Por favor, verificar estas reglas. Es probablemente que estén desactualizadas para 3.2 a 3.5

http://wiki.squid-cache.org/Features/QualityOfService

Perfecto. Gracias nuevamente.
Realmente nunca le había puesto atención a esto, hasta que leí este post. Y es poca la información específica al respecto. Entiendo que esto de las instancias actúa como una especie de "balanceo de carga de squid" (tratando de encontrarle una símil).
Por eso me gustaría que detallaras el beneficio de tener varias instancias corriendo (versus no tenerlas) y los efectos (positivos o negativos) que causa en un servidor en producción, para comprender mejor sus bondades. Te agradezco mucho

hola. Que bueno que regresastes y veo que con muy buenos aportes.
Solo un par de cosas que no tengo muy claro.
¿Qué sucede si hay 4 núcleos pero solo quiero implementar tres, dos o una instancia?
Lo otro es los valores que le asignas a:
cache_mem 32 KB
maximum_object_size_in_memory 32 KB
cache_swap_low 90
cache_swap_high 95
Concretamente la pregunta es por qué tan pequeños estos valores? (cache_mem se ajusta de acuerdo a la cantidad de RAM del sistema. Por ejemplo aprox 5MB de RAM por cada 1GB asignado a cache_dir o , por ejemplo, si el sistema tiene 8 GB de RAM (8192 MB) = 1024 MB de asignación de cache_mem
cache_mem 32 KB
Este valor si es a criterio de cada cual, pero es muy pequeño (por default es 1024 KB)
maximum_object_size_in_memory 32 KB
Para el caso de cache_swap_high y low dependen mas que todo de la capacidad del disco (para vaciar la cache). Por ejemplo el 1% de 100GB. Algunos recomiendan los siguientes valores (aunque no está claro por qué lo recomiendan):
cache_swap_low 95
cache_swap_high 99
Por último quisiera que me aclares el valor 1008  en cache_dir

Gracias por el gran aporte

Gracias por tu respuesta. Muy bueno el script. He incluido una referencia a este hilo en el proyecto blacklistweb.com, para aquellos que deseen extender el bloqueo en Squid3, no solo de dominios negros, sino también de publicidad (no incluido en el proyecto)
un saludo

Hola amigo firecold. gracias por el script. Tengo una propuesta, pero con algunas interrogantes:
Por que no meter dentro del mismo script más listas de adblockplus tanto de exclusión como de bloqueo
Ejemplo:
# excluir
https://easylist-downloads.adblockplus.org/exceptionrules.txt
https://easylist-downloads.adblockplus.org/antiadblockfilters.txt
# bloquear
https://easylist-downloads.adblockplus.org/malwaredomains_full.txt
https://easylist-downloads.adblockplus.org/easylist.txt

Y agregar al squid
##### squid3 rule #####
# BlackAds
acl adblock url_regex "/etc/squid3/adblock.acl"
acl malwaredomains_full dstdomain "/etc/squid3/malwaredomains_full.acl"
# WhiteAds and exclusiones.txt (personal list)
acl exceptionrules url_regex "/etc/squid3/exceptionrules.acl"
acl antiadblockfilters url_regex "/etc/squid3/antiadblockfilters.acl"
acl exclusiones dstdomain "/etc/squid3/exclusiones.txt"
# BlockAds
http_access deny adblock
http_access deny malwaredomains_full
http_access deny !noadblock
http_access deny !exclusiones
http_access deny !exceptionrules
http_access deny !antiadblockfilters
#######################

Pero tengo unas dudas. Si consideras viable meter todas las listas de adblockplus dentro del script...
1. Para las acls exceptionrules, antiadblockfilters y malwaredomains_full, he utilizado dstdomain o url_regex, según el caso, sin embargo, al no estar familiarizado con estas listas me pregunto: ¿es correcto?
2. Es recomendable repetir el mismo procedimiento descrito en el script para adblock.acl, también para los archivos exceptionrules.txt antiadblockfilters.txt y malwaredomains_full.txt, o el procedimiento es diferente para cada archivo mencionado?? (en caso de ser diferente, cuáles serían los cambios?)
Ejemplo:
#### exceptionrules #####
acl1=/etc/squid3/exceptionrules.acl
touch $acl1 && chmod 777 $acl1
source=(
https://easylist-downloads.adblockplus.org/exceptionrules.txt
)
cat > /tmp/adblock.sed <<'EOF'
/.*\$.*/d;
/\n/d;
/.*\#.*/d;
/@@.*/d;
/^!.*/d;
s/\[\]/\[.\]/g;
s#http://#||#g;
s/\/\//||/g
s/^\[.*\]$//g;
s,[+.?&/|],\\&,g;
s#*#.*#g;
s,\$.*$,,g;
s/\\|\\|\(.*\)\^\(.*\)/\.\1\\\/\2/g;
s/\\|\\|\(.*\)/\.\1/g;
/^\.\*$/d;
/^$/d;
EOF

mv $acl1 "$acl1".old
cd $tmp_dir
wget -nv ${source

• } || $(mv "$acl1".old $acl1 && rm_temp)
  sed -f /tmp/adblock.sed $(ls) >> $acl1
  
  rm_temp
  
  Gracias por todo y un saludo
  
  

hola. arpon no se instala en debian 8 jessie. He revisado y solo encontré este enlace
https://code.launchpad.net/~ubuntu-branches/debian/jessie/arpon/jessie
Aparentemente todo esta bien, pero no se encuentra en los repositorios. Sabes de algún repositorio alternativo para debian?
gracias

