Konfiguriranje Squid za početak. Kako konfigurirati Squid proxy servera

Lignje - uobičajeno među programerima, sistemskim administratorima i računalnih mreža entuzijasta rješenje za stvaranje djelotvorne proxy i upravljanje. Program je posebno atraktivna jer je cross-platform. To jest, instalirajte i pokrenite ga kao možete u Linux i druge operativne sisteme, Unix arhitektura je potrebno, i Windows. Mogućnosti instrumenta - najistaknutijih. Kako mogu biti uključeni? Da li postoje neke funkcije u programu u zavisnosti od OS?

Opšte informacije o lignje

Što je Lignje? Pod tim imenom je poznat po posebno efikasan proxy servera najčešće koristite sa web klijentima. Uz to možete organizirati istovremeni pristup internetu za više korisnika. Lignje Još jedna značajna karakteristika je da kešira različite zahtjeve. Zbog toga je moguće da se ubrza prijem datoteke, kao re-ih preuzeti sa interneta nije potrebno. Proxy servera također može prilagoditi lignje speed Internet kanal kada korelaciji sa stvarnim opterećenjem.

Lignje je prilagođen za korištenje na Unix platformama. Međutim, postoje verzije Squid za Windows, kao i mnoge druge popularne operativne sisteme. Ovaj program, kao i više operativnih sistema baziranih na Unix koncept je besplatan. Ona podržava protokole HTTP, FTP, SSL, možete konfigurirati zrnastim kontrolu nad pristupom datotekama. Lignje također bilježi u zahtjevima DNS-cache. Moguće je konfigurirati i transparentan Squid-proxy, da je server u formatu gdje korisnik ne zna da je pristup mreži kroz njega, ali ne direktno. Tako, lignje - moćan alat u rukama administratora sistema ili isporučitelj komunikacijskih usluga.

Praktična korisnost Squid

U nekim slučajevima, lignje mogu biti najkorisniji? Na primjer, to može biti zadatak u kojem treba da sprovede efikasnu integraciju višestrukih računala na mreži i pružiti im pristup internetu. Izvodljivost koristi u ovom slučaju proxy servera je da pozivi između njega i preglednika specifične PC je brže nego u slučaju interakcije korisnika sa direktno Interneta. Isto tako, kada se koristi Squid cache u browseru se može pretvoriti u potpunosti isključiti. Slična funkcija je vrlo popularan u okruženju korisnika.

Sastojci Squid

Sporna odluka sastoji se od nekoliko komponenti. U stvari, ovaj softver paket. U svojoj strukturi - aplikacija kojom se počeo server, kao i dopunjavanje svoj program za rad s DNS-a. Interesantna karakteristika je da se pokrene proces, od kojih svaka djeluje samostalno. Zbog toga je moguće optimizirati interakciju sa serverom DNS-a.

Instaliranje programa

Instaliranje Squid obično ne izaziva nikakve poteškoće. Vrlo lako staviti na Linux program: jednostavno unesite naredbu $ sudo apt-get install lignje.

Što se tiče Squid za Windows, vi ste svi malo kompliciranije. Činjenica da je ovaj program nije izvršne datoteke - osnovne elemente aplikacija za Windows iz Microsofta.

Međutim, instalacija Squid Na Windows - problem riješen vrlo brzo. To je potrebno pronaći squid-cache.org stranice ili relevantne resurse da ga dostave u kojoj .bat tip datoteke u nešto blizu konvencionalnim Windows izvršne. Nakon toga, morate ih kopirati u folder na disku. Onda trebate pokrenuti Squid kao sistemski servis. Nakon toga, program se može koristiti kao zamjena u PC pretraživača. Možemo reći da je u ovoj postavci Squid završen.

Distribucije proxy gotovo uvijek sadrži .conf konfiguracije tip datoteke. To je glavno sredstvo uspostavljanja pristup internetu sa računara i drugih uređaja koji su povezani na lokalnu mrežu uz učešće lignje.

nijanse postavke

Koji su nijanse mogu uključivati postavljanje lignje? Windows - operativni sistem, koji rade sa proxy servera će biti učinjeno uređivanjem konfiguracijske datoteke.

U slučaju Linux, možete koristiti komandne linije za neke postupke. Ali generalno, u operativnom sistemu, kao iu slučaju da je operativni sistem, koji se Squid konfiguraciju, - Prozori, najčešće uskoro squid.conf datoteke. To se navode pojedinih izraza ( "Team"), pod kojim servera za upravljanje obavlja mrežnu vezu.

