A probléma a következő. Az AD-vállalatnál az internet-hozzáférés proxyn keresztül, van egy DMZ. A proxy és a portja a böngésző beállításaiban, a _kapcsolatok_ részben van regisztrálva. Az ISA 2006-ot használják a DMZ eléréséhez (Isa kliensem 2004). A tintahalon keresztül megyünk az internetre.

Utána Windows telepítés 7 (tiszta gépen) Az IExplorer a szokásos módon konfigurálva, proxyt és portot regisztrált, de az IExplorer nem hajlandó online lépni (ennek megfelelően az aktiválás és a frissítések fogadása kiesik). Indításkor bejelentkezést és jelszót kérnek, de a végén kapok egy oldalt a következő üzenettel:
==============================
HIBA: A gyorsítótárhoz való hozzáférés megtagadva.

HIBA

A gyorsítótárhoz való hozzáférés megtagadva

A következő hiba történt:

• A gyorsítótárhoz való hozzáférés megtagadva

Sajnos nem kérheti:

http://go.microsoft.com/fwlink/? ebből a gyorsítótárból a hitelesítésig.

Ehhez a Netscape 2.0-s vagy újabb verziójára, vagy a Microsoftra van szüksége internet böngésző 3.0 vagy HTTP/1.1 kompatibilis böngésző. Kérjük, forduljon a gyorsítótár rendszergazdájához, ha problémái vannak a hitelesítéssel, vagy módosítsa az alapértelmezett jelszót.

Létrehozta 2009. június 18., csütörtök, 04:11:33 GMT: apk-proxy2.apk.gov (squid/2.6.STABLE18) ======================== =======

A FireFoxnál nincs ilyen probléma.. Megadtam egy proxyt a beállításokban, megadtam a bejelentkezési nevemet és a jelszavamat, és itt vagyok, írom ezt a levelet.
XP és Vista alatt is minden rendben van .

A következő összeállításokat tettem fel 7100 (rus), 7201, most 7231 (rus) kerül - a helyzet nem változik.

A kérdés az, hogy mit és hova csavarjak?

A cikk közzétételének oka a következő: nagyon gyakran látom a fórumokon, ahogy a TC példákat ad a konfigurációikra szörnyű összemosással. acl és http_access direktívák, különösen a hozzáférési problémákkal foglalkozó témákban tintahal. Bármilyen rendszer felállításakor igyekszem betartani valamiféle logikai sorrendet. Ma megpróbálom átadni nektek, hogy mit http_hozzáférési sorrend megtartom.

A fő gondolat a http_access squid kézikönyvéből vett kifejezésben van:

Ha az "access" sorok egyike sem okoz egyezést, az alapértelmezett érték a lista utolsó sorának az ellenkezője. Ha az utolsó sor deny volt, az alapértelmezett az engedélyezés. Ellenkező esetben, ha az utolsó sor engedélyezve van, akkor az alapértelmezett deny lesz. Ezen okokból kifolyólag érdemes a hozzáférési listák végén egy "minden megtagadása" bejegyzést tenni az esetleges félreértések elkerülése érdekében.

Szó szerint a következő:

Ha a „hozzáférési” szabály nem található, akkor alapértelmezés szerint a lista utolsójával ellentétes szabály kerül alkalmazásra. Ha az utolsó szabály megtagadás, akkor alapértelmezés szerint az engedélyezés kerül alkalmazásra. Ezzel szemben, ha az utolsó sor engedélyezve van, az alapértelmezett a deny. Érdemes tehát a szabálylista végén egy „minden tagadás” szabályt tenni az esetleges félreértések elkerülése érdekében.

A cikkben már leírtam néhány tippet és szabályt. Most megpróbálom átadni a látomásomat acl és http_access sorrendben. Tulajdonképpen, az acl direktívák sorrendje abszolút nem számít. A fő, hogy az acl-t a http_access szabályok ELŐTT határozták meg(Erre nem találtam megerősítést a kézikönyvekben, de volt néhány hozzáférési probléma, amikor az acl-t a http_access után helyeztem el). Megpróbálom az acl-t ugyanazon típusok szerint csoportosítani.

