Эхэлж төлөө амьтан тохируулах. Squid прокси сервер хэрхэн тохируулах талаар

Squid - үр дүнтэй прокси, менежментийг бий болгох программ нь системийн администраторуудад, компьютерийн сүлжээ дэмжигчид шийдэл дунд нийтлэг. Энэ нь хөндлөн платформ юм, учир нь хөтөлбөр, ялангуяа сонирхол татаж байна. Өөрөөр хэлбэл, суулгаж, та Linux болон бусад үйлдлийн системүүд, Unix архитектур зохих дээрх шиг ажиллуулж, цонх байна. хэрэгслийн боломж - хамгийн шилдэг. Тэд хэрхэн оролцож болох вэ? OS хамаарч таны хөтөлбөрт ямар нэг шинж чанар байна уу?

Амьтан дээр Ерөнхий мэдээлэл

Squid гэж юу вэ? энэ нэрээр та вэб үйлчлүүлэгч нь хамгийн их хэрэглэдэг, ялангуяа үр ашигтай прокси сервер нь мэддэг билээ. Хэрэв та олон хэрэглэгчдийн хувьд нэгэн зэрэг Интернэт хандалтыг зохион байгуулах болно. Өөр нэг анхаарал татахуйц онцлог нь өөр өөр хүсэлтийг хадгалж чадах юм далайн амьтан. Энэ нь боломжтой бол файлын хүлээн авсан хурдасгах интернэт чухал биш тэднийг дахин татаж авах гэж байна. бодит ачаалал үүнийг уялдуулан үед прокси сервер нь мөн Squid Интернэтийн хурд сувгийг тохируулж болно.

Squid Unix-тавцангууд дээр ашиглахад зохицсон байна. Гэсэн хэдий ч, Windows нь амьтан хувилбарууд болон бусад олон алдартай үйлдлийн системүүд байдаг. Unix үзэл баримтлалд тулгуурлан Энэ програм нь, мөн түүнчлэн олон үйлдлийн системийг үнэ төлбөргүй байдаг. Энэ нь дэмждэг протоколуудын HTTP, FTP, SSL, та файл уруу хандах гаруй мөхлөгт хяналтыг тохируулж болно. Squid нь мөн DNS-кэш хүсэлтэд тэмдэглэсэн байдаг. Энэ нь хэрэглэгч Хэрэв дамжуулан хандах сүлжээг мэдэхгүй байна вэ хэлбэрээр сервер, тохируулах боломжтой, ил тод, Squid-прокси юм, гэхдээ шууд биш. Тиймээс Squid - харилцаа холбооны үйлчилгээний системийн администратор юм уу эсвэл үйлчилгээ үзүүлэгч гарт хүчирхэг хэрэгсэл юм.

Далайн амьтан практик хэрэгсэл

Зарим тохиолдолд, Squid хамгийн ашигтай байж болох вэ? Жишээ нь, энэ нь та сүлжээн дэх олон компьютер үр дүнтэй нэгдмэл хэрэгжүүлэх, интернэт хангах хэрэгтэй даалгавар байж болох юм. Энэ тохиолдолд прокси сервер ашиглах техник, эдийн засгийн түүний болон хөтчийн тодорхой PC хооронд дуудлага шууд Интернет нь хэрэглэгчийн харилцан тохиолдолд илүү хурдан байдаг явдал юм. Мөн браузер Squid түр хэрэглэх үед бүрэн унтраасан болно. Ижил төстэй үйл ажиллагаа хэрэглэгчид орчинд маш их алдартай байдаг.

Орц Squid

тухайн шийдвэр нь хэд хэдэн хэсгээс бүрдэнэ. Үнэн хэрэгтээ энэ програм хангамжийн багц. түүний бүтэц нь - програм нь өөр сервер, түүнчлэн DNS хамтран ажиллах өөрийн хөтөлбөрийг биелүүлэн эхэлж байна. Хэрэв нэг сонирхолтой онцлог нь тус бүр бие даан үйл ажиллагаа явуулж, энэ нь процессуудыг эхлүүлэх явдал юм. Энэ нь боломжтой сервер DNS нь харилцан оновчтой болгохын тулд болгодог.

