Squid instel om mee te begin. Hoe om Squid instaanbediener instel

Inktvis - 'n oplossing wat algemeen gebruik word in die omgewing van programmeerders, stelseladministrateurs en rekenaarnetwerk-entoesiaste om 'n effektiewe proxy server te skep en dit te bestuur. Die program is veral aantreklik omdat dit kruisplatform is. Dit is, jy kan installeer en hardloop dit beide in Linux en ander OS's wat voldoen aan die Unix argitektuur, en in Windows. Die vermoëns van hierdie instrument is die mees uitstaande. Hoe kan hulle gebruik word? Is daar enige funksies om die program op te stel afhangende van die spesifieke bedryfstelsel?

Inleiding tot Squid

Wat is Squid? Onder hierdie naam is 'n baie produktiewe proxy server bekend, wat die meeste gebruik word met webkliënte. Met sy hulp kan u gelyktydige internettoegang vir verskeie gebruikers organiseer. Nog 'n noemenswaardige eienskap van Squid is dat dit verskeie navrae kan cache. Dit laat jou toe om die ontvangs van lêers te versnel, want jy hoef dit nie weer van die internet af te laai nie. Die Squid proxy server kan ook die spoed van die internet kanaal verander wanneer dit verband hou met die werklike las.

Squid is aangepas vir gebruik op Unix platforms. Daar is egter weergawes van Squid vir Windows en baie ander gewilde OS. Hierdie program, sowel as baie bedryfstelsels gebaseer op die Unix-konsep, is gratis. Dit ondersteun HTTP, FTP, SSL, laat jou toe om buigsame beheer oor toegang tot lêers op te stel. Squid skryf ook DNS-navrae na die kas. So is dit moontlik om aan te pas en deursigtig Squid-proxy, dit is die werking van die bediener in 'n formaat wanneer die gebruiker nie daardie adresse aan die netwerk ken nie, in plaas van direk. Squid is dus 'n kragtige instrument in die hande van 'n stelseladministrateur of 'n verskaffer van kommunikasiedienste.

Praktiese nut van Squid

Wanneer is Squid mees bruikbaar? Byvoorbeeld, dit kan 'n taak wees waar dit nodig is om verskeie rekenaars effektief te integreer in die netwerk en toegang tot die internet vir hulle te bied. Die voorneme om 'n proxy server in hierdie geval te gebruik, is dat die versoeke tussen die rekenaar en die blaaier van 'n spesifieke rekenaar vinniger is as in die geval van gebruikersinteraksie met die internet direk. Ook, as jy Squid-kas in die leser self gebruik, kan jy dit heeltemal afskakel. Hierdie funksie is baie gewild onder gebruikers.

Samestelling Squid

Die betrokke oplossing bestaan uit verskeie komponente. Trouens, dit is 'n sagtewarepakket. In sy struktuur - 'n program waarmee die bediener van stapel gestuur word, sowel as 'n bykomende program vir die werk met DNS. Sy interessante kenmerk is dat dit prosesse begin, wat elk onafhanklik van die ander funksioneer. Hierdeur kan u die bedienerinteraksie met DNS optimaliseer.

Die installering van die program

Squid installering veroorsaak gewoonlik geen probleme nie. Dit is baie maklik om 'n program op Linux te plaas: tik net $ sudo apt-installeer inkvis.

Wat Squid vir Windows betref, is alles hier 'n bietjie meer ingewikkeld. Die probleem is dat hierdie program nie uitvoerbare lêers het nie - die hoofelemente van aansoeke vir die bedryfstelsel van Microsoft.

Die installering van Squid op Windows is egter 'n taak wat vinnig opgelos kan word. Dit is nodig om op die webwerf squid-cache.org of die relevante bronne te vind, 'n verspreidingspakket met .bat-lêers wat ietwat soortgelyk is aan die tradisionele Windows-uitvoerbare weergawe. Daarna, kopieer dit na 'n aparte vouer op die skyf. Dan moet jy Squid as 'n stelseldiens bestuur. Daarna kan die program as 'n proxy gebruik word deur 'n rekenaarblaaier. Ons kan sê dat die Squid installasie nou voltooi is.

