Description du calmar. Installation et configuration de Squid
Bonjour, chers lecteurs et invités ! Avec cet article, je vais commencer à décrire le travail Serveur proxy de mise en cache SQUID. Cet article sera principalement introductif et théorique.
Qu'est-ce qu'un serveur proxy et qu'est-ce que Squid
Je vais commencer par les bases. calmar est serveur proxy de mise en cache pour HTTP, FTP et autres protocoles. Serveur proxy pour HTTP est un programme qui effectue des requêtes HTTP au nom d'un programme client (qu'il s'agisse d'un navigateur ou d'un autre logiciel). Peut-être par procuration mise en cache ou sans mise en cache. Mise en cache, en conséquence, enregistre toutes les demandes dans un stockage pour une livraison plus rapide aux clients, et sans mise en cache- diffuse simplement des requêtes HTTP, ftp ou autres. Auparavant, la mise en cache du trafic permettait de réaliser des économies de trafic assez importantes, mais aujourd'hui, avec l'augmentation des débits Internet, elle a un peu perdu de sa pertinence. Des serveurs proxy peuvent être intégrés hiérarchie pour traiter les demandes. Dans le même temps, les serveurs proxy interagissent les uns avec les autres en utilisant Protocole PCI.
Calmar conçu et peut fonctionner sur la plupart des systèmes d'exploitation (Unix et Windows). Sous licence GNU GPL. Capable de traiter et de mettre en cache les requêtes HTTP, FTP, Gopher, SSL et WAIS (supprimées dans la version 2.6), ainsi que DNS. Les requêtes les plus fréquentes sont stockées dans la RAM. Actuellement il y a 2 versions stables de calmar: 2.7 Et 3.1 . Les différences peuvent être trouvées dans les liens à la fin de l’article. Toutes les dépendances lors de l'installation à partir de packages sont les mêmes. Le fichier de configuration de la version 2 est compatible avec la version 3, mais la version 3 ajoute de nouvelles options. Dans l'article, je considérerai version calmar3. Il convient également de noter que si vous installez squid3, il conservera ses fichiers de configuration dans /etc/squid3, ainsi que les journaux par défaut dans squid3 se trouvent dans le répertoire /var/log/squid3/, pas /var/log/calmar/, comme de nombreux analyseurs de journaux « aiment le penser ».
Le mot "a été mentionné plusieurs fois" mise en cache"Et qu'est-ce que c'est exactement - mise en cache? Ce une méthode de stockage d'objets demandés sur Internet sur un serveur situé plus près de l’ordinateur demandeur que celui d’origine. Un objet Internet est un fichier, un document ou une réponse à une requête adressée à tout service fourni sur Internet (par exemple, FTP, HTTP ou Gopher). Le client demande un objet Internet au cache proxy ; si l'objet n'est pas encore mis en cache, le serveur proxy reçoit l'objet (soit de l'hôte spécifié à l'URL demandée, soit d'un cache parent ou voisin) et le remet au client.
Modes de fonctionnement du serveur proxy Squid
Le serveur proxy Squid peut fonctionner dans les trois modes principaux suivants :
Mode transparent
Dans ce mode, les connexions HTTP établies par les clients sont redirigées vers le serveur proxy à leur insu ni configuration explicite. Dans ce mode, la configuration du client n'est pas requise. Inconvénients de cette méthode: La configuration NAT et la redirection du trafic sont requises, l'authentification client ne fonctionne pas, les requêtes FTP et HTTPS ne sont pas redirigées.
Mode d'authentification
Pour travailler dans ce mode, les clients doivent être configurés pour fonctionner avec un serveur proxy (l'adresse du serveur proxy doit être spécifiée dans les paramètres de connexion). L'authentification et l'autorisation du client peuvent être effectuées via Kerberos, Ldap, NTLM, IP et Radius. Il est possible de créer une interaction avec les serveurs Microsoft Active Directory en authentifiant les clients - membres du domaine à l'aide du protocole Kerberos, et en autorisant ultérieurement les membres du groupe de domaine à l'aide de LDAP en mode transparent (l'utilisateur saisit son mot de passe uniquement lors de son inscription dans le domaine). Pour les groupes autorisés, il est possible d'utiliser différents paramètres de contrôle d'accès et QoS (delay pools).
Proxy inverse
Le serveur proxy met en cache les données sortantes. Le proxy inverse Squid reçoit les données du serveur HTTP au nom du client et les retransmet au client (par exemple, vers Internet). Ce mode vous permet de :
- Utiliser la mise en cache, qui réduit la charge sur les serveurs HTTP ;
- Répartition de la charge entre les serveurs HTTP ;
- Masquage des serveurs HTTP et de leurs caractéristiques ;
- Prévenir les attaques Web sur les serveurs.
Diagrammes des modes de fonctionnement SQUID
|
mode transparent |
mode inverse |
mode d'authentification |
Dans les diagrammes présentés, les flèches vertes indiquent les flux de trafic proxy. Le mouvement de ces flux sous Linux est le plus souvent régulé par les forces et les paramètres du navigateur. De plus, très souvent, les fonctions de routeur et de proxy sont assurées par une seule machine.
