Squid Cache

Uno de los términos más confusos y a la vez de mayor utilidad en un servidor proxy Squid es la 'cache de disco'. Cuando hablamos de 'cache de disco', muchos la relacionan erróneamente con la 'cache de buffer', de la cual también hablaremos en este post.
Tener una cache de disco en un servidor proxy linux con Squid representa un ahorro considerable en ancho de banda y navegabilidad. Esto se debe a que almacena los sitios webs que visitan los usuarios de nuestra LAN, para que la próxima vez que visiten el mismo sitio, la cache del proxy sea quien le facilite la página, y solo se actualiza cuando haya cambios (al menos en teoría).
Esta cache puede tener otras; en dependencia del nivel se puede configurar como padre o hermano. En otras palabras, se pueden establecer múltiples discos duros dedicados a "cachear" páginas webs, interconectados entre sí, para acelerar la navegación.
Configurando la Cache de Disco
Para establecer el espacio del disco duro para la cache, se necesita modificar el parámetro correspondiente a la cache de directorios en el Squid. Edite su archivo de configuración según la versión de Squid que vaya a usar:
sudo nano /etc/squid3/squid.conf
Busque la línea de la cache y descoméntela para evitar el mensaje de que la caché de Squid no puede inicializar.
cache_dir ufs /var/spool/squid3 100 16 256
Y cambie el valor 100, que viene por defecto, por el tamaño que quiera asignarle expresado en MB. Ejemplo de asignación de 100GB aproximadamente en un disco de 200GB (50%) y cambie ufs por aufs para mejorar el rendimiento.
cache_dir aufs /var/spool/squid 100000 16 256
Todo está en dependencia del tamaño del disco duro, partición o porción de disco que quiera asignarle a la cache. Sea prudente y recuerde que Linux deja un 5% de espacio reservado en el disco duro para el SO y otros procesos, y si bien se puede modificar este valor mediante tune2fs, no lo recomendamos.
Sugerimos usar entre un 50% a un máximo de 80% del espacio libre disponible en su disco duro. Si tiene un DD dedicado para la cache mucho mejor. Los otros valores no se recomienda modificarlos, ya que demasiados directorios pueden provocar problemas de funcionamiento. (16 son los subdirectorios, y en cada uno de ellos se crearán 256 directorios). El parámetro ufs tampoco se debe alterar. En caso de disponer de más discos para repartir entre ellos el caché, se pueden especificar varias líneas de cache_dir
Vaciando y reconstruyendo la cache
En ocasiones la Cache de Disco necesita una purga general. Esto se debe a que se llena demasiado y en algunos SO basados en Linux, (al parecer un bug) la cache se desborda o no respeta los parámetros que le hemos dado en el archivo de configuración squid.conf, causando saturación y ralentización en la conectividad y en nuestro servidor. Este proceso también debe hacerse cuando actualizamos la versión de Squid.
Una excelente herramienta para hacer este trabajo la tiene Webmin.
Webmin tiene un módulo exclusivo para realizar la purga y reconstrucción de la cache de disco (o directorios), la cual recomendamos, sin embargo si quiere realizar el proceso manualmente (por terminal), haga lo siguiente dentro del directorio /var/spool/squid3/var/spool/squid
Para Squid2x
sudo service squid stop
Nos aseguramos que esté apagado
sudo service squid status
Borramos la carpeta de la cache
rm -rf cache/
Creamos la carpeta nueva
mkdir cache
Cambiamos los permisos
chown proxy:proxy  cache/
Creamos directorios
squid -zX
Iniciamos Squid
sudo service squid start
Para Squid3x
sudo service squid3 stop
Eliminamos el directorio que contiene la caché
sudo rm -Rf /var/spool/squid3/*
Creamos nuevamente los directorios a través de Squid3x
sudo squid3 -z
Iniciamos el servicio
sudo service squid3 start
Cache de Buffer
La "otra" cache, más conocida como Cache de Buffer, define la cantidad máxima de memoria RAM que utilizará Squid para sus procesos. La cantidad se establece de acuerdo a la RAM física total asignada al servidor y teniendo en cuenta los demás procesos. Su valor por defecto es 8 MB (en algunas versiones de Squid este valor es diferente)
Lo ideal es por cada 256MB asignar 32MB. O sea si el servidor tiene 4GB de RAM, se le debe asignar 512MB aproximadamente, aunque esto es relativo y depende mayormente de la RAM libre de su servidor.
cache_mem 512 MB
Para consultar el consumo de la RAM, ejecute el comando
free -m
Squid como Repositorio Caché
Otra cache de Squid es la llamada 'repositorio caché'. Principalmente sirve para almacenar en nuestro servidor las actualizaciones de los repositorios Ubuntu/Debian con el objeto de replicar en los terminales Linux de nuestra red local, evitando que cada equipo descargue las actualizaciones vía apt-get update desde Internet, y lo haga apuntando al Proxy Disk Caché, ahorrando ancho de banda.
El procedimiento es sencillo. Asumiendo que tiene instalado Squid, edite el archivo de configuración
sudo /etc/squid3/squid.conf
Por defecto, Squid trae la siguiente configuración
# maximum_object_size 4096 KB
# cache_replacement_policy lru
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
Ahora vamos a asignarle 100 mb de cache para objetos y modificar la frecuencia de refresco, ya que los paquetes que se descargan de los repositorios oficiales de Ubuntu, generalmente ninguno supera ese tamaño.
NOTA: Recuerde que a mayor tamaño, mayor serán los archivos que almacenará el Squid y más rápido se llenará la caché. Y de acuerdo al portal de Squid, existen 4 algoritmos de trabajo: lru, heap GDSF, heap LFUDA y heap LRU, pero el que ha demostrado mejor desempeño en escenarios de alta carga de trabajo es heap LFUDA. Por eso cambiamos lru por heap LFUDA.
refresh_pattern expresión_regular mín porcentaje máx es para establecer el tiempo de refresco entre los diferentes elementos
# tamaño mínimo y máximo de los objetos que se guardarán en memoria
# Ej: 200 Mb (maximum_object_size 20480 KB)
minimum_object_size 0 KB
maximum_object_size 4 MB
# objects are evicted (replaced) when disk space is needed
cache_replacement_policy heap LFUDA
# refresh_pattern (frecuencia de actualizacion de archivos) ref: maximum_object_size
# http://www.alterserv.com/foros/index.php?topic=363.msg2695#msg2695
# Calcule Minutos http://www.convertworld.com/es/tiempo/Minutos.html
# Agregue mas Extensiones http://filext.com/
# Nota: override-expire override-lastmod refresh-ims reload-into-ims ignore-reload ignore-no-store ignore-private ignore-auth ignore-must-revalidate pueden generar advertencia 'violates HTTP'
# Standard de actualización de objetos: Mayor a 43200 min (30d) download. Menor a 14400 min (10d) keep. Fecha de modificacion mayor a 80%, download
refresh_pattern -i .(gif|png|jp?g|ico|bmp|pict|tiff?)$ 14400 80% 43200  reload-into-ims ignore-no-store ignore-private ignore-auth refresh-ims
refresh_pattern -i .(swf|htm|html|shtm|shtml|nub)$ 14400 80% 43200  reload-into-ims ignore-no-store ignore-private ignore-auth refresh-ims refresh-ims
refresh_pattern -i .(rpm|cab|deb|exe|msi|msu|zip|tar|xz|bz|bz2|lzma|gz|tgz|rar|bin|7z|doc?|xls?|ppt?|pdf|nth|psd|sis)$ 14400 80% 43200  reload-into-ims ignore-no-store ignore-private ignore-auth refresh-ims
refresh_pattern -i .(avi|iso|wav|mid|ogg|mp?|mpe?g?|mpeg|aiff?|mov|3gp|wm?|flv|x-flv|axd)$ 14400 80% 43200 reload-into-ims ignore-no-store ignore-private ignore-auth refresh-ims
refresh_pattern -i .(qtm?|viv|au|ram?|snd|sit|hqx|arj|lzh|lha|txt|rtf|tex|latex|class|js|ico|do|dll|asf|dat|psf)$ 14400 80% 43200
refresh_pattern -i \.a[0-9][0-9]$ 14400 80% 43200
refresh_pattern -i \.r[0-9][0-9]$ 14400 80% 43200
refresh_pattern -i \.css$ 10 20% 4320
# Default
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

