Kirish

Ko'pgina ma'murlar Internetga kirish uchun vaqt va kanaldan oqilona foydalanish muammosiga duch kelishadi, vaqt va pulni tejash, ma'lum turdagi fayllar yoki shaxslar uchun tezlikni cheklash va oxir-oqibat, ma'lum jihatlar bilan bog'liq hamma narsani tejash haqida o'ylashadi. Internetga kirish. global tarmoq.

Ushbu maqola yordamida men eng keng tarqalgan proksi-server - Squid sozlamalarini aniq va aniq tushuntirishga harakat qilaman.

Foydalanuvchiga kirish uchun Squidning dastlabki sozlamalari

Biz Squid proksi-serverini o'rnatish jarayoniga kirmaymiz, lekin to'g'ridan-to'g'ri uni sozlashga o'tamiz.

O'rnatishdan so'ng qilishimiz kerak bo'lgan eng asosiy narsa mahalliy tarmoq foydalanuvchilariga kirishga ruxsat berishdir. Buning uchun http_port va http_access parametrlari ishlatiladi. Bundan tashqari, biz mahalliy tarmog'imiz uchun ACL (kirish nazorati ro'yxati) yaratamiz.

Shunday qilib, bizga http_port kerak, chunki bizning proksi-serverimiz Squid server"Yomon odamlar" ehtimolini istisno qilish uchun faqat mahalliy tarmog'imizdagi kompyuterlarga xizmat qilishi va tashqi dunyoga ko'rinmasligi kerak. tashqi tarmoq kanalimiz yoki trafikdan foydalaning va Squid proksi-server kodida "teshiklar" topilsa, ulardan foydalaning.

http_access parametri ma'lum manbalarga, ma'lum manzillarga yoki ma'lum manzillardan, ma'lum saytlarga, ma'lum protokollar, portlar va Acls (kirishni boshqarish ro'yxatlari) yordamida bevosita ko'rsatilgan barcha narsalarga kirishga ruxsat berish yoki ruxsat berish uchun ishlatiladi.

Jadval N 1. Ba'zi pastki tarmoqlar.

Faraz qilaylik, sizda 192.168.0.1 dan 192.168.0.254 gacha bo'lgan manzillar mavjud, so'ngra yangi Acl qo'shing (N1-jadvalga qarang):

Acl LocalNet src 192.168.0.0/24

Faraz qilaylik, Squid proksi-serveringiz 3128-portda 192.168.0.200 da joylashgan, keyin konfiguratsiya fayliga yozing:

Http_port 192.168.0.200:3128

Bizning keyingi harakatimiz mahalliy tarmoq foydalanuvchilari bundan mustasno, proksi-serverimizdan foydalanishni taqiqlash bo'ladi:

Http_access LocalNet-ga ruxsat beradi
http_access hammasini rad etadi

Bunday holda, ruxsat so'zi ruxsat, rad etish so'zi esa taqiqdir, ya'ni biz mahalliy tarmog'imiz manzillaridan Squid proksi-serveriga kirishga ruxsat beramiz va boshqalarga kirishni rad etamiz.

http_access ni belgilashda ehtiyot bo'ling, chunki Squid ularni siz ko'rsatgan tartibda ishlatadi.

ACLlarni o'rganish (Kirishni boshqarish ro'yxatlari)

Squid proksi-serveridagi kirishni boshqarish tizimi juda moslashuvchan va kengdir. U ruxsat berish (ruxsat berish) yoki rad etish (rad etish) ko'rsatilgan qiymatlar va kirish ro'yxatiga ega elementlardan iborat.

Acl formati quyidagicha:

Acl nomli elementlar ro'yxati

Kirish ro'yxati formati:

Http_access ko'rsatkichi acl_name

Biz Squid proksi-serveri foydalanishga imkon beradigan ba'zi elementlarni ko'rib chiqamiz, albatta misollar bilan:

* acl nomi src ro'yxati

Ushbu elementdan (src) foydalanib, biz manbaning IP-manzilini, ya'ni proksi-serverimizga so'rov kelgan mijozni ko'rsatamiz.

Quyidagi misolda biz Vasya Pupkin (Qovoq) va dasturlash bo'limiga (Progs) proksi-serverimizga kirishiga ruxsat beramiz va qolganlarga ruxsat beramiz:

Acl Progs src 192.168.0.1-192.168.0.9
acl Pupkin src 192.168.0.10
http_access dasturlarga ruxsat beradi
http_access Pupkinga ruxsat beradi
http_access hammasini rad etadi

* acl nomi dst ro'yxati

Ushbu element (dst) maqsad IP manzilini, ya'ni proksi-server mijozi kirmoqchi bo'lgan serverning IP-manzilini belgilaydi.

Quyidagi misolda biz Vasyaning 194.67.0.0/16 quyi tarmog'iga kirishini rad etamiz (masalan, unda xuddi shu aport.ru mavjud):

Acl Net194 dst 194.67.0.0/16
http_access inkor Pupkin Net194

* acl nomi dstdomain ro'yxati

Ushbu elementdan (dstdomain) foydalanib, biz proksi-server mijozi kirmoqchi bo'lgan domenni ko'rsatamiz.

Quyidagi misolda biz Vasyaga nnm.ru va kpnemo.ru saytlariga kirishni rad etamiz:

Acl SitesWarez dstdomain .nnm.ru .kpnemo.ru
http_access inkor Pupkin SitesWarez

Agar manba domenini ko'rsatish kerak bo'lsa, srcdomain dan foydalaning.

* acl nomi [-i] srcdom_regex ro'yxati
* acl nomi [-i] dstdom_regex ro'yxati

Bu elementlar srcdomain va dstdomaindan faqat oddiy iboralarni ishlatishi bilan farq qiladi, biz ushbu maqolada ko'rib chiqmaymiz, lekin biz hali ham misol keltiramiz:

Acl SitesRegexSex dstdom_regex jinsiy aloqa
Acl SitesRegexComNet dstdom_regex .com$ .net$
http_access inkor Pupkin SitesRegexSex
http_access inkor Pupkin SitesRegexComNet

IN bu misolda Biz Vasiliy Pupkinga jinsiy aloqa so'zini o'z ichiga olgan barcha domenlarga hamda .com va .net zonalaridagi barcha domenlarga kirishni rad etdik.

-i kaliti oddiy iboralardagi belgilarning registrini e'tiborsiz qoldirish uchun mo'ljallangan.

* acl nomi [-i] url_regex ro'yxati

Ushbu elementdan (url_regex) foydalanib, biz shablonni belgilaymiz muntazam ifoda URL uchun.

Jins so'zi bilan boshlangan avi kengaytmali fayllarni ko'rsatishga misol:

Acl NoAviFromSex url_regex -i jinsiy aloqa.*.avi$

Agar shablonni faqat URL yo'li uchun, ya'ni protokol va xost (domen) nomidan tashqari belgilamoqchi bo'lsangiz, urlpath_regex dan foydalaning.

Musiqa fayllarini belgilashga misol:

* acl name_acl portlar ro'yxati

Belgilangan port raqamini ko'rsatish, ya'ni proksi-serverimiz mijozi ulanmoqchi bo'lgan port.

Misol tariqasida, biz proksi-serverimiz orqali hammaga Mirc dasturidan foydalanishni taqiqlaymiz:

Acl Mirc porti 6667-6669 7770-7776
http_access barcha Mirc-ni rad etadi

* acl name_acl proto ro'yxati

O'tkazish protokolini belgilash.

Misol tariqasida, biz yuqorida aytib o'tilgan Vasyaga proksi-serverimiz orqali FTP protokolidan foydalanishni taqiqlaymiz:

Acl ftpproto proto ftp
http_access inkor Pupkin ftpproto

* acl name_acl usullari ro'yxati

Mijoz tomonidan http so'rov usulini belgilash (GET, POST).

Keling, Vasya Pupkinga mail.ru veb-saytida o'z pochtasini ko'rishni taqiqlashi kerak bo'lgan vaziyatni olaylik, lekin shu bilan birga sayt bo'ylab taqiqlarsiz yurishga ruxsat berish kerak, ya'ni Vasyaga uning pochtasiga kirishni taqiqlash kerak. pochta qutisi saytdagi kirish formasi orqali:

Acl SiteMailRu dstdomeni .mail.ru
acl usulipost usuli POST
http_access inkor Pupkin methodpost SiteMailRu

Foydalanuvchi cheklovlari

Ko'pincha bizning mamlakatimizda barcha foydalanuvchilar uchun global Internetga kirish kanali etarli bo'lmaganda va hammaga maksimal darajada imkoniyat berish istagi paydo bo'lganda, lekin shu bilan birga kanalning "egilishiga" yo'l qo'ymaydigan holatlar yuzaga keladi. fayllarni yuklab olishni yaxshi ko'radi.

Squid proksi-server vositalari bunga bir necha usullar bilan erishishga imkon beradi:

birinchi usul - ob'ektni keshlashni optimallashtirish;

ikkinchisi - muayyan foydalanuvchilar uchun vaqt chegarasi, bu butunlay to'g'ri emas;

uchinchi yo'l - ma'lum fayl turlari, foydalanuvchilar va biz Acl orqali aniqlagan barcha narsalar uchun tezlikni cheklash.