A http_access beállítása a squid-ben

Pontosan a http_access direktívák elhelyezésének sorrendje meghatározza, hogy az ügyfél hozzáfér-e a gyorsítótárhoz vagy sem. A gyorsítótár-kérelem feldolgozó algoritmusa a következő:

1. Az egyes kéréseket egymás után összehasonlítják a http_access szabályok minden sorával.
2. Amíg a kérés nem egyezik a hozzáférési vagy megtagadási szabályok egyikével, szabályról szabályra fog következni, és ellenőrzi a jogosultságát.
   Itt minden egyszerű. Nézzük a következő szabályokat:
3. Ha több acl van megadva a http_access-ben, a rendszer logikai ÉS-t használ. Példa: http_access enable|deny acl ÉS acl ÉS... VAGY http_access allow|deny acl ÉS acl ÉS... VAGY
4. Ha a kérés egyik szabálynak sem felel meg, akkor alapértelmezés szerint a squid az előzővel ellentétes szabályt használja. # Egyetlen engedélyezési szabályunk van néhány ACL-felhasználó számára: http_access engedje meg a # felhasználót, ha a squid elérésekor a kérés nem ebbe az ACL-be került, akkor a deny műveletet alkalmazza rá. # És ha két szabályunk van: http_access enable user http_access deny user2 # és a kérés nem szerepel sem az acl user, sem az acl user2 mezőben, akkor az engedélyezés lesz érvényes rá. # Vagyis a legutóbbi http_access deny user2 ellentétes művelete

Ezek az alapok alapjai. De van néhány árnyalat a működés során.

http_access tuning)

Tudjuk, hogy vannak olyan ACL-ek, amelyek külső fájlt használnak. Vagy más modulok (pl. srcdomainés srcdom_regex felbontást igényel). Logikusan elméletileg levonható az a következtetés, hogy az acl adatok valamivel lassabbak lehetnek, mint az acl src vagy dst vagy hasonlók. A wiki szerint a fejlesztők a gyors/lassú acl-t a következő csoportokra osztják (a squid 3.1.0.7-től):

Ennek megfelelően, ha először a tiltó szabályokat adjuk meg, különösen, ha azok "gyorsak" (pl

Http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports

), akkor nagyon gyorsan dolgoznak, csökkentve a terhelést, mivel kevesebb kérés éri el a szabályokat hitelesítéssel, amelyeknek valóban szükségük van rá. Tehát próbálja meg a http_access megtagadási szabályokat a lehető legmagasabbra helyezni külső modulok nélküli acl használatával, majd helyezze el az engedélyezési szabályokat. Nos, az utolsó ne felejtse el megadni az összes tagadását (az esetleges félreértés elkerülése érdekében).

Az acl és a http_access hibaelhárítása

Ha továbbra is problémák lépnek fel a http_access direktíva összekapcsolásakor, és a kívánt felhasználó nem kap hozzáférést, próbálkozzon a . Példa:

Debug_options ALL,1 33.2

A squid újrakonfigurálása után a cache.log minden munkamenethez hozzáférési engedélyt/megtagadási üzenetet kezd tartalmazni, valamint a hozzáférési jogosultság megjelölésének nevét, attól függően, hogy a hozzáférés engedélyezve van-e vagy sem. Ha ez az információ nem elegendő, akkor további részleteket is megadhat:

Debug_options ALL,1 33,2 28,9

Összegzés

Mára ennyi. Ma megvizsgáltuk az acl és a http_access beállításának kérdését. A http_access direktívák feldolgozásának logikája, és megismertem néhány ajánlást. Talán az egyik olvasó kijavít, amiért nagyon hálás leszek. Ezen a cikken kívül javaslom, hogy olvassa el a http://wiki.squid-cache.org/SquidFaq/SquidAcl címet.

Üdvözlettel: Mc.Sim!