# Opcional (Antivirus) (descomente la que necesite)
#refresh_pattern .avast.com/.*\.(vpu|stamp) 14400 80% 43200 reload-into-ims
#refresh_pattern .eset.com/.*\.(exe|rar|nup|ver) 4320 100% 43200 reload-into-ims
#refresh_pattern .avg.com/.*\.(rar|nup|ver) 4320 100% 43200 reload-into-ims
#refresh_pattern .pandasecurity.com/.*\.* 4320 100% 43200 reload-into-ims
#refresh_pattern .pandasoftware.com/.*\.exe 4320 100% 43200 reload-into-ims
#refresh_pattern .*downloads.*\.kaspersky-labs\.com/.*\.(.*)  1440 100% 1440 reload-into-ims
Reinicie el Squid (en dependencia de su version 2x o 3x)
sudo service squid restart
o
sudo service squid3 restart
El último paso es modificar el apt de los terminales con Linux que se conectarán a nuestro servidor de repositorios caché. Si existe apt.conf lo editamos
sudo gedit /etc/apt/apt.conf
Si no existe, pero hay una carpeta llamada /etc/apt.conf.d/, creamos un archivo con cualquier nombre (Ejemplo: cachedeb) y lo colocamos dentro de esta carpeta. En cualquiera de los casos, ya sea en el archivo apt.conf o en el que creamos, debe agregarle las siguientes líneas:
# Configuración para utilizar apt
Acquire {
  http {
    Proxy "http://192.168.1.10:3128";
  }
}
Donde 192.168.1.10 es la IP de nuestro servidor que tiene el Squid con el Disk Caché, y el puerto 3128, el el puerto por defecto de Squid (esto puede variar en dependencia de la ip y puerto asignado al Squid por el Administrador TI)
Si el proxy requiriere autenticación deberá colocarla en el archivo
# Configuración para utilizar apt
Acquire {
  http {
    Proxy "http://usuario:contrasena@192.168.1.10:3128";
  }
}
NOTA: Si expira o cambia la contraseña, debe actualizar el archivo con la nueva información.
Si existe el archivo /etc/apt/apt.conf se debe comentar la siguiente línea para que no falle el apt-get:
#Acquire::http::proxy “false”;
Tenga en cuenta que el servidor debe tener el mismo sistema operativo linux y la misma versión de los terminales de su red local, para que los repositorios que descargue le sirvan o generará error la actualización.
Para finalizar ejecute
sudo apt-get update
Cache Manager Interface
Squid v3.x tiene un bug relacionado con cachemgr.cgi, el cual se debate en el Foro Ubuntu, que consiste en que el nuevo cachemgr3.cgi está mal compilado, sin embargo se soluciona (casi en su totalidad) haciendo las modificaciones siguientes:
Edite su archivo de configuración del squid3 con el editor de su preferencia (asegúrese de tener instalado bien el squid3)
sudo apt-get install squid3-cgi squid3 squid3-common squid3-client
sudo gedit /etc/squid3/squid.conf
Verifique las siguientes directivas (Reemplace nombre_del_servidor por el nombre de su servidor).
acl manager proto cache_object
# Only allow cachemgr access from localhost
http_access allow manager nombre_del_servidor
http_access allow manager localhost
http_access deny manager
Nota: En la versión 3x de Squid las acls acl manager proto cache_object y acl localhost src 127.0.0.1/8 0.0.0.0/32 generan error por tanto debe eliminarlas
http_port (en dependencia de su Squid. Para 2x use la cláusula "transparent" y para 3x "intercept")
http_port 192.168.1.10:8080 transparent
o
http_port 192.168.1.10:8080 intercept
Active cachemgr_password (Reemplace su_contraseña por la contraseña deseada)
#Example:
# cachemgr_passwd secret shutdown
# cachemgr_passwd lesssssssecret info stats/objects
# cachemgr_passwd disable all
cachemgr_passwd su_contraseña all
Si usa Webmin, edite el archivo de configuración (como root puede utilizar nautilus para editarlo.
/etc/webmin/squid/config
Para squid3 debe quedar así:
sort_conf=0
squid_restart=service squid3 restart
squidclient=squidclient
cache_dir=/var/spool/squid3
sync_create=0
log_dir=/var/log/squid3
pid_file=/var/run/squid3.pid
cal_max=50000
squid_start=service squid3 start
sync_modify=1
cal_fmt=w
cal_all=1
cal_extra=
squid_path=squid3
calamaris=calamaris
squid_conf=/etc/squid3/squid.conf
sync_delete=0
cal_args=-aw
cachemgr_path=/usr/lib/cgi-bin/cachemgr.cgi
crypt_conf=0
restart_pos=0
squid_stop=service squid3 stop
Ahora edite el archivo de configuración de Cache Manager Interface (válido hasta squid 3.2x)
sudo cp /etc/squid/cachemgr.conf /etc/squid3/
sudo gedit /etc/squid3/cachemgr.conf
Reemplace la línea localhost por la ip y puerto de su servidor. Ejemplo:
192.168.1.10:8080
Reinicie squid
sudo service squid3 restart
Ahora cree una carpeta llamada squid en /etc y dentro copie los archivos cachemgr.conf y squid.conf que se encuentran en la carpeta squid3; o sea que estos dos archivos quedarán repetidos en las carpetas squid y squid3, (ambas en /etc), y luego dele los permisos necesarios. Al finalizar, reinicie los servicios.
Edite su archivo /etc/apache2/sites-enabled/000-default.conf e incluya la configuración: Para Squid3x
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/

