Squid local en Manjaro

Para dejar de estar jugando con la configuración de squid del servidor, mejor hice una instalación local en mi equipo, de esa manera puedo hacer varias pruebas sin correr el riesgo de ”tumbar” el servicio.

squid caché web proxy

Pero pensándolo bien, a lo mejor lo dejo de manera definitiva, tengo un buen equipo y de esa forma le sacaría mejor provecho a sus 8 GB en RAM y al microprocesador de 4 núcleos que tengo. Llevo un par de días con el squid instalado y ha funcionado muy bien, muy rápido a la hora de presentar las páginas web, así que lo más probable es que lo deje definitivamente.

¿Quieren instalar squid en Manjaro?, entonces … léanme los buenos !!!

Instalar squid

Instalar squid en Manjaro es muy sencillo, solamente hay que instalar el paquete squid usando pacman:

sudo pacman -S squid

Configurar squid

El paquete squid tiene un archivo de configuración básico y que debe de funcionar, pero si quieren hacer algunos ajustes entonces tienen que editar el archivo /etc/squid/squid.conf

sudo gedit /etc/squid/squid.conf

Como referencia, este es el archivo de configuración sin modificaciones.

#
# Recommended minimum configuration:
#

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8	# RFC1918 possible internal network
acl localnet src 172.16.0.0/12	# RFC1918 possible internal network
acl localnet src 192.168.0.0/16	# RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
# http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
# http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128

# Que utilice mi instalación de pdnsd para resolver los dominios.
dns_nameservers 127.0.0.1

# Uncomment and adjust the following to add a disk cache directory.
cache_dir ufs /var/cache/squid 2048 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/cache/squid

# Cambio el tamaño de los objetos almacenados en caché de 4MB a 40MB
cache_mem 64 MB
maximum_object_size 40 MB
cache_replacement_policy heap GDSF

#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320

Antes de iniciar el servicio deben de crear las carpetas donde se van a almacenar los archivos que va a crear squid. Esto se logra con:

sudo squid -z

Ahora si, con las carpetas listas, llegó el momento de iniciar el proceso de squid.

sudo systemctl start squid

Como estoy haciendo algunas pruebas modifiqué algunos valores.

Primero aumenté el tamaño del caché, por default son 256 MB, así que lo aumenté a unos 2 GB, aunque pensandolo bien ¿Porque no 8 GB? ¿o 16? ¬¬

cache_dir ufs /var/cache/squid 2048 16 256

Aumenté el tamaño de los objetos en memoria, de 8MB a 64MB

cache_mem 64 MB

Aumenté el tamaño de los objetos almacenables a 40MB

maximum_object_size 40 MB

Cambié la política de reemplazo por heap GDSF

cache_replacement_policy heap GDSF

Y como un plus, le indiqué que usara mi servidor pdnsd local, para que quede todo bien “acelerado”.

dns_nameservers 127.0.0.1

Al final quedó de la siguiente forma:

Si hacen ajustes en el archivo de configuración no es necesario reiniciar el servicio, en su lugar pueden ejecutar este comando para que active los cambios.

squid -k reconfigure

Ajustar el sistema para que use el proxy

En mi caso, uso Manjaro Linux con Cinnamon, así que lo único que tengo que hacer es indicarle al equipo que utilice el proxy, dejé el puerto por default que es el 3128 como pueden ver en la imagen.

configuración del proxy de la red
Configuración del proxy de la red.

Iniciar squid durante el arranque

Si todo esta funcionando bien, podemos indicarle al sistema que inicie automáticamente squid durante el arranque.

sudo systemctl enable squid

Y eso es todo, tendremos un web proxy local que se encargará de proporcionarnos todos los elementos que usamos con mayor frecuencia de forma rápida y con un consumo moderado de recursos de nuestro equipo.

Me despido de ustedes deseándoles, feliz viernes y ¡Happy hacking!

9 comentarios en «Squid local en Manjaro»

    • Hola bit,

      Pues en retrospectiva, este artículo lo escribí en el 2013 y para ser honesto, no recomendaría a Manjaro para manejar un proxy transparente. O un proxy local.

      Pero si te puedo recomendar pfSense para esa tarea. Tiene sus retos, pero los resultados son mucho mejores.