Vaqt chegaralari

Siz foydalanuvchilarni vaqt bo'yicha quyidagi tarzda cheklashingiz mumkin:

Acl nomi vaqti kunlar hs:mm-HH:MM

Kun qayerda: M - dushanba, T - seshanba, W - chorshanba, H - payshanba, F - juma, A - shanba, S - yakshanba.

Bu holda hh:mm HH:MM dan kichik bo'lishi kerak, ya'ni siz 00:00-23:59 ni belgilashingiz mumkin, lekin siz 20:00-09:00 ni belgilay olmaysiz.

Keling, o'sha Vasyaga har kuni soat 10:00 dan 15:00 gacha Internetga kirishni taqiqlaylik:

Acl TimePupkin vaqti 10:00-15:00
http_access inkor Pupkin TimePupkin

Agar siz Vasyaga Mirc dasturidan 13 dan 14 soatgacha foydalanishga ruxsat bermoqchi bo'lsangiz, yozing:

Acl TimePupkin vaqti 13:00-14:00
http_access Pupkin TimePupkin Mirc ruxsat beradi
http_access inkor Pupkin Mirc

Haftaning ma'lum kunlarida taqiqlash yoki ruxsat berish kerak bo'lsa, nima qilish kerak? Squid sizga buni amalga oshirishga imkon beradi, masalan, dushanba va yakshanba kunlari soat 13 dan 14 gacha:

Acl TimePupkin vaqti MS 13:00-14:00

Ko'rib turganingizdek, bu borada murakkab narsa yo'q.

Tezlik chegaralari

Squid proksi-serveridagi tezlikni sozlash hovuzlar yordamida amalga oshiriladi. Hovuz - bu pivoning bir turi bo'lib, unga doimiy ravishda pivo to'ldiriladi va mijozlar uni shaxsiy kranlari orqali kerak bo'lganda ichki iste'mol qilish uchun stakan yoki boshqa idishlarga quyadilar.

Hovuzlar uchta parametr yordamida tartibga solinadi: kechikish_sinf, kechikish_parametrlari, kechikish_access. Hovuzlar soni delay_pools parametri yordamida aniqlanadi.

Hovuzlar uchta toifaga bo'linadi:

Pivoning butun oqimi bir kran bilan cheklangan (butun tarmoq uchun).

Pivoning butun oqimi bir kran bilan cheklangan, ammo kran kranlarga bo'linadi (har bir IP uchun).

Pivoning butun oqimi bitta kran bilan cheklangan, ammo kran kichik kranlarga (subtarmoqlarda) bo'linadi (har bir IP uchun).

Formatlar:

E'lon qilingan_hovuzlarning kechikishlar soni
delay_access pool_number amali acl_name

Amalga ruxsat berish yoki rad etish mumkin. Shu bilan birga, bu hovuz ruxsat etilganlarga ta'sir qiladi va taqiqlanganlarga ta'sir qilmaydi. Agar hammasiga ruxsat berilsa va keyin Qovoqni inkor etsa, bu sinf Pupkinga hali ham ta'sir qiladi, chunki Pupkin acl da e'lon qilingan Pupkin IP manzili acl all manzillar ro'yxatiga kiritilgan. Shuni yodda tuting.

Kechikish_sinf hovuz_raqami hovuz_sinfi
delay_parameters pool_number parametrlari

Parametrlar hovuz sinfiga qarab farqlanadi:

birinchi sinf uchun:

Kechikish_parametrlari butun_tarmoq uchun 1 bayt

ikkinchi sinf uchun:

Kechikish_parametrlari har bir mijoz uchun butun tarmoq uchun 1 ta

uchinchi sinf uchun:

Kechikish_parametrlari har bir mijoz uchun har bir subnet uchun butun_tarmoq uchun 1 ta

Masalan, bizda 128 Kbit (sekundiga o'rtacha 15 Kbayt) kanalimiz bor va biz Vasyaga (Pupkin) atigi 4 Kbayt/sek (hamma narsa uchun bitta kichik stakan) va dasturlash bo'limiga (Prog) atigi 10 Kbayt bermoqchimiz. /sek. va har biri uchun atigi 5 Kb/sek (faqat ikkita ko'zoynak), qolganlar uchun har biri uchun 2 Kb/s va hamma uchun 10 Kb/s, mp3 (media) fayllar esa 3 Kb/sek bilan cheklangan. har bir kishi uchun (butun barrel pivo uchun shunday kichik kran). Keyin biz yozamiz:

Acl Prog src 192.168.0.1-192.168.0.9
acl Pupkin src 192.168.0.10
acl LocalNet src 192.168.0.0/255.255.255.0
acl media urlpath_regex -i .mp3$ .asf$ .wma$

Kechikish_hovuzlari 4
# avval mp3 ni cheklaymiz
kechikish_sinf 1 1
kechikish_parametrlari 1 3000/3000
delay_access 1 mediaga ruxsat berish
delay_access 1 hammasini rad etish
# bechora Vasyani cheklaylik
kechikish_sinf 2 1
kechikish_parametrlari 2 4000/4000
delay_access 2 Pupkinga ruxsat beradi
delay_access 2 hammasini rad etish
# dasturlash bo'limini cheklash
kechikish_sinf 3 2
kechikish_parametrlari 3 10000/10000 5000/5000
delay_access 3 dasturiga ruxsat berish
delay_access 3 hammasini rad etish
# endi qolganlarni cheklaylik (ikkinchi hovuz klassi)
kechikish_sinfi 4 2
kechikish_parametrlari 4 10000/10000 2000/2000
delay_access 4 mediani rad etish
delay_access 4 inkor Pupkin
delay_access 4 rad etish Prog
delay_access 4 LocalNet-ga ruxsat beradi
delay_access 4 hammasini rad etish

Ko'pincha savol tug'iladi, bunday kichik kanaldan foydalanishning eng yaxshi usuli qanday bo'lib, u hozirda biror narsani yuklab olayotganlarning barchasiga avtomatik ravishda taqsimlanadi? Bu savolga aniq javob bor - Squid proksi-serveri yordamida buni amalga oshirish mumkin emas, lekin siz hali ham biror narsa qilishingiz mumkin:

Kechikish_sinf 1 2
kechikish_parametrlari 1 -1/-1 5000/15000
delay_access 1 LocalNet-ga ruxsat beradi
delay_access 1 hammasini rad etish

Shunday qilib, biz butun tarmog'imizga va quyi tarmoqlarimizga maksimal kanal ajratamiz (-1 cheksiz degan ma'noni anglatadi) va biz har bir foydalanuvchiga yuklagandan so'ng maksimal 5 Kb/sek tezlikni beramiz. maksimal tezlik hujjatning birinchi 15 KB.

Shunday qilib, mijoz butun kanalni yemaydi, lekin tezda birinchi 15 KBni oladi.

Squid-da ob'ektni keshlashni optimallashtirish

Proksi-serverga ob'ekt keshlash mumkin bo'lmagan yoki hayratlanarli darajada o'zgargan veb-serverlarning sarlavhalariga javob berish uchun etarlicha tez-tez yangilanmaydigan ko'plab turdagi fayllar mavjud. Bu juda keng tarqalgan holat.

Bunday vaziyatlarni hal qilish uchun Squid proksi-server sozlamalari faylidagi refresh_pattern parametri mo'ljallangan, ammo to'liq formulalar va boshqalar bilan. biz buni hisobga olmaymiz.

Refresh_pattern [-i] qatori MINV foiz MAXV parametrlari

Ushbu parametr keshdagi ob'ekt (o'qish fayli) yoshini, uni yangilash kerakmi yoki yo'qligini aniqlash uchun ishlatiladi.

MINV (minimal vaqt) - keshdagi ob'ekt yangi deb hisoblangan daqiqalardagi vaqt.

MAXV (maksimal vaqt) - ob'ekt yangi deb hisoblanadigan daqiqalardagi maksimal vaqt.

Parametrlar quyidagilardan biri yoki bir nechtasi:

override-expire - ob'ektning amal qilish muddati haqidagi ma'lumotlarni e'tiborsiz qoldiring va MINV dan foydalaning.

override-lastmod - faylni o'zgartirish sanasi haqidagi ma'lumotlarni e'tiborsiz qoldiring, MINV dan foydalaning.

ims-ga qayta yuklash - mijoz so'rovini yuborish o'rniga "hujjatlarni keshlamang" (keshsiz), "Agar o'zgartirilgan bo'lsa" so'rovini yuboring.

e'tibor bermaslik-qayta yuklash - mijozning "hujjatlarni keshlamang" (keshsiz) yoki "hujjatni qayta yuklash" (qayta yuklash) so'rovlarini e'tiborsiz qoldiring.

Shunday qilib, biz eng muhim narsaga keldik. Xo'sh, qaysi turdagi fayllar eng kam yangilanadi? Qoida tariqasida, bu turli xil musiqa fayllari va rasmlari.

