Então eu comecei a terrível aventura de fazer o Squid 3.3.8 trabalhar com o Cisco ASA 5520 (9.1 (5)). Eu acho que o problema é que o tráfego está chegando à caixa do squid, mas ele não está chegando ao daemon real ou não está sendo enviado (acho que não está chegando ao daemon)
ASA sh wccp
Global WCCP information:
Router information:
Router Identifier: 192.168.1.1
Protocol Version: 2.0
Service Identifier: web-cache
Number of Cache Engines: 1
Number of routers: 1
Total Packets Redirected: 1049
Redirect access-list: wccp-traffic
Total Connections Denied Redirect: 0
Total Packets Unassigned: 1
Group access-list: wccp-servers
Total Messages Denied to Group: 1
Total Authentication failures: 0
Total Bypassed Packets Received: 0
Tenho certeza de que o ASA está redirecionando o tráfego porque, toda vez que eu o habilito, o Total de Pacotes Redirecionados sobe.
Eu segui este guia: link para configurar a interface do squid. Como vem do squid, eu esperava que funcionasse fora da caixa, mas aparentemente não.
Então eu digitei todos os comandos:
modprobe ip_gre
ip tunnel add wccp0 mode gre remote 192.168.1.1 local 10.10.1.63 dev eth0 ifconfig wccp0 10.10.1.63 netmask 255.255.255.255 up
echo 0 >/proc/sys/net/ipv4/conf/wccp0/rp_filter
echo 0 >/proc/sys/net/ipv4/conf/eth0/rp_filter
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i wccp0 -p tcp --dport 80 -j REDIRECT --to-port 3129
iptables -t nat -A POSTROUTING -j MASQUERADE
Então aqui é onde minhas habilidades de debugging entram em jogo. Eu sei que eu só tenho que redirecionar o tráfego HTTP, então eu fui para homedepot.com porque eu novo eles não suportam SSL.
Global WCCP information:
Router information:
Router Identifier: 192.168.1.1
Protocol Version: 2.0
Service Identifier: web-cache
Number of Cache Engines: 1
Number of routers: 1
Total Packets Redirected: 1182
Redirect access-list: wccp-traffic
Total Connections Denied Redirect: 0
Total Packets Unassigned: 1
Group access-list: wccp-servers
Total Messages Denied to Group: 1
Total Authentication failures: 0
Total Bypassed Packets Received: 0
E tada! My Total Packets Redirected subiu. Então eu sei que os pacotes estão atingindo o ASA e, em seguida, o ASA está redirecionando-os para a caixa de lula.
Em seguida, deixo correr tcpdump no squidbox enquanto tento carregar o homedepot.com. Eu cortei as coisas inúteis e coloquei as informações relevantes abaixo
04:03:35.448210 IP 192.168.1.1 > 10.10.1.63: GREv0, length 60: gre-proto-0x883e
Então isso me diz que o pacote está atingindo a caixa de lula.
Eu também fiz algumas depurações na interface wccp0.
Antes:
wccp0 Link encap:UNSPEC HWaddr XXX
inet addr:10.10.1.63 P-t-P:10.10.1.63 Mask:255.255.255.255
inet6 addr: fe80::5efe:a0a:13f/64 Scope:Link
UP POINTOPOINT RUNNING NOARP MTU:1476 Metric:1
RX packets:159 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:8592 (8.5 KB) TX bytes:180 (180.0 B)
Depois:
wccp0 Link encap:UNSPEC HWaddr XXX
inet addr:10.10.1.63 P-t-P:10.10.1.63 Mask:255.255.255.255
inet6 addr: fe80::5efe:a0a:13f/64 Scope:Link
UP POINTOPOINT RUNNING NOARP MTU:1476 Metric:1
RX packets:164 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:8848 (8.8 KB) TX bytes:180 (180.0 B)
Não está transmitindo nenhum pacote, então acho que ele não está atingindo o daemon do squid (access.log também não mostra nada)
Configuração do Squid:
http_access allow all
http_port 3129 intercept
wccp2_router 10.10.1.1
wccp2_forwarding_method gre
wccp2_return_method gre
wccp2_service standard 0
Qualquer ajuda é muito apreciada !!! < 33