/>/>Введение
HTTP прокси-сервер представляет собой программу, которая принимаетзапросы от клиентов в виде URL-адресов и возвращает результат клиенту.Прокси-серверы используются в сетях, где клиенты не имеют прямого доступа к Интернету,но должны иметь возможность просмотра веб-страниц. Кроме того, прокси-серверпредпологает кэширование запросов выполненных однажды некоторым клиентом.
Многие компании и организации ставят в сетях firewall(файрволлы,брандмауэры), чтобы заблокировать весь входящий и исходящий трафик вовнутренних локальных сетях. Это может быть сделано по соображениямбезопасности, либо для ограничения списка лиц имеющих доступ в Интернет.Поскольку возможность просмотра веб-страниц является чрезвычайно полезной, прокси-сервернастраивается так, что веб-сайты могут быть доступны через него.
Крупные организации и провайдеры с большим количеством клиентов,также могут использовать прокси-сервер для снижения нагрузки на сеть, потому,что одной из главных задач прокси-сервера является кэширование страниц запросовклиентов, то любая страница запрошенная несколько раз будет возвращена из кэша,вместо того чтобы закачать ее заново. По этой причине, клиентам часторекомендуют использовать прокси-сервер для доступа к сети Интернет.
Прокси-сервер полезен только тогда, когда браузер клиента настроентак, чтобы проводить запросы через сервер, вместо обращения к сайтам напрямую. Насегодня каждый браузер умеет работать через прокси-сервер.
Проект прокси-сервера Squid в свое время отделился от нынеплатного проекта Harvest и разрабатывается несколькими энтузиастами во главе сDuane Wessels из Национальной лаборатории по исследованию сетей (NationalLaboratory for Applied Network Research). Сервер Squid — этовысокопроизводительный кэширующий прокси-сервер, ориентированный прежде всегона работу с пользователями, которые занимаются активным серфингом в Интернете. Squidподдерживает работу пользователей с такими протоколами, как FTP, HTTP, HTTPS иGOPHER. В отличие от других подобных проектов, прокси-сервер Squid обладаетинтересной особенностью — выполнение запросов пользователей реализовано в немкак один большой неблокируемый процесс ввода-вывода, что обеспечивает болеевысокую производительность сервера в целом. Поскольку сервер Squid являетсякэширующим прокси-сервером, он поддерживает широкие возможности по построениюиерархической структуры связи кэш-серверов на основе протоколов ICP/UDP(Internet Cache Protocol), HTCP/TCP и multicast. Такая система позволяетполучить высокую производительность и оптимизировать пропускную способностьканала в Интернет. Кэш сервера разделяется на виртуальный, который находится воперативной памяти компьютера, и обычный, который хранится на жестком диске.Наиболее часто используемые объекты хранятся в оперативной памяти, что ускоряетпроцесс их отсылки клиентам. Также в виртуальной памяти хранится большая частьзапросов DNS. Squid в полной мере поддерживает SSL (HTTPS), что обеспечиваетконфиденциальность передаваемой пользователями информации и приватность ихработы в Интернете. Также нельзя обойти вниманием широкие возможности поаутентификации пользователей на основе различных методик: NCSA, LDAP, MSNT,NTLM, PAM, SMB, SASL и др. Все дополнительные программы для аутентификациипользователей идут в комплекте с основным ядром программы. Как видно изперечисленных методик, Squid поддерживает авторизацию пользователей средствамисервисов не только на Linux, но и на Windows-платформе (MSNT и NTLMv1). Вбудущем ожидается поддержка сервиса NTLMv2, который используется в операционныхсистемах Windows 2003 Server и Vista.
/>/>1.Описание предметной области
/>/>
1.1 Постановка задач
Для компьютерной сети, выходящей в интернет через прокси-сервер Squid,настроить список контроля доступа. Сервер расположен на компьютере подуправлением операционной системы семейства Linux.
