Contenido 1. Conceptos de Interceptacin Caching 2. Requisitos y mtodos de interceptacin Caching 3. Pasos necesarios para configurar Interceptacin Caching 1. Compilar una versin de quid que acepta cone!iones para otras direcciones 1. "a eleccin de las opciones correctas para pasar a. # Configure 2. Configurar quid para aceptar y procesar las $% cone!iones de los puertos redirigidos 2. Para que tu tr&fico al puerto de la derecha en su cach quid 1. Redireccin de paquetes Caching Interceptacin para olaris' un( y ) * sistemas 1. Instale el filtro IP 2. Configure ipnat 2. Redireccin de paquetes Caching intercepcin para (pen) * P+ 3. Consiga los paquetes de los clientes finales a su servidor de cach 1. Caching Interceptacin redireccin de paquetes con los routers Cisco utili,ando la pol-tica de enrutamiento ./( 0CCP1 1. *eficiencias del mtodo de la ruta pol-tica2mapa IP de Cisco 2. Caching Interceptacin redireccin de paquetes con interruptores +oundry "3 3. Interceptacin Caching redireccin de paquetes con un 4lcatel (mny 5itch 66%% 3. Caching Interceptacin redireccin de paquetes con productos de Ca7letron # 8ntrasys 9. Redireccin de paquetes Caching Interceptacin con 4CC :igris servidor de acceso digital 3. Protocolo de Coordinacin de 0e7 Cache 2 0CCP 1. ;4dmite quid 0CCP< 2. ;/ecesito un router cisco para funcionar 0CCP< 3. ;Puedo e=ecutar 0CCP con el puerto de 0indo5s del calamar< 3. ;*nde puedo encontrar m&s informacin so7re 0CCP< 9. oft5are del router Cisco requiere para 0CCP
1. 4poyo en I( de Cisco Routers 2. 4poyo en conmutadores Cisco I( 3. 8l soporte de soft5are de Cisco +ire5alls .PI> ( 1 3. ;?u pasa con 0CCPv2< 9. Configuracin del enrutador @. Configuracin del cach # Aost de 0CCP 1. Configuracin de quid para ha7lar 0CCP 2. Configurando +ree) * 3. +ree) * 3.$ y m&s tarde 3. +ree) * @.! y m&s tarde 9. "inu! tandard BR8 tCnel 9. :Pro!y Intercepcin 1. :Pro!y v2.2 2. :Pro!y v3.1 D @. (tros 8=emplos de configuracin 6. Completo $. olucin de pro7lemas y preguntas 1. /o tra7a=a. ;Cmo puedo depurarlo< 2. Por qu no puedo utili,ar la autenticacin =unto con el pro!y de interceptacin< 3. ;Puedo utili,ar pro!yEauthFFFF con la intercepcin< 3. GCone!in resta7lecida por el interlocutorG y la pol-tica de enrutamiento de Cisco H. Para m&s informacin so7re la configuracin de Interceptacin Caching con quid 3. Pro7lemas con Aotmail
8sta es la ra,n m&s popular para la investigacin de intercepcin de A::P 2 hay muchos programas cliente que no aplican el soporte de pro!y A::P.
/o hay cone!in pro!y " de cliente necesario. o 8sta es la ra,n m&s popular para la investigacin de intercepcin A::P 2 hay muy pocos clientes que soportan cone!iones pro!y ". 8l servidor puede estar usando el hosting virtual 7asado en IR".
o
8sta es la Cnica ra,n conocida a necesitar forma de IR" reescritura de intercepcin 2 hay dos sistemas CK populares que dependen de esta forma de manipulacin IR" para operar. Cuando la direccin IR" pC7lica es presentada por el servidor 5e7 como se necesita una re2escritor de GarreglarG el sistema del servidor 5e7 roto.