hola
tengan en cuenta que en versiones recientes de squid3 no se puede utilizar el puerto 3128 con la cláusula intercept (antes de la 3.1 era transparent), ya que genera error.
"No forward-proxy ports configure" (/var/log/squid3/cache.log) ya que este puerto es reservado solo para proxy manual
El puerto por default para proxy transparente es 8080 (NAT). También pueden utilizar cualquier otro, para proxy manual o para transparente, siempre que no sean puertos reservados.
No olviden la redirección de paquetes en iptables del 80 al puerto del proxy
iptables -t nat -A PREROUTING -s eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080 # o 3128
Para mayor seguridad cambien eth1 (adaptador de la red local) a 192.168.1.0/24 (en dependencia de su red local)
saludos

Gracias por la solución. No había trabajado con la utilidad a pesar que sé que es muy buena y la recomiendo.
Pero aún tengo unas dudas, que le agradecería aclarar

Para el caso de un PVS (Proxy Virtual Server basado en linux, con squid, iptables y dhcp y su batería de app), normalmente usa dos adaptadores. El primero es para recibir el internet y normalmente va en puente de red aunque en algunos casos va con nat (toma ip dhcp del adaptador real) y el segundo puede ser red interna o solo anfitrión, en dependencia de lo que se quiera hacer.
En cualquier caso hay algo híbrido aquí; o sea, recibe tanto ip estática como dhcp, sin embargo, como este "segundo adaptador virtual" a su vez va a dar dhcp red lan (que se cree a partir del rango definido en el archivo de configuración dhcp), entonces, esta situación me lleva a la pregunta de:
¿cómo se configura arpon para proteger eth0 (la que recibe del anfitrión) y eth1 (la que controla la red lan)?

gracias por su apoyo

solo tengo una duda.

En algunos sitios, recomiendan activar arpon para ambos adaptadores de red, para los casos de servidores en producción (proxy, web, etc). Por ejemplo: eth0 y eth1
Estos servidores, casi siempre llevan ip estática (ya sea que se la pongamos o que el servidor dhcp se la asigne). La duda radica en que al tener ambos adaptadores ip estáticas y solo haber una línea SARPI en el archivo de configuración, para estos casos, cómo de manejaría?

1. Se duplica la línea SARPI y en una se pone eth0 yen la otra eth1
2. En la misma línea SARPI se colocan ambos adaptadores, separados por espacio, coma o punto y coma
3. Hay que poner un adaptador en SARPI y el otro en DARPI (descomentar las dos líneas) y con el firewall amarre host+ip+mac el servidor dhcp le asigna al segundo adaptador ina ip estática por dhcp
4. Para colocar más de un adaptador en arpon es necesario un script externo
3. Ninguna de las anteriores

Muchas gracias

Fue un error mio. Ya hice las pruebas nuevamente y funciona también para ubuntu 10, con el -i eth0 (wlan0 o la que sea). Resumiendo: funciona para toda la familia ubuntu y debian
Gracias por todo

Tu solucion funciona bien para ubuntu 12 y 14, pero no para Ubuntu 10 y Debian anterior al 7.
En estas versiones, arpon es la 1.90 y la línea es diferente:
Ejemplo:
DAEMON_OPTS="-d -f /var/log/arpon/arpon.log -g -y"
Al agregarle el adaptador de red
DAEMON_OPTS="-d -f /var/log/arpon/arpon.log -g -y -i eth1"
y correrlo
sudo /etc/init.d/arpon restart (o sudo service arpon restart)
Luego status
sudo service arpon status
Checking etc etc    fail

He probado la solución de securitybydefault y no funciona para versiones anteriores a Ubuntu 12x Debian 7x. Tu solución tampoco ( -i eth0)
No he encontrado solución aún. Te agradecería tu intervención en este asunto, ya que lo considero arpon MUY ESENCIAL, porque es PRIMORDIAL para proteger el perímetro

gracias por tu comprensión

Buenas. Gracias por permitirme participar y felicitaciones.
Hay una cuestión con ArpON que debe ser tenida en cuenta y es la versión.
Lo siguiente no ha sigo verificado en su totalidad.

Para versiones anteriores a Debian 7x y Ubuntu 12x (Ej: Ubuntu 10.04 LTS, Debian 6, etc)
# For SARPI uncomment the following line (please edit also /etc/arpon.sarpi)
# DAEMON_OPTS="-d -f /var/log/arpon/arpon.log -g -s"

# For DARPI uncomment the following line
DAEMON_OPTS="-d -f /var/log/arpon/arpon.log -g -y"

Para versiones Debian 7x y Ubuntu 12x y posterior
# For SARPI uncomment the following line (please edit also /etc/arpon.sarpi)
# DAEMON_OPTS="-q -f /var/log/arpon/arpon.log -g -s"

# For DARPI uncomment the following line
DAEMON_OPTS="-q -f /var/log/arpon/arpon.log -g -d"

El Portal securitybydefault propone un script para arrancarlo con las interfaces (ya que da problemas)
http://www.securitybydefault.com/2011/05/arpon-para-defenderse-de-arp.html
#!/bin/bash

if [ $# -ne 1 ]; then
       echo "Help: enable-arpon interface"
       echo "  Ex: enable-arpon eth0"
else
       /usr/sbin/arpon -q -f /var/log/arpon/arpon.log -g -d -i $1
fi

Gracias