Ahojte všetci, môžete ma volať Brody. Som špecialista v oblasti dátových centier a tiež fanúšik linuxového sveta pre jednoduchú skutočnosť, že mi uľahčuje život a prácu. Popremýšľajte!
Od tohto okamihu budem s vami „zaobchádzať“ neosobnejšie, dôvernejšie. Moje výukové programy nebudú len o inštalácii služby a teraz vám poskytnem všetky vedomosti a nástroje potrebné na to, aby ste čo najlepšie využili možnosti jednotlivých funkcií aplikácie., akékoľvek otázky pošlite správu do doručenej pošty
Squid nie je len služba proxy a cache, dokáže oveľa viac: spravuje ACL (zoznamy prístupov), filtruje obsah, dokonca dokáže filtrovať SSL aj v priehľadnom režime (metóda proxy - bez nutnosti konfigurácie v nastaveniach proxy servera. z ich prehliadačov je to ako človek v strede, nikto nevie, že to tam je). Často teda vidím, ako sa míňa celý potenciál tejto aplikácie tým, že neviem, ako nakonfigurovať jednotlivé jej časti.
Najskôr však najskôr sa pozrime na funkciu zastupovanie.
Inštalácia:
aptitude nainštalovať squid3
Upravte konfiguračný súbor:
vi /etc/squid3/squid.conf
- http_port ip: port
Príklad by mohol byť http_port 172.16.128.50:3128 Službu bude poskytovať zadaná adresa IP a port, najmä by som neodporúčal ponechať port 3128 v predvolenom nastavení v produkčnom prostredí.
- acl localnet src ip / maska
Príklad by mohol byť acl lokálna sieť src 172.168.128.0/24 všeobecný prístupový zoznam (čo možno najviac makro), ktorý bude mať prístup k uvedenej službe. localnet sa nazýva acl, ale môžete tam umiestniť ľubovoľné meno.
- http_access povoliť localnet
Jednoduchý http_access povoliť lokálna sieť rovnaký názov, aký ste zadali v predchádzajúcej položke, tu tejto sieti umožňujeme navigáciu a používanie služieb squid
- quick_abort_min 0 kB
- quick_abort_max 0 kB
Čas, keď zrušíme žiadosť. Vysvetlím to podrobnejšie: keď používateľ prehľadáva váš server proxy a zruší požiadavku alebo stiahnutie, máte 3 možnosti, ak je počet stiahnutí menší ako quick_abort_min 80 kB, potom ho Squid stiahne, ak v sťahovaní chýba viac ako quick_abort_max 150 kB sa potom okamžite zruší. Ak sú obidve nastavené na 0 kB, sťahovanie sa ukončí hneď po zrušení používateľa.
- read_timeout 5 minút
Toto je čas, kedy bude relácia servera otvorená, pokiaľ nedôjde k novému čítaniu, napríklad na statickej stránke, nie je potrebná veľmi vysoká hodnota, ale na dynamických stránkach, ako je facebook, je to prijateľná hodnota.
- request_timeout 3 minúty
Táto hodnota môže byť oveľa nižšia, závisí to od kvality wan pripojenia vášho servera a počtu vašich klientov. Tento parameter predstavuje maximálny čas čakania na hlavičky http požiadavky po nadviazaní spojenia.
- polovica_uzavretých_klients vypnutá
Zabraňuje polovične uzavretým spojeniam z dôvodu komunikačných chýb. Za žiadnych okolností nechcete plytvať prostriedkami servera.
- shutdown_lifetime 15 sekúnd
Táto značka umožňuje skrátiť čakaciu dobu na ukončenie procesov chobotnice, keď robíte SIGTERM alebo SIGHUP
- log_icp_queries vypnuté
To nechám na vašom uvážení, štandardne sa to zapne a je na prihlásení do protokolu každý dotaz urobený do proxy cache.