:enga en cuenta que todos los otros usos conocidos de re2escritura pueden evitarse con me=ores alternativasL
in em7argo tam7in hay desventa=as significativas para esta estrategia' como se indica por KarM 8lsenJ
Interceptar A::P rompe los est&ndares :CP # IP porque los agentes de usuario piensan que est&n ha7lando directamente al servidor de origen. Requiere IPv3 con /4: en la mayor-a de los sistemas operativos' aunque algunos ahora apoyan :PR(>N o /4: para IPv@ tam7in. Causa trayectoria K:I .PK:I*1 falle' posi7lemente haciendo algunos sitios remotos inaccesi7les. 8sto no suele ser un pro7lema si los equipos cliente se conectan a travs de 8thernet o * " PPPo4:K donde la K:I de todos los v-nculos entre la cach y el cliente es de 19%% o m&s. i los clientes se conectan a travs de * " PPPo8 entonces esto es pro7a7le que sea un pro7lema' ya que los enlaces de PPPo8 a menudo tienen una K:I reducida .1.362 es muy comCn1. 8n versiones anteriores de I8 antes de la versin @' la funcin Ctrl2reload no funcion como se espera7a. Kultiple!acin de cone!in no funciona. "os clientes conscientes del pro!y pueden enviar solicitudes de varios dominios hacia a7a=o una cone!in pro!y y el ahorro de recursos' mientras que de=ar teh Pro!y hacer mCltiples cone!iones de 7acM2end. 4l ha7lar con un cliente de origen no se les permite hacer esto y se le a7rir&n muchas cone!iones :CP por los recursos. 8sto hace que la interceptacin de pro!y para consumir m&s socMets de red que un pro!y regular. 4utenticacin del pro!y no funciona. 4utenticacin 7asada en IP por el origen falla porque los usuarios son vistos por venir de la propia direccin de IP de la interceptacin de cach. /o se puede utili,ar 7Csquedas de identidad .que son inherentemente muy inseguro de todos modos1 4RP rel descansos en la m&quina pro!y. Interceptacin de almacenamiento en cach slo es compati7le con el protocolo A::P' no Bopher' " o +:P. /o se puede configurar una redireccin en reglas
para el servidor pro!y para otros protocolos distintos de A::P desde el cliente no sa7r& qu hacer con l.
Caches Interceptar son incompati7les con el filtrado de IP diseOada para prevenir la falsificacin de direcciones. :odav-a se espera que los clientes tienen de */ de Internet completa la resolucin de las capacidades' en ciertas configuraciones de intranet # cortafuegos' esto no siempre se quer-a. 8n cuanto a arri7aJ supongamos que el navegador del usuario se conecta a un sitio que est& a7a=o. in em7argo' de7ido al pro!y transparente' se vuelve un estado conectado al interceptor. 8l usuario final puede o7tener mensa=es de error incorrectos o un navegador colgado' por ra,ones aparentemente desconocidas para ellos. Carga de */ se duplica' ya que los clientes hacen una 7Csqueda de */ ' y el pro!y de intercepcin repite. tCnel de protocolo so7re los interceptados puerto $% o 333 saltos. 0e7 ocMets conectividad no funciona. Conectividad P*N no funciona .pro!y A::P intercepcin1. "a reescritura de IR" y formas "2)ump de intercepcin por lo general no son compati7les. "2)ump genera un certificado falso servidor para que coincida con lo que presenta el servidor. i IR" reescritura altera lo que se est& en contacto con sever el cliente reci7ir& certificados equivocadas. (' en un intento de volver a escri7ir una IR" A::P para httpJJ## 2 el servidor no presentar ningCn certificado ". 4m7os se traducir& en errores visi7les de usuario.
i usted siente que las venta=as superan a los inconvenientes en su red' puede optar por seguir leyendo y ver la implementacin de Interceptacin de almacenamiento en cach.
Isted necesita tener una 7uena comprensin de lo que est& haciendo antes de empe,ar. 8sto implica entender a una capa de :CP lo que est& sucediendo a las cone!iones. 8sto le ayudar& tanto configurar el sistema y' adem&s' le ayudar& si sus clientes finales e!perimentan pro7lemas despus de ha7er implementado su solucin. In calamar actual .2.9 D1. *e7e e=ecutar la Cltima versin de quid que est& disponi7le en el momento. In sistema operativo actual puede facilitar las cosas. Kuy pro7a7lemente necesitar& un dispositivo de red que puede redirigir el tr&fico a su cach. i el cuadro de quid tam7in funciona como un router y todo el tr&fico desde y hacia la red se encuentra en el camino' puede saltarse este paso. i la cach es una ca=a independiente en un "4/ que normalmente no ver su clientes 5e7 tr&fico de navegacin' tendr& que elegir un mtodo de redirigir el tr&fico A::P desde los equipos cliente a la cach. 8sto se hace t-picamente con un dispositivo de red' como un router o s5itch de Capa 3 que' o 7ien volver a escri7ir la direccin K4C de destino o' alternativamente' encapsular el tr&fico de red a travs de un tCnel BR8 o 0CCP en la memoria cach.
