Teraz bude obmedzená rýchlosť sťahovania pre rôzne skupiny ľudí. No, si pripravený? :) Choď...

Štart. Vytvorte ACL

Vytvorte skupiny ACL:
acl mp3_deny src "/etc/squid/lists/mp3_deny_users"
acl super_users src "/etc/squid/lists/super_users"
acl deny_all src "/etc/squid/lists/deny_all_users"

Vytvorili sme teda zoznamy, respektíve tri skupiny používateľov, ktorých adresy sú obsiahnuté v súboroch. Keďže IP boli pridelené predo mnou a nezhodujú sa v rozlíšení, čo sťahovať a čo nie, bude jednoduchšie zapísať ich IP do súboru ako vytvárať rozsahy, ale čo chcete :)
acl mego_super_user src 192.168.0.0-256 # =) len opatrne s týmto rozsahom
Príklad obsahu zoznamu
nano "/etc/squid/lists/mp3_deny_users"
192.168.0.213
192.168.0.75
192.168.0.52
195.168.0.254

Teraz je čas vytvoriť zoznam odmietnutých povolení:
acl mobile urlpath_regex -i (\.thm|\.sis|\.swf|\.jad|\.jar|\.3gp|\.mp4)((\#|\&|\?|\s)(1 )|$)
acl multimedia urlpath_regex -i (\.swf|\.mp3|\.m3u|\.flv|\.wav|\.vqf|\.avi|\.wmv|\.mpeg|\.mp|\.asf| \.mpe|\.dat|\.mpg|\.wma|\.midi|\.aiff|\.au|\.qt|\.ram|\.rm|\.iso|\.raw|\. mov)((\#|\&|\?|\s)(1)|$)
acl archív urlpath_regex -i (\.tar.gz|\.gz|\.tar|\.zip|\.rar|\.cab|\.arj|\.lzh|\.ace|\.7-zip| \.gzip|\.uue|\.bz2|\.iso)((\#|\&|\?|\s)(1)|$)
acl soft urlpath_regex -i (\.exe|\.msi|\.rpm)((\#|\&|\?|\s)(1)|$)
acl mp3 urlpath_regex -i (\.wav|\.mp3|\.mp4)((\#|\&|\?|\s)(1)|$)

To je všetko, o šiesty vedro je najväčší záujem:
každý z nich pumpuje všetko rýchlosťou 10, ak rýchlosť prekročí v podsieti, začne sa rezací kanál,
Ak sťahujú aj z iných podsietí a je ich viac ako dve, aj tak sa rýchlosť začne znižovať ...
Ak to robíte na fryaha, potom pri stavaní chobotnice nezabudnite postaviť ju s možnosťou --enable-delay-pools!
P.S. Snažil som sa to urobiť čo najjasnejšie. Ak som ti pomohol prísť na to, tak som túto tému nenapísal zbytočne. budem velmi rada. Ak niečo nie je jasné, pýtajte sa, určite odpoviem.
P.S.S. Predvolená konfigurácia chobotnice pomohla napísať toto všetko do sna, ak to začnete čítať, môžete zistiť veľa nových vecí!
P.S.S.S Milý KorP, bohužiaľ teraz nie je čas na doménu, tak zatiaľ píšem, čo mám v hlave
UPD.
reply_body_max_size 1000 povoliť, aby sa nestiahli všetky súbory väčšie ako 1 kilobajt

V tejto časti vám poviem, aké hlavné parametre je potrebné zmeniť, aj keď nie sú potrebné, pretože vývojári samotnej chobotnice nastavili leví podiel na hodnotách celkom dobre. Začnime teda pekne po poriadku...
Keďže často prerábam ssh pripojenie, na niektorých serveroch je niekedy až hnusná rýchlosť, v súvislosti s týmto problémom odporúčam všetko napísať na úplný začiatok konfigurácie, vďaka čomu má pomerne dobre čitateľný vzhľad a nemusíte hľadať všetky hodnoty . Chcem však poznamenať, že všetky sekundárne parametre (okrem zoznamov prístupových práv ACL a niekoľkých ďalších) nie sú nastavené v predvolenej konfigurácii. V skutočnosti je zaregistrovaný predvolený parameter a má komentár. Nemusíme teda hľadať každý parameter. ALE(!!!), ak ste už vládli, nemusíte začať všetko písať úplne hore, musíte nájsť komentované hodnoty a zmeniť ich. Choď.

Prvú vec, ktorú vám aspoň na čas testovania odporúčam poznamenať, je parameter shutdown_lifetimeštandardne má hodnotu 30 sekúnd, čo je veľmi dlhá doba. Poviem príklad, niekedy sa stane, že ste niečo pokazili a internet pre celú kanceláriu zmizol, rýchlo ste svoju chybu zmenili, ale samotná chobotnica po odoslaní SIGTERM alebo SIGHUP (reboot) čaká na čas, ktorý je v tomto parametri , počas ktorého sa nové pripojenia nevytvoria a staré by sa mali dokončiť sťahovanie. Zvyčajne dávam:
shutdown_lifetime 5
Ďalšími parametrami budú parametre popisujúce vyrovnávaciu pamäť cache_dir, maximálna_veľkosť_objektu
Ak teda máme normálnu bránu, ktorá proxy serveruje internet a v organizácii je dostatok počítačov > 30, musíme nainštalovať aspoň 2 gigabajty, hoci väčšine stačia dva. Parameter cache_dir parametrov je veľa, nechcem sa nimi rozpisovať, pretože toto všetko je v mane perfektne popísané. Spomeniem len to, čo považujem za najracionálnejšie, štandardných 256 MB nie je dobré :)
cache_dir ufs /var/squid/cache 2048 16 256
potom musíte znova vytvoriť adresáre pomocou príkazu Kalmáre -z, čo vymaže všetku našu predchádzajúcu vyrovnávaciu pamäť.

maximálna_veľkosť_objektu povie chobotnici, či má zapisovať súbory väčšie ako určitá veľkosť.
maximálna_veľkosť_objektu 10024, mne sa to zdá celkom dosť, potom sa dajú nejaké vyloviť z kešky. Niekedy je užitočné, ak si vaši zamestnanci stiahnu napríklad najnovšiu verziu Adobe Flash hráč.

viditeľný_názov_hostiteľa "%Meno hosťa%"

SQUID je program, ktorý prijíma HTTP/FTP požiadavky od klientov a používa ich na prístup k internetovým zdrojom. Použitie proxy servera (chobotnice) umožňuje používať fiktívne IP adresy vo vnútornej sieti (Masquerading - maskovanie), zvyšuje rýchlosť spracovania požiadaviek pri opätovnom prístupe (cachovanie) a tiež poskytuje dodatočné zabezpečenie.

