Konfigurasi Squid Bab 3.

The proxy server Squid

Konfigurasi Squid
Squid diatur oleh sebuah file konfigurasi, biasanya berada di squid.conf Ada sedikit dokumentasi lainnya dikirim dengan cumi dalam bentuk manual atau Texinfo (yang digunakan oleh perintah info) halaman. Namun, di samping sumur-komentar konfigurasi file, FAQ dan dokumentasi juga berada di / Usr / share / doc / squid direktori. Situs web resmi tidak www.squid.org yang mungkin diharapkan, tapi http://www.squid-cache.org. adalah opsi panjang dan memiliki banyak mil (129 dalam semua saya pikir). Untungnya meskipun, dalam rangka untuk mendapatkan Squid akan secepat mungkin (Walaupun jauh dari optimal), hanya 2 pengaturan perlu diubah.
squid.conf

Kita akan melihat dua perubahan dalam kursus ini, tetapi kami juga akan meluangkan waktu memeriksa beberapa pilihan konfigurasi lainnya 127.

Menetapkan port yang mendengarkan cumi
Keluar kotak, Squid akan mendengarkan pada port 3128 (default). Meskipun mungkin nyaman untuk mendengarkan pada port ini, administrator jaringan seringkali mengkonfigurasi proxy untuk mendengarkan pada port 8080. Ini merupakan pelabuhan yang tidak dikenal (port di bawah 1024 port terkenal dan Pembatasan dari proses yang digunakan oleh pengguna biasa), dan karena itu tidak akan berada dalam konflik dengan port lain seperti 80,, 443 22, 23, dll Squid tidak perlu terbatas pada satu port. Dengan mudah dapat dimulai dalam 2 atau lebih port. Pada contoh di bawah ini, saya akan mulai Squid pada kedua port (8080 dan 3128).
http_port 8080 3128

Selain itu, jika Anda memiliki beberapa kartu jaringan di server proxy Anda, Anda mungkin ingin membatasi proxy tersebut untuk memulai pada port 8080 pada kartu jaringan pertama dan port 3.128 pada kartu jaringan yang kedua.

jika Anda ingin menjalankan squid Anda pada port di bawah 1024. Squid tidak akan mulai dan Anda perlu berkonsultasi log file untuk menentukan apa yang telah menyebabkan gangguan pencernaan ini cumi-cumi. asalkan Anda mematuhi aturan dalam paragraf di atas. jika Anda tidak suka port saya pilih di sini. dan kelompok yang efektif 'tidak ada'. Anda dipersilahkan untuk pilih sendiri. jika Squid dimulai sebagai akar. sebagai proses baru akan melahirkan dan proses baru akan berjalan sebagai user squid. tapi ini bukan masalah. Akhirnya.16. Bentuk umum dari daftar acl adalah: .0.conf menunjukkan file yang harus pengguna dan kelompok digunakan untuk server. Disarankan agar Anda membuat pengguna cumi-cumi (jika belum ada) serta kelompok 'cumi' dan mengubah file konfigurasi yang sesuai. Jika ada. cache_effective_group dan cache_effective_user adalah file-file konfigurasi pengaturan yang diperlukan. dan yang kedua adalah daftar http_access (Http_access). Jika Anda memilih port di bawah 1024. Squid akan perlu dijalankan sebagai root.http_port 192. itu akan berjalan sebagai user yang efektif 'tidak ada'. Setelah user dan grup yang akan digunakan telah didirikan kita perlu mengatur akses ke proxy kita.43.1:3128 Satu hal yang perlu dicatat adalah bahwa tidak boleh ada layanan lain yang berjalan pada ini sebelum memulai port server proxy. The 'acl' benar-benar mendefinisikan sebuah sinonim yang bisa kita gunakan dalam http_access daftar. Mengontrol akses ke server proxy Akses kontrol ditentukan menggunakan dua set parameter konfigurasi. Cumi-cumi pengguna Squid tidak boleh dijalankan sebagai root. Yang pertama adalah daftar kontrol akses (acl). Anda akan perlu untuk memulai adalah sebagai pengguna 'root'.1:8080 172. Seperti disebutkan sebelumnya.168. Ada dua opsi konfigurasi lain dalam squid. Dalam mode default ini.