/otaJ i utili,a routers y s5itches Cisco en su red puede que desee investigar el uso de 0CCP. 0CCP es una forma muy fle!i7le de redirigir el tr&fico y es lo suficientemente inteligente como para detener autom&ticamente redirigir el tr&fico del cliente si la cach se queda sin cone!in. 8sto puede implicar que la actuali,acin de su router o s5itch a una li7eracin de I( o un featureset me=orado que soporta 0CCP. Aay una seccin escrita espec-ficamente en 0CCP a continuacin.
"a construccin de un calamar con las opciones correctas para. # Configure para apoyar el cam7io de direccin y mane=ar los clientes correctamente. 8nrutamiento del tr&fico del puerto $% al puerto de su quid est& configurado para aceptar las cone!iones en *ecapsulating el tr&fico que su dispositivo de red env-a a quid .slo si est& utili,ando o BR8 0CCP para interceptar el tr&fico1 Configuracin del dispositivo de red para redirigir el tr&fico del puerto $%.
e requieren los dos primeros pasos y los dos Cltimos pueden o pueden no ser necesarios en funcin de cmo se va a enrutar el tr&fico A::P en la memoria cach. L 8s importante leer los comentarios completos en el archivo squid.conf y en este documento en su totalidad antes de comen,ar. (7tencin de Interceptacin de almacenamiento en cach para tra7a=ar con el calamar no es trivial y requiere de muchos su7sistemas de quid y su red para ser configurado e!actamente correcto o de lo contrario se encontrar& con que no va a funcionar y los usuarios no ser& capa, de navegar en a7soluto. Isted de7e pro7ar la configuracin en un entorno no vivo antes de dar rienda suelta a esta caracter-stica en sus usuarios finales.
Compilar una versin de Squid que acepta conexiones para otras direcciones
8n primer lugar usted necesita para construir quid con las opciones correctas a. # Configure' y entonces usted necesita para configurar squid.conf para apoyar Intercepcin Caching.
Para "inu! configure quid con la opcin - enable-linux-netfilter opcin. Para los sistemas 7asados en ) * P2con filtro IP configurar quid con la opcin enable-ipf-transparente opcin.
Aacer un make clean si ha configurado previamente y sin esa opcin' o los a=ustes correctos pueden no estar presentes. quid22.@ D y quid23.% D apoyar tanto 0CCPv1 y 0CCPv2 por defecto .a menos que desactives e!pl-citamente1.
Configurar Squid para aceptar y procesar las !" conexiones de los puertos redirigidos
:ienes que cam7iar los a=ustes de configuracin de quid para reconocer las cone!iones secuestrados y discernir las direcciones de destino. In nCmero de diferentes mtodos de interceptacin y de su configuracin espec-fica se detalla en Config8!amples # Intercepcin Beneralmente' usted puede configurar manualmente los navegadores para conectarse a la direccin IP y el puerto que ha especificado como interceptado. 8l Cnico inconveniente es que ha7r& una muy leve .y pro7a7lemente impercepti7le1 impacto en el rendimiento como syscall hecho para ver si la cone!in es interceptada. i no se encuentra el estado de intercepcin se procesa igual que una cone!in normal.
8n "inu! 2.3 y por encima de este se llama iptables 8n +ree) * su llamada ipfw . (tros sistemas ) * puede usar el filtro IP ' ipnat o pf .
8n la mayor-a de los sistemas' puede requerir la reconstruccin del Mernel o aOadir un nuevo mdulo de Mernel. i est& e=ecutando una distri7ucin de "inu! moderno y utili,ando el proveedor Mernel suministrado usted pro7a7lemente no tendr& que hacer ninguna reconstruccin como los mdulos necesarios se ha7r&n construido de forma predeterminada.
Instale el filtro IP
Configure ipnat
Ponga estas l-neas en / etc / ipnat.rules J # Redireccionar el trfico web directo al servidor web local. rdr de0 1.2.3.4/32 puerto 80 -> 1.2.3.4 puerto 80 tcp # Redireccionar todo lo dems a los calamares en el puerto 8080 rdr de0 0.0.0.0 / 0 el puerto 80 -> 1.2.3.4 puerto 8080 tcp Kodifique sus scripts de arranque para permitir ipnat . Por e=emplo' en +ree) * que se ve algo como estoJ / Sbin / modlo / lkm / if_ipl.o / Sbin / ipnat-f / etc / ipnat.rules chgrp nadie / dev / ipnat chmod 644 / dev / ipnat Bracias a ?uinton *olan .