Razmotrimo, dakle, u kojoj su lignje detalje postavke. Prva stvar koju želite da omogući korisnicima mreže za pristup serveru. Da biste to učinili, stavili u squid.conf podnijeti odgovarajuće vrijednosti u http_port, kao iu http_access. Također je korisno da se stvori popis za kontrolu pristupa, odnosno ACL. postavke http_port su važni za nas, kao što je naš zadatak - da se pripremi Squid samo za servisiranje određene grupe računara. S druge strane, kao što je parametar kao http_access, je važno, jer s njim, ne možemo kontrolirati pristup određenim mrežnim resursima, zatražio je od određene adrese (i eventualno druge kriterije - protokola, luka i druga svojstva sadržana u ACL).

Kako staviti potrebne prilagodbe? Čine ga vrlo jednostavno.

Recimo stvorili smo računarska mreža sa nizom adresa počinju sa 192.168.0.1 i završava sa 192.168.0.254. U ovom slučaju, sljedeće opcija bi trebala biti postavljena u ACL-podešavanja: src 192.168.0.0/24. Ako se trebate konfigurirati luke, konfiguracijska datoteka je potrebno za snimanje http_port 192.168.0.1 (treba navesti samo ispravnu IP-adresu) i unesite broj porta.

Kako bi se ograničiti pristup kreirane pomoću lignje proxy (ne uključujući računala u lokalnoj mreži), morate napraviti promjene u http_access. To se radi jednostavno - uz pomoć izraza ( "komande" - slažu da ih tako nazvati, iako, strogo govoreći, u tekstu nisu, ali na terminalu brz da u potpunosti u skladu sa njima) omogućavaju Localnet i negiraju sve. Važno je da stavite prvi parametar veći od drugog, jer će ih Lignje prepoznati u red.

Rad sa ACL: zabraniti pristup web stranicama

Zapravo, postavke pristup mogući su u Lignje u vrlo širokom spektru. Uzmite u obzir primjere korisne u praksi upravljanja lokalne mreže.

Dovoljno potražnje src element. Uz to, možete zaključati IP adresa računara koji upućuje zahtjev proxy servera. Kombinirajući elemente src da http_access mogu, na primjer, kako bi se omogućilo pristup specifičnom korisniku, ali da zabrani slične akcije za ostatak. To se radi vrlo jednostavno.

Pisanje ACL (naziv grupe korisnika) src (IP-adrese opsegu koji potpadaju pod propis). Linija ispod - ACL (ime drugog računala) src (IP-adresu PC). Nakon toga smo radi od http_access. Podešavanje dozvole za ulazak u mrežu za korisnika i jednu grupu PC putem timova http_access dozvoljavaju. Linija ispod fix koji pristupaju drugim računalima na mreži zatvoren negira sve komande.

Squid proxy konfiguracije također zahtijeva uključivanje drugih korisnih elemenata predviđene za sistem kontrole pristupa, - DST. To vam omogućuje da zaključate server IP-adresu, na koju korisnik želi da se poveže sa proxy.

Uz pomoć elementa, možemo, na primjer, da se ograniči pristup određenoj subnet. Da biste to učinili, možete koristiti ACL komandu (mrežni oznaka) DST (subnet IP-adresu), linija ispod - http_access negiraju (ime drugog računala na mreži).

Još jedan koristan element - dstdomain. To će nam omogućiti da popravi domenu na koju korisnik želi spojiti. Biciklom element u pitanju, možemo ograničiti pristup korisnika, na primjer, na vanjske Internet resursa. Da biste to učinili, možete koristiti naredbu: ACL (grupa lokaliteta) dstdomain (internet adresa), linija ispod - http_access negiraju (ime računala na mreži).

Postoje i drugi spomenuti elementi u strukturi sistem kontrole pristupa. Među onima koji su - SitesRegex. Uz ovaj izraz možemo ograničiti pristup internet domena koje sadrže određenu riječ, kao što su pošte (ako je zadatak da zabrani zaposlenih za rukovanje third-party mail serveri) korisniku. Da biste to učinili, možete koristiti naredbu ACL SitesRegexMail dstdom_regex pošte, a zatim ACL SitesRegexComNet dstdom_regex \ .com $ (to znači da će pristup biti zatvoren za odgovarajuće vrste domena). Linija ispod - http_accesss negiraju ukazuje računala iz koje pristupaju na vanjske mail server je nepoželjno.

