Proxy Squid - Partea 1

Bună ziua tuturor, mă puteți numi Brody. Sunt un specialist în zona centrelor de date, de asemenea un fanboy al lumii Linux pentru simplul fapt că îmi ușurează viața și munca. Gandeste-te la asta!

Din acest moment, voi trata „pe tine” într-un mod mai impersonal, mai mult în încredere. Tutorialele mele nu vor fi doar despre instalarea unui serviciu și acum, vă voi oferi toate cunoștințele și instrumentele necesare pentru a profita la maximum de capacitățile fiecărei caracteristici a unei aplicații, orice întrebare trimite un mesaj în căsuța de e-mail

Squid nu este doar un serviciu proxy și cache, poate face mult mai mult: gestionează acl (liste de acces), filtrează conținutul, poate face chiar filtrare ssl chiar și în modul transparent (metoda proxy - fără a fi nevoie să configurezi în setările proxy din browserele lor, este ca un om în mijloc, nimeni nu știe că este acolo). Așa că văd în mod obișnuit cum se pierde întregul potențial al acestei aplicații, neștiind cum să configurați fiecare dintre părțile sale.

Dar mai întâi, să ne uităm la caracteristica împuternicit.

Instalare:

aptitude install squid3

Editați fișierul de configurare:

vi /etc/squid3/squid.conf

  • http_port ip: port

Un exemplu ar fi http_port 172.16.128.50:3128  Serviciul va fi furnizat de IP-ul și portul specificat, în special nu aș recomanda părăsirea implicită a portului 3128 într-un mediu de producție.

  • acl localnet src ip / mask

Un exemplu ar fi acl localnet src 172.168.128.0/24 lista de acces general (cât mai macro posibil) care va avea acces la serviciul menționat. localnet este așa cum se numește acl, dar puteți pune orice nume doriți acolo.

  • http_access permite localnet

Simplu http_access permit localnet același nume pe care l-ați pus în elementul anterior, aici permitem acestei rețele să navigheze și să utilizeze serviciile de calamar

  • quick_abort_min 0KB
  • quick_abort_max 0KB

Momentul în care avortăm o cerere. O voi explica mai detaliat: atunci când un utilizator navighează prin proxy-ul dvs. și anulează o cerere sau o descărcare, aveți 3 opțiuni, dacă descărcarea este mai mică de rapid_abort_min 80KB, atunci Squid îl va descărca, dacă descărcarea lipsește mai mult de quick_abort_max 150 KB vor fi apoi anulați imediat, dacă ambele sunt setate la 0 KB, așa cum este cazul, descărcarea se încheie imediat ce utilizatorul anulează.

  • read_timeout 5 minute

Acesta este momentul în care o sesiune de server va fi deschisă atâta timp cât nu există o nouă lectură, de exemplu pe o pagină statică, nu este necesară o valoare foarte mare, dar pe paginile dinamice precum Facebook aceasta este o valoare acceptabilă

  • request_timeout 3 minute

Această valoare poate fi mult mai mică, depinde de calitatea conexiunii WAN a serverului dvs. și de numărul de clienți pe care îi aveți. Acest parametru se referă la timpul maxim de așteptare a anteturilor http ale unei cereri, după stabilirea conexiunii.

  • half_closed_clients off

Previne conexiunile pe jumătate închise din cauza erorilor de comunicare. În niciun caz nu doriți să risipiți resursele serverului.

  • shutdown_lifetime 15 secunde

Această etichetă permite scurtarea timpului de așteptare pentru a închide procesele de calmar atunci când faceți un SIGTERM sau SIGHUP

  • log_icp_queries dezactivat

Acest lucru l-am lăsat la discreția dvs., implicit se aprinde și este să vă conectați în jurnal fiecare interogare făcută în memoria cache proxy.