/>/>
1.2 Linux Mint
Linux Mint — дистрибутив, основанный на Ubuntu GNU/Linux. LinuxMint отличается от большинства дистрибутивов на основе Ubuntu GNU/Linux тем,что в результате изменений операционная система не теряет совместимость и теположительные качества, которыми наделена оригинальная Ubuntu. РазработчикиLinux Mint вносят в дистрибутив Ubuntu ряд полезных изменений, исправляянекоторые недочеты и недостатки, тем самым делая ее доступной более широкойаудитории пользователей, а в довершение ко всему комплектуют операционнуюсистему оригинальным интерфейсом и рядом собственных приложений (mintInstall,mintUpdate, mintBackup, mintConfig, mintAssistant, mintMenu, mintDesktop,mintNanny и других). Растущая популярность Linux Mint объясняется просто. Новыепользователи легко могут установить систему и сразу же включиться в работу.Профессионалы, в свою очередь, получают стабильную и легко конфигурируемуюсовременную систему, на настройку которой они будут тратить значительно меньшевремени. Девиз этого дистрибутива linux «from freedom came elegance» можноперевести так: свобода, привносящая элегантность.
/>/>1.3Прокси-сервер
Прокси-сервер (от англ. proxy — «представитель, уполномоченный») —служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы кдругим сетевым службам. Сначала клиент подключается к прокси-серверу изапрашивает какой-либо ресурс (например, e-mail), расположенный на другомсервере. Затем прокси-сервер либо подключается к указанному серверу и получаетресурс у него, либо возвращает ресурс из собственного кэша (в случаях, если прокси-серверимеет свой кэш). В некоторых случаях запрос клиента или ответ сервера можетбыть изменён прокси-сервером в определённых целях. Также прокси-серверпозволяет защищать клиентский компьютер от некоторых сетевых атак.
/>/>
1.4 Использование прокси-серверов
Чаще всего прокси-серверы применяются для следующих целей:
Обеспечение доступа с компьютеров локальной сети в Интернет.
Кэширование данных: если часто происходят обращения к одним и темже внешним ресурсам, то можно держать их копию на прокси-сервере и выдавать позапросу, снижая тем самым нагрузку на канал во внешнюю сеть и ускоряя получениеклиентом запрошенной информации.
Сжатие данных: прокси-сервер загружает информацию из Интернета ипередаёт информацию конечному пользователю в сжатом виде. Такие прокси-серверыиспользуются в основном с целью экономии внешнего трафика.
Защита локальной сети от внешнего доступа: например, можнонастроить прокси-сервер так, что локальные компьютеры будут обращаться квнешним ресурсам только через него, а внешние компьютеры не смогут обращаться клокальным вообще (они «видят» только прокси-сервер).
Ограничение доступа из локальной сети к внешней: например, можнозапретить доступ к определённым веб-сайтам, ограничить использование интернетакаким-то локальным пользователям, устанавливать квоты на трафик или полосупропускания, фильтровать рекламу и вирусы.
Анонимизация доступа к различным ресурсам. Прокси-сервер можетскрывать сведения об источнике запроса или пользователе. В таком случае целевойсервер видит лишь информацию о прокси-сервере, например, IP-адрес, но не имеетвозможности определить истинный источник запроса. Существуют также искажающиепрокси-серверы, которые передают целевому серверу ложную информацию об истинномпользователе.
Многие прокси-серверы используются для нескольких целейодновременно. Некоторые прокси-серверы ограничивают работу несколькими портами:80 (HTTP), 443 (Шифрованное соединение HTTPS), 20,21 (FTP).
/>/>
1.5 Типы прокси-серверов
Зачастую предоставленное для прокси-сервера оборудование будет насамом деле выполнять или поддерживать множество типов прокси-сервисов. Кпримеру, прокси-сервер может предоставлять возможности кэширования иаутентификации в дополнение к основной функции обеспечения сетевогопосредничества для приложений.
Ключевыми типами прокси-серверов, являются:
пересылающие прокси-серверы (forward proxies);
прозрачные прокси-серверы (transparent proxies);
кэширующие прокси-серверы (caching proxies);
прокси-сервер обеспечения безопасности (security proxies);
обратные прокси-серверы (reverse proxies).