Die verspreiding van die proxy server bevat byna altyd 'n konfigurasie lêer van type .conf. Dit is die hoofmiddel vir die opstel van toegang tot die internet vanaf die gebruiker se rekenaar en ander toestelle wat aan die plaaslike netwerk gekoppel is wanneer Squid geaktiveer word.

Nuanses van aanpassing

Watter nuanses kan insluit die opstel van Squid? Windows is 'n bedryfstelsel waarin werk met die proxy server uitgevoer word deur die konfigurasie lêers te wysig.

In die geval van Linux, kan u die opdraglyn vir sommige prosedures gebruik. Maar in die algemeen, in hierdie bedryfstelsel, sowel as die bedryfstelsel waar Squid geconfigureer word, is Windows, word squid.conf die meeste gebruik. Dit spesifiseer sekere uitdrukkings ("opdragte"), waarvolgens die bediener verbindings met die netwerk bestuur.

Oorweeg dus om Squid in meer detail te konfigureer. Die eerste stap is om netwerkgebruikers toegang te gee tot die bediener. Om dit te doen, sit die ooreenstemmende waardes in http_port, sowel as in http_access, in die squid.conf lêer. Dit sal ook nuttig wees om 'n lys vir toegangsbeheer, of ACL, te skep. Die instellings vir http_port is belangrik vir ons, aangesien ons taak is om slegs 'n Inkvisserie vir die instandhouding van 'n spesifieke groep rekenaars voor te berei. Op sy beurt is so 'n parameter as http_access belangrik, want daarmee kan ons toegang tot spesifieke webbronne wat van een of ander adres aangevra word, reguleer (ander kriteria is ook moontlik - protokolle, poorte en ander eienskappe in die ACL).

Hoe om die nodige instellings te stel? Dit is baie maklik om dit te doen.

Kom ons sê ons het 'n rekenaarnetwerk geskep met 'n adresreeks wat begin met 192.168.0.1 en eindig met 192.168.0.254. Stel in hierdie geval die volgende parameter in die ACL-instellings: src 192.168.0.0/24. As ons die poort moet instel, moet ons in die konfigurasielêer 'n rekord http_port 192.168.0.1 maak (spesifiseer net die korrekte IP-adres) en voer die poortnommer in.

Om toegang tot die proxy wat deur Squid geskep is te beperk (nie die rekenaars wat die plaaslike netwerk invoer nie), is dit nodig om veranderinge aan http_access te maak. Dit word eenvoudig gedoen - met behulp van uitdrukkings ("opdragte" - ons stem in om dit so te noem, maar streng is dit nie so in die teks nie, maar in die terminale lyn sal dit met hulle ooreenstem.) Laat LocalNet toe en ontken alles. Dit is baie belangrik om die eerste parameter bo die tweede een te plaas, aangesien Squid hulle op sy beurt herken.

Werk met ACL: toegang tot webwerwe verbied

Eintlik is toegangsinstellings moontlik in Squid in 'n baie wye reeks. Kom ons kyk na voorbeelde van nuttige plaaslike netwerkbestuurspraktyke.

Die src element is redelik nuttig. Hiermee kan jy die IP-adres van die rekenaar wat die versoek aan die proxy server gemaak het, regstel. Deur die src-element met http_access te kombineer, kan jy byvoorbeeld toegang tot 'n netwerk vir 'n spesifieke gebruiker toelaat, maar vergelyk soortgelyke aksies vir alle ander. Dit word baie eenvoudig gedoen.

Skryf die ACL (die naam van die gebruikersgroep) src (die interval van IP-adresse wat onder die beheer val). Die onderstaande lyn is ACL (die naam van die spesifieke rekenaar) src (IP-adres van die ooreenstemmende rekenaar). Daarna werk ons met http_access. Ons stel die toestemming in om toegang tot die netwerk vir 'n groep gebruikers en 'n aparte rekenaar te maak met die opdragte http_access toelaat. Die onderstaande reël maak vas dat toegang tot die res van die rekenaars op die netwerk gesluit word deur die opdrag alle mense te ontken.

