因此,我开始了一段艰难的冒险,让 Squid 3.3.8 与我的 Cisco ASA 5520 (9.1(5)) 一起工作。我认为问题在于流量虽然到达了 Squid 盒,但却没有到达实际的守护进程,或者没有发送出去(我认为没有到达守护进程)
作为一个sh wccp
Global WCCP information:
Router information:
Router Identifier: 192.168.1.1
Protocol Version: 2.0
Service Identifier: web-cache
Number of Cache Engines: 1
Number of routers: 1
Total Packets Redirected: 1049
Redirect access-list: wccp-traffic
Total Connections Denied Redirect: 0
Total Packets Unassigned: 1
Group access-list: wccp-servers
Total Messages Denied to Group: 1
Total Authentication failures: 0
Total Bypassed Packets Received: 0
我确信 ASA 正在重定向流量,因为每次启用它时,重定向的数据包总数就会增加。
我遵循了以下指南:http://wiki.squid-cache.org/ConfigExamples/Intercept/CiscoAsaWccp2设置 squid 的接口。由于它来自 squid,我希望它能够开箱即用,但显然不是。
所以我输入了所有命令:
modprobe ip_gre
ip tunnel add wccp0 mode gre remote 192.168.1.1 local 10.10.1.63 dev eth0 ifconfig wccp0 10.10.1.63 netmask 255.255.255.255 up
echo 0 >/proc/sys/net/ipv4/conf/wccp0/rp_filter
echo 0 >/proc/sys/net/ipv4/conf/eth0/rp_filter
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i wccp0 -p tcp --dport 80 -j REDIRECT --to-port 3129
iptables -t nat -A POSTROUTING -j MASQUERADE
这就是我疯狂的调试技巧发挥作用的地方。我知道我只能用它来重定向 HTTP 流量,所以我去了 homedepot.com,因为我知道他们不支持 ssl。
Global WCCP information:
Router information:
Router Identifier: 192.168.1.1
Protocol Version: 2.0
Service Identifier: web-cache
Number of Cache Engines: 1
Number of routers: 1
Total Packets Redirected: 1182
Redirect access-list: wccp-traffic
Total Connections Denied Redirect: 0
Total Packets Unassigned: 1
Group access-list: wccp-servers
Total Messages Denied to Group: 1
Total Authentication failures: 0
Total Bypassed Packets Received: 0
太棒了!我的“重定向数据包总数”上升了。所以我知道数据包正在到达 ASA,然后 ASA 将它们重定向到 squid 盒。
接下来,我让tcpdumpsquidbox 运行,同时尝试加载 homedepot.com。我删掉了无用的东西,并把相关信息放在下面
04:03:35.448210 IP 192.168.1.1 > 10.10.1.63: GREv0, length 60: gre-proto-0x883e
所以这告诉我数据包正在撞击鱿鱼盒。
我还对wccp0接口做了一些调试。
前:
wccp0 Link encap:UNSPEC HWaddr XXX
inet addr:10.10.1.63 P-t-P:10.10.1.63 Mask:255.255.255.255
inet6 addr: fe80::5efe:a0a:13f/64 Scope:Link
UP POINTOPOINT RUNNING NOARP MTU:1476 Metric:1
RX packets:159 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:8592 (8.5 KB) TX bytes:180 (180.0 B)
后:
wccp0 Link encap:UNSPEC HWaddr XXX
inet addr:10.10.1.63 P-t-P:10.10.1.63 Mask:255.255.255.255
inet6 addr: fe80::5efe:a0a:13f/64 Scope:Link
UP POINTOPOINT RUNNING NOARP MTU:1476 Metric:1
RX packets:164 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:8848 (8.8 KB) TX bytes:180 (180.0 B)
它没有传输任何数据包,所以我认为它没有击中 squid 守护进程(access.log 也没有显示任何内容)
鱿鱼配置:
http_access allow all
http_port 3129 intercept
wccp2_router 10.10.1.1
wccp2_forwarding_method gre
wccp2_return_method gre
wccp2_service standard 0
任何帮助都非常感谢!!!<33