 AllowOverride None
 Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
 Require all granted
 
Y reinicie apache2
sudo service apache2 restart
Importante
Si tenía instalado anteriormente squid (2x), elimínelo primero y también el contenido de la carpeta, para evitar cualquier redirección al antiguo squid y luego reinicie y cree nuevamente la carpeta squid y haga el procedimiento indicado arriba.
sudo apt-get purge squid
sudo apt-get autoremove
sudo rm -rf squid
sudo reboot
Ahora ya puede acceder a Cache Manager Interface. Si accede por el Webmin
https://localhost:10000/squid3/cachemgr.cgi
O directamente por url en el navegador
http://localhost/cgi-bin/cachemgr.cgi
A partir de la v3.2x hasta la 3.3 cambia el enlace. Debe ingresar con el usuario y contraseña establecido en el squid.conf (cache_mgr y cachemgr_passwd)
# Ej: http://ip_del_servidor:puerto/squid-internal-mgr/info
http://192.168.1.10:3128/squid-internal-mgr/info
En la entrada Cache Server debe estar la ip y puerto de su servidor. En el campo Manager name debe colocar root y en Password, la contraseña que eligió en el archivo de configuración de squid3, en la directiva cachemgr_passwd
Por alguna razón que desconocemos, squid-cache cada vez que se actualiza a una nueva versión, desafortunadamente cambia los parámetros de cachemgr y su acceso (y de otro montón de cosas). Las configuraciones propuestas son hasta squid3.2 y 3.3.1. No podemos garantizar el funcionamiento de CacheMgr en versiones posteriores. Para mayor información visite a los reyes magos: la wiki de cachemgr squid. especialmente el enlace a esta herramienta CGI para los últimos cambios.
También debe tener en cuenta que si utiliza la aplicacion sqstat, para estadísticas de squid3 en tiempo real, al establecer un password en cachemgr_passwd, debe agregarla también al archivo de configuración de sqstat y reiniciar apache2. Para mayor información sobre cómo configurar sqstat visite el post Network Monitor
Otras caches y configuraciones adicionales
1. Ajuste "cache_swap_low" y "cache_swap_high", al valor por default. Estas opciones se encargan de realizar la limpieza de la cache al llegar a los porcentajes indicados (90% y 95%)
cache_swap_low 90
cache_swap_high 95
2. Ajuste memory_pools al valor por default "off", para que Squid libere memoria RAM que no está usando el servidor y la coloque en la fuente de memoria y la cantidad de RAM para squid
# Liberando Memoria Ram
memory_pools off
# Cantidad de RAM para almacenamiento Squid
memory_pools_limit 512 MB
3. Ajuste half_closed_clients al valor por default "off".  (Si es un proxy inverso, póngalo en "on"). Cerrar las peticiones de los clientes que se queden a medias cuando cierran la conexión TCP
half_closed_clients off
4. Evite que Squid se atasque y  ponga los dns_nameservers de su red local. Ejemplo de dns de Google
dns_nameservers 8.8.8.8 8.8.4.4
5. Establecer nombre del proxy (Reemplace proxy.lan por el nombre de su proxy)
visible_hostname proxy.lan
6. Proteger el squid
cache_effective_user proxy 
cache_effective_group proxy
7. Limitando máximo de conexiones por usuario. Establezca en una acl llamada limit las ips que quiera limitar y determine su ruta (Ej: /etc/squid3/acls/limit)
acl conexiones maxconn 5
http_access deny conexiones
acl limit src "/etc/squid3/acls/limit"
acl abuse maxconn 3
http_access deny limit abuse
8. Mensajes de error por defecto en español (puede personalizar las páginas de error). No esta declarado por defecto. Pueden cambiarlo en el siguiente enlace:
error_directory /usr/share/squid3/errors/es
Si quiere personalizar aún más sus páginas de error del Squid, visite el foro Alterserv y encontrará varios ejemplos usando la directiva deny_info
9. Declarar paginas que contengan ciertos caracteres no deben almacenarse en cache (sitios de webmail y paginas locales en su red, etc)
# reemplazar
hierarchy_stoplist cgi-bin ? 
# por
hierarchy_stoplist cgi-bin ? hotmail gmail yahoo outlook misitioweb.com
10. Activar y ver Logs
cache_log /var/log/squid3/cache.log
# logs
access_log daemon:/var/log/squid3/access.log squid
access_log stdio:/var/log/squid3/access.log squid
cache_access_log stdio:/var/log/squid3/access.log
cache_store_log stdio:/var/log/squid3/store.log
cache_store_log daemon:/var/log/squid3/store.log
# Ver los logs
cat /var/log/squid3/cache.log
11. Windows Update
Para los que quieran cachear las actualizaciones de Windows Update, pueden visitar el tutorial en AlterServ
12. Verifique la carga de su squid
# Ejemplo
squidclient -h 192.168.1.10 -p 3128 mgr:info | grep 'Average HTTP requests'
13. En algunas versiones de Squid, si utiliza el modo proxy no-transparente con autenticación (proxy_auth), es posible que necesite priorizar (subir de posición) la acl CONNECT con respecto a las acls SSL_ports y Safe_ports, para evitar doble (o falsa) autenticación de los usuarios. Si no es su caso, dejela como viene por default, o sea, debajo de las acl SSL_ports y Safe_ports
acl CONNECT method CONNECT
acl SSL_ports port 443
acl Safe_ports port 80  # http
acl Safe_ports port 21  # ftp
acl Safe_ports port 443  # https
acl Safe_ports port 70  # gopher
acl Safe_ports port 210  # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280  # http-mgmt
acl Safe_ports port 488  # gss-http
acl Safe_ports port 591  # filemaker
acl Safe_ports port 777  # multiling http
Follow X-Forwarded-For headers
Otra configuración que ayuda a que se conozca la naturaleza de las peticiones y por tanto hace más transparente el tráfico es X-Forwarded-For-Headers, sin embargo con el asunto de la "violación a la privacidad" se puede convertir más en un problema que en una solución. No obstante para los que quieran activarla, abran su squid.conf y coloquen lo siguiente:
acl localhost src 127.0.0.1 # Linea no valida para squid3x
acl my_proxy srcdomain .proxy.example.com
follow_x_forwarded_for allow localhost
follow_x_forwarded_for allow my_proxy
acl_uses_indirect_client on
delay_pool_uses_indirect_client on
log_uses_indirect_client on
Reemplace my_proxy y proxy.example.com por los de su organización
Con esta acción se puede confiar en las solicitudes de la dirección IP 127.0.0.1 desde cualquier host en el dominio (proxy.example.com). La información de la cabecera X-Forwarded-For, en este caso, se utilizará en lugar de la dirección del cliente directamente para los efectos de las ACL, delay pools y logging.
Log personalizado TCP_DENIED/403
Múltiples ACLs
Independientemente de si es un proxy manual o transparente, sin embargo esto puede ser un arma de doble filo; pero veamos mejor el siguiente escenario:
Supongamos que tenemos un proxy en Linux con Squid (o cualquiera de sus derivados), y lo ponemos en modo transparente (192.168.1.10 es la ip del server), para no tener que enredarnos con configurar el proxy en cada navegador de cada usuario, ni rompernos la cabeza con WPAD / PAC.
# Squid normally listens to port 3128
http_port 192.168.1.10:3128 intercept
Y el filtrado https (puerto 443) lo hacemos por el Iptables, con una ACL que contiene las IPs que solo queremos dejar pasar y el resto de las conexiones en DROP, tal y como se explica en el post Firewall.
En este tipo de configuración el Squid filtraría el tráfico por el puerto 80, que puede ser supervisado en tiempo real por la aplicación web SqStat (o cualquier otra de preferencia del administrador IT).
Si ponemos una ACL en el Squid, tipo blacklist, que se encargue del bloqueo de sitios. Para mayor información visite el proyecto blackweb
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
acl blacklistweb dstdomain -i "/home/servidor/acl/blacklistweb"
http_access deny blacklistweb
Entonces cada vez que accedamos a una URL por HTTP, incluida en esta ACL "blacklist", obviamente seríamos bloqueados. Y si por error bloqueamos un sitio legítimo, el camino más expedito es ir a la ACL blacklist y sacar la URL bloqueada accidentalmente. Hasta aquí la película es más o menos aburrida. Ahora lo importante...
Puede darse el caso de que nuestro servidor con Squid maneje varias ACLs que realicen diferentes tipos de bloqueos. Por ejemplo:
acl blacklistweb dstdomain -i "/home/servidor/acl/blacklistweb"
acl rwords url_regex -i "/home/servidor/acl/rwords"
acl extensiones url_regex "/home/servidor/acl/ext"
acl archivos-bloqueados rep_mime_type -i "/home/servidor/acl/ext-mime"
http_access deny blacklistweb
http_access deny rwords
http_reply_access deny ext
http_access deny ext-mime
Donde:
blacklistweb: Contiene sitios restringidos http. (Visite blackweb)
rwords (restricted words): Contiene palabras a bloquear, ejemplo: "porno", "proxy", "sex", etc
ext: Bloquea extensiones como #\.scr$, #\.ink$, \.exe, \.msi, \.iso, etc
ext-mime: Similar a la anterior pero utilizando mime-type. Ejemplo: ^application/exe$, ^application/ogg$, ^application/exe$, ^application/x-msi$, ^vnd.ms-cab-compressed$, etc
Nota: se utilizan dos ACLs similares para las extensiones, por si un archivo con extensión no deseada, logra "saltarse" la restricción de una ACL, la segunda pueda bloquearlo, ya que son dos métodos diferentes de bloqueo de extensiones. Las extensiones también pueden ser filtradas en el Iptables. Vea el post Firewall
Supongamos entonces que un usuario está suscrito a las publicaciones de nuestro blog y le llega un mail de feedburner con este post. El usuario abre el enlace feedproxy.google.com y de pronto le sale un mensaje en su navegador PÁGINA RESTRINGIDA (o el mensaje que esté configurado en el Squid para las situaciones de bloqueo). Habla con el administrador IT y busca la URL bloqueada en las ACLs, pero no aparece. Como maneja varias ACLs el próximo paso más lógico es revisar los logs del Squid.
Suponiendo que tengamos activo en su Squid el cache.log.
#Default:
cache_log /var/log/squid3/cache.log
Y esté bien configurado el access.log...
access_log /var/log/squid3/access.log squid
Entonces procedemos a leerlo...
tail -f /var/log/squid3/access.log
Y en ese mar de líneas, encontramos el siguiente mensaje:
416669690.372 108 192.168.1.40 TCP_DENIED/403 417706 GET http://feedproxy.google.com/~r/fan_de_este_puto_sitio/~3/Q5y7jB2v9ZA/leyendo_estupideces_en_internet.html? - NONE/- text/html
El cual contiene la información de al IP local que generó la petición (192.168.1.40), sitio bloqueado (http://feedproxy.google.com) y la leyenda TCP_DENIED/403 (indíca bloqueo), entre otros parámetros, pero el mensaje no cita nada acerca cuál ACL es la responsable del bloqueo. Sin embargo existe una forma de manipular el Squid para conocer la actividad del mismo y por consecuencia la ACL responsable del bloqueo TCP_DENIED/403 y es activando el 'modo de depuración' o debug_options.
Por default, el Squid no lo trae activo, pero muestra la leyenda:
#Default:
# debug_options ALL,1
Entonces si descomentamos esta línea y cambiamos el por el 9, sabremos todos los detalles de lo que hace el Squid, incluyendo el bloqueo y su responsable.
#Default:
debug_options ALL,9
En este punto muchos se dirán que con un simple...
sudo grep -i checklistmatches /var/log/squid3/cache.log
o
sudo grep -i feedproxy /var/log/squid3/cache.log
...sabríamos de inmediato quién es el responsable del bloqueo al sitio feedproxy.google.com. Es cierto, pero tiene un precio muy alto, ya que cuando el debug_options se encuentra en nivel ALL,9 (Full debugging) y lanzamos el comando grep, el servidor puede colapsar, porque, como Squid registra cada evento de manera pormenorizada, el archivo cache.log se llena al punto de volverse inmanejable (puede llegar a ocupar más de 20 GB en una red local con un tráfico de apenas 30 equipos). Es por esta razón que explicaremos otras opciones más viables de modificar el debug.
Modificando debug_options (opciones de depuración)
Ahora modificaremos debug_options para que registre lo que necesitamos, pero NO TODO, para evitar la congestión de cache.log, descomentando la línea que viene por default y con esta acción sería suficiente:
#Default:
debug_options ALL,1
Sin embargo se recomienda que también habilite la sección 33 del nivel 2 y 28 del nivel 9
#Default:
debug_options ALL,1 33,2 28,9
Para que cache.log registre, en el caso de 33,2 el match de las reglas y 28,9 el procesamiento de las ACLs. Estas opciones son muy importantes sobre todo si tenemos más de un http_access y http_access deny. Con ellas podremos saber el último intento de acceso y la información sobre las ACLs que hacen match con el TCP_DENIED/403.
También podemos echar mano de otras opciones...
#Default:
debug_options ALL,2 28,4 82,4
En fin, debug_options tiene infinidades de alternativas de configuración. Para conocerlas visite DebugSections; sin embargo tenga en cuenta que a mayor cantidad de secciones activas en el debug_options, el cache.log se llenará más rápido y al ejecutar un grep corre el riesgo de hacer colapsar su servidor, si éste no es lo suficientemente robusto.
Reinicio y verificación
Finalmente guardamos los cambios y reiniciamos el Squid (o lo reconfiguramos para que tome los cambios sin reiniciar).
sudo service squid3 restart
o
sudo squid3 -k reconfigure
Y verificamos que nuestro Squid no tenga errores.
sudo squid3 -k parse
Ahora podemos acceder a la URL bloqueada y el archivo cache.log registrará la ACL culpable. Para hacerlo más rápido, usamos el comando grep