Neki izrazi mogu koristiti -i opciju. Uz to, kao i element, kao što su, na primjer, url_regex, dizajniran za stvaranje predloška za Web stranica, možda ćemo zabraniti pristup datoteke s datom produžetak.

Na primjer, koristeći ACL NoSwfFromMail url_regex -i mail komandu. * \. Swf $ možemo regulirati pribjegavanje poštanski lokacijama u strukturi kojih ima Flash valjci. Ako nema potrebe da se u ime algoritmima pristup domeni web-lokacije, možete koristiti izraz urlpath_regex. Na primjer, kao tim ACL medija urlpath_regex -i \ .wma $ \ .mp3 $.

Blokiranje pristupa programima

Podešavanje Squid vam omogućava da zabrani korisnicima pristup pojedinim programima uz učešće sredstava proxy servera. U tu svrhu mogu se koristiti ACL naredbu (naziv programa) port (raspon port), linija ispod - http_access negira sve (ime programa).

Angažovanje standarde i protokole

Podešavanje Squid također omogućava administratoru da podesite željenu protokol je upotreba interneta kanala. Na primjer, ako postoji potreba da se osobe sa posebnim PC pristup mreži putem FTP protokola, možete koristiti sljedeće naredbe: ACL ftpproto Proto ftp, linija ispod - http_access negiraju (ime računala) ftpproto.

Metodom element, možemo navesti način na koji treba izvršiti HTTP-zahtjev. Ukupno 2 - GET ili POST, au nekim slučajevima, ali poželjno je prvi, a ne drugi, i obrnuto. Na primjer, razmislite o situaciji u kojoj određena osoba ne bi trebalo da gledaju pošte preko mail.ru, ali njegov poslodavac ne bi smetalo ako osoba želi da čita vijesti o navedenom mjestu. Da biste to učinili, administrator sistema može koristiti sljedeće naredbe: ACL sitemailru dstdomain .mail.ru, linija ispod - ACL methodpost metoda POST, itd - http_access negiraju (ime računala) methodpost sitemailru.

To su nijanse koje uključuje postavljanje Squid. Ubuntu koristi, Windows ili neki drugi operativni sistem kompatibilan sa proxy servera - mi smo smatrali posebno relevantnim postavkama posao općenito su tipični za bilo koji softver okoliš Squid funkcioniranje. Rad sa softverom - je nevjerojatno uzbudljiv proces i istovremeno jednostavna zahvaljujući dosljednosti i transparentnosti osnovne postavke programa algoritama.

Imajte na umu neke ključne točke specifične za podešavanje Squid.

Ono što tražiti prilikom postavljanja?

Ako postoji poteškoća u pronalaženju squid.conf fajl, koji je glavni konfiguracije poslužitelja alat, možete pokušati provjeriti direktoriju etc / lignje.

Najbolje od svega, ako se radi na datoteku u pitanju, vi ćete koristiti editor najjednostavniji tekst: ne treba da u liniji, je odgovoran za postavljanje proxy servera, pogodi bilo formatiranje.

U nekim slučajevima može biti potrebno raditi sa dobavljačem je naveden proxy servera. U tu svrhu cache_peer tim. Upisati to mora biti tako: cache_peer (server adresa ISP proxy).

U nekim slučajevima, korisno je popraviti količinu RAM-a, koja će koristiti Squid. Ovo se može postići cache_mem tima. Također je korisno odrediti direktorij u kojem se pohraniti keširane podatke, to se radi uz pomoć cache_dir izražavanja. U prvom slučaju, naredba će izgledati potpuno cache_mem (količina RAM-a u bajtovima) u drugom - kao cache_dir (direktorija adresa, broj megabajta prostora na disku). Preporučljivo je da se postavi keš na najviše diskova visokih performansi, ako postoji izbor.

Možda ćete morati da navesti računala koje imaju pristup proxy servera. To se može učiniti korištenjem ACL komandi dozvoljeno Domaćini src (IP-adresu spektar računala), kao i ACL localhost src (lokalna adresa).

Ako su veze koriste, kao što su SSL luke, mogu se zaključati sa komandom ACL ssl_ports port (Port indikacija). U isto vrijeme, možete spriječiti korištenje CONNECT metoda za ostale luke, osim onih koji su navedeni u sigurnu SSL vezu. To će pomoći da se izraz http_access negiraju CONNECT! SSL_Ports.

