Nastavení Squid pro začátečníky. Jak konfigurovat server Squid proxy

Oliheň - běžný mezi programátory, správce systémů a počítačových sítí nadšenců řešení pro vytvoření účinné proxy a řízení. Program je zvláště atraktivní, protože to je cross-platform. To znamená, nainstalovat a spustit jej, jak můžete v systému Linux a ostatní operační systémy, Unix architektury je to vhodné, a v systému Windows. Možnosti nástroje - nejvýraznější. Jak se mohou zapojit? Existují nějaké funkce v programu v závislosti na použitém operačním systému?

Obecné informace o Squid

Co je chobotnice? Pod tímto názvem je známá především efektivní proxy server, který používáte nejčastěji s webovými klienty. S ním můžete uspořádat simultánní přístup k internetu pro více uživatelů. Chobotnice Dalším pozoruhodným rysem je, že může mezipaměti různé požadavky. To umožňuje, aby urychlila přijetí souboru, jako re-si je stáhnout z internetu není nutné. Proxy server může také nastavit Squid Internet Speed kanál při korelaci ji s aktuálním zatížení.

Chobotnice je upravena pro použití typu Unix platformách. Nicméně, tam jsou verze Squid pro Windows, a mnoho dalších populárních operačních systémů. Tento program, stejně jako více operačních systémů na bázi Unixu konceptu je zdarma. To podporuje protokoly HTTP, FTP, SSL, můžete nakonfigurovat granulární kontrolu nad přístupem k souborům. Chobotnice také zaznamenává v žádostech DNS cache. Je možné konfigurovat a transparentní Squid proxy, že je server ve formátu, kde uživatel nemá vědět, že přístup k síti přes to, ale ne přímo. Tak, Squid - mocný nástroj v rukou správce systému nebo poskytovatele komunikačních služeb.

Praktická využitelnost Squid

V některých případech, Squid může být nejužitečnější? Například to může být úkol, kterým je nutné zavést efektivní integraci více počítačů v síti a poskytnout jim přístup k Internetu. Možnost využití v tomto případě proxy server je, že hovory mezi ním a prohlížeče konkrétního PC je rychlejší než v případě interakce uživatele s internetem přímo. Také při použití Squid cache prohlížeče lze úplně vypnout. Podobná funkce je velmi populární v prostředí uživatele.

Složení Squid

Dotčené rozhodnutí se skládá z několika složek. Ve skutečnosti je tento software. Ve své struktuře - žádost, kterou se spustí server, stejně jako doplnění svůj program pro práci s DNS. Zajímavou vlastností je, že to začne procesy, z nichž každý působí nezávisle na sobě. To umožňuje optimalizovat interakci s serveru DNS.

Instalace programu

Instalace Squid obvykle nezpůsobuje žádné potíže. Velmi snadno nasadit na programu Linux: jednoduše zadejte příkaz sudo apt-get install chobotnice.

Pokud jde o Squid pro Windows, jsou trochu složitější. Skutečnost, že tento program není spustitelné soubory - základní prvky aplikací pro systém Windows od společnosti Microsoft.

Nicméně instalace Squid Na Windows - problém vyřešen poměrně rychle. Je nutné najít squid-cache.org stránky nebo příslušné zdroje na to distribuce, které obsahují BAT typ souborů na něco podobného konvenční spustitelný Windows. Za to, že musíte je zkopírovat do složky na disku. Pak budete muset spustit Squid jako systémová služba. Za to, že tento program může být použit jako proxy v prohlížeči počítače. Dá se říci, že v tomto nastavení Squid dokončena.

Distribuce Proxy téměř vždy obsahuje konfigurační soubor typu .conf. To je hlavním nástrojem, kterým se zřizuje přístup k Internetu z vašeho počítače a dalších zařízení připojených k místní síti se zapojením Squid.

nastavení nuance

Jaké jsou nuance mohou zahrnovat nastavení chobotnice? Windows - operační systém, pracující s proxy serverem bude probíhat úpravou konfiguračních souborů.

V případě operačního systému Linux, můžete použít příkazový řádek pro některé postupy. Ale obecně, v operačním systému, stejně jako v případě, že operační systém, který se bude konfigurace chobotnice, - Windows, nejčastěji aktivuje squid.conf souboru. To vysvětluje některé výrazy ( „Team“), na základě kterých management server připojení k síti.