Aay varias maneras de hacer esto. 8n primer lugar' si su m&quina de pro!y ya est& en el camino de los paquetes .es decir' est& de enrutamiento entre los usuarios de pro!y e Internet1' entonces usted no tiene que preocuparse por este paso como la interceptacin Caching ahora de7er-a estar tra7a=ando. 8sto ser-a cierto si instala quid en una m&quina de servidor de seguridad o en un router 7asado en I/I>. i la cach no est& en la ruta de acceso natural de las cone!iones' entonces usted tiene que desviar los paquetes de la ruta normal a su host de cach mediante un router o s5itch. i utili,a un dispositivo e!terno para dirigir el tr&fico a su cach' hay varias formas de hacer esto. Isted puede ser capa, de hacer esto con un router Cisco mediante 0CCP' o la funcin de Gho=a de rutaG. :am7in puede utili,ar una capa23 encienda la llamada' como el 4C82director 4lteon o el +oundry /et5orMs erverIron. Por Cltimo' es posi7le que pueda utili,ar un tipo de router # equili7rador de carga producto independiente' o capacidades de enrutamiento de un servidor de acceso.
Caching Interceptacin redireccin de paquetes con los routers Cisco utili)ando la pol*tica de enrutamiento +,% -CCP.
por Sohn aunders 8sto funciona con un m-nimo de I( 11.1 y posteriores. i el router est& haciendo nada m&s complicado que los paquetes 7ara=ar entre una interfa, 8thernet y un puerto serial o puerto )RI' entonces usted de7e tra7a=ar a travs de si esto funcionar& para usted. 8n primer lugar definir una ho=a de ruta con un nom7re de pro!y redireccionamiento .nom7re no importa1 y especifique el siguiente salto a ser la m&quina quid se e=ecuta en. ! route-map permiso de proxy redireccionamiento 10 IP address partido 110 SET IP del siguiente salto 203.24.133.2 ! *efinir una lista de acceso a las peticiones A::P de trampa. "a segunda l-nea permite el acceso directo de acogida quid por lo que no se forma un 7ucle de enrutamiento. 4l escri7ir cuidadosamente su lista de acceso como mostraremos a continuacin' los casos m&s comunes se encuentran r&pidamente' lo que puede reducir en gran medida la carga en el procesador de su router. ! access-list 110 tcp negar cualquier cualquier neq www access-list 110 tcp negar acogida 203.24.133.2 cualquier access-list 110 tcp cualquier permiso de cualquier ! 4plicar la ho=a de ruta para la interfa, ethernet. !
4 continuacin' configure el conmutador +oundry capa 3 de redirigir el tr&fico a su ca=a o ca=as de quid. Por defecto' el +oundry redirige al puerto $% de su ca=a de calamar. 8sto se puede cam7iar a un puerto diferente si es necesario' pero no ser& cu7ierto aqu-. 4dem&s' el interruptor hace un GchequeoG del puerto para verificar que el calamar est& contestando. i el calamar no contesta' los valores predeterminados del conmutador para enviar el tr&fico directamente a travs en ve, de redireccionarlo. Cuando el calamar vuelve a su7ir' comien,a redirigir una ve, m&s. 8n este e=emplo se supone que tiene dos caches squidJ squid1.foo.com 192.168.1.10 squid2.foo.com 192.168.1.11 Qamos a suponer que usted tiene varias estaciones de tra7a=o' clientes' etc' conectados al conmutador para el que desea que sean interceptados y enviados a quid. 8l calamar cachea mismos de7en ser conectados en el conmutador tam7in. lo la interfa, que el router est& conectado a es importante. Cuando usted pone los cachs de calamar o ther cone!iones no importa. 8n este e=emplo se asume que su router est& conectado a la interfa, 12 de conmutador. i no es as-' a=uste los siguientes comandos en consecuencia.
telnet @ ServerIron (config) # servidor de cach de nombres squid1 192.168.1.10 telnet @ ServerIron (config) # servidor de cach de nombres squid2 192.168.1.11
telnet @ ServerIron (config) # servidor de cach del grupo 1 telnet @ ServerIron (config-tc-1) # cach de nombres squid1 telnet @ ServerIron (config-tc-1) # cach de nombres squid2
*ado que todo el tr&fico de salida a Internet se apaga la interfa, $% .el router1' y la interfa, $% tiene la directiva de cach que se le aplica' el tr&fico A::P va a ser interceptada y redirige a los cachs que haya configurado. 8l puerto por defecto para redirigir a se puede cam7iar. 8l algoritmo de equili7rio de carga utili,ado se puede cam7iar .Kenor de ocasin' Ronda Ro7in' etc1. "os puertos pueden estar e!entos de almacenamiento en cach si es necesario. "istas de acceso se pueden aplicar para que slo determinadas direcciones IP de origen se redirigen' etc 8sta informacin ha quedado fuera de este documento' ya que esto era slo un ho5to r&pida que se aplicar-a para la mayor-a de la gente' no pretende ser un manual completo de cmo configurar un conmutador +oundry. in em7argo' puedo revisar esto con toda la informacin necesaria si la gente siente que de7er-a ser incluido.
aplican qos /o olvide que usted todav-a tiene que configurar el sistema operativo y quid quid para mane=ar las cone!iones interceptados. Qer arri7a para quid y los detalles espec-ficos de ( .