Sokak előtt rendszergazdák Felmerül a kérdés, hogy korlátozzák-e a felhasználók hozzáférését bizonyos internetes forrásokhoz. A legtöbb esetben nincs szükség erőforrás-igényes és összetett tartalomszűrésre, elég az URL listák. Teljesen lehetséges egy ilyen módszer megvalósítása a squid proxy szerverrel harmadik féltől származó szoftverek bevonása nélkül.

A „fekete” és „fehér” listák módszere ideális az olyan erőforrásokhoz való hozzáférés korlátozására, amelyek címe előre ismert, de valamilyen okból nem kívánatos, pl. közösségi hálózatok. A tartalomszűréshez képest ennek a módszernek számos hátránya van, másrészt viszont sokkal könnyebben megvalósítható, és sokkal kevesebb számítási erőforrást igényel.

Ennek a módszernek a hatékonyságát az adott feladat szempontjából kell figyelembe venni, tehát ha blokkolni szeretné a közösségi hálózatokat az alkalmazottak számára és számos szórakoztató forrást, amelyen a legtöbb időt töltik, akkor az URL-listák szerinti szűrés teljesen megoldhatja ezt a problémát. . Ugyanakkor az ilyen szűrés hatástalan lesz, ha korlátozni kell egy bizonyos tartalom forrásaihoz való hozzáférést.

A következőkben feltételezzük, hogy az olvasó rendelkezik alapvető Linux adminisztrációs készségekkel. Ne feledje továbbá, hogy az összes alábbi parancsot szuperfelhasználóként kell futtatni.

Először is hozzunk létre egy listafájlt. Bárhol elhelyezhető, de logikus lesz a squid konfigurációs könyvtárába helyezni - /etc/squid(vagy /etc/squid3 ha tintahalat használ3)

Érintse meg az /etc/squid/blacklist elemet

és kezdje el kitölteni. URL megadásakor érdemes a RegExp szintaxist használni, ebben a kérdésben nem térünk ki részletesen, mivel ez túlmutat a cikk keretein, a RegExp szabályokról bővebben olvashat. Például blokkoljuk a népszerű közösségi hálózatokat:

Vk\.com
odnoklassniki\.ru

Kérjük, vegye figyelembe, hogy a pont a RegExp-ben egy szolgáltatási karakter, ezért a karakterrel együtt meg kell szökni \ (perjel).

A squid konfigurációs fájlban ( /etc/squid/squid.conf) hozzon létre egy hozzáférési listát, amely tartalmazza azokat a gazdagépeket vagy felhasználókat, amelyeknél szűrést hajt végre.

Acl url_filtred src 10.0.0.100-10.0.0.199

Esetünkben a szűrés a 10.0.0.100-199 címtartományban lévő összes gazdagépen engedélyezett, azaz. csak a felhasználók egy bizonyos csoportjára szűrjük az internetet.

Akkor felvesszük a listánkat:

Acl feketelista url_regex -i "/etc/squid/blacklist"

Az -i kapcsoló azt jelzi, hogy a lista nem különbözteti meg a kis- és nagybetűket.

Most menjünk a szabályok szakaszhoz és a szabály előtt

http_access engedélyezi a helyi hálózatot

A Http_access tiltólista tiltása url_filtred

Ismételten felhívjuk a figyelmet arra, hogy a squid-ben minden szabály szekvenciálisan, az első előfordulásig kerül feldolgozásra, tehát ha egy általánosabb szabályt teszünk egy konkrétabb elé, akkor az nem fog működni. Ugyanez igaz az átfedő szabályokra is – a legelső fog működni.

Mentse el a változtatásokat és indítsa újra a squid-et:

A Service squid újraindítása

Próbáljunk meg felkeresni egy webhelyet a listából, ha minden helyesen történik, akkor egy tintahal üzenetet fog látni az erőforráshoz való hozzáférés megtagadásával kapcsolatban.

