Konfigurering Squid for startere. Slik konfigurerer Squid proxy-server

Blekksprut - vanlig blant programmerere, systemadministratorer og datanettverk entusiaster løsning for å skape en effektiv proxy og styring. Programmet er spesielt attraktivt fordi det er kryss-plattform. Det er, installere og kjøre det som du kan i Linux og andre operativsystemer, Unix arkitektur hensiktsmessig, og i Windows. Mulighetene for instrumentet - den mest fremragende. Hvordan kan de være involvert? Er det noen funksjoner i programmet avhengig av OS?

Generell informasjon om Squid

Hva er Squid? Under dette navnet er det kjent for spesielt effektiv proxy-serveren du bruker oftest med web-klienter. Med den kan du organisere samtidig Internett-tilgang for flere brukere. Blekksprut En annen bemerkelsesverdig trekk er at det kan cache ulike forespørsler. Dette gjør det mulig å akselerere mottak av fil, som re-laste dem ned fra Internett er ikke nødvendig. Proxy-serveren kan også justere blekksprut Internett-hastighet kanal ved å korrelere det med den faktiske lasten.

Blekksprut er tilpasset for bruk på Unix-plattformer. Men det finnes versjoner av Squid for Windows, og mange andre populære operativsystemer. Dette programmet, samt flere operativsystemer basert på Unix-konseptet er gratis. Den støtter protokollene HTTP, FTP, SSL, kan du konfigurere detaljert kontroll over tilgangen til filene. Blekksprut registrerer også i DNS-cache forespørsler. Det er mulig å konfigurere og gjennomsiktig Squid-proxy, som er serveren i et format der brukeren ikke vet at tilgang til nettverket gjennom den, men ikke direkte. Dermed Squid - et kraftig verktøy i hendene på systemadministratoren eller leverandør av kommunikasjonstjenester.

Den praktiske nytte av blekksprut

I noen tilfeller kan Squid være mest nyttig? For eksempel kan det være en oppgave der du trenger for å gjennomføre en effektiv integrering av flere datamaskiner i et nettverk og gi dem tilgang til Internett. Muligheten for å bruke i dette tilfellet en proxy-server er at samtaler mellom ham og nettleser-spesifikk PC er raskere enn i tilfelle av en brukers interaksjon med Internett direkte. Også når du bruker Squid cache i nettleseren kan slås av helt. En lignende funksjon er svært populær i brukere miljøet.

ingredienser Squid

Den aktuelle avgjørelse består av flere komponenter. Faktisk er denne programvarepakken. I sin struktur - programmet der serveren er i gang, så vel som utfyller sitt program for å arbeide med DNS. Et interessant trekk ved den er at den starter prosesser, som hver opererer uavhengig av hverandre. Dette gjør det mulig å optimalisere samspillet med serveren DNS.

Installere programmet

Installere Squid vanligvis ikke føre til noen problemer. Veldig lett å sette på et Linux-program: bare skriv kommandoen $ sudo apt-get install squid.

Som for Squid for Windows, er du litt mer komplisert. Det faktum at dette programmet ikke er kjørbare filer - de grunnleggende elementene i programmer for Windows fra Microsoft.

Men installasjon av Squid På Windows - problemet løst ganske raskt. Det er nødvendig å finne squid-cache.org nettstedet eller relevante ressurser til det fordeling inneholder BAT type filer til noe nær en vanlig Windows kjørbar. Etter det, må du kopiere dem til en mappe på disken. Deretter må du kjøre Squid som en systemtjeneste. Etter det, kan programmet brukes som en proxy i nettleseren PC. Vi kan si at i denne innstillingen Squid fullført.

Fordelingen proxy inneholder nesten alltid konfigurasjons filtype .conf. Det er det viktigste verktøyet for å sette opp tilgang til Internett fra datamaskinen og andre enheter som er koblet til det lokale nettverket med involvering av Squid.

nyanser innstillinger

Hva er nyansene kan inkludere å sette Squid? Windows - et operativsystem, som arbeider med en proxy-server vil bli gjort ved å redigere konfigurasjonsfiler.

I tilfelle av Linux, kan du bruke kommandolinjen for enkelte prosedyrer. Men generelt, i operativsystemet, så vel som i det tilfelle at operativsystemet som blir Squid konfigurasjon, - Windows, oftest aktivert squid.conf fil. Det staver ut visse uttrykk ( "team"), der ledelsen serveren utfører nettverkstilkobling.