Vezměme si proto, jak podrobnosti nastavení Squid. První věc, kterou chcete povolit uživatelům v síti přístup k serveru. Chcete-li to, dát do squid.conf podat příslušné hodnoty v http_port, stejně jako v http_access. To je také užitečné vytvořit seznam pro řízení přístupu nebo ACL. Nastavení http_port jsou pro nás důležité, protože náš úkol - připravit Squid pouze pro obsluhu zvláštní skupinu počítačů. Na druhé straně, takový parametr jako http_access, je důležité, protože s ním můžeme řídit přístup k určitým síťovým zdrojům, požadované od určitých adres (a možná i další kritéria - protokoly, přístavů a jiných vlastností obsažených v ACL).

Jak dát potřebné úpravy? Ať je to velmi jednoduché.

Řekněme, že jsme vytvořili počítačovou síť s rozsahem adres počínaje 192.168.0.1 a konče 192.168.0.254. V tomto případě následující možnost by měla být nastavena v ACL nastavení: src 192.168.0.0/24. Chceme-li se nakonfigurovat port, konfigurační soubor je nutné zaznamenat http_port 192.168.0.1 (by měl stanovit pouze správnou IP adresu) a zadejte číslo portu.

Aby bylo možné omezit přístup k vytvořené pomocí proxy serveru Squid (ne včetně počítačů v lokální síti), je nutné provést změny v http_access. To se provádí jednoduše - pomocí výrazů ( „příkazy“ - souhlasí s tím, aby jim zavolat tak, ačkoli, přísně vzato, v textu jako takové nejsou, ale v řadě terminálu by bylo zcela v souladu s nimi) umožňují LocalNet a popírat všechno. Je důležité umístit první parametr je větší než druhá, protože Squid Poznáte je podle pořadí.

Práce s ACL: odepřít přístup k webovým stránkám

Ve skutečnosti, nastavení přístupu je možné Squid ve velmi širokém spektru. Zvážit příklady použitelné v praxi řízení lokálních počítačových sítí.

Dostatečná poptávka src element. S ním můžete zablokovat IP adresu počítače, který je dělat požadavek na proxy server. Kombinuje prvky src na http_access může například umožnit přístup ke konkrétnímu uživateli, ale zakázat podobné akce pro zbytek. To se provádí velmi jednoduše.

Psaní ACL (název skupiny uživatelů) src (IP-adresa rozmezí, které spadají pod nařízení). Řádek níže - ACL (jméno konkrétního počítače) src (IP-adresa počítače). Poté, co jsme byli běží od http_access. Nastavit povolení ke vstupu do sítě pro uživatele a jednoho PC přes skupinu týmů http_access dovolit. Řádek pod oprava, která přístup k ostatním počítačům v síti je uzavřen popírají veškerou příkaz.

Squid nastavení proxy serveru vyžaduje také zapojení dalších užitečných prvků stanovených pro systém kontroly vstupu, - DST. To umožňuje uzamknout serveru IP adresu, na kterou se uživatel chce připojit k proxy.

S pomocí prvku můžeme například omezit přístup na konkrétní podsítě. Chcete-li to provést, můžete použít příkaz ACL (označení sítě) dst (subnet IP-adresy), řádek níže - http_access popírají (název konkrétní počítač v síti).

Dalším užitečným prvkem - dstdomain. To nám umožní opravit domény, ke kterému se uživatel chce připojit. Jízda na kole je prvek, můžeme omezit přístup uživatele, například na vnějších internetových zdrojů. Chcete-li to provést, můžete použít příkaz: ACL (skupina lokalit) dstdomain (website address), pod čarou - http_access popřít (název počítače v síti).

Existují i jiné pozoruhodné prvky ve struktuře systému pro kontrolu přístupu. Mezi těmi - SitesRegex. S tímto výrazem se můžeme omezit přístup uživatelů k internetovým doménám, které obsahují určité slovo, jako je pošta (je-li úkolem je zakázat zaměstnancům zvládnout poštovní servery třetích stran). Chcete-li to provést, můžete použít příkaz ACL SitesRegexMail dstdom_regex mailu, poté ACL SitesRegexComNet dstdom_regex \ .com $ (to znamená, že přístup bude uzavřen pro jednotlivé typy domén). Řádek pod - http_accesss popřít uvedením počítačů, ze kterých přístup k externím poštovním serveru je nežádoucí.

