Nastavení Squid pro začátečníky. Jak konfigurovat server Squid proxy

Squid - řešení, které se v prostředí programátorů, administrátorů systémů a nadšenců v oblasti počítačových sítí široce využívá k vytvoření efektivního serveru proxy a jeho správy. Program je obzvláště atraktivní v tom, že je napříč platformou. To znamená, že jej můžete nainstalovat a spustit jak v systému Linux, tak i v jiných operačních systémech, které odpovídají architektuře Unix a Windows. Možnosti tohoto nástroje jsou nejvýkonnější. Jak mohou být použity? Existují nějaké funkce při konfiguraci programu v závislosti na konkrétním operačním systému?

Úvod do Squid

Co je Squid? Pod tímto jménem je známý velmi produktivní proxy server, který se nejčastěji používá s webovými klienty. Díky tomu můžete uspořádat simultánní přístup k internetu pro více uživatelů. Další pozoruhodnou vlastností společnosti Squid je, že může do mezipaměti různé dotazy. To vám umožní zrychlit příjem souborů, protože je nemusíte znovu stahovat z Internetu. Proxy server Squid může také upravit rychlost internetového kanálu, pokud jde o skutečné zatížení.

Squid je přizpůsoben pro použití na platformách Unixu. Existují však verze Squid pro Windows a mnoho dalších populárních operačních systémů. Tento program, stejně jako mnoho operačních systémů založených na konceptu Unix, je zdarma. Podporuje to HTTP, FTP, SSL, umožňuje konfigurovat flexibilní řízení přístupu k souborům. Squid také zapisuje dotazy DNS do mezipaměti. Je tedy možné nastavit a transparentní Squid-proxy, což je operace serveru ve formátu, kdy uživatel neví, a to přímo přes síť. Proto je Squid výkonným nástrojem v rukou správce systému nebo poskytovatele komunikačních služeb.

Praktická užitečnost Squid

Kdy je Squid nejužitečnější? Například to může být úkol, kterým je nutné zavést efektivní integraci více počítačů v síti a poskytnout jim přístup k Internetu. Možnost využití v tomto případě proxy server je, že hovory mezi ním a prohlížeče konkrétního PC je rychlejší než v případě interakce uživatele s internetem přímo. Také, když používáte Squid cache v samotném prohlížeči, můžete ji úplně deaktivovat. Tato funkce je velmi populární mezi uživateli.

Složení Squid

Toto řešení se skládá z několika složek. Ve skutečnosti jde o softwarový balíček. Ve své struktuře - aplikace, s níž je server spuštěn, a další program pro práci s DNS. Jeho zajímavostí je, že spouští procesy, z nichž každá funguje nezávisle na ostatních. To umožňuje optimalizovat interakci serveru s DNS.

Instalace programu

Instalace Squid obvykle nezpůsobuje žádné potíže. Je velmi snadné dát program na Linux: stačí zadat $ sudo apt-get install squid.

Pokud jde o Squid for Windows, vše je zde trochu komplikovanější. Otázkou je, že tento program nemá spustitelné soubory - hlavní prvky aplikací pro systém OS od společnosti Microsoft.

Nicméně instalace Squid na Windows je úkol, který lze vyřešit poměrně rychle. Je třeba najít site squid-cache.org nebo související zdroje, distribuce, která obsahuje soubory .bat, které jsou poněkud podobné tradičním spustitelným souborům systému Windows. Potom je zkopírujte do samostatné složky na disku. Pak musíte spustit Squid jako systémovou službu. Poté může být program používán jako proxy přes počítačový prohlížeč. Můžete říci, že právě tam je instalace Squid dokončena.

Distribuce proxy serveru téměř vždy obsahuje konfigurační soubor typu .conf. Jedná se o hlavní nástroj pro nastavení přístupu k Internetu z počítače uživatele a dalších zařízení připojených k místní síti během používání služby Squid.

Nuance přizpůsobení

Jaké nuance mohou zahrnovat nastavení Squid? Windows je operační systém, ve kterém bude pracovat s proxy serverem pomocí úpravy konfiguračních souborů.

V případě Linuxu můžete použít příkazového řádku pro některé postupy. Ale obecně, v operačním systému, stejně jako v případě, že operační systém, který se bude konfigurace chobotnice, - Windows, nejčastěji aktivuje squid.conf souboru. To vysvětluje některé výrazy ( „Team“), na základě kterých management server připojení k síti.

