Squid no cachea
-
Al ejecutar squid -z me da los siguientes avisos:
aclParseAclLine: WARNING: empty ACL: acl throttle_exts urlpath_regex -i "/var/squid/acl/throttle_exts.acl"
Este error no creo que sea crítico. Quizás tocaste algo en Traffic management y el archivo ACL que se generó está vacío.
-
Al ejecutar squid -z me da los siguientes avisos:
2015/04/28 12:10:08| parseConfigFile: squid.conf:74 unrecognized: 'url_rewrite_bypass'
¿ squid 2.x o 3.x ?
https://forum.pfsense.org/index.php?topic=73740.0
-
Squid 2.X
El tema de tenerlo no transparente es por poder filtrar el tráfico HTTPS, y el tema del NAT es por evitar que me deshabiliten los usuarios los datos del proxy desde los navegadores y poder navegar libremente.
-
Pues tienes puesta la sintaxis para integrar squidGuard a squid 3.x, no a squid 2.x. Revisa eso.
No puedes enviar el tráfico de forma incondicional a un proxy NO transparente. Si el proxy NO es transparente el navegador debe "enterarse" de que lo tiene.
Si quieres filtrar https sólo tienes las siguientes soluciones:
1. Declarar el proxy en el navegador.
2. Usar técnicas de autodescubrimiento de proxy (wpad), que NO funcionan en todas las combinaciones de s.o.+navegador clientes.
3. Emplear squid 3.x con SSL Bump, que precisa la instalación de certificado en los navegadores de los clientes.
Todo esto está ampliamente explicado en nuestro apartado de Documentación. Y yo diría que, además, es el tema más debatido de este foro…
Y yendo a la fuente, http://wiki.squid-cache.org/SquidFaq/InterceptionProxy
-
Creo que no me estoy explicando bien.
Los navegadores tienen los datos del proxy cpnfigurados correctamente, pero si algún usuario los deshabilitaba podía navegar sin filtro de squid, de ahí lo de redirigir el tráfico al squid, ahora en seguida me llaman porque no pueden navegar si intentan quitar el proxy ;D ;D
Eso lo tengo controlado y funciona bien, el tema es la cache, por lo que veo no cachea nada, por lo que he leído en un link que me has mandado el problema es que se hacen peticiones erróneas de ahí lo del error TCP_DENIED/400.
Pues tienes puesta la sintaxis para integrar squidGuard a squid 3.x, no a squid 2.x. Revisa eso.
No sé como ver eso, es aconsejable instalar la versión 3?
En cuánto al proxy transparente o no, ¿ tu que me recomiendas ? Llevo poco tiempo con pfSense y como verás me asaltan las dudas…Muchas gracias por todo.
-
Hola,
Ese error TCP_DENIED/400 1553 NONE NONE:// en modo transparente lo puede estar dando por tener el proxy configurado en el interface localhost. Si estás utilizando squid2 asegurate de no activar el proxy para localhost y si estás usando squid3 no actives el modo transparente para localhost.
-
Creo que no me estoy explicando bien.
Los navegadores tienen los datos del proxy configurados correctamente, pero si algún usuario los deshabilitaba podía navegar sin filtro de squid, de ahí lo de redirigir el tráfico al squid, ahora en seguida me llaman porque no pueden navegar si intentan quitar el proxy ;D ;D
Eso lo tengo controlado y funciona bien, el tema es la cache, por lo que veo no cachea nada, por lo que he leído en un link que me has mandado el problema es que se hacen peticiones erróneas de ahí lo del error TCP_DENIED/400.
Insisto. Quita los redireccionamientos.
Y asegúrate simplemente que en LAN no dejas ir a destinos TCP 80, TCP 443 y TCP 8000-8100 (http alternativos). Eso impedirá que naveguen directamente. No hace falta regla de bloqueo en LAN. Simplemente que no haya una regla default que permita hacer esto y más.
Es más simple de lo que parece…
No sé como ver eso, es aconsejable instalar la versión 3?
Pues dejando lo que venía por defecto en Custom Integration… al instalar squidGuard para squid 2.x. Si no venía esto es que instalaste squidGuard para squid 3.x en lugar de para squid 2.x
squid3 hace más cosas pero si no las necesitas no tienes por qué cambiar. Son ramas distintas, mantenidas las dos.
redirect_program /usr/pbi/squidguard-squid3-i386/bin/squidGuard -c /usr/pbi/squidguard-squid3-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5
En cuánto al proxy transparente o no, ¿ tu que me recomiendas ? Llevo poco tiempo con pfSense y como verás me asaltan las dudas…
En mi opinión, proxy declarado en los navegadores y asegurarse que LAN no deja ir directo. Es lo que funciona siempre. Aunque tiene la pega de tener que explicar esos a los usuarios.
-
Como siempre bellera todo perfecto.
Lo único que no consigo es lo de la cache, he seguido tus pasos pero nada de nada, no veo ningún TCP_HIT o TCP_HIT_MEM por ningún sitio en el log. Me vendría muy bien porque hay páginas que se utilizan mucho por todos los usuarios de la red, además de las actualizaciones de windows y antivirus que aliviarían mucho el ancho de banda.
Muchísimas gracias por todo, poco a poco voy comprendiendo como funciona pfSense.
-
Ese error TCP_DENIED/400 1553 NONE NONE:// en modo transparente lo puede estar dando por tener el proxy configurado en el interface localhost. Si estás utilizando squid2 asegurate de no activar el proxy para localhost y si estás usando squid3 no actives el modo transparente para localhost.
ncolunga, supongo que si lo tuviera configurado debería ver algo así en el squid.conf
http_port 127.0.0.1:3128
He revisado el fichero de configuración y no veo nada parecido.
Además no tengo el squid en modo transparente. -
no veo ningún TCP_HIT o TCP_HIT_MEM por ningún sitio en el log.
Prueba con un contenido estático dos veces como mínimo, forzando el refresco en el navegador o desde dos PCs distintos.
Por ejemplo, http://www.bellera.cat/josep/pfsense/indice.html
Si sigues igual, algo no va bien en la caché. Revisa logs de squid.
- Status - Services para ver si el servicio está en marcha o no. Ahí puede pararse y ponerse en marcha. Tarda un rato en actualizarse la página…
- En Status - System logs - System verás las posibles puestas en marcha y paros de squid.
- En Services - Proxy server verás que tienes Log store directory puesto a /var/squid/logs Puedes mirar el archivo cache.log a través de la consola. Este archivo va diciendo qué pasa con el funcionamiento de squid.
- A parte de esto veo que en el configurador web se puede marcar la casilla Enabled logging. Si se hace tendrás también access.log. Este tiene los accesos que van haciendo los usuarios. Existe un tercer archivo llamado store.log que va registrando qué pasa con los objetos de la caché (altas, bajas, actualizaciones).
-
las actualizaciones de windows y antivirus
Si tienes muchos usuarios plantéate repositorios locales.
Para Windows, https://forum.pfsense.org/index.php?topic=23148.msg119166#msg119166
https://technet.microsoft.com/es-es/library/hh852345.aspx o http://download.wsusoffline.net/
Para el antivirus, hay soluciones corporativas en las que los clientes toman las actualizaciones desde un servidor local.
-
Muchas gracias bellera, todo solucionado.
Buen aporte wsusoffline, me voy a poner a ello rápidamente porque es muy buena solución, además se puede programar una tarea para que se haga automáticamente un determinado día.
http://www.miniacademia.es/wsus-offline-update/
Un saludo
-
amigo como solucionaste tu problema?