Boshlanuvchilar uchun Squid ko`rinish. Squid proksi server modernizatsiya qilish uchun qanday

Squid - samarali proksi-server yaratish va uni boshqarish uchun dasturchilar, tizim boshqaruvchilari va kompyuter tarmoqlari muxlislari muhitida keng tarqalgan usul. Dastur, xususan, o'zaro faoliyat platforma bo'lib jozibador. Boshqacha aytganda, uni Unix arxitekturasiga va Windowsda ishlaydigan Linuxda va boshqa operatsion tizimlarda o'rnatib, ishga tushirishingiz mumkin. Ushbu vositaning qobiliyatlari eng yaxshi hisoblanadi. Qanday qilib ular ishlatilishi mumkin? Dasturni operatsion tizimga moslash uchun dasturni sozlashda biron bir xususiyat mavjudmi?

Squidga kirish

Squid nima? Ushbu nom ostida ko'pincha veb-mijozlar bilan ishlatiladigan juda samarali proksi-server ma'lum. Uning yordami bilan siz bir nechta foydalanuvchilar uchun bir vaqtda Internetga kirishni tashkil qilishingiz mumkin. Squidning yana bir muhim xususiyati turli xil so'rovlarni keshlashi. Bu sizga fayllarni olishni tezlashtiradi, chunki ularni qayta Internetdan yuklab olishning hojati yo'q. Squid proksi-serveri, shuningdek, haqiqiy yuk bilan bog'liq holda Internet-kanalning tezligini sozlashi mumkin.

Squid Unix platformalarida foydalanish uchun moslangan. Biroq, Windows uchun Squid va boshqa ko'plab mashhur operatsion tizimlar mavjud. Ushbu dastur, shuningdek Unix konsepsiyasiga asoslangan ko'pgina operatsion tizimlar bepul. HTTP, FTP, SSL-ni qo'llab-quvvatlaydi , fayllarga kirishda moslashuvchan boshqaruvni sozlash imkonini beradi. Squid shuningdek DNS so'rovlarini keshga yozadi. Shunday qilib Squid-proksi-serverni to'g'ridan-to'g'ri emas, balki uning orqali tarmoq orqali manzillarni bilmasa, serverning ishlashi formatida sozlanishi va oshkora bo'lishi mumkin. Shunday qilib, Squid - tizim administratori yoki aloqa xizmati provayderining qo'lida kuchli vosita.

Squidning amaliy yordami

Squid qachon foydali? Misol uchun, bu bir necha kompyuterlarni tarmoqqa samarali integratsiyalashtirish va ular uchun Internetga kirishni ta'minlash vazifasi bo'lishi mumkin. Bu holda proksi-serverni ishlatishning maqsadga muvofiqligi shundan iboratki, u bilan brauzer o'rtasidagi so'rovlar Internetdan foydalanuvchilar bilan to'g'ridan-to'g'ri aloqa qilishdan ko'ra tezroq. Bundan tashqari, brauzerning o'zi Squid keshini ishlatganda, uni butunlay o'chirib qo'yishingiz mumkin. Bu funksiya foydalanuvchilar orasida juda mashhur.

Tarkibi Squid

Ushbu yechim bir necha tarkibiy qismlardan iborat. Aslida, bu dasturiy ta'minot to'plami. Uning tarkibida - server ishga tushirilgan dastur, shuningdek DNS bilan ishlash uchun qo'shimcha dastur. Qizig'i shundaki, u har biri boshqalardan mustaqil ishlaydigan jarayonlarni boshlaydi. Bu sizga DNS serverlari bilan o'zaro ta'sirni optimallashtirish imkonini beradi.

Dasturni o'rnatish

Squidni o'rnatish odatda qiyinchiliklarga olib kelmaydi. Linuxda dasturni qo'yish juda oson: faqat $ sudo apt-get install squidni yozing.

Windows uchun Squidga kelsak, bu erda hammasi murakkab. Muhim nuqta, bu dasturda Microsoft-dan OS uchun qo'llaniladigan ilovalarning asosiy elementlari mavjud.

Biroq, Squid-ni Windows-ga o'rnatish - bu tezkor ravishda echilishi mumkin bo'lgan vazifa. Squid-cache.org saytida yoki an'anaviy Windows operatsion tizimiga o'xshash bo'lgan .bat fayllarini o'z ichiga olgan tarqatish paketini topish kerak. Shundan so'ng ularni diskdagi alohida papkaga ko'chiring. Keyin Squid tizim xizmati sifatida ishlatishingiz kerak. Shundan so'ng, dastur kompyuter brauzeri orqali proksi sifatida ishlatilishi mumkin. Squid-ning o'rnatilishi endi tugagan deb aytishimiz mumkin.