Installation de SQUID
Avant d'installer et de configurer Squid, vous devez vous assurer que la machine sur laquelle Squid s'exécutera a accès au réseau externe et que les clients qui utiliseront ce proxy ont accès à cette machine. L'installation du serveur proxy Squid, comme d'autres logiciels sous Linux, est possible de différentes manières, décrites dans l'article. Je vais expliquer comment installer à partir d'un référentiel dans Debian. Donc, pour installer squid, vous devez installer le package squid3, pour ce faire, exécutez la commande suivante :
Gw ~ # aptitude install squid3 Les NOUVEAUX packages suivants seront installés : libltdl7(a) squid-langpack(a) squid3 squid3-common(a) 0 package mis à jour, 4 nouveaux packages installés, 0 package marqué pour suppression et 0 package non mis à jour . Il faut obtenir 2 157 Ko d'archives. Après déballage, 10,3 Mo seront occupés. Voulez-vous continuer ?
y Obtenez : 1 http://ftp.ru.debian.org/debian/ squeeze/main libltdl7 i386 2.2.6b-2 Obtenez : 2 http://ftp.ru.debian.org/debian/ squeeze/main squid- langpack all 20100628-1 Get:3 http://ftp.ru.debian.org/debian/ squeeze/main squid3-common all 3.1.6-1.2+squeeze2 Get:4 http://ftp.ru.debian.org /debian/ squeeze/main squid3 i386 3.1.6-1.2+squeeze2 Reçu 2 157 Ko en 9 s (238 Ko/s) Sélection du paquet libltdl7 précédemment non sélectionné. (Lecture de la base de données... il y a actuellement 41133 fichiers et répertoires installés.) Le package libltdl7 est décompressé (à partir du fichier.../libltdl7_2.2.6b-2_i386.deb)... Sélection du package squid-langpack précédemment non sélectionné . Le package squid-langpack est décompressé (à partir du fichier.../squid-langpack_20100628-1_all.deb)... Sélection du package squid3-common précédemment non sélectionné. Le package squid3-common est décompressé (à partir du fichier.../squid3-common_3.1.6-1.2+squeeze2_all.deb)... Sélection du package squid3 précédemment non sélectionné. Le package squid3 est décompressé (à partir du fichier.../squid3_3.1.6-1.2+squeeze2_i386.deb)... Les déclencheurs pour man-db sont traités... Le package libltdl7 (2.2.6b-2) est configuré.. . Le package squid-langpack est configuré (20100628-1) ... Configuration du package squid3-common (3.1.6-1.2+squeeze2) ... Configuration du package squid3 (3.1.6-1.2+squeeze2) ... Création de la structure du répertoire de spool du proxy HTTP Squid 3.x 2012/02/15 21:29:41| Création de répertoires d'échange Redémarrage de Squid HTTP Proxy 3.x : squid3Création de la structure de cache Squid HTTP Proxy 3.x... (avertissement). 2012/02/15 21:29:43| Création de répertoires d'échange. Comme vous pouvez le voir, lors de l'installation du package, il y a eu une tentative de création répertoire de cache calmar, mais parce que il n'est pas configuré, alors un avertissement apparaît. Aussi, ajouté au démarrage, lancé et acceptant les connexions. Mais parce que il n'est pas configuré, l'accès aux pages Internet via le serveur est limité. Configuration du calmar situé dans /etc/squid3/squid.conf et se compose de plus de 5,5 mille lignes et sa syntaxe n'est pratiquement pas différente de la configuration de tout autre service. Cela ne vaut pas la peine de se précipiter pour modifier certains paramètres tout de suite. Ensuite, vous ne pourrez pas le ratisser. Regardons la config qui nous est proposée par défaut sans commentaires ni lignes vides :
Gw ~ # grep -v ^# /etc/squid3/squid.conf | grep -v ^$ acl manager proto cache_object acl localhost src 127.0.0.1/32::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32::1 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # ports non enregistrés acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT méthode CONNECT http_access autoriser le gestionnaire localhost http_access refuser le gestionnaire http_access refuser !Safe_ports http_access refuser CONNECT !SSL_ports http_access autoriser localhost http_access refuser tout http_port 3128 hierarchie_stoplist cgi-bin ? coredump_dir /var/spool/squid3 rafraîchi_pattern ^ftp : 1440 20 % 10080 rafraîchi_modèle ^gopher : 1440 0 % 1440 rafraîchi_modèle -i (/cgi-bin/|\?) 0 0% 0 rafraîchi_modèle . 0 20% 4320
Comme vous pouvez le voir, dans la configuration par défaut, le serveur proxy est en cours d'exécution et autorise uniquement les requêtes provenant des adresses 127.0.0.0/8. Vous devez examiner attentivement la liste complète et commenter les lignes contenant les ports des services inutiles ou inutilisés. Une compréhension plus complète de cette configuration sera obtenue après avoir lu les sections suivantes. Que. si nous lançons le navigateur de la console lunx en pointant vers notre proxy, nous pouvons voir la page donnée :
Gw ~ # # lancez le navigateur en spécifiant la page ya.ru : gw ~ # http_proxy=http://127.0.0.1:3128 lynx ya.ru En recherchant d'abord "ya.ru" gw ~ # # dans le journal, nous voyons un accès à la page spécifiée : gw ~ # cat /var/log/squid3/access.log 1329527823.407 110 127.0.0.1 TCP_MISS/200 9125 GET http://ya.ru/ - DIRECT/93.158.134.203 text/html
Certains paramètres du fichier de configuration Squid peuvent être utilisés plusieurs fois (par exemple, acl). Certains paramètres, notamment ceux à une valeur, ne peuvent être utilisés qu'une seule fois. Dans ce cas, lors de l'utilisation de ce paramètre 2 fois ou plus, la dernière valeur sera utilisée. Par exemple:
Logfile_rotate 10 # Valeurs multiples - la dernière sera 5 logfile_rotate 5
gestion des calmars
Les paramètres avec lesquels squid a été construit pour votre distribution peuvent être visualisés à l'aide de la commande squid3 -v. Par exemple, dans Debian, squeezy squid est construit avec les paramètres donnés ci-dessous :
Prefix=/usr - préfixe pour les autres clés : --mandir=$(prefix)/share/man - répertoire pour stocker les pages de manuel --libexecdir=$(prefix)/lib/squid3 - répertoire avec les modules exécutables (y compris les assistants) - -sysconfdir=/etc/squid3 - répertoire de stockage de configuration --with-logdir=/var/log/squid3 - répertoire de stockage des journaux et plus encore. etc...