програм суулгах

Далайн амьтан суулгах нь ихэвчлэн ямар нэгэн хүндрэл учруулж байна. Линуксийн програм дээр тавих нь маш амархан: зүгээр л тушаал нь $ SUDO оруулна НАТ-авах далайн амьтан суулгах хэрэгтэй.

Windows-д зориулсан далайн амьтан хувьд та бүх бага зэрэг илүү төвөгтэй байдаг. Энэ хөтөлбөр нь гүйцэтгэгдэнэ файл биш байгаа нь - үндсэн Microsoft-аас Windows хувьд програмуудыг элементүүд.

Гэсэн хэдий ч, Squid-нд Windows суурилуулах - асуудал нь маш хурдан шийдэх. Энэ нь олох шаардлагатай юм squid-cache.org сайтад буюу түгээлтийн уламжлалт Windows гүйцэтгэгдэх ойр зүйл нь .bat төрлийн файлуудыг агуулсан Хэрэв холбогдох нөөц. Үүний дараа, та диск дээр нь фолдер тэднийг хуулах хэрэгтэй. Дараа нь та амьтан систем үйлчилгээ зэрэг ажиллуулах хэрэгтэй. Үүний дараа, хөтөлбөр хөтөч PC-д прокси болгон ашиглаж болно. Бид энэ орчинд Squid дууссан гэж хэлж болно.

түгээх прокси бараг үргэлж тохиргооны файлын төрөл .conf агуулдаг. Энэ нь таны компьютер болон амьтан оролцоотойгоор орон нутгийн сүлжээнд холбогдсон бусад төхөөрөмжүүдээс интернэтэд хандах тохируулах гол хэрэгсэл юм.

нарийн ширийн тохиргоо

ялгааг нь тогтоох амьтан орж болно гэж юу вэ? Windows - үйлдлийн систем нь прокси сервер хамтран ажиллах тохиргооны файлуудыг засварлаж хийж болно.

Linux тохиолдолд та ашиглаж болно тушаалын мөрийг зарим журам. Гэхдээ ерөнхийдөө үйлдлийн систем, түүнчлэн тохиолдолд үйлдлийн систем Squid тохиргооны байх юм, тэр - Windows, ихэнх тохиолдолд squid.conf файлыг идэвхжүүлсэн. Энэ нь зарим нэг үг хэллэг ( "баг"), удирдлагын сервер сүлжээний холболт хийдэг дор гарч дэвшүүлсэн.

Тиймээс авч үзье хэрхэн Squid тохиргоо дэлгэрэнгүй мэдээлэл. хамгийн эхний зүйл тань сүлжээний хэрэглэгч сервер рүү хандах боломжийг олгодог байна. Үүнийг хийхийн тулд squid.conf тавьж зохих утгуудыг http_access түүнчлэн, http_port файл. Энэ нь хандалтын хяналт, эсвэл ACL нь жагсаалтыг бий болгох нь мөн ашигтай байдаг. зөвхөн компьютер тодорхой бүлгийг үйлчилгээний хувьд амьтан бэлтгэх - http_port тохиргоо нь бидний хувьд чухал ач холбогдолтой, бидний ажил байдалтай байна. Хариуд нь ийм параметр http_access зэрэг чухал ач холбогдолтой, үүнийг бид зарим хаягууд (- протокол, портууд болон ACL дотор агуулагдаж байгаа бусад шинж чанар, магадгүй бусад шалгуур) оноос хойш хүсэлт гаргасан тодорхой сүлжээний эх үүсвэрүүдэд хандах боломжтой, хянах боломжтой, учир нь юм.

шаардлагатай тохируулгыг хэрхэн тавих вэ? Энэ нь маш энгийн шалгаарай.

-ын бид 192.168.0.1 эхэлсэн ба 192.168.0.254 төгсгөл хаягийг төрлийн компьютерийн сүлжээг бий болгосон байна гэж үзье. Энэ тохиолдолд дараах тохируулгыг ACL-тохиргоонд тохируулагддаг байх ёстой: 192.168.0.0/24 SRC. бид порт тохируулах хэрэгтэй бол тохируулгын файлаа (зөвхөн зөв IP-хаяг зааж өгөх хэрэгтэй) http_port 192.168.0.1 бүртгэж, портын дугаарыг оруулах шаардлагатай байна.

ашиглан бүтээсэн Squid прокси (орон нутгийн сүлжээнд компьютер, түүний дотор биш) хүртээмжийг хязгаарлах тулд та http_access өөрчлөлт хийх ёстой. илэрхийлэл тусламжтайгаар ( "тушаал" - - тэднийг тэгж дуудах хүлээн зөвшөөрч, хатуу ярих хэдий ч, тэдгээр нь тийм биш бөгөөд текст, харин терминал хүлээх мөрөн дээр бүрэн тэдний дагаж мөрдөх) LocalNet боломжийг олгодог бөгөөд бүх үгүйсгэж Энэ нь ердөө л хийж байна. Энэ нь Squid нь эргээд тэднийг мэдэх болно оноос хойш анх удаа параметр хоёр дахь илүү агуу юм байрлуулах нь чухал юм.

ACL хамтран ажиллах нь: вэб хуудас руу нэвтрэх үгүйсгэж

Ер нь, энэ нь хандалт тохиргоонууд нь маш өргөн хүрээтэй байгаа амьтан боломжтой юм. дотоод сүлжээний удирдлагын практикт жишээ ашигтай авч үзье.

Хангалттай эрэлт SRC элемент. Хэрэв тусламжтай та прокси сервер рүү хүсэлтийг гаргах бөгөөд компьютерийн IP-хаяг түгжих болно. http_access нь SRC элементүүдийг хослуулан, жишээ нь, тусгай хэрэглэгчдийн хандалтыг зөвшөөрөх болно, харин бусад ижил төстэй үйл ажиллагааг хориглож байна. Энэ нь маш зүгээр л хийж байна.

нь ACL SRC (IP-хаяг хүрээтэй журмын дагуу унаж) (хэрэглэгчийн бүлгийн нэр) бичих. Доорх Line - ACL SRC (компьютер IP-хаяг) (тодорхой компьютерийн нэр). Үүний дараа бид http_access оноос хойш ажиллаж байна. http_access боломж баг дамжуулан хэрэглэгч, нэг нь PC-ийн бүлгийн сүлжээг нэвтрэн орох зөвшөөрөл тохируулна. сүлжээн дэх бусад компьютераа хандах солиход доорх шугам бүх тушаалыг үгүйсгэж хаалттай байна.

DST - Squid прокси тохиргоог бас хандалтын хяналтын системийн хувьд заасан бусад ашигтай элементийн оролцоог шаарддаг. Энэ нь та сервер IP-хаяг, хэрэглэгчийн прокситой холбогдож хүсдэг нь түгжих боломжтой.

элементийн тусламжтайгаар бид Жишээ нь, тодорхой нэг дэд хандах хандалтыг хязгаарлах болно. (Сүлжээн дээр тодорхой компьютерийн нэрийг) үгүйсгэж http_access - Үүнийг хийхийн тулд та ACL тушаалыг (сүлжээний тэмдэглэгээ) DST (дэд IP-хаяг) дараах мөрийг ашиглаж болно.

Өөр нэг чухал элемент - dstdomain. Энэ нь АНУ-ын хэрэглэгчийн холбогдохыг хүсч буй нь домэйныг засах боломж олгоно. тухайн элементийг дугуй унах, бид хэрэглэгчийн хандалтыг, жишээ нь, гадаад Интернэт нөөц хязгаарлаж болно. Үүнийг хийхийн тулд та дараах тушаалыг ашиглаж болно: ACL (сайтууд бүлэг) dstdomain (вэб хаяг) доорх шугам - http_access (сүлжээн дээр компьютерийн нэрийг) үгүйсгэдэг.

хандалтын хяналтын системийн бүтэц нь бусад анхаарал татахуйц элементүүд байдаг. хүмүүсийн дунд - SitesRegex. Энэ үзэл бодлоо чөлөөтэй илэрхийлэх нь бид ийм (Зорилт гуравдагч талын мэйл сервер ажиллах ажилтан хориглох юм бол) шуудангаар гэх мэт тодорхой үгийг агуулсан Интернэт домэйн руу хэрэглэгчийн хандалтыг хязгаарлаж болно. , Дараа нь ACL SitesRegexComNet dstdom_regex \ .com $ (энэ нь хандалт салбарт тухайн төрлийн хаагдах болно гэсэн үг юм) Үүнийг хийхийн тулд та ACL SitesRegexMail мэйл dstdom_regex тушаалыг ашиглаж болно. Доорх Line - http_accesss аль нь хүсээгүй юм гадаад захидлын серверт хандах компьютер харуулж үгүйсгэдэг.

Зарим нь илэрхийллүүд -i сонголтыг ашиглаж болно. Хэрэв, түүнчлэн Жишээ нь: гэх мэт элемент, нь, url_regex, вэб хаяг нь загвар бий болгох зорилготой, бид тухайн өргөтгөлтэй файлууд уруу хандах үгүйсгэж болно.

Жишээ нь, ACL NoSwfFromMail url_regex -i мэйл тушаалыг ашиглан. * \. SWF $ бид нь Flash-булны байдаг бүтцэд шуудангийн сайт руу буцаах зохицуулдаг. сайтын алгоритмууд хандалтын домэйн нэрээр оруулах ямар ч шаардлага байхгүй байгаа бол та илэрхийлэл urlpath_regex ашиглаж болно. Жишээ нь, баг нь ACL хэвлэл мэдээллийн urlpath_regex -i \ .wma $ \ .MP3 $ байна.

хөтөлбөр хандахыг хориглох

Тохируулах Squid та жишээ нь хэрэглэгчид прокси сервер нөөц оролцоотойгоор тодорхой хөтөлбөр хандах хориглох боломжийг олгодог. Энэ зорилгоор ACL тушаалыг (програмын нэр) порт (портын хүрээ) ашиглаж болно доорх шугам - http_access бүх (програм нэр) үгүйсгэдэг.

Анхаарал татах стандарт, протокол

Тохируулах Squid нь бас давуу протоколыг тогтоох систем администратор интернэт суваг ашиглах явдал юм боломжийг олгодог. Жишээ нь FTP протокол ашиглан сүлжээнд тодорхой PC хандах хүн хэрэгтэй байгаа бол та дараах тушаалыг ашиглаж болно: ACL тэртээд FTP ftpproto доорх шугам - http_access татгалзах (компьютер нэр) ftpproto.

элемент аргыг ашиглан бид ямар HTTP-хүсэлтийг хийж байх ёстой замыг зааж өгч болно. 2 нийт - GET эсвэл POST, зарим тохиолдолд, гэхдээ энэ нь эхний болон хоёр дахь, мөн эсрэгээр нь илүүд байна. Жишээ нь, аль нь тухайн хүн mail.ru дамжуулан захидлыг харж байх ёстой нөхцөл байдлыг авч үзэх, гэхдээ хүн гэж газар дээр нь мэдээг унших гэж хүсдэг бол түүний ажил олгогч санаа биш юм. Үүнийг хийхийн тулд, системийн администратор дараах тушаалыг ашиглаж болно: ACL sitemailru dstdomain .mail.ru, шугам доор - ACL methodpost арга POST гэх мэт - http_access татгалзах (компьютер нэр) methodpost sitemailru.

Эдгээр нь далайн амьтан тогтоох явдал нарийн ширийн юм. Ubuntu хэрэглэж байгаа, Windows, эсвэл прокси сервер нийцтэй Бусад үйлдлийн системүүд - бид ерөнхийд нь, ялангуяа холбогдох ажлын тохиргоог үзсэн ямар ч програм хангамжийн орчин Squid үйл ажиллагаанд нийтлэг байдаг. программ хангамж бүхий ажил - маш сэтгэл хөдөлгөм үйл явц бөгөөд тууштай, үндсэн хөтөлбөр нь тогтоох алгоритм нь ил тод байдлын улмаас энгийн нэг цагт.

тохиргоо амьтан тодорхой зарим гол оноо анхаарна уу.

тохируулах үед юу харагдах вэ?

squid.conf файлыг гол серверийн тохиргоо арга хэрэгсэл юм олоход хүндрэлтэй байгаа бол, та сан / далайн амьтан шалгах гэх мэт оролдож болно.

бүх шилдэг, тухайн файл дээр ажиллаж байгаа бол, та хамгийн энгийн текст засварлагчийг ашиглах болно: мөрөнд байх хэрэггүй, прокси сервер тохируулах үүрэгтэй, ямар ч форматыг дараарай.

