Cấu hình Squid cho người mới bắt đầu. Làm thế nào để cấu hình Squid proxy máy chủ

Squid - phổ biến trong lập trình viên, quản trị hệ thống và mạng lưới những người đam mê máy tính giải pháp cho việc tạo ra một proxy và quản lý hiệu quả. Chương trình này đặc biệt hấp dẫn bởi vì nó là cross-platform. Đó là, cài đặt và chạy nó như bạn có thể trong Linux và các hệ điều hành khác, kiến trúc Unix thích hợp, và trong Windows. Các khả năng của các nhạc cụ - nổi bật nhất. Làm thế nào họ có thể tham gia? Có bất kỳ tính năng trong chương trình của bạn tùy thuộc vào hệ điều hành?

Thông tin chung về Squid

Squid là gì? Dưới tên này nó được biết đến với máy chủ proxy đặc biệt hiệu quả bạn sử dụng thường xuyên nhất với khách hàng web. Với nó, bạn có thể tổ chức kết nối Internet đồng thời cho nhiều người dùng. Mực Một tính năng đáng chú ý là nó có thể lưu các yêu cầu khác nhau. Điều này làm cho nó có thể thúc đẩy sự nhận được hồ sơ, như tái tải chúng từ Internet là không cần thiết. Các máy chủ proxy cũng có thể điều chỉnh các kênh tốc độ Internet Squid khi tương ứng với tải trọng thực tế.

Mực được thích nghi để sử dụng trên Unix-nền tảng. Tuy nhiên, có các phiên bản của Squid cho Windows, và nhiều hệ điều hành phổ biến khác. Chương trình này, cũng như nhiều hệ điều hành dựa trên khái niệm Unix là miễn phí. Nó hỗ trợ các giao thức HTTP, FTP, SSL, bạn có thể cấu hình kiểm soát chặt hơn quyền truy cập vào các tập tin. Mực cũng ghi lại trong các yêu cầu DNS cache. Có thể cấu hình và minh bạch Squid-proxy, đó là máy chủ trong một định dạng mà người dùng không biết rằng truy cập mạng qua nó, nhưng không trực tiếp. Như vậy, Squid - một công cụ mạnh trong tay của người quản trị hệ thống hay người cung cấp dịch vụ truyền thông.

Các tiện ích thiết thực của Squid

Trong một số trường hợp, Squid có thể hữu ích nhất? Ví dụ, nó có thể là một nhiệm vụ mà bạn cần phải thực hiện một cách hiệu quả hội nhập của nhiều máy tính trên một mạng lưới và cung cấp cho họ truy cập Internet. Tính khả thi của việc sử dụng trong trường hợp này một máy chủ proxy là các cuộc gọi giữa ông và PC cụ thể trình duyệt nhanh hơn trong trường hợp của sự tương tác của người dùng với Internet trực tiếp. Ngoài ra, khi sử dụng Squid bộ nhớ cache trong trình duyệt có thể được tắt hoàn toàn. Một chức năng tương tự là rất phổ biến trong môi trường người sử dụng.

Thành phần Squid

Quyết định trong câu hỏi bao gồm một số thành phần. Trong thực tế, gói phần mềm này. Trong cấu trúc của nó - các ứng dụng mà theo đó các máy chủ được bắt đầu, cũng như bổ sung cho chương trình của mình để làm việc với DNS. Một tính năng thú vị của nó là nó bắt đầu quy trình, mỗi trong số đó hoạt động độc lập. Điều này làm cho nó có thể để tối ưu hóa sự tương tác với các máy chủ DNS.

Cài đặt chương trình

Cài đặt Squid thường không gây ra bất kỳ khó khăn. Rất dễ dàng để đưa vào một chương trình Linux: chỉ cần nhập vào lệnh $ sudo apt-get install mực.

Đối với Squid cho Windows, bạn là tất cả phức tạp hơn một chút. Thực tế rằng chương trình này không phải là các file thực thi - các yếu tố cơ bản của ứng dụng dành cho Windows từ Microsoft.

Tuy nhiên, lắp đặt Squid Trên Windows - vấn đề được giải quyết khá nhanh chóng. Nó là cần thiết để tìm trang web squid-cache.org hoặc các nguồn lực có liên quan đến nó phân phối chứa file .bat loại một cái gì đó gần với Windows thực thi thông thường. Sau đó, bạn phải sao chép chúng vào một thư mục trên đĩa. Sau đó, bạn cần phải chạy Squid như một dịch vụ hệ thống. Sau đó, chương trình có thể được sử dụng như một proxy trong PC của trình duyệt. Chúng tôi có thể nói rằng trong bối cảnh này Squid hoàn thành.

Proxy phân phối hầu như luôn luôn có chứa các cấu hình loại tập tin conf. Đây là công cụ chính của thiết lập quyền truy cập vào Internet từ máy tính của bạn và các thiết bị khác kết nối với mạng nội bộ với sự tham gia của Squid.

thiết lập sắc thái

sắc thái có thể bao gồm việc thiết Squid là gì? Windows - một hệ điều hành, mà làm việc với một máy chủ proxy sẽ được thực hiện bằng cách chỉnh sửa các tập tin cấu hình.

Trong trường hợp của Linux, bạn có thể sử dụng dòng lệnh cho một số thủ tục. Nhưng nói chung, trong hệ điều hành, cũng như trong trường hợp hệ điều hành, mà đang được cấu hình Squid, - Windows, thường xuyên nhất kích hoạt tập tin squid.conf. Nó giải thích rõ ràng biểu hiện nhất định ( "Team"), theo đó các máy chủ quản lý thực hiện việc kết nối mạng.

Xem xét, do đó, làm thế nào các chi tiết thiết lập Squid. Điều đầu tiên bạn muốn cho phép người sử dụng mạng để truy cập vào máy chủ. Để làm điều này, đặt trong squid.conf nộp các giá trị thích hợp trong http_port, cũng như trong http_access. Nó cũng rất hữu ích để tạo ra một danh sách để kiểm soát truy cập, hoặc ACL. thiết lập http_port rất quan trọng đối với chúng tôi, như là nhiệm vụ của chúng tôi - để chuẩn bị Squid chỉ phục vụ một nhóm cụ thể của máy tính. Đến lượt mình, một tham số như http_access, là rất quan trọng, bởi vì với nó, chúng ta có thể kiểm soát quyền truy cập vào tài nguyên mạng cụ thể, yêu cầu từ địa chỉ nào đó (và có thể là các tiêu chuẩn khác - các giao thức, cổng và các tài sản khác chứa trong ACL).

Làm thế nào để đưa những điều chỉnh cần thiết? Làm cho nó rất đơn giản.

Hãy nói rằng chúng tôi đã tạo ra một mạng máy tính với một loạt các địa chỉ bắt đầu với 192.168.0.1 và kết thúc với 192.168.0.254. Trong trường hợp này, các tùy chọn sau đây nên được đặt trong ACL-settings: src 192.168.0.0/24. Nếu chúng ta cần phải cấu hình các cổng, các tập tin cấu hình là cần thiết để ghi lại http_port 192.168.0.1 (chỉ nên xác định chính xác địa chỉ IP) và nhập vào số cổng.

Để hạn chế truy cập vào tạo sử dụng Squid proxy (không bao gồm máy tính trong một mạng nội bộ), bạn phải thay đổi các http_access. Này được thực hiện đơn giản - với sự giúp đỡ của các biểu thức ( "lệnh" - đồng ý để gọi cho họ như vậy, mặc dù, nói đúng ra, trong văn bản như vậy họ không, nhưng trong dòng thiết bị đầu cuối sẽ là khá phù hợp với họ) cho phép LocalNet và phủ nhận tất cả. Điều quan trọng là để đặt các tham số đầu tiên lớn hơn thứ hai, kể từ Squid sẽ nhận ra chúng lần lượt.

Làm việc với ACL: từ chối truy cập đến các trang web

Trên thực tế, các thiết lập quyền truy cập có thể xảy ra trong Squid trong một phổ rất rộng. Hãy xem xét các ví dụ hữu ích trong việc thực hành quản lý mạng lưới khu vực địa phương.

Đủ yếu tố nhu cầu src. Với nó, bạn có thể khóa các địa chỉ IP của máy tính đang đưa ra yêu cầu đến máy chủ proxy. Kết hợp các yếu tố của src để http_access có thể, ví dụ, cho phép truy cập cho người dùng cụ thể, nhưng cấm hành động tương tự đối với phần còn lại. Này được thực hiện rất đơn giản.

Viết một ACL (tên của nhóm người dùng) src (khoảng thời gian địa chỉ IP thuộc các quy định). Dòng dưới đây - ACL (tên của một máy tính cụ thể) src (địa chỉ IP của máy tính). Sau đó chúng tôi đã chạy từ http_access. Đặt phép nhập mạng cho người sử dụng và một nhóm máy tính duy nhất thông qua đội http_access cho phép. Dòng bên dưới sửa chữa truy cập vào các máy tính khác trên mạng đã bị đóng từ chối tất cả các lệnh.

cấu hình proxy Squid cũng đòi hỏi sự tham gia của các yếu tố hữu ích khác được cung cấp cho hệ thống kiểm soát truy cập, - dst. Nó cho phép bạn khóa các máy chủ địa chỉ IP, mà người dùng muốn kết nối với proxy.

Với sự giúp đỡ của nguyên tố này, chúng ta có thể, ví dụ, để hạn chế quyền truy cập vào một subnet cụ thể. Để làm điều này, bạn có thể sử dụng ACL lệnh (mạng định) dst (subnet IP-address), dòng dưới đây - http_access từ chối (tên của một máy tính cụ thể trên mạng).

Một yếu tố hữu ích - dstdomain. Nó sẽ cho phép chúng ta sửa chữa các miền mà người dùng muốn kết nối. Đi xe đạp các yếu tố trong câu hỏi, chúng ta có thể giới hạn truy cập của người sử dụng, ví dụ, để tài nguyên Internet bên ngoài. Để làm điều này, bạn có thể sử dụng lệnh: ACL (nhóm các khu vực) dstdomain (địa chỉ trang web), dòng dưới đây - http_access từ chối (tên máy tính trên mạng).

Có những yếu tố đáng chú ý khác trong cấu trúc của hệ thống kiểm soát truy cập. Trong số những người - SitesRegex. Với biểu hiện này, chúng ta có thể hạn chế người dùng truy cập đến tên miền Internet có chứa một từ cụ thể, chẳng hạn như mail (nếu nhiệm vụ là để ngăn cấm nhân viên để xử lý máy chủ mail của bên thứ ba). Để làm điều này, bạn có thể sử dụng lệnh ACL SitesRegexMail dstdom_regex mail, sau đó ACL SitesRegexComNet dstdom_regex \ .com $ (điều này có nghĩa rằng việc tiếp cận sẽ đóng cửa cho các loại tương ứng của tên miền). Dòng dưới đây - http_accesss từ chối cho thấy các máy tính để từ đó truy cập vào mail server bên ngoài là không mong muốn.

Một số thành ngữ có thể sử dụng tùy chọn -i. Với nó, cũng như một yếu tố chẳng hạn như, ví dụ, url_regex, được thiết kế để tạo ra một mẫu cho một địa chỉ Web, chúng tôi có thể từ chối quyền truy cập vào các file có phần mở rộng nhất định.

Ví dụ, sử dụng lệnh mail -i ACL NoSwfFromMail url_regex. * \. Swf $ chúng ta điều trông cậy vào các trang web bưu chính trong cấu trúc trong đó có Flash-con lăn. Nếu không có nhu cầu để đưa vào các tên miền thuật toán truy cập của trang web, bạn có thể sử dụng urlpath_regex biểu. Ví dụ, như một đội ACL phương tiện truyền thông urlpath_regex -i \ .wma $ \ .mp3 $.

Chặn truy cập vào các chương trình

Cấu hình Squid cho phép bạn cấm người dùng truy cập vào một số chương trình với sự tham gia của các nguồn tài nguyên máy chủ proxy. Với mục đích này, có thể được sử dụng ACL lệnh (tên chương trình) cảng (phạm vi cảng), dòng dưới đây - http_access từ chối tất cả (tên chương trình).

tiêu chuẩn hấp dẫn và các giao thức

Cấu hình Squid cũng cho phép người quản trị hệ thống để thiết lập các giao thức thích hợp nhất là việc sử dụng các kênh Internet. Ví dụ, nếu có một nhu cầu cho một người với một máy tính truy cập đặc biệt vào mạng thông qua giao thức FTP, bạn có thể sử dụng lệnh sau: ACL ftpproto ftp proto, dòng dưới đây - http_access từ chối (tên máy tính) ftpproto.

Bằng việc sử dụng phương pháp phần tử, chúng ta có thể xác định cách thức mà phải được thực hiện HTTP yêu cầu. Tổng cộng có 2 - GET hoặc POST, và trong một số trường hợp, nhưng nó được ưa thích là người đầu tiên và không phải là thứ hai, và ngược lại. Ví dụ, hãy xem xét một tình huống trong đó một người đặc biệt không nên xem mail thông qua mail.ru, nhưng sử dụng lao động của ông sẽ không phiền nếu một người muốn đọc tin tức trên trang web nói. Để làm điều này, người quản trị hệ thống có thể sử dụng lệnh sau: ACL sitemailru dstdomain .mail.ru, dòng dưới đây - ACL methodpost phương thức POST, vv - http_access từ chối (tên của máy tính) methodpost sitemailru.

Đây là những sắc thái đó bao gồm việc thiết lập Squid. Ubuntu được sử dụng, Windows, hoặc hệ điều hành khác tương thích với các máy chủ proxy - chúng tôi đã xem xét đặc biệt là thiết lập công việc có liên quan nói chung là điển hình cho bất kỳ môi trường phần mềm Squid hoạt động. Làm việc với các phần mềm - là quá trình vô cùng thú vị và đồng thời đơn giản nhờ tính nhất quán và minh bạch của các thuật toán thiết lập chương trình cơ bản.

Lưu ý một số điểm chính cụ thể để thiết lập Squid.

Những điều cần tìm khi thiết lập?

Nếu có khó khăn trong việc tìm kiếm tập tin squid.conf, đó là công cụ cấu hình máy chủ chính, bạn có thể thử để kiểm tra thư mục etc / mực.

Hay nhất của tất cả, nếu làm việc trên một tập tin trong câu hỏi, bạn sẽ sử dụng soạn thảo văn bản đơn giản nhất: không cần phải phù hợp, chịu trách nhiệm thiết lập các máy chủ proxy, nhấn bất kỳ định dạng.

Trong một số trường hợp nó có thể là cần thiết để làm việc với các nhà cung cấp đã được chỉ định máy chủ proxy. Với mục đích này có cache_peer đội. Ghi nó phải là như vậy: cache_peer (địa chỉ máy chủ proxy ISP).

Trong một số trường hợp, hữu ích để sửa chữa dung lượng RAM, mà sẽ sử dụng Squid. Điều này có thể được thực hiện bởi đội ngũ cache_mem. Nó cũng rất hữu ích để xác định thư mục trong đó để lưu trữ dữ liệu lưu trữ, nó được thực hiện với sự giúp đỡ của biểu cache_dir. Trong trường hợp đầu tiên, lệnh sẽ trông giống như một hoàn toàn cache_mem (dung lượng RAM bằng byte) trong lần thứ hai - như một cache_dir (địa chỉ thư mục, số lượng MB của không gian đĩa). Đó là khuyến khích để đặt một bộ nhớ cache trên hầu hết các ổ đĩa hiệu suất cao, nếu có một sự lựa chọn.

Bạn có thể cần phải xác định các máy tính có quyền truy cập đến máy chủ proxy. Điều này có thể được thực hiện bằng cách sử dụng lệnh ACL cho phép host src (dải địa chỉ IP của máy tính), cũng như ACL localhost src (local address).

Nếu các kết nối được sử dụng như cổng SSL, họ cũng có thể được khóa bằng lệnh ACL ssl_ports cổng (Port dấu hiệu). Đồng thời, bạn có thể ngăn chặn việc sử dụng các phương pháp CONNECT cho các cổng khác, trừ các quy định tại các kết nối SSL an toàn. Điều này sẽ giúp để làm cho biểu http_access từ chối CONNECT! SSL_Ports.

Mực và pfSense

Trong một số trường hợp bị xử lý bởi máy chủ proxy sử dụng giao diện pfSense được sử dụng như một cách hiệu quả tường lửa. Làm thế nào để tổ chức công việc của họ với nhau? Thuật toán để giải quyết vấn đề này không phải là quá khó khăn.

Đầu tiên, chúng ta cần phải làm việc trong giao diện pfSense. Các Mực, có cấu hình đã được thực hiện bởi chúng tôi, bạn sẽ cần phải cài đặt thông qua SSH-đội. Đây là một trong những cách thuận tiện nhất và an toàn nhất để làm việc với máy chủ proxy. Để làm điều này bạn phải kích hoạt giao diện ở mục Enable Secure Shell. Để tìm thấy nó, bạn phải chọn menu System, sau đó - Advanced, sau - Admin Access.