Některé výrazy lze použít volbu -i. S ním, stejně jako prvek, jako je například url_regex, jejichž účelem je vytvořit šablony pro webové adresy, můžeme odepřít přístup k souborům s určitou příponou.

Například pomocí ACL NoSwfFromMail url_regex -i mailovou příkaz. * \. Swf $ regulujeme uchýlit k poštovní místech ve struktuře kterých je flash válečky. Pokud není nutné zahrnout do názvu domény algoritmy přístupového místa, můžete použít výraz urlpath_regex. Například, jako ACL média týmu urlpath_regex -i \ wma $ \ $ .mp3.

Blokuje přístup k programům

Konfigurace Squid umožňuje zakázat uživatelům přístup k některým programům se zapojením prostředků proxy serveru. Pro tento účel lze použít příkaz ACL (název programu) port (rozsah portů), pod čarou - http_access popřít vše (název programu).

Poutavé standardy a protokoly

Konfigurace Squid také umožňuje správci systému nastavit preferovaný protokol je využití internetového kanálu. Například, pokud je potřeba, aby osoby se zvláštním přístupem počítače k síti pomocí protokolu FTP, můžete použít následující příkaz: ACL ftpproto Proto ftp, pod čarou - http_access popírají (název počítače) ftpproto.

Pomocí metody element, můžeme určit, jakým způsobem by měl být proveden HTTP požadavek. Celkem 2 - GET nebo POST, a v některých případech je však výhodné první a ne druhá a naopak. Zvažte například situaci, ve které by se určitá osoba není prohlížení pošty přes mail.ru, ale jeho zaměstnavatel nebude vadit, když se člověk chce číst zprávy na uvedeném místě. Chcete-li to provést, může správce systému použít následující příkaz: ACL sitemailru dstdomain .mail.ru, řádek níže - ACL methodpost metoda POST, atd. - http_access popírají (název počítače) methodpost sitemailru.

Jsou to nuance, které zahrnuje nastavení Squid. Ubuntu je použit Windows nebo jiné operační systémy kompatibilní s proxy serverem - jsme se zabývali zejména příslušná nastavení úlohy obecně jsou typické pro jakýkoli software prostředí Squid fungování. Pracovat se softwarem - je neuvěřitelně vzrušující proces a zároveň jednoduché díky důslednosti a transparentnosti základní nastavení programu algoritmů.

Poznámka: některé klíčové body specifické nastavení Squid.

Na co se zaměřit při nastavování?

Není-li potíže při hledání squid.conf soubor, který je hlavním konfiguraci serveru nástroj, můžete se pokusit zjistit adresář etc / chobotnice.

Nejlepší ze všeho je, pokud pracujete na souboru se jedná, budete používat nejvíce jednoduchý textový editor: nepotřebují v řadě, je zodpovědný za nastavení proxy serveru, hit veškeré formátování.

V některých případech může být nutné pracovat s provozovatelem byl zadán proxy server. K tomuto účelu cache_peer týmu. Vepsat to musí být tak: cache_peer (adresa ISP proxy server).

V některých případech je vhodné stanovit množství paměti RAM, která bude používat Squid. To lze provést pomocí cache_mem týmem. Je také vhodné uvést adresář, do kterého se ukládají data z cache, je provedeno pomocí cache_dir projevu. V prvním případě bude příkaz vypadat úplně cache_mem (objem RAM v bytech), v druhé - jako cache_dir (adresa adresáře, počet megabajtů volného místa na disku). Je vhodné umístit cache na většině pohonů s vysokým výkonem, pokud je volba.

Možná budete muset určit počítače, které mají přístup k proxy serveru. To lze provést pomocí ACL příkazy povolené hosts src (IP-rozsah adres počítačů), stejně jako ACL localhost src (local adresy).

Pokud jsou spoje využívány jako je SSL porty, oni mohou také být uzamčen pomocí příkazu ACL ssl_ports portu (indikace Port). Zároveň můžete zabránit používání metody CONNECT pro ostatní porty, jiné než uvedené v zabezpečené spojení SSL. To napomůže tomu, aby se výraz http_access popřít Connect! SSL_Ports.

Chobotnice a pfsense

V řadě případů, jimiž se proxy serveru použitého pfsense rozhraní se používá jako účinný firewall. Jak organizovat svou práci dohromady? Algoritmus pro vyřešení tohoto problému není příliš obtížné.