- dns_nameservers 8.8.4.4 8 8.8.8.8
Na tieto IP adresy sa budú robiť DNS dotazy oddelené medzerou, pokiaľ nie je definovaný žiadny, použije sa štandardne DNS vášho systému
- dns_v4_prvý na
Závisí to od krajiny alebo nastavení vášho prostredia, ale v mojom prípade nemám IPv6 DNS, takže sa štandardne nastavuje, že všetko je konzultované najskôr v ipv4
- ipcache_size 2048
Maximálny počet záznamov v medzipamäti squid dns
- ipcache_low 90
Najmenšia veľkosť položiek medzipamäte dns.
- fqdncache_size 4096
Maximálny počet záznamov FQDN v pamäti cache
- pamäťové oblasti sú vypnuté
Deaktivujeme, že pamäť RAM je vyhradená pre budúce procesy squid, ak je na vašom serveri veľmi vzácnym zdrojom
- preposlané_na vypnutie
Ak im chcete zabrániť v tom, aby videli vašu súkromnú ip z wanu, žiadosti dorazia s neznámym, alebo v takom prípade s ru ip wan
spustíme kešku
chobotnica3 -z
Reštartujeme službu
služba squid3 reštart
Ak chcete dokončiť, stačí vložiť do prehľadávača, v možnostiach proxy servera IP a port, pripravené musíte prehliadať
To je všetko pre túto príležitosť, viete, že s týmto budete mať veľmi robustného kalmára, v budúcich príspevkoch budeme cache ukladať do kalamára
Vynikajúci návod krok za krokom. najviac sa mi páčilo vysvetlenie konfiguračného repertoáru podľa jednotlivých možností.
Najviac sa mi páčila možnosť:
quick_abort_min 0 kB
quick_abort_max 0 kB
Myslím si, že je to nesmierne dôležité, pretože mnohokrát môže používateľ stratiť (zrušiť) situáciu v dôsledku situácie X, sťahovanie sa blíži ku koncu a tento parameter dobre odhadnutý podľa našich počítačových zdrojov nám umožňuje pokračovať v spomínanom sťahovaní, pretože je to pravdepodobne to isté ako ten istý používateľ alebo by sa iný mohol v krátkom čase pokúsiť zopakovať stiahnutie tej istej položky a ušetriť tak prenos na internet.
Opravte ma, ak sa mýlim, BrodyDalle?
Áno aj nie, vysvetlím.
Sťahovanie sa skutočne skončí úspešne, aj keď ho používateľ zrušil. Až potom, keď sa ten istý používateľ alebo iná osoba pokúsi stiahnuť aplikáciu alebo webovú stránku, squid doručí kópiu, ktorú už má v pamäti cache, a nepôjde na internet, aby údaje znova stiahol. Teraz je tu pozornosť, že efektom obnovenia je iba správca sťahovania, ktorý ukladá údaje do medzipamäte vášho počítača na vopred určený čas a umožňuje vám pokračovať v zrušenom alebo prerušenom sťahovaní, nie je to chobotnica.
V budúcich tutoriáloch budem dávať squid ako cache dôkladne, aby ste zbytočne neplytvali WAN (internetovými) zdrojmi svojej siete
vynikajúci článok Dozvedám sa o chobotnici a jej implementácii ďakujem veľmi pekne
Ďakujem, všimnite si, že v budúcich tutoriáloch budem dávať squid ako cache dôkladne, aby ste zbytočne neplytvali WAN (internetovými) prostriedkami svojej siete.
