Konfigurácia Squid pre začiatok. Ako nakonfigurovať Squid proxy server

Oliheň - bežný medzi programátormi, správca systémov a počítačových sietí nadšencov riešenie pre vytvorenie účinnej proxy a riadenie. Program je obzvlášť atraktívne, pretože to je cross-platform. To znamená, nainštalovať a spustiť ho, ako môžete v systéme Linux a ostatné operačné systémy, Unix architektúry je to vhodné, a v systéme Windows. Možnosti nástroje - najvýraznejší. Ako sa môžu zapojiť? Existujú nejaké funkcie v programe v závislosti na použitom operačnom systéme?

Všeobecné informácie o Squid

Čo je chobotnice? Pod týmto názvom je známa predovšetkým efektívna proxy server, ktorý používate najčastejšie s webovými klientmi. S ním môžete usporiadať simultánny prístup k internetu pre viac užívateľov. Chobotnica Ďalším pozoruhodným rysom je, že môže cache rôznych požiadaviek. To umožňuje, aby urýchlila prijatie súboru, ako re-si ich stiahnuť z internetu nie je nutné. Proxy server môže tiež nastaviť Squid Internet Speed kanál pri koreláciu ju s aktuálnym zaťaženie.

Chobotnica je upravená pre použitie typu Unix platformách. Avšak, tam sú verzie Squid pre Windows, a mnoho ďalších populárnych operačných systémov. Tento program, rovnako ako viac operačných systémov na báze Unixu konceptu je zadarmo. To podporuje protokoly HTTP, FTP, SSL, môžete nakonfigurovať granulárne kontrolu nad prístup k súborom. Chobotnica tiež zaznamenáva v žiadostiach DNS cache. Je možné konfigurovať a transparentný Squid proxy, že je server vo formáte, kde užívateľ nevie, že prístup k sieti cez to, ale nie priamo. Tak, Squid - mocný nástroj v rukách správcu systému alebo poskytovateľa komunikačných služieb.

Praktická využiteľnosť Squid

V niektorých prípadoch, Squid môže byť najužitočnejší? Napríklad to môže byť úloha, ktorým je potrebné zaviesť účinný integráciu viacerých počítačov v sieti a poskytnúť im prístup k Internetu. Realizovateľnosť použitie proxy servera v tomto prípade spočíva v tom, že žiadosti medzi nimi a prehliadača konkrétneho počítača je rýchlejší ako v prípade interakcie používateľa s internetom priamo. Tiež pri použití Squid cache prehliadača možno úplne vypnúť. Podobná funkcia je veľmi populárny v prostredí používateľa.

zloženie Squid

Dotknuté rozhodnutie sa skladá z niekoľkých zložiek. V skutočnosti je tento softvér. Vo svojej štruktúre - žiadosť, ktorou je server spustený, rovnako ako komplementárneho jeho program pre prácu s DNS. Zaujímavosťou je, že to začína procesy, z ktorých každá pracuje nezávisle. To umožňuje optimalizovať interakciu s servera DNS.

inštalácia programu

Inštalácia Squid zvyčajne nespôsobuje žiadne ťažkosti. Veľmi ľahko nasadiť na programe Linux: jednoducho zadajte príkaz sudo apt-get install chobotnice.

Pokiaľ ide o Squid pre Windows, sú trochu zložitejšie. Skutočnosť, že tento program nie je spustiteľné súbory - základné prvky z aplikácií pre systém Windows od spoločnosti Microsoft.

Avšak inštalácia Squid Na Windows - problém vyriešený pomerne rýchlo. To je nutné nájsť squid-cache.org webe alebo relevantné zdroje, aby ho distribúciu s BAT typ súborov na niečo podobné, aby konvenčné Windows spustiteľný. Za to, že musíte ich skopírovať do zložky na disku. Potom budete musieť spustiť Squid ako systémová služba. Za to, že tento program môže byť použitý ako proxy v prehliadači počítača. Dá sa povedať, že v tomto nastavení Squid dokončená.

Distribúcia Proxy takmer vždy obsahuje konfiguračný súbor typu .conf. To je hlavným nástrojom, ktorým sa zriaďuje prístup na Internet z vášho počítača a ďalších zariadení pripojených k miestnej sieti so zapojením Squid.

nastavenie nuansy

Aké sú nuansy môžu zahŕňať nastavenia chobotnice? Windows - operačný systém, pracujúci s proxy serverom bude prebiehať úpravou konfiguračných súborov.

V prípade operačného systému Linux, môžete použiť príkazový riadok pre niektoré postupy. Ale všeobecne, v operačnom systéme, rovnako ako v prípade, že operačný systém, ktorý sa bude konfigurácia chobotnice, - Windows, najčastejšie aktivuje squid.conf súboru. To objasňuje isté výrazy ( "Team"), podľa ktorého server pre správu vykonáva pripojenie k sieti.

Zoberme si preto, ako podrobnosti nastavení Squid. Prvá vec, ktorú chcete povoliť sieťový používatelia prístup k serveru. Ak to chcete, dať do squid.conf podať príslušné hodnoty v http_port, rovnako ako v http_access. To je tiež užitočné vytvoriť zoznam pre riadenie prístupu alebo ACL. Nastavenie http_port sú pre nás dôležité, pretože náš úlohu - pripraviť Squid iba pre obsluhu zvláštnu skupinu počítačov. Na druhej strane, taký parameter ako http_access, je dôležité, pretože s ním môžeme riadiť prístup k určitým sieťovým zdrojom, požadované od určitých adries (a možno aj ďalšie kritériá - protokoly, prístavov a iných vlastností obsiahnutých v ACL).

Ako dať potrebné úpravy? Nech je to veľmi jednoduché.

Povedzme, že sme vytvorili počítačovú sieť s rozsah adries začínajúce na 192.168.0.1 a končiac 192.168.0.254. V tomto prípade nasledujúcej možnosť by mala byť nastavená v ACL nastavení: src 192.168.0.0/24. Ak sa chceme nakonfigurovať port, konfiguračný súbor je nutné záznam http_port 192.168.0.1 (mal iba určiť správnu IP-adresa) a zadajte číslo portu.

Aby bolo možné obmedziť prístup k vytvorenej pomocou proxy servera Squid (nie vrátane počítačov v lokálnej sieti), sú potrebné zmeny v http_access. To sa vykonáva jednoducho - pomocou výrazov ( "príkazy" - súhlasí s tým, aby im zavolať tak, hoci, prísne vzaté, v texte nie sú, ale na termináli výzva k plne v súlade s nimi) umožňujú LocalNet a popierať všetko. Je dôležité umiestniť prvý parameter je väčšia ako druhá, pretože Squid Spoznáte ich podľa poradia.

Práca s ACL: zamietnuť prístup k webovým stránkam

V skutočnosti, nastavenie prístupu je možné Squid vo veľmi širokom spektre. Zvážiť príklady použiteľné v praxi konaní lokálnych počítačových sietí.

Dostatočný dopyt src element. S ním, môžete zamknúť IP adresa počítača, ktorý robí požiadavku na proxy server. Kombinuje prvky src na http_access môže napríklad umožniť prístup ku konkrétnemu užívateľovi, ale zakázať podobné akcie pre zvyšok. To sa vykonáva veľmi jednoducho.

Písanie ACL (názov skupiny užívateľov) src (IP-adresa rozmedzí, ktoré spadajú pod nariadenia). Riadok nižšie - ACL (meno konkrétneho počítača) src (IP-adresa počítača). Potom, čo sme boli beží od http_access. Nastaviť povolenia na vstup do siete pre užívateľov a jedného PC cez skupinu tímov http_access dovoliť. Riadok pod fix, že prístup ostatné počítače v sieti je uzavretý Deny all príkazu.

Squid nastavenia proxy servera vyžaduje aj zapojenie ďalších užitočných prvkov stanovených pre systém kontroly vstupu, - DST. To umožňuje uzamknúť servera IP adresu, na ktorú sa používateľ chce pripojiť k proxy.

S pomocou prvku môžeme napríklad obmedziť prístup na konkrétne podsiete. Ak to chcete urobiť, môžete použiť príkaz ACL (označenie siete) dst (subnet IP-adresy), riadok nižšie - http_access popierajú (názov konkrétny počítač v sieti).

Ďalším užitočným prvkom - dstdomain. To nám umožní opraviť domény, ku ktorému sa užívateľ chce pripojiť. Jazda na bicykli je prvok, môžeme obmedziť prístup používateľa, napríklad na vonkajších internetových zdrojov. Ak to chcete urobiť, môžete použiť príkaz: ACL (skupina lokalít) dstdomain (website address), pod čiarou - http_access poprieť (názov počítača v sieti).

Existujú aj iné pozoruhodné prvky v štruktúre systému kontroly prístupu. Medzi tými - SitesRegex. S týmto výrazom sa môžeme obmedziť prístup užívateľov k internetovým doménam, ktoré obsahujú určité slovo, ako je pošta (ak je úlohou je zakázať zamestnancom zvládnuť poštové servery tretích strán). Ak to chcete urobiť, môžete použiť príkaz ACL SitesRegexMail dstdom_regex mailu, potom ACL SitesRegexComNet dstdom_regex \ .com $ (to znamená, že prístup bude uzavretý pre jednotlivé typy domén). Riadok pod - http_accesss poprieť uvedením počítačov, z ktorých prístup k externým poštovom serveri je nežiaduce.

Niektoré výrazy možno použiť voľbu -i. S ním, rovnako ako prvok, ako je napríklad, url_regex, slúži na vytvorenie šablóny pre webové adresy, môžeme zakázať prístup k súborom s daným rozšírením.

Napríklad pomocou ACL NoSwfFromMail url_regex -i mailovú príkaz. * \. Swf $ regulujeme uchýliť k poštovej miestach v štruktúre ktorých je flash valčeky. Pokiaľ nie je potrebné zahrnúť do názvu domény algoritmy prístupového miesta, môžete použiť výraz urlpath_regex. Napríklad, ako ACL médiá tímu urlpath_regex -i \ wma $ \ $ .mp3.

Blokuje prístup k programom

Konfigurácia Squid umožňuje zakázať používateľom prístup k niektorým programom so zapojením prostriedkov proxy servera. Pre tento účel možno použiť ACL príkaz (program name) port (rozsah portov), čiara dole - http_access poprieť všetko (názov programu).

Pútavé štandardy a protokoly

Konfigurácia Squid tiež umožňuje správcovi systému nastaviť preferovaný protokol je využitie internetového kanála. Napríklad, ak je potreba, aby osoby so zvláštnym prístupom počítača k sieti pomocou protokolu FTP, môžete použiť nasledujúci príkaz: ACL ftpproto Preto ftp, pod čiarou - http_access popierajú (názov počítača) ftpproto.

Pomocou metódy element, môžeme určiť, akým spôsobom by mal byť vykonaný HTTP požiadavku. Celkom 2 - GET alebo POST, a v niektorých prípadoch je však výhodné prvá a nie druhá a naopak. Zvážte napríklad situáciu, v ktorej by sa určitá osoba nie je prezeranie pošty cez mail.ru, ale jeho zamestnávateľ nebude vadiť, keď sa človek chce čítať správy na uvedenom mieste. Ak to chcete vykonať, môže správca systému použiť nasledujúci príkaz: ACL sitemailru dstdomain .mail.ru, riadok nižšie - ACL methodpost metóda POST, atď. - http_access popierajú (názov počítača) methodpost sitemailru.

Sú to nuansy, ktoré zahŕňa nastavenie Squid. Ubuntu je použitý Windows alebo iné operačné systémy kompatibilné s proxy serverom - sme sa zaoberali najmä príslušné nastavenia úlohy všeobecne sú typické pre akýkoľvek softvér prostredie Squid fungovanie. Práca s softvér - je neuveriteľne vzrušujúce proces a zároveň čas jednoduchý, na základe ktorých konzistencie a transparentnosti základný program nastavenia algoritmy.

Poznámka: niektoré kľúčové body špecifické nastavenia Squid.

Na čo sa zamerať pri nastavovaní?

Ak nie je ťažkosti pri hľadaní súboru squid.conf, ktorý je hlavným nástrojom pre konfiguráciu servera, môžete sa pokúsiť zistiť adresár etc / chobotnice.

Najlepšie zo všetkého je, ak pracujete na súbore sa jedná, budete používať najviac jednoduchý textový editor: nepotrebujú v rade, je zodpovedný za nastavenie proxy servera, hit všetko formátovanie.

V niektorých prípadoch môže byť nutné pracovať s prevádzkovateľom bol zadaný proxy server. K tomuto účelu cache_peer tímu. Vpísať to musí byť tak: cache_peer (adresa prevádzky ISP proxy server).

V niektorých prípadoch je vhodné stanoviť množstvo pamäte RAM, ktorá bude používať Squid. To možno vykonať pomocou cache_mem tímom. Je tiež vhodné uviesť adresár, do ktorého sa ukladajú dáta z cache, je vykonané pomocou cache_dir prejavu. V prvom prípade bude príkaz vyzerať úplne cache_mem (veľkosť pamäte RAM v bytoch), v druhej - ako cache_dir (adresa adresáre, počet megabajtov voľného miesta na disku). Je vhodné umiestniť cache na väčšine pohonov s vysokým výkonom, ak je voľba.

Možno budete musieť určiť počítače, ktoré majú prístup k proxy serveru. To možno vykonať pomocou ACL príkazy povolenej hosts src (IP-rozsah adries počítačov), rovnako ako ACL localhost src (local adresy).

Ak sú spoje využívané ako je SSL porty, oni môžu tiež byť uzamknutý pomocou príkazu ACL ssl_ports portu (indikácia Port). V rovnakej času, môžete zabrániť používaniu CONNECT metóda pre ostatné porty, okrem uvedených v zabezpečenej SSL spojenie. To napomôže tomu, aby sa výraz http_access poprieť Connect! SSL_Ports.

Chobotnice a pfsense

V mnohých prípadoch, ktorými sa proxy servera, cez ktorý pfsense rozhranie sa používa ako účinný firewall. Ako organizovať svoju prácu dohromady? Algoritmus pre riešenie tohto problému je to príliš ťažké.

Po prvé, musíme pracovať v pfsense rozhraní. Chobotnica, ktorého konfigurácia bola vykonaná u nás, budete musieť nainštalovať cez SSH-tímy. Jedná sa o jednu z najvýhodnejších a najbezpečnejších spôsobov, ako pracovať s proxy servermi. K tomu je nutné aktivovať rozhranie v Enable Secure Shell. Ak chcete nájsť to, musíte vybrať systém menu, potom - Advanced, po - Admin Access.

Potom budete musieť stiahnuť PuTTY - praktické aplikácie pre prácu s SSH. Ďalej pomocou konzoly, je potrebné nainštalovať Squid. To možno ľahko vykonať pomocou -pkg inštaláciu chobotnice príkaz. Za to, že musíte tiež nainštalovať proxy cez webové rozhranie pfsense. Chobotnica (Nastavenie parametrov v tejto fáze nie je vykonávaná) možno nainštalovať výberom System Položka, potom balíčky, po - k dispozícii balíčky. Do príslušnej kolónky by mali byť prístupné balíček Squid Stabilný. Vyberte ho. Je nutné nastaviť nasledujúce nastavenia: Proxy rozhrania: LAN. Na rozdiel od Transparent linka Proxy môže odškrtnúť. Vyberte adresu pre protokol a poznačte si ruský jazyk ako preferovaný. Kliknite na tlačidlo Uložiť.

Nástroj na optimalizáciu zdrojov

Konfigurácia Squid umožňuje systémovým administrátorom efektívne prideľovať prostriedky servera. To znamená, že v tomto prípade nehovoríme o zákaz prístupu k akejkoľvek stránky, ale intenzita zapojenie kanála u konkrétneho používateľa alebo skupiny môže požadovať kontrolu. Zvažoval Program umožňuje riešiť tento problém v niekoľkými spôsobmi. Po prvé sa jedná o zapojenie cache mechanizmov: v prípade potreby na úkor súborov re-sťahovanie z internetu, ako znížiť záťaž na prevádzku. Po druhé, je obmedzenie prístupu k sieti v priebehu času. Po tretie, je stanoviť limitné hodnoty pre rýchlosť prenosu dát v sieti v súvislosti s činnosťou niektorých užívateľov alebo určité typy sťahovaných súborov. Zoberme si tieto mechanizmy podrobnejšie.

Optimalizovať sieťové zdroje do medzipamäte

Štruktúra sieťovej prevádzky, existuje mnoho typov súborov, tým zapojené bez zmeny. To znamená, že akonáhle ich nahrávanie na počítači, používateľ nemôže opakovať príslušná operácia. Chobotnica program poskytuje flexibilné konfiguráciu súborov, ako server, rozpoznávanie motora.

Dosť užitočná voľba sme skúmali Proxy - súbor overenie veku vo vyrovnávacej pamäti. Objekty, ktoré sú príliš dlhé sú usporiadané v pamäťové oblasti by mali byť aktualizované. Zapojenie tejto voľby je možné pomocou refresh_pattern tím. Takže plne výraz môže vyzerať napríklad refresh_pattern (minimálnu dobu - v minútach, maximálny podiel "čerstvých" súbory -%, čo je maximálna obdobie). V súlade s tým, ak je súbor vo vyrovnávacej pamäti dlhší ako zadaných kritérií, potom možno budete musieť stiahnuť novú verziu.

Optimalizácia zdrojov tým, že obmedzí prístup k času

Ďalšou možnosťou, ktoré môžete použiť, pretože príležitostí Squid proxy, - obmedzenie prístupu užívateľov k sieťovým zdrojom v priebehu času. Nastavte ho pomocou veľmi jednoduchý príkaz: ACL (názov počítača) čas (deň, hodina, minúta). Prístup môže byť obmedzený na ktorýkoľvek deň v týždni, pričom sa "deň", prvé písmeno slova zodpovedajúce jej meno v anglickej abecede. Napríklad, ak je to v pondelok - M Ak utorok T. Ak tím nie je slovo "deň", potom zodpovedajúce zákaz je nastavený na celý týždeň. Je zaujímavé, že môžete tiež nastaviť položky plánu na jednotlivých užívateľov siete pomocou rôznych programov.

Optimalizácia zdrojov prostredníctvom rýchlostného limitu

Pomerne častá voľba - optimalizácia zdrojov úpravou povolenú rýchlosť výmeny dát v rámci siete. Študujeme proxy server - užitočný nástroj pre túto úlohu. Regulácia výmeny dát v rýchlosti siete pomocou takých parametrov, ako delay_class, delay_parameters, delay_access, a delay_pools prvok. Všetky štyri diely sú nevyhnutné pre riešenie problémov, ktorým čelia správcovi systému v aspekte optimalizácie sieťových zdrojov.