Mise en place du calmar
Description des paramètres de Squid3 je vais commencer par paramètres de base, ce qu'il est conseillé de faire lors de la mise en place d'une configuration de serveur proxy. La configuration Squid se trouve dans /etc/squid3/squid.conf, c'est le fichier de configuration principal qui contient tous les paramètres. (Dans les distributions Debian et RedHat, les paramètres des fichiers de configuration de démarrage sont également affichés au démarrage /etc/default/squid3 Et /etc/sysconfig/squid3, respectivement). De plus, j'ai mentionné qu'il y a plus de 5 000 lignes et que cela ne vaut pas la peine de se précipiter pour configurer quelque chose sans le comprendre tout de suite. syntaxe de configuration squid3 classique : les lignes avec # sont des commentaires, les paramètres sont des lignes " valeur du paramètre", il est possible d'utiliser. Le fichier de configuration est divisé en sections pour plus de commodité, mais il est important de se rappeler que les paramètres sont analysés de haut en bas par ordre de priorité. De plus, en utilisant inclure le paramètre vous pouvez connecter des fichiers de configuration externes.
Par défaut, le nom de l'hôte exécutant Squid est résolu en utilisant gethostname(), En fonction de vos paramètres DNS, il peut parfois ne pas être en mesure de déterminer clairement le nom qui apparaîtra dans les journaux et les sorties d'erreurs. Généré... par server.com (squid/3.0.STABLE2)" Pour enregistrer correctement le nom d'hôte, vous devez saisir ce nom (FQDN ??) dans le paramètre :
Visible_hostname monproxy
Par défaut, Squid accepte les connexions sur toutes les interfaces. Si notre serveur fait face au monde extérieur avec l'une de ses interfaces réseau, alors il est conseillé de limiter les connexions uniquement à l'interface réseau locale (par exemple, 10.0.0.10/24). Responsable de cela Paramètre http_port:
Port_Http 10.0.0.10:3128
Le fonctionnement de ces paramètres est visible dans la liste suivante :
Gw ~ # # vérifie le démon avant de le configurer : gw ~ # netstat -antp | grep squ tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 25816/(squid) gw ~ # # modifications apportées : gw ~ # grep ^http_port /etc/squid3/squid.conf http_port 10.0.0.10:3128 gw ~ # # relire la configuration gw modifiée ~ # /etc/init.d/squid3 reload Rechargement des fichiers de configuration Squid HTTP Proxy 3.x. fait. gw ~ # # vérifie le fonctionnement avec la configuration modifiée : gw ~ # netstat -antp | grep squ tcp 0 0 10.0.0.10:3128 0.0.0.0:* ECOUTER 25816/(squid)
Comme vous pouvez le constater, le démon ne fonctionne désormais que sur l'interface du réseau spécifié. Il convient également de noter que les nouvelles versions de Squid (<3.1) поддерживают задание нескольких параметров http_port. При этом, у разных параметров могут быть указанны дополнительные ключи такие как intercept, tproxy, accel и др., например:
Gw ~ # grep ^http_port /etc/squid3/squid.conf http_port 10.0.0.10:3128 http_port 10.0.0.10:3129 tproxy
Ces paramètres définissent les modes de fonctionnement du serveur proxy. Par exemple, tproxy (ancienne syntaxe - transparent) définit le mode. Ces modes méritent des articles séparés et pourraient être envisagés à l’avenir.
Vous devez maintenant configurer l'ordinateur client et utiliser Internet. Mais par défaut, l'accès n'est autorisé qu'à partir de l'hôte local et lorsqu'il tente d'accéder au Web, l'utilisateur recevra une erreur « Accès refusé ». Le journal /var/log/squid3/access.log contiendra quelque chose comme ceci :
1329649479.831 0 10.0.1.55 TCP_DENIED/403 3923 OBTENIR http://ya.ru/ - AUCUN/- text/html
Pour que les clients du réseau local fonctionnent, il est nécessaire configurer les autorisations à l'aide de listes de contrôle d'accès.
Configuration de l'accès aux calmars
En fait accéder aux paramètres est description de l'objet accès via paramètre acl et puis autorisation ou interdiction de travailler l'objet acl décrit en utilisant paramètre « http_access ». Le format le plus simple pour ces paramètres est le suivant :
Acl list_name selection_type caractéristiques de selection_type
Où acl- paramètre décrivant liste de contrôle d'accès, dont le nom est donné par la valeur nom_liste. Le nom est sensible à la casse. type_sélection précise le type auquel correspondra ce qui est indiqué ci-dessous caractéristique_type_de_sélection. Cette caractéristique peut prendre des valeurs couramment utilisées telles que src(depuis la source) - source de la demande, heure d'été- l'adresse de destination, arpège- Adresse MAC, domaine src Et domaine dst- nom de domaine respectivement source et destination, port- port, proto- protocole, temps- le temps et bien d'autres. En conséquence, la valeur caractéristiques_of_selection_type sera formé en fonction de type_sélection.
Vous pouvez spécifier plusieurs lignes acl avec les mêmes noms et types de sélection, auquel cas les données acl seront combinées en une seule liste avec l'opération logique OU. Par exemple:
Acl site dstdomain site.com acl site dstdomain site.org # similaire à l'entrée : acl site dstdomain site.com site.org
En termes simples, cela ressemble à ceci : la liste d'accès nommée site est propriétaire de toutes les requêtes envoyées à site.com OU site.org. De plus, Rescue_names est sensible à la casse, ce qui signifie que acl site et acl Site sont 2 listes d'accès différentes.
