Configurar Squid para comezar. Como configurar o servidor proxy Squid

Squid - común entre os programadores, administradores de sistema e ordenador solución entusiastas redes para a creación dun proxy e xestión eficaz. O programa é especialmente atractivo porque é multiplataforma. É dicir, instalar e executa-lo como pode noutros sistemas operativos Linux e, a arquitectura Unix é o caso, e en Windows. As posibilidades do instrumento - o máis notable. Como poden estar implicados? Hai algunha característica no seu programa, dependendo do sistema operativo?

Información xeral sobre o Squid

Que é Squid? Baixo este nome é coñecido por servidor proxy particularmente eficaz que usa con máis frecuencia cos clientes web. Con el podes organizar o acceso simultáneo a Internet para múltiples usuarios. Lula Outra característica notable é que pode almacenar na caché diferentes solicitudes. Isto fai posible para acelerar a recepción do ficheiro, como re-baixalos de internet non é necesario. O servidor proxy tamén pode axustar a canle de velocidade Squid cando correlacionando-a coa carga real.

Lula está adaptado para o seu uso en Unix-plataformas. Sen embargo, existen versións do Squid para Windows, e moitos outros sistemas operativos. Este programa, así como varios sistemas operativos baseados en Unix concepto é gratuíto. Soporta protocolos HTTP, FTP, SSL, pode configurar un control granular sobre o acceso aos arquivos. Squid tamén rexistra nas peticións DNS cache. Pode configurar e transparente Squid-proxy, que é o servidor nun formato que o usuario non sabe que o acceso á rede por ela, pero non directamente. Así, Squid - unha ferramenta poderosa nas mans do administrador do sistema ou provedor de servizos de comunicacións.

A utilidade práctica de Squid

Nalgúns casos, Squid pode ser máis útil? Por exemplo, pode ser unha tarefa en que precisa para aplicar unha efectiva integración de varios ordenadores nunha rede e proporcionarlles acceso a Internet. A viabilidade do uso, neste caso, un servidor proxy é que as chamadas entre el e PC específico navegador é máis rápido que no caso da interacción do usuario coa internet directamente. Ademais, ao usar o caché Squid no navegador pode ser desactivado por completo. Unha función semellante é moi popular no ámbito de usuarios.

ingredientes Squid

A decisión en cuestión está composto por varios compoñentes. En realidade, este paquete de software. Na súa estrutura - a petición polo cal o servidor é iniciado, así como complementando o seu programa para traballar con DNS. Unha característica interesante é que comeza procesos, cada un dos cales opera de forma independente. Isto fai posible para optimizar a interacción co DNS servidor.

A instalación do programa

Instalar Squid xeralmente non causa ningunha dificultade. Moi fácil de poñer un programa Linux: escriba o comando $ sudo apt-get install squid.

Canto Squid para Windows, é todo un pouco máis complicado. O feito de que este programa non é arquivos executable - os elementos básicos de aplicacións para Windows de Microsoft.

Con todo, a instalación do Squid en Windows - problema resolto moi rapidamente. Cómpre atopar local squid-cache.org ou os recursos pertinentes a el contén distribución .bat ficheiros do tipo para algo próximo a un executábel Windows convencional. Despois diso, ten que copialos nun cartafol no disco. Entón tes que para realizar o Squid como un servizo do sistema. Despois diso, o programa pode ser usado como un proxy no PC navegador. Podemos dicir que neste escenario Squid rematada.

O proxy de distribución contén case sempre a configuración de tipo de ficheiro .conf. É a principal ferramenta de configuración do acceso a Internet dende o seu ordenador e outros dispositivos conectados á rede local coa implicación de Lula.

configuración matices

Cales son as pasaxes poden incluír a creación Squid? Windows - un sistema operativo, que traballan con un servidor proxy realizarase a editar os ficheiros de configuración.

No caso de Linux, pode utilizar a liña de comandos para algúns procedementos. Pero, en xeral, o sistema operativo, así como no caso de que o sistema operativo, que está a ser configuración Squid, - Windows, a maioría das veces activado ficheiro squid.conf. Expón certas expresións ( "Equipo"), baixo o cal o servidor de xestión fai a conexión de rede.

Considere-se, polo tanto, como os detalles de configuración do Squid. O primeiro que quere facer que os usuarios da rede para acceder ao servidor. Para iso, poñer no squid.conf ficheiro valores apropiados en http_port, así como en http_access. Tamén é útil para crear unha lista de control de acceso, ou ACL. configuración http_port son importantes para nós, como a nosa tarefa - para preparar Squid só para atender a un determinado grupo de computadores. Pola súa banda, tal parámetro como o http_access, é importante, xa que con el, podemos controlar o acceso a recursos de rede específicos, solicitada desde determinados enderezos (e posiblemente outros criterios - os protocolos, portos e outras propiedades contidas na ACL).

Como poñer os axustes necesarios? Facelo moi sinxelo.

Imos dicir que creamos unha rede de ordenadores, cun intervalo de enderezos que comezan con 192.168.0.1 e terminando con 192.168.0.254. Neste caso, a opción a seguir debe ser definido en ACL-configuracións: src 192.168.0.0/24. Se cómpre configurar o porto, o ficheiro de configuración é necesario para gravar http_port 192.168.0.1 (só debe especificar o enderezo IP correcto) e escriba o número do porto.

A fin de restrinxir o acceso ao proxy creado usando Squid (non incluídos ordenadores nunha rede local), ten que facer cambios no http_access. Isto faise simplemente - coa axuda de expresións ( "comandos" - acordan chamalos así, aínda que, estritamente falando, no texto non son, pero nun ventá de terminal para cumprir integramente con eles) permiten localnet e negar todo. É importante poñer o primeiro parámetro é maior que o segundo, xa que o Squid pode recoñece-los á súa vez.

Traballando con ACL: negar o acceso a sitios

De feito, as opcións de acceso son posibles en Squid nun espectro moi amplo. Considero os exemplos útiles para a práctica da xestión de redes de área local.

Chega elemento src demanda. Con el, pode bloquear a dirección IP do ordenador que está a facer a solicitude ao servidor proxy. Combinando elementos de src para http_access pode, por exemplo, para permitir o acceso ao usuario específico, pero para prohibir accións similares ao resto. Isto faise de xeito moi sinxelo.

Escribir ACL (o nome dun grupo de usuarios) src (franxa de enderezo IP que se enmarcan no ámbito da normativa). Liña de código - ACL (o nome dun determinado ordenador) src (dirección IP do ordenador). Despois de que temos en marcha desde http_access. permiso para entrar na rede para o usuario e un único grupo PC a través de equipos http_access Allow definido. Liña de código corrección que acceder outros computadores da rede péchase negar todo o comando.

configuración do proxy Squid tamén require implicación doutros elementos útiles ofrecidos para o sistema de control de acceso, - DST. Permite que bloquee o enderezo ID do servidor, para o cal o usuario desexa conectarse ao proxy.

Coa axuda do elemento, podemos, por exemplo, restrinxir o acceso a unha subrede particular. Para iso, pode utilizar o comando ACL (designación de rede) Internet (sub-rede IP-address), a liña de código - http_access Deny (o nome dun equipo específico na rede).

Outro elemento útil - dstdomain. El nos permitirá resolver o dominio ao que o usuario desexe conectarse. Ciclismo o elemento en cuestión, podemos limitar o acceso dun usuario, por exemplo, aos recursos da Internet externas. Para iso, pode utilizar o comando: ACL (grupo de locais) dstdomain (enderezo do web), a liña de código - http_access Deny (o nome do ordenador na rede).

Existen outros elementos notables na estrutura do sistema de control de acceso. Entre aqueles - SitesRegex. Con esta expresión, podemos restrinxir o acceso do usuario para dominios de Internet que conteñan a palabra específica, tales como correo electrónico (se a tarefa é prohibir funcionarios para xestionar servidores de correo de terceiros). Para iso, pode utilizar o comando ACL SitesRegexMail dstdom_regex correo, a continuación, o ACL SitesRegexComNet dstdom_regex \ .com $ (o que significa que o acceso estará pechado para os seus tipos de dominios). Liña de código - http_accesss negar indicando os ordenadores dos cales o acceso ao servidor de correo externo é indesexable.

Algunhas expresións poden usar a opción -i. Con el, así como un elemento, como, por exemplo, url_regex, destinada a crear un modelo para un enderezo web, podemos negar o acceso a arquivos cunha determinada extensión.

Por exemplo, usando o ACL NoSwfFromMail url_regex comando de correo -i. * \. Swf $ regulamos recorrer a sitios de postais na estrutura dos cales hai flash-rolos. Se non o houbera necesidade de incluír o nome do dominio acceso algoritmos do sitio web, pode utilizar o urlpath_regex expresión. Por exemplo, como un medio ACL equipo urlpath_regex -i \ .wma $ \ .mp3 $.

Bloqueando o acceso a programas

Configurar o Squid permite prohibir aos usuarios acceso a determinados programas coa participación dos recursos do servidor proxy. Para este fin, pode ser usado mando ACL (nome do programa) Port (intervalo de portos), a liña de código - http_access Deny All (nome do programa).

normas e protocolos de Penetración

Configurar o Squid tamén permite que o administrador do sistema para establecer o protocolo preferido é o uso da canle de Internet. Por exemplo, se hai unha necesidade de unha persoa con acceso PC especial á rede a través do protocolo FTP, pode utilizar o seguinte comando: ACL ftpproto ftp proto, a liña de abaixo - http_access Deny (o nome do computador) ftpproto.

Usando o método dos elementos, podemos especificar a forma como debe ser realizada HTTP-solicitude. Un total de 2 - get ou post, e, nalgúns casos, pero é preferible o primeiro e non o segundo, e viceversa. Por exemplo, considerada unha situación na que unha persoa en particular non debe ver electrónico mediante mail.ru, pero o empresario non lle importaría se unha persoa quere ler noticias sobre o referido sitio. Para iso, o administrador do sistema pode utilizar o seguinte comando: ACL sitemailru dstdomain .mail.ru, a liña de abaixo - ACL methodpost método POST, etc. - http_access Deny (o nome do computador) methodpost sitemailru.

Estes son matices que implica a definición Squid. Ubuntu é usado, Windows ou outros sistemas operativos compatibles co servidor proxy - que consideramos particularmente as opcións de traballo relevantes en xeral son típicas para calquera ámbito de software Squid funcionamento. Traballar co software - é un proceso incrible emocionante e á vez simple en virtude da coherencia e da transparencia dos algoritmos básicos de configuración do programa.

Observe algúns puntos clave específicas para configuración Squid.

Que a buscar ao configurar?

Se hai dificultade para atopar arquivo squid.conf, que é a ferramenta de configuración do servidor principal, pode tentar comprobar o directorio etc / squid.

O mellor de todo, se traballar nun arquivo en cuestión, vai usar o editor de texto máis simple: non precisa en liña, é responsable de establecer o servidor proxy, bater calquera formato.

Nalgúns casos, pode ser necesario traballar co provedor foi especificado servidor proxy. Para este efecto, hai cache_peer equipo. Rexístrate debe ser así: cache_peer (enderezo do servidor proxy ISP).

Nalgúns casos, útil para fixar a cantidade de memoria RAM, que usará Squid. Isto pode ser feito polo equipo cache_mem. Tamén é útil para especificar o directorio no que almacenar os datos na caché, que está feito coa axuda de expresión cache_dir. No primeiro caso, a orde será semellante a un cache_mem completamente (a cantidade de memoria RAM en bytes) no segundo - como unha cache_dir (enderezo do directorio, o número de megabytes de espazo en disco). É aconsellable poñer un caché no que a maioría dos discos de alto rendemento, se hai unha opción.

Pode ser necesario especificar os ordenadores que teñen acceso ao servidor proxy. Isto pode ser feito empregando comandos ACL permitidos anfitrións src (franxa de enderezos IP dos ordenadores), así como ACL localhost src (enderezo local).

As conexións son utilizados, tales como portas SSL, eles tamén poden ser bloqueados coa porta de comandos de LCA SSL_ports (indicación Port). Ao mesmo tempo, pode evitar o uso de método CONNECT para os outros portos, ademais dos especificados na conexión segura SSL. Isto vai axudar a facer a expresión http_access Deny CONNECT! SSL_ports.

Luras e pfSense

Nun número de casos tratados polo servidor proxy usado interface do pfSense é usado como un eficaz cortalumes. Como organizar o seu traballo en conxunto? O algoritmo para resolver este problema non é moi difícil.

