Manual traduzido do Squid - Parte 2

Continuação da tradução livre do artigo: Manual traduzido do Squid.

[ Hits: 33.224 ]

Por: Buckminster em 29/07/2013


TAG ToS



TAG: tcp_outgoing_tos :: permite que você selecione um valor "ToS/DiffServ" para os pacotes de saída do servidor com base em uma ACL.

tcp_outgoing_tos ds-field [!]aclname ...

Exemplo de ACL normal_service_net usando o valor ToS 0x00 e good_service_net usando 0x20:

acl normal_service_net src 10.0.0.0/24
acl good_service_net src 10.0.1.0/24
tcp_outgoing_tos 0x00 normal_service_net
tcp_outgoing_tos 0x20 good_service_net

Os valores ToS/DSCP só tem significado local - então, você deve saber o que está especificando. Para maior informação, veja as RFC2474, RFC2475 e RFC3260. O byte ToS/DSCP deve ser exatamente um octeto - entre 0 - 255, ou "default" para usar o padrão do host. Muitas vezes, apenas múltiplos de 4 são utilizáveis para os dois bits mais à direita, quando forem predefinidos para serem usados por ECN (RFC 3168 seção 23.1).

Processa os recursos na ordem especificada e para na primeira linha correspondente.
Default: none


TAG: clientside_tos :: permite selecionar um valor ToS/DiffServ para pacotes transmitidos pelo cliente, com base em uma ACL.

clientside_tos ds-field [!]aclname ...

Exemplo de ACL "normal_service_net" usando o valor ToS 0x00 e good_service_net usando 0x20:

acl normal_service_net src 10.0.0.0/24
acl good_service_net src 10.0.1.0/24
clientside_tos 0x00 normal_service_net
clientside_tos 0x20 good_service_net

Nota: este recurso é incompatível com "qos_flows". Quaisquer valores ToS definidos aqui, serão substituídos pelos valores ToS em qos_flows.
Default: none


TAG: tcp_outgoing_mark
Nota: esta opção só está disponível quando o Squid for compilado com o pacote MARK (Linux).

Permite que você aplique um valor de marca Netfilter para os pacotes de saída no servidor, com base em uma ACL.

tcp_outgoing_mark mark-value [!]aclname ...

Exemplo de ACL "normal_service_net" usando a marca de valor 0x00 e good_service_net usando 0x20:

acl normal_service_net src 10.0.0.0/24
acl good_service_net src 10.0.1.0/24
tcp_outgoing_mark 0x00 normal_service_net
tcp_outgoing_mark 0x20 good_service_net

Default: none


TAG: clientside_mark
Nota: esta opção só está disponível quando o Squid for compilado com o pacote MARK (Linux).

Permite que você aplique um valor de marca Netfilter para os pacotes de saída no cliente, com base em uma ACL.

clientside_mark mark-value [!]aclname ...

Exemplo de ACL "normal_service_net" usando a marca de valor 0x00 e good_service_net usando 0x20:

acl normal_service_net src 10.0.0.0/24
acl good_service_net src 10.0.1.0/24
clientside_mark 0x00 normal_service_net
clientside_mark 0x20 good_service_net

Nota: este recurso é incompatível com "qos_flows". Quaisquer valores ToS definidos aqui, serão substituídos pelos valores ToS em qos_flows.
Default: none


TAG: qos_flows :: permite selecionar um valor ToS/DSCP para marcar conexões de saída com base na resposta de origem. Para plataformas que usam Netfilter, permite definir uma marca de valor Netfilter em vez do, ou com o valor ToS.

Os valores ToS só tem significado local - então, você deve saber o que está especificando. Para maior informação, veja as RFC2474, RFC2475 e RFC3260.

O byte ToS/DSCP deve ser exatamente um octeto - entre 0 - 255, ou "default" para usar o padrão do host. Muitas vezes apenas múltiplos de 4 são utilizáveis para os dois bits mais à direita quando forem predefinidos para serem usados por ECN (RFC 3168 seção 23.1).

Os valores da marca podem ser qualquer inteiro de 32 bits sem sinal. Os seguintes valores podem ser configurados:
  • tos|mark :: define os valores ToS ou Netfilter.
  • local-hit=0xFF :: valor para marcar os acessos ao cache local..
  • sibling-hit=0xFF :: valor para marcar hits de pares de irmãos.
  • parent-hit=0xFF :: valor para marcar hits de pares de pais.
  • miss=0xFF[/mask] :: valor para marcar cache perdido. Tem precedência sobre o recurso "preserve-miss" (veja abaixo), a menos que a máscara for especificada, caso em que apenas os bits especificados na máscara serão escritos.