Keling, ob'ektlarning yangiligini o'rnatamiz, buning uchun rasm va musiqa fayllari uchun, masalan, 30 kun (43200 daqiqa) ko'rsatamiz:

Refresh_pattern -i .gif$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i .png$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i .jpg$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i .jpeg$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i .pdf$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i .zip$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i .tar$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i .gz$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i .tgz$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i .exe$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i .prz$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i .ppt$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i .inf$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i .swf$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i .mid$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i .wav$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i .mp3$ 43200 100% 43200 override-lastmod override-expire

Yuqorida ko'rsatilgan sozlamalar faqat bir misol bo'lib, mohiyati aniq bo'ladi.

Endi siz proksi-serveringizning samaradorligini tekshirishingiz mumkin, u albatta oshadi.

Xulosa

Squid proksi-serveri oddiy proksi-server emas, boshqalari ham bor. Ammo statistika shuni ko'rsatadiki, ko'pchilik ushbu proksi-serverdan foydalanadi, ammo shu bilan birga, ko'plab yangi boshlanuvchilar hali ham sozlash bilan bog'liq muammolarga duch kelishadi.

Biz ubuntu 14.04.1 serverini o'rnatish bo'yicha maqolalar seriyasini davom ettiramiz, bugun biz squid3 - ubuntu serveri uchun proksi-serverni o'rnatmoqdamiz va sozlaymiz. Agar siz hali proksi-server nima ekanligini bilmasangiz, men uni bir jumla bilan tasvirlashga harakat qilaman. Proksi-server - bu Internetga kirishda mijoz kompyuterlarining so'rovlarini qayta ishlaydigan kompyuter.

Proksi-serverdan foydalanib, siz nafaqat taqdim eta olasiz markazlashtirilgan kirish Internetga kirish, balki uni cheklash, ba'zi saytlarga kirishni bloklash, faqat ruxsat berilgan saytlarga kirishni ochish, statik ma'lumotlarni (CSS, tasvirlar, bannerlar ...) keshlash va boshqalar.

Proksi-serverni o'rnatish uchun men tayyor va sozlangan xizmatlardan foydalanaman va . Shunday qilib, keling, boshlaymiz.

Mahalliy tarmoqdagi kompyuterlar uchun Internetga kirishni ochish

Birinchidan, biz mahalliy tarmog'imizdagi barcha kompyuterlar uchun Internetga to'liq kirishni ochishimiz kerak. Buning uchun biz NAT dan foydalanamiz. NAT - barcha tarmoq trafigini bitta manzil orqali o'tkazish imkonini beruvchi texnologiya. Ya'ni, mahalliy tarmoqdagi Internetga barcha so'rovlar server tomonidan qayta ishlanadi.

Keling, sozlamalar bilan fayl yarataylik

sudo touch /etc/nat

Keling, ushbu faylga quyidagilarni qo'shamiz:

#!/bin/sh #Paketni yoʻnaltirishni yoqish echo 1 > /proc/sys/net/ipv4/ip_forward #Lo iptables ga trafikga ruxsat berish -A INPUT -i lo -j ACCEPT #Ichki tarmoqdan tashqi iptablesga kirishga ruxsat berish - A FORWARD - i eth1 -o eth0 -j ACCEPT #NAT iptablesni yoqish -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE #Tashqi tarmoqdan javoblarga ruxsat berish iptables -A FORWARD -i eth0 -m davlat --holat TUZILGAN, BOG'LIQ -j QABUL QILING #Ichki tarmoq iptablesga tashqaridan kirishni rad etish -A FORWARD -i eth0 -o eth1 -j REDD

Keling, faylni saqlaymiz va unga ijro huquqlarini tayinlaymiz:

sudo chmod +x /etc/nat

NAT ishga tushirilishini qo'shamiz (satr post-up /etc/nat) tarmoq sozlamalari bilan faylga:

sudo nano /etc/network/interfaces

faylingiz shunday ko'rinishi kerak:

Auto lo iface lo inet loopback auto eth0 iface eth0 inet statik manzili 192.168.1.104 tarmoq niqobi 255.255.255.0 shlyuzi 192.168.1.1 auto eth1 iface eth1 inet statik manzili 192.168.02.192.168.25.c. /nat

Serverni saqlang, yoping va qayta yoqing:

Ushbu shaklda Internetni tarmoqdagi kompyuterlarga tarqatish uchun hamma narsa tayyor. Agar siz hozir mijoz kompyuterini yoqsangiz, u DHCP serveridan IP-manzil oladi, shuningdek, shlyuz sozlamalarini (192.168.0.1) oladi va shunga mos ravishda Internet paydo bo'lishi kerak. Agar Internet paydo bo'lsa, biz davom etamiz, agar bo'lmasa, nima noto'g'ri qilganimizni tekshiramiz.

Squid3-ni o'rnatish va sozlash

Endi biz Squid3 - proksi-serverning o'zini o'rnatishimiz kerak. Maqolada asosiy sozlamalar tasvirlangan, batafsilroq sozlamalar uchun men sizga kalamar hujjatlarini o'qishni maslahat beraman.

Squid3 paketini o'rnating

sudo aptitude o'rnatish squid3

O'rnatishdan so'ng faylni oching /etc/squid3/squid.conf

sudo nano /etc/squid3/squid.conf

Avvalo, chiziqni topamiz http_port 3128 va unga qiymat qo'shing kesish va serverning IP-manzili shunday bo'lib chiqadi:

Http_port 192.168.0.1:3128 kesish

Bu kelajakda barcha mijoz mashinalarida proksi-serverni sozlashimiz shart emasligi uchun amalga oshiriladi (proksi-server shaffof bo'ladi).

Endi biz proksi-serverimiz ishlaydigan tarmoqni ko'rsatishimiz kerak, buning uchun qatorni izohdan olib tashlang acl localnet src 192.168.0.0/16 # RFC1918 mumkin bo'lgan ichki tarmoq va tarmoq niqobi prefiksini belgilang 24 o'rniga 16 (chunki bizning niqobimiz 255.255.255.0). Yakuniy natija quyidagicha ko'rinishi kerak:

Acl localnet src 192.168.0.0/24 # RFC1918 mumkin bo'lgan ichki tarmoq

qatorni izohlash orqali ichki tarmoqdan proksi-serverga kirishga ruxsat bering

Http_access mahalliy tarmoqqa ruxsat beradi

Endi keshlashni sozlaymiz. Chiziqni topish kerak cache_dir ufs /var/spool/squid3 100 16 256, izohni olib tashlang va qiymatlarni quyidagiga o'zgartiring:

Cache_dir ufs /var/spool/squid3 2048 16 256

Keling, qatorni izohdan chiqaraylik maksimal_object_size_xotirada 512 KB, shu bilan xotirada keshlangan ob'ektning maksimal hajmini ko'rsatadi.

Keling, qatorni izohdan chiqaraylik cache_mem 256 MB va qiymatni bilan almashtiring 256 yoqilgan 1024 , shu bilan ruxsat etilgan xotira miqdorini ko'rsatadi.

Shunday qilib, biz keshlashni sozladik, keshlash kanaldagi yukni kamaytirishi va sahifalarni ochish tezligini oshirishi kerak. Server qayta ishga tushirilganda kesh tozalanadi.

Endi jurnalga kirishni yoqaylik; buning uchun qatorni izohdan olib tashlang access_log daemon:/var/log/squid3/access.log kalamar va pastga qo'shing logfile_rotate 31(jurnal fayllari 31 kun davomida saqlanadi, shundan so'ng eng eskilari ustiga yoziladi).

Bu haqida asosiy sozlash squid3 tugatilishi mumkin. Squid3 ni qayta ishga tushiramiz

sudo xizmati squid3-ni qayta ishga tushiring

Endi proksi-server sozlangan va ishlamoqda, lekin foydalanuvchi trafigi u orqali o'tishi uchun siz barcha http-trafikni kalamarga o'rashingiz kerak. Buning uchun ga qo'shing /etc/nat qator:

# http-ni iptables proksisiga aylantiring -t nat -A PREROUTING -i eth1 ! -d 192.168.0.0/24 -p tcp -m multiport --dport 80.8080 -j DNAT --to 192.168.0.1:3128

Aslida endi mening faylim /etc/nat shunday ko'rinadi:

#!/bin/sh #Paketni yoʻnaltirishni yoqish echo 1 > /proc/sys/net/ipv4/ip_forward #Lo iptables ga trafikga ruxsat berish -A INPUT -i lo -j ACCEPT #Ichki tarmoqdan tashqi iptablesga kirishga ruxsat berish - A FORWARD - i eth1 -o eth0 -j ACCEPT #NAT iptablesni yoqish -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE #Tashqi tarmoqdan javoblarga ruxsat berish iptables -A FORWARD -i eth0 -m davlat --holat TUZILGAN, BOG'LIQ -j QABUL QILING # Tashqaridan ichki tarmoq iptablesga kirishni rad etish -A FORWARD -i eth0 -o eth1 -j REDD ET # http-ni proksi-serverga aylantiring iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.0.0/24 -p tcp -m multiport --dport 80.8080 -j DNAT --to 192.168.0.1:3128

Agar siz maqolada yozilganidek hamma narsani qilgan bo'lsangiz, unda sizda to'liq ishlaydigan proksi-server bo'ladi. Keyingi maqolalarda men Dansguardian kontent filtrini qanday o'rnatishni va taqiqlangan saytlarni qo'shish uchun qora ro'yxatni qanday yaratishni yozaman.

