Konfiguration Squid for startere. Sådan konfigureres Squid proxy-server

Blæksprutte - fælles blandt programmører, systemadministratorer og computernetværk entusiaster løsning for at skabe en effektiv proxy og ledelse. Programmet er specielt attraktiv, fordi det er på tværs af platforme. Det vil sige, installere og køre det som du kan i Linux og andre operativsystemer, Unix arkitektur er hensigtsmæssigt, og i Windows. Mulighederne for instrumentet - den mest fremragende. Hvordan kan de være involveret? Er der nogen funktioner i dit program afhængigt af OS?

Generel information om Squid

Hvad er Squid? Under dette navn det er kendt for særlig effektiv proxyserver du bruger oftest med web-klienter. Med det kan du organisere samtidig adgang til internettet for flere brugere. Blæksprutte anden bemærkelsesværdig feature er, at det kan cache forskellige anmodninger. Dette gør det muligt at fremskynde modtagelse af filen, som re-downloade dem fra internettet er ikke nødvendig. Proxyserveren kan også justere Squid Internet hastighed kanal, når korrelere det med den aktuelle belastning.

Squid er tilpasset til brug på Unix-platforme. Men der er versioner af Squid til Windows, og mange andre populære operativsystemer. Dette program, samt flere operativsystemer baseret på Unix koncept er gratis. Det understøtter protokoller HTTP, FTP, SSL, kan du konfigurere kornet kontrol over adgangen til filerne. Squid registrerer også i DNS-cache anmodninger. Det er muligt at konfigurere og gennemsigtig Squid-proxy, som er den server i et format, hvor brugeren ikke ved, at få adgang til netværket gennem det, men ikke direkte. Således Squid - et kraftfuldt værktøj i hænderne på systemadministratoren eller udbyder af kommunikationstjenester.

Den praktiske nytte af Squid

I nogle tilfælde kan Squid være mest nyttig? For eksempel kan det være en opgave, hvor du har brug for at gennemføre en effektiv integration af flere computere på et netværk og give dem adgang til internettet. Muligheden for at bruge i dette tilfælde en proxyserver er, at opkald mellem ham og browser specifik pc er hurtigere end i tilfældet med en brugers interaktion med direkte internettet. Også, kan ved brug af Squid cache i browseren slukkes helt. En lignende funktion er meget populær i brugernes miljø.

Ingredienser Blæksprutte

Beslutningen pågældende består af flere komponenter. I virkeligheden er denne softwarepakke. I sin struktur - anvendelsen af som serveren er startet, samt supplere sit program at arbejde med DNS. Et interessant træk ved det er, at det begynder processer, som hver især fungerer uafhængigt. Dette gør det muligt at optimere samspillet med serveren DNS.

Installation af programmet

Installation Squid normalt ikke giver anledning til problemer. Meget let at sætte på en Linux-program: blot indtaste kommandoen $ sudo apt-get install blæksprutte.

Som for Blæksprutte til Windows, du er alle en smule mere kompliceret. Det faktum, at dette program er ikke eksekverbare filer - de grundlæggende elementer i applikationer til Windows fra Microsoft.

Men installation af Squid På Windows - problem løst ganske hurtigt. Det er nødvendigt at finde squid-cache.org websted eller de relevante ressourcer til det distributionen indeholder .bat typefiler til noget nær en konventionel Windows eksekverbar. Efter dette, skal du kopiere dem til en mappe på disken. Så har du brug for at køre Squid som et system tjeneste. Efter dette, kan programmet bruges som en proxy i browseren pc. Vi kan sige, at i denne indstilling Squid afsluttet.

Fordelingen proxy indeholder næsten altid konfigurationsfilen typen .conf. Det er det vigtigste redskab for at oprette adgang til internettet fra din computer og andre enheder, der er tilsluttet det lokale netværk med inddragelse af blæksprutte.

nuancer indstillinger

Hvad er de nuancer kan omfatte indstilling Squid? Vinduer - et operativsystem, der arbejder med en proxyserver vil ske ved at redigere konfigurationsfiler.

I tilfælde af Linux, kan du bruge kommandolinjen for nogle procedurer. Men generelt i operativsystemet, samt i tilfælde af, at operativsystemet, der er ved at blive Squid konfiguration - Vinduer, oftest aktiveret squid.conf fil. Det forklarer visse udtryk ( "hold"), i henhold til hvilken ledelsen serveren udfører netværksforbindelsen.

Overvej derfor, hvordan Squid indstilling detaljer. Den første ting, du ønsker at give brugerne af nettet kan få adgang til serveren. For at gøre dette, kan du sætte squid.conf fil de relevante værdier i http_port, såvel som i http_access. Det er også nyttigt at oprette en liste til adgangskontrol, eller ACL. http_port indstillinger er vigtigt for os, da vores opgave - at forberede Squid kun til servicering en bestemt gruppe af computere. Til gengæld sådan en parameter som http_access, er vigtig, fordi med det, kan vi kontrollere adgangen til bestemte netværksressourcer anmodede da visse adresser (og eventuelt andre kriterier - de protokoller, havne og andre egenskaber, der er indeholdt i ACL).

Sådan at sætte de nødvendige justeringer? Gør det meget enkelt.

Lad os sige, vi har skabt et computernetværk med en række adresser, der begynder med 192.168.0.1 og slutter med 192.168.0.254. I dette tilfælde bør følgende indstilling indstilles i ACL-indstillinger: src 192.168.0.0/24. Hvis vi har brug for at konfigurere porten, konfigurationsfilen er nødvendigt at registrere http_port 192.168.0.1 (bør kun angive den korrekte IP-adresse) og indtaste portnummeret.

For at begrænse adgangen til den skabt ved hjælp af Squid proxy (ikke inklusive computere i et lokalt netværk), skal du foretage ændringer i http_access. Dette gøres ganske enkelt - med hjælp af udtryk ( "kommandoer" - er enige om at kalde dem det, selvom det strengt taget i den tekst, de ikke er, men på en terminal prompt til fuldt ud at overholde dem) tillade LOCALNET og benægte alt. Det er vigtigt at placere den første parameter er større end den anden, da Squid vil genkende dem efter tur.

Arbejde med ACL: nægte adgang til hjemmesider

Faktisk indstillingerne for adgangspunktet er mulige i Squid i et meget bredt spektrum. Overvej eksemplerne nyttige i praksis i forvaltningen af lokale netværk.

Nok efterspørgsel src element. Med det, kan du låse IP-adressen på den computer, der foretager anmodningen til proxyserveren. Ved at kombinere elementer af src at http_access kan, for eksempel for at give adgang til den specifikke bruger, men at forbyde lignende aktioner for resten. Dette gøres meget enkelt.

Skrive en ACL (navnet på en brugergruppe) src (IP-adresseområde, der falder ind under forordningen). Linje nedenfor - ACL (navnet på en bestemt computer) src (IP-adressen på den pc). Efter at vi har kørt siden http_access. Sæt tilladelse til at komme ind i netværket for brugeren og en enkelt pc gruppen gennem teams http_access tillade. Linje nedenfor rettelse, få adgang til andre computere på netværket er lukket benægte al kommando.

Blæksprutte proxy konfiguration kræver også involvering af andre nyttige elementer, der kræves adgangskontrolsystemet - dst. Det giver dig mulighed for at låse serverens IP-adresse, som brugeren ønsker at oprette forbindelse til proxy.

Med hjælp af elementet, vi kan, for eksempel, at begrænse adgangen til et bestemt undernet. For at gøre dette, kan du bruge ACL kommando (netværk betegnelse) dst (subnet IP-adresse), linjen nedenfor - http_access benægte (navnet på en bestemt computer på netværket).

En anden nyttig element - dstdomain. Det vil give os mulighed for at fastsætte det domæne, som brugeren ønsker at tilslutte. Cykling pågældende element, kan vi begrænse adgangen for en bruger, for eksempel til eksterne ressourcer Internet. For at gøre dette, kan du bruge kommandoen: ACL (gruppe af websteder) dstdomain (hjemmeside adresse), linjen nedenfor - http_access benægte (computernavnet på netværket).

Der er andre bemærkelsesværdige elementer i strukturen af adgangskontrolsystem. Blandt dem - SitesRegex. Med dette udtryk kan vi begrænse brugernes adgang til internetdomæner, der indeholder et bestemt ord, såsom mail (hvis opgaven er at forbyde medarbejderne at håndtere tredjeparts mail-servere). For at gøre dette, kan du bruge kommandoen ACL SitesRegexMail dstdom_regex mail, så ACL SitesRegexComNet dstdom_regex \ .dk $ (det betyder, at adgangen vil være lukket for de respektive typer af domæner). Linje nedenfor - http_accesss benægte angivelse af computere, hvorfra adgang til ekstern mailserver er uønsket.

Nogle udtryk kan bruge -i mulighed. Med det, såvel som et element, som for eksempel url_regex, designet til at skabe en skabelon til en web-adresse, kan vi nægte adgang til filer med en given forlængelse.

For eksempel ved hjælp af ACL NoSwfFromMail url_regex -i mail-kommando. * \. SWF $ vi regulerer brug af postale steder i strukturen, hvoraf der er Flash-ruller. Hvis der ikke er behov for at medtage i algoritmer adgang domænenavn på webstedet, kan du bruge udtrykket urlpath_regex. For eksempel, som et team ACL medier urlpath_regex -i \ .wma $ \ .mp3 $.

Blokering af adgangen til programmer

Konfiguration Squid giver dig mulighed for at forbyde brugere adgang til bestemte programmer med inddragelse af proxy-server ressourcer. Til dette formål kan ACL kommando (program navn) (portinterval), der anvendes, linjen nedenfor - http_access benægte alle (program navn).

Indgribende normer og forskrifter

Konfiguration Squid giver også systemadministratoren for at indstille den foretrukne protokol er brugen af internettet kanal. For eksempel, hvis der er behov for at en person med en bestemt pc-adgang til netværket via FTP-protokollen, kan du bruge følgende kommando: ACL ftpproto proto ftp, linjen nedenfor - http_access benægte (computernavn) ftpproto.

Ved at bruge element metoden, kan vi angive den måde, hvorpå bør udføres HTTP-anmodning. I alt 2 - GET eller POST, og i nogle tilfælde, men det foretrækkes den første og ikke den anden, og omvendt. For eksempel overveje en situation, hvor en bestemt person ikke bør se mail via mail.ru, men hans arbejdsgiver ville ikke have noget imod, hvis en person ønsker at læse nyheder på det pågældende sted. For at gøre dette, kan systemadministratoren bruge følgende kommando: ACL sitemailru dstdomain .mail.ru, linjen nedenfor - ACL methodpost metode POST, etc. - http_access benægte (computernavnet) methodpost sitemailru.

Disse er nuancer, der indebærer fastsættelse Squid. Ubuntu bruges, Windows eller andre operativsystemer er kompatible med proxyserveren - vi har overvejet særligt relevante indstillinger arbejdspladser i almindelighed er typiske for noget software miljø Squid funktion. Arbejde med softwaren - er utrolig spændende proces, og samtidig enkel i kraft af konsekvens og gennemsigtighed af de grundlæggende program indstilling algoritmer.

Bemærk nogle centrale punkter er specifikke for opsætning Squid.

Hvad skal man kigge efter, når opsætning?

Hvis der er problemer med at finde squid.conf fil, som er den vigtigste server konfiguration værktøj, kan du prøve at tjekke den mappe etc / blæksprutte.

Bedst af alt, hvis arbejder på en fil i spørgsmål, vil du bruge den mest simpel teksteditor: behøver ikke at på linje, er ansvarlig for at proxy-serveren, ramte nogen formatering.

I nogle tilfælde kan det være nødvendigt at arbejde med udbyderen blev angivet proxyserver. Til dette formål er der cache_peer hold. Indskrive det skal være så: cache_peer (ISP proxyserver adresse).

I nogle tilfælde er nyttigt at fastsætte mængden af RAM, som vil bruge Squid. Dette kan gøres ved cache_mem hold. Det er også nyttigt at angive det bibliotek til at gemme dataene i cachen, det sker med hjælp af CACHE_DIR udtryk. I det første tilfælde, vil kommandoen ligne en helt cache_mem (mængden af RAM i byte) i den anden - som en CACHE_DIR (mappe adresse, antallet af megabyte diskplads). Det er tilrådeligt at placere en cache på de mest højtydende drev, hvis der er et valg.

Det kan være nødvendigt at specificere de computere, der har adgang til proxyserveren. Dette kan gøres ved hjælp af ACL-kommandoer tilladte værter src (IP-adresse vifte af computere) samt ACL localhost src (lokal adresse).

Hvis forbindelserne udnyttes såsom SSL-porte, kan de også låses med kommandoen ACL ssl_ports port (Port indikation). På samme tid, kan du forhindre brugen af CONNECT metode til de andre havne, bortset fra dem, der er angivet i sikker SSL-forbindelse. Dette vil bidrage til at gøre udtrykket http_access benægte CONNECT! SSL_Ports.