Buarde sus nuevas 4C" para la configuracin en e=ecucin. ssr (conf) # ahorrar 4 continuacin' tenemos que crear las ip2pol-ticas que tra7a=ar&n para llevar a ca7o la redireccin. Por favor' tenga en cuenta que 1%.%.23.2 es mi servidor quid' y que 1%.%.23.1 es mi est&ndar por defecto del siguiente salto. Pulsando el cach2sMip 4C" a la puerta de enlace predeterminada' la solicitud 5e7 se env-a como si el cuadro de calamares no esta7a presente. 8sto podr-a ser igual de f&cil hacer usando la configuracin de calamar' pero preferir-a quid /o toque los datos si no tiene ninguna ra,n para hacerlo. ssr (conf) # ip-cache policy-permite acl permiso de cache-permitenica poltica de salto siguiente lista 10.0.23.2 accin ssr (conf) # ip-cache policy-skip acl permiso de cache-skip nexthop-list-nica poltica 10.0.24.1 accin 4plicar estas nuevas pol-ticas en la configuracin activa. ssr (conf) # ahorrar 4hora tenemos que aplicar las ip2pol-ticas a las interfaces que queremos almacenar en cach peticiones desde. uponiendo que localnet2g5 es el nom7re de la interfa, a la red que queremos almacenar en cach las solicitudes de' primero aplicamos la 4C" cache2 sMip para interceptar peticiones en nuestra lista de tareas pendientes2no2cache' y las remitir& a la puerta de enlace predeterminada. 4 continuacin' aplicamos la cach 4C" permitir a la misma interfa, para redirigir todas las otras peticiones al servidor de cach. ssr (conf) # ip-cache policy-skip aplicar interfaz localnet gw ssr (conf) # ip-cache policy-permitir aplicar interfaz localnet gw 4hora tenemos que aplicar y guardar los cam7ios permanentemente. /ada de lo que hemos hecho antes de este punto afectar-a nada sin la adicin de las aplicaciones IP2 pol-ticas en la configuracin activa' por lo que permite pro7arlo. ssr (conf) # ahorrar ssr (conf) # salvar s iempre y cuando su cuadro de quid es correcta configurado' ahora de7er-a ser capa, de navegar' y ser almacenado en cach transparente si est& utili,ando la direccin2localnet g5 como su puerta de enlace. 4lgunos productos Ca7letron # 8ntrasys incluyen otro mtodo de aplicacin de una cach 0e7' pero los detalles so7re la configuracin que no est prevista en el presente documento' sin em7argo es lo 7astante sencillo. :am7in tenga en cuenta' que si el cuadro de quid est& conectado directamente a un puerto del s5itch de capa23' y que el puerto es parte de su propia Q"4/' y su propia su7red' si ese puerto fuera a cam7iar los estados para a7a=o' o la direccin se convierte en
uncontacta7le' entonces el interruptor se anular& autom&ticamente las ip2pol-ticas y remitir su peticin de 5e7' aunque los medios normales. 8sto es Ctil' podr-a aOadir.