As variantes ToS dos seguintes recursos somente são possíveis no GNU/Linux e requerem que o kernel tenha o patch ToS preservando o patch ZPH, disponível em:
Não precisa nenhum patch para Netfilter, sendo que trabalha com todas as variantes do Netfilter.

disable-preserve-miss :: esta opção desabilita a preservação da marca ToS ou Netfilter.

Por padrão, os valores ToS ou Netfilter existentes vindos do servidor remoto serão mantidos e mascarados com miss-mark.
Nota: no caso de ser Netfilter, a marca deve ser definida na conexão (usando o alvo CONNMARK) e não sobre o pacote (alvo MARK).

miss-mask=0xFF :: permite mascarar certos bits ToS ou as marcas dos valores recebidos do servidor remoto antes de copiar o valor para enviar ao cliente.

Default para ToS: 0xFF (ToS do servidor não é alterado).
Default for mark: 0xFFFFFFFF (mark do servidor não é alterada).

Estes recursos requerem a compilação com a flag "--enable-zph-qos" (habilitada por default). A marcação Netfilter requer também as bibliotecas libnetfilter_conntrack (--with-netfilter-conntrack) e libcap 2.09+ (--with-libcap).
Default: none

Página anterior     Próxima página

Páginas do artigo
   1. Configurações mínimas recomendadas
   2. Considerações de segurança
   3. Insira suas próprias regras
   4. Opções de rede
   5. Opções TLS/SSL
   6. O Squid normalmente escuta na porta 3128
   7. TAG ToS
   8. TAG tcp_outgoing_address
Outros artigos deste autor

Como agendar um backup automático do PostgreSQL no Cron evitando o problema de senha

Problema no GRUB no Debian Squeeze 6.0.7 [Resolvido]

Manual traduzido do Squid

kernel Linux otimizado - Compilação e teste

Squid - Entendendo um pouco as configurações

Leitura recomendada

Servidor proxy (Squid)

OpenBSD Proxy - Squid, SquidGuard, SquidClamAV e AdZapper

Projeto Squid

Integrando autenticação do Squid ao Active Directory

Proxy Squid com autenticação + Sarg + Webmin

  
Comentários
[1] Comentário enviado por removido em 29/07/2013 - 18:42h

Parabéns pela iniciativa, favoritado....

[2] Comentário enviado por flashnecessary em 31/07/2013 - 13:10h

Não sei se é o lugar certo ou você pode me ajudar.

Tenho o seguinte cenário e problema.
Firewall sonicwall com SSO habilitado,só que eventualmente aparecem computadores na rede (que não estão no domínio) que precisam de acesso a internet sem aparecer nenhuma tela de autenticação.

Ai entra minha duvida,o que posso utilizar para que quando a maquina entrar na rede e for verificado que ela não está no domínio ela navegue normalmente. Isso porque com o SSO habilitado tenho que bloquear tudo por default e ir liberando por departamento.

Att,

[3] Comentário enviado por Buckminster em 03/08/2013 - 15:42h


[2] Comentário enviado por flashnecessary em 31/07/2013 - 13:10h:

Não sei se é o lugar certo ou você pode me ajudar.

Tenho o seguinte cenário e problema.
Firewall sonicwall com SSO habilitado,só que eventualmente aparecem computadores na rede (que não estão no domínio) que precisam de acesso a internet sem aparecer nenhuma tela de autenticação.

Ai entra minha duvida,o que posso utilizar para que quando a maquina entrar na rede e for verificado que ela não está no domínio ela navegue normalmente. Isso porque com o SSO habilitado tenho que bloquear tudo por default e ir liberando por departamento.

Att,


Se for rede sem fio é só você criar uma rede aberta (sem senha ou com uma senha pública). Se for pela rede com fio, a única coisa a se fazer é criar a política de que os computadores de fora do domínio devem se cadastrar com o responsável pela rede quando chegam na empresa.

[4] Comentário enviado por juniorbiu em 13/09/2013 - 16:44h

Dr., Buckminster, boa tarde.
Vi seu post e achei fantástico.
Como percebi que você indicou configurações bem complexas, gostaria de saber se poderia me apoiar com meu post http://vivaolinux.com.br/topico/Seguranca-Linux/Squid-ERR-TUNNEL

Ja tentei usar o ssl_bump, mas meu squid da o erro:
cache_cf.cc(381) parseOneConfigFile: squid.conf:87 unrecognized: 'ssl_bump'
cache_cf.cc(381) parseOneConfigFile: squid.conf:88 unrecognized: 'ssl_bump'

Já viu isso?

Abs
Jr


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts