שלום לכולם, אתם יכולים לקרוא לי ברודי. אני מומחה בתחום מרכז הנתונים, גם חובב עולם הלינוקס על העובדה הפשוטה שזה מקל על חיי ועל העבודה. תחשוב על זה!
מנקודה זו ואילך אתייחס ל"אלייך "בצורה יותר לא אישית, יותר בביטחון. ההדרכות שלי לא יעסקו רק בהתקנת שירות ועכשיו אתן לך את כל הידע והכלים הדרושים לך כדי להפיק את המרב מהיכולות של כל תכונה של יישום., כל שאלה שולחת הודעה לתיבת הדואר הנכנס
קלמארי הוא לא רק שירות proxy ומטמון, הוא יכול לעשות הרבה יותר: לנהל acl (רשימות גישה), לסנן תוכן, הוא יכול אפילו לבצע סינון ssl גם במצב שקוף (שיטת proxy - מבלי שתצטרך להגדיר בהגדרות ה- proxy. מהדפדפנים שלהם, זה כמו גבר באמצע, אף אחד לא יודע שזה שם). לכן אני בדרך כלל רואה כיצד הפוטנציאל המלא של יישום זה מבוזבז על ידי כך שאני לא יודע כיצד להגדיר כל אחד מחלקיו.
אבל קודם כל הדברים הראשונים, בואו נסתכל על התכונה של פרוקסי.
להתקין:
יכולת להתקין דיונון 3
ערוך את קובץ התצורה:
vi /etc/squid3/squid.conf
- http_port ip: יציאה
דוגמה תהיה http_port 172.16.128.50:3128 השירות יסופק על ידי ה- IP והיציאה שצוינו, במיוחד לא הייתי ממליץ לעזוב את יציאת 3128 כברירת מחדל בסביבת ייצור.
- acl localnet src ip / מסכה
דוגמה תהיה אקל מקומי src 172.168.128.0/24 רשימת הגישה הכללית (כמה שיותר מאקרו) שתהיה לה גישה לשירות האמור. localnet הוא מה שנקרא acl, אבל אתה יכול לשים שם כלשהו שתרצה.
- http_access אפשר localnet
פָּשׁוּט http_ גישה מאפשרת מקומי באותו שם שהכנסת בפריט הקודם, כאן אנו מאפשרים לרשת זו לנווט ולהשתמש בשירותי דיונונים
- quick_abort_min 0KB
- quick_abort_max 0KB
הזמן בו אנו מבטלים בקשה. אסביר לך את זה בפירוט רב יותר: כאשר משתמש גולש ב- proxy שלך ומבטל בקשה או הורדה, יש לך 3 אפשרויות, אם ההורדה נמוכה מ- quick_abort_min 80KB אז סקוויד יוריד אותו, אם ההורדה חסרה יותר מ מהיר_הפסק_מקסימום לאחר מכן יבוטל 150 KB באופן מיידי, אם שניהם מוגדרים ל- 0KB כפי שקורה, ההורדה מסתיימת ברגע שהמשתמש מבטל.
- read_timeout 5 דקות
זה הזמן בו הפעלת שרתים תהיה פתוחה כל עוד אין קריאה חדשה, למשל בדף סטטי, אין צורך בערך גבוה מאוד אך בעמודים דינמיים כמו פייסבוק זהו ערך מקובל
- request_timeout 3 דקות
ערך זה יכול להיות נמוך בהרבה, זה תלוי באיכות חיבור ה- wan של השרת שלך ומספר הלקוחות שיש לך. פרמטר זה מתייחס לזמן המקסימלי להמתין לכותרות http של בקשה, לאחר יצירת החיבור.
- חצי_סגורים_לקוחות מושבתים
מונע חיבורים חצי סגורים עקב שגיאות תקשורת. אינך רוצה לבזבז את משאבי השרת שלך בשום פנים ואופן.
- shutdown_lifetime 15 שניות
תג זה מאפשר לקצר את זמן ההמתנה לסגירת תהליכי הדיונון בעת ביצוע SIGTERM או SIGHUP
- log_icp_queries כבוי
את זה אני משאיר לשיקולך, כברירת מחדל הוא נדלק, וזה להיכנס ליומן כל שאילתה שבוצעה במטמון ה- proxy.