Zvažme proto, jak nakonfigurovat Squid podrobněji. Prvním krokem je umožnit uživatelům sítě přístup k serveru. Chcete-li to provést, vložte odpovídající hodnoty do souboru http_port a také do souboru http_access v souboru squid.conf. Bude také užitečné vytvořit seznam pro řízení přístupu nebo ACL. Nastavení http_port jsou pro nás důležitá, protože naším úkolem je připravit Squid pouze na údržbu určité skupiny počítačů. Takový parametr jako http_access je důležitý, protože s ním můžeme regulovat přístup ke konkrétním webovým zdrojům požadovaným z jedné či druhé adresy (i jiná možná kritéria - protokoly, porty a další vlastnosti obsažené v ACL).

Jak nastavit potřebná nastavení? Je to velmi snadné.

Řekněme, že jsme vytvořili počítačovou síť s rozsahem adres od 192.168.0.1 až po 192.168.0.254. V tomto případě nastavte v nastavení ACL následující parametr: src 192.168.0.0/24. Pokud potřebujeme nakonfigurovat port, musíme v konfiguračním souboru vytvořit záznam http_port 192.168.0.1 (stačí zadat správnou adresu IP) a zadejte číslo portu.

Aby bylo možné omezit přístup k vytvořené pomocí proxy serveru Squid (ne včetně počítačů v lokální síti), je nutné provést změny v http_access. To se provádí jednoduše - pomocí výrazů ( „příkazy“ - souhlasí s tím, aby jim zavolat tak, ačkoli, přísně vzato, v textu nejsou, ale na terminálu výzva k plně v souladu s nimi) umožňují LocalNet a popírat všechno. Je důležité umístit první parametr je větší než druhá, protože Squid Poznáte je podle pořadí.

Práce s ACL: zakázat přístup na stránky

Vlastní nastavení přístupu je možné v Squid ve velmi širokém rozsahu. Uvažujme o příkladech užitečných v praxi správy lokálních sítí.

Prvek src je pouze požadavek. S ním můžete opravit adresu IP počítače, který odeslal požadavek na server proxy. Kombinací prvku src s http_access můžete např. Povolit přístup k síti pro určitého uživatele, ale zakázat podobné akce pro všechny ostatní. To se děje velmi jednoduše.

Napíšeme ACL (název skupiny uživatelů) src (interval IP adres pod kontrolou). Níže uvedený řádek je ACL (název konkrétního počítače) src (IP adresa odpovídajícího počítače). Poté pracujeme již s http_access. Nastavili jsme oprávnění pro vstup do sítě pro skupinu uživatelů a samostatný počítač pomocí příkazů http_access allow. Níže uvedený řádek určuje, že přístup k ostatním počítačům v síti je zavřený příkazem Zrušit všechny.

Nastavení serveru proxy Squid také zahrnuje další užitečný prvek, který poskytuje systém řízení přístupu, dst. Umožňuje opravit adresu IP serveru, ke kterému se chce uživatel proxy připojit.

Pomocí tohoto prvku můžeme například omezit přístup k určité podsíti. Chcete-li to provést, můžete použít příkaz ACL (označení sítě) dst (subnet IP-adresy), řádek níže - http_access popírají (název konkrétní počítač v síti).

Dalším užitečným prvkem je dstdomain. Umožní nám to opravit doménu, ke které se chce uživatel připojit. Použitím dotyčného prvku můžeme omezit přístup uživatele například k externím zdrojům Internetu. Chcete-li to provést, můžete použít příkaz: ACL (skupina lokalit) dstdomain (adresy stránek), řádek níže - http_access deny (název počítače v síti).

Existují i ​​jiné pozoruhodné prvky ve struktuře systému pro kontrolu přístupu. Mezi nimi - SitesRegex. S tímto výrazem se můžeme omezit přístup uživatelů k internetovým doménám, které obsahují určité slovo, jako je pošta (je-li úkolem je zakázat zaměstnancům zvládnout poštovní servery třetích stran). Chcete-li to provést, můžete použít příkaz ACL SitesRegexMail dstdom_regex mailu, poté ACL SitesRegexComNet dstdom_regex .com $ (to znamená, že přístup bude uzavřen pro jednotlivé typy domén). Řádek pod - http_accesss popřít uvedením počítačů, ze kterých přístup k externím poštovním serveru je nežádoucí.