Зарим тохиолдолд энэ нь үйлчилгээ үзүүлэгч прокси сервер заасан байв хамтран ажиллах шаардлагатай байж болох юм. Тэнд энэ зорилгоор cache_peer баг. Хэрэв энэ нь ийм байх ёстой Inscribe: cache_peer (ISP прокси сервер хаяг).

Зарим тохиолдолд, ашигтай амьтан ашиглах болно RAM-ын хэмжээ, засах. Энэ cache_mem баг хийж болно. Энэ cache_dir үзэл бодлоо илэрхийлэх эрх тусламжтайгаар хийгддэг, кэш хийгдсэн өгөгдөл хадгалах онд санг зааж өгөх хэрэгтэй байдаг. Эхний тохиолдолд, тушаал нь бүрэн Хоёр дахь cache_mem (байтаар RAM-ын хэмжээ) шиг харагдах болно - нь cache_dir (лавлах хаяг, дискний зай мегабайт тоо) байна. Энэ нь сонголт байдаг бол, хамгийн өндөр үзүүлэлттэй хөтчүүд дээр түр байрлуулах нь зүйтэй.

Та прокси сервер руу хандах хэрэгтэй компьютер зааж өгөх хэрэгтэй байж болох юм. Энэ нь хостууд SRC (компьютер IP-хаяг хүрээг) зөвшөөрсөн ACL тушаалуудыг, мөн түүнчлэн ACL тестлээрэй SRC (орон нутгийн хаяг) ашиглан хийж болно.

холболтууд нь SSL боомт зэрэг ашиглаж байгаа бол, тэд нь бас тушаал ACL ssl_ports порт (Порт заалт) нь түгжигдсэн байж болно. Үүний зэрэгцээ, та бусад портуудаас, аюулгүй SSL холбогдуулан-д зааснаас бусад нь CONNECT аргын хэрэглээг урьдчилан сэргийлж чадна. Энэ илэрхийлэл нь http_access CONNECT үгүйсгэж хийх туслах болно! SSL_Ports.

Далайн амьтан ба pfSense

pfSense интерфэйс ашиглаж прокси сервер хандсан тохиолдол хэд хэдэн үр дүнтэй болгон ашиглаж байгаа галт ханын. хамтад нь ажлаа хэрхэн зохион байгуулах вэ? Энэ асуудлыг шийдвэрлэх алгоритм ч хэцүү биш.

Нэгдүгээрт, бид pfSense интерфэйс ажиллах хэрэгтэй байна. Далайн амьтан, түүний тохиргоо нь бидний хэрэгжүүлж байна, та SSH-багууд дамжуулан суулгах хэрэгтэй болно. Энэ прокси сервер хамтран ажиллах хамгийн тохиромжтой, хамгийн найдвартай аргуудын нэг юм. Та идэвхжүүлэх нь интерфэйсийг идэвхжүүлэх ёстой Үүнийг хийхийн тулд , нууцлалын хувиргууртай бүрхүүлийн. Үүнийг олохын тулд та системийн цэсийг сонгох ёстой, дараа нь - Advanced дараа - Админ нэвтрэх.

SSH хамтран ажиллах хэрэгтэй програм - Дараа нь та замаск татаж авах хэрэгтэй. Дараа нь консол ашиглан та амьтан суулгах хэрэгтэй. Энэ нь амархан амьтан тушаалыг суулгах -pkg тусламжтайгаар хийгддэг. Үүний дараа, та мөн pfSense вэб интерфэйсээр дамжуулан прокси суулгах ёстой. Багцууд - Squid Системийн цэсийн, дараа нь багц, дараа нь сонгож суулгаж болно (энэ үе шатанд гүйцэтгэх ороогүй байна дахь параметрүүдийг тохируулах). зохих хайрцагт хандах багц Squid тогтвортой байх ёстой. үүнийг сонгоно уу. Proxy интерфэйсийг: Энэ нь дараах тохиргоог тохируулах шаардлагатай LAN. Харин ил тод, Proxy шугам унтраах тэмдэглэж болно. бүртгэл нь хаяг сонгоно болон давуу эрхийн талаар орос хэлийг тэмдэглэж байна. Save дарна уу.