/>/>Пересылающиепрокси-серверы
Пересылающий прокси-сервер является прокси-сервером, которыйпомогает пользователям из одной зоны безопасности выполнять запросы контента из«следующей» зоны, следуя направлению, которое обычно (но необязательно) является исходящим (это значит, что клиент находится внутри, асервер где-то в открытом Интернете).
С точки зрения безопасности простой прокси-сервер имеет цельюобеспечение безопасности, состоящее в скрытии наименования (в терминахтопологии внутренней сети) рабочей станции или процесса запрашивающегопользователя. Он может также применяться для скрытия некоторых других атрибутовсеанса пользователя.
Типичным примером этого типа являются корпоративные прокси-серверы,которые обслуживают внутренних пользователей посредством разрешения им доступана внешние сайты для Web-браузинга или любого другого вида взаимодействия сИнтернетом.
С точки зрения топологии (как в общем смысле, так и относительноширины полосы пропускания) пересылающие прокси-серверы всегда относительноограничены в терминах сетевой скорости по отношению к своим пользователям из-заболее медленного WAN-соединения (соединения с глобальной сетью), которое обычноотделяет пересылающий прокси-сервер от реального контента в Интернете.
/>/>Прозрачныепрокси-сервера
Прозрачные прокси-сервера являются прокси-серверами, которые«находятся здесь», но не осведомляют пользователей в прямой форме отом, что они здесь находятся. В пересылающих прокси-серверах обычно существуютLinux/UNIX блоки, которые слушают весь трафик по определенному протоколу дляопределенного сегмента сети и перехватывают трафик, хотя пользовательскийпроцесс в действительности не знает об их существовании. Фактическипользовательский процесс не общается с прокси-сервером, но общается с другим(конечным) сайтом, а прокси-сервер, в сущности, становится тем «человекомпосередине», который «взламывает» соединение.
Прокси-сервер является непрозрачным, или объявленным, когдапользователи знают о том, что они общаются через прокси-сервер, потому что ониобращаются (на языке прокси-сервера: HTTP) к прокси-серверу.
Прозрачные прокси-сервера сами по себе не являются на самом делетипом прокси-сервера, скорее любой прокси-сервер является либо прозрачным, либообъявленным по проекту.
/>/>Кэширующиепрокси-серверы
Кэширующие прокси-серверы, как указано в их названии, являютсяпрокси-серверами, которые сконфигурированы на повторное использование кэшированныхобразов контента, когда это доступно и возможно. Когда кэшированная ранее частьконтента недоступна, то производится ее выборка и использование в контенте, нотакже с попыткой ее кэширования.
Наиболее важным аспектом для кэширующих прокси-серверов являетсянеобходимость обеспечения того, что кэширующие прокси-серверы кэшируют толькото, что на самом деле можно кэшировать. Динамический, регулярно изменяющийсяконтент не лучший выбор для кэширования, так как это может оказать воздействиена стабильность приложения, основанного на этом контенте. В случаеHTTP-контента заголовки HTTP отображают возможность кэширования контентапосредством указателей «cache».
В большинстве случаев пересылающие прокси-серверы конфигурируютсятакже для работы в качестве кэширующих прокси-серверов. Это явлениеиспользуется настолько часто, что компания IBM включила это в названиекомпонента своего Edge Server: IBM Caching Proxy.
/>/>Прокси-серверобеспечения безопасности
В качестве необходимой для простых прокси-серверовфункциональности прокси-серверы могут быть сконфигурированы для приведения висполнение политик безопасности. Такие прокси-серверы обеспечения безопасностимогут обрабатывать (либо выступать в качестве посредников при обработке)запросы аутентификации и авторизации. В этих случаях аутентификацияпользователя клиента и авторизация клиента для доступа к определенному контентуконтролируется самим прокси-сервером. Далее мандат безопасности посылается от прокси-серверак конечным серверам с запросом, а конечный сервер должен быть сконфигурированна оказание доверия предоставляемому прокси-серверу мандату.