Une fois les listes d'accès générées, en utilisant paramètre http_access autoriser ou refuser l’accès à l’ACL spécifiée. Le format général de l'appel est le suivant :
Http_access autoriser|refuser [!]list_name
Où, accès_http- paramètre spécifiant la règle d'autorisation ultérieure ( permettre) ou des interdictions ( refuser) accès précisé ci-dessous nom_liste. Cependant, le point d'exclamation facultatif inverse la signification du nom de la liste. Autrement dit, avec un point d'exclamation, le sens nom_liste cela ressemblera à tout le monde sauf ceux qui appartiennent à cette liste. De plus, vous pouvez spécifier plusieurs listes séparées par un espace, puis l'accès sera autorisé s'il appartient à toutes les listes spécifiées. Dans ce cas, toutes les règles d'autorisation doivent être spécifiées avant TOUTES les règles d'interdiction :
Http_access refuser tout
Une question raisonnable peut se poser : pourquoi définir cette règle si, par exemple, nous autorisons l'accès au squid uniquement aux acls sélectionnées ? Après tout, les autres qui ne tombent pas dans cette acl « passent par là »... C'est simple. Par défaut, squid utilise la règle autoriser/refuser qui est à l'opposé de cette dernière. Par exemple:
# nous avons une seule règle d'autorisation pour une certaine acl utilisateur : http_access allow user # si, lors de l'accès à squid, le client n'est pas inclus dans cette acl, alors l'action de refus lui sera appliquée. # Et si nous avons deux règles http_access autoriser l'utilisateur http_access deny user2 # et que le client n'est membre ni de l'utilisateur acl ni de l'utilisateur acl2, alors l'autorisation lui sera appliquée. # C'est-à-dire l'action opposée à la dernière http_access deny user2
C'est, comme on dit, la base. Regardons un exemple simple. Supposons que nous ayons 2 réseaux 10.0.1.0/24 et 10.0.0.0/24, ainsi qu'un hôte 10.0.4.1, qui doivent être autorisés à accéder à Internet. Pour autoriser l'accès, vous devez créer une description d'une nouvelle liste d'accès dans la section "ACCESS CONTROL" du fichier squid.conf :
Acl lan src 10.0.1.0/24 10.0.0.0/24 acl lan src 10.0.4.1
Pour plus de commodité, vous pouvez définir ces règles dans un fichier séparé, en spécifiant le chemin d'accès à celui-ci à l'emplacement caractéristiques_of_selection_type. Ici:
Gw ~ # # créons un répertoire séparé pour stocker les listes d'accès gw ~ # mkdir /etc/squid3/acls/ gw ~ # # mettons nos sous-réseaux et nos hôtes dans un fichier séparé gw ~ # vim /etc/squid3/acls/lan. acl gw ~ # cat /etc/squid3/acls/lan.acl 10.0.1.0/24 10.0.0.0/24 10.0.4.1 gw ~ # # décrire le fichier créé dans la configuration (le chemin doit être mis entre guillemets) gw ~ # grep lan.acl /etc /squid3/squid.conf acl lan src "/etc/squid3/acls/lan.acl"
Permettons à la liste d'accès LAN créée d'accéder à Internet et disons au calmar de relire le fichier de configuration :
Gw ~ # grep lan /etc/squid3/squid.conf | grep acce http_access allow lan gw ~ # service squid3 reload Rechargement des fichiers de configuration Squid HTTP Proxy 3.x. fait.
Pour résumer cette section en un mot, nous pouvons dire que acl identifie une requête Web et que http_access autorise ou refuse une requête identifiée. Désormais, nos clients locaux sont heureux d'utiliser Internet après avoir configuré leur navigateur !
Configuration des paramètres du cache Squid
Un point important dans la configuration du calmar est définition des paramètres de mise en cache dans Squid. L'emplacement du cache est défini paramètre cache_dir dans calmar.conf. Le format des paramètres est le suivant :
Taille du chemin de type Cache_dir L1 L2
Où, taper- il s'agit d'un algorithme de formation de cache, peut-être : ufs (système de fichiers Unix), aufs (ufs asynchrone), diskd(processus externes pour éviter le blocage de Squid sur les E/S disque). Utilisation recommandée ufs, même si quelques éloges aufs. Chemin- spécifie l'emplacement du cache dans le système de fichiers (doit exister et disposer de droits d'accès en écriture pour l'utilisateur sous lequel squid est exécuté - généralement un proxy). Taille- définit la taille maximale après laquelle le cache commencera à être vidé. Il existe de nombreux holivars sur Internet pour ce paramètre. La taille idéale du cache est de 2 à 10 Go selon le nombre de clients. Environ 1 Go de cache pour 100 000 requêtes/jour. Je m'en tiens à 5 Go. Dans Squid, chaque objet mis en cache est situé dans un fichier distinct ; les fichiers eux-mêmes ne sont pas stockés au même endroit, mais une hiérarchie de répertoires à deux niveaux est utilisée. Le nombre de répertoires de niveaux 1 et 2 et déterminer les paramètres L1 et L2. Ces valeurs peuvent être laissées par défaut. Mais pour vous aider à naviguer dans la situation, je vais vous donner une citation de bog.pp.ru :
L'expérience a montré qu'avec un cache de 700 Mo, seuls 2 répertoires de premier niveau sont utilisés. Autrement dit, pour une structure de répertoires de cache standard, un million d'objets (9 Go) s'y intègrent « confortablement » s'il y en a plus, vous devez alors augmenter le nombre de répertoires de niveau supérieur ;
Vous pouvez en utiliser plusieurs rép_cache. Cela a un effet positif sur les performances, surtout si le cache est placé sur des disques différents. Vous pouvez accélérer encore plus le cache en plaçant le cache dans tmpfs. Pour chaque paramètre rép_cache possible dans section des options définissez les paramètres de lecture seule (lecture seule) et max-size (taille maximale de l'objet).
La taille maximale d'un objet dans le cache est déterminée par le paramètre maximum_object_size, la valeur par défaut est 4 Mo. J'ai augmenté cette valeur à 60 Mo, car... Les collaborateurs du réseau local doivent souvent télécharger des fichiers du même type jusqu'à la taille spécifiée :
Taille_objet_maximum 61 440 Ko
De même? il y a aussi paramètre minimum_object_size responsable de la taille minimale d'un objet ; par défaut, sa valeur est « 0 », c'est-à-dire désactivée. Je recommande d'augmenter la valeur de ce paramètre à 2-3 Ko, ce qui réduira la charge du disque lors de la recherche de petits objets.