Agar sizda biron bir savol bo'lsa, sharhlarga xush kelibsiz.

Bugun biz proksi-serverlar haqida gaplashamiz.

Proksi-server - bu bir nechta kompyuterlarning bir tarmoqdan boshqa tarmoqqa kirishini ta'minlaydigan narsa (lekin marshrutizatorlar bilan adashtirmaslik kerak - bu butunlay boshqacha narsalar, proksi-server dastur darajasida ishlaydi). Proksi-serverning eng keng tarqalgan vazifasi global tarmoqqa kirish imkoniga ega bo'lgan bitta shaxsiy kompyuter orqali Internetga ega bo'lmagan shaxsiy kompyuterlarga Internetga kirishni ta'minlashdir. Keling, ushbu vazifani Windows kompyuteridan Internetga kirish eshigi sifatida foydalanish holatida ko'rib chiqaylik.

Ushbu muammoni hal qilish uchun siz vizual interfeysga ega xususiy echimlardan foydalanishingiz mumkin, masalan, UserGate, lekin men uni Windows 7 o'rnatilgan kompyuterda to'g'ri ishlashiga erisha olmadim va u pullik :) Shuning uchun eng yaxshi yechim Menimcha, biz Squidni * nix dan meros qilib oldik. Siz ushbu ijodni quyidagi manzildan yuklab olishingiz mumkin: Squid 2.7 (yozish vaqtidagi so'nggi versiya)

Yuklab oling va diskning ildiziga oching. U erdan hech narsa ishga tushirishga urinmang - bu dasturda GUI yo'q - va bu sizni qo'rqitmasin :)
Keyin konsolni oching - Win+R / smd / o'rnatilgan kalamar bilan papkaga o'ting (keyinchalik o'rnatish yo'lini c:\squid uchun yozaman)

c:\
cd c:\squid\sbin

Endi siz kalamarni o'rnatishingiz kerak Windows xizmati buyruq:

kalamar -i -f c:/squid/etc/squid.conf -n Squid27

Bu erda Squid27 xizmat nomi bo'lib, u printsipial jihatdan har qanday haqiqiy nom bo'lishi mumkin.

Endi siz c:/squid/etc/ jildida joylashgan squid.conf sozlamalari faylini tahrirlashingiz kerak, uni zaxiralashni maslahat beraman. original fayl. Keyin ushbu fayldagi barcha matnlarni o'chiring va quyidagilarni yozing:

http_port 3128
acl localnet src 192.168.3.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl all src 0.0.0.0/0.0.0.0
http_access mahalliy tarmoqqa ruxsat beradi
http_access mahalliy xostga ruxsat beradi
http_access hammasini rad etadi
cache_log hech biri
cache_store_log hech biri

Qayerda

• http_port 3128 - SQUI ishlaydigan serverdagi port raqami.Ya'ni mijoz sozlamalarida biz server manzilini va ushbu portni ko'rsatamiz;
• acl localnet src 192.168.0.0/255.255.0.0- bu satr proksi-serverimizga ulanish mumkin bo'lgan IP-manzillar oralig'ini ko'rsatadi. Niqob /8, /16, /24 (mos ravishda 255.0.0.0, 255.255.0.0, 255.255.255.0 uchun) sifatida belgilanishi mumkin va localnet nomi. Asosan, ushbu qator bilan biz o'zgaruvchini e'lon qilamiz, u bilan biz bundan keyin ham ishlaydi. keyingi qator xuddi shunday barcha o'zgaruvchini e'lon qiladi, bu erda barcha mavjud iplar ko'rsatilgan;
• http_access mahalliy tarmoqqa ruxsat beradi - bu qator bilan biz mahalliy tarmoq o'zgaruvchisida ko'rsatilgan IP-dan proksi-serverimizga kirishga ruxsat beramiz;
• http_access hammasini rad etadi - biz boshqalarga proksi-serverga kirishni rad etamiz. Bu ruxsatlar yuqoridan pastgacha ishlaydi, shuning uchun bu qatorni oxirgi kiritish kerak! Aks holda, proksi-serverga hech kim etib bormaydi :)
• cache_log none - kerak emas, Jurnallar gigabaytga aylanmasligi uchun keyingi qatorga o'xshab)

• cache_mem 32 MB - qo'shimcha kalamar kesh hajmini belgilaydi tasodifiy kirish xotirasi;
• cache_dir ufs c:/squid/var/cache 100 16 256- kesh jildiga yo'lni, uning MB hajmini (100) va pastki papkalar sonini aniqlaydi (nima uchun ikkinchisi - men hali ham tushunmayapman :))

kalamar -z -f c:\squid\etc\squid.conf

Shunday qilib, printsipial jihatdan biz proksi-serverimizni ishga tushirishga tayyormiz. ga yozamiz buyruq qatori(yoki siz Xizmatlar bo'limiga o'tishingiz va uni sichqoncha bilan ishga tushirishingiz mumkin :)

aniq start Squid27

STOP:

net stop kalamar27

Qayta konfiguratsiya:

kalamar -n Squid27 -f c:/squid/etc/squid.conf -k qayta sozlash

Shuningdek, siz ushbu proksi-serverga juda ko'p narsalarni qo'shishingiz mumkin, masalan, turli foydalanuvchilar uchun vaqt va tezlik cheklovlarini o'rnatishingiz, ba'zi saytlarga kirishni rad etishingiz va hokazo. materialni Internetda topish oson.

Squid-ga asoslangan marshrutizatorni qurish bo'yicha materiallar bizning veb-saytimizda eng mashhurlaridan biridir. Ushbu yechim minimal xarajatlar bilan (birinchi navbatda dasturiy ta'minot qismi) korxonada Internetga kirishni tashkil qilish va tartibga solish. Ammo biz ko'rib chiqayotgan variantlar birinchi navbatda uning bir qismi sifatida ishlashga mo'ljallangan edi ishchi guruhi. Active Directory bilan integratsiyaning yo'qligi domen tarmoqlarida bunday marshrutizatordan foydalanish imkoniyatini keskin kamaytirdi, shuning uchun biz bu kamchilikni tuzatishga qaror qildik.

Ushbu materialni tayyorlash jarayonida biz serverni tayyorlash haqida alohida to'xtalishni rejalashtirmadik, buning uchun allaqachon mavjud bo'lgan materiallardan foydalanishni maqsad qilganmiz: . Biroq, tushuntirishlar va farqlar soni oqilona chegaralardan oshib keta boshlaganida, biz ushbu masalaga alohida maqola bag'ishlashga qaror qildik. Shu bilan birga, biz o'quvchi yuqoridagi material bilan tanish deb hisoblaymiz va shuning uchun biz foydalanadigan ko'plab sozlamalarni batafsil tushuntirmaymiz va mayda tafsilotlarga to'xtalmaymiz.

Active Directory bilan integratsiya xususiyatlari

Squid proksi-serverini Active Directory-ga integratsiya qilishning maqsadi nima? Darhol aytaylik, agar sizning asosiy maqsadingiz Internetni hammaga va cheklovsiz tarqatish bo'lsa, ehtimol uni yopish orqali. ijtimoiy tarmoqlar, keyin siz ko'proq o'qishingiz shart emas, biz allaqachon tasvirlab bergan konfiguratsiya sizning ehtiyojlaringizni to'liq qondiradi. Routerni Active Directory-ga integratsiya qilishning asosiy afzalligi domenda allaqachon mavjud hisoblar va xavfsizlik guruhlari asosida Internetga kirishni nazorat qilish va autentifikatsiya qilishning yagona nuqtasidan foydalanish hisoblanadi.

Bu ba'zi o'ziga xosliklarga olib keladi. Shunday qilib, shaffof rejim autentifikatsiyani qo'llab-quvvatlamaydi va to'g'ridan-to'g'ri brauzer sozlamalarida proksi-server sozlamalarini ko'rsatib, undan voz kechish kerak bo'ladi. Bu jarayonni DHCP serveri va WPAD protokoli yordamida avtomatlashtirish oson.

DNS serverlari sifatida, shu jumladan routerda, faqat domen DNS ko'rsatilishi kerak; sukut bo'yicha har bir domen boshqaruvchisi DNS serveridir. Shu sababli, yo'riqnoma DNS server roliga ega bo'lmasligi kerak. Bundan tashqari, AD bilan integratsiyani ta'minlash uchun DHCP server roli ham Windows Serverga, odatda bir yoki bir nechta domen kontrollerlariga o'tkazilishi kerak.

Endi biz bularning barchasi nima uchun boshlanganiga keldik. Domen hisobi autentifikatsiyasi bir marta kirishdan foydalanish imkonini beradi ( SSO, yagona kirish), foydalanuvchi login va parolni bir marta kiritganda - tizimga kirishda. Bunga protokol yordamida erishiladi Kerberos, bu standart AD autentifikatsiya usuli hisoblanadi. Boshqa qo'llanmalar mualliflaridan farqli o'laroq, biz asosiy autentifikatsiyani o'rnatishdan hech qanday ma'no ko'rmayapmiz, birinchi navbatda xavfsizlik sabablari. Bundan tashqari, Kerberos barcha zamonaviy operatsion tizimlar tomonidan qo'llab-quvvatlanadi.