Существует много различных продуктов и предложений, а такжемножество топологий на выбор, но с точки зрения выполнения прокси-функцийбезопасность является дополнительной функцией, которую может выполнять прокси-сервер.
В большинстве случаев функциональные возможности по обеспечениюбезопасности могут быть добавлены стандартному прокси-серверу в видедополнительного программного модуля (плагина, от англ.- plug-in) (к примеру,IBM Tivoli WebSeal Plug-In для IBM WebSphere Edge Server). Существуют также иотдельные продукты, такие, как IBM Tivoli Access Manager for e-Business,которые служат только в качестве прокси-сервера обеспечения безопасности.
/>/>Обратныепрокси-серверы
Обратные прокси-серверы имеют много общего кода с пересылающими прокси-серверами:фактически одни и те же продукты могут быть сконфигурированы одним или другимобразом либо двумя сразу. Однако с функциональной и практической точки зрения внашем случае мы рассматриваем обратные прокси-серверы как полностью другойинструмент.
Обратные прокси-серверы прозрачны, отчасти по определению. Заобратным прокси-сервером пользователь вообще не знает о своем общении спрокси-сервером. Пользователь полагает, что общается с реальным предметом –сервером, на котором находится контент.
Обратные прокси-серверы обычно избраны и реализованы в целяхобеспечения изоляции контента и зон. Однако, вы можете также добавить вобратные прокси-серверы функциональные возможности по кэшированию дляобеспечения производительности заодно с преимуществами обеспечения безопасности.
Нужно обратить внимание, что при этом виде сценария выигрыш впроизводительности за счет кэширования относится к производительности сети, таккак обычно обратный прокси-сервер расположен близко к конечному серверу. Важныммотивом кэширования с помощью обратного прокси-сервера является разгрузка отподачи статического, кэшируемого контента от конечных серверов приложений. Этопозволит зачастую более дорогим конечным серверам приложений немногоосвободиться и сфокусировать свое внимание на пропускных способностях своихпроцессоров при выполнении более сложных динамических задач и задач, связанныхс транзакциями.
Однако когда на обратном прокси-сервере разрешено кэширование,важным становится обеспечение его должной защиты. Весь контент, даже если онполностью статичен, продолжает нуждаться в защите.
/>/>
1.6 Прокси-сервер Squid
Squid — программный пакет, реализующий функцию кэширующегопрокси-сервера для протоколов HTTP, FTP, Gopher и (в случае соответствующихнастроек) HTTPS. Разработан сообществом как программа с открытым исходным кодом(распространяется в соответствии с GNU GPL). Все запросы выполняет как одиннеблокируемый процесс ввода/вывода. Используется в UNIX-like системах и в ОСсемейства Windows NT. Имеет возможность взаимодействия с Active DirectoryWindows Server путём аутентификации через LDAP, что позволяет использоватьразграничения доступа к интернет ресурсам пользователей, которые имеют учётныезаписи на Windows Server, также позволяет организовать «нарезку» интернеттрафика для различных пользователей.
В сочетании с некоторыми межсетевыми экранами и маршрутизаторами Squidможет работать в режиме прозрачного прокси-сервера. В этом режиме маршрутизаторвместо того, чтобы сразу пересылать http-запросы пользователя http-серверу в интернете,перенаправляет их прокси-серверу, который может работать как на отдельномхосте, так и на самом маршрутизаторе. Прокси-сервер обрабатывает запрос (с возможнойотдачей содержимого из кэша), это содержимое направляется к запросившемупользователю, для которого оно выглядит как «ответ» сервера, к которомуадресовался запрос. Таким образом, пользователь может даже не знать, что всезапросы и ответы прошли через прокси-сервер.
