Proxy lignje - 1. dio

Pozdrav svima, možete me zvati Brody. Ja sam specijalist za područje podatkovnih centara, također obožavatelj svijeta linuxa zbog jednostavne činjenice da mi olakšava život i rad. Razmisli o tome!

Od ovog trenutka, odnosit ću se prema "vama" na više bezličan način, više u samopouzdanju. Moji se vodiči neće odnositi samo na instaliranje usluge, a sada ću vam dati sve znanje i alate potrebne da maksimalno iskoristite mogućnosti svake funkcije aplikacije, bilo kakva pitanja pošaljite poruku u inbox

Squid nije samo proxy i cache usluga, on može učiniti mnogo više: upravljati acl (pristupnim listama), filtrirati sadržaj, može čak i ssl filtrirati čak i u transparentnom načinu (proxy metoda - bez potrebe za konfiguriranjem u postavkama proxyja iz njihovih preglednika , to je kao čovjek u sredini, niko ne zna da je tamo). Tako često vidim kako se puni potencijal ove aplikacije troši ne znajući kako konfigurirati svaki njen dio.

Ali prvo najprije, pogledajmo samo značajku proxy.

Instaliraj:

aptitude install squid3

Uredite konfiguracijsku datoteku:

vi /etc/squid3/squid.conf

  • http_port ip: port

Primjer bi bio http_port 172.16.128.50:3128  Usluga će se pružati putem navedenog IP-a i porta, posebno ne bih preporučio napuštanje porta 3128 prema zadanim postavkama u proizvodnom okruženju.

  • acl localnet src ip / maska

Primjer bi bio acl localnet src 172.168.128.0/24 opća lista pristupa (što je više moguće makronaredbi) koja će imati pristup navedenoj usluzi. localnet je ono što se zove acl, ali tamo možete staviti bilo koje ime.

  • http_access dopustiti localnet

Jednostavno http_access allow localnet isto ime koje ste stavili u prethodnu stavku, ovdje dozvoljavamo ovoj mreži da se kreće i koristi usluge liganja

  • quick_abort_min 0KB
  • quick_abort_max 0KB

Vrijeme kada odustajemo od zahtjeva. Objasnit ću vam to detaljnije: kada korisnik pregledava vaš proxy i otkaže zahtjev ili preuzimanje, imate 3 mogućnosti, ako je preuzimanje manje od quick_abort_min Zatim će ga preuzeti Squid, ako preuzimanje nedostaje više od quick_abort_max Tada će se 150 KB odmah otkazati, ako su obje postavljene na 0 KB, preuzimanje se završava čim korisnik otkaže.

  • read_timeout 5 minuta

Ovo je vrijeme kada će sesija servera biti otvorena sve dok nema novog čitanja, na primjer na statičkoj stranici, vrlo visoka vrijednost nije potrebna, ali na dinamičkim stranicama kao što je facebook to je prihvatljiva vrijednost

  • request_timeout 3 minuta

Ova vrijednost može biti mnogo niža, to ovisi o kvaliteti wan veze vašeg poslužitelja i broju klijenata koje imate. Ovaj parametar odnosi se na maksimalno vrijeme čekanja http zaglavlja zahtjeva, nakon uspostavljanja veze.

  • off_closed_clients off

Sprječava napola zatvorene veze zbog komunikacijskih pogrešaka. Ni pod kojim okolnostima ne želite rasipati resurse servera.

  • shutdown_lifetime 15 sekundi

Ova oznaka omogućava skraćivanje vremena čekanja na zatvaranje procesa lignji kada radite SIGTERM ili SIGHUP

  • log_icp_queries isključen

Ovo prepuštam vašem nahođenju, po defaultu se uključuje, a to je prijavljivanje u dnevnik svakog upita upućenog u proxy predmemoriju.