- שרתי dns_names 8.8.4.4 8 8.8.8.8
שאילתות DNS ייעשו ל- ip אלה מופרדים על ידי שטח, אם לא מוגדר אף אחד, ה- DNS של המערכת שלך משמש כברירת מחדל
- dns_v4_ ראשית
ובכן זה תלוי במדינה או בהגדרות הסביבה שלך, אבל במקרה שלי אין לי IPv6 DNS, אז זה מגדיר כברירת מחדל שהכל מתייעץ קודם ב- ipv4
- גודל_ipcache 2048
המספר המרבי של רשומות במטמון ה- dns של הדיונון
- 90
הגודל הקטן ביותר של רשומות מטמון dns.
- 4096. fqdncache_size
המספר המרבי של ערכי FQDN במטמון
- זיכרונות_בריכות כבויות
אנו מבטלים כי זיכרון RAM שמור לתהליכי דיונון בעתיד, אם זהו משאב נדיר מאוד בשרת שלך
- מועבר_עבור
אם ברצונך למנוע מהם לראות את ה- IP הפרטית שלך מה- wan, הבקשות יגיעו עם אלמוני, או במקרה זה, ru ip wan
אנו מתחילים את המטמון
דיונון 3 -z
אנו מפעילים מחדש את השירות
שירות squid3 מחדש
לסיום אתה רק צריך להכניס לדפדפן שלך, באפשרויות ה- proxy את ה- ip והיציאה, מוכנים שאתה חייב לגלוש
כל זה לאירוע זה, אתה יודע שעם זה תהיה לך דיונון חזק מאוד, בפוסטים עתידיים נשמור במטמון דיונון
מעולה, מדריך אחר צעד. מה שהכי מצא חן בעיני היה ההסבר אופציה אחר אפשרות לרפרטואר התצורה.
זו שהכי אהבתי הייתה האופציה של:
quick_abort_min 0KB
quick_abort_max 0KB
אני מאמין שזה חשוב ביותר מכיוון שפעמים רבות משתמש יכול להפסיד (לבטל) בגלל מצב X ההורדה עומדת להסתיים ופרמטר זה מוערך היטב על פי משאבי המחשב שלנו יכול לאפשר לנו להמשיך עם ההורדה האמורה, שכן יתכן שאותו משתמש או אחר יכול לנסות בפרק זמן קצר לנסות שוב להוריד את אותו פריט, ולחסוך תעבורה לאינטרנט.
תקן אותי אם אני טועה, ברודידל?
כן ולא, אסביר.
ואכן, ההורדה תסתיים בהצלחה גם אם המשתמש ביטל אותה, רק אז כאשר אותו משתמש או אחר ינסה להוריד את היישום או את דף האינטרנט, דיונון יעביר עותק שכבר נמצא במטמון ולא ילך לאינטרנט להוריד את הנתונים שוב. עכשיו תשומת לב כאן האפקט של חידוש הוא רק מנהל הורדות המאחסן את הנתונים במטמון של המחשב שלך לזמן קבוע מראש ומאפשר לך לחדש הורדה מבוטלת או מופרעת, זה לא קלמארי.
בהדרכות עתידיות אתן קלמארי כמטמון ביסודיות, כך שלא תבזבז את משאבי ה- WAN (אינטרנט) של הרשת שלך
מאמר מצוין אני לומד על קלמארי ויישומו תודה רבה שהוא שימושי
תודה, היזהר שבהדרכות עתידיות אתן קלמארי כמטמון ביסודיות, כדי שלא תבזבז את משאבי ה- WAN (אינטרנט) ברשת שלך.