Tenk derfor hvordan de Squid innstillingsdetaljene. Det første du vil tillate nettverksbrukere å få tilgang til serveren. For å gjøre dette, sette i squid.conf sende de riktige verdiene i http_port, så vel som i http_access. Det er også nyttig å lage en liste for tilgangskontroll, eller ACL. http_port innstillinger er viktig for oss, som vår oppgave - å forberede Squid bare for å betjene en bestemt gruppe datamaskiner. I sin tur, slik en parameter som http_access, er viktig, fordi med den, kan vi kontrollere tilgangen til bestemte nettverksressurser, forespurte ettersom visse adresser (og muligens også andre kriterier - protokoller, havner og andre egenskaper som finnes i ACL).

Hvordan å sette de nødvendige justeringene? Gjør det veldig enkelt.

La oss si at vi har skapt et datanettverk med en rekke adresser som starter med 192.168.0.1 og slutter med 192.168.0.254. I dette tilfellet bør følgende alternativ settes i ACL-innstillinger: src 192.168.0.0/24. Hvis vi trenger å konfigurere port, er konfigurasjonsfilen nødvendig å registrere http_port 192.168.0.1 (skal bare angi riktig IP-adresse) og skriv inn portnummeret.

For å begrense tilgangen til laget med Squid proxy (ikke inkludert datamaskiner i et lokalt nettverk), må du gjøre endringer i http_access. Dette gjøres enkelt - med hjelp av uttrykk ( "kommandoer" - er enige om å kalle dem det, men strengt tatt i teksten er de ikke, men på en terminal melding om å overholde dem) tillater localnet og nekte alt. Det er viktig å plassere den første parameteren er større enn den andre, siden Squid vil kjenne dem igjen.

Arbeide med ACL: nekte tilgang til nettsteder

Egentlig innstillinger tilgangs er mulig i Squid i et svært bredt spekter. Tenk eksemplene nyttig i praksis for ledelse av lokale nettverk.

Nok etterspørsel src element. Med det kan du låse IP-adressen til datamaskinen som sender forespørsel til proxy-serveren. Ved å kombinere elementene av src til http_access kan, for eksempel, for å gi tilgang til den bestemte brukeren, men å forby tilsvarende handlinger for resten. Dette gjøres veldig enkelt.

Skrive en tilgangskontrolliste (navnet på en brukergruppe) src (IP-adresseområde som faller under regulering). Linjen nedenfor - ACL (navnet på en bestemt datamaskin) src (IP-adressen til PC). Etter det har vi vært i drift siden http_access. Sett tillatelse til å gå inn i nettverket til brukeren og en enkelt PC gruppe gjennom lag http_access tillater. Linjen under reparasjonen som tilgang til andre datamaskiner på nettverket er stengt nekte all-kommandoen.

Blekksprut proxy-konfigurasjon krever også involvering av andre nyttige elementer gitt for adgangssystemet, - dst. Den lar deg låse server IP-adresse, som brukeren ønsker å koble til proxy.

Med hjelp av elementet, kan vi for eksempel å begrense tilgangen til en bestemt subnett. For å gjøre dette, kan du bruke ACL kommando (nettverks betegnelse) DST (subnett IP-adresse), linjen nedenfor - http_access nekte (navnet på en bestemt datamaskin på nettverket).

En annen nyttig element - dstdomain. Det vil gi oss mulighet til å fikse domenet som brukeren ønsker å koble til. Sykling elementet i spørsmålet, kan vi begrense tilgangen til en bruker, for eksempel til eksterne ressurser. For å gjøre dette, kan du bruke kommandoen: ACL (gruppe av nettsteder) dstdomain (nettadresse), linjen nedenfor - http_access nekte (navnet datamaskin på nettverket).

Det er andre viktige elementer i strukturen av adgangskontrollsystemet. Blant dem - SitesRegex. Med dette uttrykket kan vi begrense brukernes tilgang til Internett-domener som inneholder et bestemt ord, som for eksempel e-post (hvis oppgave er å forby ansatte å håndtere tredjeparts e-postservere). For å gjøre dette, kan du bruke kommandoen ACL SitesRegexMail dstdom_regex post, så ACL SitesRegexComNet dstdom_regex \ .no $ (dette betyr at tilgangen vil bli stengt for de respektive typer domener). Linjen nedenfor - http_accesss nekte indikerer datamaskiner som har tilgang til ekstern e-postserver er uønsket.

