17. 透過プロキシ/キャッシュ
(Interception Caching/Proxying)

メモ： FreeBSD3.x以前ではip filterではなく代わりに内蔵の ipfw 機能を使ってください。 後述のFreeBSD節を参照してください。FreeBSD3.0以上では、以下のように設定できます。

■ IPフィルターのインストール

もし既に、 IP Filter パッケージ がインストールされていないならこれを入手してインストールしてください。（FreeBSDを普通にインストールするとipフィルターはインストールされています）

■ ip-filter の設定

ip-filterを設定して、プロキシマシンでポート80のパケットを受け取れるように設定してください。　以下ではテストの為、すべてのパケットを受け入れるルールを設定します。

/etc/ipf.rules に対する設定

■ ipnatの設定

/etc/ipnat.rules に対する設定：

ここで、de0 はLANインターフェース名なのでifconfigコマンドで、インターフェース名は確認してください。　

この例では、自分宛のhttpパケット（80）はそのまま自分自身のWebサーバに渡して以外のパケットを8080へ渡すように設定しています。　それ以外のアドレス宛の80ポートへのパケットは8080へリダイレクトします。
（もしかしたら、apacheなどの受付ポートを81とかにして、最初のルールを

とかにする方がより良いかも知れません。）

スタートアップスクリプトを編集してipnatを有効にします。 例えばFreeBSDでは/etc/rc.conf で次のように指定します：

で確認できます。

■ Squidの設定

Squid-2の場合：

Squid-2（beta25以降）ではIPフィルターをサポートします。　この為には configure を次のように実行します。

そして squid.conf で次のように指定します。

Note： ポートは8080でなくても構いませんが、必ず /etc/ipnat.rules での指定を合わせてください。

Squid-1.1の場合：

Quinton Dolan's Squid page.によるパッチを適用することでSquid-1.Xも利用できます。　squid.conf では次のように指定します。

Rodney van den Oever による

注意: 透過プロキシ/キャッシュはLinux 2.0.30では動かない。　Linux 2.0.29で十分に動作する。もしあなたが最近の 2.2.xのカーネルを使うなら ipchains で構成すべきです。　これについては後述します。

警告： このテクニックにはいくつかの欠陥があります。

1. メソッドとしてHTTPプロトコルしかサポートしません。　FTP や gopher はサポートしません。
   firewallingとリダイレクションをサポートする為のカーネルコンパイルオプションがあります。　これらの重要なパラメータは/usr/src/linux/.configの中で、
   #
   # Code maturity level options
   #
   CONFIG_EXPERIMENTAL=y
   #
   # Networking options
   #
   CONFIG_FIREWALL=y
   # CONFIG_NET_ALIAS is not set
   CONFIG_INET=y
   CONFIG_IP_FORWARD=y
   # CONFIG_IP_MULTICAST is not set
   CONFIG_IP_FIREWALL=y
   # CONFIG_IP_FIREWALL_VERBOSE is not set
   CONFIG_IP_MASQUERADE=y
   CONFIG_IP_TRANSPARENT_PROXY=y
   CONFIG_IP_ALWAYS_DEFRAG=y
   # CONFIG_IP_ACCT is not set
   CONFIG_IP_ROUTER=y
   とします。　また、IPフォワードを有効にする為に、スタートアップスクリプトで次のように指定してください。
   
   echo 1 > /proc/sys/net/ipv4/ip_forward
2. Linux IP Firewall and Accounting ページに行って、ipfwadmのソースを入手してインストールしてください。ipfwadmはバージョン2.3.0よりも小さいバージョンでないと働かないかもしれません。　あなたは、ipfwadmを使ってリダイレクションを設定します。　私はブート時にインターフェースを整える/etc/rc.d/rc.inet１(Slackware)から走るスクリプトにこの規則を加えました。
   /etc/rc.d/rc.firewall ：
   

   #!/bin/sh
   # rc.firewall   Linux kernel firewalling rules
   FW=/sbin/ipfwadm
   
   # Flush rules, for testing purposes
   for i in I O F # A      # If we enabled accounting too
   do
           ${FW} -$i -f
   done
   