Sau đó, bạn cần phải tải về PuTTY - ứng dụng thuận tiện để làm việc với SSH. Tiếp theo, sử dụng giao diện điều khiển, bạn cần phải cài đặt Squid. Điều này rất dễ thực hiện với sự giúp đỡ của -pkg cài đặt lệnh mực. Sau đó, bạn cũng phải cài đặt một proxy thông qua giao diện web pfSense. Squid (thiết lập các thông số ở giai đoạn này không được thực hiện) có thể được cài đặt bằng cách chọn mục trình đơn hệ thống, sau đó các gói, sau - Gói sẵn. Trong hộp thích hợp nên có thể truy cập gói Mực ổn định. Chọn nó. Nó là cần thiết để thiết lập các cài đặt sau: Giao diện Proxy: LAN. Ngược lại trong suốt dòng Proxy có thể đánh dấu tắt. Chọn địa chỉ cho các bản ghi và lưu ý tiếng Nga như là ưa thích. Nhấp vào Lưu.

Công cụ để tối ưu hóa các nguồn lực

Cấu hình Squid cho phép các quản trị viên hệ thống phân bổ hiệu quả các nguồn tài nguyên máy chủ. Đó là, trong trường hợp này, chúng ta không nói về cấm truy cập vào trang web bất kỳ, nhưng cường độ của sự tham gia của kênh bởi một người dùng hoặc nhóm cụ thể yêu cầu kiểm soát. Chương trình cho phép xem xét để giải quyết vấn đề này bằng nhiều cách. Thứ nhất, nó là cơ chế kích hoạt của bộ nhớ đệm: do tái tải này tập tin từ Internet sẽ không được yêu cầu để giảm gánh nặng cho giao thông. Thứ hai, nó được giới hạn truy cập vào mạng theo thời gian. Thứ ba, là thiết lập giới hạn giá trị cho tốc độ dữ liệu trên mạng liên quan đến hành động của một số người sử dụng hoặc một số loại tải file. Hãy xem xét các cơ chế này một cách chi tiết hơn.

Tối ưu hóa các tài nguyên mạng bằng bộ nhớ đệm

Cấu trúc của lưu lượng mạng, có rất nhiều loại tập tin, liên quan không thay đổi. Đó là, một lần tải chúng trên máy tính, người dùng không thể lặp lại các hoạt động tương ứng. Chương trình cung cấp mực file cấu hình linh hoạt như máy chủ cơ công nhận.

Đủ tùy chọn hữu ích, chúng tôi điều tra máy chủ proxy - kiểm tra các tập tin là tuổi trong bộ nhớ cache. Đối tượng được quá dài được bố trí tại khu vực bộ nhớ cần được cập nhật. Tham gia tùy chọn này có thể sử dụng đội refresh_pattern. Vì vậy, hoàn toàn biểu hiện có thể trông như refresh_pattern (độ dài tối thiểu của thời gian - trong vài phút, tỷ lệ tối đa của file "tươi" -%, thời gian tối đa). Theo đó, nếu tập tin trong bộ nhớ cache dài hơn tiêu chuẩn quy định, sau đó bạn có thể cần phải tải về phiên bản mới của nó.

Tối ưu hóa các nguồn lực bằng cách hạn chế thời gian truy cập

Một tùy chọn khác mà bạn có thể sử dụng vì những cơ hội Squid-Proxy, - những hạn chế của người sử dụng truy cập vào tài nguyên mạng theo thời gian. Đặt nó sử dụng một lệnh rất đơn giản: ACL (tên máy tính) thời gian (ngày, giờ, phút). Truy cập có thể được hạn chế cho bất kỳ ngày nào trong tuần, thay thế "ngày" người đầu tiên chữ cái của từ tương ứng để nó tên trong tiếng Anh chữ cái. Ví dụ, nếu đó là Thứ Hai - M nếu Thứ ba là T. Nếu nhóm không phải là chữ "ngày", sau đó việc cấm tương ứng được thiết lập cho cả tuần. Điều thú vị là bạn cũng có thể điều chỉnh các mục nhập lịch ở tại mạng người sử dụng với sự giúp đỡ của các chương trình khác nhau.

Tối ưu hóa các nguồn lực thông qua việc giới hạn tốc độ

lựa chọn khá phổ biến - tối ưu hóa các nguồn lực bằng cách điều chỉnh tốc độ cho phép trao đổi dữ liệu trong mạng. Chúng tôi đang nghiên cứu một máy chủ proxy - một công cụ hữu ích cho công việc này. mạng thông tin điều khiển tốc độ bằng cách sử dụng các thông số như delay_class, delay_parameters, delay_access, cũng như thông qua delay_pools phần tử. Tất cả bốn thành phần là rất cần thiết để đáp ứng những thách thức phải đối mặt bởi người quản trị hệ thống trong các khía cạnh của việc tối ưu hóa các tài nguyên mạng.