para detener automticamente redirigir el trfico del cliente si la cach se
queda sin conexin. Esto puede implicar que la actualizacin de su router o switch a una
liberacin de IOS o un featureset mejorado que soporta WCCP. Hay una seccin escrita
especficamente en WCCP a continuacin.
Configuracin del dispositivo de red para redirigir el trfico del puerto 80.
Se requieren los dos primeros pasos y los dos ltimos pueden o pueden no ser necesarios
en funcin de cmo se va a enrutar el trfico HTTP en la memoria cach.
! Es importante leer los comentarios completos en el archivo squid.conf y en este
documento en su totalidad antes de comenzar. Obtencin de Interceptacin de
almacenamiento en cach para trabajar con el calamar no es trivial y requiere de muchos
subsistemas de Squid y su red para ser configurado exactamente correcto o de lo contrario
se encontrar con que no va a funcionar y los usuarios no ser capaz de navegar en
absoluto. Usted debe probar la configuracin en un entorno no vivo antes de dar rienda
suelta a esta caracterstica en sus usuarios finales.
Para los sistemas basados en BSD *-con filtro IP configurar Squid con la opcin enable-ipf-transparente opcin.
Hacer un make clean si ha configurado previamente y sin esa opcin, o los ajustes
correctos pueden no estar presentes.
Squid-2.6 + y Squid-3.0 + apoyar tanto WCCPv1 y WCCPv2 por defecto (a menos que
desactives explcitamente).
Instale el filtro IP
Configure ipnat
Ponga estas lneas en / etc / ipnat.rules :
#Redireccionareltrficowebdirectoalservidorweblocal.
rdrde01.2.3.4/32puerto80>1.2.3.4puerto80tcp
#Redireccionartodolodemsaloscalamaresenelpuerto8080
rdrde00.0.0.0/0elpuerto80>1.2.3.4puerto8080tcp
Modifique sus scripts de arranque para permitir ipnat . Por ejemplo, en FreeBSD que se
ve algo como esto:
/Sbin/modlo/lkm/if_ipl.o
/Sbin/ipnatf/etc/ipnat.rules
chgrpnadie/dev/ipnat
chmod644/dev/ipnat
Gracias a Quinton Dolan .
Hay varias maneras de hacer esto. En primer lugar, si su mquina de proxy ya est en el
camino de los paquetes (es decir, est de enrutamiento entre los usuarios de proxy e
Internet), entonces usted no tiene que preocuparse por este paso como la interceptacin
Caching ahora debera estar trabajando. Esto sera cierto si instala Squid en una mquina
de servidor de seguridad o en un router basado en UNIX. Si la cach no est en la ruta de
acceso natural de las conexiones, entonces usted tiene que desviar los paquetes de la ruta
normal a su host de cach mediante un router o switch.
Si utiliza un dispositivo externo para dirigir el trfico a su cach, hay varias formas de hacer
esto. Usted puede ser capaz de hacer esto con un router Cisco mediante WCCP, o la
funcin de "hoja de ruta". Tambin puede utilizar una capa-4 encienda la llamada, como el
ACE-director Alteon o el Foundry Networks ServerIron.
Por ltimo, es posible que pueda utilizar un tipo de router / equilibrador de carga producto
independiente, o capacidades de enrutamiento de un servidor de acceso.
interfazFastEthernet0/0
polticaiproutemapproxyredireccionamiento
!
telnet@ServerIron#conft
telnet@ServerIron(config)#servidordecachdenombressquid1
192.168.1.10
telnet@ServerIron(config)#servidordecachdenombressquid2
192.168.1.11
telnet@ServerIron(config)#servidordecachdelgrupo1
telnet@ServerIron(configtc1)#cachdenombressquid1
telnet@ServerIron(configtc1)#cachdenombressquid2
telnet@ServerIron(config)#ippolticadecach1tcphttp
locales
telnet@ServerIron(config)#inte17
telnet@ServerIron(configif17)#ippoltica1
Dado que todo el trfico de salida a Internet se apaga la interfaz 17 (el router), y la
interfaz 17 tiene la directiva de cach que se le aplica, el trfico HTTP va a ser
interceptada y redirige a los cachs que haya configurado.