skvelý návod je vždy dobré rozšíriť vedomosti. Na zdravie
Dobrý deň, v prvom rade ďakujem za tému, vysvetlenia a znalosti, ktoré sú k dispozícii. Musím viac komentovať, otázka. Prinášam k stolu problém, ktorý sa mi presne stal s squid3 v Debiane, ukazuje sa, že jedného pekného dňa, pred mesiacmi, som aktualizoval systém a spolu s touto aktualizáciou prišla nová verzia squid, 3.5, odtiaľ zostal proxy odovzdať všetky pripojenia HTTPS, to znamená od dobrého do prvého, už neotvára https // www.google.com.cu, https://www.facebook.com a všetko, čo používa zabezpečený protokol HTTPS. Pri troche skúmania som zistil, že problém bol v narábaní s SSL, čo Debian z právnych a filozofických dôvodov prestal baliť pomocou squid3. NEMUSÍM povedať nepohodlie, ktoré v entite existovalo v dňoch, keď som sa snažil vyriešiť tento „problém“, ktorý som nakoniec nedokázal opraviť, ale vrátil som sa k predchádzajúcej verzii Squid3 a ponechal som si balík s aptitude, aby som zabránil nebude znova aktualizovaný. Na webe, kde sú hlásené chyby chobotnice, hovoril o chybe s názvom „squid-in-the-middle“ a varoval, že všetky chobotnice od verzie 3.4.8 sú zraniteľné, preto odporučili aktualizáciu na novšiu verziu a kompiláciu chobotnice s SSL + nastaveným na ručné generovanie certifikátov .... PROSÍM! Ak niekto narazil na túto situáciu a vyriešil ju, chcel by som byť taký láskavý a poskytnúť mi svetlo k tejto otázke, a ak nie, aspoň komentovať, že sa stalo to isté ... a aké bolo riešenie. Ďakujem.
V súčasnosti je Debian Jessie k dispozícii iba do verzie 3.4.8-6 + deb8u1 ... Môžem vám však povedať, že môžete použiť ssl bump, ak používate squid v priehľadnom režime. http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit…. Nespochybňujem váš príspevok, takže čoskoro nainštalujem najnovšiu verziu z jej oficiálnych webových stránok
Dobré ráno,
Pokiaľ ide o výkon, stálo by to za inštaláciu na Raspberry Pi 2?
Vopred ďakujem, pozdravujem.
Dobrý deň,
Pekný návod, ale mám otázku: z hľadiska výkonu by sa oplatilo inštalovať na Raspberry Pi 2?
Zdravím.
Krátka odpoveď je Nie ... môžete to urobiť, ale niektoré z vašich úzkych miest sú sieťové rozhranie, procesor alebo disk. Ak teraz stále potrebujete pôsobiť ako proxy, myslím si, že tinyproxy je lepší
Ďakujeme za účasť
Máte skúsenosti so Squidom v rámci pfSense?
ano co potrebujes vediet či ti môžem pomôcť.
Dobrý návod, už veľmi dobrý čas. Neviem o tom veľa. V súčasnosti inštalujem proxy do svojej spoločnosti pomocou súboru squid.conf z predchádzajúcej verzie a sú veci, ktoré zmenili syntax. Slúžilo mi veľa. Budem čakať ďalej na 2. časť.
Veľká vďaka
Ďakujeme za váš komentár, až kým druhá časť chobotnice o tom, ako ukladať do vyrovnávacej pamäte, bude čoskoro k dispozícii.
Skvelé, už dávno som implementoval server ubuntu so squidom a fungoval celkom dobre. Teraz som už nejaký čas odpojený od linuxu a rád by som sa vrátil k problému serverov uložených v medzipamäti, aby som zlepšil výkon problémov s wisp, vďaka za príspevok Brody!
Dobrý deň, vaša pomoc je veľmi pekná, práve som zadal problém IPV6 s DNS a mám tam problémy. Keď sa s IPV6 neobjaví žiadna webová stránka, bude to pre mňa fungovať, takže potrebujem vedieť, či je potrebné konfiguráciu dns_v4_first na konfiguráciu aktivovať skôr, ako sa kompiluje squid, pretože v 3.3.8 by to nefungovalo.
Dobrý deň.
Na úvod bol tento návod veľmi užitočný. Teraz predstavujem svoj prípad, pretože neviem, či s chobotnicou môžem vyriešiť svoju potrebu alebo či by som nemal hľadať inú alternatívu.