Blæksprutte og pfSense

I en række tilfælde behandles af proxyserveren bruges pfSense interface der bruges som en effektiv firewall. Sådan organisere deres arbejde sammen? Algoritmen til at løse dette problem er ikke så svært.

Først er vi nødt til at arbejde i pfSense grænseflade. Den Squid, hvis konfiguration er blevet gennemført af os, vil du nødt til at installere gennem SSH-hold. Dette er en af de mest bekvemme og sikreste måder at arbejde med proxy-servere. For at gøre dette skal du aktivere grænsefladen i Aktiver Secure Shell. For at finde det, skal du vælge menuen System, så - Avanceret, efter - Admin Access.

Så har du brug for at hente PuTTY - praktisk applikation til at arbejde med SSH. Dernæst bruge konsollen, skal du installere Squid. Dette gøres nemt ved hjælp af -pkg installere blæksprutte kommando. Efter dette, skal du også installere en proxy gennem pfSense web interface. Blæksprutte (indstilling af på dette tidspunkt udføres ikke) kan installeres ved at vælge System menupunktet, derefter de pakker, efter - tilgængelige pakker. I den relevante boks skal være tilgængelige pakke Squid Stabil. Vælg det. Det er nødvendigt for at angive følgende indstillinger: Proxy-indgang: LAN. I modsætning Transparent Proxy linje kan afkrydse. Vælg adressen for log og bemærk det russiske sprog som den foretrukne. Klik på Gem.

Værktøj til optimering af ressourcer

Konfiguration Squid tillader systemadministratorer til effektivt tildele server ressourcer. Det er i dette tilfælde vi taler ikke om at forbyde adgang til et websted, men intensiteten af inddragelse af kanalen af en bestemt bruger eller gruppe kan kræve kontrol. Velovervejet program gør det muligt at løse dette problem på flere måder. For det første er inddragelsen af caching mekanismer: behov på bekostning af re-downloade filer fra internettet, for at mindske byrden for trafikken. For det andet er det at begrænse adgangen til netværket over tid. For det tredje er at opstille grænseværdier for datahastigheden på netværket i forhold til aktioner inden for visse brugere eller bestemte typer af downloadede filer. Overvej disse mekanismer i flere detaljer.

Optimer netværksressourcer ved caching

Strukturen af netværkstrafik, der er mange typer af filer, den involverede uændret. Det vil sige, når uploade dem på computeren, kan brugeren ikke gentage den tilsvarende operation. Squid program giver fleksible konfigurationsfiler sådan anerkendelse motor server.

Nok nyttig funktion undersøgte vi proxyserver - tjek filen alder er i cachen. Objekter, der er alt for længe er arrangeret i hukommelsen område bør ajourføres. Engagere denne mulighed er muligt ved hjælp af refresh_pattern hold. Så kan fuldt udtryk ligne refresh_pattern (den mindste længde af tid - i minutter, den maksimale andel af "friske" filer -%, den maksimale periode). Derfor hvis filen er i cachen længere end de angivne kriterier, så er du måske nødt til at downloade den nye version.

Optimering af ressourcer ved at begrænse adgangen tid

En anden mulighed, som du kan bruge på grund af de muligheder, blæksprutte-Proxy, - begrænsning af brugernes adgang til netværksressourcer over tid. Sæt den ved hjælp af en meget simpel kommando: ACL (computernavn) tid (dag, time, minut). Adgang kan være begrænset til en hvilken som helst dag i ugen, erstatte "dag" det første bogstav i ordet, der svarer til sit navn i det engelske alfabet. For eksempel, hvis det er mandag - M hvis Tirsdag er T. Hvis holdet er ikke ordet "dag", så den tilsvarende forbud er indstillet for hele ugen. Det er interessant, at du også kan justere tidsplanen post i på brugerens netværk ved hjælp af forskellige programmer.

Optimering af ressourcer gennem hastighedsgrænsen

Ret almindelig mulighed - optimering af ressourcer ved at justere den tilladte hastighed på dataudveksling inden for netværket. Vi studerer en proxyserver - et praktisk værktøj til denne opgave. Regulering af dataudveksling i netværket hastighed ved hjælp af sådanne parametre som delay_class, delay_parameters, delay_access, og ved delay_pools element. Alle fire komponenter er vigtigt at møde de udfordringer, som systemadministratorer står over for i det aspekt af at optimere netværksressourcer.