  • dns_nameservers 8.8.4.4 8 8.8.8.8

DNS upiti bit će upućeni na ove ip-ove odvojene razmakom, ako nije definiran nijedan, DNS vašeg sistema koristi se prema zadanim postavkama

  • dns_v4_prvo

Pa, to ovisi o zemlji ili postavkama vašeg okruženja, ali u mom slučaju nemam IPv6 DNS, pa prema zadanim postavkama postavlja prvo da se sve pregleda u ipv4

  • ipcache_size 2048

Maksimalan broj unosa u dsh predmemoriju squid

  • ipcache_low 90

Najmanja veličina unosa dns predmemorije.

  • fqdncache_size 4096

Maksimalan broj FQDN unosa u predmemoriji

  • memory_pools isključen

Deaktiviramo da je RAM memorija rezervirana za buduće procese lignje, ako je to vrlo oskudni resurs na vašem serveru

  • forwarded_for off

Ako ih želite spriječiti da vide vaš privatni ip s wan-a, zahtjevi će stići s nepoznatim, ili u tom slučaju, ru ip wan-om

započinjemo predmemoriju

squid3 -z

Ponovo pokrećemo uslugu

usluga squid3 ponovno pokretanje

Da biste završili, samo morate staviti u svoj pretraživač, u opcijama proxyja ip i port, spremni za pregledavanje

Ovo je sve za ovu priliku, znate da ćete uz ovo imati vrlo robusne lignje, u budućim postovima keširati ćemo s lignjama


Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

24 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   Ing. Jose Albert rekao je

    Izvrsno, korak po korak. Najviše mi se svidjelo objašnjenje repertoara konfiguracije od opcije do opcije.

    Najviše mi se svidjela opcija:

    quick_abort_min 0KB
    quick_abort_max 0KB

    Mislim da je ovo izuzetno važno jer mnogo puta korisnik može izgubiti (otkazati) zbog X situacije, preuzimanje koje je pri kraju i ovaj parametar, dobro procijenjen prema našim računarskim resursima, može nam omogućiti da nastavimo s navedenim preuzimanjem, jer sasvim moguće koliko i isti korisnik ili bi drugi mogao pokušati u kratkom vremenskom periodu pokušati ponovo preuzeti isti predmet, štedeći promet na Internetu.

    Ispravi me ako griješim, BrodyDalle?

    1.    BrodyDalle rekao je

      Da i ne, objasniću.

      Doista će se preuzimanje uspješno završiti čak i ako ga je korisnik otkazao, tek onda kada isti ili drugi korisnik pokuša preuzeti aplikaciju ili web stranicu, lignje će dostaviti kopiju koju već ima u predmemoriji i neće ići na Internet da ponovo preuzme podatke. Sada je ovdje pažnja učinak nastavka samo upravitelj preuzimanja koji podatke pohranjuje u predmemoriju vašeg računala unaprijed određeno vrijeme i omogućava vam nastavak otkazanog ili prekinutog preuzimanja, a ne lignje.

      U budućim tutorijalima temeljito ću dati lignje kao predmemoriju, tako da ne trošite WAN (Internet) resurse svoje mreže

  2.   Javier Espinoza rekao je

    odličan članak Učim o lignjama i njihovoj primjeni hvala vam puno što mi dobro dođe

    1.    BrodyDalle rekao je

      Hvala vam, imajte na umu da ću u budućim tutorijalima lignje temeljito dati u privremenu memoriju, tako da ne trošite WAN (Internet) resurse svoje mreže