Proksi-serverning taqsimoti deyarli har doim .conf tipidagi konfiguratsiya faylini o'z ichiga oladi. Squid yoqilganda, foydalanuvchi kompyuteridan va mahalliy tarmoqqa ulangan boshqa qurilmalardan internetga kirishni ta'minlashning asosiy vositasi.

Xususiylashtirishning noaniqligi

Squidni yaratishning qaysi bosqichlari bo'lishi mumkin? Windows - proksi-server bilan ishlaydigan operatsion tizim, konfiguratsiya fayllarini tahrirlash yo'li bilan amalga oshiriladi.

Linux bo'lsa, buyruq satridan ba'zi tartib-qoidalar uchun foydalanishingiz mumkin. Ammo umuman, bu operatsion tizimda, shuningdek Squid konfiguratsiya qilingan OS Windows bo'lsa, squid.conf ko'pincha ishlatiladi. Serverga tarmoqqa ulanishlarni boshqaradigan muayyan ifodalarni ("buyruqlar") aniqlaydi.

Shuning uchun Squidni qanday qilib moslash mumkinligini o'ylab ko'ring. Birinchi qadam tarmoq foydalanuvchilari serverga kirishiga ruxsat berishdir. Buni amalga oshirish uchun, http_port-da, http_access-da, squid.conf faylida mos keladigan qiymatlarni qo'ying. Shuningdek, kirishni boshqarish yoki ACL uchun ro'yxat yaratish foydali bo'ladi. Http_port sozlamalari biz uchun muhim, chunki bizning vazifamiz Squidni faqat ma'lum bir kompyuter guruhini saqlash uchun tayyorlashdir. O'z navbatida, http_access kabi parametr muhim ahamiyatga ega, chunki biz u yoki bu manzildan talab qilingan muayyan veb-resurslarga kirishni tartibga keltira olamiz (boshqa shartlar ham mumkin - protseduralar, portlar va ACLda mavjud bo'lgan boshqa xususiyatlar).

Kerakli sozlamalarni qanday o'rnatish kerak? Buni qilish juda oson.

Keling, 192.168.0.1 dan boshlangan va 192.168.0254 bilan yakunlangan manzillar oralig'ida kompyuter tarmog'ini yaratdik. Bunday holda ACL parametrlarida quyidagi parametrni tanlang: src 192.168.0.0/24. Agar portni sozlash kerak bo'lsa, konfiguratsiya faylida biz http_port 192.168.0.1 (faqat to'g'ri IP-manzilini ko'rsating) va port raqamini kiriting.

Squid tomonidan yaratilgan proksi-serverga kirishni cheklash uchun (mahalliy tarmoqqa kiruvchi kompyuterlarni hisobga olmaganda), http_access-ga o'zgartirish kiritish kerak. Bu oddiygina - ifodalar yordamida ("buyruqlar" - biz ularni chaqirishga rozimiz bo'lsak-da, qat'iyan, ular matnda emas, balki terminali qatorda ular bilan mos keladigan) LocalNet-ga ruxsat berish va barchasini inkor etish. Squid ularni o'z navbatida tan olganligi uchun birinchi parametrni ikkinchi darajali joylashtirish juda muhimdir.

ACL bilan ishlash: saytlarga kirishni taqiqlash

Aslida, Squid-da juda keng doiradagi kirish sozlamalari mumkin. Mahalliy tarmoqlarni boshqarishning foydali usullarini misollarni ko'rib chiqaylik.

Src elementi juda foydalidir. Shu bilan siz proksi-serverga so'rovni yaratgan kompyuterning IP-manzilini tuzatishingiz mumkin. Src elementini http_access bilan birlashtirish orqali, masalan, muayyan foydalanuvchi uchun tarmoqqa kirishga ruxsat berishingiz mumkin, ammo barchasi uchun shunga o'xshash xatti-harakatlarni taqiqlashingiz mumkin. Bu juda sodda.