Za prvé, musíme pracovat v pfsense rozhraní. Chobotnice, jehož konfigurace byla provedena u nás, budete muset nainstalovat přes SSH-týmy. Jedná se o jednu z nejvýhodnějších a nejbezpečnějších způsobů, jak pracovat s proxy servery. K tomu je nutné aktivovat rozhraní v Enable Secure Shell. Chcete-li jej najít, musíte vybrat systémové menu, pak - Advanced, po - Admin Access.

Pak budete muset stáhnout PuTTY - praktické aplikace pro práci s SSH. Dále pomocí konzoly, je třeba nainstalovat Squid. To lze snadno provést pomocí -pkg instalaci chobotnice příkaz. Za to, že musíte také nainstalovat proxy přes webové rozhraní pfsense. Chobotnice (nastavování parametrů v této fázi není provedena) lze nainstalovat výběrem položky menu System, pak balíčky, po - dostupných balíků. Do příslušné kolonky by měly být přístupné balíček Squid Stabilní. Vyberte jej. Je nutné nastavit následující nastavení: Proxy rozhraní: LAN. Na rozdíl od Transparent linka Proxy může odškrtnout. Vyberte adresu pro protokol a poznamenejte si ruský jazyk jako preferovaný. Klepněte na tlačítko Uložit.

Nástroj pro optimalizaci zdrojů

Konfigurace Squid umožňuje systémovým administrátorům efektivně přidělovat prostředky serveru. To znamená, že v tomto případě nehovoříme o zákaz přístupu k jakékoli stránky, ale intenzita zapojení kanálu u konkrétního uživatele nebo skupiny může požadovat kontrolu. Zvažoval Program umožňuje tento problém vyřešit několika způsoby. Za prvé se jedná o zapojení mezipaměti mechanismů: v případě potřeby na úkor souborů re-stahování z internetu, jak snížit zátěž na provoz. Za druhé, je omezení přístupu k síti v průběhu času. Za třetí, je stanovit mezní hodnoty pro rychlost přenosu dat v síti v souvislosti s činností některých uživatelů nebo určité typy stahovaných souborů. Vezměme si tyto mechanismy podrobněji.

Optimalizovat síťové zdroje do mezipaměti

Struktura síťového provozu, existuje mnoho typů souborů, tím zapojeny beze změny. To znamená, že jakmile jejich nahrávání na počítači, uživatel nemůže opakovat příslušná operace. Chobotnice program poskytuje flexibilní konfiguraci souborů, jako server, rozpoznávání motoru.

Poměrně užitečná volba pro proxy server, který zkoumáme, je kontrola věku souboru v mezipaměti. Objekty, které jsou příliš dlouhé v odpovídající oblasti paměti, by měly být aktualizovány. Povolení této možnosti je možné pomocí příkazu refresh_pattern. Takže celý výraz může vypadat jako refresh_pattern (minimální délka času je v minutách, maximální procento "čerstvých" souborů je v%, maximální doba). Proto pokud je soubor ve vyrovnávací paměti delší než stanovené kritéria, může být nutné stáhnout jeho novou verzi.

Optimalizace zdrojů prostřednictvím omezení přístupu založených na čase

Další možností, kterou lze využít kvůli možnostem serveru Squid-Proxy, je omezení přístupu uživatelů k síťovým zdrojům v čase. Je nainstalován pomocí velmi jednoduchého příkazu: čas ACL (název počítače) (den, hodina, minuta). Přístup může být omezen na libovolný den v týdnu, nahrazující "den" první písmeno slova odpovídající jeho názvu v anglické abecedě. Pokud je například pondělí, pak M, pokud je úterý, pak T. Pokud příkaz neobsahuje slovo "den", odpovídající zákaz bude nastaven na celý týden. Je zajímavé, že je také možné regulovat časový rozvrh vstupu do sítě, který uživatelé provádějí pomocí určitých programů.

Optimalizace zdrojů omezením rychlosti

Poměrně běžnou možností je optimalizace zdrojů úpravou přípustné rychlosti výměny dat v rámci počítačové sítě. Proxy server, který studujeme, je nejvhodnějším nástrojem pro řešení tohoto problému. Rychlost výměny dat v síti je regulována parametry jako delay_class, delay_parameters, delay_access a také element delay_pools. Všechny čtyři komponenty mají velký význam pro řešení problémů, s nimiž se správci systému potýkají při optimalizaci zdrojů místní sítě.