Сервер Squid развивается в течение уже многих лет. Обеспечиваетсовместимость с большинством важнейших протоколов Интернета, а также соперационными системами:
GNU/Linux
FreeBSD
OpenBSD
NetBSD
BSDI
Mac OS X
OSF и Digital Unix
IRIX
SunOS/Solaris
NeXTStep
SCO Unix
AIX
HP-UX
Microsoft Windows
Описание архитектуры
Списки контроля доступа
Для контроля доступа к ресурсам и определения ряда действийиспользуются списки контроля доступа (англ. access control list, acl). КаждыйACL может состоять из нескольких критериев (но только одного типа):
адрес (сеть) источника запроса, цели запроса
имя (доменное имя) источника запроса, имя цели запроса
части URL запроса
протокол
порт (получателя, отправителя, самого Squid’а)
метод (PUT или GET) при передаче данных по HTTP
браузер (User-agent)
ident (запрос к рабочей станции)
номер автономной системы отправителя/получателя (не для всехслучаев)
авторизация на прокси-сервере
номер соединения (чаще всего используется для ограниченияколичества соединений)
SNMP
сертификаты пользователя
параметры запроса
внешние обработчики
Идентификация
Squid поддерживает несколько видов идентификации пользователей:
по IP-адресу (или доменному имени узла)
по переданным реквизитам (логин/пароль)
по идентификатору пользовательского агента (браузера)
Для идентификации по логину/паролю возможно использовать:
обычные логин/пароль
NTLM-авторизацию
внешние программы авторизации (определяющие формат авторизации)
Редиректоры
Squid имеет возможность переписывать запрашиваемые URL. Squidможет быть сконфигурирован так, чтобы пропускать входящие URL через процессредиректора выполняемого как внешний процесс (подобно dnsserver), которыйвозвращает новый URL или пустую строку, обозначающую отсутствие изменений.
Редиректор – не является стандартной частью пакета Squid. Редиректорпредоставляет администратору контроль за передвижениями пользователей.Использование редиректора в сочетании с прозрачным проксированием дает простой,но эффективный контроль, над доступом к порно. Программа-редиректор должначитать URL (один на строку) со стандартного входа и записывать измененные URLили пустые строки на стандартный выход. Нужно заметить, чтопрограмма-редиректор не может использовать буферизированный I/O. Squidдописывает дополнительную информацию после URL, которую редиректор можетиспользовать для принятия решения.
SAMS (SQUID Account Management System) — программное средство дляадминистрирования доступа пользователей к прокси-серверу Squid.
На данный момент SAMS настраивает работу редиректоров:
Редиректор SAMS — редиректор, работающий напрямую с базами SAMS
SquidGuard — очень мощный редиректор.
Стандартный SQUID — простейший редиректор, описанный вдокументации к SQUID.
Редиректор SAMS
Написан специально для SAMS, напрямую использует информацию,содержащуюся в базе данных. Позволяет включить различное перенапралениезапросов для пользователей (регулируется шаблонами пользователей).
Редиректор SAMS обеспечивает:
ограничение доступа пользователей к SQUID
контроль времени доступа пользователей к SQUID
ограниечение доступа пользователей к запрещенным ресурсам (илидоступ пользователей только к разрешенным ресурсам)
перенаправление запросов пользователей к баннерам, счетчикам ит.п.
Редиректор SquidGuard
Мощный редиректор с большими возможностями. В состав редиректоравходят списки баннерных, порно и пр. доменов.
SAMS добавляет в файл конфигурации SquidGuard Squidguard.confнастройки на списки запрещенных доменов и перенаправления доступа SAMS.Настройки на списки, идущие с SquidGuard не изменяются и не удаляются.
При использовании редиректора SquidGuard в файл Squid.confзаносятся acl, разрешающие доступ всех пользователей к SQUID. Ограничениедоступа пользователей организовано средствами редиректора.
Стандартный SQUID
Этот редиректор описан в документации на SQUID. Написан на perl.Редиректор создается после подачи команды на реконфигурирование SQUID, наоснове списков перенаправления запросов. Быстрый и легкий редиректор, но неразличает пользователей.
При использовании этого редиректора, ограничение доступапользователей по спискам запрета доступа организовано с использованием ACL SQUID.