A Squid egy gyakori megoldás programozók, rendszergazdák és számítógépes hálózatok szerelmesei számára hatékony proxyszerver létrehozására és kezelésére. A program különösen vonzó, mert platformokon átívelő. Vagyis telepítheti és futtathatja Linuxon és más Unix architektúrának megfelelő operációs rendszeren és Windowson is. Ennek az eszköznek a képességei a legkiemelkedőbbek. Hogyan használhatók? Vannak-e funkciók a program beállításában az adott operációs rendszertől függően?

Általános információk a Squid-ről

Mi az a Squid? Ez a név egy különösen nagy teljesítményű proxyszerverről ismert, amelyet leggyakrabban webkliensekkel használnak. Ezzel megszervezheti több felhasználó egyidejű internet-hozzáférését. A Squid másik figyelemre méltó tulajdonsága, hogy különféle lekérdezéseket képes gyorsítótárazni. Ez lehetővé teszi a fájlok gyorsabb elérését, mivel nem kell újra letöltenie őket az internetről. A Squid proxyszerver az internetes csatorna sebességét is be tudja állítani a tényleges terhelés függvényében.

A Squid Unix platformokon való használatra lett igazítva. Létezik azonban a Squid for Windows és sok más népszerű operációs rendszer verziója. Ez a program, mint sok Unix koncepción alapuló operációs rendszer, ingyenes. Támogatja az FTP-t, az SSL-t, lehetővé teszi a fájlok hozzáférésének rugalmas szabályozását. A Squid a DNS-lekérdezéseket is gyorsítótárazza. Ugyanakkor beállíthatunk egy transzparens Squid proxyt is, vagyis a szerver olyan formátumban működik, ahol a felhasználó nem tudja, hogy ezen keresztül fér hozzá a Hálózathoz, és nem közvetlenül. Így a Squid hatékony eszköz a rendszergazda vagy kommunikációs szolgáltató kezében.

A tintahal gyakorlati hasznossága

Mikor lehet a tintahal a leghasznosabb? Ez lehet például egy olyan feladat, amelyben több számítógépet hatékonyan integrálni kell egy hálózatba, és biztosítani kell számukra az internet-hozzáférést. A proxyszerver használatának célszerűsége ebben az esetben abban rejlik, hogy a közte és egy adott számítógép böngészője közötti kérések gyorsabban hajtódnak végre, mint az internettel való közvetlen felhasználói interakció esetén. Ezenkívül a Squid használatakor a böngésző gyorsítótára teljesen letiltható. Ez a funkció nagy kereslet a felhasználók körében.

A tintahal összetétele

A kérdéses megoldás több összetevőből áll. Valójában ez egy csomag szoftver. Szerkezetében van egy alkalmazás, amellyel a szerver elindul, valamint egy kiegészítő program a DNS-sel való együttműködéshez. Érdekessége, hogy olyan folyamatokat indít el, amelyek mindegyike a többitől függetlenül működik. Ez lehetővé teszi a szerver és a DNS interakció optimalizálását.

Program telepítés

A Squid telepítése általában egyszerű. Linuxon nagyon egyszerű programokat telepíteni: csak írja be a $ parancsot sudo apt-get telepítse a tintahalat.

Ami a Squid for Windowst illeti, a dolgok egy kicsit bonyolultabbak. Az a tény, hogy ez a program nem tartalmaz futtatható fájlokat - a Microsoft operációs rendszerhez tartozó alkalmazások fő elemeit.

A Squid telepítése Windows rendszeren azonban meglehetősen gyors feladat. Meg kell találni a megfelelő forrásokon vagy a megfelelő forrásokon egy .bat típusú fájlokat tartalmazó disztribúciós készletet, amely valamelyest közel áll a hagyományos Windows futtatható fájlokhoz. Ezt követően másolja át őket egy külön mappába a lemezen. Ezután el kell indítania a Squid-et rendszerszolgáltatásként. Ezt követően a program PC-böngészőn keresztül proxyként használható. Elmondhatjuk, hogy ezzel befejeződött a Squid telepítése.

A proxyszerver disztribúciója szinte mindig tartalmaz egy konfigurációs fájlt, például a .conf fájlt. Ez a fő eszköz az internet-hozzáférés konfigurálására a felhasználó számítógépéről és más eszközökről helyi hálózat a Squid használatakor.

Beállítási árnyalatok

Milyen árnyalatokat tartalmazhat a Squid beállítása? A Windows egy olyan operációs rendszer, amelyben a proxyszerverrel végzett munka a konfigurációs fájlok szerkesztésével történik.

Linux esetén bizonyos eljárásokhoz használható. De általában ebben operációs rendszer, mint ha az operációs rendszer, amelyen a Squid be van állítva, a Windows, a squid.conf fájlt használják leggyakrabban. Előír bizonyos kifejezéseket („parancsokat”), amelyeknek megfelelően a szerver kezeli a hálózati kapcsolatokat.

Ezért nézze meg részletesebben, hogyan van konfigurálva a Squid. Az első lépés a hálózati felhasználók hozzáférésének engedélyezése a szerverhez. Ehhez a squid.conf fájlban állítsa be a megfelelő értékeket a http_port és a http_access mezőben. Hasznos hozzáférés-vezérlési lista vagy ACL létrehozása is. A http_port beállításai fontosak számunkra, mivel célunk az, hogy a Squid-et felkészítsük arra, hogy csak a számítógépek egy meghatározott csoportját szolgálja ki. Az olyan paraméter viszont fontos, mint a http_access, mivel segítségével szabályozni tudjuk a hozzáférést bizonyos címekről kért adott hálózati erőforrásokhoz (más kritériumok is lehetségesek - protokollok, portok és az ACL-ben található egyéb tulajdonságok) .

Hogyan állítsuk be a szükséges beállításokat? Ezt nagyon könnyű megtenni.

Tegyük fel, hogy létrehoztunk egy számítógépes hálózatot, amelynek címtartománya 192.168.0.1-től 192.168.0.254-ig végződik. Ebben az esetben a következő paramétert kell beállítani az ACL beállításokban: src 192.168.0.0/24. Ha konfigurálnunk kell a portot, akkor a konfigurációs fájlban meg kell írnunk a http_port 192.168.0.1 bejegyzést (csak a megfelelő IP-címet kell megadni), és be kell írni a port számát.

A Squid segítségével létrehozott proxyhoz való hozzáférés korlátozása érdekében (a helyi hálózatban lévő számítógépeket nem számítva), módosítania kell a http_access fájlt. Ez egyszerűen - olyan kifejezések segítségével történik ("parancsok" - megegyezünk abban, hogy nevezzük őket, hogy bár szigorúan véve a szövegben nem ilyenek, de a terminálsorban eléggé megfelelnének nekik) lehetővé teszik a LocalNet ill. tagadni mindent. Nagyon fontos, hogy az első paramétert a második fölé helyezzük, mivel a Squid egyenként felismeri őket.

ACL-ek használata: a webhelyekhez való hozzáférés megtagadása

Valójában a hozzáférési beállítások nagyon széles tartományban lehetségesek a Squidben. Fontolja meg a helyi hálózatok kezelésének gyakorlatában hasznos példákat.

Az src elemre nagy a kereslet. Ezzel javíthatja annak a számítógépnek az IP-címét, amelyik a proxyszervernek kérte. Ha az src elemet a http_access-szel kombinálja, akkor például engedélyezheti a hálózathoz való hozzáférést egy adott felhasználó számára, de megtilthatja a hasonló műveleteket mindenki más számára. Ez nagyon egyszerűen történik.

ACL-t (felhasználói csoport neve) src-t írunk (szabályozás alá eső IP-címek intervalluma). Az alábbi sor az ACL (egy adott számítógép neve) src (a megfelelő számítógép IP-címe). Ezt követően a http_access-szel dolgozunk. Engedélyt adunk a hálózatba való belépésre a felhasználók egy csoportja és egy egyéni számítógép számára a http_access allow parancsok használatával. Az alábbi sorban kijavítjuk, hogy a hálózat többi számítógépéhez való hozzáférést a deny all paranccsal zárjuk le.

A Squid proxy beállítása magában foglalja egy másik hasznos elem használatát is, amelyet a beléptető rendszer biztosít - a dst. Lehetővé teszi annak a szervernek az IP-címének rögzítését, amelyhez a proxy felhasználó csatlakozni szeretne.

A kérdéses elem segítségével például korlátozhatjuk a hozzáférést egy adott alhálózathoz. Ehhez használhatja az ACL parancsot (hálózat megnevezése) dst (alhálózati IP-cím), az alábbi sor a http_access deny (egy adott számítógép neve a hálózaton).

Egy másik hasznos elem a dstdomain. Ez lehetővé teszi számunkra, hogy kijavítsuk azt a tartományt, amelyhez a felhasználó csatlakozni szeretne. A kérdéses elem használatával korlátozhatjuk egy adott felhasználó hozzáférését például külső internetes forrásokhoz. Ehhez használhatja a következő parancsot: ACL (helycsoport) dstdomain (helycímek), az alábbi sor a http_access deny (számítógép neve a hálózaton).

A beléptető rendszer felépítésében további figyelemre méltó elemek is vannak. Köztük a SitesRegex. Ezzel a kifejezéssel korlátozhatja a felhasználói hozzáférést egy bizonyos szót tartalmazó internetes tartományokhoz, például a levelezéshez (ha a feladat megtiltja a vállalati alkalmazottak hozzáférését harmadik fél levelezőszervereihez). Ehhez használhatja az ACL SitesRegexMail dstdom_regex mail parancsot, majd az ACL SitesRegexComNet dstdom_regex \.com$ parancsot (ez azt jelenti, hogy a hozzáférés meg lesz tagadva a megfelelő típusú tartományokhoz). Az alábbi sor http_accesss deny jelzi azokat a számítógépeket, amelyekről nem kívánatos a külső levelezőszerverekhez való hozzáférés.

Egyes kifejezések használhatják az -i kapcsolót. Használatával, valamint egy olyan elemmel, mint például az url_regex, amely webcímek sablonjának létrehozására szolgál, megtagadhatjuk a hozzáférést az adott kiterjesztésű fájlokhoz.

Például a NoSwfFromMail url_regex -i mail.*\.swf$ ACL paranccsal szabályozzuk a Flash-filmeket tartalmazó levelezőoldalak elérését. Ha nincs szükség a webhely tartománynevének megadására a hozzáférési algoritmusokban, akkor az urlpath_regex kifejezés használható. Például az ACL media urlpath_regex -i \.wma$ \.mp3$ parancs formájában.

Programokhoz való hozzáférés megtagadása

A Squid konfigurálása lehetővé teszi, hogy a proxykiszolgáló-erőforrások használatakor letiltja a felhasználók hozzáférését bizonyos programokhoz. Erre a célra az ACL parancs (programnév) port (port intervallum) használható, az alábbi sor a http_access deny all (program neve).

Vonzó szabványok és protokollok

A Squid konfigurálása azt is lehetővé teszi a rendszergazdának, hogy beállítsa a preferált protokollt az internetes csatorna használatához. Például, ha egy személynek egy adott számítógépről kell elérnie a hálózatot az FTP protokollon keresztül, akkor a következő parancs használható: ACL ftpproto proto ftp, az alábbi sor: http_access deny (számítógép neve) ftpproto.

A method elemmel megadhatjuk, hogy a HTTP kérés hogyan történjen. 2 van belőlük - GET és POST, de bizonyos esetekben az első előnyösebb, nem a második, és fordítva. Például lehetséges egy olyan helyzet, amelyben egy adott munkavállaló nem nézheti meg a leveleket a mail.ru webhelyen keresztül, de a munkáltatója nem bánja, ha egy személy híreket szeretne olvasni a megadott webhelyen. Ehhez a rendszergazda a következő parancsot használhatja: ACL sitemailru dstdomain .mail.ru, az alábbi sor az ACL methodpost metódus POST, majd http_access deny (számítógép neve) methodpost sitemailru.