  3.   henrry servita rekao je

    odličan vodič je uvijek dobar za proširenje znanja. Živjeli

  4.   Miguel Piña rekao je

    Pozdrav, prije svega hvala na temi, objašnjenjima i pruženom znanju. Moram još nešto da komentiram, pitanje. Donosim na stol problem koji mi se tačno dogodio sa squid3 na Debianu, ispada da sam jednog lijepog dana, prije nekoliko mjeseci, ažurirao sistem i zajedno s ovom nadogradnjom došla je nova verzija squid, 3.5, odatle je proxy otišao da prođem sve HTTPS veze, odnosno odmah više nisam otvarao https // www.google.com.cu, https://www.facebook.com i sve što koristi sigurni HTTPS protokol. Istražujući malo, otkrio sam da je problem bio u rukovanju SSL-om, nečim što je Debian prestao pakirati s squid3 iz pravnih i filozofskih razloga. NE moram reći nelagodu koja je postojala u entitetu u danima kada sam pokušala riješiti ovaj "problem" koji na kraju nisam uspjela riješiti, ali vratila sam se na prethodnu verziju Squid3 i zadržala paket sa sposobnošću da spriječim neće se ponovo ažurirati. Na web mjestu na kojem se prijavljuju greške u lignjama, govorio je o grešci nazvanoj "lignje u sredini", te upozorio da su sve lignje od verzije 3.4.8 nadalje ranjive, pa su preporučili ažuriranje na noviju verziju i kompajliranje lignje sa SSL + postavljenim za ručno generiranje certifikata…. MOLIM VAS! Ako je netko naišao na ovu situaciju i riješio je, volio bih biti tako ljubazan i dati mi svjetlo po ovom pitanju, a ako ne, barem prokomentirati da se dogodilo isto ... i koje je rješenje primijenjeno. Hvala ti.

    1.    BrodyDalle rekao je

      Trenutno je u Debianu Jessie dostupan samo do verzije 3.4.8-6 + deb8u1 ... Međutim, mogu vam reći da možete koristiti ssl bump ako lignje koristite u prozirnom načinu. http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit…. Ne dovodim u pitanje vaš doprinos, pa ću uskoro instalirati najnoviju verziju sa njegove službene web stranice

  5.   Antonio A. rekao je

    Dobro jutro,

    Što se tiče performansi, bi li vrijedilo instalirati na Raspberry Pi 2?

    Hvala unaprijed, pozdrav.

  6.   Antonio A. rekao je

    zdravo,

    Lijep vodič, ali imam pitanje: što se tiče performansi, bi li vrijedilo instalirati na Raspberry Pi 2?

    Pozdrav.

    1.    BrodyDalle rekao je

      Kratki odgovor je Ne ... možete to učiniti, ali određene funkcije poput mrežnog sučelja, procesora, diska su mnoga vaša uska grla. Ako i dalje trebate djelovati kao proxy, mislim da je tinyproxy bolji

      Hvala na učešću

  7.   Tabris rekao je

    Imate li iskustva sa lignjama u okviru pfSense-a?

    1.    BrodyDalle rekao je

      da, šta trebate znati? pogledajte mogu li vam pomoći.

  8.   acontreras90 rekao je

    Dobar vodič, već vrlo dobro vrijeme. Ne znam mnogo o problemu. Trenutno instaliram proxy u svojoj kompaniji s squid.conf iz prethodne verzije i postoje stvari koje su promijenile sintaksu. Mnogo me poslužilo. Nastavit ću čekati 2. dio.
    Puno hvala

    1.    BrodyDalle rekao je

      Hvala na komentaru, čeka se da će drugi dio lignje o tome kako predmemorirati uskoro biti dostupan.

  9.   Ramzes rekao je

    Izvrsno, davno sam implementirao ubuntu server sa lignjama i on je prilično dobro radio, sada sam već neko vrijeme odvojen od linuxa i želio bih se vratiti na pitanje predmemoriranih poslužitelja kako bih dao bolje performanse problemima s nulama, hvala na vašem doprinosu Brody!

  10.   rodrigoarielpizarro rekao je

    Pozdrav, vaša pomoć je vrlo lijepa, upravo sam ušao u problem s IPV6 s DNS-om i tamo imam problema. Kada se ne pojavi web lokacija s IPV6, to bi radilo za mene, pa moram znati treba li dns_v4_first u konfiguraciji aktivirati prije kompajliranja squid-a, jer u 3.3.8 ne bi radio.