sudo grep -i feedproxy /var/log/squid3/cache.log
Y el resultado es:
2014/11/22 10:39:05.872| The request GET http://feedproxy.google.com/favicon.ico is DENIED, because it matched 'rwords
Entonces la ACL responsable es "rwords", ya que, al tener incluida la parabra "proxy" (para realizar bloqueo de cualquier petición que incluya esta palabra), restringió también el portal feedproxy.google.com.
Es por esta razón que utilizar un bloqueo en el Squid, basado en expresiones no es muy recomendable.
Registro de eventos personalizado (opcional)
Una buena alternativa es crear un archivo de log que registre solamente los bloqueos tipo TCP_DENIED/403, para poder supervisar mejor lo que está rechazando el Squid (también se puede hacer con otros tipos de mensajes de access.log. Para mayor información sobre los diferentes mensajes de access.log visite Analizar los logs de access.log de squid y para los mensajes de error TCP_Denied cuando está activo NTML, visite BlueCoat)
Lo anterior se logra modificando el squid.conf y agregándole lo siguiente, (creando primero deny.log con sus respectivos permisos):
acl DENY_ACCESS http_status 403
access_log /var/log/squid3/deny.log squid DENY_ACCESS
Ahora en deny.log (pueden llamarlo como gusten) se guardarán solamente los registros de bloqueos (403) del Squid. Para mayor comodidad puede visualizarlos en el webmin, tal y como se muestra en la imagen al principio del post.
Importante
Los parámetros de debug_options se procesan de forma secuencial y el último valor reescribe el primero, por tanto se recomienda especial cuidado a la hora de escribir los valores. Ejemplo:
debug_options 9,5 20,9 4,2 ALL,1
En este caso, el valor final sobreescribirá los anteriores, porque ALL,1 selecciona el nivel de 'debugging' a 1 para todas las secciones. Para mayor información sobre este punto lea el E-Book Squid: The Definitive Guide de Duane Wessels.
También se recomienda encarecidamente no dejar activas permanentemente las secciones (parámetros) de depuración (debug_options) descritos anteriormente. Una vez que haya diagnosticado el problema, se sugiere desactivarlos. Puede dejar el modo depuración en ALL,1 (en dependencia de sus necesidades) para que Squid solamente registre eventos esenciales.
Problemas conocidos
a. Muchos son los escenarios en los que puede presentarse el error squid: ERROR: No running copy y ocurre cuando reiniciamos después de los cambios. A veces en el terminal muestra el squid reiniciando normalmente con el mensaje "ok", sin embargo no inicia. El problema es de permisos. Acceda a los logs del sistema (/var/log/syslog) y haga una búsqueda de la palabra "writeable", "Permission denied", "squid" o expresiones similares y encontrará el responsable:
Cannot open '/var/log/squid3/deny.log' for writing.#012#011The parent directory must be writeable by the#012#011user 'proxy', which is the cache_effective_user#012#011set in squid.conf
La solución es asignarle los permisos correspondientes chmod (para este ejemplo el archivo deny.log pero puede ser ocasionado por cualquier otro archivo) y reinicie squid y apache:
sudo chmod 666 /var/log/squid3/deny.log && sudo squid3 -k reconfigure | sudo invoke-rc.d apache2 reload
b. Puede parametrizar el Logformat (que se encarga de darle un formato específico a los log del squid), sin embargo tenga presente que si lo modifica puede presentarse conflicto con Sarg. En este caso puede optar por la alternativa de ver el access.log con el formato adecuado por terminal:
tail -f /var/log/squid3/access.log | perl -pe 's/[\d\.]+/localtime($&)/e'
Para más información visite el foro Alterserv
c. Si después de parametrizar su squid.conf y reiniciar squid3 (o verificar con sudo squid3 -k parse) sale un mensaje similar a:
WARNING: Netmasks are deprecated. Please use CIDR masks instead
WARNING: IPv4 netmasks are particularly nasty when used to compare IPv6 to IPv4 ranges
WARNING: For now we will assume you meant to write /32
Significa que su versión de squid3 ya no soporta mascaras de subred. En su reemplazo deberá especificar el CIDR. Para el caso de 255.255.255.255 es 32. Para mayor información consulte la siguiente tabla CIDR.
Y si Squid al reiniciar genera un mensaje de tipo:
Page faults with physical i/o
Entonces revise su squid.conf, en especial los parámetros relacionados con la memoria (cache_mem, etc), ya que está haciendo swapping.
d. En las versiones más recientes de Squid, no se puede utilizar el puerto 3128 con la cláusula intercept (antes transparent) ya que genera el error: "No forward-proxy ports configure" (/var/log/squid3/cache.log). El puerto por default para proxy transparente es 8080 (NAT), sin embargo puede utilizar cualquier otro puerto, para cualquier proxy, siempre que no sea reservado.
Para mayor información lea el post No Forward-proxy ports configure
e. Error 'pinger'
De acuerdo con fossies.org, 'pinger' es un programa de sonido (ping) de Squid que especifica la localización del ejecutable para proceso de sonido de ping. Esto es sólo útil si has configurado Squid (durante la compilación) con la opción '--enable-icmp'. Según Pfsense, interviene en el proceso de caché padre.
Sea cual sea su uso, genera error en la versión squid3 v3.3x y está reportado como Bug. Para desactivarlo o eliminar el error, (o ambas) realice lo siguiente:
# Modifique Pinger
sudo chmod 4755 /usr/lib/squid3/pinger
sudo /usr/lib/squid3/pinger
# Configurar Squid3
sudo gedit /etc/squid3/squid.conf
# Modifique la linea de pinger a off
pinger_program /usr/lib/squid3/pinger
pinger_enable off
# Reinicie squid
sudo service squid3 restart
Y a no ser que se requiera específicamente, se recomienda desactivar la directiva emulate_httpd_log. Por defecto viene inactiva
emulate_httpd_log off
e. TCP_MISS_ABORTED/000
Cuando este error (y otros. Vea el post Proxy) se presenta asociado a una IPv6, es debido a que las versiones recientes de squid soportan ambas versiones del protocolo. La solución es agregar al squid el parámetro:
dns_v4_first on
Personalizando squid.conf
La configuración que propondremos deberá ir acompañada de otras acciones complementarias, en dependencia de lo que se pretenda hacer.
Antes de comenzar
1. No es recomendable utilizar ips internas terminadas en 1, 20, entre otras, ya que son ips (por default) reservadas para routers y otros hardware de comunicaciones. Para el siguiente ejemplo hemos utilizado para el proxy, la ip interna clase C eth1 192.168.1.10.
2. Edite las interfaces de su servidor. Debe tener al menos dos; una para el enlace de internet (eth0) y la segunda para la red local (eth1).
sudo nano /etc/network/interfaces