Nemá zmysel inštalovať proxy na váš domáci počítač, pretože prehliadač vykonáva funkcie ukladania do vyrovnávacej pamäte. Proxy server by ste mali používať iba vtedy, ak sú vo vašej sieti tri alebo štyri počítače, ktoré potrebujú prístup na internet. V tomto prípade je požiadavka z prehliadača na proxy server spracovaná rýchlejšie ako z prehliadača na internetové zdroje, a tým sa zvyšuje výkon. V tomto prípade môžete pokojne nastaviť veľkosť vyrovnávacej pamäte v klientskych prehliadačoch na nulu.

SQUID je viac než len proxy server. Ide o akýsi štandard pre ukladanie informácií do vyrovnávacej pamäte na internete. Kvôli všadeprítomnosti SQUID som venoval veľkú pozornosť jej konfigurácii v knihe.

Proxy server Squid je tvorený niekoľkými programami, vrátane: samotného programu servera squid, ako aj programu dnsserver, programu na spracovanie dopytov DNS. Keď sa program squid spustí, najprv spustí daný počet procesov dnsserver, z ktorých každý beží samostatne a môže vykonať iba jedno vyhľadávanie DNS. Tým sa zníži celkový časový limit odpovede DNS.

15.2. Inštalácia SQUID

SQUID je možné nainštalovať zo zdroja alebo ako balík RPM. Inštalácia balíka SQUID RPM je veľmi jednoduchá – všetko, čo musíte urobiť, je zadať príkaz

rpm –ih squid-2.3.STABLE2-3mdk.i586.rpm

Používam squid verziu 2.3. Viac novú verziu dostupné ako zdrojové kódy. Zdroje je možné získať z ftp://ftp.squid.org. Ak chcete rozbaliť zdrojové kódy, spustite nasledujúce príkazy:

gunzip squid-2.3.STABLE2-3-src.tar.gz

tar xvf squid-2.3.STABLE2-3-src.tar.gz

Teraz prejdime priamo k inštalácii:

./configure --prefix=/usr/local/squid

SQUID sa nainštaluje do adresára určeného predponou - /usr/local/squid. Okrem predpony môžete použiť aj klávesy uvedené v tabuľke. 15.1.

konfigurácia možností skriptu Tabuľka 15.1

15.3. Nastavenie SQUID

Server SQUID používa konfiguračný súbor squid.conf, ktorý sa zvyčajne nachádza v adresári /etc/squid (alebo /usr/local/squid/etc v starších verziách). Otvorte ho v ľubovoľnom textový editor napr. joe/usr/local/squid/etc/squid.conf. Ďalej vykonajte nasledujúcu postupnosť akcií:

1. Zadajte proxy poskytovateľa:

V tomto prípade sa proxy .isp.ru stáva naším „susedom“ (susedom, rovesníkom).

2. Nastavte množstvo pamäte dostupnej pre chobotnicu a adresár vyrovnávacej pamäte:

cache_dir /usr/local/squid/cache 1024 16 256

kde: 65536 - objem Náhodný vstup do pamäťe v bajtoch, ktoré možno použiť pre vyrovnávaciu pamäť;

1024 - počet megabajtov pridelených na disku v zadanom adresári pre vyrovnávaciu pamäť. Tento adresár bude uchovávať súbory vo vyrovnávacej pamäti. Netreba dodávať, že ak ich máte niekoľko pevné disky, potom by mala byť vyrovnávacia pamäť umiestnená na najrýchlejšom z nich.

3. Zadajte hostiteľov, ktorí majú povolený prístup k serveru proxy:

acl povolení hostitelia src 192.168.1.0/255.255.255.0

acl localhost src 127.0.0.1/255.255.255.255

4. Zadajte povolené porty SSL:

http_access odmietnut CONNECT !SSL_ports

a odoprieť prístup každému okrem tých, ktorí môžu:

http_access allow allow_hosts

6. Zadajte používateľov, ktorí môžu používať chobotnicu (v tomto príklade sú to den, admin, vývojár):

acl allow_users užívateľ deň admin vývojár

http_access povoliť povoleným_používateľom

Tagy maxium_object_size a maxium_object nastavujú limity pre veľkosť odovzdávaných objektov.

Nasleduje príklad odmietnutia prístupu k akejkoľvek adrese URL, ktorá sa zhoduje so vzorovými hrami, a povolenia prístupu všetkým ostatným:

15.4. Beh SQUID

Teraz, keď ste dokončili základné nastavenie SQUID, musíte ho spustiť: /usr/local/squid/bin/squid –z

Voľba -z je potrebná na vytvorenie (vynulovanie) adresára obsahujúceho vyrovnávaciu pamäť. Zvyčajne je tento parameter potrebný iba pri prvom spustení. Niektoré ďalšie užitočné parametre SQUID sú uvedené v tabuľke 1. 15.2.

Parametre SQUID Tabuľka 15.2

Parameter	Popis
- prístav	Určuje port pre prichádzajúce požiadavky HTTP
-d	Povolí výstup ladenia na štandardnú chybu (na stderr)
-f súbor	Určuje konfiguračný súbor
-h	Poskytuje pomocné informácie
-k prekonfigurovať	Vysiela signál HUP
-k vypnutie	Vypnutie proxy servera
-k zabiť	Dokončenie bez uzatvárania denníkov
-u prístav	Určuje port pre prichádzajúce požiadavky ICP
-s	Povoliť protokolovanie pomocou syslog
-v	Poskytuje informácie o verzii SQUID
-D	Nevykonávajte test DNS pri spustení
-N	Nestaňte sa démonom (proces na pozadí)
-Y	Rýchlejšie zotavenie po havárii

15.5. formát súboru squid.conf

Súbor squid.conf obsahuje rôzne možnosti konfigurácie proxy servera. Pozrime sa na ne všetky v poradí.

15.5.1. Nastavenia siete

Port pre požiadavky klientov (pozri obrázok 15.1):

Ryža. 15.1. Nastavenia proxy

Ak neexistujú žiadni „susedia“ (peer), nastavte icp_port na 0

Port pre komunikáciu so susedmi - ICP - cez TCP. Pri použití tejto možnosti musíte nastaviť prepínač --enable-htcp pri nastavovaní htcp_port 4827.

Ďalší parameter určuje, na ktorú adresu sa majú prijímať prichádzajúce pakety, ak má hostiteľ viacero rozhraní. Verzia 2.3 túto možnosť nemá:

Pri odosielaní informácií sa ako zdroj použije zadaná adresa:

To isté, ale pre ICP:

(podobne pre ICP)

To isté, ale pre ICP (pri prijímaní):

V predvolenom nastavení je tento režim povolený, ale ak je proxy server za baštou (firewall), parameter pasívny_ftp musí byť zakázaný:

15.5.2. Možnosti suseda

Susedia sú popísaní v nasledujúcom formáte:

cache_peer typ hostiteľa proxy-port icp-port options

kde: hostname - meno suseda;

typ - sused typ: rodič - senior, súrodenec - rovnaká úroveň;

proxy-port - port proxy servera;

icp-port - ICP port;

možnosti - možnosti.

V tomto prípade je každý sused napísaný na samostatnom riadku.

Parent - ak v lokálnej vyrovnávacej pamäti nie je žiadna požiadavka, je presmerovaná na rodiča; ten, ak sa požiadavka nenachádza vo svojej vyrovnávacej pamäti, ju prepošle ďalej atď. Vráti pripravenú odpoveď otrokovi. Ak chobotnica prijme TCP_DENIED od rodiča, zdroj bude sprístupnený priamo.

Súrodenec – ak sa požiadavka nenachádza v lokálnej vyrovnávacej pamäti, požiadavka je presmerovaná na súrodenca; ak v ňom nie je žiadna požiadavka, vráti o tom správu, nevykoná sa žiadna ďalšia akcia.

15.5.3. Správa vyrovnávacej pamäte

Keď sa dosiahne táto úroveň naplnenia vyrovnávacej pamäte (v percentách), začne sa zrýchlený proces odstraňovania starých objektov.

Po dosiahnutí tejto úrovne sa proces mazania zastaví.

Maximálna veľkosť objektu, ktorý sa má uložiť do vyrovnávacej pamäte.

Menšie súbory sa neuložia.

15.5.4. ťažba dreva

Režimy protokolovania SQUID sú uvedené nižšie s príslušnými protokolmi. Ak nepotrebujete nejaký protokol, namiesto názvu súboru nastavte žiadny.

cache_access_log /usr/local/squid/logs/access.log

Každá požiadavka na SQUID je zaznamenaná. Protokol je /usr/local/squid/logs/access.log.

cache_log /usr/local/squid/logs/cache.log

Začiatky procesu sa zaznamenávajú. Protokol je /usr/local/squid/logs/cache.log.

cache_store_log /usr/local/squid/logs/store.log

Záznamy objektov vo vyrovnávacej pamäti sa zaznamenávajú. Protokol je /usr/local/squid/logs/store.log.

15.5.5. Možnosti externého programu

Tu uvedený e-mail sa použije namiesto hesla pre anonymný prístup k ftp serverom.

dns_nameservers zoznam IP adries

Hodnota tohto parametra sa používa namiesto zoznamu serverov DNS definovaných v súbore /etc/resolv.conf; predvolená hodnota je žiadna.

cache_dns_program /usr/local/squid/bin/dnsserver

Tento parameter určuje program na preklad adries IP na mená ( DNS server).

Umožňuje autentifikáciu klientov, ktorí zadávajú požiadavky. V tomto prípade musí byť definovaný proxy_auth ACL.

authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/squid/etc/passwd

Tradičný autentifikačný program. Definované v ../auth_modules/NCSA.

15.5.6. ACL

ACL (Access Control Lists) - zoznamy riadenia prístupu. Pomerne často vzniká potreba zoskupiť parametre rovnakého typu do jedného celku pre ich následné spracovanie. Na efektívne vyriešenie tohto problému sa používajú zoznamy riadenia prístupu (ACL). Napríklad:

Táto položka znamená, že sa vytvorí zoznam portov SSL typu port. Položky zoznamu sú čísla portov 443 a 563.

Nový prvok môžete pridať do už existujúceho zoznamu (pridanie parametra) takto:

Nepotrebný prvok môžete odstrániť pomocou parametra del: acl del SSL_ports 999

Parameter ren (z premenovania) vám umožňuje premenovať zoznam:

acl ren SSL_ports Povolené_porty

Možnosť vyprázdnenia vám umožňuje vymazať všetky zoznamy spolu s ich obsahom:

Štandard ACL vyžaduje, aby pred názvom zoznamu bol symbol $. Inými slovami, všetky vyššie uvedené príklady by mali byť vo všeobecnosti nesprávne. Ak chcete napríklad vytvoriť zoznam, musíte použiť záznam:

Väčšina filtrov, ako napríklad SQUID, však túto požiadavku ignoruje a názvy zoznamov môžete zadať bez znaku dolára.

ACL je teda definícia zoznamu prístupových práv. Má nasledujúci formát:

acl názov typ reťazec

kde: typ je typ objektu;

reťazec je regulárny výraz.

Môžete použiť zoznam:

acl názov typ názov súboru

Parametre sú vymenované jeden parameter na riadok. Typy, ktoré možno použiť pri kompilácii ACL, sú uvedené v tabuľke 1. 15.3.

Tabuľka typov ACL 15.3

Typ	Popis typu
src ip-adresa/maska siete	Určuje IP adresu klientov
src addr1-addr2/netmask	Určuje rozsah adries
Dst ip-adresa/maska siete	Určuje adresy URL hostiteľa
Čas	Čas, kde deň je jedno písmeno z SMTWHFA
prístav	Zoznam portov
Port port1–port2	Port Range
Proto	Protokol - HTTP alebo FTP
metóda	Metóda - GET alebo POST
Regulárny výraz prehliadača [-i]	Porovná sa hlavička User-Agent

[-i] - veľkosť písmen sa ignoruje.

15.5.7. Možnosti prístupu

http_access allow|dey aclname

Povoliť prístup HTTP proxy.

icp_access povoliť | zamietnuť aclname

Povoliť prístup k proxy cez ICP.

miss_access allow | zamietnuť aclname

Dovoľte, aby ste od vás dostali odpoveď MISS.

cache_peer_access cache-host allow|deny aclname

Obmedziť požiadavky na tohto suseda – rozšírenie pre doménu cache_peer_domain.

proxy_auth_realm Squid proxy-caching webový server

Reťazec textu, ktorý sa zobrazí na obrazovke klienta pri vyžiadaní mena/hesla na prístup do vyrovnávacej pamäte.

15.5.8. Možnosti správy

Tento parameter nastavuje mailová adresa, na ktorý bude pošta odoslaná, ak chobotnica prestane fungovať.

Keď spúšťate SQUID ako root, zmeňte UID na to, ktoré je zadané v parametri cache_effective_user.

Keď spúšťate SQUID ako root, zmeňte GID na to, ktoré je zadané v parametri cache_effective_group.

viditeľný_názov_hostiteľa názov_hostiteľa

Tento názov bude uvedený v chybových hláseniach.

Tento parameter určuje zoznam aliasov pre názov hostiteľa.

15.6. Deaktivácia inzercie. Bannerový filter

Nechcete strácať čas navyše sťahovaním reklamných bannerov? Ja tiež. Našťastie, SQUID uľahčuje riešenie tohto problému. Stačí vložiť nasledujúce riadky do súboru /usr/local /etc/squid/squid.conf:

acl good_url url_regex "/usr/local/etc/squid/acl/good_url"

acl bad_urlpath urlpath_regex "/usr/local/etc/squid/acl/bad_urlpath"

acl bad_url url_regex "/usr/local/etc/squid/acl/bad_url"

http_access deny bad_urlpath !good_url

http_access deny bad_url !good_url

Preto bude potrebné vytvoriť tri súbory: good_url, bad_url_path a bad_url. Do súboru bad_url by ste mali vložiť „zlé“ adresy URL, napríklad:

^http://.*-ad.flycast.com/server/img/

^http://1000-stars-ru/cgi-bin/1000-cgi

^ http://1000.stars.ru/cgi-bin/1000.cgi

A v súbore bad_url_path - „zlá“ cesta, napríklad:

Zvyčajne takéto mená majú bannery.

Príklady súborov good_url, bad_url_path a bad_url nájdete na mojej domovskej stránke - http://dkws.narod.ru

15.7. Oddelenie kanálov

Povedzme, že potrebujete nastaviť proxy server tak, aby jedna skupina počítačov mohla pracovať jednou rýchlosťou a druhá inou. Môže to byť potrebné napríklad na rozlíšenie medzi používateľmi, ktorí používajú kanál na prácu, a používateľmi, ktorí využívajú zdroje kanála na domáce účely. Prirodzene, šírka pásma kanála je dôležitejšia pre prvý ako pre druhý. Pomocou SQUID proxy môžete rozdeliť kanál.

Ak chcete začať, zadajte v konfiguračnom súbore, koľko oblastí, teda skupín používateľov, budete mať:

Potom definujte triedy bazénov. Celkovo existujú tri triedy:

1. Používa sa jedno obmedzenie šírku pásma kanál pre každého.

2. Jedno všeobecné obmedzenie a 255 individuálnych pre každý sieťový uzol triedy C.

3. Každá podsieť triedy B bude mať svoj vlastný limit a samostatný limit pre každého hostiteľa.

Pridajte nasledujúce smernice do súboru squid.conf:

delay_class 1 1 # definuje fond prvej triedy 1 pre domácich používateľov

delay_class 2 2 # definuje skupinu druhej triedy 2 pre zamestnancov

Teraz nastavte uzly, ktoré budú patriť do poolov:

Potom zadajte limity:

oneskorenie_parametre 1 14400/14400

delay_parameters 2 33600/33600 16800/33600

Ako som uviedol vyššie, pre fond triedy 1 sa používa jeden limit pre všetky počítače zahrnuté do fondu – 14400 bajtov. Prvé číslo udáva mieru plnenia pre celú oblasť (bajty/sekundu). Druhým je maximálny limit.

Pre fond triedy 2 sa limity používajú pre celú podsieť a samostatne pre každého používateľa. Ak by sme mali definovaný fond triedy 3, potom by obmedzenia preň vyzerali asi takto:

delay_parameters 3 128000/128000 64000/128000 12800/64000

Prvé dve čísla nastavujú mieru plnenia a maximálny limit pre všetky. Ďalší pár čísel definuje mieru plnenia pre každú podsieť a maximálny limit a tretí pár určuje mieru plnenia a maximálny limit na jednotlivého používateľa.

15.8. Softvér na účtovanie dopravy

Na monitorovanie prevádzky SQUID a vo všeobecnosti na zohľadnenie premávky môžete použiť nasledujúce programy:

sqmgrlog – http://www.ineparnet.com.br/orso/index.html

mrtg – http://www.switch.ch/misc/leinen/snmp/perl/

iptraf – http://dkws.narod.ru/linux/soft/iptraf-2.4.0.tar.gz

bandmin - http://www.bandmin.org

webalizer (analýza Apache) - http://www.mrunix.net/webalizer/

K týmto programom je dodávaná celkom čitateľná dokumentácia, preto sa nebudem podrobne zaoberať ich používaním. Program MRTG je popísaný v časti 8.5.

15.9. Nastavenie klientov

Teraz, keď ste nastavili proxy server, prejdime k nastaveniu klientov, t. j. prehliadačov používateľa. Nepochybujem, že viete konfigurovať ten či onen prehliadač, len pripomeniem postup konfigurácie pre niektoré bežné prehliadače.

internet Explorer 5

Menu Nástroje→ Možnosti internetu→ Záložka Pripojenie→ Nastavenia siete. V zobrazenom okne nastavte požadované parametre, teda názov proxy servera a jeho port (pozri obr. 15.2).

Ryža. 15.2. Nastavenie programu Internet Explorer

Netscape Communicator

Menu Upraviť→Predvoľby→Rozšírené→Proxy→Manuálna konfigurácia proxy→Zobraziť (pozri obrázok 15.3).

Ryža. 15.3. Konfigurácia Netscape Communicator

Konqueror

Menu Nastavenia→Nastavenia→Proxy (pozri obr. 15.4).

Ryža. 15.4. Nastavenie Konqueroru

Squid je bežné riešenie pre programátorov, systémových administrátorov a nadšencov počítačových sietí na vytváranie a správu efektívneho proxy servera. Program je obzvlášť atraktívny, pretože je multiplatformový. To znamená, že ho môžete nainštalovať a spustiť v systéme Linux a iných operačných systémoch zodpovedajúcich architektúre Unix a vo Windows. Schopnosti tohto nástroja sú najvýraznejšie. Ako sa dajú použiť? Existujú nejaké funkcie pri nastavovaní programu v závislosti od konkrétneho operačného systému?

Všeobecné informácie o Squid

Čo je Squid? Tento názov je známy pre mimoriadne výkonný proxy server, ktorý sa najčastejšie používa s webovými klientmi. S ním môžete organizovať súčasný prístup na internet pre viacerých používateľov. Ďalšou pozoruhodnou vlastnosťou Squidu je, že dokáže ukladať do vyrovnávacej pamäte rôzne dotazy. To vám umožní získať súbory rýchlejšie, pretože ich nemusíte znova sťahovať z internetu. Proxy server Squid môže tiež upraviť rýchlosť internetového kanála v závislosti od aktuálneho zaťaženia.

Squid bol prispôsobený na použitie na platformách Unix. Existujú však verzie Squid pre Windows a mnoho ďalších populárnych operačných systémov. Tento program, podobne ako mnohé operačné systémy založené na koncepte Unix, je bezplatný. Podporuje FTP, SSL, umožňuje konfigurovať flexibilnú kontrolu nad prístupom k súborom. Squid tiež ukladá do vyrovnávacej pamäte DNS dotazy. Zároveň môžete nakonfigurovať aj transparentný proxy server Squid, to znamená, že server pracuje vo formáte, v ktorom používateľ nevie, že pristupuje k sieti prostredníctvom neho a nie priamo. Squid je teda výkonný nástroj v rukách správcu systému alebo poskytovateľa komunikačných služieb.

Praktická užitočnosť chobotnice

Kedy môže byť Squid najužitočnejší? Môže ísť napríklad o úlohu, pri ktorej je potrebné efektívne integrovať niekoľko počítačov do siete a poskytnúť im prístup na internet. Účelnosť použitia proxy servera v tomto prípade spočíva v tom, že požiadavky medzi ním a prehliadačom konkrétneho počítača sa vykonávajú rýchlejšie ako v prípade priamej interakcie používateľa s internetom. Pri používaní Squid je tiež možné úplne vypnúť vyrovnávaciu pamäť v samotnom prehliadači. Táto funkcia je medzi používateľmi veľmi žiadaná.

Zloženie chobotnice

Predmetné riešenie pozostáva z niekoľkých komponentov. V skutočnosti ide o balík softvér. V jeho štruktúre sa nachádza aplikácia, s ktorou sa server spúšťa, ako aj doplnkový program pre prácu s DNS. Jeho zaujímavosťou je, že spúšťa procesy, z ktorých každý funguje nezávisle od ostatných. To vám umožní optimalizovať interakciu servera s DNS.

Inštalácia programu

Inštalácia Squid je zvyčajne jednoduchá. Inštalácia programu v systéme Linux je veľmi jednoduchá: stačí zadať príkaz $ sudo apt-get install squid.

Pokiaľ ide o Squid pre Windows, veci sú trochu komplikovanejšie. Faktom je, že tento program nemá spustiteľné súbory - hlavné prvky aplikácií pre OS od spoločnosti Microsoft.

Inštalácia Squid na Windows je však pomerne rýchla úloha. Je potrebné nájsť v príslušných zdrojoch distribučnú sadu obsahujúcu súbory typu .bat, ktoré sú trochu blízke tradičným spustiteľným súborom Windows. Potom by ste ich mali skopírovať do samostatného priečinka na disku. Potom musíte spustiť Squid ako systémovú službu. Potom je možné program používať ako proxy cez prehliadač počítača. Môžeme povedať, že týmto je inštalácia Squidu dokončená.

Distribúcia proxy servera takmer vždy obsahuje konfiguračný súbor ako .conf. Je to hlavný nástroj na konfiguráciu prístupu na internet z počítača používateľa a ďalších zariadení lokálna sieť pri použití Squid.

Nastavenie nuansy

Aké nuansy môžu zahŕňať nastavenie Squid? Windows je operačný systém, v ktorom bude práca s proxy serverom prebiehať úpravou konfiguračných súborov.

V prípade Linuxu sa dá použiť na niektoré procedúry. Ale vo všeobecnosti v tomto operačný systém, rovnako ako v prípade, že OS, na ktorom je Squid nakonfigurovaný, je Windows, najčastejšie sa používa súbor squid.conf. Predpisuje určité výrazy („príkazy“), podľa ktorých server spravuje pripojenia k sieti.

Zvážte teda, ako je Squid nakonfigurovaný, podrobnejšie. Prvým krokom je povoliť používateľom siete prístup k serveru. Ak to chcete urobiť, v súbore squid.conf nastavte príslušné hodnoty v http_port, ako aj v http_access. Je tiež užitočné vytvoriť zoznam riadenia prístupu alebo ACL. Na nastaveniach http_port nám záleží, keďže naším cieľom je pripraviť Squid tak, aby slúžil iba špecifickej skupine počítačov. Na druhej strane je dôležitý parameter ako http_access, pretože pomocou neho môžeme regulovať prístup konkrétne zdroje Siete požadované z určitých adries (možné sú aj iné kritériá - protokoly, porty a ďalšie vlastnosti obsiahnuté v ACL).

Ako nastaviť potrebné nastavenia? Je to veľmi jednoduché.

Povedzme, že sme vytvorili počítačovú sieť s rozsahom adries začínajúcim na 192.168.0.1 a končiacom na 192.168.0.254. V tomto prípade by mal byť v nastaveniach ACL nastavený nasledujúci parameter: src 192.168.0.0/24. Ak potrebujeme nakonfigurovať port, tak v konfiguračnom súbore musíme urobiť záznam http_port 192.168.0.1 (stačí zadať správnu IP adresu) a zadať číslo portu.

Ak chcete obmedziť prístup k proxy vytvorenému pomocou Squid (nepočítajúc počítače zahrnuté v lokálnej sieti), musíte vykonať zmeny v http_access. Robí sa to jednoducho – pomocou výrazov („príkazov“ – súhlasíme s tým, že ich budeme nazývať tak, že v texte síce striktne povedané nie sú, ale v terminálovom riadku by im celkom zodpovedali) povoliť LocalNet a všetko poprieť. Je veľmi dôležité umiestniť prvý parameter nad druhý, pretože Squid ich rozpozná jeden po druhom.

Práca s ACL: odmietnutie prístupu na stránky

V skutočnosti sú nastavenia prístupu v Squid možné vo veľmi širokom rozsahu. Zvážte príklady užitočné v praxi správy miestnych sietí.

Prvok src je veľmi žiadaný. Pomocou neho môžete opraviť IP adresu počítača, ktorý odoslal požiadavku na proxy server. Kombináciou prvku src s http_access môžete napríklad povoliť prístup do siete pre konkrétneho používateľa, ale zakázať podobné akcie pre všetkých ostatných. Toto sa robí veľmi jednoducho.

Píšeme ACL (názov skupiny používateľov) src (interval IP adries, ktoré spadajú pod reguláciu). Riadok nižšie je ACL (názov konkrétneho počítača) src (IP adresa príslušného PC). Potom pracujeme s http_access. Oprávnenie na vstup do siete sme nastavili pre skupinu používateľov a jednotlivé PC pomocou príkazov http_access allow. V riadku nižšie opravíme, že prístup k ostatným počítačom v sieti je uzavretý príkazom zamietnuť všetko.

Nastavenie Squid proxy zahŕňa aj použitie ďalšieho užitočného prvku, ktorý poskytuje systém kontroly prístupu – dst. Umožňuje vám opraviť adresu IP servera, ku ktorému sa chce používateľ proxy pripojiť.

Pomocou príslušného prvku môžeme napríklad obmedziť prístup do konkrétnej podsiete. Na to môžete použiť príkaz ACL (označenie siete) dst (IP adresa podsiete), riadok nižšie je http_access deny (názov konkrétneho počítača v sieti).

Ďalším užitočným prvkom je dstdomain. Umožní nám to opraviť doménu, ku ktorej sa chce používateľ pripojiť. Pomocou predmetného prvku môžeme obmedziť prístup konkrétneho používateľa napríklad k externým internetovým zdrojom. Ak to chcete urobiť, môžete použiť príkaz: ACL (skupina stránok) dstdomain (adresy stránok), riadok nižšie je http_access deny (názov počítača v sieti).

V štruktúre systému kontroly prístupu sú ďalšie pozoruhodné prvky. Medzi nimi je SitesRegex. Pomocou tohto výrazu môžete obmedziť prístup používateľov k internetovým doménam obsahujúcim určité slovo, napríklad mail (ak je úlohou zakázať zamestnancom spoločnosti prístup na poštové servery tretích strán). Na to môžete použiť príkaz ACL SitesRegexMail dstdom_regex mail, potom ACL SitesRegexComNet dstdom_regex \.com$ (to znamená, že prístup bude odmietnutý pre príslušný typ domén). Riadok nižšie je http_accesss odmietnutie označujúce počítače, z ktorých majú prístup k externému poštové servery nechcené.

Niektoré výrazy môžu používať voľbu -i. Pomocou neho, ako aj prvku, akým je napríklad url_regex, určeného na vytvorenie šablóny pre webové adresy, môžeme zakázať prístup k súborom s danou príponou.

Napríklad pomocou príkazu NoSwfFromMail url_regex -i mail.*\.swf$ ACL ovládame možnosť prístupu k poštovým stránkam, ktoré obsahujú filmy vo formáte Flash. Ak nie je potrebné zahrnúť do prístupových algoritmov Doménové meno môžete použiť výraz urlpath_regex. Napríklad vo forme príkazu ACL media urlpath_regex -i \.wma$ \.mp3$.

Zakázať prístup k programom

Konfigurácia Squid vám umožňuje zakázať prístup používateľov k určitým programom pri používaní prostriedkov proxy servera. Na tento účel možno použiť príkaz ACL (názov programu) port (interval portu), riadok nižšie je http_access deny all (názov programu).

Zapojenie štandardov a protokolov

Konfigurácia Squid tiež umožňuje správcovi systému nastaviť preferovaný protokol na používanie internetového kanála. Napríklad, ak je potrebné, aby osoba z konkrétneho PC mala prístup k sieti cez FTP protokol, potom je možné použiť nasledujúci príkaz: ACL ftpproto proto ftp, riadok nižšie je http_access deny (názov počítača) ftpproto.

Pomocou elementu method môžeme určiť, ako sa má vykonať HTTP požiadavka. Existujú 2 z nich - GET a POST, ale v niektorých prípadoch je vhodnejší prvý, nie druhý a naopak. Napríklad je možná situácia, v ktorej by si konkrétny zamestnanec nemal prezerať poštu cez mail.ru, ale jeho zamestnávateľovi nebude vadiť, ak si chce niekto prečítať novinky na zadanej stránke. Na to môže správca systému použiť nasledujúci príkaz: ACL sitemailru dstdomain .mail.ru, riadok nižšie je ACL methodpost metóda POST, potom http_access deny (názov počítača) methodpost sitemailru.

Toto sú nuansy zahrnuté v konfigurácii Squid. Používa sa Ubuntu, Windows alebo iný OS kompatibilný s proxy serverom - vlastnosti úlohy, ktoré sme zvážili požadované parametre vo všeobecnosti sú typické pre akékoľvek softvérové prostredie pre fungovanie Squidu. Práca s týmto softvérom je neuveriteľne vzrušujúci proces a zároveň jednoduchá vďaka logike a transparentnosti hlavných algoritmov na nastavenie programu.

Poďme sa pozrieť na niektoré kľúčové body špecifické pre konfiguráciu Squid.

Na čo si dať pozor pri nastavovaní?

Ak máte problém nájsť súbor squid.conf, ktorý je hlavným konfiguračným nástrojom servera, môžete skúsiť skontrolovať adresár etc/squid.

Najlepšie je, ak pri práci s príslušným súborom použijete najjednoduchší textový editor: v riadkoch zodpovedných za nastavenie proxy servera nemusíte mať žiadne formátovacie prvky.