Capacité de la RAM, utilisé par le calmar est spécifié dans paramètre cache_mem, la valeur par défaut est 256 Mo (dans la version 3.1). J'ai laissé cette valeur par défaut. Vous ne devez modifier cette valeur que si Squid vous le demande dans les journaux. Après ces modifications, vous devez redémarrer Squid et la structure des répertoires sera créée :
Gw ~ # service squid3 start Démarrage de Squid HTTP Proxy 3.x : squid3Création de la structure de cache Squid HTTP Proxy 3.x... (avertissement). 2012/02/19 22:58:21| Création de répertoires d'échange 2012/02/19 22:58:21| /var/spool/squid3 existe le 19/02/2012 22:58:21| Création de répertoires dans /var/spool/squid3/00 2012/02/19 22:58:21| Créer des répertoires dans /var/spool/squid3/01 2012/02/19 22:58:21| Créer des répertoires dans /var/spool/squid3/02 2012/02/19 22:58:21| Créer des répertoires dans /var/spool/squid3/03 2012/02/19 22:58:21| Création de répertoires dans /var/spool/squid3/04 2012/02/19 22:58:21| Création de répertoires dans /var/spool/squid3/05 2012/02/19 22:58:21| Créer des répertoires dans /var/spool/squid3/06 2012/02/19 22:58:21| Créer des répertoires dans /var/spool/squid3/07 2012/02/19 22:58:21| Créer des répertoires dans /var/spool/squid3/08 2012/02/19 22:58:21| Créer des répertoires dans /var/spool/squid3/09 2012/02/19 22:58:21| Créer des répertoires dans /var/spool/squid3/0A 2012/02/19 22:58:21| Créer des répertoires dans /var/spool/squid3/0B 2012/02/19 22:58:21| Créer des répertoires dans /var/spool/squid3/0C 2012/02/19 22:58:21| Créer des répertoires dans /var/spool/squid3/0D 2012/02/19 22:58:21| Création de répertoires dans /var/spool/squid3/0E 2012/02/19 22:58:21| Création de répertoires dans /var/spool/squid3/0F .
De nombreuses questions et réponses intéressantes sur l'utilisation du cache et de la mémoire par Squid sont décrites. Ainsi, nous pouvons considérer la solution standard pour configurer un serveur proxy comme complète.
Exemple de configuration d'un proxy Squid transparent
Qu'est-ce que proxy transparent? C'est le mode de fonctionnement du serveur proxy lorsque le client non configurable pour travailler via un proxy et envoie des requêtes au réseau via le protocole HTTP, comme si le client navigateur travaillait directement avec le serveur Web. Dans le même temps, les requêtes HTTP sortantes sont envoyées au port sur lequel le proxy s'exécute. Le serveur proxy, à son tour, convertit les requêtes HTTP en requêtes de protocole proxy et envoie des réponses au client, comme un serveur Web. Que. L'interaction avec le serveur proxy se produit de manière transparente pour le client.
Il est important de comprendre et de savoir ! Cette méthode prend en charge Protocole HTTP uniquement, et ne prend pas en charge Gopher, FTP ou autre proxy. De plus, Squid ne peut pas fonctionner simultanément en mode transparent et en mode authentification.
Pour configurer le mode transparent, vous devez :
1. Définir le mode transparent dans les paramètres du proxy. Cela se fait dans Paramètre http_port, Par exemple:
Http_port ip : port transparent
2. Envelopper les utilisateurs la règle correspondant au port souhaité en utilisant iptables :
Iptables -t nat -A PREROUTING -i nom_interface_entrant -s local_network_subnet -p tcp --dport 80 -j REDIRECT --to-port squid_port, exemple : iptables -t nat -A PREROUTING -i eth1 -s 10.0.0.0/24 - p tcp --dport 80 -j REDIRECT --vers le port 3128
Tous. Peut être apprécié par les utilisateurs enveloppés et sans méfiance sur notre serveur proxy.
Dépannage
Tout d'abord, diagnostic du fonctionnement du calmar est parcourir des magazines situé dans /var/log/squid3. La plupart des problèmes sont résolus de cette façon. Si cela n'a pas aidé à résoudre le problème, passez le démon en mode débogage avec la commande débogage squid3 -k le problème sera plus facile à trouver. Au fait, qu’est-ce qu’une bûche de calamar ? Les fichiers journaux contiennent diverses informations sur la charge et les performances de Squid. En plus des informations d'accès, /pre, les erreurs système et les informations sur la consommation des ressources, telles que la mémoire ou l'espace disque, sont également écrites dans le journal.
Format de fichier journal Squid est une chaîne de valeurs séparées par un ou plusieurs espaces :
Time.ms Response_time ip_src Squid_req_status/HTTP_status byte_snd URL de la méthode utilisateur squid_her_status/ip_dst MIME
- temps- heure au format Unix (Nombre de secondes à partir de 00:00 1970.01.01)
- MS- millisecondes précises à 3 chiffres
- temps_de réponse- temps de réponse, millisecondes
- ip_src- adresse IP source
- Squid_req_status- statut de la requête squid (par exemple, TCP_HIT pour les objets précédemment mis en cache, TCP_MISS si l'objet demandé n'est pas extrait du cache local, UDP_HIT et UDP_MISS pareil pour les requêtes brother)
- Statut_HTTP- Statut du protocole http (200 pour les requêtes réussies, 000 pour les requêtes UDP, 403 pour les redirections, 500 pour les erreurs)
- octet_snd- transmis, octet en réponse, y compris l'en-tête HTTP
- méthode- méthode de requête GET ou POST
- URL- URL demandée
- utilisateur- nom de l'utilisateur autorisé
- calmar_her_status- Statut de la hiérarchie Squid - Résultat des requêtes vers les caches frères/parents
- ip_dst- Adresse IP du nœud demandé
- MIME- type mime
Regardons un exemple :
1329732295.053 374 10.0.1.55 TCP_MISS/200 1475 OBTENIR http://www.youtube.com/live_comments? - DIRECT/173.194.69.91 texte/xml
Comme vous pouvez le voir, la demande a été faite à 1329732295.053, la réponse du serveur distant a été de 374 ms, l'hôte qui a demandé la page a l'IP 10.0.1.55, l'objet demandé n'a pas été transféré depuis le cache local (TCP_MISS), le serveur le code de réponse était de 200, 1475 octets ont été transférés au client à l'aide de la méthode GET, l'URL http://www.youtube.com/live_comments? a été demandée, le nom d'utilisateur n'a pas été défini, l'objet a été reçu directement du serveur avec IP 173.194.69.91, le texte a été transmis car mime - texte/xml. Ici.