Kita menunjukkan contoh di acltype waktu di atas..255. kita dapat menggunakannya untuk mendefinisikan file http_access. tetapi mari kita melihat orang lain. jika kita memiliki acl sebagai berikut: src 192..*) seperti dalam srcdom_regex Ekspresi reguler menggunakan sumber atau tujuan domain.0 acl waktu regular_days MTWHF 10:00-16:00 http_access memungkinkan allowed_clients regular_days Setelah kami mendefinisikan acl.1.168. Jadi. memiliki dua baris sebagai berikut: http_access memungkinkan allowed_clients ..255.0 acl allowed_clients Garis http_access bisa membaca: http_access memungkinkan allowed_clients Beberapa poin yang perlu diperhatikan mengenai garis http_access adalah: Setiap baris adalah 'OR'ed dengan berikutnya.255. | "File" 'Acltype's src dapat menjadi salah satu (ini bukan the whole list!): alamat sumber paket (misalnya Alamat IP) alamat tujuan paket (misalnya Alamat IP / domain dst yang paket ini ditakdirkan) domain sumber paket (untuk ini. hanya domain yang paket yang ditakdirkan srcdom_regex ekspresi reguler menggambarkan domain sumber (misalnya QEDux .. Jadi. menambahkan untuk latency itu) dstdomain seperti dalam sumber domain. Format umum dari direktif http_access adalah: http_access mengijinkan | menyangkal [] aclname! .168.255. Squid harus melakukan srcdomain nama lookup reverse untuk menentukan sumber domain.0/255.acltype aclname acl string1 . Perlu diketahui bahwa dstdom_regex hal ini dapat menyebabkan keterlambatan sebagai hasilnya lookup.0.0/255. menentukan waktu di mana host dapat menghubungkan misalnya acl allowed_clients src Waktu 192.

Pertandingan pertama akan menyebabkan cumi untuk menerima permintaan dan tidak ada garis selanjutnya akan dicocokkan. Dalam gaya ATAU khas. Jadi urutan penting dalam baris http_access. tapi menolak klien yang tidak sesuai ke alamat allowed_clients sumber. memungkinkan akses melalui proxy. pada akhir semua baris http_access.0.0. Dalam 'waktu' contoh yang disebutkan di atas: http_access memungkinkan allowed_clients regular_days ini akan diartikan sebagai: http_access memungkinkan allowed_clients DAN regular_days Hal ini akan menyatakan bahwa jika klien di jaringan 192. "TRUE atau apa" selalu akan menghasilkan hasil TRUE.0/0. sebagai berikut: http_access menolak semua Hasilnya adalah untuk menolak semua klien yang belum cocok dengan http_access sebelumnya aturan. Anda melihat ada sebuah entri sebagai berikut: src 0. A 'menangkap-semua' sebagaimana aslinya. setiap entri pada baris http_access adalah 'AND'ed dengan entri berikutnya.0 acl semua di acl akan dengan garis yang terkait. Selanjutnya.0.ATAU http_access menyangkal! allowed_clients dan ini akan memungkinkan allowed_clients.x DAN itu waktu adalah antara 10am and 4pm.168.conf file.0. .0. Jika Anda berkonsultasi Anda squid.