Ezek a Squid konfigurálásának árnyalatai. Ubuntu használatos, Windows vagy más, a proxyszerverrel kompatibilis operációs rendszer - a szükséges paraméterek beállításának jellemzői, amelyeket figyelembe vettünk, általában minden szoftverkörnyezetre jellemzőek a Squid működéséhez. Ezzel a szoftverrel dolgozni hihetetlenül izgalmas folyamat, ugyanakkor egyszerű is a program beállítási fő algoritmusainak logikája és átláthatósága miatt.

Vessünk egy pillantást a Squid konfigurálásával kapcsolatos néhány kulcsfontosságú pontra.

Mire kell figyelni a beállításnál?

Ha nehézségei vannak a squid.conf fájl megtalálásával, amely a fő szerver konfigurációs eszköze, próbálja meg ellenőrizni az etc/squid könyvtárat.

A legjobb, ha a kérdéses fájllal való munka során a legegyszerűbbet használja szöveg szerkesztő: nem kell semmilyen formázási elemet belefoglalni a proxyszerver beállításáért felelős sorokba.

Egyes esetekben működés közben szükséges lehet a szolgáltató proxyszerverének megadása. Erre van egy cache_peer parancs. Ezt a következőképpen kell megadni: cache_peer (szolgáltató proxyszerver címe).

Egyes esetekben hasznos az érték rögzítése véletlen hozzáférésű memória, amelyet a Squid fog használni. Ezt a cache_mem paranccsal lehet megtenni. Hasznos megadni azt a könyvtárat is, amelyben a gyorsítótárazott adatok tárolódnak, ez a cache_dir kifejezéssel történik. Az első esetben a teljes parancs így fog kinézni: cache_mem (a RAM mennyisége bájtban), a második esetben cache_dir (könyvtárcím, lemezterület megabájt száma). Célszerű a gyorsítótárat a legnagyobb teljesítményű lemezekre helyezni, ha van választási lehetőség.

Előfordulhat, hogy meg kell adnia azokat a számítógépeket, amelyek hozzáférnek a proxykiszolgálóhoz. Ez megtehető az ACL engedélyezett hosts src (számítógép IP-címtartomány) és ACL localhost src (helyi cím) parancsaival.

Ha SSL portokat használnak a kapcsolatokban, akkor az ssl_ports port (adja meg a portot) ACL paranccsal is javíthatók. Ezzel egyidejűleg letilthatja a CONNECT metódus használatát más portoknál, kivéve a biztonságos SSL-kapcsolatban megadottakat. A http_access deny CONNECT kifejezés segít ebben! SSL portok.

Squid és pfSense

Egyes esetekben a szóban forgó proxyszerverrel együtt a pfSense interfész használatos, amely hatékonyan használható Hogyan szervezzék meg közös munkájukat? A probléma megoldásának algoritmusa nem túl bonyolult.

Először a pfSense felületen kell dolgoznunk. A Squid-et, amelyet már konfiguráltunk, SSH-parancsokkal kell telepíteni. Ez az egyik legkényelmesebb és legbiztonságosabb módja a proxyszerverekkel való munkavégzésnek. Ehhez aktiváljuk a felületen az Engedélyezés menüpontot, melynek megkereséséhez a Rendszergazda menüpontot, majd az Adminisztratív hozzáférés után az Advanced menüpontot választjuk.

Ezt követően le kell töltenie a PuTTY-t - egy praktikus alkalmazást az SSH-val való munkához. Ezután a konzol használatával telepítenie kell a Squid-et. Ez könnyen megtehető a -pkg install squid paranccsal. Ezt követően a proxyt is be kell állítani a pfSense webes felületén keresztül. A Squid (paraméterei ebben a szakaszban nincsenek konfigurálva) a Rendszer, majd a Csomagok, utána - Elérhető csomagok menüpont kiválasztásával telepíthető. A Squid Stable csomagnak elérhetőnek kell lennie a megfelelő ablakban. Kiválasztjuk. A következő beállításokat kell megadnia: Proxy interfész: LAN. A Transparent Proxy sorral szemben bejelölheti a négyzetet. Kiválasztjuk a napló címét, és preferált nyelvként az oroszt jelöljük meg. Kattintson a Mentés gombra.