# si recibe el internet por dhcp
auto eth0
iface eth0 inet dhcp

# psi recibe el internet por ip estática 
# Reemplace las ips por las de su ISP
auto eth0
iface eth0 inet static
address 19X.XX.XX.XX
gateway 19X.XX.XX.XX 
netmask 255.255.255.XXX
broadcast 19X.XX.XX.XX

# salida a la redlocal
auto eth1
iface eth1 inet static
address 192.168.1.10
netmask 255.255.255.0
broadcast 192.168.1.255
network 192.168.1.0
Finalmente reinicie
sudo /etc/init.d/network restart
o
sudo service networking restart
3. Si no tiene servidor propio DNS, configure los DNS de su ISP
# reemplace los DNS de google por los de su ISP
sudo nano /etc/resolv.conf
nameserver 8.8.8.8
nameserver 8.8.4.4
4. Si quiere asignar direcciones IP mediante DHCP y no dispone de un Router u otro equipo que las asigne, puede instalar el servidor DHCP (Consulte Tutorial). Si ya tiene DHCP, salte este paso.
# Instale el servidor DHCP
sudo apt-get install isc-dhcp-server
# Edite isc-dhcp-server
sudo nano /etc/default/isc-dhcp-server
# /etc/default/dhcp3-server (para Ubuntu 10x)
# Busque la linea INTERFACES y agregue la interface de la red local
INTERFACES="eth1"
Ahora edite el archivo de configuración 'dhcp.conf'
# sudo nano /etc/dhcp/dhcpd.conf
Establezca la autoridad de su servidor dhcp, descomentando 'authoritative'
# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
authoritative;
Y agregue los parámetros de su red local. Modifique 'range', 'option domain-name' y 'option domain-name-servers' según sus directivas
# redlocal (localnet)
subnet 192.168.1.0 netmask 255.255.255.0 { 
        range 192.168.1.100 192.168.1.200; 
# reemplace los dns de google por los de su ISP
 option domain-name-servers 8.8.8.8, 8.8.4.4; 
# option domain-name "inf01.server.public"; 
 option routers 192.168.1.10; 
 option broadcast-address 192.168.1.255; 
 default-lease-time 600; 
 max-lease-time 7200; 
}
Y finalmente reinicie el servidor DHCP
sudo service isc-dhcp-server restart
Instalación y configuración de Squid
Nota: Las acciones que a continuación se describen son válidas para versiones de Squid superiores a 3.1. Para 3.1 o anteriores se especificará dónde varía. No aplican para Squid2x.
Tenga en cuenta que Squid v3.3x es una verdadera pesadilla, literalmente hablando (presenta muchos bugs). Por lo anterior recomendamos trabajar con versiones estables (3.0 a la 3.2)
Instalamos Squid3 y accedemos a su configuración
sudo apt-get install squid-cgi squid3 squid3-common squidclient
Detenga el servidor squid3
sudo service squid3 stop
Elimine directorios previos
sudo rm -Rf /var/spool/squid3/*
Reconstruya
sudo squid3 -z
Edite Squid3
sudo gedit /etc/squid3/squid.conf
Reemplace todo el contenido de su 'squid.conf' con la configuración que se describe abajo. Reemplace 'servidor' con el nombre de su servidor y demás parámetros donde se indique.
# WELCOME TO SQUID 3.3.8
# ----------------------------
# SQUID.CONF
# probar: sudo squid3 -k parse o netstat -pltn | grep 3128
# recarga: sudo squid3 -k reconfigure | sudo invoke-rc.d apache2 force-reload
# verificar configuracion: squid – v
# asegurese que su servidor tiene ipv6 desactivado http://ipv6-test.com/

# ACCESS CONTROLS
# -----------------------------------------------------------------------------

# Recommended minimum configuration:

# servidor (cambie la ip por la de su servidor proxy)
acl servidor src 192.168.1.10/32
http_access allow localhost
http_access allow servidor
# Redlocal (localnet). Reemplace la información por la de su red local
acl localnet src 192.168.1.0/24

# IPv RULES
# DNS Ipv4
dns_v4_first on
# BLOCK IPv6
acl to_ipv6 dst ipv6
http_access deny to_ipv6 !all
# outgoing proxy. (Activela si usa tiene DNS-LOCAL)
outgoing_address 192.168.1.10
udp_outgoing_address 192.168.1.10

acl SSL_ports port 443
acl SSL_ports port 5228         # GTalk
acl Safe_ports port 80  # http
acl Safe_ports port 21  # ftp
acl Safe_ports port 443  # https
acl Safe_ports port 70  # gopher
acl Safe_ports port 210  # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280  # http-mgmt
acl Safe_ports port 488  # gss-http
acl Safe_ports port 591  # filemaker
acl Safe_ports port 777  # multiling http
acl CONNECT method CONNECT

