🔗 Cisco ASA 与 Squid WCCP2

🔗 Cisco 手册中的重要段落

“安全设备支持的唯一拓扑是客户端和缓存引擎位于安全设备的同一接口之后，并且缓存引擎可以在不经过安全设备的情况下直接与客户端通信。”

🔗 Cisco ASA

绕过 Squid 盒子的重新捕获

 access-list wccp_redirect extended deny ip host $SQUID-IP any

注意：这本不应该需要，因为在添加 Squid 盒子时，asa 会自行构建此规则。

…同时捕获由“工作站”定义的本地 /24 网络。

 access-list wccp_redirect extended permit tcp workstations 255.255.255.0 any eq www

拦截所有未被绕过列表阻止的内容

 wccp web-cache redirect-list wccp_redirect password foo

 wccp interface internal web-cache redirect in

附注：您应该使用 iptables 拒绝其他转发

🔗 Squid WCCP 版本 2 配置

所有以 wccp2_* 开头的 squid.conf 选项仅适用于 **WCCPv2**

• wccp2_router
• wccp2_address
• wccp2_forwarding_method
• wccp2_return_method
• wccp2_assignment_method
• wccp2_service

🔗 Squid 配置

• $IP-OF-ROUTER 在下面用于表示将 WCCP 流量发送到 Squid 的路由器的 IP 地址。

Squid-2.6 至 Squid-3.0 需要魔术数字…

http_port 3129 transparent
wccp2_router $IP-OF-ROUTER
wccp2_forwarding_method 1
wccp2_return_method 1
wccp2_service standard 0 password=foo

• Squid-3.1 及更高版本接受隧道方法的文本名称

  http_port 3129 intercept wccp2_router $IP-OF-ROUTER wccp2_forwarding_method gre wccp2_return_method gre wccp2_service standard 0 password=foo

🔗 Squid 设备操作系统配置

modprobe ip_gre
ip tunnel add wccp0 mode gre remote $ASA-EXT-IP local $SQUID-IP dev eth0

ifconfig wccp0 $SQUID-IP netmask 255.255.255.255 up

• 禁用 rp_filter，否则数据包将被静默丢弃

  echo 0 >/proc/sys/net/ipv4/conf/wccp0/rp_filter echo 0 >/proc/sys/net/ipv4/conf/eth0/rp_filter

• 启用 ip-forwarding 并将数据包重定向到 squid

  echo 1 >/proc/sys/net/ipv4/ip_forward iptables -t nat -A PREROUTING -i wccp0 -p tcp –dport 80 -j REDIRECT –to-port 3129 iptables -t nat -A POSTROUTING -j MASQUERADE

---

⚠️ Disclaimer: Any example presented here is provided "as-is" with no support
or guarantee of suitability. If you have any further questions about
these examples please email the squid-users mailing list.

类别： ConfigExample

导航：站点搜索、站点页面、分类、🔼 向上