Lignje i PfSense

U velikom broju slučajeva kojima se bavi proxy servera koji se koristi PfSense sučelje se koristi kao efikasan firewall. Kako organizirati svoj rad zajedno? Algoritam za rješavanje ovog problema nije previše teško.

Prvo, moramo raditi u PfSense sučelje. The Squid, čija konfiguracija je implementiran od strane nas, morat ćete instalirati preko SSH-timova. Ovo je jedan od najviše odgovara i najsigurnijih načina za rad sa proxy servera. Da biste to učinili morate aktivirati sučelje u Enable Secure Shell. Da ga pronaći, morate izabrati izbornika System, a zatim - Advanced, poslije - Admin Access.

Onda morate preuzeti PuTTI - praktičnu aplikaciju za rad sa SSH. Zatim, pomoću konzole, trebate instalirati Squid. To se lako postiže uz pomoć -pkg instalirati lignje komandu. Nakon toga, morate također instalirati proxy kroz PfSense web sučelja. Lignje (podešavanje parametara u ovoj fazi se ne izvodi) može biti instaliran izborom stavke sustava izbornika, zatim paketi, nakon - dostupne pakete. U odgovarajuće polje treba da bude pristupačan paket Squid stabilna. Odaberite ga. Potrebno je postaviti sljedeće postavke: Proxy Sučelje: LAN. Za razliku od Transparent proxy linije mogu nervira. Odaberite adresu za dnevnik i obratite pažnju na ruskom jeziku kao najpovoljniji. Kliknite na Save.

Alat za optimizaciju resursa

Podešavanje Squid omogućava sistem administratorima da efikasno alocira resurse na serveru. To je, u ovom slučaju se ne radi o zabrani pristup bilo kojem mjestu, ali je intenzitet uključenosti kanala određenog korisnika ili grupa može tvrditi kontrole. Smatra program omogućava riješiti ovaj problem na nekoliko načina. Prvo, to je uključivanje mehanizama caching: u nevolji na račun datoteka ponovno skidanje sa interneta, kao da se smanji opterećenje na saobraćaj. Drugo, to ograničava pristup mreži tokom vremena. Treće, je za određivanje graničnih vrijednosti za brzinu prijenosa podataka na mreži u odnosu na postupke pojedinih korisnika ili određene vrste preuzete datoteke. Razmislite o ovih mehanizama više detalja.

Optimizirati mrežne resurse od caching

Struktura mrežnog prometa, postoje mnoge vrste datoteka, uključenih nepromijenjen. To jest, kad ih upload na računalu, korisnik ne može ponoviti odgovarajuće operacije. Lignje program pruža fleksibilnu konfiguraciju datoteka, kao što server motor priznanje.

Dovoljno korisna opcija smo istraživali proxy servera - provjeriti starost datoteka u kešu. Objekte koji su predugo su raspoređeni u memoriji području treba ažurirati. Angažovanje ovu opciju je moguće pomoću refresh_pattern tim. Dakle, u potpunosti izraz može izgledati kao refresh_pattern (minimalni vremenski period - u minutama, maksimalno proporcija "svježe" slike -%, maksimalni period). U skladu s tim, ako je datoteka u cache duže od navedenih kriterija, onda možda ćete morati preuzeti svoju novu verziju.

Optimizacija resursa ograničavanjem vremena pristupa

Druga opcija koje možete koristiti zbog mogućnosti Squid-Proxy, - ograničenje korisnički pristup mrežnim resursima tokom vremena. Set koristeći vrlo jednostavan komandu: ACL (ime računala) vrijeme (dan, sat, minuta). Pristup može biti ograničena za bilo koji dan u tjednu, zamjenjujući "dan" prvo slovo riječi koja odgovara ime na engleskom alfabetu. Na primjer, ako je to u ponedjeljak - M ako u utorak je T. Ako ekipa nije riječ "dan", a zatim odgovarajući zabrana je postavljen za cijeli tjedan. Zanimljivo je da možete podesiti ulazak raspored u na korisnikovu mrežu uz pomoć različitih programa.

Optimizacija resursa kroz ograničenje brzine

Prilično često opcija - optimizaciju resursa podešavanjem dozvoljena brzina razmjene podataka unutar mreže. Mi proučavaju proxy servera - zgodan alat za ovaj zadatak. Uredba razmjene podataka u brzini mreže pomoću takve parametre delay_class, delay_parameters, delay_access, i delay_pools elementa. Sva četiri komponente su od suštinskog značaja da odgovori na izazove s kojima se suočavaju sistem administratori u pogledu optimizacije mrežnih resursa.