V niektorých prípadoch môže byť potrebné špecifikovať proxy server poskytovateľa počas prevádzky. Na to existuje príkaz cache_peer. Musíte ho zadať takto: cache_peer (adresa servera proxy poskytovateľa).

V niektorých prípadoch je užitočné opraviť množstvo pamäte RAM, ktorú bude Squid používať. Môžete to urobiť pomocou príkazu cache_mem. Je tiež užitočné určiť adresár, v ktorom budú uložené údaje uložené vo vyrovnávacej pamäti, a to pomocou výrazu cache_dir. V prvom prípade bude celý príkaz vyzerať ako cache_mem (množstvo pamäte RAM v bajtoch), v druhom - ako cache_dir (adresa adresára, počet megabajtov miesta na disku). Cache je vhodné umiestniť na najvýkonnejšie disky, ak je na výber.

Možno budete musieť zadať počítače, ktoré majú prístup k serveru proxy. Dá sa to urobiť pomocou príkazov ACL povolených hosts src (rozsah IP adries počítača) a ACL localhost src (lokálna adresa).

Ak sa v pripojeniach používajú porty SSL, možno ich opraviť aj pomocou príkazu ACL port ssl_ports (špecifikujte port). Zároveň môžete zakázať používanie metódy CONNECT pre iné porty, okrem tých, ktoré sú uvedené v chránenom SSL pripojenie. Výraz http_access odmietnutie CONNECT vám v tom pomôže! SSL porty.

Squid a pfSense

V niektorých prípadoch sa spolu s uvažovaným proxy serverom používa rozhranie pfSense, ktoré sa používa ako efektívne Ako organizovať ich spoločnú prácu? Algoritmus na riešenie tohto problému nie je príliš zložitý.

Najprv musíme popracovať na rozhraní pfSense. Squid, ktorý sme už nakonfigurovali, bude potrebné nainštalovať pomocou príkazov SSH. Toto je jeden z najpohodlnejších a najbezpečnejších spôsobov práce s proxy servermi. Ak to chcete urobiť, aktivujte v rozhraní položku Povoliť, ak ju chcete nájsť, musíte vybrať položku ponuky Systém, potom Rozšírené a potom Prístup správcu.

Potom si musíte stiahnuť PuTTY - šikovnú aplikáciu na prácu s SSH. Ďalej pomocou konzoly musíte nainštalovať Squid. To sa dá ľahko vykonať pomocou príkazu -pkg install squid. Potom musíte tiež nastaviť proxy cez webové rozhranie pfSense. Squid (nastavením jej parametrov na tejto fáze nevyrába sa) je možné nainštalovať výberom položky ponuky Systém, potom Balíčky a potom – Dostupné balíky. Balík Squid Stable by mal byť dostupný v príslušnom okne. Vyberáme to. Musíte nastaviť nasledujúce nastavenia: Rozhranie proxy: LAN. Oproti riadku Transparent Proxy môžete začiarknuť políčko. Vyberieme adresu pre denník a označíme ruštinu ako preferovaný jazyk. Kliknite na tlačidlo Uložiť.

Nástroj na optimalizáciu zdrojov

Nastavenie Squidu umožňuje správcom systému efektívne prideľovať zdroje servera. To znamená, že v tomto prípade nehovoríme o zákazoch prístupu na akúkoľvek stránku, ale intenzita aktivácie kanála jedným alebo druhým používateľom alebo ich skupinou môže vyžadovať kontrolu. Uvažovaný program nám umožňuje riešiť túto úlohu niekoľkými spôsobmi. Po prvé, ide o použitie mechanizmov ukladania do vyrovnávacej pamäte: vďaka tomu nie je potrebné opätovné sťahovanie súborov z internetu, pretože sa zníži zaťaženie prevádzky. Po druhé, je to obmedzenie prístupu do siete v čase. Po tretie, ide o stanovenie limitných hodnôt pre rýchlosť výmeny údajov v sieti vo vzťahu k činnostiam určitých používateľov alebo špecifickým typom sťahovaných súborov. Pozrime sa na tieto mechanizmy podrobnejšie.

Optimalizácia sieťových zdrojov pomocou vyrovnávacej pamäte

V štruktúre sieťová prevádzka existuje veľa typov súborov používaných v nezmenenej podobe. To znamená, že po ich stiahnutí do počítača už používateľ nemusí zopakovať príslušnú operáciu. Program Squid umožňuje flexibilnú konfiguráciu mechanizmu na rozpoznávanie takýchto súborov serverom.

Pomerne užitočnou možnosťou proxy servera, ktorý študujeme, je kontrola veku súboru vo vyrovnávacej pamäti. Objekty, ktoré sú v príslušnej oblasti pamäte príliš dlhé, by sa mali aktualizovať. Túto voľbu je možné povoliť pomocou príkazu refresh_pattern. Kompletný výraz teda môže vyzerať ako refresh_pattern (minimálna doba trvania - v minútach, maximálny podiel "čerstvých" súborov - v %, maximálna perióda). Preto, ak je súbor vo vyrovnávacej pamäti dlhší ako špecifikované kritériá, môže byť potrebné stiahnuť jeho novú verziu.

Optimalizácia zdrojov prostredníctvom obmedzení načasovaného prístupu

Ďalšou možnosťou, ktorú je možné použiť vďaka schopnostiam Squid-Proxy, je obmedziť prístup používateľov k sieťové zdroječasom. Nastavuje sa pomocou veľmi jednoduchého príkazu: ACL (názov počítača) čas (deň, hodina, minúta). Prístup je možné obmedziť na ktorýkoľvek deň v týždni nahradením slova „deň“ prvým písmenom slova zodpovedajúceho jeho názvu v anglickej abecede. Napríklad, ak je pondelok, potom M, ak je utorok, potom T. Ak príkaz neobsahuje slovo „deň“, nastaví sa zodpovedajúci zákaz na celý týždeň. Zaujímavé je, že môžete tiež regulovať plán vstupu do siete, ktorý vykonávajú používatelia pomocou určitých programov.

Optimalizácia zdrojov prostredníctvom obmedzenia rýchlosti

Pomerne bežnou možnosťou je optimalizácia zdrojov reguláciou povoleného výmenného kurzu dát v rámci počítačovej siete. Proxy server, ktorý študujeme, je najvhodnejším nástrojom na riešenie tohto problému. Regulácia rýchlosti výmeny dát v sieti sa vykonáva pomocou parametrov ako delay_class, delay_parameters, delay_access, ako aj prostredníctvom prvku delay_pools. Všetky štyri zložky sú nevyhnutné na to, aby sme mohli čeliť výzvam, ktorým čelíme správcov systému z hľadiska optimalizácie miestnych sieťových zdrojov.