Keyingi qadam - mavjud xavfsizlik guruhlari asosida avtorizatsiya, bu, ayniqsa, ko'chib o'tishda to'g'ri keladi OldindanTMG yoki ISA serveri. Bu sizga Linux serverini bir marta sozlash imkonini beradi va keyin odatdagi usulda - Active Directory guruhlari orqali kirishni boshqarishni amalga oshiradi, bu sizga ma'murlar uchun kirish chegarasini kamaytirish imkonini beradi.

Active Directory yanada murakkab tuzilishga va ko'proq "aktyorlarga" ega bo'lganligi sababli, biz foydalanadigan manzillar va xost nomlarida adashmaslik uchun biz kichik diagramma tayyorladik:

Bizning misollarimiz FQDN nomi bilan Active Directory domenidan foydalanadi interfeys31.lab, buning uchun ikkita domen kontrolleri mas'uldir SRV-DC01 Va SRV-DC02 mos ravishda 192.168.31.101 va 102 manzillari bilan. Ikkala kontroller ham Windows Server 2012 R2 ga asoslangan.

Router asoslangan Ubuntu serveri 14.04 (Debian 7/8) va nomi bor SRV-GW01 192.168.31.100 manzili bilan. Shuningdek, tarmoqda statik manzillari 192.168.31.103-105 bo'lgan serverlar guruhi va manzillari DHCP serveri tomonidan 192.168.31.111-199 oralig'ida chiqarilgan mijoz shaxsiy kompyuterlari mavjud.

Tarmoq konfiguratsiyasi

Tarmoq an'anaviy tarzda, konfiguratsiya faylini tahrirlash orqali sozlangan /etc/network/interfaces. Tashqi tarmoq interfeysga mos keladi deb faraz qilaylik et0, va ichki et1. Sozlamalar natijasida biz shunga o'xshash narsani olishimiz kerak:

Avto lo
iface lo inet loopback

avtomatik eth0
iface eth0 inet statik
manzil 172.18.0.106
tarmoq niqobi 255.255.240.0
shlyuz 172.18.0.1
dns-search interfeysi31.lab
dns-nom serverlari 192.168.31.101 192.168.31.102

avtomatik et1
iface eth1 inet statik
manzil 192.168.31.100
tarmoq niqobi 255.255.255.0

post-up /etc/nat

Shuni esda tutingki, sozlamalarda bo'lsa ham tashqi interfeys Tashqi manzil va shlyuz ishlatiladi, DNS server manzillari ichkarida ko'rsatilgan. Variant ham bor dns-qidiruv, bu FQDN bo'lmagan nomni aniqlash uchun domenni belgilaydi. Bu shuni anglatadiki, har bir qisqa nomga avtomatik ravishda belgilangan domen qo'shiladi, masalan. srv-dc01 ga qo'shiladi srv-dc01.interface31.lab.

Agar siz tashqi sozlamalarda ichki DNS-ni ko'rsatish orqali adashsangiz tarmoq kartasi, keyin siz ushbu qatorlarni eth1 bo'limiga ko'chirishingiz mumkin; bu serverning ishlashiga ta'sir qilmaydi.

ISPning DNS serveri yoki umumiy DNS bo'limida ko'rsatilishi kerak Ekspeditorlar har qanday domen kontrollerlarida ichki DNS server.

Agar qabul qilsangiz tarmoq sozlamalari DHCP orqali provayderdan, so'ngra provayderning DNS o'rniga ichki nom serverlaridan foydalanish uchun eth0 bo'limi quyidagicha ko'rinishi kerak:

Avtomatik eth0
iface eth0 inet dhcp
dns-search interfeysi31.lab
dns-nom serverlari 192.168.31.101 192.168.31.102

Shunday qilib, aniq belgilangan sozlamalar provayderdan avtomatik ravishda qabul qilingan sozlamalarni bekor qiladi.

Fayl mazmunini saqlang va qayta ishga tushiring. Biz serverda Internet mavjudligini va nom o'lchamlarini tekshiramiz. Masalan, buyruqni bajaring:

Nslookup srv-dc02

Birinchi ko'rsatilgan domen nomi serveri, bizning holatlarimizda 192.168.33.101 sizga javob berishi va xostning to'liq FQDN nomini va uning IP manzilini berishi kerak.

Keyin tashqi nomlarning ruxsatini tekshiring:

Nslookup ya.ru

Shuningdek, siz ichki serverdan javob olishingiz kerak. Ushbu nuqtada tarmoqni sozlash tugallangan deb hisoblash mumkin.

NAT va xavfsizlik devorini sozlash

Xavfsizlik devorining asosiy sozlamalari ish guruhining yo'riqnoma variantidan tubdan farq qilmaydi, bitta istisno. Bizning proksi-serverimiz shaffof bo'lmaganligi sababli, agar biron sababga ko'ra brauzer proksi-server bilan ishlashga sozlanmagan bo'lsa, NAT orqali to'g'ridan-to'g'ri chiqish mumkin. Shuning uchun biz to'g'ridan-to'g'ri kirishni talab qilishi mumkin bo'lgan serverlar va alohida xostlar bundan mustasno, mahalliy tarmoqdagi barcha mijozlar uchun HTTP (port 80) orqali kirishni cheklaymiz.

Biz proksi-server birinchi navbatda foydalanuvchilarni boshqarish uchun zarur deb hisoblaymiz, shuning uchun uni foydalanuvchilarga Internetga kirishni ta'minlamaydigan serverlar va xizmat hostlari uchun ishlatishning ma'nosini ko'rmayapmiz.

Keling, faylni yaratamiz va ochamiz /etc/nat

unga quyidagi tarkibni qo'shing:

# Paketlarni yo'naltirishni yoqish
echo 1 > /proc/sys/net/ipv4/ip_forward

# Xavfsizlik devori sozlamalarini tiklash
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

# Mahalliy tarmoqdan kirishga ruxsat bering
iptables -A INPUT -i eth1 -j QABUL

# Tashqaridan biz boshlagan ulanishlarga ruxsat bering
iptables -A INPUT -i eth0 -m holati --holat TUZILGAN, BOG'LIQ -j QABUL QILING

# SSH orqali ulanishga ruxsat bering
iptables -A INPUT -i eth0 -p tcp --dport 22 -j QABUL QILING

#Biz tashqaridan kelgan odamlarni taqiqlaymiz
iptables -A INPUT -i eth0 -j DROP

# Tashqaridan biz boshlagan tranzit ulanishlariga ruxsat bering
iptables -A FORWARD -i eth0 -o eth1 -m state --holat TUZILGAN, BAĞLI -j QABUL QILING

#HTTP serverlariga ruxsat berish
iptables -A FORWARD -i eth1 -s 192.168.31.101 -p tcp --dport 80 -j QABUL QILING
...
iptables -A FORWARD -i eth1 -s 192.168.31.105 -p tcp --dport 80 -j QABUL ET

#HTTPni taqiqlash
iptables -A FORWARD -i eth1 -p tcp --dport 80 -j DROP

# Biz tashqaridan tranzit tashishni taqiqlaymiz
iptables -A FORWARD -i eth0 -o eth1 -j DROP

# NAT ni yoqing
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.31.0/24 -j MASQUERAD

Bo'lim #HTTP serverlariga ruxsat berish proksi-serverni chetlab o'tib, Internetga kirishga ruxsat beradigan har bir xost uchun bir xil qoidalar to'plamini nazarda tutadi. Bizning holatlarimizda bu 192.168.31.101 dan 192.168.31.105 gacha bo'lgan manzillar, misolni chalkashtirmaslik uchun biz birinchi va oxirgini yozdik, ularni ellips bilan ajratdik (ular haqiqiy konfiguratsiyada bo'lmasligi kerak).

Faylni saqlaymiz va unga ijro huquqlarini beramiz:

Chmod +x /etc/nat

Qayta ishga tushiramiz:

Shundan so'ng, siz istisnolar ro'yxatiga kiritilgan mijozlarda Internetni tekshirishingiz mumkin - u erda bo'ladi, boshqalarda esa yo'q. Boshqa protokollar: pochta (SMTP, POP3, IMAP), FTP, HTTPS va boshqalar. barcha mijozlar ustida ishlashi kerak.

Vaqt sinxronizatsiyasini sozlash

Muvaffaqiyatli ishlash uchun domen Faol Katalog va Kerberos autentifikatsiyasi uchun marshrutizator soati domen boshqaruvchisi soati bilan sinxronlashtirilishi muhim.

NTP mijozini o'rnatamiz:

Apt-get o'rnatish ntp

Keyin konfiguratsiya faylini oching /etc/ntp.conf va bilan boshlangan barcha satrlarni izohlang server. Keyin ikkita yozuvimizni qo'shamiz:

Server srv-dc01.interface31.lab
server srv-dc02.interface31.lab

Siz allaqachon taxmin qilganingizdek, biz uchinchi tomon vaqt serverlarining yozuvlarini sharhladik va ushbu quvvatga domen kontrollerlarini qo'shdik.