Redireccin de paquetes Caching Interceptacin con 3CC 7igris servidor de acceso digital
por Sohn aunders 8sto tiene que ver con la configuracin de pro!y de intercepcin para un servidor de acceso digital 4CC :igris .como un CI C( 92%%#93%% o un 4scend K4> 3%%%1.Ae descu7ierto que haciendo esto en el /4 reduce el tr&fico en la "4/ y reduce la carga de procesamiento en el CI C(. 8l :igris tiene amplio CPI para el filtrado. Paso 1 es crear filtros que permiten que el tr&fico local para pasar. 4gregue los que sean necesarios para todas sus rangos de direcciones. Agregar filtro IP PERFIL local1 ENTRADA ENTRADA 10.0.3.0 255.255.255.0 0.0.0.0 0.0.0.0 NORMAL Agregar filtro IP PERFIL local2 ENTRADA ENTRADA 10.0.4.0 255.255.255.0 0.0.0.0 0.0.0.0 NORMAL Paso 2 es para crear un filtro para atrapar tr&fico del puerto $%. Agregar filtro IP PERFIL http ENTRADA ENTRADA 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 = 0x6 D = 80 NORMAL Paso 3 es esta7lecer la G4PP"IC4:I(/EI*G en el puerto de tr&fico $% a $%. 8sto hace que todos los paquetes que coincidan con este filtro para tener I* $% en lugar del I* predeterminado de %. FILTRO IP SET PROFILE APPLICATION_ID http 80 8l paso 3 es para crear una ruta especial que se utili,a para los paquetes con G4PP"IC4:I(/EI*G esta7lecidos a $%. 8l motor de enrutamiento usa el I* para seleccionar qu rutas utili,an. AADIR ENTRADA RUTA IP 0.0.0.0 0.0.0.0 PROXY-IP 1 SET IP RUTA APPLICATION_ID 0.0.0.0 0.0.0.0 PROXY-IP 80 Paso 9 es unir todo a un filtro llamado I* transpro!y. 8numerar todos los filtros locales primero y el http Cltima. Aadir perfil ENTRADA transproxy local1 local2 http Con esto en lugar de utili,ar el servidor R4*II para devolver el G+ramed2+ilter2Id T transpro!yG par clave # valor a la /4 .
Isted puede compro7ar si se est& asignando el filtro a inicios de sesin con el siguiente comandoJ mostrar tabla de puertos perfil
Cisco tiene un 7uen contenido en su sitio 5e7 acerca de 0CCP. Ino de los me=ores documentos que enumera las caracter-sticas y descri7e cmo configurar 0CCP en sus routers se pueden encontrar en la p&gina 5e7 e!iste aqu- . :am7in hay un documento m&s tcnico que descri7e el formato de los paquetes de 0CCP en Colasoft
0CCPv2 "ayer 2 redireccin se aOadi en 12.18 y 12.2 . iempre es recomenda7le leer las notas de lan,amiento para la versin de soft5are que se e=ecuta en su interruptor antes de implementar 0CCP.
a7cd es la direccin de su router 0CCP efgh es la direccin que usted quisiera que sus peticiones 0CCP entrar y salir de. i no est& seguro o tiene slo una direccin IP en su cach' no especifique estos.
/otaJ /o configure tanto a las directivas 0CCPv1 .5ccpE P1 y 0CCPv2 .5ccp2E P1 opciones al mismo tiempo en su squid.conf. quid slo soporta la configuracin de una versin a la ve,' ya sea 0CCPv1 o 0CCPv2. in configuracin' la versin sin configurar .s1 no est&n ha7ilitadas. Cosas impredeci7les pueden ocurrir si configura am7os con=untos de opciones. Para 0CCPv2' entonces usted tendr& que algo como estoJ wccp2_router abcd wccp2_version 4 wccp2_forwarding_method 1 wccp2_return_method 1 wccp2_service estndar 0 wccp2_outgoing_address efgh
Itilice un 5ccpEfor5ardingEmethod y 5ccp2EreturnEmethod de 1 si est& usando un router y BR8 # 0CCP tCnel' o = si est& utili,ando un conmutador de capa 3 para hacer el reenv-o. u 5ccp2Eservice de7e esta7lecerse en est#ndar " ' que es la redireccin A::P est&ndar. a7cd es la direccin de su router 0CCP efgh es la direccin que usted quisiera que sus peticiones 0CCP entrar y salir de. i no est& seguro o tiene slo una direccin IP en su cach' no especifique estos par&metros' ya que por lo general no son necesarios.
4hora lo que necesita para leer so7re los detalles de la configuracin de su sistema operativo para apoyar 0CCP.
Configurando (ree&S'
+ree) * primero necesita ser configurado para reci7ir y despo=ar a la encapsulacin BR8 de los paquetes del enrutador. "os pasos dependen de la versin del Mernel.
Como alternativa' se puede tratar de esta maneraJ gre0 ifconfig crean ifconfig gre0 $ squid_ip 10.20.30.40 mscara de red 255.255.255.255 enlace1 tnel squid_ip $ $ router_ip hasta *esde el tCnel 0CCP # BR8 es unidireccional' quid nunca env-a los paquetes al 1%.2%.3%.3% y esa direccin particular' no importa.
