Para dejar de estar jugando con la configuración de squid del servidor, mejor hice una instalación local en mi equipo, de esa manera puedo hacer varias pruebas sin correr el riesgo de ”tumbar” el servicio.
Pero pensándolo bien, a lo mejor lo dejo de manera definitiva, tengo un buen equipo y de esa forma le sacaría mejor provecho a sus 8 GB en RAM y al microprocesador de 4 núcleos que tengo. Llevo un par de días con el squid instalado y ha funcionado muy bien, muy rápido a la hora de presentar las páginas web, así que lo más probable es que lo deje definitivamente.
¿Quieren instalar squid en Manjaro?, entonces … léanme los buenos !!!
Instalar squid
Instalar squid en Manjaro es muy sencillo, solamente hay que instalar el paquete squid usando pacman:
sudo pacman -S squid
Configurar squid
El paquete squid tiene un archivo de configuración básico y que debe de funcionar, pero si quieren hacer algunos ajustes entonces tienen que editar el archivo /etc/squid/squid.conf
sudo gedit /etc/squid/squid.conf
Como referencia, este es el archivo de configuración sin modificaciones.
# # Recommended minimum configuration: # # Example rule allowing access from your local networks. # Adapt to list your (internal) IP networks from where browsing # should be allowed acl localnet src 10.0.0.0/8 # RFC1918 possible internal network acl localnet src 172.16.0.0/12 # RFC1918 possible internal network acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl localnet src fc00::/7 # RFC 4193 local private network range acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # # Recommended minimum Access Permission configuration: # # Deny requests to certain unsafe ports http_access deny !Safe_ports # Deny CONNECT to other than secure SSL ports http_access deny CONNECT !SSL_ports # Only allow cachemgr access from localhost http_access allow localhost manager http_access deny manager # We strongly recommend the following be uncommented to protect innocent # web applications running on the proxy server who think the only # one who can access services on "localhost" is a local user # http_access deny to_localhost # # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # # Example rule allowing access from your local networks. # Adapt localnet in the ACL section to list your (internal) IP networks # from where browsing should be allowed # http_access allow localnet http_access allow localhost # And finally deny all other access to this proxy http_access deny all # Squid normally listens to port 3128 http_port 3128 # Que utilice mi instalación de pdnsd para resolver los dominios. dns_nameservers 127.0.0.1 # Uncomment and adjust the following to add a disk cache directory. cache_dir ufs /var/cache/squid 2048 16 256 # Leave coredumps in the first cache dir coredump_dir /var/cache/squid # Cambio el tamaño de los objetos almacenados en caché de 4MB a 40MB cache_mem 64 MB maximum_object_size 40 MB cache_replacement_policy heap GDSF # # Add any of your own refresh_pattern entries above these. # refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320
Antes de iniciar el servicio deben de crear las carpetas donde se van a almacenar los archivos que va a crear squid. Esto se logra con:
sudo squid -z
Ahora si, con las carpetas listas, llegó el momento de iniciar el proceso de squid.
sudo systemctl start squid
Como estoy haciendo algunas pruebas modifiqué algunos valores.
Primero aumenté el tamaño del caché, por default son 256 MB, así que lo aumenté a unos 2 GB, aunque pensandolo bien ¿Porque no 8 GB? ¿o 16? ¬¬
cache_dir ufs /var/cache/squid 2048 16 256
Aumenté el tamaño de los objetos en memoria, de 8MB a 64MB
cache_mem 64 MB
Aumenté el tamaño de los objetos almacenables a 40MB
maximum_object_size 40 MB
Cambié la política de reemplazo por heap GDSF
cache_replacement_policy heap GDSF
Y como un plus, le indiqué que usara mi servidor pdnsd local, para que quede todo bien “acelerado”.
dns_nameservers 127.0.0.1
Al final quedó de la siguiente forma:
Si hacen ajustes en el archivo de configuración no es necesario reiniciar el servicio, en su lugar pueden ejecutar este comando para que active los cambios.
squid -k reconfigure
Ajustar el sistema para que use el proxy
En mi caso, uso Manjaro Linux con Cinnamon, así que lo único que tengo que hacer es indicarle al equipo que utilice el proxy, dejé el puerto por default que es el 3128 como pueden ver en la imagen.
Iniciar squid durante el arranque
Si todo esta funcionando bien, podemos indicarle al sistema que inicie automáticamente squid durante el arranque.
sudo systemctl enable squid
Y eso es todo, tendremos un web proxy local que se encargará de proporcionarnos todos los elementos que usamos con mayor frecuencia de forma rápida y con un consumo moderado de recursos de nuestro equipo.