   # Default policies:
   ${FW} -I -p rej         # Incoming policy: reject (quick error)
   ${FW} -O -p acc         # Output policy: accept
   ${FW} -F -p den         # Forwarding policy: deny
   
   # Input Rules:
   
   # Loopback-interface (local access, eg, to local nameserver):
   ${FW} -I -a acc -S localhost/32 -D localhost/32
   
   # Local Ethernet-interface:
   
   # Redirect to Squid proxy server:
   ${FW} -I -a acc -P tcp -D default/0 80 -r 8080
   
   # Accept packets from local network:
   ${FW} -I -a acc -P all -S localnet/8 -D default/0 -W eth0
   
   # Only required for other types of traffic (FTP, Telnet):
   
   # Forward localnet with masquerading (udp and tcp, no icmp!):
   ${FW} -F -a m -P tcp -S localnet/8 -D default/0
   ${FW} -F -a m -P udp -S localnet/8 -D default/0
   

   
   これでLANからのどんな宛先のポート80へのパケットはローカルホスト（自分自身）のポート8080に転送されます。　規則を表示させると次のように見えます。：
   
   IP firewall input rules, default policy: reject
   type prot source destination ports
   acc all 127.0.0.1 127.0.0.1 n/a
   acc/r tcp 10.0.0.0/8 0.0.0.0/0 * -> 80 => 8080
   acc all 10.0.0.0/8 0.0.0.0/0 n/a
   acc tcp 0.0.0.0/0 0.0.0.0/0 * -> *
   

   あるとき、LANからのアクセスでWebサーバとしてプロキシを指定した時に、ループに入ってしまいました。これはクライアントからの要求を拒否することで避けられるかもしれません。

   ${FW} -I -a rej -P tcp -S localnet/8 -D hostname/32 80M
   
   IP firewall input rules, default policy: reject
   type prot source destination ports
   acc all 127.0.0.1 127.0.0.1 n/a
   rej tcp 10.0.0.0/8 10.0.0.1 * -> 80
   acc/r tcp 10.0.0.0/8 0.0.0.0/0 * -> 80 => 8080
   acc all 10.0.0.0/8 0.0.0.0/0 n/a
   acc tcp 0.0.0.0/0 0.0.0.0/0 * -> *

Martin Lyonsによる、

あなたは ipchains が機能するようにカーネルを構築する必要があります。カーネルの構築に関してはこのFAQの範疇を越えていますので詳しい情報は Linux JF や Linux HQ The Linux Kernel Archives とかを参考にすると良いでしょう。カーネルの再構成の一般的な手順は：

を実行して以下のよう機能を組み込むことが必要です。

あなたは、 IP: always defragment (required for masquerading) を組み込む必要があります。さもないとリダイレクトの機能が使えません。

以下は、ipchainsを構成する為のスクリプト（rc.firewall）の例です。

#!/bin/sh

# rc.firewall   Linux kernel firewalling rules

# Leon Brooks (leon at brooks dot fdns dot net)

FW=/sbin/ipchains

ADD="$FW -A"



# Flush rules, for testing purposes

for i in I O F # A      # If we enabled accounting too

do

        ${FW} -F $i

done



# Default policies:

${FW} -P input REJECT   # Incoming policy: reject (quick error)