El puerto por defecto para redirigir a se puede cambiar. El algoritmo de equilibrio de carga
utilizado se puede cambiar (Menor de ocasin, Ronda Robin, etc). Los puertos pueden
estar exentos de almacenamiento en cach si es necesario. Listas de acceso se pueden
aplicar para que slo determinadas direcciones IP de origen se redirigen, etc Esta
informacin ha quedado fuera de este documento, ya que esto era slo un howto rpida
que se aplicara para la mayora de la gente, no pretende ser un manual completo de cmo
configurar un conmutador Foundry. Sin embargo, puedo revisar esto con toda la
informacin necesaria si la gente siente que debera ser incluido.
aplicanqos
No olvide que usted todava tiene que configurar el sistema operativo y Squid Squid para
manejar las conexiones interceptados. Ver arriba para Squid y los detalles especficos de
OS.
Usted puede comprobar si se est asignando el filtro a inicios de sesin con el siguiente
comando:
mostrartabladepuertosperfil
Cisco tiene un buen contenido en su sitio web acerca de WCCP. Uno de los mejores
documentos que enumera las caractersticas y describe cmo configurar WCCP en sus
routers se pueden encontrar en la pgina web existe aqu .
Tambin hay un documento ms tcnico que describe el formato de los paquetes de
WCCP en Colasoft
Ahora lo que necesita para leer sobre los detalles de la configuracin de su sistema
operativo para apoyar WCCP.
Configurando FreeBSD
FreeBSD primero necesita ser configurado para recibir y despojar a la encapsulacin GRE
de los paquetes del enrutador. Los pasos dependen de la versin del kernel.
Tenga en cuenta que WCCP es incompatible con la funcin rp_filter en Linux y se debe
desactivar esta si est habilitado. Si se habilita todos los paquetes redirigidos por WCCP y
interceptadas por Netfilter / iptables se silendly descartada por la pila TCP / IP debido a su
origen "inesperado" de la interfaz gre.
echo0>/proc/sys/net/ipv4/conf/wccp0/rp_filter
Y entonces usted tiene que decirle al ncleo de Linux NAT para redirigir el trfico entrante
en la interfaz wccp0 en Squid
iptablestnatAPREROUTINGiwccp0jREDIRECTredirigira3128
TProxy Intercepcin
TProxy v2.2
TProxy es una nueva caracterstica en Squid-2.6 que mejora el almacenamiento en cach
Interceptacin estndar, por lo que oculta an ms la presencia de la memoria
cach. Normalmente con Interceptacin Caching el servidor remoto ve a su motor de
cach como la fuente de la solicitud HTTP. TProxy lleva esto un paso ms all de la
clandestinidad su motor de cach para que el cliente final se ve como el origen de la
solicitud (a pesar de que realmente no lo son).
He aqu algunas notas de StevenWilton sobre cmo conseguir TProxy funciona
correctamente:
Tengo TProxy + WCCPv2 trabajar con squid 2.6. Hay algunas cosas que hay que hacer:
El ncleo e iptables necesitan ser parcheadas con las manchas tproxy (y el tproxy
archivo de inclusin tiene que ser colocado en /
usr/include/linux/netfilter_ipv4/ip_tproxy.h o include/netfilter_ipv4/ip_tproxy.h en el
rbol de fuentes calamar).
La regla de iptables necesita usar el objetivo TPROXY (en lugar del objetivo
REDIRECT) para redirigir el trfico del puerto 80 al proxy. es decir:
iptablesttproxyAPREROUTINGieth0ptcpmtcpdport80j
TPROXYenelpuerto80
El kernel debe despojar a la cabecera GRE de los paquetes de entrada (ya sea
utilizando el mdulo ip_wccp, o por tener un tnel GRE establecido en Linux que
seala en el router (no se requiere ninguna configuracin GRE en el router)).