Urob si sám Linux server Kolisnichenko Denis Nikolaevich

15.1. Čo je SQUID?

Z knihy DIY Linux Server autora

15 SQUID Proxy Server 15.1. Čo je SQUID? SQUID je program, ktorý prijíma HTTP/FTP požiadavky od klientov a používa ich na prístup k internetovým zdrojom. Použitie proxy servera (chobotnice) umožňuje používať fiktívne IP adresy vo vnútornej sieti (Masquerading - maskovanie),

Z knihy o Linuxe: Kompletný sprievodca autora Kolisničenko Denis Nikolajevič

15.2. Inštalácia SQUID SQUID je možné nainštalovať zo zdroja alebo ako balík RPM. Inštalácia SQUID RPM je veľmi jednoduchá - stačí zadať rpm –ih squid-2.3.STABLE2-3mdk.i586.rpm Používam squid 2.3. Novšia verzia je dostupná ako zdrojové kódy. Zdroje môžu byť

Z knihy Linux očami hackera autora Flenov Michail Evgenievich

15.3. Konfigurácia SQUID Server SQUID používa konfiguračný súbor squid.conf, ktorý sa zvyčajne nachádza v adresári /etc/squid (alebo /usr/local/squid/etc v starších verziách). Otvorte ho pomocou ľubovoľného textového editora, napríklad joe/usr/local/squid/etc/squid.conf. Potom postupujte podľa nasledujúcej sekvencie

Z knihy autora

15.4. Spustenie SQUID Teraz, keď ste urobili základné nastavenie SQUID, musíte ho spustiť: /usr/local/squid/bin/squid -z Voľba -z je potrebná na vytvorenie (vynulovanie) adresára obsahujúceho vyrovnávaciu pamäť. Zvyčajne je tento parameter potrebný iba pri prvom spustení. Niektoré ďalšie užitočné možnosti SQUID

Z knihy autora

15.5. Formát súboru squid.conf Súbor squid.conf špecifikuje rôzne možnosti konfigurácie proxy servera. Poďme sa na ne všetky pozrieť

Z knihy autora

17.1.5. Konfigurácia Squid Nainštalujte balík Squid. Zostáva ho nakonfigurovať a spustiť. Ak to chcete urobiť, upravte konfiguračný súbor /etc/squid/squid.conf. Najprv zadajte adresu proxy poskytovateľa: cach_peer proxy.your_isp.com Nastavte množstvo pamäte RAM, ktoré bude používať server proxy: cache_mem

Z knihy autora

Kapitola 18 Proxy servery SQUID a SOCKS Časť 18.1. Čo je proxy server? Proxy server (sprostredkovateľský server) je program, ktorý vytvára požiadavky HTTP/FTP v mene klientov. Použitie proxy servera umožňuje používať fiktívne IP adresy vo vnútornej sieti (IP maskovanie),

Z knihy autora

18.2. Inštalácia SQUID Používam squid verziu 2.5. Balík squid je súčasťou moderných distribúcií a ak ho z nejakého dôvodu nemáte, môžete si ho stiahnuť z www.squid-cache.org Pri zostavovaní SQUID zo zdrojových kódov by mal byť prvým krokom príkaz # ./ configure --prefix=/ usr/local/squidSQUID sa nainštaluje do adresára

Z knihy autora

18.3. Konfigurácia SQUID Server SQUID používa konfiguračný súbor squid.conf, ktorý sa zvyčajne nachádza v adresári /etc/squid (alebo /usr/local/squid/etc v starších verziách). Jednotlivé nastavenia si podrobnejšie rozoberieme o niečo neskôr. Teraz poďme krok za krokom nakonfigurovať SQUID.

Z knihy autora

18.4. Spustenie SQUID Pri prvom spustení squid s voľbou -z na vytvorenie a vyčistenie adresára vyrovnávacej pamäte: # /usr/local/squid/bin/squid -z Niekoľko ďalších užitočných možností, pomocou ktorých môžete spustiť squid, je uvedených v tabuľke 18.2 Možnosti spustenia squid Tabuľka 18.2 Kľúč Účel -a port Špecifikuje

Z knihy autora

18.5. Pokročilé nastavenia SQUID. Konfiguračný súbor squid.conf 18.5.1. Nastavenia siete Môžete nastaviť súbor squid.conf nasledujúce parametre siete:? http_port - port pre požiadavky klienta. Z tohto portu bude proxy server počúvať a spracovávať požiadavky klientov. Predvolená hodnota

Z knihy autora

18.8. Zdieľanie kanálov pomocou SQUID Povedzme, že chcete nastaviť proxy server tak, aby jedna skupina počítačov surfovala po internete jednou rýchlosťou a druhá inou rýchlosťou. Môže to byť potrebné napríklad na rozlíšenie medzi používateľmi, ktorí

Z knihy autora

9.3. squid Ako som už povedal, najbežnejším proxy serverom je squid. Tento server má pomerne dlhú históriu a počas svojej existencie na ňom bolo implementovaných mnoho funkcií. Zatiaľ tu nebolo nič, čo by som nemohol dostať s chobotnicou. Základné

Z knihy autora

9.4. povolenia chobotnice Toto je najbolestivejšia téma pre každého správcu. Áno, a chobotnice má tiež prístupové práva a sú tiež opísané v konfiguračný súbor/etc/squid/squid.conf. Ale práva zvažujeme oddelene, pretože hlavný dôraz sa kladie na bezpečnosť. Preto

Z knihy autora

9.5. Poznámky k fungovaniu chobotnice Teraz sa musíme trochu porozprávať o niektorých bezpečnostných otázkach služby chobotnice a pridané vlastnosti, čo môže urýchliť prácu v

Z knihy autora

12.5.4. Protokol proxy chobotnice Hlavný protokol proxy chobotnice je /var/log/squid/access.log. Toto textový súbor, v ktorej každý riadok pozostáva z nasledujúcich polí:? čas začiatku spojenia alebo udalosti; trvanie relácie? IP adresa klienta; výsledok spracovania