x) acl src 192.168.0.net. Squid sebagai dikirim dalam itu menyusut rata. kantor) untuk # Menggunakan proxy (dan dengan demikian menggunakan Internet) http_access memungkinkan QEDux. dinyatakan meskipun baris ini mungkin tidak cocok.net. Anda akan .home # Meskipun bek adalah pada 10.0/255.Jelas kita juga perlu menambahkan baris menyangkal suatu tempat di bawah ini.net.0.net. Dengan demikian. hanya memungkinkan akses ke localhost dengan menggunakan direktif http_access. yang akan \ pertandingan RE dalam kasus # tidak sensitif secara blacklist_sites acl url_regex-i sex porno dewasa Sekarang untuk baris http_access: # Pastikan bahwa ini bukan bek yang berusaha \ untuk menggunakan proxy http_access menyangkal defender_arp # Pastikan bahwa orang mencoba untuk menggunakan proxy adalah \ tidak akan ke # Dewasa / porno / seks situs http_access menyangkal blacklist_sites # Jika tidak memungkinkan pengguna pada domain \ QEDux.net.0.0 QEDux.net.255.168.net. # Ini khusus yang ditetapkan berdasarkan alamat MAC itu defender_arp acl arp 00:01:03:8 C: FB: 01 # Larang akses ke url yang mengandung kata \ seks atau porno atau dewasa. # Perhatikan juga penggunaan opsi-i.43. mari kita lihat beberapa contoh acl's (komentar di atas garis menunjukkan apa yang saya berusaha untuk mencapai menggunakan mereka): # Tetapkan alamat untuk sumber alias 'itu' QEDux.x) acl src 10.home # (Klien pada jaringan di berbagai 192.255. (Rumah.1.255.0/255.1.work # Tetapkan alamat untuk sumber alias 'itu' QEDux.home # Jika tidak menyangkal semua klien yang tidak sesuai dengan pola-pola ini http_access menolak semua Secara default. bentuk yang paling sederhana di dalamnya.1.43.work \ QEDux.255.0 QEDux. klien masih akan diizinkan melalui proxy.x jaringan.work # (Klien pada jaringan di berbagai 10.

diperlukan untuk menambahkan baris acl jaringan Anda.. jika nama Joe muncul di bagian atas daftar untuk www. Beberapa catatan akhir tentang situs daftar hitam adalah: Alih-alih memiliki regex yang akan cocok dengan situs tersebut. Anda telah memecahkan masalah. serta entri dalam squid... itu berharga konsultasi pengacara sebelum melakukan seperti itu kebijakan pada proxy. Saya pribadi berarti berurusan dengan 'penyalahgunaan' Internet untuk mengotomatisasi proses penerbitan pengguna Internet agar situs mereka baru saja dikunjungi.. Dengan begitu. memiliki kebijakan yang ditetapkan sebelumnya bahwa karyawan sadar. # # INSERT ATURAN ANDA SENDIRI (S) DI SINI UNTUK MEMBOLEHKAN \ ACCESS KLIEN DARI ANDA # ..conf file sebagai berikut menunjukkan di mana Anda harus menambahkan peraturan Anda sendiri: . Sebuah komentar dalam squid. Ini adalah peringatan. atau perusahaan Anda...conf file untuk mengizinkan akses dari host di jaringan Anda. Perlu dicatat bahwa akses ke situs-situs tertentu menolak mungkin akan mengharuskan Anda. bisa menjadi malu pada saat teh ketika orang mulai kuis tentang hal itu! Latihan: 1. dan dengan pengguna menjadi lebih sadar hak-hak mereka.com.. Anda bisa memasukkan semua situs blacklist di file eksternal. . Mengkonfigurasi acl / http_access arahan yang akan memungkinkan kali penggunaan Internet untuk makan siang dan setelah jam 5 sore. Post kontrak meletakkan hukum tidak sah dan Anda (atau perusahaan Anda) bisa menemukan diri Anda dalam air panas.playboy.txt" Sekarang semua yang Anda perlu lakukan adalah menambahkan situs Anda yang ke dalam daftar hitam file teks dan bingo. dan mengubah acl Anda untuk membaca sebagai berikut: blacklist_sites acl url_regex "/ etc / blacklisted_sites.

