HTTPS Cache con Squid

[Luca_000]

Buonasera,
vorrei utilizzare squid per cachare siti in https, in primis youtube...
è possibile?
grazie

[dennyv]

Risposta breve? No.

Risposta lunga: Ni. Puoi farlo giocando con stunnel, ma dovresti fare un selfsigned certificate e il browser brontolerebbe su ogni connessione verso https. Inoltre credo sia contro la legge dovendo decryptare il contenuto.
Comunque: http://wiki.squid-cache.org/Features/HTTPS

Caldamente sconsigliato.

[Luca_000]

Quote:

Originariamente inviato da dennyv

Risposta breve? No.

Risposta lunga: Ni. Puoi farlo giocando con stunnel, ma dovresti fare un selfsigned certificate e il browser brontolerebbe su ogni connessione verso https. Inoltre credo sia contro la legge dovendo decryptare il contenuto.
Comunque: http://wiki.squid-cache.org/Features/HTTP

Caldamente sconsigliato.

mmm avevo penso a stunnel...
ti spiego a cosa mi serve cachare..

ho circa 350 utenti connessi ad un hotspot, il tutto gestito con 2 linee in fibra ma quando molti si mettono ad usare youtube etc (anche la storia del download automatico da mobile/PC dei video di Facebook mi sta altamente sui cosidetti) la banda si satura velocemente... quindi vorrei cachare questi contenuti così almeno si scaricano 1 volta (svariati TB a disposizione su NAS)..

ho trovato questo: https://aacable.wordpress.com/2014/0...ikrotik-queue/

ma non parla di https... quindi bho... altre soluzioni?
PS: uso come router un Fortigate 100D, volendo ha la funzione cache (non so se abbia una qualche funzione per cachare https) il problema è che non è possibile inserire ulteriore spazio e/o usare un NAS per lo storage... (di default il 100D ha 32GB)

Ti ringrazio.

[Tasslehoff]

Io suggerirei un approccio diverso, ovvero cercare di limitare tramite delay pools di squid la banda verso determinati domini oppure tipologia di contenuti.
La gente si lamenterà perchè i video di Youtube sono lenti? Pazienza, non penso che i manager saranno così contrari.
Se poi loro vogliono banda illimitata non ti resterebbe che creargli delle reservation e una ACL dedicata per i loro ip o la loro subnet.
Altra soluzione più grossolana potrebbe essere quella di configurare un proxy trasparente e convogliare tutto il traffico in downstream verso quello (oppure forzare l'uso del proxy tramite script, group policy se usate AD oppure comunicando i parametri per il proxy) limitando a poche porte specifiche (es 80 e 443) e limitando la banda del proxy.
In questo modo quando si saturerà tutta la banda per youtube si rallenterà tutto il browsing, vedrai che prima o poi la gente si autolimiterà stanca di aspettare buffering dei video oppure rendering delle pagine.

In genere queste sono le soluzioni che vedo usare più frequentemente dai clienti dove lavoro, anzi quasi esclusivamente la seconda.

[Luca_000]

Quote:

Originariamente inviato da Tasslehoff

Io suggerirei un approccio diverso, ovvero cercare di limitare tramite delay pools di squid la banda verso determinati domini oppure tipologia di contenuti.
La gente si lamenterà perchè i video di Youtube sono lenti? Pazienza, non penso che i manager saranno così contrari.
Se poi loro vogliono banda illimitata non ti resterebbe che creargli delle reservation e una ACL dedicata per i loro ip o la loro subnet.
Altra soluzione più grossolana potrebbe essere quella di configurare un proxy trasparente e convogliare tutto il traffico in downstream verso quello (oppure forzare l'uso del proxy tramite script, group policy se usate AD oppure comunicando i parametri per il proxy) limitando a poche porte specifiche (es 80 e 443) e limitando la banda del proxy.
In questo modo quando si saturerà tutta la banda per youtube si rallenterà tutto il browsing, vedrai che prima o poi la gente si autolimiterà stanca di aspettare buffering dei video oppure rendering delle pagine.

In genere queste sono le soluzioni che vedo usare più frequentemente dai clienti dove lavoro, anzi quasi esclusivamente la seconda.

Ciao,
grazie per la risposta... quello di limitare la banda ad un determinato dominio o gruppo di domini posso farlo con il fortinet senza utilizzare squid...
come posso limitare la banda per ogni utente autenticato (preferirei di no)... a questo punto penso che assegnerò 20/25 mbps ad un gruppo di domini video, ed i restanti per tutta la navigazione web in generale..

peccato però che non si possa cachare youtube e fb video, era un discorso interessante in quanto dopo qualche tempo e molti TB di cache mi sarebbe piaciuto vedere se effettivamente la banda usata cali oppure no...

[Dane]

Quote:

Originariamente inviato da Luca_000

..... mi sarebbe piaciuto vedere se effettivamente la banda usata cali oppure no...

da quel poco che ho provato sono più i problemi innescati da un proxy che i mbit risparmiati.....

Invece i delay pool sono una cosa molto interessante. Se poi lo accompagni ad un po' di qos a livello 3 ancora meglio!