En primeiro lugar, necesitamos traballar na interface do pfSense. O Squid, cuxa configuración implementado por nós, ten que instalar mediante SSH-equipos. Esta é unha das formas máis cómodo e seguro para traballar con servidores proxy. Para iso ten que activar a interface en Activar segura de shell. Para atopalo, ten que seleccionar o menú do sistema, entón - avanzado, despois de - Admin Access.

Entón tes que facer a descarga PuTTY - aplicación conveniente para traballar con SSH. A continuación, usando a consola, ten que instalar o Squid. Isto é facilmente feito coa axuda de -pkg instalar mando Lula. Despois diso, tamén debe instalar un proxy a través da interface web pfSense. Squid (definindo os parámetros nesta fase non é executada) poden ser instalados seleccionando o elemento de menú do sistema, a continuación, os paquetes, tras - paquetes dispoñibles. No cadro axeitada debe ser accesible paquete Squid Estable. Selecciona-lo. Cómpre definir as seguintes opcións: Interface de Proxy: LAN. En contraste liña proxy transparente pode sinalar fóra. Seleccione a dirección para o rexistro e teña en conta o idioma ruso como o preferido. Prema Gardar.

Ferramenta para optimización de recursos

Configurar o Squid permite que os administradores do sistema para reservar de forma eficiente os recursos do servidor. É dicir, neste caso, non estamos a falar de prohibir o acceso a calquera sitio, pero a intensidade do compromiso da canle por un usuario ou grupo en particular pode reclamar o control. programa proposto permite solucionar este problema de varias maneiras. En primeiro lugar, é a implicación de mecanismos de caché: na necesidade a costa de descarga de arquivos re-desde a Internet, de forma a reducir a carga sobre o tráfico. En segundo lugar, está a limitar o acceso á rede ao longo do tempo. En terceiro lugar, é establecer valores límite para o tipo de datos na rede en relación ás accións de certos grupos ou certos tipos de ficheiros descargados. Considero estes mecanismos en máis detalles.

Optimizar recursos de rede, almacenamento na caché

A estrutura do tráfico de rede, hai moitos tipos de ficheiros, os implicados inalteradas. É dicir, unha vez de envialas no ordenador, o usuario non poderá repetir a operación correspondente. programa Squid ofrece arquivos de configuración flexibles, tales servidor mecanismo de recoñecemento.

opción útil de abondo investigamos o servidor proxy - comprobe a idade do ficheiro está na caché. Obxectos que son moi longa están dispostas na área de memoria debe ser actualizado. Engajar-se esta opción é posíbel usar equipo refresh_pattern. Entón, totalmente expresión pode parecer refresh_pattern (a lonxitude mínima de tempo - en cuestión de minutos, a proporción máxima de ficheiros "frescos" -%, o período máximo). Así, se o ficheiro está na caché máis que os criterios especificados, entón pode ter baixar a súa nova versión.

Optimización dos recursos ao limitar o tempo de acceso

Outra opción que pode usar por mor das oportunidades Squid-Proxy, - a restrición de acceso do usuario aos recursos da rede ao longo do tempo. Configure-lo usando un comando moi simple: ACL tempo (nome do ordenador) (día, hora, minuto). O acceso pode ser restrinxida por calquera día da semana, substituíndo "día" a primeira letra da palabra correspondente ao seu nome no alfabeto inglés. Por exemplo, se é luns - M se martes é T. Se o equipo non é a palabra "día", a continuación, a prohibición correspondente defínese para toda a semana. É interesante que tamén pode axustar a entrada cronograma en polo usuario da rede coa axuda de varios programas.

Optimización dos recursos a través do límite de velocidade

opción moi común - optimización dos recursos, axustando a velocidade permitida de intercambio de datos dentro da rede. Estamos estudando un servidor proxy - unha ferramenta útil para esta tarefa. Regulamento de intercambio de datos na velocidade da rede, empregando parámetros como delay_class, delay_parameters, delay_access, e polo elemento delay_pools. Todos os catro compoñentes son esenciais para afrontar os retos enfrontados polos administradores de sistema no aspecto da optimización de recursos de rede.