  • dns_nameservers 8.8.4.4 8 8.8.8.8

Interogările DNS vor fi făcute către aceste ip-uri separate prin spațiu, dacă nu este definită niciuna, DNS-ul sistemului dvs. este utilizat în mod implicit

  • dns_v4_first pe

Ei bine, depinde de țara sau setările mediului dvs., dar în cazul meu nu am IPv6 DNS, așa că setează în mod implicit că totul este consultat mai întâi în ipv4

  • 2048. ipcache_size

Numărul maxim de intrări în cache-ul squid dns

  • 90. ipcache_low XNUMX

Cea mai mică dimensiune a intrărilor cache DNS.

  • 4096. fqdncache_size

Numărul maxim de intrări FQDN în cache

  • memory_pools off

Dezactivăm faptul că memoria RAM este rezervată proceselor viitoare de calmar, dacă este o resursă foarte redusă pe serverul dvs.

  • forwarded_for off

Dacă doriți să îi împiedicați să vă vadă IP-ul privat din WAN, cererile vor ajunge cu un necunoscut sau, în acest caz, WAN IP WAN

începem cache-ul

calamar3 -z

Repornim serviciul

service calmar3 reporniți

Pentru a finaliza, trebuie doar să introduceți în browser, în opțiunile proxy ip-ul și portul, gata trebuie să navigați

Asta este totul pentru această ocazie, știți că cu aceasta veți avea un calmar foarte robust, în postările viitoare vom cache cu calamar


24 comentarii, lasă-le pe ale tale

Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.

  1.   Jose Albert el a spus

    Excelent, tutorial pas cu pas. ceea ce mi-a plăcut cel mai mult a fost explicația opțiune cu opțiune a repertoriului de configurare.

    Cea care mi-a plăcut cel mai mult a fost opțiunea de:

    quick_abort_min 0KB
    quick_abort_max 0KB

    Cred că acest lucru este extrem de important, deoarece de multe ori un utilizator poate pierde (anula) din cauza situației X, o descărcare care este pe cale să se termine și acest parametru bine estimat în funcție de resursele computerului nostru ne poate permite să continuăm cu descărcarea menționată, deoarece este posibil la fel ca același utilizator sau altul ar putea încerca într-o perioadă scurtă de timp să reîncerce descărcarea aceluiași element, economisind trafic pe internet.

    Corectează-mă dacă greșesc, BrodyDalle?

    1.    brodydalle el a spus

      Da și nu, îți explic.

      Într-adevăr, descărcarea se va încheia cu succes chiar dacă utilizatorul a anulat-o, numai atunci când același utilizator sau altul încearcă să descarce aplicația sau pagina web, Squid va livra o copie pe care o are deja în cache și nu va merge pe Internet la descărcați din nou datele. Acum atenție, efectul reluării este doar un manager de descărcare care stochează datele în memoria cache a mașinii dvs. pentru un timp prestabilit și vă permite să reluați o descărcare anulată sau întreruptă, nu este calmar.

      În viitoarele tutoriale voi da calmarul ca cache, astfel încât să nu risipiți resursele WAN (Internet) ale rețelei dvs.

  2.   Javier Espinoza el a spus

    articol excelent Învăț despre calmar și implementarea acestuia vă mulțumesc foarte mult că vine la îndemână

    1.    brodydalle el a spus

      Vă mulțumim, rețineți că în viitoarele tutoriale voi da calmarul ca cache, astfel încât să nu risipiți resursele WAN (Internet) ale rețelei dvs.

