Ahoj všichni, můžete mi říkat Brody. Jsem specialistou v oblasti datových center a také fanouškem linuxového světa pro jednoduchou skutečnost, že mi usnadňuje život a práci. Přemýšlejte o tom!
Od tohoto okamžiku budu s vámi zacházet s „vámi“ více neosobně a důvěrněji. Moje výukové programy nebudou jen o instalaci služby a nyní vám poskytnu všechny znalosti a nástroje potřebné k tomu, abyste co nejlépe využili možnosti jednotlivých funkcí aplikace, jakékoli dotazy poslat zprávu do doručené pošty
Squid není jen služba proxy a mezipaměti, dokáže mnohem víc: spravuje ACL (přístupové seznamy), filtruje obsah, může dokonce provádět filtrování SSL i v transparentním režimu (metoda proxy - bez nutnosti konfigurace v nastavení proxy z jejich prohlížečů je to jako člověk uprostřed, nikdo neví, že to tam je). Běžně tedy vidím, jak se plýtvá potenciál této aplikace tím, že nevím, jak nakonfigurovat každou z jejích částí.
Ale nejdřív se podívejme na funkci zastupování.
Nainstalujte:
aptitude install squid3
Upravte konfigurační soubor:
vi /etc/squid3/squid.conf
- http_port ip: port
Příklad by byl http_port 172.16.128.50:3128 Služba bude poskytována zadanou IP a portem, zvláště bych nedoporučoval ponechat port 3128 ve výchozím nastavení v produkčním prostředí.
- acl localnet src ip / maska
Příklad by byl acl místní síť src 172.168.128.0/24 obecný přístupový seznam (pokud možno makro), který bude mít přístup k uvedené službě. localnet je to, čemu se říká acl, ale můžete tam dát jakékoli jméno, které chcete.
- http_access povolit localnet
sencillo http_access povolit místní síť stejný název, jaký jste vložili do předchozí položky, zde této síti umožňujeme navigovat a používat služby squid
- quick_abort_min 0 kB
- quick_abort_max 0 kB
Čas, kdy zrušíme žádost. Vysvětlím to podrobněji: když uživatel prochází váš proxy a zruší požadavek nebo stahování, máte 3 možnosti, pokud je stahování menší než quick_abort_min 80 kB, pak si ji Squid stáhne, pokud je stahování větší než quick_abort_max 150 kB, pak bude okamžitě zrušeno, pokud jsou oba nastaveny na 0 kB, jako je tomu v případě, stahování bude ukončeno, jakmile uživatel zruší.
- read_timeout 5 minut
Toto je čas, kdy bude relace serveru otevřena, dokud nedojde k novému čtení, například na statické stránce, není nutná velmi vysoká hodnota, ale na dynamických stránkách, jako je facebook, je to přijatelná hodnota
- request_timeout 3 minuty
Tato hodnota může být mnohem nižší, záleží na kvalitě wan připojení vašeho serveru a počtu vašich klientů. Tento parametr odkazuje na maximální dobu čekání na hlavičky http požadavku po navázání připojení.
- napůl_zavřené_klienty vypnuty
Zabraňuje napůl uzavřeným připojením kvůli komunikačním chybám. Za žádných okolností nechcete plýtvat prostředky serveru.
- shutdown_lifetime 15 sekund
Tato značka umožňuje zkrátit čekací dobu na uzavření procesů chobotnice při provádění SIGTERM nebo SIGHUP
- log_icp_queries vypnuto
To nechám na vašem uvážení, ve výchozím nastavení se to zapne a je to přihlásit se do protokolu každý dotaz provedený do mezipaměti proxy.
- dns_nameservers 8.8.4.4 8 8.8.8.8
Na tyto IP adresy budou prováděny dotazy DNS oddělené mezerou, pokud není definován žádný, použije se ve výchozím nastavení DNS vašeho systému
- dns_v4_first on
Záleží na zemi nebo nastavení vašeho prostředí, ale v mém případě nemám IPv6 DNS, takže ve výchozím nastavení je nastaveno, že vše je nejprve konzultováno v ipv4
- ipcache_size 2048
Maximální počet položek v mezipaměti squid dns
- ipcache_low 90
Nejmenší velikost položek mezipaměti dns.
- fqdncache_size 4096
Maximální počet záznamů FQDN v mezipaměti
- paměti_pole vypnuty
Deaktivujeme, že paměť RAM je vyhrazena pro budoucí procesy chobotnice, pokud se jedná o velmi vzácný zdroj na vašem serveru
- forward_for off
Pokud jim chcete zabránit v tom, aby viděli váš soukromý ip z wan, žádosti dorazí s neznámým, nebo v takovém případě ru ip wan
spustíme mezipaměť
chobotnice3 -z
Restartujeme službu
restartování služby squid3
Chcete-li dokončit, stačí vložit do prohlížeče, v možnostech serveru proxy IP a port, připraveni musíte procházet
To je vše pro tuto příležitost, víte, že s tímto budete mít velmi robustní chobotnici, v budoucích příspěvcích budeme mezipaměť s chobotnicí
Vynikající, návod krok za krokem. Nejvíc se mi líbilo vysvětlení konfiguračního repertoáru podle jednotlivých možností.