:enga en cuenta que 0CCP es incompati7le con la funcin rpEfilter en "inu! y se de7e desactivar esta si est& ha7ilitado. i se ha7ilita todos los paquetes redirigidos por 0CCP y interceptadas por /etfilter # ipta7les se silendly descartada por la pila :CP # IP de7ido a su origen GinesperadoG de la interfa, gre. echo 0> / proc/sys/net/ipv4/conf/wccp0/rp_filter N entonces usted tiene que decirle al nCcleo de "inu! /4: para redirigir el tr&fico entrante en la interfa, 5ccp% en quid iptables-t nat-A PREROUTING-i wccp0-j REDIRECT - redirigir a 3128
7Proxy Intercepcin
7Proxy v=.=
:Pro!y es una nueva caracter-stica en quid22.@ que me=ora el almacenamiento en cach Interceptacin est&ndar' por lo que oculta aCn m&s la presencia de la memoria cach. /ormalmente con Interceptacin Caching el servidor remoto ve a su motor de cach como la fuente de la solicitud A::P. :Pro!y lleva esto un paso m&s all& de la clandestinidad su motor de cach para que el cliente final se ve como el origen de la solicitud .a pesar de que realmente no lo son1. Ae aqu- algunas notas de teven0ilton so7re cmo conseguir :Pro!y funciona correctamenteJ :engo :Pro!y D 0CCPv2 tra7a=ar con squid 2.@. Aay algunas cosas que hay que hacerJ
8l nCcleo e ipta7les necesitan ser parcheadas con las manchas tpro!y .y el tpro!y archivo de inclusin tiene que ser colocado en # usr#include#linu!#netfilterEipv3#ipEtpro!y.h o include#netfilterEipv3#ipEtpro!y.h en el &r7ol de fuentes calamar1. "a regla de ipta7les necesita usar el o7=etivo :PR(>N .en lugar del o7=etivo R8*IR8C:1 para redirigir el tr&fico del puerto $% al pro!y. es decirJ
iptables-t tproxy-A PREROUTING-i eth0-p tcp-m tcp - dport 80-j TPROXY - en el puerto 80
8l Mernel de7e despo=ar a la ca7ecera BR8 de los paquetes de entrada .ya sea utili,ando el mdulo ipE5ccp' o por tener un tCnel BR8 esta7lecido en "inu! que seOala en el router .no se requiere ninguna configuracin BR8 en el router11. *os servicios 0CCP se de7en utili,ar' una para el tr&fico saliente y una inversa para el tr&fico de retorno a travs de Internet. Itili,amos las siguientes definiciones 0CCP en squid.confJ
wccp2_service dinmica 80 wccp2_service_info 80 protocol = tcp flags = prioritarias src_ip_hash = 240 = 80 puertos
wccp2_service dinmica 90 wccp2_service_info 90 protocol = tcp flags = prioritarias dst_ip_hash, ports_source = 240 = 80 puertos 8s muy recomenda7le que las definiciones anteriores se utili,ar&n para los dos servicios 0CCP' de lo contrario las cosas van a romper si usted tiene m&s de un cach .en concreto' tendr& pro7lemas cuando el nom7re de un servidor 5e7 tiene mCltiples direcciones IP1.
8l puerto http que est& redirigiendo a de7e tener las opciones transparentes y tpro!y ha7ilitados como sigue .modificar el puerto en su caso1J $% httpEport tpro!y transparente /o de5e ser una direccin tcpEoutgoing definido. 8sto tendr& que ser v&lida para satisfacer cualquier cone!in no tpro!ied. 8n el router' es necesario asegurarse de que todo el tr&fico que va hacia # desde el cliente ser&n tratados por am5as normas 0CCP. "a forma que tenemos
implementado esto es aplicar el servicio 0CCP $% a todo el tr&fico que viene de una interfa, de cara al cliente' y el servicio 0CCP H% aplica a todo el tr&fico de salir de una interfa, de cara al cliente. :am7in hemos aplicado el 0CCP excluir en regla para todo el tr&fico que viene desde la interfa, de pro!y2frente aunque esto pro7a7lemente no suele ser necesario si todos los cachs se han registrado para el router 0CCP. es decirJ interfaz GigabitEthernet0/3.100 Descripcin clientes de ADSL dot1Q encapsulacin 502 IP address xxxx aaaa ip WCCP 80 Remitir dentro ip WCCP 90 redirigir a cabo interfaz GigabitEthernet0/3.101 Descripcin clientes de acceso telefnico dot1Q encapsulacin 502 IP address xxxx aaaa ip WCCP 80 Remitir dentro ip WCCP 90 redirigir a cabo interfaz GigabitEthernet0/3.102 servidores Proxy Descripcin dot1Q encapsulacin 506 IP address xxxx aaaa redireccin WCCP ip excluye en
7Proxy v0.1 B
4 partir de quid 3.1 soporte para :Pro!y est& estrechamente ligada al componente netfilter de Mernels de "inu!. ver :Pro!y v3.1 +eature para los detalles actuales.