ACL (foydalanuvchi guruhining nomi) src (nazorat ostidagi IP-adreslar oralig'i) ni yozamiz. Quyidagi satr ACL (ma'lum kompyuterning nomi) src (tegishli kompyuterning IP-manzili). Shundan so'ng biz http_access bilan ishlaymiz. Http_access ruxsat berish buyruqlaridan foydalanib, bir guruh foydalanuvchilar va alohida kompyuter uchun tarmoqqa kirishga ruxsat berdik. Quyidagi satrda tarmoqdagi kompyuterlarning qolgan qismiga kirish uchun buyruq allaqachon yopilganligini tasdiqlaydi.

Squid proksi-serverni o'rnatish, shuningdek, kirishni boshqarish tizimi tomonidan taqdim etilgan boshqa foydali elementni ham o'z ichiga oladi. Proksi-server foydalanuvchi ulanishni xohlagan serverning IP-manzilini tuzatishga imkon beradi.

Ushbu element yordamida biz, masalan, ma'lum bir kichik tarmoqqa kirishni cheklashimiz mumkin. Buni amalga oshirish uchun ACL (tarmoq belgilari) buyrug'i dst (pastki tarmoqning IP-manzili) dan foydalanishingiz mumkin, quyidagi satr http_access deny (tarmoqdagi muayyan kompyuterning nomi).

Boshqa foydali element - dstdomain. Bu bizga ulanishni xohlagan domenni tuzatishga imkon beradi. Ushbu elementni qo'llash orqali muayyan foydalanuvchining, masalan, tashqi Internet manbalariga kirishini cheklashimiz mumkin. Buni amalga oshirish uchun siz ACL (sayt guruhi) dstdomain (sayt manzillari) buyrug'idan foydalanishingiz mumkin, quyida joylashgan satr - http_access deny (tarmoqdagi kompyuter nomi).

Kirishni boshqarish tizimida boshqa e'tiborga sazovor unsurlar ham mavjud. Ular orasida SitesRegex bor. Ushbu iborani ishlatib, foydalanuvchining muayyan so'zni o'z ichiga olgan Internet domenlariga kirishini cheklashingiz mumkin, masalan, pochta (agar xodimlar uchinchi tomon pochta serverlariga kirishni taqiqlash bo'lsa). Buni amalga oshirish uchun ACL SitesRegexMail buyrug'ini dstdom_regex pochta, undan keyin ACL SitesRegexComNet dstdom_regex \ .com $ (bu mos keladigan domen turi uchun ruxsat rad etilishini bildiradi) dan foydalanishingiz mumkin. Quyidagi satr - http_accesss tashqi pochta serverlariga chiqadigan kompyuterlarning ko'rsatilishi bilan rad etadi.

Ba'zi ifodalarda, -i kaliti ishlatilishi mumkin. Uni, shuningdek, masalan, url_regex kabi veb-manzillar uchun shablon yaratish uchun mo'ljallangan elementni ishlatib, ma'lum kengaytmali fayllarga kirishni rad etishimiz mumkin.

Misol uchun, NoSwfFromMail ACL buyrug'idan foydalanib, url_regex -i pochta. * Swf $ biz Flash-filmlar mavjud tarkibidagi pochta-saytlarga kirish qobiliyatini tartibga solamiz. Kirish algoritmlarida domen nomini kiritishingiz shart bo'lmasa, urlpath_regex ifodasini ishlatishingiz mumkin. Masalan, ACL media komandasi urlpath_regex -i \ .wma $ \ .mp3 $ shaklida.

Dasturlarga kirishni taqiqlash

Squidni sozlash siz proksi-server resurslaridan foydalanganda foydalanuvchilarga ma'lum dasturlarga kirishni rad etish imkonini beradi. Buning uchun ACL (dastur nomi) portini (port diapazoni) ishlatish mumkin, ushbu satr http_access barcha (dastur nomi) rad etadi.

Standartlar va protokollarni yoqish

Squid-ni sozlash tizim administratoriga Internet-kanalni ishlatish uchun afzal qilingan protokoli belgilash imkonini beradi. Misol uchun, ma'lum bir kompyuterdan FTP protokoli orqali tarmoqqa kirishi kerak bo'lsa, quyidagi buyruqni ishlatishingiz mumkin: ACL ftpproto proto ftp, quyidagi satr http_access deny (kompyuter nomi) ftpproto.

Uslub elementidan foydalanib, HTTP so'rovi qanday bajarilishi kerakligini belgilaymiz. Jami 2 - Get va Post, ammo ba'zi hollarda bu birinchi va ikkinchi emas, aksincha. Misol uchun, ma'lum bir xodim mail.ru orqali pochta xabarlarini ko'rmasligi mumkin, lekin uning ish beruvchisi ko'rsatilgan saytdagi yangiliklarni o'qishni istasa, ishlamasligi kerak. Buning uchun tizim ma'muri quyidagi buyruqni ishlatishi mumkin: ACL sitemailru dstdomain .mail.ru, quyidagi satr - ACL methodpost usuli Post, keyin http_access deny (computer name) methodpost sitemailru.