Dos servicios WCCP se deben utilizar, una para el trfico saliente y una inversa
para el trfico de retorno a travs de Internet. Utilizamos las siguientes definiciones
WCCP en squid.conf:
wccp2_servicedinmica80
wccp2_service_info80protocol=tcpflags=prioritarias
src_ip_hash=240=80puertos
wccp2_servicedinmica90
wccp2_service_info90protocol=tcpflags=prioritarias
dst_ip_hash,ports_source=240=80puertos
Es muy recomendable que las definiciones anteriores se utilizarn para los dos servicios
WCCP, de lo contrario las cosas van a romper si usted tiene ms de un cach (en
concreto, tendr problemas cuando el nombre de un servidor web tiene mltiples
direcciones IP).
El puerto http que est redirigiendo a debe tener las opciones transparentes y
tproxy habilitados como sigue (modificar el puerto en su caso): 80 http_port tproxy
transparente
No debe ser una direccin tcp_outgoing definido. Esto tendr que ser vlida para
satisfacer cualquier conexin no tproxied.
En el router, es necesario asegurarse de que todo el trfico que va hacia / desde el
cliente sern tratados por ambas normas WCCP. La forma que tenemos
implementado esto es aplicar el servicio WCCP 80 a todo el trfico que viene de una
interfaz de cara al cliente, y el servicio WCCP 90 aplica a todo el trfico de salir de una
interfaz de cara al cliente. Tambin hemos aplicado el WCCP excluir en regla para todo el
trfico que viene desde la interfaz de proxy-frente aunque esto probablemente no suele ser
necesario si todos los cachs se han registrado para el router WCCP. es decir:
interfazGigabitEthernet0/3.100
DescripcinclientesdeADSL
dot1Qencapsulacin502
IPaddressxxxxaaaa
ipWCCP80Remitirdentro
ipWCCP90redirigiracabo
interfazGigabitEthernet0/3.101
Descripcinclientesdeaccesotelefnico
dot1Qencapsulacin502
IPaddressxxxxaaaa
ipWCCP80Remitirdentro
ipWCCP90redirigiracabo
interfazGigabitEthernet0/3.102
servidoresProxyDescripcin
dot1Qencapsulacin506
IPaddressxxxxaaaa
redireccinWCCPipexcluyeen
TProxy v4.1 +
A partir de Squid 3.1 soporte para TProxy est estrechamente ligada al componente
netfilter de kernels de Linux. ver TProxy v4.1 Feature para los detalles actuales.
Completo
Por ahora, si has seguido la documentacin que debe tener un sistema de interceptacin
de almacenamiento en cach de trabajo. Verifique esto desconfigurar cualquier
configuracin de proxy en el navegador y navegar a travs de su sistema. Debera ver las
entradas que aparecen en su access.log para los sitios que va a visitar en su
navegador. Si su sistema no funciona como es de esperar, usted querr seguir leyendo
para nuestra seccin de solucin de problemas a continuacin.
Para empezar, las pruebas de su cach. Compruebe que ha configurado Squid con
la opcin de configure derecha - Calamar-v le dir qu opciones Squid se configura
con.
Se puede configurar manualmente el navegador para hablar con el puerto del
servidor proxy? Si no es as, lo ms probable es que tenga un problema de
configuracin de proxy.
lunenrutador#trmino
eventosdelrouter#debugipWCCP
EventosWCCPdepuracinesten
paquetesWCCPRouter#debugip
WCCPpaquetedeinformacindedepuracinesten
Router#
No te olvides de desactivar esta opcin despus de haber terminado la sesin de
depuracin, ya que impone un impacto en el rendimiento de su router.
Si ninguno de estos pasos di ningn pistas tiles, publicar la informacin vital que incluye
las versiones de su router, proxy, el sistema operativo, las reglas de redireccin de trfico,
la salida de depuracin y cualquier otra cosa que han tratado a la lista de correo de los
usuarios de calamar.