Ten, který se mi nejvíce líbil, byla možnost:
quick_abort_min 0 kB
quick_abort_max 0 kB
Myslím, že je to nesmírně důležité, protože uživatel může mnohokrát ztratit (zrušit) situaci X, stahování, které se blíží ke konci, a tento parametr, dobře odhadnutý podle našich počítačových zdrojů, nám může umožnit pokračovat v uvedeném stahování, protože docela pravděpodobně stejně jako stejný uživatel nebo by se jiný mohl v krátké době pokusit stáhnout stejnou položku a ušetřit provoz na internetu.
Opravte mě, pokud se mýlím, BrodyDalle?
Ano a ne, vysvětlím to.
Stahování skutečně skončí úspěšně, i když ho uživatel zrušil, teprve když se stejný uživatel nebo jiný pokusí stáhnout aplikaci nebo webovou stránku, squid doručí kopii, kterou již má v mezipaměti, a nepůjde na internet, aby znovu stáhla data. Nyní zde pozor, účinek obnovení je pouze správce stahování, který ukládá data do mezipaměti vašeho počítače po předem stanovenou dobu a umožňuje obnovit zrušené nebo přerušené stahování, není to chobotnice.
V budoucích cvičeních důkladně uvedu squid jako mezipaměť, abyste neztráceli prostředky WAN (Internet) vaší sítě
vynikající článek Učím se o chobotnici a její implementaci, děkuji moc za to
Děkuji, všimněte si, že v budoucích výukových programech budu důkladně dávat squid jako mezipaměť, abyste neztráceli prostředky WAN (Internet) vaší sítě
skvělý návod je vždy dobré rozšířit znalosti. Na zdraví
Dobrý den, nejprve děkuji za téma, vysvětlení a znalosti, které jsou poskytovány. Musím ještě vyjádřit, otázku. Přinesu ke stolu problém, který se mi přesně stal s squid3 na Debianu, ukázalo se, že jednoho krásného dne, před několika měsíci, jsem aktualizoval systém a spolu s touto aktualizací přišla nová verze squid, 3.5, odtud odešel proxy předat všechna připojení HTTPS, to znamená, že jsem hned neotevřel https // www.google.com.cu, https://www.facebook.com a cokoli, co používá zabezpečený protokol HTTPS. Trochu jsem prozkoumal, že jsem zjistil, že problém byl v manipulaci s SSL, něco, co Debian přestal balit pomocí squid3 z právních a filozofických důvodů. NEMUSÍM říkat nepohodlí, které v entitě existovalo ve dnech, kdy jsem se snažil vyřešit tento „problém“, který jsem nakonec nemohl opravit, ale vrátil jsem se k předchozí verzi Squid3 a ponechal balíček s aptitude, abych zabránil jeho opětovné aktualizaci. Na webu, kde jsou hlášeny chyby chobotnice, hovořil o chybě zvané „chobotnice uprostřed“ a varoval, že všechny chobotnice od verze 3.4.8 jsou zranitelné, proto doporučili aktualizaci na verzi novější a zkompilovat chobotnici se sadou SSL + pro ruční generování certifikátů…. PROSÍM! Pokud se někdo s touto situací setkal a vyřešil ji, chtěl bych být tak laskavý a vysvětlit mi tuto otázku, a pokud ne, alespoň poznamenat, že se stalo to samé ... a jaké bylo řešení použito. Děkuji.
V současné době je v Debianu Jessie k dispozici pouze do verze 3.4.8-6 + deb8u1… Mohu vám však říci, že můžete použít ssl bump, pokud používáte squid v transparentním režimu. http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit…. Nepochybuji o vašem příspěvku, takže brzy nainstaluji nejnovější verzi z jejích oficiálních webových stránek
Dobré ráno,
Pokud jde o výkon, stálo by to za instalaci na Raspberry Pi 2?
Díky předem, pozdravy.
Dobrý den,
Pěkný návod, ale mám otázku: pokud jde o výkon, stálo by to za instalaci na Raspberry Pi 2?
Zdravím.
Krátká odpověď je Ne ... můžete to udělat, ale některé překážky, jako je síťové rozhraní, procesor, disk, jsou mnoho. Nyní, pokud stále potřebujete proxy, myslím, že tinyproxy je lepší
Děkujeme za vaši účast
Máte zkušenosti se Squid v rámci pfSense?
ano, co potřebujete vědět? abych zjistil, jestli vám mohu pomoci.
Dobrý návod, již velmi dobrý čas. Nevím o tom moc. V současné době instaluji proxy do své společnosti s squid.conf z předchozí verze a existují věci, které změnily syntaxi. Hodně mi to posloužilo. Budu i nadále čekat na část 2.