  3.   henry servite el a spus

    un tutorial excelent este întotdeauna bun pentru a extinde cunoștințele. Noroc

  4.   Miguel Pina el a spus

    Bună ziua, în primul rând mulțumesc pentru subiect, explicații și cunoștințele oferite. Am mai multe de comentat, o întrebare. Aduc la masă o problemă care mi s-a întâmplat tocmai cu squid3 pe Debian, se dovedește că într-o bună zi, în urmă cu câteva luni, am actualizat sistemul și odată cu acest upgrade a venit o nouă versiune de squid, 3.5, de acolo proxy rămase pentru a trece toate conexiunile HTTPS, adică de la bun la primul nu mai este deschis https // www.google.com.cu https://www.facebook.com și orice utilizează protocolul HTTPS securizat. Investigând puțin, am constatat că problema se referea la manipularea SSL, ceva ce Debian a oprit ambalarea cu squid3 din motive juridice și filosofice. NU trebuie să spun disconfortul care a existat în entitate în zilele în care am încercat să rezolv această „problemă” pe care în cele din urmă nu am putut să o rezolv, dar am revenit la versiunea anterioară a Squid3 și am păstrat pachetul cu aptitude pentru a preveni de la a fi actualizat din nou. Pe site-ul în care sunt raportate bug-urile de calamar, el a vorbit despre un bug numit „calmar-în-mijloc” și a avertizat că toate calmarile de la versiunea 3.4.8 și mai departe erau vulnerabile, așa că au recomandat actualizarea la versiunea mai recentă și compilarea calmar cu SSL + setat pentru a genera manual certificatele…. VĂ ROG! Dacă cineva a dat peste această situație și a rezolvat-o, aș vrea să fiu atât de amabil și să-mi dau o lumină asupra acestei probleme și dacă nu, măcar să comentez că s-a întâmplat același lucru ... și care a fost soluția aplicată. Mulțumesc.

    1.    brodydalle el a spus

      În prezent, în Debian, Jessie este disponibilă numai până la versiunea 3.4.8-6 + deb8u1 ... Cu toate acestea, vă pot spune că puteți utiliza ssl bump dacă utilizați calmar în modul transparent. http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit…. Nu pun la îndoială contribuția dvs., așa că în curând voi instala cea mai nouă versiune de pe site-ul său oficial

  5.   Antonio A. el a spus

    Bună dimineața,

    În ceea ce privește performanța, ar merita instalarea pe un Raspberry Pi 2?

    Mulțumesc anticipat, salutări.

  6.   Antonio A. el a spus

    Buna,

    Frumos tutorial, dar am o întrebare: în ceea ce privește performanța, ar merita instalat pe un Raspberry Pi 2?

    Salutări.

    1.    brodydalle el a spus

      Răspunsul scurt este Nu ... o puteți face, dar anumite caracteristici precum interfața de rețea, procesorul, discul sunt multe dintre blocajele dvs. Acum, dacă tot trebuie să acționezi ca un proxy, cred că tinyproxy este mai bun

      Vă mulțumim pentru participare

  7.   tabris el a spus

    Aveți experiență cu Squid în pfSense?

    1.    brodydalle el a spus

      da, ce trebuie să știi? vezi dacă te pot ajuta.

  8.   acontreras90 el a spus

    Bun tutorial, deja foarte bun moment. Nu știu prea multe despre asta. În prezent instalez proxy-ul în compania mea cu squid.conf dintr-o versiune anterioară și există lucruri care au schimbat sintaxa. M-a servit foarte mult. Voi continua să aștept partea 2.
    Mulțumesc mult

    1.    brodydalle el a spus

      Vă mulțumim pentru comentariu, în așteptarea ca cea de-a doua parte a calmarului cu privire la modul de cache va fi disponibilă în curând.

  9.   Ramses el a spus

    Excelent, acum ceva timp am implementat un server ubuntu cu calmar și a funcționat destul de bine acum am fost deconectat de la Linux de ceva timp și aș dori să revin la problema serverelor cache pentru a oferi performanțe mai bune problemelor cu wisp, mulțumesc pentru contribuție Brody!

  10.   rodrigoarielpizarro el a spus

    Bună ziua, ajutorul tău este foarte frumos, tocmai am introdus problema IPV6 cu DNS și am probleme acolo. Când nu apare niciun web cu IPV6, ar funcționa pentru mine, așa că trebuie să știu dacă dns_v4_first din configurație trebuie activat înainte de a fi compilat squid, deoarece în 3.3.8 nu ar funcționa.