Bu Squidni yaratishni o'z ichiga olgan nuances. Ubuntu - proksi-server bilan mos Windows, yoki boshqa OS ishlatiladi - biz ko'rib chiqqan zarur parametrlarni sozlash xususiyatlari Squid dasturiy muhiti uchun odatiy hisoblanadi. Ushbu dasturiy ta'minot bilan ishlash dasturni o'rnatish uchun asosiy algoritmlarning mantiqiy va shaffofligi sababli juda qiziqarli va qiziqarli jarayondir.

Squid-ni o'rnatish uchun muayyan bir necha asosiy fikrlarni eslang.

O'rnatish vaqtida nimalarga e'tibor berishim kerak?

Serverni sozlash uchun asosiy vosita bo'lgan squid.conf faylini topishda qiyinchiliklar mavjud bo'lsa, etc / squid katalogini tekshirib ko'rishingiz mumkin.

Eng muhimi, ushbu fayl bilan ishlasangiz, eng oddiy matn muharriri foydalanasiz: proksi-serverni konfiguratsiya qilish uchun javobgar bo'lgan satrlarda formatlash elementlariga ehtiyoj yo'q.

Ba'zi holatlarda, provayderning proksi-serverni ishlash paytida ko'rsatilishi kerak bo'lishi mumkin. Buning uchun cache_peer buyrug'i mavjud. Kiritish uchun quyidagilar kerak: cache_peer (provayderning proksi-serverining manzili).

Ba'zi hollarda Squid ishlatadigan RAM miqdorini tuzatish foydalidir. Buni cache_mem buyrug'i bilan amalga oshirish mumkin. Keshlangan ma'lumotlar saqlanadigan katalogni aniqlash uchun foydalidir, cache_dir ifodasini ishlatadi. Birinchi holda barcha buyruq cache_mem (baytda RAM miqdori), ikkinchisida - cache_dir (katalog manzili, disk maydoni megabayt soni) kabi ko'rinadi. Tanlov mavjud bo'lsa, keshni eng yuqori ko'rsatkichli disklarga joylashtirish kerak.

Proksi-serverga kirish huquqiga ega bo'lgan kompyuterlarni ko'rsatishingiz kerak bo'lishi mumkin. Buni ACL ruxsat berilgan hostlar src buyruqlar (kompyuterlarning IP manzillari oralig'i) va localhost src (mahalliy manzil) ACL bilan amalga oshirish mumkin.

SSL ulanish nuqtalari ulanishlarda ishlatilsa, ACL buyrug'i ssl_ports port orqali ham ta'minlanishi mumkin. Shu bilan birga, xavfsiz SSL ulanishidan tashqari boshqa portlar uchun CONNECT usulidan foydalanishga ruxsat berilmas. Bu http_access deny CONNECT ifodasi yordamida amalga oshirilishi mumkin! SSL_Ports.

Squid va pfSense

Ba'zi hollarda, proksi-server bilan birgalikda samarali xavfsizlik devori sifatida ishlatiladigan pfSense interfeysi ishlatiladi . Ularning birgalikdagi ishlarini qanday tashkil qilish kerak? Ushbu muammoni hal qilish algoritmi juda murakkab emas.

Avval pfSense interfeysida ishlashimiz kerak. Biz tomondan konfiguratsiya qilingan Squid, SSH komandalari orqali o'rnatilishi kerak. Bu proksi-serverlar bilan ishlashning eng qulay va xavfsiz usullaridan biridir. Buni amalga oshirish uchun interfeysdagi Xavfsiz qobiqni yoqish-ni faollashtirish . Uni topish uchun tizim menyusini tanlashingiz kerak, keyin - Kengaytirilgan, administratordan so'ng kirish.