Quelques derniers points sur squid3
Dans l'article, j'ai passé en revue les principes de base du serveur proxy, ainsi que les paramètres de base qui vous permettent de mettre en œuvre un simple serveur de mise en cache, ainsi que d'organiser le fonctionnement de Squid en mode transparent. Squid prend en charge plusieurs options d'autorisation (via IP, via LDAP, MySQL, NTLM, etc.), la possibilité de limiter la bande passante des canaux et de contrôler l'accès aux ressources Internet. J'examinerai le fonctionnement du SQUID avec diverses méthodes d'autorisation et des exemples de contrôle du trafic dans les articles suivants.
Aujourd'hui, nous parlerons des serveurs proxy.
Un serveur proxy est une chose qui permet à plusieurs ordinateurs d'accéder d'un réseau à un autre réseau (mais à ne pas confondre avec les routeurs - ce sont des choses complètement différentes, un serveur proxy fonctionne au niveau de l'application). La tâche la plus courante d'un serveur proxy est de fournir un accès Internet aux PC qui n'en disposent pas via un PC ayant accès au réseau mondial. Considérons cette tâche dans le cas de l'utilisation d'un ordinateur Windows comme passerelle vers Internet.
Pour résoudre ce problème, vous pouvez utiliser des solutions propriétaires avec une interface visuelle - par exemple, UserGate. Mais je n'ai pas réussi à le faire fonctionner correctement sur un PC avec Windows 7, et c'est payant :) Par conséquent, je pense que la meilleure solution est. Squid, dont nous avons hérité de * nix. Vous pouvez télécharger cette création sur : Squid 2.7 (dernière version au moment de la rédaction)
Téléchargez et décompressez, de préférence à la racine du disque. N'essayez pas d'exécuter quoi que ce soit à partir de là - il n'y a pas d'interface graphique dans ce programme - et ne vous laissez pas effrayer :)
Ensuite, ouvrez la console - Win+R / сmd / allez dans le dossier avec le calmar installé (j'écrirai ensuite pour le chemin d'installation c:\squid)
c:\
cd c:\squid\sbin
Vous devez maintenant installer Squid en tant que service Windows avec la commande :
squid -i -f c:/squid/etc/squid.conf -n Squid27
Où Squid27 est le nom du service, qui peut en principe être n'importe quel nom valide.
Vous devez maintenant éditer le fichier de paramètres squid.conf, qui se trouve dans le dossier c:/squid/etc/. Je vous conseille de sauvegarder le fichier d'origine. Ensuite, supprimez tout le texte de ce fichier et écrivez ce qui suit :
port_http 3128
acl localnet src 192.168.3.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl tous les src 0.0.0.0/0.0.0.0
http_access autoriser localnet
http_access autoriser localhost
http_access refuser tout
cache_log aucun
cache_store_log aucun
Où
- http_port 3128 - numéro de port sur le serveur via lequel le SQUI fonctionne, c'est-à-dire que dans les paramètres client, nous indiquerons l'adresse du serveur et ce port ;
- acl localnet src 192.168.0.0/255.255.0.0- cette ligne indique la plage d'adresses IP pour laquelle il est possible de se connecter à notre proxy. Le masque peut être spécifié comme /8, /16, /24 (pour 255.0.0.0, 255.255.0.0, 255.255.255.0, respectivement) et localnet est le nom. Essentiellement, avec cette ligne, nous déclarons une variable avec laquelle nous travaillerons plus loin. la ligne suivante déclare de la même manière la variable all, où toutes les adresses IP existantes sont indiquées ;
- http_access autoriser localnet - avec cette ligne, nous autorisons l'accès depuis l'adresse IP spécifiée dans la variable localnet à notre proxy ;
- http_access refuser tout - nous refusons à tout le monde l'accès au proxy. Ces autorisations fonctionnent de haut en bas, cette ligne doit donc être saisie en dernier ! Sinon, personne n'atteindra le proxy :)
- cache_log aucun - nécessaire, comme la ligne suivante pour que les logs ne grossissent pas en gigaoctets)
- cache_mem 32 Mo - détermine la taille du cache SQUID supplémentaire dans la RAM ;
- cache_dir ufs c:/squid/var/cache 100 16 256- détermine le chemin d'accès au dossier cache, sa taille en Mo (100) et le nombre de sous-dossiers (pourquoi ce dernier - je ne comprends toujours pas :))
squid -z -f c:\squid\etc\squid.conf
Donc, en principe, nous sommes prêts à lancer notre proxy. Nous écrivons dans la ligne de commande (ou vous pouvez aller dans Services et l'exécuter avec la souris :)
démarrage net Squid27
Arrêt:
calmar d'arrêt net27
Reconfiguration :
squid -n Squid27 -f c:/squid/etc/squid.conf -k reconfigurer
Vous pouvez également faire beaucoup de choses dans ce proxy, par exemple définir des restrictions sur différents utilisateurs en fonction du temps, de la vitesse, refuser l'accès à certains sites, etc., etc. Mais ce n'est pas le but de cet article de décrire tout cela - ce matériel est facile à trouver sur Internet.
Aujourd'hui, nous parlerons des serveurs proxy.
Un serveur proxy est une chose qui permet à plusieurs ordinateurs d'accéder d'un réseau à un autre réseau (mais à ne pas confondre avec les routeurs - ce sont des choses complètement différentes, un serveur proxy fonctionne au niveau de l'application). La tâche la plus courante d'un serveur proxy est de fournir un accès Internet aux PC qui n'en disposent pas via un PC ayant accès au réseau mondial. Considérons cette tâche dans le cas de l'utilisation d'un ordinateur Windows comme passerelle vers Internet.