Keyin faylning oxiriga NTP mijozining ishlashini ichki interfeysga cheklaydigan ikkita qator qo'shing:

Interfeys joker belgini e'tiborsiz qoldiradi
interfeysi tinglang eth1

Faylni saqlang va xizmatni qayta ishga tushiring:

Ntp xizmatini qayta ishga tushiring

NTP faqat ichki interfeysda ishlashiga ishonch hosil qilish uchun quyidagilarni bajaring:

Ss -l | grep 123

Buyruqning chiqishi faqat ichki manzillarni va mahalliy qayta tiklash manzillarini (localhost) o'z ichiga olishi kerak:

Sinxronizatsiyani buyruq bilan tekshirishingiz mumkin:

Chiqishda ustunlarga e'tibor bering: qachon- oxirgi server javobidan beri vaqt, basseyn- server so'rovi vaqti, ofset- soniyalardagi vaqt farqi.

Agar sizning marshrutizatoringiz virtual muhitda joylashgan bo'lsa, u holda yuklash paytida tizim vaqtni kim bilan sinxronlashtirishni bilmaydi, ichidagi vaqt. virtual mashina gipervisor vaqti bilan sinxronlashtirilgan. Shuning uchun, virtual mashina sozlamalarida ushbu xususiyatni o'chiring yoki gipervisor soatini domen soati bilan sinxronlang.

Squid3 keshlash proksi-serverini sozlash

Diqqat! Agar siz ishchi guruh uchun serverni ko'chirayotgan bo'lsangiz, u holda o'chirishga ishonch hosil qiling plastik to'rva dnsmasq yoki boshqa DNS va DHCP serverlari!

Muhim! bilan boshlanadi Debian 9 Va Ubuntu 16.04 paket o'rniga kalamar 3 yana ishlatilgan Kalmar, shuningdek, barcha yo'llar shunga o'xshash tarzda o'zgartirilishi kerak, ya'ni. o'rniga /etc/squid3 foydalanish /etc/squid.

Squid3 proksi-serverini buyruq bilan o'rnating:

Apt-get o'rnatish squid3

Keling, konfiguratsiya faylini ochamiz /etc/squid3/squid.conf va tegishli bo'limlarda ko'rsatilgan satrlarni qo'shish yoki izohdan olib tashlash orqali minimal konfiguratsiyani o'rnating.

Mahalliy tarmoq uchun acl elementini belgilaymiz:

Acl localnet src 192.168.31.0/24

Minimal kirish ro'yxatlari to'plami:

Http_access mahalliy tarmoqqa ruxsat beradi
http_access mahalliy xostga ruxsat beradi
http_access hammasini rad etadi

Interfeyslar, portlar va proksi ish rejimlari:

Http_port 192.168.31.100:3128
http_port 127.0.0.1:3128

Kesh sozlamalari:

Cache_mem 1024 MB
maksimal_object_size_xotirada 512 KB

cache_dir ufs / var /spool/squid3 2048 16 256

maksimal_object_size 4 MB

Jurnal sozlamalari:

Access_log dasturi:/var/log/squid3/access.log kalamar
logfile_rotate 31

Squid 3.1 va undan past versiyalar uchun birinchi qator quyidagicha ko'rinishi kerak:

Access_log /var/log/squid3/access.log kalamar

Konfiguratsiyani saqlang va tekshiring:

Squid3 -k tekshiruvi

Hech qanday xato bo'lmasa, kalamarni qayta ishga tushiring:

Squid3 xizmati qayta ishga tushirildi

Keshni qayta tiklash:

Squid3 to'xtash joyi
kalamar3 -z
squid3 xizmatini ishga tushirish

Domen DNS serverida routerimiz uchun A yozuvini qo'shing:

Endi brauzer sozlamalarida to'liq FQDN server nomini va 3128 portini belgilang:

Hech qanday cheklovlar hali o'rnatilmaganligi sababli, siz Internetga kirishingiz kerak.

Squid samarali proksi-serverni yaratish va boshqarish uchun dasturchilar, tizim ma'murlari va kompyuter tarmog'i ishqibozlari orasida keng tarqalgan yechimdir. Dastur, ayniqsa, o'zaro platformalar bo'lgani uchun jozibali. Ya'ni, siz uni Linux va Unix arxitekturasiga mos keladigan boshqa operatsion tizimlarda ham, Windowsda ham o'rnatishingiz va ishga tushirishingiz mumkin. Ushbu vositaning imkoniyatlari eng ajoyibdir. Ulardan qanday foydalanish mumkin? Muayyan OSga qarab dasturni o'rnatishda biron bir xususiyatlar mavjudmi?

Squid haqida umumiy ma'lumot

Squid nima? Ko'pincha veb-mijozlar bilan ishlatiladigan, ayniqsa kuchli proksi-server shu nom bilan tanilgan. Uning yordami bilan siz bir vaqtning o'zida bir nechta foydalanuvchilar uchun Internetga kirishni tashkil qilishingiz mumkin. Squid-ning yana bir ajoyib xususiyati shundaki, u turli so'rovlarni keshlashi mumkin. Bu sizga fayllarni tezroq qabul qilish imkonini beradi, chunki ularni Internetdan qayta yuklab olishingiz shart emas. Squid proksi-serveri haqiqiy yuklanishdan kelib chiqib, Internet-kanal tezligini ham sozlashi mumkin.

Squid Unix platformalarida foydalanish uchun moslashtirilgan. Biroq, Windows va boshqa ko'plab mashhur operatsion tizimlar uchun Squid versiyalari mavjud. Unix kontseptsiyasiga asoslangan ko'pgina operatsion tizimlar kabi bu dastur ham bepul. U FTP, SSL-ni qo'llab-quvvatlaydi va fayllarga kirish ustidan moslashuvchan boshqaruvni sozlash imkonini beradi. Squid shuningdek, DNS so'rovlarini keshlaydi. Shu bilan birga, siz shaffof Squid proksi-serverini ham sozlashingiz mumkin, ya'ni server foydalanuvchi tarmoqqa bevosita emas, balki u orqali kirishini bilmagan formatda ishlaydi. Squid ham shunday kuchli vosita tizim ma'muri yoki aloqa xizmati provayderi qo'lida.

Squidning amaliy foydaliligi

Squid qachon eng foydali bo'lishi mumkin? Masalan, bu bir nechta kompyuterlarni tarmoqqa samarali integratsiyalash va ularni Internetga kirishni ta'minlash uchun zarur bo'lgan vazifa bo'lishi mumkin. Bu holda proksi-serverdan foydalanishning maqsadga muvofiqligi shundaki, u va ma'lum bir shaxsiy kompyuterning brauzeri o'rtasidagi so'rovlar foydalanuvchi to'g'ridan-to'g'ri Internet bilan aloqa qilgandan ko'ra tezroq amalga oshiriladi. Bundan tashqari, Squid-dan foydalanganda brauzerning o'zida kesh butunlay o'chirib qo'yilishi mumkin. Bu xususiyat foydalanuvchilar orasida katta talabga ega.

Squid tarkibi

Ko'rib chiqilayotgan yechim bir nechta komponentlardan iborat. Bu aslida paket dasturiy ta'minot. Uning tuzilmasi serverni boshqaradigan dasturni, shuningdek DNS bilan ishlash uchun qo'shimcha dasturni o'z ichiga oladi. Uning qiziqarli xususiyati shundaki, u jarayonlarni ishga tushiradi, ularning har biri boshqalardan mustaqil ishlaydi. Bu sizga serverning DNS bilan o'zaro aloqasini optimallashtirish imkonini beradi.

Dastur o'rnatish

Squidni o'rnatish odatda hech qanday qiyinchiliklarga olib kelmaydi. Dasturni Linuxda o'rnatish juda oson: faqat $ sudo apt-get install squid buyrug'ini kiriting.

Windows uchun Squid-ga kelsak, ishlar biroz murakkabroq. Gap shundaki bu dastur bajariladigan fayllarga ega emas - Microsoft OS uchun ilovalarning asosiy elementlari.

Biroq, Squid-ni Windows-ga o'rnatish juda tez hal qilinishi mumkin bo'lgan vazifadir. An'anaviy Windows bajariladigan dasturlariga qaysidir ma'noda yaqin bo'lgan .bat tipidagi fayllarni o'z ichiga olgan tarqatish to'plamini yoki tegishli manbalardan topish kerak. Shundan so'ng, ularni diskdagi alohida papkaga nusxalashingiz kerak. Keyin Squid-ni tizim xizmati sifatida ishga tushirishingiz kerak. Shundan so'ng, dastur kompyuter brauzeri orqali proksi sifatida ishlatilishi mumkin. Aytishimiz mumkinki, bu Squid o'rnatilishini yakunlaydi.

Proksi-server taqsimotida deyarli har doim .conf kabi konfiguratsiya fayli mavjud. Bu foydalanuvchining kompyuteridan va boshqa qurilmalardan Internetga kirishni sozlash uchun asosiy vositadir mahalliy tarmoq Squid-dan foydalanganda.

