Konfigurasi Squid Bab 3.

The proxy server Squid

Konfigurasi Squid
Squid diatur oleh sebuah file konfigurasi, biasanya berada di squid.conf Ada sedikit dokumentasi lainnya dikirim dengan cumi dalam bentuk manual atau Texinfo (yang digunakan oleh perintah info) halaman. Namun, di samping sumur-komentar konfigurasi file, FAQ dan dokumentasi juga berada di / Usr / share / doc / squid direktori. Situs web resmi tidak www.squid.org yang mungkin diharapkan, tapi http://www.squid-cache.org. adalah opsi panjang dan memiliki banyak mil (129 dalam semua saya pikir). Untungnya meskipun, dalam rangka untuk mendapatkan Squid akan secepat mungkin (Walaupun jauh dari optimal), hanya 2 pengaturan perlu diubah.
squid.conf

Kita akan melihat dua perubahan dalam kursus ini, tetapi kami juga akan meluangkan waktu memeriksa beberapa pilihan konfigurasi lainnya 127.

Menetapkan port yang mendengarkan cumi

Keluar kotak, Squid akan mendengarkan pada port 3128 (default). Meskipun mungkin nyaman untuk mendengarkan pada port ini, administrator jaringan seringkali mengkonfigurasi proxy untuk mendengarkan pada port 8080. Ini merupakan pelabuhan yang tidak dikenal (port di bawah 1024 port terkenal dan Pembatasan dari proses yang digunakan oleh pengguna biasa), dan karena itu tidak akan berada dalam konflik dengan port lain seperti 80,, 443 22, 23, dll Squid tidak perlu terbatas pada satu port. Dengan mudah dapat dimulai dalam 2 atau lebih port. Pada contoh di bawah ini, saya akan mulai Squid pada kedua port (8080 dan 3128).
http_port 8080 3128

Selain itu, jika Anda memiliki beberapa kartu jaringan di server proxy Anda, Anda mungkin ingin membatasi proxy tersebut untuk memulai pada port 8080 pada kartu jaringan pertama dan port 3.128 pada kartu jaringan yang kedua.

http_port 192.168.0.1:8080 172.16.43.1:3128

Satu hal yang perlu dicatat adalah bahwa tidak boleh ada layanan lain yang berjalan pada ini sebelum memulai port server proxy. Jika ada, Squid tidak akan mulai dan Anda perlu berkonsultasi log file untuk menentukan apa yang telah menyebabkan gangguan pencernaan ini cumi-cumi. Akhirnya, jika Anda tidak suka port saya pilih di sini, Anda dipersilahkan untuk pilih sendiri, asalkan Anda mematuhi aturan dalam paragraf di atas. Jika Anda memilih port di bawah 1024, Squid akan perlu dijalankan sebagai root, tapi ini bukan masalah, sebagai proses baru akan melahirkan dan proses baru akan berjalan sebagai user squid.

Cumi-cumi pengguna
Squid tidak boleh dijalankan sebagai root. Dalam mode default ini, jika Squid dimulai sebagai akar, itu akan berjalan sebagai user yang efektif 'tidak ada', dan kelompok yang efektif 'tidak ada'. Seperti disebutkan sebelumnya, jika Anda ingin menjalankan squid Anda pada port di bawah 1024, Anda akan perlu untuk memulai adalah sebagai pengguna 'root'. Ada dua opsi konfigurasi lain dalam squid.conf menunjukkan file yang harus pengguna dan kelompok digunakan untuk server. cache_effective_group dan cache_effective_user adalah file-file konfigurasi pengaturan yang diperlukan. Disarankan agar Anda membuat pengguna cumi-cumi (jika belum ada) serta kelompok 'cumi' dan mengubah file konfigurasi yang sesuai. Setelah user dan grup yang akan digunakan telah didirikan kita perlu mengatur akses ke proxy kita.