Die opstel van die Squid-proxy behels ook die gebruik van 'n ander nuttige element wat deur die toegangsbeheerstelsel, dst. Dit laat jou toe om die IP-adres van die bediener wat die proxy gebruiker wil koppel, reg te stel.

Met die hulp van hierdie element kan ons byvoorbeeld toegang tot 'n spesifieke subnet beperk. Om dit te kan doen, kan jy die ACL (netwerkbenaming) opdrag dst (die IP-adres van die subnet) gebruik, die onderstaande lyn is http_access ontken (die naam van die spesifieke rekenaar op die netwerk).

Nog 'n nuttige element is dstdomain. Dit sal ons toelaat om die domein op te los wat die gebruiker wil koppel. Deur die betrokke element te gebruik, kan ons die toegang van 'n bepaalde gebruiker beperk, byvoorbeeld na eksterne internet hulpbronne. Om dit te kan doen, kan u die opdrag gebruik: ACL (site group) dstdomain (webwerf adresse), reël hieronder - http_access ontken (rekenaar naam op die netwerk).

Daar is ander noemenswaardige elemente in die struktuur van die toegangsbeheerstelsel. Onder hulle is SitesRegex. Met hierdie uitdrukking kan u gebruikers se toegang tot internetdomeine beperk wat 'n spesifieke woord bevat, byvoorbeeld pos (as die taak is om werknemers te verbied om toegang tot e-pos bedieners van derde te kry). Om dit te doen, kan u die ACL SitesRegexMail-opdrag dstdom_regex-pos gebruik, dan ACL SitesRegexComNet dstdom_regex \ .com $ (dit beteken dat toegang geweier sal word vir die ooreenstemmende domein tipe). Die onderstaande lyn - http_accesss ontken met die aanduiding van rekenaars waaruit die uitset na eksterne pos bedieners ongewens is.

In sommige uitdrukkings kan die -i skakelaar gebruik word. Deur dit te gebruik, sowel as 'n element soos byvoorbeeld url_regex, wat ontwerp is om 'n sjabloon vir webadresse te skep, kan ons toegang tot lêers met 'n gegewe uitbreiding weier.

Byvoorbeeld, gebruik die ACL-opdrag NoSwfFromMail url_regex -in pos. * \. Swf $ ons reguleer die vermoë om toegang tot poswebwerwe te verkry in die struktuur waarvan Flash-flieks teenwoordig is. As u nie die domeinnaam in die toegangsalgoritmes moet insluit nie, kan u die uitdrukking urlpath_regex gebruik. Byvoorbeeld, in die vorm van die ACL media-opdrag urlpath_regex -i \ .wma $ \ .mp3 $.

Verbod op toegang tot programme

Met die opstel van Squid kan u gebruikers toegang tot sekere programme ontken wanneer u proxy server hulpbronne gebruik. Vir hierdie doel kan die opdrag ACL (program naam) poort (poort bereik) gebruik word, die lyn hieronder is http_access ontken alles (program naam).

Standaarde en protokolle in staat stel

Die opstel van Squid laat ook die stelseladministrateur die voorkeurprotokol vir die gebruik van die internetkanaal spesifiseer. Byvoorbeeld, as daar 'n persoon van 'n spesifieke rekenaar nodig is om toegang tot die netwerk te verkry via die FTP-protokol, kan u die volgende opdrag gebruik: ACL ftpproto proto ftp, die lyn hieronder is http_access ontken (rekenaar naam) ftpproto.