V některých výrazech lze použít přepínač -i. S ním, stejně jako prvek, jako je například url_regex, jejichž účelem je vytvořit šablony pro webové adresy, můžeme odepřít přístup k souborům s určitou příponou.

Například pomocí příkazu ACL NoSwfFromMail url_regex -i mail. * . Swf $ regulujeme možnost přístupu k poštovním stránkám s filmy Flash ve struktuře. Pokud nepotřebujete do algoritmů přístupu zahrnout název domény, můžete použít výraz urlpath_regex. Například ve formě příkazu media ACL urlpath_regex -i .wma $ .mp3 $.

Zákaz přístupu k programům

Nastavení Squid umožňuje zakázat uživatelům přístup k určitým programům při použití zdrojů serveru proxy. Pro tento účel lze použít příkaz příkaz ACL (název programu) port (rozsah portů), níže uvedený řádek je http_access zamítnout vše (název programu).

Povolení standardů a protokolů

Konfigurace služby Squid také umožňuje správci systému zadat preferovaný protokol pro používání internetového kanálu. Například pokud je třeba, aby osoba z konkrétního počítače přistupovala k síti přes FTP, můžete použít následující příkaz: ACL ftpproto proto ftp, níže uvedený řádek je http_access odepřen (název počítače) ftpproto.

Pomocí prvku metody můžeme určit, jak má být požadavek HTTP spuštěn. Celkem jsou 2 z nich - GET a POST, ale v některých případech je to první, nikoliv druhý a naopak. Například je možné, že konkrétní zaměstnanec by neměl prohlížet poštu prostřednictvím mail.ru, ale jeho zaměstnavatel nebude mít v úmyslu, pokud si osoba přečte zprávy na daném webu. Za tímto účelem může správce systému použít následující příkaz: ACL sitemailru dstdomain .mail.ru, řádek níže - metoda methodpost ACL POST, pak - http_access deny (název počítače) methodpost sitemailru.

Jedná se o nuance, které zahrnují nastavení Squid. Ubuntu je použit Windows nebo jiné operační systémy kompatibilní s proxy serverem - jsme se zabývali zejména příslušná nastavení úlohy obecně jsou typické pro jakýkoli software prostředí Squid fungování. Práce s tímto softwarem je neuvěřitelně vzrušující proces a zároveň jednoduchý díky logice a průhlednosti hlavních algoritmů pro nastavení programu.

Mějte na paměti některé klíčové body, které jsou specifické pro nastavení Squid.

Co je třeba věnovat pozornost při nastavení?

Pokud se objeví potíže s nalezením souboru squid.conf, který je hlavním nástrojem pro konfiguraci serveru, můžete zkusit zkontrolovat adresář etc / squid.

Nejlepší ze všeho je, pokud pracujete na souboru se jedná, budete používat nejvíce jednoduchý textový editor: nepotřebují v řadě, je zodpovědný za nastavení proxy serveru, hit veškeré formátování.

V některých případech může být nutné, aby proxy server poskytovatele byl specifikován během provozu. K tomu existuje příkaz cache_peer. Pro zadání je nutné: cache_peer (adresa proxy serveru poskytovatele).

V některých případech je užitečné určit množství paměti RAM, kterou bude Squid používat. To lze provést příkazem cache_mem. Je také vhodné zadat adresář, ve kterém budou data uložena v mezipaměti, pomocí výrazu cache_dir. V prvním případě bude příkaz vypadat úplně cache_mem (velikost paměti RAM v bytech), v druhé - jako cache_dir (adresa adresáře, počet megabajtů volného místa na disku). Je žádoucí umístit mezipaměť na nejvýkonnější disky, pokud je k dispozici.

Možná budete muset zadat počítače, které mají přístup k serveru proxy. Toho lze provést pomocí příkazů src povolených hostitelem ACL (rozsah adres IP počítačů) a ACL localhost src (místní adresa).

Pokud jsou v připojení použity porty SSL, mohou být také zabezpečeny pomocí příkazu ACL port ssl_ports. Současně můžete zakázat použití metody CONNECT pro ostatní porty s výjimkou těch, které jsou uvedeny v zabezpečeném připojení SSL. To lze provést pomocí výrazu http_access popřít CONNECT! SSL_Porty.

Squid a pfSense

V některých případech spolu s příslušným proxy serverem se používá rozhraní pfSense, které se používá jako efektivní firewall. Jak uspořádat jejich společnou práci? Algoritmus pro řešení tohoto problému není příliš komplikovaný.