Erőforrás-optimalizáló eszköz

A Squid beállítása lehetővé teszi a rendszergazdák számára, hogy hatékonyan allokálják a szerver erőforrásait. Vagyis ebben az esetben nem beszélünk egyetlen oldal hozzáférési tilalmáról sem, azonban az egyik vagy másik felhasználó vagy csoportja csatornaaktiválásának intenzitása ellenőrzést igényelhet. A vizsgált program több módon is lehetővé teszi ennek a problémának a megoldását. Először is, ez a gyorsítótárazási mechanizmusok használata: emiatt nem szükséges újra letölteni a fájlokat az internetről, mivel a forgalom terhelése csökken. Másodszor, a hálózathoz való hozzáférés időbeni korlátozása. Harmadszor, ez a hálózaton történő adatcsere sebességének határértékeinek meghatározása bizonyos felhasználók tevékenységeihez vagy a letöltött fájlok meghatározott típusaihoz. Tekintsük ezeket a mechanizmusokat részletesebben.

A hálózati erőforrások optimalizálása gyorsítótárazással

A hálózati forgalom szerkezetében sokféle fájl létezik, amelyeket változatlan formában használunk. Azaz, miután letöltötte őket a számítógépre, a felhasználó nem ismételheti meg a megfelelő műveletet. A Squid program lehetővé teszi az ilyen fájlok szerver általi felismerésének mechanizmusának rugalmas konfigurálását.

Az általunk vizsgált proxyszerver igen hasznos lehetősége a gyorsítótárban lévő fájl korának ellenőrzése. A megfelelő memóriaterületen túl hosszú objektumokat frissíteni kell. Ez az opció a refresh_pattern paranccsal engedélyezhető. Tehát a teljes kifejezés így nézhet ki: refresh_pattern (minimális időtartam - percben, a "friss" fájlok maximális aránya - in%, maximális időtartam). Ennek megfelelően, ha egy fájl a megadott feltételeknél hosszabb ideig van a gyorsítótárban, akkor szükséges lehet egy új verzió letöltése.

Erőforrás-optimalizálás időzített hozzáférési korlátozásokkal

Egy másik lehetőség, amely a Squid-Proxy képességeinek köszönhetően használható, hogy idővel korlátozza a felhasználók hozzáférését a hálózati erőforrásokhoz. Ez egy nagyon egyszerű paranccsal állítható be: ACL (számítógép neve) idő (nap, óra, perc). A hozzáférés a hét bármely napjára korlátozható, ha a „day” szót az angol ábécé nevének megfelelő szó első betűjére cseréljük. Például, ha hétfő, akkor M, ha kedd, akkor T. Ha a parancs nem tartalmazza a „nap” szót, akkor a megfelelő tiltás az egész hétre lesz beállítva. Érdekes módon szabályozható a hálózatba való belépés ütemezése is, amelyet a felhasználók bizonyos programok segítségével hajtanak végre.

Erőforrás-optimalizálás sebességkorlátozás révén

Meglehetősen gyakori lehetőség az erőforrások optimalizálása a megengedett adatcsere sebességének szabályozásával számítógép hálózat. Az általunk vizsgált proxyszerver a legkényelmesebb eszköz a probléma megoldására. Az adatcsere sebességének szabályozása a hálózatban olyan paraméterekkel történik, mint a delay_class, delay_parameters, delay_access, valamint a delay_pools elemen keresztül. Mind a négy összetevő nagy jelentőséggel bír azon problémák megoldásában, amelyekkel a rendszergazdák szembesülnek a helyi hálózati erőforrások optimalizálása terén.