нөөцийг оновчтой арга хэрэгсэл

Тохируулах Squid системийн администраторууд үр ашигтай сервер нөөцийг хуваарилах боломжийг олгодог. Энэ бол бид энэ тохиолдолд ямар ч сайтад нэвтрэх хориглох тухай яриагүй, харин тодорхой нэг хэрэглэгч эсвэл бүлэг суваг татан оролцуулах эрчим хяналт шаардаж болно. Гэж үзэж хөтөлбөрийн хэд хэдэн аргаар энэ асуудлыг шийдэх боломж олгодог. замын хөдөлгөөний ачааллыг багасгах зэрэг интернэтээс дахин татаж авах файлуудын зардлаар шаардлагатай: Нэгдүгээрт, энэ нь түр тогтоогч механизм оролцоо юм. Хоёрдугаарт, энэ нь цаг хугацааны явцад сүлжээнд боломжийг хязгаарлах юм. Гуравдугаарт, мэдээлэл тодорхой хэрэгчид болон татаж авсан файлууд татагдаж тодорхой төрлийн үйл ажиллагаанд холбоотой сүлжээн дэх хувь нь хязгаар үнэ цэнийг бий болгох явдал юм. дэлгэрэнгүй эдгээр механизмыг авч үзье.

Түр тогтоогч өөр сүлжээний нөөцийг оновчтой болгох

сүлжээний урсгалыг бүтэц, файлууд олон төрлийн оролцох өөрчлөгдөөгүй байна. Өөрөөр хэлбэл, нэг компьютер дээр нь байршуулах, хэрэглэгч харгалзах үйлдлийг давтахгүй байх болно. Squid хөтөлбөр нь уян хатан тохиргооны файлуудыг гэх таних машин сервер олгодог.

Хангалттай ашигтай сонголт нь бид прокси сервер шалгагдаж - файл насны кэш байгаа эсэхийг шалгана. санах ойн бүс нутагт хэтэрхий удаан зохион байгуулж байгаа бөгөөд объект шинэчилж байх хэрэгтэй. Энэ сонголтыг татан оролцуулах refresh_pattern багийг ашиглах боломжтой юм. Тэгэхээр бүрэн илэрхийлэл refresh_pattern шиг харагддаг байж болох юм (цаг хугацааны хамгийн бага уртыг - минутын дотор, "шинэ" файлуудын хамгийн их хувь -%, хамгийн их хугацаа). Иймээс файлын урт заасан шалгуурыг илүү кэш байгаа бол та түүний шинэ хувилбарыг татаж авах хэрэгтэй байж болох юм.

хандах хандалтын хугацааг хязгаарлах замаар нөөцийг оновчтой болгох

цаг хугацааны турш сүлжээний нөөцөд хандах хэрэглэгчийн хандалтыг хязгаарласан - Та яагаад гэвэл боломж Squid-Proxy, ашиглах боломжгүй өөр нэг сонголт. нь маш хялбар тушаал ашиглан үүнийг нь чансаанд: ACL (компьютер нэр) хугацаа (өдөр, цаг, минут). Хандалтын "өдөр" Англи хэлний цагаан толгойн өөрийн нэр харгалзах үгийн эхний үсгийг орлуулах, долоо хоногийн аль ч өдөр хязгаарлаж болно. Жишээ нь, хэрэв энэ нь даваа гариг юм - баг гэдэг үгийг "өдөр", дараа нь харгалзах хориглох бүхэл бүтэн долоо хоногийн турш тогтоосон юм биш юм бол, Мягмар гариг Т. юм M бол. Энэ нь та бас янз бүрийн хөтөлбөрийн тусламжтайгаар хэрэглэгч сүлжээнд дээр нь цагийн хуваарь оруулгыг тохируулж болно гэсэн сонирхолтой юм.

хурдны хязгаарыг дамжуулан нөөцийн оновчтой болгох

Нэлээн түгээмэл сонголт - сүлжээн дэх мэдээлэл солилцооны зөвшөөрөгдөх хурдыг тохируулах замаар нөөцийг оновчтой. Энэ үүрэг нь уран хэрэгсэл - Бид прокси сервер суралцаж байна. delay_class, delay_parameters, delay_access зэрэг болон delay_pools элемент ийм параметрүүдийг ашиглан сүлжээний хурд мэдээлэл солилцох журам. Бүх дөрвөн бүрэлдэхүүн хэсэг нь сүлжээний эх үүсвэрийг оновчтой нь тал нь системийн администраторуудад тулгарч буй сорилтуудыг даван туулах нь чухал юм.