Mengontrol akses ke server proxy

Akses kontrol ditentukan menggunakan dua set parameter konfigurasi. Yang pertama adalah daftar kontrol akses (acl), dan yang kedua adalah daftar http_access (Http_access). The 'acl' benar-benar mendefinisikan sebuah sinonim yang bisa kita gunakan dalam http_access daftar. Bentuk umum dari daftar acl adalah:

acltype aclname acl string1 ... | "File"

'Acltype's src

dapat menjadi salah satu (ini bukan the whole list!): alamat sumber paket (misalnya Alamat IP) alamat tujuan paket (misalnya Alamat IP / domain dst yang paket ini ditakdirkan) domain sumber paket (untuk ini, Squid harus melakukan srcdomain nama lookup reverse untuk menentukan sumber domain, menambahkan untuk latency itu) dstdomain seperti dalam sumber domain, hanya domain yang paket yang ditakdirkan srcdom_regex ekspresi reguler menggambarkan domain sumber (misalnya QEDux .*) seperti dalam srcdom_regex Ekspresi reguler menggunakan sumber atau tujuan domain. Perlu diketahui bahwa dstdom_regex hal ini dapat menyebabkan keterlambatan sebagai hasilnya lookup. menentukan waktu di mana host dapat menghubungkan misalnya acl allowed_clients src Waktu 192.168.0.0/255.255.255.0 acl waktu regular_days MTWHF 10:00-16:00 http_access memungkinkan allowed_clients regular_days Setelah kami mendefinisikan acl, kita dapat menggunakannya untuk mendefinisikan file http_access. Kita menunjukkan contoh di acltype waktu di atas, tetapi mari kita melihat orang lain. Format umum dari direktif http_access adalah:
http_access mengijinkan | menyangkal [] aclname! ...

Jadi, jika kita memiliki acl sebagai berikut:

src 192.168.1.0/255.255.255.0 acl allowed_clients

Garis http_access bisa membaca:

http_access memungkinkan allowed_clients

Beberapa poin yang perlu diperhatikan mengenai garis http_access adalah: Setiap baris adalah 'OR'ed dengan berikutnya. Jadi, memiliki dua baris sebagai berikut:
http_access memungkinkan allowed_clients

ATAU
http_access menyangkal! allowed_clients

dan ini akan memungkinkan allowed_clients, tapi menolak klien yang tidak sesuai ke alamat allowed_clients sumber. Pertandingan pertama akan menyebabkan cumi untuk menerima permintaan dan tidak ada garis selanjutnya akan dicocokkan. Dalam gaya ATAU khas, "TRUE atau apa" selalu akan menghasilkan hasil TRUE. Jadi urutan penting dalam baris http_access. Jika Anda berkonsultasi Anda squid.conf file, Anda melihat ada sebuah entri sebagai berikut:
src 0.0.0.0/0.0.0.0 acl semua

di acl akan

dengan garis yang terkait, pada akhir semua baris http_access, sebagai berikut:
http_access menolak semua

Hasilnya adalah untuk menolak semua klien yang belum cocok dengan http_access sebelumnya aturan. A 'menangkap-semua' sebagaimana aslinya. Selanjutnya, setiap entri pada baris http_access adalah 'AND'ed dengan entri berikutnya. Dalam 'waktu' contoh yang disebutkan di atas:
http_access memungkinkan allowed_clients regular_days

ini akan diartikan sebagai:

http_access memungkinkan allowed_clients DAN regular_days

Hal ini akan menyatakan bahwa jika klien di jaringan 192.168.0.x DAN itu waktu adalah antara 10am and 4pm, memungkinkan akses melalui proxy.