הדרכה נהדרת תמיד טובה להרחבת הידע. לחיים
שלום, קודם כל תודה על הנושא, ההסברים והידע המסופק. יש לי עוד תגובה, שאלה. אני מביא לשולחן בעיה שקרה לי במדויק עם squid3 ב- Debian, מתברר שיום בהיר אחד, לפני חודשים, עדכנתי את המערכת ויחד עם השדרוג הזה הגיעה גרסה חדשה של squid, 3.5, משם ה- proxy עזב להעביר את כל חיבורי ה- HTTPS, כלומר, מהטוב לראשון הוא כבר לא נפתח https // www.google.com.cu, https://www.facebook.com וכל מה שמשתמש בפרוטוקול HTTPS המאובטח. בדקתי קצת, גיליתי שהבעיה היא בטיפול ב- SSL, דבר שדביאן הפסיקה לארוז עם squid3 מסיבות משפטיות ופילוסופיות. אני לא צריך לומר את אי הנוחות שהייתה בישות בימים שניסיתי לפתור את ה"בעיה "הזו שבסופו של דבר לא הצלחתי לתקן, אבל חזרתי לגירסה הקודמת של Squid3 ושמרתי על החבילה בכושר כדי למנוע את עדכונה מחדש. באתר שבו מדווחים על באגים של דיונונים, הוא דיבר על באג שנקרא "דיונון באמצע", והזהיר כי כל הדיונונים מגירסה 3.4.8 ואילך היו פגיעים, ולכן הם המליצו לעדכן לגרסה. עדכני יותר והרכיב את הדיונון עם הגדרת SSL + ליצירת האישורים באופן ידני .... אנא! אם מישהו נתקל במצב זה ופתר את זה, הייתי רוצה להיות כל כך חביב ולתת לי אור בנושא זה ואם לא, לפחות להעיר שאותו דבר קרה ... ומה היה הפתרון שהוחל. תודה.
נכון לעכשיו בדביאן ג'סי זמינה רק עד גרסה 3.4.8-6 + deb8u1 ... עם זאת אני יכול להגיד לך שאתה יכול להשתמש ב- bsl bump אם אתה משתמש בדיונון במצב שקוף. http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit.... אני לא מטיל ספק בתרומתך, אז בקרוב אתקין את הגרסה החדשה ביותר מהאתר הרשמי שלה
בוקר טוב,
מבחינת ביצועים, האם כדאי להתקין על Raspberry Pi 2?
תודה מראש, ברכות.
שלום,
הדרכה נחמדה, אבל יש לי שאלה: מבחינת ביצועים, כדאי יהיה להתקין על פטל פי 2?
ברכות.
התשובה הקצרה היא לא ... אתה יכול לעשות את זה אבל תכונות מסוימות כמו ממשק רשת, מעבד, דיסק הן רבות מצווארי הבקבוק שלך. עכשיו אם אתה עדיין צריך פרוקסי, אני חושב שטיני-פרוקסי עדיף
תודה על השתתפותך
האם יש לך ניסיון עם דיונון בתוך pfSense?
כן, מה אתה צריך לדעת? לראות אם אוכל לעזור לך.
הדרכה טובה, כבר זמן טוב מאוד. אני לא יודע הרבה על זה. נכון לעכשיו, אני מתקין את ה- proxy בחברה שלי עם squid.conf מגרסה קודמת ויש דברים ששינו את התחביר. זה שירת אותי המון. אמשיך לחכות לחלק 2.
הרבה תודות
תודה על תגובתך, בהמתנה שהחלק השני של הדיונון על אופן שמירת המטמון יהיה זמין בקרוב.
מצוין, לפני זמן מה יישמתי שרת אובונטו עם קלמארי והוא רץ די טוב עכשיו אני מנותק מלינוקס מזה זמן והייתי רוצה לחזור לנושא השרתים במטמון כדי לתת ביצועים טובים יותר לבעיות חכמות, תודה על תרומתך ברודי!
שלום, העזרה שלך נחמדה מאוד, הרגע נכנסתי לבעיה IPV6 עם DNS ואני נתקל בבעיות שם. כשאף אתר לא מופיע עם IPV6 זה יעבוד בשבילי, אז אני צריך לדעת אם צריך להפעיל את ה- dns_v4_first בתצורה לפני שמרכיבים דיונון, כי ב 3.3.8 זה לא יעבוד.
שלום.
ראשית, מדריך זה עזר מאוד. עכשיו אני מציג את המקרה שלי, מכיוון שאני לא יודע אם עם קלמארי אוכל לפתור את הצורך שלי או שעלי לחפש אלטרנטיבה אחרת.
