Читаем Linux-сервер своими руками полностью

и запретите доступ всем, кроме тех, кому можно:

http_access allow localhost

http_access allow allowed_hosts

http_access allow SSL_ports

http_access deny all

6. Пропишите пользователей, которым разрешено пользоваться squid (в рассматриваемом примере это den, admin, developer):

ident_lookup on

acl allowed_users user den admin developer

http_access allow allowed_users

http_access deny all

Тэги maxium_object_size и maxium_object устанавливают ограничения на размер передаваемых объектов.

Ниже приведен пример запрета доступа к любому URL, который соответствует шаблону games и разрешения доступа ко всем остальным:

acl GaMS url_regex games

http_access deny GaMS

http_access allow all

<p>15.4. Запуск SQUID</p>

Теперь, когда вы выполнили базовую настройку SQUID, его нужно запустить: /usr/local/squid/bin/squid –z

Параметр –z необходим для создания (обнуления) каталога, содержащего кэш. Обычно этот параметр нужен только при первом запуске. Некоторые другие полезные параметры SQUID представлены в табл. 15.2.

Параметры SQUID Таблица 15.2

Параметр Описание
-а порт Задает порт для входящих HTTP-запросов
-d Включает режим вывода отладочной информации в стандартный поток ошибок (на stderr)
-f файл Задает файл конфигурации
-h Выдает справочную информацию
-k reconfigure Посылает сигнал HUP
-k shutdown Завершение работы прокси-сервера
-k kill Завершение без закрытия журналов
-u порт Задает порт для входящих IСР-запросов
-s Включает журналирование с помощью syslog
-v Выдает информацию о версии SQUID
-D Не делать DNS-тест при запуске
-N Не становиться демоном (фоновым процессом)
-YБолее быстрое восстановление после сбоев
<p>15.5. Формат файла squid.conf</p>

В файле squid.conf задаются всевозможные параметры конфигурации прокси-сервера. Давайте рассмотрим их все по порядку.

<p>15.5.1. Параметры сети</p>

Порт для запросов клиентов (см. рис. 15.1):

http_port 3128

Рис. 15.1. Параметры прокси-сервера

Если «соседей» (peer) нет, то установите icp_port 0

icp_port 3130

Порт для общения с соседями — ICP — через TCP. При использовании этого параметра нужно установить ключ --enable-htcp при установке htcp_port 4827.

Следующий параметр указывает, по какому адресу нужно принимать входящие пакеты, если хост имеет несколько интерфейсов. В версии 2.3 этого параметра нет:

tcp_incoming_address 0.0.0.0

При отправлении информации указанный адрес будет использован в качестве исходного:

tcp_outgoing address 0.0.0.0

То же, но для ICP:

udp_outgoing_address 0.0.0.0 (аналогично, для ICP)

То же, но для IСР (при приеме):

udp_incoming_address 0.0.0.0

По умолчанию этот режим включен, но если прокси-сервер находится за бастионом (firewall), то параметр passive_ftp нужно выключить:

passive_ftp on|off

<p>15.5.2. Параметры соседей</p>

Описание соседей производится строками следующего формата:

cache_peer hostname type proxy-port icp-port options

где: hostname — имя соседа;

 type — тип соседа: parent — старший, sibling — одного уровня;

 proxy-port — порт прокси-сервера;

 icp-port — порт ICP;

 options — параметры.

При этом каждый сосед прописывается отдельной строкой.

Parent — при отсутствии запроса в локальном кэше он перенаправляется к parent; тот, если запроса не окажется в его кэше, пересылает его дальше и т.д. Возвращает готовый ответ подчиненному. Если squid получает TCP_DENIED от parent, то обращение к ресурсу будет идти напрямую.

Sibling — при отсутствии запроса в локальном кэше, запрос перенаправляется в sibling; при отсутствии запроса в нем, возвращает сообщение об этом, никаких дополнительных действий не предпринимается.

<p>15.5.3. Управление кэшем</p>

cache_swap_high число

При достижении этого уровня заполнения кэша (в процентном соотношении) начинается ускоренный процесс удаления старых объектов.

cache_swap_low 90

Процесс удаления прекращается при достижении этого уровня.

maximum_object_size 4096 KB

Максимальный размер кэшируемого объекта.

Перейти на страницу:

Все книги серии Секреты мастерства

Похожие книги