Nuanslarni o'rnatish

Squidni o'rnatish qanday nuanslarni o'z ichiga olishi mumkin? Windows - bu proksi-server bilan ishlash konfiguratsiya fayllarini tahrirlash orqali amalga oshiriladigan operatsion tizim.

Linux holatida u ba'zi protseduralar uchun ishlatilishi mumkin. Ammo umuman olganda operatsion tizim, shuningdek, Squid sozlangan operatsion tizim Windows bo'lsa, squid.conf fayli ko'pincha ishlatiladi. U ma'lum iboralarni ("buyruqlar") belgilaydi, ularga ko'ra server tarmoqqa ulanishlarni boshqaradi.

Keling, Squid qanday tuzilganligini batafsil ko'rib chiqaylik. Birinchi qadam tarmoq foydalanuvchilariga serverga kirishga ruxsat berishdir. Buni amalga oshirish uchun http_port-dagi squid.conf faylida, shuningdek, http_access-da tegishli qiymatlarni o'rnatishingiz kerak. Bundan tashqari, kirishni boshqarish ro'yxatini yoki ACLni yaratish foydalidir. http_port sozlamalari biz uchun muhim, chunki bizning vazifamiz Squid-ni faqat ma'lum bir kompyuter guruhiga xizmat ko'rsatishga tayyorlashdir. O'z navbatida, http_access kabi parametr muhim ahamiyatga ega, chunki uning yordami bilan biz ma'lum manzillardan so'raladigan muayyan tarmoq resurslariga kirishni tartibga solishimiz mumkin (boshqa mezonlar ham mumkin - protokollar, portlar va ACL tarkibidagi boshqa xususiyatlar).

Kerakli sozlamalarni qanday o'rnatish kerak? Buni qilish juda oson.

Aytaylik, biz 192.168.0.1 dan boshlanib, 192.168.0.254 bilan tugaydigan manzil diapazoni bilan kompyuter tarmog'ini yaratdik. Bunday holda, ACL sozlamalarida quyidagi parametr o'rnatilishi kerak: src 192.168.0.0/24. Agar biz portni sozlashimiz kerak bo'lsa, u holda konfiguratsiya faylida http_port 192.168.0.1 yozuvini kiritishimiz kerak (siz faqat to'g'ri IP-manzilni ko'rsatishingiz kerak) va port raqamini kiriting.

Squid yordamida yaratilgan proksi-serverga kirishni cheklash uchun (mahalliy tarmoqdagi kompyuterlarni hisobga olmaganda) http_access-ga o'zgartirishlar kiritishingiz kerak. Bu oddiygina amalga oshiriladi - iboralar yordamida ("buyruqlar" - keling, ularni matnda bunday bo'lmasa-da, lekin terminal qatorida ular bilan juda mos keladigan deb atashga rozi bo'laylik) LocalNet-ga ruxsat berish va barchasini rad etish. . Birinchi parametrni ikkinchisining ustiga qo'yish juda muhim, chunki Squid ularni o'z navbatida taniydi.

ACL bilan ishlash: saytlarga kirishni rad etish

Aslida, kirish sozlamalari Squid-da juda keng doirada mumkin. Keling, mahalliy tarmoqlarni boshqarish amaliyotida foydali bo'lgan misollarni ko'rib chiqaylik.

src elementi juda mashhur. Uning yordami bilan siz proksi-serverga so'rov yuborgan kompyuterning IP-manzilini yozib olishingiz mumkin. src elementini http_access bilan birlashtirib, siz, masalan, ma'lum bir foydalanuvchiga tarmoqqa kirishga ruxsat berishingiz mumkin, lekin hamma uchun shunga o'xshash harakatlarni taqiqlashingiz mumkin. Bu juda sodda tarzda amalga oshiriladi.

Biz ACL (foydalanuvchilar guruhi nomi) src (tartibga solinadigan IP manzillar oralig'i) ni yozamiz. Quyidagi qator ACL (muayyan kompyuter nomi) src (tegishli shaxsiy kompyuterning IP manzili). Shundan so'ng biz http_access bilan ishlaymiz. Biz http_access ruxsat berish buyruqlari yordamida bir guruh foydalanuvchilar va individual shaxsiy kompyuter uchun tarmoqqa kirish ruxsatini o'rnatdik. Quyidagi qatorda biz hamma narsani rad etish buyrug'i bilan boshqa kompyuterlar uchun tarmoqqa kirish taqiqlanganligini ta'kidlaymiz.

Squid proksi-serverini o'rnatish, shuningdek, kirishni boshqarish tizimi tomonidan taqdim etilgan boshqa foydali elementdan foydalanishni o'z ichiga oladi - dst. Bu sizga proksi-server ulanishni xohlagan serverning IP-manzilini tuzatishga imkon beradi.

Ko'rib chiqilayotgan elementdan foydalanib, biz, masalan, ma'lum bir pastki tarmoqqa kirishni cheklashimiz mumkin. Buni amalga oshirish uchun siz buyruqdan foydalanishingiz mumkin ACL (tarmoq belgilanishi) dst (pastki tarmoq IP manzili), quyidagi qator - http_access inkor (tarmoqdagi ma'lum bir kompyuterning nomi).

Yana bir foydali element - dstdomain. Bu bizga foydalanuvchi bog'lanmoqchi bo'lgan domenni qo'lga kiritish imkonini beradi. Ko'rib chiqilayotgan elementdan foydalanib, biz ma'lum bir foydalanuvchining, masalan, tashqi Internet resurslariga kirishini cheklashimiz mumkin. Buni amalga oshirish uchun siz buyruqdan foydalanishingiz mumkin: ACL (saytlar guruhi) dstdomain (sayt manzillari), quyidagi qator - http_access inkor (tarmoqdagi kompyuter nomi).

Kirishni boshqarish tizimining tuzilishida boshqa diqqatga sazovor elementlar mavjud. Ular orasida SitesRegex ham bor. Ushbu iboradan foydalanib, foydalanuvchining ma'lum bir so'zni o'z ichiga olgan Internet domenlariga kirishini cheklashingiz mumkin, masalan, pochta (agar vazifa kompaniya xodimlariga uchinchi tomon pochta serverlariga kirishni taqiqlash bo'lsa). Buni amalga oshirish uchun siz ACL SitesRegexMail dstdom_regex pochta buyrug'idan, so'ngra ACL SitesRegexComNet dstdom_regex \.com$ buyrug'idan foydalanishingiz mumkin (bu tegishli domen turiga kirish rad etilishini anglatadi). Quyidagi qatorda http_accesss in deny ko'rsatilgan bo'lib, u tashqi tarmoqqa kirish mumkin bo'lgan kompyuterlarni ko'rsatadi pochta serverlari istalmagan.

Ba'zi iboralar -i kalitidan foydalanishi mumkin. Undan, shuningdek, veb-manzillar uchun shablon yaratish uchun mo'ljallangan url_regex kabi elementdan foydalanib, biz berilgan kengaytmali fayllarga kirishni rad etishimiz mumkin.

Masalan, ACL buyrug'i yordamida NoSwfFromMail url_regex -i mail.*\.swf$ biz Flash videolarni o'z ichiga olgan elektron pochta saytlariga kirish imkoniyatini tartibga solamiz. Agar kirish algoritmlariga kiritish kerak bo'lmasa Domen nomi sayt, keyin siz urlpath_regex ifodasini ishlatishingiz mumkin. Masalan, ACL media urlpath_regex -i \.wma$ \.mp3$ buyrug'i shaklida.

Dasturlarga kirishni rad etish

Squid-ni sozlash proksi-server resurslaridan foydalanganda foydalanuvchining ma'lum dasturlarga kirishini rad etish imkonini beradi. Shu maqsadda ACL (dastur nomi) port (port oralig'i) buyrug'idan foydalanish mumkin, quyidagi qatorda http_access deny all (dastur nomi).

Standartlar va protokollardan foydalanish

Squid-ni sozlash tizim administratoriga Internet-kanaldan foydalanish uchun afzal qilingan protokolni o'rnatishga ham imkon beradi. Misol uchun, agar ma'lum bir shaxsiy kompyuterdan FTP protokoli orqali tarmoqqa kirishga ehtiyoj tug'ilsa, siz quyidagi buyruqdan foydalanishingiz mumkin: ACL ftpproto proto ftp, quyidagi qator - http_access inkor (kompyuter nomi) ftpproto.

Usul elementidan foydalanib, biz HTTP so'rovini qanday qilish kerakligini belgilashimiz mumkin. Ulardan ikkitasi bor - GET va POST, lekin ba'zi hollarda ikkinchisidan ko'ra birinchisi afzalroq va aksincha. Misol uchun, ma'lum bir xodim mail.ru orqali pochtani ko'rmasligi kerak bo'lgan vaziyat bo'lishi mumkin, ammo agar odam ko'rsatilgan saytdagi yangiliklarni o'qishni xohlasa, uning ish beruvchisi e'tiroz bildirmaydi. Buning uchun tizim administratori quyidagi buyruqdan foydalanishi mumkin: ACL sitemailru dstdomain .mail.ru, quyidagi qator - ACL metodpost usuli POST, keyin http_access inkor etish (kompyuter nomi) methodpost sitemailru.