Pour résoudre ce problème, vous pouvez utiliser des solutions propriétaires avec une interface visuelle - par exemple, UserGate. Mais je n'ai pas réussi à le faire fonctionner correctement sur un PC avec Windows 7, et c'est payant :) Par conséquent, je pense que la meilleure solution est. Squid, dont nous avons hérité de * nix. Vous pouvez télécharger cette création sur : Squid 2.7 (dernière version au moment de la rédaction)
Téléchargez et décompressez, de préférence à la racine du disque. N'essayez pas d'exécuter quoi que ce soit à partir de là - il n'y a pas d'interface graphique dans ce programme - et ne vous laissez pas effrayer :)
Ensuite, ouvrez la console - Win+R / сmd / allez dans le dossier avec le calmar installé (j'écrirai ensuite pour le chemin d'installation c:\squid)
c:\
cd c:\squid\sbin
Vous devez maintenant installer Squid en tant que service Windows avec la commande :
squid -i -f c:/squid/etc/squid.conf -n Squid27
Où Squid27 est le nom du service, qui peut en principe être n'importe quel nom valide.
Vous devez maintenant éditer le fichier de paramètres squid.conf, qui se trouve dans le dossier c:/squid/etc/. Je vous conseille de sauvegarder le fichier d'origine. Ensuite, supprimez tout le texte de ce fichier et écrivez ce qui suit :
port_http 3128
acl localnet src 192.168.3.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl tous les src 0.0.0.0/0.0.0.0
http_access autoriser localnet
http_access autoriser localhost
http_access refuser tout
cache_log aucun
cache_store_log aucun
Où
- http_port 3128 - numéro de port sur le serveur via lequel le SQUI fonctionne, c'est-à-dire que dans les paramètres client, nous indiquerons l'adresse du serveur et ce port ;
- acl localnet src 192.168.0.0/255.255.0.0- cette ligne indique la plage d'adresses IP pour laquelle il est possible de se connecter à notre proxy. Le masque peut être spécifié comme /8, /16, /24 (pour 255.0.0.0, 255.255.0.0, 255.255.255.0, respectivement) et localnet est le nom. Essentiellement, avec cette ligne, nous déclarons une variable avec laquelle nous travaillerons plus loin. la ligne suivante déclare de la même manière la variable all, où toutes les adresses IP existantes sont indiquées ;
- http_access autoriser localnet - avec cette ligne, nous autorisons l'accès depuis l'adresse IP spécifiée dans la variable localnet à notre proxy ;
- http_access refuser tout - nous refusons à tout le monde l'accès au proxy. Ces autorisations fonctionnent de haut en bas, cette ligne doit donc être saisie en dernier ! Sinon, personne n'atteindra le proxy :)
- cache_log aucun - nécessaire, comme la ligne suivante pour que les logs ne grossissent pas en gigaoctets)
- cache_mem 32 Mo - détermine la taille du cache SQUID supplémentaire dans la RAM ;
- cache_dir ufs c:/squid/var/cache 100 16 256- détermine le chemin d'accès au dossier cache, sa taille en Mo (100) et le nombre de sous-dossiers (pourquoi ce dernier - je ne comprends toujours pas :))
squid -z -f c:\squid\etc\squid.conf
Donc, en principe, nous sommes prêts à lancer notre proxy. Nous écrivons dans la ligne de commande (ou vous pouvez aller dans Services et l'exécuter avec la souris :)
démarrage net Squid27
Arrêt:
calmar d'arrêt net27
Reconfiguration :
squid -n Squid27 -f c:/squid/etc/squid.conf -k reconfigurer
Vous pouvez également faire beaucoup de choses dans ce proxy, par exemple définir des restrictions sur différents utilisateurs en fonction du temps, de la vitesse, refuser l'accès à certains sites, etc., etc. Mais ce n'est pas le but de cet article de décrire tout cela - ce matériel est facile à trouver sur Internet.
Configuration d'un serveur proxy Squid
Très souvent, nous avons besoin d'un proxy. Par exemple, vous avez une IP grise ou vous êtes un heureux utilisateur de l’Internet par satellite. Télécharger quelque chose à partir de sites comme Rapidshare est irréaliste. C'est là que le calmar va nous aider.
Pour installer un proxy, vous avez besoin d'un serveur exécutant la virtualisation KVM. Sur les autres virtualisations, l'hébergement de serveurs proxy est interdit.
Une version plus étendue de mon article peut être trouvée sur le site Web de Kursk LUG, où j'ai également envisagé la possibilité d'utiliser Squid par les utilisateurs domestiques, ainsi que d'intégrer le système de compression du trafic Globax ou Toonel en cascade dans Squid.
Installation de calmar
cd /usr/ports/www/squid && make BATCH=yes installerMise en place du calmar
Un peu sur l'acl et les règles
Le cœur de la configuration Squid est acl(liste de contrôle d'accès) et règles.
Vous devez d’abord comprendre les principes de fonctionnement d’acl. Les ACL ont le format suivant :
Acl<имя> <тип> <содержание>
Par exemple, cette ACL décrit deux machines utilisateur avec des adresses IP (type src) 192.168.0.1 et 192.168.0.2.
Acl comps src 192.168.0.1/32 192.168.0.2/32
Voyons maintenant les règles.
Les règles ont le format suivant :
<тип_правила> <действие>
A ce stade, vous devez comprendre que les règles un les types sont vérifiés avant d'abord règle courante. L'action de cette règle sera exécutée et la vérification des autres règles de ce type sera arrêtée. Exemple:
Acl all src 0/0 acl vasya src 192.168.1.12/32 http_access autoriser vasya http_access refuser tout
Règles de saisie accès_http Ce sont des règles autorisant ou refusant l’accès via http. Considérez l’action du passage ci-dessus. acl all nous pointe vers toutes les adresses IP. Et acl Vasya pointe vers une adresse IP 192.168.1.12
Le chèque ressemblera à ceci :
1) http_access autorise vasya Si un utilisateur de cette IP utilise un proxy, nous lui autoriserons l'accès. Le contrôle sera arrêté, la quatrième ligne ne sera même pas vérifiée.