  11.   jocampo el a spus

    Bună ziua.
    Pentru început, acest tutorial a fost foarte util. Acum îmi prezint cazul meu, deoarece nu știu dacă cu calmarul îmi pot rezolva nevoia sau ar trebui să caut altă alternativă.
    Am o aplicație configurată pe o instanță AWS EC2, care trebuie să facă cereri către un api Amazon, problema apare atunci când aceste solicitări sunt masive, așa că Amazon recunoaște ip-ul și respinge aceste solicitări pentru o vreme, generând probleme în aplicația pe care o am. Pentru a rezolva acest lucru, folosim serviciul Proxymesh, care preia solicitarea și o trimite de la una din ip-urile sale, evitând astfel blocarea menționată, fapt este că pentru aceasta, atunci când facem cererea către Amazon, o facem prin curl în php, oferind ca opțiune de conectare la proxymesh. Acum caut posibilitatea ca din instanța care poate fi configurată ca atunci când cererile să fie făcute către api amazon, acestea să meargă direct la serviciul proxymesh, astfel încât acesta să fie cel care se ocupă de trimiterea cererii la destinația finală . Este posibil să faceți această redirecționare cu calamar sau recomandați o altă alternativă?
    Mulțumesc foarte mult.

  12.   janho el a spus

    A încercat cineva mai multe scheme de autentificare pe calmar? Am instalat versiunea 3.5.22 în debian și, deși am încercat diferite variante, nu funcționează, situația mea este că am nevoie atât de utilizatorii AD-ului meu, cât și de alți utilizatori externi pentru a se putea conecta, dacă lucrează separat pentru eu sau ntml pentru utilizatorii domeniului conectat și basic (ncsa) pentru extern, dar nu și ambele în același timp. orice ajutor va fi util. Mulțumesc anticipat

  13.   Va el a spus

    Dragă, nu știu de ce, am instalat squid fără probleme, dar când l-am actualizat la versiunea 3.5 fișierul access.log a început să rămână gol, nu mai stochează date când obișnuia. Nu știu dacă trebuie să văd și să implementez WPAD pentru a nu mai folosi configurația transparentă, precum și pentru a elimina redirecționarea de la portul 80 la 3128 așa cum se face în mod normal, deoarece cu wpad această regulă nu mai este necesară.

    de aceea access.log nu mai înregistrează acum activitate?

    Noroc !!

  14.   Cristian el a spus

    Bun foarte bun ghid!

    Folosesc calmarul ca proxy web de ceva vreme, dar în ultima vreme observ că îmi ia mult timp să caut sau să deschid pagini ... s-ar putea să am nevoie să curăț cache-ul?

    Cineva a configurat calmarul cu mkt, cum funcționează?

    În ceea ce priveşte

  15.   Ioan el a spus

    Informații foarte bune, îmi pare rău cum aș putea să mă alătur calmarului cu directorul activ, astfel încât în ​​momentul introducerii unei pagini blocate să-mi ceară numele de utilizator și parola unui cont de director activ și dacă utilizatorul respectiv are permisiunea de a intra pe pagină, îți voi da acces.

  16.   Carlos el a spus

    Buna,
    ghid excelent, oricum și mă poți ghida din moment ce pur și simplu nu dau, am un internet cu fibră de 20MB și un calamar 3.1 montat pe centos 6.9 și servesc aproximativ 300 de utilizatori înainte să am un link de 4 MB și un calamar 3.1 numărul de utilizatori și, evident, totul este foarte lent și am menționat administratorul (eu) am dat vina pe link, am ajuns în cele din urmă să-l schimbe și internetul este la fel de lent, am reinstalat sistemul de operare, configurez calmarul 3.1 și nimic altceva nu accelerează I faceți viteza de măsurare de la un client de calmar și îmi dă 18-20 MB, dar continuu să fiu menționat, deoarece serviciul este la fel de lent

    Dacă tu sau cineva care a avut o problemă similară mi-ai putea da lumină, le voi mulțumi infinit.

  17.   Luis el a spus

    Ce se întâmplă cu adresele, dacă sunt schimbate la adresa de rețea proprie sau sunt utilizate cele pe care le utilizați.

  18.   irwing el a spus

    Învăț despre calamar debian și implementarea acestuia, vă mulțumesc foarte mult, este util. dar îmi dă probleme cu conexiunea și verific dacă dă o eroare și se pare că totul funcționează bine.