Bular Squid konfiguratsiyasi o'z ichiga olgan nuanslardir. Ubuntu ishlatiladi, Windows yoki proksi-server bilan mos keladigan boshqa OS - biz kerakli parametrlarni o'rnatish uchun muhokama qilgan xususiyatlar, odatda, Squid uchun har qanday dasturiy muhitga xosdir. Ushbu dasturiy ta'minot bilan ishlash juda hayajonli jarayon va shu bilan birga dasturni o'rnatish uchun asosiy algoritmlarning mantiqiyligi va shaffofligi tufayli murakkab emas.

Keling, ba'zilarini eslatib o'tamiz asosiy fikrlar, Squid sozlamalari uchun odatiy.

O'rnatishda nimalarga e'tibor berish kerak?

Agar siz serverni sozlashning asosiy vositasi bo'lgan squid.conf faylini topishda qiynalayotgan bo'lsangiz, etc/squid katalogini tekshirishga urinib ko'rishingiz mumkin.

Ko'rib chiqilayotgan fayl bilan ishlashda eng oddiyidan foydalansangiz yaxshi bo'ladi matn muharriri: Proksi-serverni sozlash uchun mas'ul bo'lgan qatorlarga formatlash elementlarini kiritishning hojati yo'q.

Ba'zi hollarda, ishlayotganda provayderning proksi-serverini ko'rsatish kerak bo'lishi mumkin. Buning uchun cache_peer buyrug'i mavjud. Siz uni shunday kiritishingiz kerak: cache_peer (provayderning proksi-server manzili).

Ba'zi hollarda, Squid ishlatadigan RAM miqdorini yozib olish foydali bo'ladi. Buni cache_mem buyrug'i yordamida amalga oshirish mumkin. Keshlangan ma'lumotlar saqlanadigan katalogni ko'rsatish ham foydalidir, bu cache_dir ifodasi yordamida amalga oshiriladi. Birinchi holda, butun buyruq cache_mem (baytdagi operativ xotira miqdori), ikkinchisida - cache_dir (katalog manzili, megabaytlar soni) kabi ko'rinadi. disk maydoni). Agar tanlovingiz bo'lsa, keshni eng yuqori unumdorlikka ega disklarga joylashtirish tavsiya etiladi.

Proksi-serverga kirish huquqiga ega kompyuterlarni ko'rsatishingiz kerak bo'lishi mumkin. Buni ACL ruxsat etilgan xostlar src (kompyuter IP manzillari oralig'i), shuningdek, ACL localhost src (mahalliy manzil) buyruqlari yordamida amalga oshirish mumkin.

Agar ulanishlar SSL portlaridan foydalansa, ular ssl_ports port ACL buyrug'i yordamida ham tuzatilishi mumkin. Shu bilan birga, siz boshqa portlar uchun CONNECT usulidan foydalanishni taqiqlashingiz mumkin, himoyalangan portlarda ko'rsatilganlardan tashqari. SSL ulanish. Bunda sizga http_access inkor CONNECT ifodasi yordam beradi! SSL_Portlar.

Squid va pfSense

Ba'zi hollarda pfSense interfeysi ko'rib chiqilayotgan proksi-server bilan birgalikda qo'llaniladi, bu esa samarali sifatida ishlatiladi. Ularning birgalikdagi ishini qanday tashkil qilish kerak? Ushbu muammoni hal qilish algoritmi juda murakkab emas.

Birinchidan, biz pfSense interfeysida ishlashimiz kerak. Biz allaqachon sozlagan Squid SSH buyruqlari yordamida o'rnatilishi kerak. Bu eng qulay va biridir xavfsiz yo'llar proksi-serverlar bilan ishlash. Buning uchun interfeysdagi "Enable" bandini faollashtirishingiz kerak.Uni topish uchun "Tizim" menyusi bandini, keyin "Kengaytirilgan", so'ng "Administratorga kirish" bandini tanlashingiz kerak.

Shundan so'ng siz PuTTY-ni yuklab olishingiz kerak - SSH bilan ishlash uchun qulay dastur. Keyinchalik, konsoldan foydalanib, Squid-ni o'rnatishingiz kerak. Buni -pkg install squid buyrug'i yordamida amalga oshirish oson. Shundan so'ng, pfSense veb-interfeysi orqali proksi-serverni ham o'rnatishingiz kerak. Squid (uning parametrlarini o'rnatish bu bosqichda ishlab chiqarilmagan) tizim menyusi bandini, keyin Paketlar, keyin Mavjud paketlarni tanlash orqali o'rnatilishi mumkin. Squid Stable to'plami tegishli oynada mavjud bo'lishi kerak. Keling, uni tanlaylik. Quyidagi sozlamalarni o'rnatish kerak: Proksi interfeysi: LAN. Shaffof proksi qatori yonidagi katakchani belgilashingiz mumkin. Jurnal uchun manzilni tanlang va rus tilini afzal til sifatida belgilang. Saqlash tugmasini bosing.

Resurslarni optimallashtirish vositasi

Squid-ni sozlash tizim ma'murlariga server resurslarini samarali taqsimlash imkonini beradi. Ya'ni, bu holda biz biron bir saytga kirishni taqiqlash haqida gapirmayapmiz, ammo u yoki bu foydalanuvchi yoki ularning guruhi tomonidan kanaldan foydalanish intensivligi nazoratni talab qilishi mumkin. Ko'rib chiqilayotgan dastur ushbu muammoni bir necha usul bilan hal qilish imkonini beradi. Birinchidan, bu keshlash mexanizmlaridan foydalanish: shu sababli Internetdan fayllarni qayta yuklab olish talab qilinmaydi, chunki trafik yuki kamayadi. Ikkinchidan, bu tarmoqqa kirish uchun vaqt chegarasi. Uchinchidan, bu ma'lum foydalanuvchilarning harakatlariga yoki yuklab olingan fayllarning o'ziga xos turlariga nisbatan tarmoqdagi ma'lumotlar almashinuvi tezligi uchun chegara qiymatlarini belgilash. Keling, ushbu mexanizmlarni batafsil ko'rib chiqaylik.

Keshlash orqali tarmoq resurslarini optimallashtirish

Strukturada tarmoq trafigi O'zgarmagan holda ishlatiladigan ko'plab fayl turlari mavjud. Ya'ni, kompyuterga yuklab olingandan so'ng, foydalanuvchi tegishli operatsiyani takrorlashi shart emas. Squid dasturi server tomonidan bunday fayllarni tanib olish mexanizmini moslashuvchan konfiguratsiyaga imkon beradi.

Biz tekshirayotgan proksi-serverning juda foydali varianti bu keshdagi faylning yoshini tekshirish. Tegishli xotira sohasida juda uzoq vaqt turgan ob'ektlar yangilanishi kerak. Ushbu parametrni refresh_pattern buyrug'i yordamida yoqish mumkin. Shunday qilib, to'liq ifoda refresh_pattern kabi ko'rinishi mumkin (minimal vaqt davomiyligi - daqiqalarda, "yangi" fayllarning maksimal ulushi -% da, maksimal davr). Shunga ko'ra, agar fayl keshda belgilangan mezonlardan uzoqroq bo'lsa, uning yangi versiyasini yuklab olish kerak bo'lishi mumkin.

Vaqtga asoslangan kirish cheklovlari orqali resurslarni optimallashtirish

Squid-Proxy-ning imkoniyatlari tufayli ishlatilishi mumkin bo'lgan yana bir variant vaqt o'tishi bilan foydalanuvchining tarmoq resurslariga kirishini cheklashdir. U juda oddiy buyruq yordamida o'rnatiladi: ACL (kompyuter nomi) vaqt (kun, soat, daqiqa). Kirish haftaning istalgan kuni uchun "kun" ni ingliz alifbosida uning nomiga mos keladigan so'zning birinchi harfi bilan almashtirish orqali cheklanishi mumkin. Misol uchun, agar dushanba bo'lsa, u holda M, seshanba bo'lsa, u holda T. Agar buyruqda "kun" so'zi bo'lmasa, unda butun hafta uchun tegishli taqiq o'rnatiladi. Qizig'i shundaki, ma'lum dasturlardan foydalangan holda foydalanuvchilar tomonidan amalga oshiriladigan tarmoqqa kirish jadvalini tartibga solish ham mumkin.

Tarifni cheklash orqali resurslarni optimallashtirish

Juda keng tarqalgan variant - ruxsat etilgan ma'lumotlar almashinuv kursini tartibga solish orqali resurslarni optimallashtirish kompyuter tarmog'i. Biz o'rganayotgan proksi-server bu muammoni hal qilish uchun eng qulay vositadir. Tarmoqdagi ma'lumotlar almashinuvi tezligini tartibga solish kechikish_sinfi, kechikish_parametrlari, kechikish_asosi kabi parametrlar yordamida, shuningdek, kechikish_pools elementi orqali amalga oshiriladi. To'rt komponentning barchasi oldida turgan muammolarni hal qilish uchun katta ahamiyatga ega tizim ma'murlari mahalliy tarmoq resurslarini optimallashtirish nuqtai nazaridan.