יש לי יישום מוגדר במופע AWS EC2, שעליו להגיש בקשות ל- API של אמזון, הבעיה מתעוררת כאשר בקשות אלה מסיביות, לכן אמזון מזהה את ה- ip ודוחה בקשות אלה לזמן מה, ויוצרת בעיות יישום שיש לי. כדי לפתור זאת, אנו משתמשים בשירות Proxymesh, שלוקח את הבקשה ושולח אותה מאחד ה- ip שלה ובכך נמנע מחסימה כאמור, העובדה היא שבשביל זה, כאשר אנו מבקשים להדהים, אנו עושים זאת באמצעות סלסול ב- php, מתן כאופציה להתחבר ל- proxymesh. כעת אני מחפש את האפשרות כי ניתן להגדיר את המופע שכאשר מתבצעות בקשות ל- amazon api, הן עוברות ישירות לשירות proxymesh כך שהוא האחראי על שליחת הבקשה ליעד הסופי. האם ניתן לבצע את ההפניה הזו עם דיונון או שאתה ממליץ על אלטרנטיבה אחרת?
תודה רבה לך.
האם מישהו ניסה תוכניות אימות מרובות על דיונונים? יש לי גירסה 3.5.22 המותקנת ב- debian ולמרות שניסיתי גרסאות שונות זה לא עובד, המצב שלי הוא שאני צריך גם את משתמשי ה- AD שלי וגם משתמשים חיצוניים אחרים כדי להיות מסוגל להתחבר, אם הם עובדים בנפרד בשבילי או ntml עבור המשתמשים של תחום מחובר ובסיסי (ncsa) עבור חיצוני אך לא לשניהם בו זמנית. כל עזרה תהיה שימושית. תודה מראש
יקירתי, אינני יודע מדוע התקנתי דיונון ללא בעיות, אך כאשר עדכנתי אותו לגירסה 3.5 הקובץ access.log החל להישאר ריק, הוא כבר לא שומר נתונים בעבר. אני לא יודע אם אני צריך לראות וליישם את ה- WPAD כדי לא להשתמש יותר בתצורה השקופה, כמו גם להסיר את ההפניה מחדש מיציאה 80 ל- 3128 כפי שהיא מתבצעת בדרך כלל, שכן עם ה- wpad כלל זה כבר לא נחוץ.
זו הסיבה ש- access.log כבר לא מתעד פעילות?
לחיים !!
מדריך טוב מאוד טוב!
השתמשתי בדיונון כפרוקסי אינטרנט במשך זמן מה, אך לאחרונה אני שם לב שלוקח לי הרבה זמן לחפש או לפתוח דפים ... אולי אצטרך לטהר את המטמון?
מישהו דיונון הוגדר עם mkt, איך זה עובד?
לגבי
מידע טוב מאוד, מצטער איך יכולתי להצטרף לדיונון עם ספריה פעילה כך שבזמן הכניסה לדף חסום הוא יבקש ממני את שם המשתמש והסיסמה של חשבון ספריה פעיל ואם למשתמש האמור יש הרשאה להיכנס לדף אתן לך גישה.
שלום,
מדריך מצוין, בכל מקרה ואתה יכול להדריך אותי מכיוון שאני פשוט לא נותן, יש לי אינטרנט 20MB סיבים ודיונון 3.1 רכוב על centos 6.9 ואני משרת כ -300 משתמשים לפני שהיה לי קישור 4MB ודיונון 3.1 ומספר זהה של משתמשים וברור שהכול סופר איטי והוזכר למנהל (אני) האשמתי בקישור, סוף סוף קיבלתי אותם לשנות אותו והאינטרנט איטי באותה מידה, התקנתי מחדש את מערכת ההפעלה, הגדרתי דיונון 3.1 ושום דבר אחר לא מאיץ אני עושה את המדידה מהירות מלקוח דיונון וזה נותן לי 18 עד 20 מגהבייט אבל אני ממשיך להזכיר כי השירות איטי באותה מידה
אם אתה או מישהו שסבל מבעיה דומה היית יכול לתת לי אור, אודה להם לאינסוף.
מה קורה עם הכתובות, האם הן משתנות לכתובת הרשת הפרטית או שנעשה בהן שימוש.
אני לומד על דיונון דיונון ויישומו, תודה רבה, זה שימושי. אבל זה נותן לי בעיות בחיבור ואני בודק אם זה נותן שגיאה וככל הנראה הכל עובד בסדר.