WCCP - Transparent Squid na Cisco PIX/ASA

V uplynulém týdnu jsem mimo jiné řešil i zprovoznéní transparnentní WWW proxy na síti, která je k internetu připojená pomocí Cisco PIX verze 8.0(3). Jako proxy byl použitý Squid+Dansguardian na Debianu. V podstatě jedinou rozumnou možností jak navěsit transparentní proxy na Cisco PIX/ASA či IOS je použití WCCP (Web Cache Control Protocol).

Squid + Dansguardian

V konfiguračním soubouru squid.conf je třeba přidat následující řádky:

http_port 192.168.1.25:3128 transparent
wccp2_router IP_FIREWALLU

V konfiguraci Dansguardian není třeba měnit nic. Dansguardian poslouchá na portu tcp/8080 a sám se pak dotazuje na tcp/3128 kde poslouchá Squid.

Debian

Konfigurace hostitelského Linuxu obsahuje konfiguraci GRE tunelu a přesměrování portu pro Dansguardian. Následuje ukázka z /etc/network/interfaces:

# The primary network interface
auto eth0
iface eth0 inet static
address IP_PROXY
netmask 255.255.255.0
gateway X.X.X.X

pre-up ( \
  /sbin/modprobe ip_conntrack ; \
  /sbin/modprobe iptable_nat ; \
)
post-up ( \
  /sbin/ip link set eth0 mtu 1476 ; \
  /sbin/ip tunnel add wccp0 mode gre remote IP_FIREWALLU \
  local IP_PROXY dev eth0 ; \
  /sbin/ip addr add IP_PROXY/32 dev wccp0 ; \
  /sbin/ip link set wccp0 up ; \
  /sbin/sysctl -w net.ipv4.conf.wccp0.rp_filter=0 ; \
  /sbin/sysctl -w net.ipv4.conf.eth0.rp_filter=0 ; \
  /sbin/iptables -t nat -A PREROUTING -i wccp0 -p tcp -m tcp \
  --dport 80 -j REDIRECT --to-ports 8080 ; \
)
pre-down ( \
  /sbin/ip link set wccp0 down ; \
  /sbin/ip tunnel del wccp0 ; \
)

Cisco PIX/ASA

Konfigurace firewallu je velmi jednoduchá:

access-list WCCP_WEB extended permit tcp X.X.X.X 255.255.255.0 any eq www
wccp web-cache redirect-list WCCP_WEB
wccp interface LAN web-cache redirect in