# Recommended minimum Access Permission configuration:
#
# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access allow servidor manager
http_access deny manager
#http_access deny to_localhost

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENT

# Visite blacklistweb.com
acl blacklistweb dstdomain -i "/etc/acl/blacklistweb.txt"
http_access deny blacklistweb

# Access Localnet
http_access allow localnet

# And finally deny all other access to this proxy
http_access deny all

# ICP-HTCP-CLR
# Allow ICP queries from local networks only
icp_access allow localnet
icp_access deny all
# Allow HTCP queries from local networks only
htcp_access allow localnet
htcp_access deny all

# Ancho de banda
reply_body_max_size 2048 MB

# NETWORK OPTIONS
# -----------------------------------------------------------------------------

# Squid Port
http_port 192.168.1.10:3128 ignore-cc
# PROXYINTERCEPT (Active esta linea si es transparente)
#http_port 192.168.1.10:8080 ignore-cc

# Qos
qos_flows local-hit=0x30
qos_flows parent-hit=0x32
# To prevent error FATAL: Bungled comment this line
# qos_flows disable-preserve-miss

# Destination IP address matches the Host header domain or IP
host_verify_strict on

# Verificacion de la cabecera Host
# client_dst_passthru on

# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
# -----------------------------------------------------------------------------

# CACHEPEER (cambie el puerto 3128 a 8080 si es proxy transparente)
cache_peer 192.168.1.10 parent 3128 0 proxy-only no-digest no-delay no-netdb-exchange no-query no-tproxy
dead_peer_timeout 2 seconds
cache_peer_access 192.168.1.10 allow all

# Páginas que contengan ciertos caracteres no se almacenan en la cache. Solicitudes de 'cgi-bin' or '?' van directo al servidor
hierarchy_stoplist cgi-bin ? hotmail gmail yahoo outlook
# Si la url contiene 'cgi-bin' o '?', no se almacena en la cache
# http://gofedora.com/how-to-configure-squid-proxy-server/comment-page-1/
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

# MEMORY CACHE OPTIONS
# -----------------------------------------------------------------------------

# Cache de memoria
# Por cada 256MB en ram son 32MB (buffers, delay_pools, etc). Ejemplo: 8 GB (8192 MB) = 1024 MB
# Se recomienda que dedique aprox 5MB de RAM por cada 1GB asignado a cache_dir
cache_mem 512 MB

# Tamano máximo del tamaño de los objetos en memoria (cámbielo según sus especificaciones)
maximum_object_size_in_memory 1024 KB

# objects are purged from memory when memory space is needed
memory_replacement_policy heap GDSF

# DISK CACHE OPTIONS
# -----------------------------------------------------------------------------

# objects are evicted (replaced) when disk space is needed
cache_replacement_policy heap LFUDA

# cache de disco (No puede superar el 70% del total del disco menos el espacio ocupado)
# Ejemplo: 100 GB asignados para disco de 250 GB
cache_dir aufs /var/spool/squid3 100000 16 256

#  TAG: max_open_disk_fds
# no limit

# tamaño mínimo y máximo de los objetos que se guardarán en memoria
# Ej: 200 Mb (maximum_object_size 20480 KB)
minimum_object_size 0 KB
maximum_object_size 4 MB

# Squid vaciar la caché (1% de 100 GB)
cache_swap_low 95 
cache_swap_high 99

# LOGFILE OPTIONS
# -----------------------------------------------------------------------------

# logs
access_log daemon:/var/log/squid3/access.log squid
access_log stdio:/var/log/squid3/access.log squid
cache_access_log stdio:/var/log/squid3/access.log
cache_store_log stdio:/var/log/squid3/store.log
cache_store_log daemon:/var/log/squid3/store.log

# Rotacion manual de log
# sudo apt-get install logrotate 
# sudo squid3 -k rotate
logfile_rotate 7

# netdb_filename
# netdb_filename stdio:/var/log/squid3/netdb.state
# Disable Journal
# netdb_filename none

# OPTIONS FOR TROUBLESHOOTING
# -----------------------------------------------------------------------------

#  Squid administrative logging file.
cache_log /var/log/squid3/cache.log

# debug
debug_options ALL,1

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid3

# OPTIONS FOR EXTERNAL SUPPORT PROGRAMS
# -----------------------------------------------------------------------------

# Pinger (sudo chmod 4755 /usr/lib/squid3/pinger)
pinger_program /usr/lib/squid3/pinger
pinger_enable off

# OPTIONS FOR TUNING THE CACHE
# -----------------------------------------------------------------------------

# refresh_pattern (frecuencia de actualizacion de archivos) ref: maximum_object_size
# http://www.alterserv.com/foros/index.php?topic=363.msg2695#msg2695
# Calcule Minutos http://www.convertworld.com/es/tiempo/Minutos.html
# Agregue mas Extensiones http://filext.com/
# Nota: override-expire override-lastmod refresh-ims reload-into-ims ignore-reload ignore-no-store ignore-private ignore-auth ignore-must-revalidate pueden generar advertencia 'violates HTTP'
# Standard de actualización de objetos: Mayor a 43200 min (30d) download. Menor a 14400 min (10d) keep. Fecha de modificacion mayor a 80%, download
refresh_pattern -i .(gif|png|jp?g|ico|bmp|pict|tiff?)$ 14400 80% 43200  reload-into-ims ignore-no-store ignore-private ignore-auth refresh-ims
refresh_pattern -i .(swf|htm|html|shtm|shtml|nub)$ 14400 80% 43200  reload-into-ims ignore-no-store ignore-private ignore-auth refresh-ims refresh-ims
refresh_pattern -i .(rpm|cab|deb|exe|msi|msu|zip|tar|xz|bz|bz2|lzma|gz|tgz|rar|bin|7z|doc?|xls?|ppt?|pdf|nth|psd|sis)$ 14400 80% 43200  reload-into-ims ignore-no-store ignore-private ignore-auth refresh-ims
refresh_pattern -i .(avi|iso|wav|mid|ogg|mp?|mpe?g?|mpeg|aiff?|mov|3gp|wm?|flv|x-flv|axd)$ 14400 80% 43200 reload-into-ims ignore-no-store ignore-private ignore-auth refresh-ims
refresh_pattern -i .(qtm?|viv|au|ram?|snd|sit|hqx|arj|lzh|lha|txt|rtf|tex|latex|class|js|ico|do|dll|asf|dat|psf)$ 14400 80% 43200
refresh_pattern -i \.a[0-9][0-9]$ 14400 80% 43200
refresh_pattern -i \.r[0-9][0-9]$ 14400 80% 43200
refresh_pattern -i \.css$ 10 20% 4320
# Default
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