Me despido de ustedes deseándoles, feliz viernes y ¡Happy hacking!
y como seria la configuracion con 2 tarjetas de red para que fuera transparente, por favor
Hola bit,
Pues en retrospectiva, este artículo lo escribí en el 2013 y para ser honesto, no recomendaría a Manjaro para manejar un proxy transparente. O un proxy local.
Pero si te puedo recomendar pfSense para esa tarea. Tiene sus retos, pero los resultados son mucho mejores.
Saludos y gracias por comentar.
Muy buen tema, markus comparto tu opinion con respecto al cache de squid y las tendencias de la mayoria de sitios al usar protocolo https. He probado squid usandolo en modo transparente y manual y con respecto a respuestas he notado mas rapidez usando proxy manual, esto agiliza tambien los timeout de respuesta a una peticion de un dominio erroneo. Creo que para ver cambios en velocidad de navegacion tenemos que ir probando las politicas de reemplazo de cache y memoria, ya que de eso tambien depende el tiempo de respuesta.
Estos temas son muy interesantes 🙂 de todos modos lo voy a dejar. Simplemente por que me gusta 🙂
El beneficio de instalar Squid en una sola máquina no es muy grande, considerando que usamos generalmente un solo navegador y que este incluye su propio sistema de caché instalar squid de forma local es como querer matar una mosca de un cañonazo.
Lo digo porque incluso en redes no muy grandes (ej. un cyber-café con 12 máquinas) el ahorro no es tan grande, squid puede captar unos 200Mb de aprox. 4GB de tráfico, esto porque el protocolo HTTPS (puerto 443) no permite cachear el contenido al ser un canal seguro entre el servidor y el cliente, cada vez más sitios usan este protocolo porque 1) Quieren verse nice con la seguridad de sus clientes (GMail, Facebook, Twitter) 2) Es un requisito para el protocolo SPDY, sitios que no necesitan SSL pero lo implementan para poder funcionar un pelín más rápidos.
Obvio, te servirá si usas varios navegadores, o si usas varias apps que hacen un uso intenso del protocolo HTTP y visitan el mismo sitio entre ellas, aunque repito, el beneficio no es tanto.
En una red local (casa) también beneficia el tener un proxy en sentido de que llegan menos peticiones al modem y evita que los «buenisimos» modems de Telmex se reinicien.
Estoy consiente de todo lo que mencionas, pero por alguna razón al combinar un dns caché con un web proxy siento que las páginas se cargan mucho más rápido. En donde más noto este cambio es en Google Plus.
El uso del DNS cache si ayuda porque independientemente del protocolo evitas tener que ir a preguntar por un host un servidor DNS que posiblemente esté a miles de kilómetros de distancia, reduciendo en ocasiones segundos a la operación.
Google Chrome tiene su propio cache DNS lo puedes ver en chrome://net-internals/#dns, pero es solo el navegador, otros navegadores hacen lo mismo.
En el caso de Google+ no creo que squid ayude con respecto al caché, G+ usa HTTPS (y el protocolo SPDY 3/4) incluso para las imágenes, así que Squid no puede tocar nada ahí a menos que sea un «Man in the middle».
La percepción no te la niego, a mi me ha pasado, pero comparando numeros se da uno cuenta que la percepción es subjetiva.
Si quieres ver los logs de squid de una forma mas gráfica busca por squidview.
El caché del DNS de Chrome usa mi DNS local (pdnsd) , o sea que aunque sigue haciendo una doble consulta, lo sigue haciendo de forma local.
Instalé squidview y veo muchas llamadas de este tipo:
Cuando veo la página de google plus. Así que supongo que si esta descargando elementos de páginas HTTPS/SSL.
Nunca dije que Squid no sirviera como redirector, pero de eso a cachar contenido es algo muy diferente, el protocolo HTTPS no permite un agente entre el servidor y el cliente (el navegador).
Cuando squid cachea contenido lo que hace es pedir a nombre de él lo que en realidad el navegador le pide, y luego lo entrega al navegador a nombre del servidor, pero en realidad el navegador nunca habló directamente con el servidor. En este proceso squid guarda una copia de las imágenes y cosas estáticas (css, js, etc..) para después ni siquiera ir a molestar al servidor web.
En el caso de HTTPS no puede hacer eso, porque entonces necesitaría un certificado válido (con llave privada y todo el pedo) para poder devolver el contenido sin que el navegador brinque por el certificado usado para encriptar el contenido. De que pasa por squid pasa, pero de que guarde eso en el caché es otra cosa muy diferente.