${FW} -P output ACCEPT  # Output policy: accept

${FW} -P forward DENY   # Forwarding policy: deny



# Input Rules:



# Loopback-interface (local access, eg, to local nameserver):

${ADD} input -j ACCEPT -s localhost/32 -d localhost/32



# Local Ethernet-interface:



# Redirect to Squid proxy server:

${ADD} input -p tcp -d 0/0 80 -j REDIRECT 8080



# Accept packets from local network:

${ADD} input -j ACCEPT -s localnet/8 -d 0/0 -i eth0



# Only required for other types of traffic (FTP, Telnet):



# Forward localnet with masquerading (udp and tcp, no icmp!):

${ADD} forward -j MASQ -p tcp -s localnet/8 -d 0/0

${ADD} forward -j MASQ -P udp -s localnet/8 -d 0/0

カーネル2.0では不要でしたが、カーネル2.1、2.2では、ipフォワーディングを有効にするために次のコマンドが必要です。

注：この情報は Daniel Kiracofe's の Transparent Proxy with Squid mini-HOWTO. によります。

Linux2.4上で--enable-linux-netfilter をつけて構成されたSquidはnetfilter transparent interceptionをサポートします。
netfilterをサポートする為にカーネルを再構築する場合には次のオプションが有効になっている事を確認してください。

• Networking support
• Sysctl support
• Network packet filtering
• TCP/IP networking
• Connection tracking (Under ``IP: Netfilter Configuration'' in menuconfig)
• IP tables support
• Full NAT
• REDIRECT target support
• /proc filesystem support

また、

"Fast switching"にはNoを指定しなくてはいけません。　カーネルの再構築が終わってインストールできたなら再起動してください。

パケットフォワードも（起動スクリプトなどで）有効にする必要があります。そのためには、

を実行します。
iptablesコマンドを使ってあなたのカーネルにHTTPコネクションを捕まえさせて、Squidにそれらを送ってください。

John Saundersによる、

以下の説明はIOS11.1よりも新しい場合に機能します。　でもその前に、私はCISCOの専門家ではないので私のいう事は完全に信頼しないでください。　
最初にproxy-redirectという名前（名前はどんな名前でも良い）のルートマップを定義し、次のホップ先をSquidマシンとした指定を行います。

続いてアクセスリストを作成してHTTPリクエストをトラップします。　２番目の行ではルーティングループを避ける為にSquidマシンへの直接アクセスパケットを拒否するようにしています。　

そして、イーサネットインターフェースにルールを適用します。

起こりうるバグ：

ブルース・モーガンは、CiscoにおいてIPポリシールートマップを利用し透過プロシキをお行った場合に関連するバグを報告しています。それは、ＮＦＳ並びに他のアプリケーションによて引き起こされます。

ドンピシャリ。いまここに、Squid-userメーリングリストにポストしたCiscoルータとLinux上のSquidを使った透過プロキシについてのメッセージがあります。

Brian Feeny による：

いま私の手元にIOS 11.1のCisco2501とLinux2.0.33上の環境で動作している透過プロキシがあります。　
以下の方に感謝します。Squid-usersメーリングリストで助けてくれたことで私のCisco/Linuxボックスでリダイレクションと透過プロキシが機能するようになりました。

• Lincoln Dale
• Riccardo Vratogna
• Mark White
• Henrik Nordstrom

最初に、私のCiscoはIOS11.1で動作しています。　IOS 11.1におけるroute-mapコマンドは"プロセス スイッチ"で、IOS 11.2以上での速度の速い"fast-switched"のroute-mapとは違うものです。　あなたは、IOS11.2 を使いたいかもしれませんが、私の11.1でもSquidに同時に150の接続を行っても全く問題は発生していません。
私のIOS11.1の設定は：

基本的には、上の設定では"route-map"での定義を行い、それをint e0での"ip policy route-map proxy-redir"で使うようにしています。
判りますか。　これがCiscoにおける設定のポイントです。
この設定においての、208.206.76.44はSquidの動いているホストのIPアドレスです。

私のSquidの動くLinuxでは次のような指定を行いました。
尚、私のカーネルは(2.0.33)です：

Firewalling と Transparent Proxy に対する指定は最低限必要です。そして、ipfwadmでの指定として以下のようなイーサネットインターフェースにルールを適用します。

この設定によって、ポートは80で受け取った（これはCiscoからリダイレクトされてきます）パケットを、Squidプロセスで指定したポート3128へリダイレクトしています。　
上記の設定は/etc/rc.d/rc.localで行いました。

私はSquid V1.1.20に Henrik's patch のパッチをインストールして使いました。　あなたが同じようなものを使うならパッチを適用すると良いでしょう。