# Opcional (Antivirus) (descomente la que necesite)
#refresh_pattern .avast.com/.*\.(vpu|stamp) 14400 80% 43200 reload-into-ims
#refresh_pattern .eset.com/.*\.(exe|rar|nup|ver) 4320 100% 43200 reload-into-ims
#refresh_pattern .avg.com/.*\.(rar|nup|ver) 4320 100% 43200 reload-into-ims
#refresh_pattern .pandasecurity.com/.*\.* 4320 100% 43200 reload-into-ims
#refresh_pattern .pandasoftware.com/.*\.exe 4320 100% 43200 reload-into-ims
#refresh_pattern .*downloads.*\.kaspersky-labs\.com/.*\.(.*)  1440 100% 1440 reload-into-ims

# HTTP Options
request_header_max_size 256 KB
ie_refresh on
quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95
read_ahead_gap 16 KB
negative_ttl 0 seconds
positive_dns_ttl 6 hours
negative_dns_ttl 10 seconds
fqdncache_size 16384

# Range
range_offset_limit -1
minimum_expiry_time 60 seconds

# HTTP OPTIONS
# -----------------------------------------------------------------------------

# Cambiar via a off oculta localnet pero genera violacion
via on

# TIMEOUTS
# -----------------------------------------------------------------------------

# Timeouts
forward_timeout 4 minutes
connect_timeout 1 minute
peer_connect_timeout 30 seconds
read_timeout 15 minutes
write_timeout 15 minutes
request_timeout 5 minutes
persistent_request_timeout 60 seconds
client_lifetime 1 day
pconn_timeout 60 seconds
shutdown_lifetime 20 seconds
pipeline_prefetch off
client_idle_pconn_timeout 2 minutes

# cerrar las peticiones que se queden a medias cuando cierra la conexión TCP
half_closed_clients off

# ADMINISTRATIVE PARAMETERS
# -----------------------------------------------------------------------------

#  TAG: cache_mgr
# Cambielo por su email
# Default (webmaster)
#cache_mgr tucorreo@dominio.com

# proteger el squid3 (cámbielo según sus especificaciones)
# http://www.linuceum.com/Server/srvSquidServer.php
cache_effective_user proxy 
cache_effective_group proxy

# Hide squid inf
httpd_suppress_version_string on

# nombre del proxy (reemplacelo por el nombre de su proxy)
visible_hostname servidor

# DELAY POOL PARAMETERS
# -----------------------------------------------------------------------------

# Pool
# TABLA DE EQUIVALENCIAS
#2048 B ==> 16 kb ==> 2KB
#4096 B ==> 32 kb ==> 4KB
#8192 B ==> 64 kb ==> 8KB
#16384 B ==> 128kb ==> 16KB
#32768 B ==> 256Kb ==> 32KB
#65536 B ==> 512Kb ==> 64KB
#131072 B ==> 1 Mb ==> 128KB
#196608 B ==> 1.5 Mb ==> 192KB
#262144 B ==> 2 Mb ==> 256KB

# Active el Delay Pool en dependencia de su localnet y ancho de banda
# http://www.alterserv.com/foros/index.php?topic=825.0
#delay_initial_bucket_level 50
#delay_pools 1
#delay_class 1 1
#delay_access 1 allow localnet
#delay_parameters 1 -1/-1 -1/-1
#delay_access 1 deny all

# PERSISTENT CONNECTION HANDLING
# -----------------------------------------------------------------------------

# Conexiones persistentes
server_persistent_connections off
client_persistent_connections off

# ICP OPTIONS
# -----------------------------------------------------------------------------

# Disable ICP (Inter-Cache Protocol) (default icp_port 3130)
icp_port 0

# Disable icmp
query_icmp off

# ERROR PAGE OPTIONS
# -----------------------------------------------------------------------------

# Paginas de error squid3 (en español)
error_directory /usr/share/squid3/errors/es

# OPTIONS INFLUENCING REQUEST FORWARDING 
# -----------------------------------------------------------------------------

# DIRECT 
always_direct allow servidor 
always_direct allow localnet
never_direct allow CONNECT
never_direct allow all

# DNS OPTIONS
# -----------------------------------------------------------------------------

# Chequear hostnames
# check_hostnames off
# hosts_file /etc/hosts

# Intervalo de Retransmisión DNS
dns_retransmit_interval 5 seconds

# Tiempo de espera de consulta DNS. >2 min se asume disponible
dns_timeout 30 seconds

# DNS publicos. Reemplace por los de su ISP 
# Si utiliza /etc/resolv.conf para DNS no se recomienda activarla
dns_nameservers 8.8.8.8 8.8.4.4
# Si usa DNS-LOCAL (dnsmasq) active esta regla
#dns_nameservers 127.0.0.1 192.168.1.10

# Numero max peticiones cache DNS
# Default ipcache_size 1024
ipcache_size 8192
ipcache_low 90
ipcache_high 95
fqdncache_size 1024

# MISCELLANEOUS
# -----------------------------------------------------------------------------

# Liberando Memoria Ram
memory_pools off

# Cantidad de RAM para almacenamiento Squid
memory_pools_limit 512 MB

# hide internal ip
forwarded_for deleted

# Acceso a la cache. Si utiliza sqstat debe poner el mismo pass en config.inc.php
cache_mgr servidor
cachemgr_passwd servidor all

# Validar (off) o no validar (on) los objetos de la cache Squid 
offline_mode on

# Rotacion de ips
# balance_on_multiple_ip off

# Limite de memoria Squid ('cache.log' y 'syslog')
high_memory_warning 3072 MB
Ahora guarde los cambios e inicie el Squid3
sudo service squid3 start
o
sudo squid3 -k reconfigure
Y si con apache
sudo squid3 -k reconfigure | sudo invoke-rc.d apache2 reload
Y verifique estado, errores y puerto de escucha de su Squid
sudo service squid3 status
sudo squid3 -k parse
netstat -pltn | grep 3128
Con esta configuración elemental, su servidor proxy Squid tendría un funcionamiento normal. Puede agregarle más configuraciones o modificar lo propuesto para un mejor desempeño de su Squid. También puede configurar los reportes, así como DNS masq para acelerar las peticiones y reforzar la seguridad perimetral del proxy (firewallArpON, IDS/IPS, etc)

Consultas
Con la tecnología de Blogger.