Jelas kita juga perlu menambahkan baris menyangkal suatu tempat di bawah ini, dinyatakan meskipun baris ini mungkin tidak cocok, klien masih akan diizinkan melalui proxy. mari kita lihat beberapa contoh acl's (komentar di atas garis menunjukkan apa yang saya berusaha untuk mencapai menggunakan mereka):
# Tetapkan alamat untuk sumber alias 'itu' QEDux.net.work # (Klien pada jaringan di berbagai 10.0.1.x) acl src 10.0.1.0/255.255.255.0 QEDux.net.work # Tetapkan alamat untuk sumber alias 'itu' QEDux.net.home # (Klien pada jaringan di berbagai 192.168.43.x) acl src 192.168.43.0/255.255.255.0 QEDux.net.home # Meskipun bek adalah pada 10.0.1.x jaringan, # Ini khusus yang ditetapkan berdasarkan alamat MAC itu defender_arp acl arp 00:01:03:8 C: FB: 01 # Larang akses ke url yang mengandung kata \ seks atau porno atau dewasa. # Perhatikan juga penggunaan opsi-i, yang akan \ pertandingan RE dalam kasus # tidak sensitif secara blacklist_sites acl url_regex-i sex porno dewasa

Sekarang untuk baris http_access:

# Pastikan bahwa ini bukan bek yang berusaha \ untuk menggunakan proxy http_access menyangkal defender_arp # Pastikan bahwa orang mencoba untuk menggunakan proxy adalah \ tidak akan ke # Dewasa / porno / seks situs http_access menyangkal blacklist_sites # Jika tidak memungkinkan pengguna pada domain \ QEDux.net. (Rumah, kantor) untuk # Menggunakan proxy (dan dengan demikian menggunakan Internet) http_access memungkinkan QEDux.net.work \ QEDux.net.home # Jika tidak menyangkal semua klien yang tidak sesuai dengan pola-pola ini http_access menolak semua

Secara default, Squid sebagai dikirim dalam itu menyusut rata, hanya memungkinkan akses ke localhost dengan menggunakan direktif http_access. Dengan demikian, bentuk yang paling sederhana di dalamnya, Anda akan

diperlukan untuk menambahkan baris acl jaringan Anda, serta entri dalam squid.conf file untuk mengizinkan akses dari host di jaringan Anda. Sebuah komentar dalam squid.conf file sebagai berikut menunjukkan di mana Anda harus menambahkan peraturan Anda sendiri:
..... # # INSERT ATURAN ANDA SENDIRI (S) DI SINI UNTUK MEMBOLEHKAN \ ACCESS KLIEN DARI ANDA # .....

Beberapa catatan akhir tentang situs daftar hitam adalah: Alih-alih memiliki regex yang akan cocok dengan situs tersebut, Anda bisa memasukkan semua situs blacklist di file eksternal, dan mengubah acl Anda untuk membaca sebagai berikut:
blacklist_sites acl url_regex "/ etc / blacklisted_sites.txt"

Sekarang semua yang Anda perlu lakukan adalah menambahkan situs Anda yang ke dalam daftar hitam file teks dan bingo, Anda telah memecahkan masalah. Perlu dicatat bahwa akses ke situs-situs tertentu menolak mungkin akan mengharuskan Anda, atau perusahaan Anda, memiliki kebijakan yang ditetapkan sebelumnya bahwa karyawan sadar. Post kontrak meletakkan hukum tidak sah dan Anda (atau perusahaan Anda) bisa menemukan diri Anda dalam air panas. Ini adalah peringatan, dan dengan pengguna menjadi lebih sadar hak-hak mereka, itu berharga konsultasi pengacara sebelum melakukan seperti itu kebijakan pada proxy. Saya pribadi berarti berurusan dengan 'penyalahgunaan' Internet untuk mengotomatisasi proses penerbitan pengguna Internet agar situs mereka baru saja dikunjungi. Dengan begitu, jika nama Joe muncul di bagian atas daftar untuk www.playboy.com, bisa menjadi malu pada saat teh ketika orang mulai kuis tentang hal itu! Latihan: 1. Mengkonfigurasi acl / http_access arahan yang akan memungkinkan kali penggunaan Internet untuk makan siang dan setelah jam 5 sore.

