Итак, я начал ужасное приключение: заставить Squid 3.3.8 работать с моим Cisco ASA 5520 (9.1 (5)). Я думаю, проблема в том, что трафик попадает в ящик squid, но он либо не доходит до фактического демона, либо не отправляет (я думаю, что он не доходит до демона)
КАК sh wccp
Global WCCP information:
Router information:
Router Identifier: 192.168.1.1
Protocol Version: 2.0
Service Identifier: web-cache
Number of Cache Engines: 1
Number of routers: 1
Total Packets Redirected: 1049
Redirect access-list: wccp-traffic
Total Connections Denied Redirect: 0
Total Packets Unassigned: 1
Group access-list: wccp-servers
Total Messages Denied to Group: 1
Total Authentication failures: 0
Total Bypassed Packets Received: 0
Я уверен, что ASA перенаправляет трафик, потому что каждый раз, когда я включаю его, общее количество перенаправленных пакетов возрастает.
Я следовал этому руководству: http://wiki.squid-cache.org/ConfigExamples/Intercept/CiscoAsaWccp2 настроить интерфейс для squid. Поскольку он исходит от squid, я надеялся, что он сработает из коробки, но, видимо, нет.
Итак, я ввел все команды:
modprobe ip_gre
ip tunnel add wccp0 mode gre remote 192.168.1.1 local 10.10.1.63 dev eth0 ifconfig wccp0 10.10.1.63 netmask 255.255.255.255 up
echo 0 >/proc/sys/net/ipv4/conf/wccp0/rp_filter
echo 0 >/proc/sys/net/ipv4/conf/eth0/rp_filter
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i wccp0 -p tcp --dport 80 -j REDIRECT --to-port 3129
iptables -t nat -A POSTROUTING -j MASQUERADE
Так что здесь в игру вступают мои безумные навыки отладки. Я знаю, что он у меня есть только для перенаправления HTTP-трафика, поэтому я пошел на homedepot.com, потому что я знал, что они не поддерживают ssl.
Global WCCP information:
Router information:
Router Identifier: 192.168.1.1
Protocol Version: 2.0
Service Identifier: web-cache
Number of Cache Engines: 1
Number of routers: 1
Total Packets Redirected: 1182
Redirect access-list: wccp-traffic
Total Connections Denied Redirect: 0
Total Packets Unassigned: 1
Group access-list: wccp-servers
Total Messages Denied to Group: 1
Total Authentication failures: 0
Total Bypassed Packets Received: 0
И тада! Общее количество перенаправленных пакетов увеличилось. Итак, я знаю, что пакеты попадают в ASA, а затем ASA перенаправляет их в ящик squid.
Далее я позволил tcpdump запустить на squidbox, пока я пытался загрузить homedepot.com. Вырезаю бесполезные вещи и размещаю ниже соответствующую информацию
04:03:35.448210 IP 192.168.1.1 > 10.10.1.63: GREv0, length 60: gre-proto-0x883e
Это говорит мне, что пакет попадает в коробку с кальмарами.
Я также немного отладил интерфейс wccp0.
Перед:
wccp0 Link encap:UNSPEC HWaddr XXX
inet addr:10.10.1.63 P-t-P:10.10.1.63 Mask:255.255.255.255
inet6 addr: fe80::5efe:a0a:13f/64 Scope:Link
UP POINTOPOINT RUNNING NOARP MTU:1476 Metric:1
RX packets:159 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:8592 (8.5 KB) TX bytes:180 (180.0 B)
После:
wccp0 Link encap:UNSPEC HWaddr XXX
inet addr:10.10.1.63 P-t-P:10.10.1.63 Mask:255.255.255.255
inet6 addr: fe80::5efe:a0a:13f/64 Scope:Link
UP POINTOPOINT RUNNING NOARP MTU:1476 Metric:1
RX packets:164 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:8848 (8.8 KB) TX bytes:180 (180.0 B)
Он не передает никаких пакетов, поэтому я думаю, что он не попадает в демон squid (access.log тоже ничего не показывает)
Конфигурация Squid:
http_access allow all
http_port 3129 intercept
wccp2_router 10.10.1.1
wccp2_forwarding_method gre
wccp2_return_method gre
wccp2_service standard 0
Любая помощь высоко ценится!!! <33