Mám aplikáciu nakonfigurovanú na inštancii AWS EC2, ktorá musí robiť požiadavky na amazon api, problém nastáva, keď sú tieto požiadavky masívne, takže amazon rozpozná ip a na chvíľu tieto žiadosti odmietne a spôsobí problémy v aplikácii, ktorú mám. Aby sme to vyriešili, použijeme službu Proxymesh, ktorá prevezme požiadavku a odošle ju z jednej z jej IP adries, čím sa vyhne uvedenému blokovaniu. Faktom je, že pri vytváraní požiadavky na amazon to robíme pomocou curl v php, ako možnosť pripojenia k sieti proxy. Teraz hľadám možnosť, že je to z inštancie, ktorá sa dá nakonfigurovať tak, že keď sa urobia požiadavky do amazon api, idú priamo do služby proxymesh, takže ona je zodpovedná za odoslanie žiadosti do konečného cieľa . Je možné toto presmerovanie urobiť pomocou chobotnice alebo odporúčate inú alternatívu?
Ďakujem mnohokrát.
Skúsil niekto na Squid viac schém autentifikácie? Nainštaloval som si verziu 3.5.22 v debiane a aj keď som vyskúšal rôzne varianty, nefunguje to, moja situácia je taká, že potrebujem, aby sa mohli prihlásiť používatelia môjho AD aj ďalší externí používatelia, ak pracujú osobitne pre ja alebo ntml pre prihlásených používateľov domény a basic (ncsa) pre externých, ale nie oboje súčasne. akákoľvek pomoc bude užitočná. Vopred ďakujem
Vážený, neviem prečo, nainštaloval som chobotnicu bez problémov, ale keď som ju aktualizoval na verziu 3.5, súbor access.log začal zostať prázdny, už neuchováva údaje, keď boli použité. Neviem, či musím vidieť a implementovať WPAD, aby som už nepoužíval priehľadnú konfiguráciu, a aby som odstránil presmerovanie z portu 80 na 3128, ako sa to bežne robí, pretože s wpadom už toto pravidlo nie je potrebné.
preto teraz access.log už nezaznamenáva aktivitu?
Na zdravie !!
Dobrý veľmi dobrý sprievodca!
Chvíľu používam squid ako webový proxy server, ale v poslednej dobe si všímam, že mi hľadanie alebo otváranie stránok trvá dlho ... bude asi treba vyčistiť cache?
Niekto má chobotnicu nakonfigurovanú na mkt, ako to funguje?
pozdravy
Veľmi dobrá informácia, prepáčte, ako som sa mohol pripojiť k chobotnici s aktívnym adresárom, takže pri vstupe na blokovanú stránku si odo mňa vyžiada používateľské meno a heslo účtu aktívneho adresára a ak má uvedený používateľ povolenie na vstup na stránku, dám vám prístup.
Dobrý deň,
vynikajúci sprievodca, každopádne a môžeš ma viesť, pretože jednoducho nedávam, mám 20 MB optický internet a chobotnicu 3.1 namontovanú na centos 6.9 a obsluhujem približne 300 používateľov, kým som nemal odkaz 4 MB a chobotnicu 3.1 a to isté počet používateľov a samozrejme všetko super pomalé a spomenuté adminovi (mne) odkaz som vyčítal, nakoniec som ich prinútil zmeniť to a internet je rovnako pomalý, preinštaloval som OS, nakonfiguroval squid 3.1 a nič iné neurýchli I urobte rýchlosť merania od klienta squid a dáva mi 18 až 20 MB, ale stále sa o mne hovorí, pretože služba je rovnako pomalá
Ak by ste mi vy alebo niekto, kto mal podobný problém, mohli dať svetlo, nekonečne sa im poďakujem.
Čo sa stane s adresami, sú zmenené na vlastnú sieťovú adresu alebo sú použité adresy, ktoré používate?
Učím sa o chobotnici debian a jeho implementácii, ďakujem pekne, príde mi vhod. ale robí mi to problémy s pripojením a ja skontrolujem, či robí chybu a zjavne všetko funguje dobre.