Noen uttrykk kan bruke i-alternativet. Med det, så vel som et element som for eksempel url_regex, designet for å lage en mal for en webadresse, kan vi nekte tilgang til filer med en bestemt filtype.

For eksempel ved å bruke ACL NoSwfFromMail url_regex -i post-kommandoen. * \. SWF $ vi regulere ty til post steder i strukturen som det er Flash-valser. Hvis det ikke er nødvendig å inkludere i algoritmer tilgang domenenavnet til nettstedet, kan du bruke uttrykket urlpath_regex. For eksempel som et team ACL media urlpath_regex -i \ WMA $ \ .mp3 $.

Blokkerer tilgang til programmer

Konfigurering Squid kan du utestenge brukere tilgang til bestemte programmer med involvering av proxy server ressurser til. For dette formålet, kan brukes ACL kommando (programnavn) port (port range), linjen nedenfor - http_access nekte alle (programnavn).

Engasjerende standarder og protokoller

Konfigurering av blekksprut tillater også at systemadministratoren for å sette foretrukket protokoll er bruken av Internett-kanalen. For eksempel, hvis det er behov for en person med en bestemt PC tilgang til nettverket via FTP-protokollen, kan du bruke følgende kommando: ACL ftpproto proto ftp, linjen nedenfor - http_access nekte (navnet datamaskin) ftpproto.

Ved hjelp av elementmetoden, kan vi spesifisere på hvilken måte bør utføres HTTP-forespørsel. Totalt 2 - GET eller POST, og i noen tilfeller, men det er foretrukket den første og ikke den andre, og vice versa. For eksempel vurdere en situasjon der en person ikke bør se post gjennom mail.ru, men hans arbeidsgiver ville ikke tankene om en person ønsker å lese nyheter på nevnte nettsted. For å gjøre dette, kan systemansvarlig bruke følgende kommando: ACL sitemailru dstdomain .mail.ru, linjen nedenfor - ACL methodpost metoden POST, etc. - http_access nekte (navnet datamaskin) methodpost sitemailru.

Dette er nyanser som innebærer å sette Squid. Ubuntu er brukt, Windows eller andre operativsystemer som er kompatible med proxy-server - vi har vurdert spesielt relevante jobbinnstillinger generelt er typisk for noen programvare miljøet Squid fungerer. Arbeid med programvaren - er utrolig spennende prosess, og samtidig enkel i kraft av konsistens og åpenhet i de grunnleggende program innstillings algoritmer.

Merk noen viktige punkter som er spesifikke for oppsett Squid.

Hva du skal se etter når du setter opp?

Hvis det er problemer med å finne squid.conf fil, som er hovedtjeneren konfigurasjonsverktøyet, kan du prøve å sjekke katalogen etc / squid.

Best av alt, hvis du arbeider på en fil i spørsmålet, vil du bruke den mest enkel teksteditor: trenger ikke å i kø, er ansvarlig for å sette proxy-serveren, treffer noen formatering.

I noen tilfeller kan det være nødvendig å arbeide med leverandøren ble angitt proxy-server. For dette formålet er det cache_peer team. Dedisere det må være slik: cache_peer (ISP proxy server adresse).

I noen tilfeller nyttig å fastsette mengden av RAM, som skal bruke blekksprut. Dette kan gjøres ved cache_mem team. Det er også nyttig å angi katalogen der du vil lagre de lagrede data, det er gjort med hjelp av cache_dir uttrykk. I det første tilfellet vil kommandoen se ut som en helt cache_mem (mengden RAM i byte) i den andre - som en cache_dir (katalog adresse, antall megabyte med diskplass). Det anbefales å plassere en cache på de mest høytytende stasjoner, hvis det er et valg.

Du må kanskje angi datamaskiner som har tilgang til proxy-serveren. Dette kan gjøres ved hjelp av ACL-kommandoer tillatt verter src (IP-adresseområde av datamaskiner), så vel som lokalvert ACL src (lokal adresse).

Hvis koplingene anvendes, såsom SSL-porter, kan de også være låst med kommandoen ACL ssl_ports port (port indikasjon). På samme tid, kan du hindre bruk av CONNECT metode for de andre portene, annet enn de som er spesifisert i sikker SSL-tilkobling. Dette vil bidra til å gjøre uttrykket http_access nekte CONNECT! SSL_Ports.