Nejprve musíme pracovat v rozhraní pfSense. Squid, který již byl nakonfigurován, bude muset být nainstalován pomocí příkazů SSH. Jedná se o jeden z nejpohodlnějších a bezpečnějších způsobů práce s proxy servery. Chcete-li to provést, musíte v rozhraní povolit možnost Povolit Secure Shell. Chcete-li ho najít, musíte vybrat položku nabídky Systém, poté - Pokročilé, poté - Správce přístupu.

Poté musíte stáhnout PuTTY - užitečnou aplikaci pro práci s SSH. Dále pomocí konzoly je třeba nainstalovat Squid. To lze snadno provést pomocí příkazu -pkg install squid. Poté musíte nainstalovat server proxy prostřednictvím webového rozhraní pfSense. Squid (v této fázi není možné nakonfigurovat jeho parametry) lze nainstalovat výběrem položky Systémové nabídky a potom Balíčky po - Dostupné balíčky. Sada Squid Stable by měla být k dispozici v příslušném okně. Vybíráme to. Je třeba nastavit následující nastavení: Proxy Interface: LAN. Před linku Transparent Proxy můžete zaškrtnout. Vybíráme adresu záznamu a ruský jazyk označujeme jako preferovaný. Klikněte na tlačítko Uložit.

Nástroj pro optimalizaci zdrojů

Nastavení Squid umožňuje správcům systému efektivně alokovat serverové zdroje. To znamená, že v tomto případě se nejedná o zakázání přístupu na žádné místo, ale intenzita zapojení kanálu uživatelem nebo skupinou z nich může vyžadovat kontrolu. Tento program vám umožňuje vyřešit tento problém několika způsoby. Nejprve to zahrnuje mechanizmy ukládání do mezipaměti: kvůli tomu nebude nutné opakované stahování souborů z Internetu, protože zatížení provozu se sníží. Za druhé, toto omezení přístupu k síti v čase. Zatřetí nastavuje mezní hodnoty rychlosti výměny dat v síti s ohledem na akce určitých uživatelů nebo specifické typy stažených souborů. Zvažme tyto mechanismy podrobněji.

Optimalizace síťových zdrojů pomocí ukládání do mezipaměti

Ve struktuře síťové komunikace existuje mnoho typů souborů, které se nepoužívají. To znamená, že po nahrání do počítače nemusí uživatel opakovat příslušnou operaci. Program Squid umožňuje konfigurovat flexibilní mechanismus pro rozpoznávání takových souborů serverem.

Poměrně užitečnou volbou pro proxy server, který zkoumáme, je kontrola věku souboru v mezipaměti. Objekty, které jsou příliš dlouhé v odpovídající oblasti paměti, by měly být aktualizovány. Povolení této možnosti je možné pomocí příkazu refresh_pattern. Takže plně výraz může vypadat například refresh_pattern (minimální dobu - v minutách, maximální podíl „čerstvých“ soubory -%, což je maximální období). Proto pokud je soubor v mezipaměti delší než stanovené kritéria, může být nutné stáhnout jeho novou verzi.

Optimalizace zdrojů prostřednictvím omezení přístupu k času

Další možností, kterou lze využít kvůli schopnostem serveru Squid-Proxy, je omezení přístupu uživatelů k síťovým zdrojům v čase. Je nainstalován pomocí velmi jednoduchého příkazu: čas ACL (název počítače) (den, hodina, minuta). Přístup může být omezen na libovolný den v týdnu nahrazením slova "den" prvním písmenem slova odpovídajícím jeho jménu v anglické abecedě. Například pokud je to pondělí, pak M, pokud úterý, pak T. Pokud příkaz nemá slovo "den", pak odpovídající zákaz bude nastaven na celý týden. Je zajímavé, že je také možné regulovat časový harmonogram vstupu do sítě, prováděný uživateli pomocí určitých programů.

Optimalizace zdrojů omezením rychlosti

Spíše běžnou možností je optimalizace zdrojů úpravou přípustné rychlosti výměny dat v rámci počítačové sítě. Proxy server, který studujeme, je nejvhodnějším nástrojem pro řešení tohoto problému. Regulace výměny dat v rychlosti sítě pomocí takových parametrů, jako delay_class, delay_parameters, delay_access, a delay_pools prvek. Všechny čtyři komponenty mají velký význam pro řešení problémů, s nimiž se správci systému potýkají při optimalizaci zdrojů místní sítě.