2. Mengkonfigurasi acl / direktif http_access untuk mengizinkan pengguna di 172.16.43 jaringan, namun menyangkal tertentu host 172.16.43.149 dan 153. 3. Mengkonfigurasi acl / direktif http_access untuk melarang pengguna dengan MAC alamat 00:10:11:96: A1: C3, C5 dan 96: EF: 15 4. Mengingat perintah http_access berikut, apa hasilnya: The acl diberikan sebagai berikut:
acl Safe_ports port 80 21 443 563 70 210 1025 -65535 metode CONNECT acl CONNECT http_access menyangkal! Safe_ports http_access menyangkal CONNECT! SSL_ports src 192.168.2.0/24 acl ip_acl Acl waktu T time_acl M W H F 9:00-17:00 http_access memungkinkan ip_acl time_acl acl hosts1 src192.168.0.10 src 192.168.0.20 acl hosts2 src 192.168.0.30 acl hosts3 acl waktu pagi 10:00-13:00 acl waktu makan siang 13:30-14:30 15:00-18:00 acl waktu malam http_access http_access http_access http_access http_access mengijinkan host1 pagi mengijinkan host1 malam memungkinkan host2 makan siang memungkinkan host3 malam menolak semua

Pengaturan cache_dir yang

Pada titik ini Anda mungkin akan gatal untuk memulai proxy Anda, kecuali menunggu. Ada lagi! Kotak keluar, cumi kapal dengan ukuran cache default dari 100MB dan hal ini mungkin perlu berubah tergantung pada seberapa besar situs Anda proxy adalah penanganan. Jika Anda hanya menguji pada tahap ini, biarkan default. Namun, Anda harus menyadari apa artinya angka setelah path ke direktori cache. Format umum dari direktif cache_dir adalah:
cache_dir Type Directory-Name Maxobjsize Mbytes \ Level-1 Level2 [..]

dimana:

Jenis umumnya UFS (meskipun bisa juga hal-hal lain - bacalah squid.conf file) Maxobjsize adalah ukuran obyek maksimum direktori penyimpanan mendukung. Ini dapat diabaikan Direktori-Nama adalah nama direktori top-level. Anda mungkin ingin untuk menyimpan cache di / Var / cache atau / Var / spool / cache atau / Var / spool / squid. Anda akan menentukan ini di sini. Mbytes, secara default dari pembungkus-psikiater, ini adalah 100MB. Namun hal ini cache sangat kecil dan kemungkinan besar akan cukup kelelahan segera setelah menggunakan cache - bahkan untuk organisasi kecil. Ingat bahwa melelahkan cache tidak akan mempengaruhi akses Anda ke Internet, tapi tentu akan meningkatkan latency ke situs yang Anda kunjungi. Dua yang terakhir entri, Level-1 dan Level-2 adalah jumlah tingkat pertama direktori yang akan dibuat di bawah NamaDirektori, dan Level-2, jumlah 2 direktori tingkat di bawah tingkat pertama

Gambar 3.1. Squid Direktori Tingkat

Perhatikan bahwa Squid tidak secara otomatis menciptakan hirarki direktori diperlukan untuk cache halaman Anda. Anda dapat melakukannya dengan menggunakan:
/ Usr / sbin / squid-z

Cara terbaik memulai pertama kali cumi adalah mulai dengan tangan. Dengan asumsi Anda tahu tempat tinggal cumi Anda biner, Anda bisa melakukan sesuatu seperti:

/ Usr / sbin / squid-N-d 1-D

Ini tidak akan menempatkan cumi ke latar belakang, tapi akan memuntahkan semua output ke konsol.

Opsi-d 1 adalah jumlah informasi debug akan ditampilkan. Meningkatkan jumlah setelah-d akan menampilkan informasi lebih lanjut debug. The-N Pilihan ini tidak akan menempatkan cumi ke latar belakang, tetapi akan terus mengoperasikannya di latar depan, sedangkan opsi-D akan menonaktifkan DNS awal tes.

Jika, pada output, Anda lihat:

Siap untuk melayani permintaan

server proxy Anda siap untuk digunakan. Jika tidak, membaca log dengan hati-hati untuk menentukan apa masalahnya. Setelah Anda telah diuji proxy tersebut, Anda dapat CTRL-C proses cumi dan mulai sebagai skrip init akan dilakukan (dalam Debian yang akan / Etc / init.d start / squid).