Met die metode element kan ons spesifiseer hoe die HTTP-versoek uitgevoer moet word. 'N Totaal van 2 - GET en POST, maar in sommige gevalle is dit die eerste, en nie die tweede nie, en omgekeerd. Byvoorbeeld, dit is moontlik dat 'n spesifieke werknemer nie pos deur mail.ru moet sien nie, maar sy werkgewer sal nie beswaar maak as 'n persoon nuus op die bepaalde webwerf wil lees nie. Om dit te kan doen, kan die stelseladministrateur die volgende opdrag gebruik: ACL sitemailru dstdomain .mail.ru, reël hieronder - ACL-metodepost-metode POST, dan - http_access ontken (rekenaarnaam) -metodepost sitemailru.

Dit is die nuanses wat Squid insluit. Ubuntu word gebruik, Windows, of ander bedryfstelsel wat verenigbaar is met die proxy-bediener. Die funksies om die nodige parameters in te stel, is tipies vir enige Squid sagteware omgewing. Werk met hierdie sagteware is 'n ongelooflik opwindende proses en terselfdertyd eenvoudig weens die logika en deursigtigheid van die hoofalgoritmes vir die opstel van die program.

Let op 'n paar belangrike punte wat spesifiek is vir die opstel van inkvis.

Waaraan moet ek aandag gee wanneer ek begin?

As daar probleme is met die vind van die squid.conf-lêer, wat die hoofmiddel is om die bediener te konfigureer, kan u die ens / inkvis-gids probeer.

Die beste van alles, as u met die betrokke lêer werk, gebruik u die eenvoudigste teksredakteur: u het geen formatteringselemente benodig in die lyne wat verantwoordelik is vir die instel van die proxy server.

In sommige gevalle kan dit nodig wees dat die proxy-bediener van die verskaffer tydens operasie gespesifiseer word. Hiervoor bestaan die cache_peer-opdrag. Om dit in te voer is dit nodig so: cache_peer (die adres van 'n proxy server van die verskaffer).

In sommige gevalle is dit nuttig om die hoeveelheid RAM wat Squid sal gebruik, op te los. Dit kan gedoen word met die cache_mem opdrag. Dit is ook nuttig om die gids waarin die gekaste data gestoor gaan word, te spesifiseer met die cache_dir-uitdrukking. In die eerste geval sal die hele opdrag lyk soos cache_mem (die hoeveelheid RAM in grepe), in die tweede - as cache_dir (die adres van die gids, die aantal megagrepe skyfspasie). Dit is wenslik om die kas op die mees hoëprestasie-skywe te plaas, as daar 'n keuse is.

U moet dalk die rekenaars spesifiseer wat toegang tot die proxy server het. Dit kan gedoen word met die ACL toegelate leërskare src opdragte (die IP adres reeks van rekenaars) en die localhost src (plaaslike adres) ACL.

As SSL-poorte in verbindings gebruik word, kan hulle ook beveilig word met die ssl_ports-poort van ACL. Terselfdertyd kan u die gebruik van die CONNECT-metode vir die res van die hawens uitsluit behalwe dié wat in die veilige SSL-verbinding gespesifiseer word. Dit kan gedoen word met die uitdrukking http_access ontken CONNECT! SSL_Ports.

Squid en pfSense

In sommige gevalle word die pfSense-koppelvlak, saam met die betrokke proxy-bediener, gebruik, wat gebruik word as 'n effektiewe firewall. Hoe om hul gesamentlike werk te organiseer? Die algoritme vir die oplossing van hierdie probleem is nie te ingewikkeld nie.

Eerstens moet ons in die pfSense-koppelvlak werk. Squid, wat reeds deur ons opgestel is, sal geïnstalleer moet word via SSH opdragte. Dit is een van die mees gerieflike en veilige maniere om met proxy-bedieners te werk. Om dit te doen, aktiveer Aktiveer veilige Shell in die koppelvlak . Om dit te vind, moet jy die kieslysitem Stelsel kies, dan - Gevorderde, Na-Admin toegang.

