Squid, Sinn und Unsinn

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
fischig
Beiträge: 3598
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Squid, Sinn und Unsinn

Beitrag von fischig » 14.05.2021 11:09:21

Ich habe meinen Linux-Router von Grund auf neu installiert und wie gehabt mit dem iptables-Konfigurator shorewall bestückt. Macken beim Versuch eines apt-get updates auf einem Klienten im Heim-Netz erbrachten als Ursache die fehlende Squid-Installation. Den entsprechenden Eintrag in der Shorewall-config habe ich einstweilen herausgenommen.

Frage: Macht squid auf einem Router, der ohnehin mit NAT arbeitet, Sinn?

Benutzeravatar
MSfree
Beiträge: 10683
Registriert: 25.09.2007 19:59:30

Re: Squid, Sinn und Unsinn

Beitrag von MSfree » 14.05.2021 12:41:30

squid ist ja nicht nur ein caching Proxy. Man kann damit auch Inhalte mittels ACLs filtern. Seit aber praktisch alle Webseiten auf HTTPS umgestellt wurden, ist die Filterfunktion von squid auf das Filtern von Hostnamen beschränkt, es sei denn, man bricht die Verschlüsselung im squid auf, was allerdings neue Probleme nach sich zieht.

Natürlich kann bedingt durch die Transportverschlüsselung bei HTTPS auch nichts gecached werden, so daß sich squid hier inzwischen als weitgehend nutzlos erweist.

Insgesamt betrachtet ist squid inzwischen von der Realität überholt worden und bietet kaum noch einen Nutzen.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Squid, Sinn und Unsinn

Beitrag von wanne » 14.05.2021 17:55:05

ist die Filterfunktion von squid auf das Filtern von Hostnamen beschränkt
Was ich ein erhebliches Feature finde. Ich habe meine Server-Kisten alle hinter einem Squid der ausschließlich meinen Mirror zulässt. Das dürfte so 99% der Malware überfordern, weil sie auf ausgehende Verbindungen zu ihrem C&C-Server angewiesen ist.
Natürlich kann bedingt durch die Transportverschlüsselung bei HTTPS auch nichts gecached werden
Es gibt noch 2 für mich relevante Ausnahmen. Debian-Updates (und die der meisten anderen Distros) laufen genau aus dem Grund über http. (Validiert wird dann mit GPG.) Wer sich apt-cacher-ng und ähnliche Verrenkungen sparen will setzt nen squid hin und lädt nur ein mal runter vor allem wenn man unterschiedliche Distros im Einsatz hat, ist das deutlich bequemer. Die meisten XML-DTDs liegen auf w3c.org und werden da mit http und ~30kBit/s zur Verfügung gestellt. Ein Validator der mit 10GBit/s am Squid hängt bekommt dann gerne mal über 98% Hitrates udn verfünfzigfacht seinen Speed somit.
Daneben gibt es diverse Szenarien wo man viele Nutzer hinter eine IP setzen will. Das funktioniert im Gegensatz zu NAT auch in gerouteten Netzen und ohne Manipulation der ARP-Tabellen, die Netzwerker eventuell eher ungern sehen. Bibliotheken oder ähnliches die nur eine zugelassene IP für externe Services haben brauchen sowas.
Die Zeit wo man den allgemeinen Surfer hinter nen Squid setzen wollte sind aber vorbei. Dazu sind die üblichen Webseiten längst viel zu bloated mit 3rd-Party zeug. Wenn man nicht gerade Werbefilter/Kindersicherungen oder ähnliches zentral verwalten will.
Prinzipiell hat http mit SRI gerade wieder die Möglichkeit bekommen sicher unverschlüsselt (und damit cachbar) zu kommunizieren. Am ende wird das von den Browsern aber genau so kaputt geschossen wie der NULL-Cipher in TLS.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
MSfree
Beiträge: 10683
Registriert: 25.09.2007 19:59:30

Re: Squid, Sinn und Unsinn

Beitrag von MSfree » 14.05.2021 19:18:15

wanne hat geschrieben: ↑ zum Beitrag ↑
14.05.2021 17:55:05
ist die Filterfunktion von squid auf das Filtern von Hostnamen beschränkt
Was ich ein erhebliches Feature finde.
Für den Zweck gibt es Alternativen, z.B. pihole, was für den Normalverbraucher einfacher zu konfigurieren ist.
Es gibt noch 2 für mich relevante Ausnahmen. Debian-Updates
Da hilft der Cache aber nur bei möglichst vielen Clients, die das selbe Debianrelease verwenden. Heimnetze mit 3-4 Rechner und unterschiedlichen Betriebssystemen profitieren hier kaum.
... Daneben gibt es diverse Szenarien wo man viele Nutzer hinter eine IP setzen will.
Ich habe selbst eine squid auf meinem Router. Was ich dabei sehr angenehm finde, ist, daß ich den Proxyport bequem über SSH tunneln kann und darüber nicht nur surfen sondern auch auf den Server zuhause zugreifen kann.

Antworten