      Saludos y gracias por comentar.

      Responder
  1. Muy buen tema, markus comparto tu opinion con respecto al cache de squid y las tendencias de la mayoria de sitios al usar protocolo https. He probado squid usandolo en modo transparente y manual y con respecto a respuestas he notado mas rapidez usando proxy manual, esto agiliza tambien los timeout de respuesta a una peticion de un dominio erroneo. Creo que para ver cambios en velocidad de navegacion tenemos que ir probando las politicas de reemplazo de cache y memoria, ya que de eso tambien depende el tiempo de respuesta.

    Responder
  2. El beneficio de instalar Squid en una sola máquina no es muy grande, considerando que usamos generalmente un solo navegador y que este incluye su propio sistema de caché instalar squid de forma local es como querer matar una mosca de un cañonazo.

    Lo digo porque incluso en redes no muy grandes (ej. un cyber-café con 12 máquinas) el ahorro no es tan grande, squid puede captar unos 200Mb de aprox. 4GB de tráfico, esto porque el protocolo HTTPS (puerto 443) no permite cachear el contenido al ser un canal seguro entre el servidor y el cliente, cada vez más sitios usan este protocolo porque 1) Quieren verse nice con la seguridad de sus clientes (GMail, Facebook, Twitter) 2) Es un requisito para el protocolo SPDY, sitios que no necesitan SSL pero lo implementan para poder funcionar un pelín más rápidos.

    Obvio, te servirá si usas varios navegadores, o si usas varias apps que hacen un uso intenso del protocolo HTTP y visitan el mismo sitio entre ellas, aunque repito, el beneficio no es tanto.

    En una red local (casa) también beneficia el tener un proxy en sentido de que llegan menos peticiones al modem y evita que los «buenisimos» modems de Telmex se reinicien.

    Responder
    • Estoy consiente de todo lo que mencionas, pero por alguna razón al combinar un dns caché con un web proxy siento que las páginas se cargan mucho más rápido. En donde más noto este cambio es en Google Plus.

      Responder
      • El uso del DNS cache si ayuda porque independientemente del protocolo evitas tener que ir a preguntar por un host un servidor DNS que posiblemente esté a miles de kilómetros de distancia, reduciendo en ocasiones segundos a la operación.

        Google Chrome tiene su propio cache DNS lo puedes ver en chrome://net-internals/#dns, pero es solo el navegador, otros navegadores hacen lo mismo.

        En el caso de Google+ no creo que squid ayude con respecto al caché, G+ usa HTTPS (y el protocolo SPDY 3/4) incluso para las imágenes, así que Squid no puede tocar nada ahí a menos que sea un «Man in the middle».

        La percepción no te la niego, a mi me ha pasado, pero comparando numeros se da uno cuenta que la percepción es subjetiva.

        Si quieres ver los logs de squid de una forma mas gráfica busca por squidview.

        Responder
        • El caché del DNS de Chrome usa mi DNS local (pdnsd) , o sea que aunque sigue haciendo una doble consulta, lo sigue haciendo de forma local.

          Instalé squidview y veo muchas llamadas de este tipo:

          lh6.googleusercontent.com:443
          

          Cuando veo la página de google plus. Así que supongo que si esta descargando elementos de páginas HTTPS/SSL.

          Responder
          • Nunca dije que Squid no sirviera como redirector, pero de eso a cachar contenido es algo muy diferente, el protocolo HTTPS no permite un agente entre el servidor y el cliente (el navegador).

            Cuando squid cachea contenido lo que hace es pedir a nombre de él lo que en realidad el navegador le pide, y luego lo entrega al navegador a nombre del servidor, pero en realidad el navegador nunca habló directamente con el servidor. En este proceso squid guarda una copia de las imágenes y cosas estáticas (css, js, etc..) para después ni siquiera ir a molestar al servidor web.

            En el caso de HTTPS no puede hacer eso, porque entonces necesitaría un certificado válido (con llave privada y todo el pedo) para poder devolver el contenido sin que el navegador brinque por el certificado usado para encriptar el contenido. De que pasa por squid pasa, pero de que guarde eso en el caché es otra cosa muy diferente.

¡Me encantaría saber que opinas!

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.