  11.   jocampo rekao je

    Dobro jutro.
    Za početak, ovaj vodič je bio od velike pomoći. Sada iznosim svoj slučaj, jer ne znam mogu li lignjama riješiti svoje potrebe ili bih trebao potražiti drugu alternativu.
    Imam aplikaciju konfiguriranu na instanci AWS EC2, koja mora upućivati ​​zahtjeve Amazonu API-ju, problem nastaje kada su ti zahtjevi masovni, tako da Amazon prepoznaje IP i odbija ih neko vrijeme, stvarajući neugodnosti u aplikaciji koju imam. Da bismo to riješili, koristimo uslugu Proxymesh koja uzima zahtjev i šalje ga s jednog od svojih ip-ova, čime se izbjegava spomenuto blokiranje, činjenica je da za to, kada podnosimo zahtjev na Amazonu, to radimo putem uvijanja u php-u, dajući kao mogućnost povezivanja na proxymesh. Sada tražim mogućnost da se iz instance koja se može konfigurirati da kada se zahtjevi upućuju na Amazon api, oni idu direktno na proxymesh uslugu, tako da je ona zadužena za slanje zahtjeva na konačno odredište . Da li je moguće ovo preusmjeravanje izvršiti s lignjama ili preporučate drugu alternativu?
    Puno vam hvala.

  12.   janho rekao je

    Je li neko isprobao više shema provjere autentičnosti na lignjama? Instalirao sam verziju 3.5.22 u debian i iako sam isprobao različite verzije, ona ne funkcionira, moja situacija je da trebam da se mogu prijaviti i korisnici mog AD-a i drugi vanjski korisnici, ako rade odvojeno za me ili ntml za prijavljene korisnike domene i basic (ncsa) za vanjske, ali ne oboje istovremeno. svaka pomoć će biti korisna. Hvala unaprijed

  13.   volja rekao je

    Poštovani, ne znam zašto, bez problema sam instalirao lignje, ali kada sam ga ažurirao na verziju 3.5 datoteka access.log počela je ostati prazna, više ne pohranjuje podatke kao nekada. Ne znam moram li vidjeti i implementirati WPAD da više ne bih koristio prozirnu konfiguraciju, kao i ukloniti preusmjeravanje s porta 80 na 3128 kao što je to uobičajeno, jer s wpadom to pravilo više nije potrebno.

    je li to razlog zašto access.log sada više ne bilježi aktivnost?

    Živjeli !!

  14.   Cristian rekao je

    Dobar vrlo dobar vodič!

    Već neko vrijeme koristim lignje kao web proxy, ali u posljednje vrijeme primjećujem da mi treba puno vremena za pretragu ili otvaranje stranica ... možda bih trebao očistiti predmemoriju?

    Neko ima lignje konfigurirane sa mkt, kako to funkcionira za njih?

    Saludos

  15.   Juan rekao je

    Vrlo dobre informacije, žao mi je kako bih se mogao pridružiti lignjama sa aktivnim direktorijumom tako da me u trenutku ulaska na blokiranu stranicu pita za korisničko ime i lozinku za račun aktivnog direktorija i ako navedeni korisnik ima dozvolu za ulazak na stranicu.

  16.   Carlos rekao je

    zdravo,
    odličan vodič, u svakom slučaju i možete me voditi, jer jednostavno ne dajem, imam 20MB fiber fiber i squid 3.1 montiran na centos 6.9 i opslužujem otprilike 300 korisnika prije nego što sam imao 4MB vezu i squid 3.1 i isto broj korisnika i očito sve super sporo i spomenuto administratoru (meni) Krivio sam vezu, napokon sam ih natjerao da ga promijene i Internet je jednako spor, reinstalirao sam OS, konfigurirao squid 3.1 i ništa drugo ne ubrzava I radim mjerenje brzine s klijenta lignje i daje mi 18 do 20 MB, ali stalno se o meni priča jer je usluga jednako spora

    Ako biste mi vi ili neko sa sličnim problemom mogli razjasniti, beskrajno ću im zahvaliti.

  17.   luis rekao je

    Što se događa s adresama, mijenjaju li se u vlastite mrežne adrese ili se koriste one koje koristite.

  18.   Irwing rekao je

    Učim o squid debian-u i njegovoj implementaciji, hvala puno, dobro mi dođe. ali to mi stvara probleme s vezom i provjeravam daje li grešku i očito sve radi u redu.