Mengkonfigurasi acl / direktif http_access untuk mengizinkan pengguna di 172.168. kecuali menunggu. cumi kapal dengan ukuran cache default dari 100MB dan hal ini mungkin perlu berubah tergantung pada seberapa besar situs Anda proxy adalah penanganan. namun menyangkal tertentu host 172. Mengingat perintah http_access berikut.30 acl hosts3 acl waktu pagi 10:00-13:00 acl waktu makan siang 13:30-14:30 15:00-18:00 acl waktu malam http_access http_access http_access http_access http_access mengijinkan host1 pagi mengijinkan host1 malam memungkinkan host2 makan siang memungkinkan host3 malam menolak semua Pengaturan cache_dir yang Pada titik ini Anda mungkin akan gatal untuk memulai proxy Anda. biarkan default. apa hasilnya: The acl diberikan sebagai berikut: acl Safe_ports port 80 21 443 563 70 210 1025 -65535 metode CONNECT acl CONNECT http_access menyangkal! Safe_ports http_access menyangkal CONNECT! SSL_ports src 192.168. 3. C5 dan 96: EF: 15 4. Anda harus menyadari apa artinya angka setelah path ke direktori cache.20 acl hosts2 src 192.16.10 src 192. Namun.0/24 acl ip_acl Acl waktu T time_acl M W H F 9:00-17:00 http_access memungkinkan ip_acl time_acl acl hosts1 src192. Jika Anda hanya menguji pada tahap ini. Format umum dari direktif cache_dir adalah: cache_dir Type Directory-Name Maxobjsize Mbytes \ Level-1 Level2 [.0.. Ada lagi! Kotak keluar.168.0.0.16.2.168.2.149 dan 153.43 jaringan.] .43. Mengkonfigurasi acl / direktif http_access untuk melarang pengguna dengan MAC alamat 00:10:11:96: A1: C3.

1. Anda akan menentukan ini di sini. Squid Direktori Tingkat Perhatikan bahwa Squid tidak secara otomatis menciptakan hirarki direktori diperlukan untuk cache halaman Anda. Ini dapat diabaikan Direktori-Nama adalah nama direktori top-level. secara default dari pembungkus-psikiater. Anda mungkin ingin untuk menyimpan cache di / Var / cache atau / Var / spool / cache atau / Var / spool / squid. Dengan asumsi Anda tahu tempat tinggal cumi Anda biner. dan Level-2. ini adalah 100MB. Level-1 dan Level-2 adalah jumlah tingkat pertama direktori yang akan dibuat di bawah NamaDirektori.dimana: • • • • • Jenis umumnya UFS (meskipun bisa juga hal-hal lain .conf file) Maxobjsize adalah ukuran obyek maksimum direktori penyimpanan mendukung. tapi tentu akan meningkatkan latency ke situs yang Anda kunjungi.bahkan untuk organisasi kecil. Anda bisa melakukan sesuatu seperti: . jumlah 2 direktori tingkat di bawah tingkat pertama Gambar 3. Ingat bahwa melelahkan cache tidak akan mempengaruhi akses Anda ke Internet.bacalah squid. Anda dapat melakukannya dengan menggunakan: / Usr / sbin / squid-z Cara terbaik memulai pertama kali cumi adalah mulai dengan tangan. Mbytes. Namun hal ini cache sangat kecil dan kemungkinan besar akan cukup kelelahan segera setelah menggunakan cache . Dua yang terakhir entri.

. Meningkatkan jumlah setelah-d akan menampilkan informasi lebih lanjut debug. Jika tidak. Jika. pada output./ Usr / sbin / squid-N-d 1-D Ini tidak akan menempatkan cumi ke latar belakang.d start / squid). membaca log dengan hati-hati untuk menentukan apa masalahnya. • • Opsi-d 1 adalah jumlah informasi debug akan ditampilkan. sedangkan opsi-D akan menonaktifkan DNS awal tes. Setelah Anda telah diuji proxy tersebut. Anda lihat: Siap untuk melayani permintaan server proxy Anda siap untuk digunakan. tapi akan memuntahkan semua output ke konsol. Anda dapat CTRL-C proses cumi dan mulai sebagai skrip init akan dilakukan (dalam Debian yang akan / Etc / init. tetapi akan terus mengoperasikannya di latar depan. The-N Pilihan ini tidak akan menempatkan cumi ke latar belakang.

Sign up to vote on this title
UsefulNot useful