2) si le proxy est utilisé par un utilisateur n'appartenant pas à cette IP, alors la règle de la ligne 3 ne sera pas exécutée et nous passerons à la règle de la ligne 4. Puisque toute IP convient à tout acl, cette règle sera exécuté et nous bloquerons l’accès. règles supplémentaires ne sera pas vérifié. Ainsi, nous avons interdit l'utilisation de procurations à tout le monde, à l'exception de Vasya.
Examinons une erreur courante basée sur l'exemple précédent :
Acl all src 0/0 acl vasya src 192.168.1.12/32 http_access refuser tout http_access autoriser vasya
Dans ce cas, même Vasya ne pourra pas utiliser le proxy. Puisque nous avons bloqué l'accès à tout le monde avec la règle de la ligne 3, celle-ci a été exécutée et la règle de la ligne 4 n'a même pas été vérifiée. Faites très attention à l’ordre des règles du même type.
Créer une configuration Squid
Commençons par écrire le fichier config. Je vais regarder ma configuration à titre d'exemple.
Tout d’abord, dans le dossier /etc/squid, créez le dossier acls. Dans celui-ci, j'ai créé 3 fichiers : bannières, nobanners, 1banners
Le fichier bannières stocke une expression régulière de publicités et de bannières qui seront découpées. Nobanners stocke les exceptions, c'est-à-dire les pages et les images qui seront chargées même s'il existe une règle dans les bannières sous laquelle elles relèvent. Le fichier 1banners stocke les expressions régulières décrivant les bannières qui seront découpées en premier. Je fournirai le contenu de mes fichiers de filtrage des publicités à la fin de l'article.
Avec les droits root, créez un fichier /etc/squid/squid.conf et commencez à y ajouter les lignes :
Indiquons le port sur lequel fonctionnera le proxy : (ATTENTION !! Ne configurez jamais de ports standards comme 8080 80 ou 3128 si vous ne voulez pas que votre proxy soit facilement détecté)
Port_http 1234
Indiquons le nom du nœud sur lequel squid est installé. Vous pouvez connaître votre nom en faisant uname -n
Nom d'hôte visible dimon4eg
Désactiver le PCI
Port_ICP 0
En utilisant acl avec des expressions régulières, nous indiquons les pages qui ne seront pas mises en cache
Acl donocache urlpath_regex utilisateur cgi-bin soumettre no_cache refuser donocache
Créez un dossier /var/spool/squid et chmod 777 /var/spool/squid
Décrivons le volume du cache "rapide" et du cache sur le disque dur. Il est recommandé de définir le volume du cache rapide sur 32 mètres maximum pour économiser de la RAM.
Cache_mem 32 Mo cache_dir ufs /var/spool/squid 1000 16 256
De même, nous allons créer les dossiers /var/log/squid et indiquer où stocker les logs
Cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log cache_store_log /var/log/squid/store.log
Traiter les tables MIME et PID
Table_Mime /etc/squid/mime.conf nom_fichier_pid /var/run/squid.pid
Paramètres FTP via proxy
Ftp_user anonyme@ ftp_list_width 32 ftp_passive sur ftp_sanitycheck sur
Acl de service
Acl tous les src 0/0 acl port SMTP 25
Liste des adresses IP à partir desquelles les proxys sont autorisés. Assurez-vous de spécifier 127.0.0.1 et l'adresse du serveur lui-même dans la zone locale. Ensuite, nous indiquons tous les utilisateurs qui ont accès. (ATTENTION, veillez à désactiver l'accès pour tout le monde.)
Acl doallow src 192.128.0.2/32 127.0.0.1/32
Définissons les ports autorisés
Acl Safe_ports port 80 acl Safe_ports port 21 acl Safe_ports port 443 563 5190 5552 acl Safe_ports port 777
Localisation des fichiers avec règles de découpe des publicités. Le commutateur -i signifie que les règles ne sont pas sensibles à la casse.
Bannières Acl url_regex -i "/etc/squid/acls/banners" acl 1banners url_regex -i "/etc/squid/acls/1banners" acl nobanners url_regex -i "/etc/squid/acls/nobanners"
Décrivons maintenant les règles
Http_access refuser 1banners http_access refuser les bannières !nobanners http_access refuser !Safe_ports http_access refuser SMTP http_access autoriser doallow http_access refuser tout
Refuser l'accès à ICP
Icp_access refuse tout
Applications
Texte intégral de mon squid.conf
http_port 1234 visible_hostname dimon4eg icp_port 0 acl donocache urlpath_regex cgi-bin utilisateur soumettre no_cache refuser donocachecache_mem 32 Mo cache_dir ufs /var/spool/squid 1000 16 256
cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log cache_store_log /var/log/squid/store.log
table_mime /etc/squid/mime.conf nom_fichier_pid /var/run/squid.pid
ftp_user anonyme@ ftp_list_width 32 ftp_passive sur ftp_sanitycheck sur
serveur acl src 192.168.0.2/32
acl all src 0/0 acl manager proto cache_object acl localhost src 127.0.0.1/32 acl SSL_ports port 443 563 acl SMTP port 25
acl doallow src 192.128.0.2/32 127.0.0.1/32
acl Safe_ports port 80 acl Safe_ports port 21 acl Safe_ports port 443 563 acl Safe_ports port 777 acl CONNECT méthode CONNECT
acl bannières url_regex -i "/etc/squid/acls/banners" acl 1banners url_regex -i "/etc/squid/acls/1banners" acl nobanners url_regex -i "/etc/squid/acls/nobanners"
http_access refuser 1banners http_access refuser les bannières !nobanners http_access refuser !Safe_ports http_access refuser SMTP http_access autoriser doallow http_access refuser tout
icp_access tout refuser
never_direct tout autoriser