Keyinchalik, PuTTY - SSh bilan ishlash uchun qulay dasturni yuklab olishingiz kerak. Keyin konsoldan foydalanib, Squidni o'rnatishingiz kerak. Bu oson -pkg install squid buyrug'i bilan amalga oshiriladi. Shundan so'ng proksi-serverni veb-interfeys orqali pfSense-ga o'rnatishingiz kerak. Squid (bu bosqichda uning parametrlarini sozlash mumkin emas) System menyudagi elementni tanlab, so'ng paketlar, keyinchalik mavjud paketlar orqali o'rnatilishi mumkin. Squid Stable to'plami tegishli oynada bo'lishi kerak. Biz uni tanlaymiz. Quyidagi sozlashlarni o'rnatish kerak: Proksi interfeysi: LAN. Transparent Proksi liniyasi oldida siz belgilasangiz bo'ladi. Biz jurnalning manzilini tanlaymiz va rus tilini afzal ko'rgan holda belgilaymiz. Saqlash-ni bosing.

Resursni optimallashtirish vositasi

Squidni sozlash tizim administratorlariga server resurslarini samarali tarzda ajratishga imkon beradi. Ya'ni, bu holatda har qanday saytga kirishni taqiqlash to'g'risida emas, balki foydalanuvchi yoki uning bir guruhi tomonidan kanalning ishlatish intensivligi nazoratni talab qilishi mumkin. Ushbu dastur bir necha usul bilan bu muammoni hal qilishga imkon beradi. Birinchisi, u keshlash mexanizmlarini o'z ichiga oladi: shu sababli, trafik yuki kamayib ketishi tufayli, Internetdan fayllarni takroriy yuklab olish talab qilinmaydi. Ikkinchidan, tarmoqqa vaqtincha kirish cheklovi. Uchinchidan, muayyan foydalanuvchilarning yoki ba'zi bir yuklab olingan fayllarning harakatlariga nisbatan tarmoqdagi ma'lumot almashish tezligi uchun chegara qiymatlarini o'rnatish. Keling, bu mexanizmlarni batafsil ko'rib chiqaylik.

Keshlash orqali tarmoq resurslarini optimallashtirish

Tarmoq trafigining tuzilishida o'zgaruvchan fayllar mavjud. Boshqacha qilib aytganda, ularni kompyuterga yuklaganida foydalanuvchi tegishli operatsiyani takrorlashi mumkin emas. Squid dasturi server tomonidan bunday fayllarni tan olish uchun moslashuvchan mexanizmni sozlash imkonini beradi.

Etarli foydali variant biz proksi server tekshirilayotgan - fayl yoshi keshda bo'lgan tekshiring. juda uzoq xotira maydoni ajratilgan ob'ektlar yangilangan bo'lishi kerak. Bu variantni jalb refresh_pattern jamoasi yordamida mumkin. Shunday qilib, to'liq ifoda refresh_pattern kabi qarash mumkin (vaqt minimal uzunligi - daqiqada "yangi" fayllarni maksimal ulushi -%, maksimal muddati). Fayl uzoq belgilangan mezonlar nisbatan keshda bo'lsa Shunga ko'ra, keyin uning yangi versiyasini yuklab olish uchun kerak bo'lishi mumkin.

kirish vaqti cheklash tomonidan resurslarni optimallashtirish

vaqt davomida tarmoq resurslariga foydalanuvchi kirish cheklash - siz, chunki imkoniyatlar Squid-Proksi, foydalanish mumkin yana bir variant. juda oddiy buyruq yordamida o'rnating: ACL (kompyuter nomi) vaqt (kun, soat, daqiqa). Access «kun» Ingliz tili alifbosi o'z nomiga mos so'zning birinchi harfini o'rnini bosuvchi, haftaning har bir kuni uchun cheklangan bo'lishi mumkin. Misol uchun, agar u dushanba kuni - jamoa keyin tegishli taqiqlash butun hafta davomida o'rnatilgan so'zi «kun», bo'lmasa Seshanba T. hisoblanadi M bo'lsa. Bu siz ham turli dasturlar yordamida foydalanuvchi tarmog'ida jadvali usulidan moslashtirish mumkin qiziq.

tezlik chegaralangan orqali resurslarni optimallashtirish

Juda oddiy variant - tarmoq ichidagi ma'lumotlar almashish ruxsat etilgan tezligini rostlash bilan resurslaridan optimallashtirish. Bu vazifa uchun qulay vositasi - Biz proksi server tahsil olmoqda. delay_class, delay_parameters, delay_access, deb va delay_pools element tomonidan bunday parametrlarini foydalanib tarmoq tezlik ma'lumot almashish tartibga solish. Barcha to'rt komponentlar tarmoq resurslari optimallashtiradi sohasida tizimi rahbarlari tomonidan duch qiyinchiliklar kutib olish uchun zarurdir.