Completo
Por ahora' si has seguido la documentacin que de7e tener un sistema de interceptacin de almacenamiento en cach de tra7a=o. Qerifique esto desconfigurar cualquier configuracin de pro!y en el navegador y navegar a travs de su sistema. *e7er-a ver las entradas que aparecen en su access.log para los sitios que va a visitar en su navegador. i su sistema no funciona como es de esperar' usted querr& seguir leyendo para nuestra seccin de solucin de pro7lemas a continuacin.
Para empe,ar' las prue7as de su cach. Comprue7e que ha configurado quid con la opcin de configure derecha 2 Calamar2v le dir& qu opciones quid se configura con. ; e puede configurar manualmente el navegador para ha7lar con el puerto del servidor pro!y< i no es as-' lo m&s pro7a7le es que tenga un pro7lema de configuracin de pro!y. ;Aa intentado descargar :(*4 las reglas de fire5all en la memoria cach y # o la direccin interna de su dispositivo de red para ver si eso ayuda< i su router o cach est&n inadvertidamente 7loqueando o de=ando caer ya sea el tr&fico de control 0CCP o el BR8' las cosas no van a funcionar. i est& utili,ando 0CCP en un router o s5itch Cisco' el router est& viendo su cach< Itilice el comando sho5 ip 0CCP detalle de tri7anda2cache Kira en sus registros' tanto en Calamar .cache.log1' y en el router # s5itch donde un registro espect&culo pro7a7lemente dir& si se ha detectado el motor de registro de cach. 8n su cach de quid' esta7le,ca opciones*!e*!epuracin A++, $ -#,. o incluso para m&s detalle opciones*!e*!epuracin A++, $ -#,/ . "a salida de este ser& en su cache.log. 8n el router cisco' encienda 0CCP depuracinJ
lun enrutador # trmino eventos del router # debug ip WCCP Eventos WCCP depuracin est en paquetes WCCP Router # debug ip WCCP paquete de informacin de depuracin est en
Router # U/o te olvides de desactivar esta opcin despus de ha7er terminado la sesin de depuracin' ya que impone un impacto en el rendimiento de su router.
8=ecute tcpdump o etreo en su interfa, de memoria cach y mirar el tr&fico' tratar de averiguar lo que est& pasando. Isted de7e ver los paquetes I*P desde y hacia el puerto 2%3$ y BR8 encapsulados tr&fico :CP con su interior. i usted est& viendo los mensa=es so7re el Gprotocolo no soportadoG o Gprotocolo no v&lidoG' entonces su BR8 o mdulo 0CCP no se carga' y su cach est& recha,ando el tr&fico' ya que no sa7-a qu hacer con l. ;Aa configurado tanto 5ccpE y opciones 5ccp2E< lo de7e configurar uno o el otro y no los dos. 8l pro7lema m&s comCn que la gente tiene es que el router y cach est&n ha7lando el uno al otro y el tr&fico se redirige desde el router' pero el proceso decapsulation tr&fico es roto o .como casi siempre es el caso1 mal configurado. 8sto es a menudo un caso de su tr&fico de reglas de reescritura de la memoria cach no se est&n aplicando correctamente .vase la seccin 2 2 Para que tu tr&fico al puerto de la derecha en su cach quid1. 8=ecute el m&s reciente despliegue Benerales .*B1 de li7eracin del tren soft5are que tengas en tu router o s5itch. Rotos de I( tam7in puede resultar en la redireccin roto. Ina 7uena versin conocida de I( de los routers sin aparente rotura 0CCP es 12'3 .61 :12. Au7o grandes daOos a 0CCP en 12.3 .$1 : hasta e incluyendo primeros 12'3 .!1 versiones. 12.3 .$1 se sa7e que funciona 7ien' siempre y cuando usted no est& haciendo la inspeccin fire5all IP en la interfa, donde se encuentra la memoria cach.
i ninguno de estos pasos di ningCn pistas Ctiles' pu7licar la informacin vital que incluye las versiones de su router' pro!y' el sistema operativo' las reglas de redireccin de tr&fico' la salida de depuracin y cualquier otra cosa que han tratado a la lista de correo de los usuarios de calamar.
/o' no puedes. Qea la respuesta a la pregunta anterior. Con pro!y de intercepcin' el cliente piensa que est& ha7lando con un servidor de origen y que nunca env-e la Autorizacin proxy ca7ecera de la solicitud.