Blekksprut og pfSense

I en del tilfeller behandles på proxy serveren som brukes pfSense-grensesnittet brukes som et effektivt brannmuren. Hvordan man kan organisere sitt arbeid sammen? Algoritmen for å løse dette problemet er ikke så vanskelig.

Først må vi jobbe i pfSense grensesnitt. The Squid, hvis konfigurasjon har blitt gjennomført av oss, må du installere via SSH-lag. Dette er en av de mest praktiske og tryggeste måter å arbeide med proxy-servere. For å gjøre dette må du aktivere grensesnittet i Aktiver Secure Shell. For å finne den, må du velge System-menyen, og deretter - Advanced etter - Admin Access.

Deretter må du laste ned PuTTY - praktisk program for å arbeide med SSH. Deretter bruker konsollen, må du installere Squid. Dette gjøres enkelt ved hjelp av -pkg installere blekksprut kommando. Etter det må du også installere en proxy gjennom pfSense webgrensesnitt. Squid (parametrisering på dette stadiet er ikke utført) kan installeres ved å velge System menyvalget, deretter pakker etter - tilgjengelige pakker. I den aktuelle boksen skal være tilgjengelig pakken Squid Stabil. Velge det. Det er nødvendig å angi følgende innstillinger: Proxy Interface: LAN. I motsetning Transparent Proxy linje kan krysse av. Velg adressen for loggen og merk det russiske språket som foretrukket. Klikk på Lagre.

Verktøy for å optimalisere ressurser

Konfigurering Squid lar systemadministratorer å effektivt fordele server ressurser. Det er, i dette tilfellet vi snakker ikke om å forby tilgang til noen av sidene, men intensiteten av involvering av kanalen av en bestemt bruker eller gruppe kan kreve kontroll. Regnes programmet gjør det mulig å løse dette problemet på flere måter. For det første er det involvering av caching mekanismer: behov på bekostning av re-laste ned filer fra Internett, som for å redusere belastningen på trafikken. Dernest er det å begrense tilgangen til nettverket over tid. Det tredje er å etablere grenseverdier for datahastigheten på nettverket i forhold til handlingene til noen brukere eller visse typer nedlastede filer. Vurdere disse mekanismene i mer detalj.

Optimaliser nettverksressurser ved caching

Strukturen av nettverkstrafikk, er det mange typer filer, de involverte uendret. Det vil si en gang å laste dem opp på datamaskinen, kan brukeren ikke gjenta den tilsvarende operasjon. Squid programmet gir fleksible konfigurasjonsfiler slik anerkjennelse motor server.

Nok nyttig alternativ vi undersøkt proxy-server - sjekk filen alder er i hurtigbufferen. Objekter som er for lenge blir arrangert i minneområdet bør oppdateres. Engasjerende dette alternativet er mulig å bruke refresh_pattern team. I så fall kan fullt uttrykk ligne refresh_pattern (minimumslengden på tid - i minutter, er den maksimale andelen av "friske" filer -%, maksimal lengde på ferien). Følgelig, hvis filen er i hurtigbufferen lenger enn de angitte kriteriene, kan du trenger å laste ned den nye versjonen.

Optimalisering av ressurser ved å begrense tilgangen tid

Et annet alternativ som du kan bruke på grunn av de mulighetene Squid-Proxy, - begrensning av brukerens tilgang til nettverksressurser over tid. Sett den ved hjelp av en veldig enkel kommando: ACL (datamaskinnavn) tid (dag, time, minutt). Tilgang kan være begrenset for alle dager i uken, erstatte "dag" den første bokstaven i ordet svarer til navnet sitt i det engelske alfabetet. For eksempel, hvis det er mandag - M hvis tirsdag er T. Dersom laget er ikke ordet "dag", og den tilsvarende forbudet er satt for hele uken. Det er interessant at du også kan justere planen oppføring i på brukernettverket ved hjelp av ulike programmer.

Optimalisering av ressurser gjennom fartsgrensen

Ganske vanlig alternativ - optimalisering av ressurser ved å justere den tillatte hastigheten på datautveksling i nettverket. Vi studerer en proxy-server - et nyttig verktøy for denne oppgaven. Regulering av datautveksling i nettverket hastighet ved anvendelse av slike parametere som delay_class, delay_parameters, delay_access, og ved delay_pools element. Alle fire komponenter er nødvendig for å møte utfordringene ved systemadministratorer i aspekt av å optimalisere nettverksressursene.