Daarna moet jy PuTTY aflaai - 'n handige aansoek om met SSH te werk. Vervolgens moet jy Squid gebruik om die konsole te gebruik. Dit word maklik gedoen met die -pkg installeer squid opdrag. Daarna moet u ook die proxy installeer via die webkoppelvlak pfSense. Squid (jy kan nie sy parameters op hierdie stadium instel nie) kan geïnstalleer word deur die stelsel menu-item te kies, dan pakkette, na-beskikbare pakkette. Die Squid Stable-pakket moet beskikbaar wees in die ooreenstemmende venster. Ons kies dit. Dit is nodig om die volgende instellings te stel: Proxy Interface: LAN. Voor die Transparante Proxy-lyn kan jy merk. Ons kies die adres vir die log en merk die Russiese taal as die voorkeur een. Kliek op Stoor.

Gereedskap vir hulpbronoptimalisering

Opstel van Inkvis kan stelseladministrateurs doeltreffend toewys aan bedienerhulpbronne. Dit gaan hier nie om die toegang tot enige webwerf te verbied, maar die intensiteit van die kanaal se gebruik deur 'n gebruiker of 'n groep daarvan kan beheer vereis. Met hierdie program kan u hierdie probleem op verskeie maniere oplos. Eerstens behels dit caching-meganismes. As gevolg hiervan is die herhaalde aflaai van lêers vanaf die internet nie nodig nie, aangesien die verkeerslading sal afneem. Tweedens, hierdie beperking van toegang tot die netwerk betyds. Derdens stel die grenswaardes vas vir die spoed van data-uitruil in die netwerk in verhouding tot die aksies van sekere gebruikers of spesifieke tipes afgelaaide lêers. Kom ons kyk na hierdie meganismes in meer detail.

Optimalisering van netwerk bronne deur middel van caching

In die struktuur van netwerkverkeer is daar baie soorte lêers wat onveranderd gebruik word. Dit is, sodra hulle hulle op 'n rekenaar laai, kan die gebruiker nie die ooreenstemmende operasie herhaal nie. Die program Squid laat jou toe om 'n buigsame meganisme vir die herkenning van sulke lêers deur die bediener op te stel.

Genoeg nuttige opsie wat ons ondersoek die instaanbediener - check die lêer ouderdom is in die kas. Voorwerpe wat te lank is gerangskik in die geheue area moet opgedateer word. Innemende hierdie opsie is moontlik met behulp van refresh_pattern span. So, dalk ten volle uitdrukking lyk refresh_pattern (die minimum lengte van die tyd - in minute, die maksimum persentasie van "vars" lêers -%, die maksimum tydperk). Gevolglik, indien die lêer is in die kas langer as die gespesifiseerde kriteria, dan moet jy dalk sy nuwe weergawe af te laai.

Optimalisering van hulpbronne deur toegang tyd beperking

Nog 'n opsie wat jy kan gebruik as gevolg van die geleenthede Squid-Proxy, - die beperking van gebruiker toegang tot die netwerk hulpbronne met verloop van tyd. Stel dit met behulp van 'n baie eenvoudige opdrag: ACL (naam rekenaar) tyd (dag, uur, minuut). Toegang kan beperk word vir enige dag van die week, die vervanging van "dag" die eerste letter van die woord wat ooreenstem met sy naam in die Engelse alfabet. Byvoorbeeld, as dit is Maandag - die M as Dinsdag is T. As die span is nie die woord "dag", dan is die ooreenstemmende verbod is ingestel vir die hele week. Dit is interessant dat jy ook die inskrywing skedule kan aanpas by die gebruiker netwerk met die hulp van verskeie programme.

Optimalisering van hulpbronne deur die beperking van die spoed

Redelik algemeen opsie - optimalisering van hulpbronne deur die aanpassing van die toelaatbare spoed van data-uitruilprogram binne die netwerk. Ons bestudeer 'n instaanbediener - 'n handige instrument vir hierdie taak. Regulering van data-uitruilprogram in die netwerk spoed deur die gebruik van sulke parameters soos delay_class, delay_parameters, delay_access, en deur delay_pools element. Al vier komponente is noodsaaklik vir die uitdagings wat die stelsel administrateurs in die aspek van die optimalisering van die netwerk hulpbronne te voorsien.