Děkuji moc
Děkujeme za váš komentář, dokud nebude druhá část chobotnice o tom, jak ukládat do mezipaměti, brzy k dispozici.
Výborně, před dlouhou dobou jsem implementoval server ubuntu s chobotnicí a fungoval docela dobře, teď jsem byl nějakou dobu odpojen od linuxu a rád bych se vrátil k problému serverů v mezipaměti, abych poskytl lepší výkon problémům s wisp, díky za váš příspěvek Brody!
Dobrý den, vaše pomoc je velmi pěkná, právě jsem zadal problém IPV6 s DNS a mám tam problémy. Když se s IPV6 neobjeví žádná webová stránka, bude to pro mě fungovat, takže potřebuji vědět, jestli je třeba dns_v4_first na konfiguraci aktivovat před kompilací chobotnice, protože v 3.3.8 by to nefungovalo.
Dobrý den.
Za prvé, tento návod byl velmi užitečný. Nyní představuji svůj případ, protože nevím, jestli s chobotnicí mohu vyřešit svou potřebu, nebo mám hledat jinou alternativu.
Mám aplikaci nakonfigurovanou na instanci AWS EC2, která musí dělat požadavky na Amazon API, problém nastává, když jsou tyto požadavky obrovské, takže Amazon rozpozná IP a na chvíli tyto žádosti odmítne, což generuje problémy v aplikace, kterou mám. Abychom to vyřešili, používáme službu Proxymesh, která přijímá požadavek a odesílá jej z jedné ze svých IP adres, čímž se vyhneme uvedenému blokování, faktem je, že při vytváření požadavku na Amazon to děláme skrze curl v php, což jako možnost připojení k síti proxy. Teď hledám možnost, že je to z instance, kterou lze nakonfigurovat tak, že když jsou zadávány požadavky do amazon api, jdou přímo do služby proxymesh, takže je to ten, kdo má na starosti zasílání požadavku konečnému cíli. Je možné toto přesměrování provést pomocí chobotnice nebo doporučujete jinou alternativu?
Děkuji mnohokrát.
Zkoušel někdo více schémat autentizace na chobotnici? Nainstaloval jsem si verzi 3.5.22 v debian a přestože jsem vyzkoušel různé varianty, nefunguje, moje situace je, že potřebuji jak uživatele mé AD, tak i další externí uživatele, aby se mohli přihlásit, pokud pro mě pracují samostatně nebo ntml pro uživatele doména přihlášena a základní (ncsa) pro externí, ale ne obojí současně. jakákoli pomoc bude užitečná. Díky předem
Vážení, nevím proč, nainstaloval jsem chobotnice bez problémů, ale když jsem ji aktualizoval na verzi 3.5, soubor access.log začal zůstat prázdný, už neukládá data, když to býval. Nevím, jestli musím vidět a implementovat WPAD, abych již nepoužíval transparentní konfiguraci, stejně jako odstranit přesměrování z portu 80 na 3128, jak se to obvykle dělá, protože s wpadem toto pravidlo již není nutné.
proto nyní access.log již nezaznamenává aktivitu?
Na zdraví !!
Dobrý velmi dobrý průvodce!
Chvíli používám chobotnici jako webový proxy, ale v poslední době si všimnu, že mi vyhledávání a otevírání stránek trvá dlouho ... mohu potřebovat vyčistit mezipaměť?
Někdo má chobotnici nakonfigurovanou s mkt, jak to funguje?
pozdravy
Velmi dobrá informace, omlouvám se, jak jsem se mohl připojit k chobotnici s aktivním adresářem, takže při vstupu na zablokovanou stránku se mě zeptá na uživatelské jméno a heslo účtu aktivního adresáře a pokud má uvedený uživatel oprávnění ke vstupu na stránku.
Dobrý den,
vynikající průvodce, stejně a můžete mě vést, protože prostě nedávám, mám 20MB optický internet a chobotnici 3.1 namontovanou na Centos 6.9 a obsluhuji přibližně 300 uživatelů, než jsem měl 4MB odkaz a chobotnici 3.1 a stejný počet Uživatelé a samozřejmě všechno super pomalé a zmiňované administrátorovi (I) vinu na odkaz, nakonec jsem je přiměl, aby to změnili a internet je stejně pomalý, přeinstaloval jsem OS, nakonfiguroval squid 3.1 a nic jiného nezrychluje dělá měření rychlost od klienta chobotnice a dává mi 18 až 20 MB, ale stále se zmíním, protože služba je stejně pomalá
Pokud byste mi vy nebo někdo, kdo měl podobný problém, mohl dát světlo, budu mu nekonečně děkovat.
Co se stane s adresami, změní se na vlastní síťovou adresu nebo se použijí ty, které používáte?
Učím se o chobotnici debian a jeho implementaci, moc děkuji, přijde vhod. ale dává mi problémy s připojením a zkontroluji, zda nedojde k chybě a zdá se, že vše funguje dobře.