При использовании редиректора SQUID или если редиректор неиспользуется вовсе, то в существует возможность — при отключении пользователейза превышение трафика у них остается доступ к URL и IP адресам, прописанным всписке «Локальные домены».
Ограничение максимальной скоростисоединения
Ограничение максимальной скорости получения пользователем(пользователями) в Squid реализовано с помощью механизма англ. delay pools(дословно — «пулы задержки»). Механизм ограничения скорости работает попринципу бассейна (откуда и название pool (бассейн)), в который «втекает» и«вытекает» информация. Отдельные конфигурируемые подобным образом областипамяти называются англ. bucket (ведро). У ведра есть параметры: «ёмкость»,«скорость наполнения». Если пользователь (пользователи) получают информацию наскорости ниже, чем «скорость наполнения», то ведро всегда полно. Еслипользователь кратковременно поднимает скорость получения информации вышескорости наполнения, то до момента, пока ведро не пусто, он не ограничиваетсяпо скорости, как только ведро становится пустым, клиент получает информацию соскоростью наполнения ведра. В случае наличия групповых и индивидуальных ведёр,они включаются последовательно.
Существует три типа (класса) delay pools:
Единое ведро (англ. aggregate bucket, class 1) ограничение наобщую потребляемую полосу для всей группы. (параметры: ёмкость бассейна,скорость наполнения).
Единое ведро с автоматическим формированием индивидуальных вёдер(англ. single aggregate bucket as well as an «individual» bucket,class 2). Индивидуальные вёдра формируются из битов IP-адреса (c 25 по 32).
Единое ведро, сетевые вёдра и индивидуальные вёдра (англ. singleaggregate bucket as well as a «network» bucket and a«individual» bucket, class 3). Сетевое ведро формируется по битам17-24 IP-адреса.
Для каждого ведра указываются два параметра: ёмкость и скоростьнаполнения. −1 означает «без ограничения».
Попадание пользователей в то или иное ведро определяется спискамидоступа к вёдрам, они просматриваются в порядке упоминания в файле конфигурациидо первого совпадения. Пользователи, не попадающие ни в одно из вёдер, вскорости не ограничиваются.
Обратное кэширование
Одной из особенностей Squid является возможность работать в режиме«обратного прокси-сервера» («reverse proxy»), так же известного как«ускоритель» («HTTP accelerator»). В этом случае вместо кэширования запросовнескольких пользователей к множеству сайтов, кэшируются запросы множествапользователей к нескольким сайтам. В этом режиме принятый запрос проверяется на«динамичность» (нужно ли каждый раз обрабатывать запрос с нуля) и «возраст»(актуальны ли ещё данные). Если данные ещё актуальны и не поменялись, то запросне передаётся серверу, а отдаётся из кеша Squid. Таким образом, существенноснижается нагрузка на серверы (например, в Википедии запросы к страницам кэшируются,так как от просмотра их содержимое не меняется, при этом нагрузка на серверысущественно меньше — обработка запроса к кэшу много проще, чем обработказапроса к базе данных SQL, обработка вики-разметки и формированиевеб-страницы).
Кроме того, «обратный прокси-сервер» способен распределять запросымежду несколькими серверами, балансируя нагрузку и/или обеспечиваяотказоустойчивость, то есть фактически предоставляет функциональность,аналогичную кластеру.
Режим прозрачного прокси-сервера
В сочетании с некоторыми межсетевыми экранами и маршрутизаторами Squidможет работать в режиме прозрачного прокси-сервера (англ. transparent proxy). Вэтом режиме маршрутизатор вместо того, чтобы сразу пересылать HTTP-запросыпользователя HTTP-серверу в Интернете, перенаправляет их прокси-серверу,который может работать как на отдельном хосте, так и на самом маршрутизаторе.Прокси-сервер обрабатывает запрос (с возможной отдачей содержимого из кеша),это содержимое направляется к запросившему пользователю, для которого оновыглядит как «ответ» сервера, к которому адресовался запрос. Таким образом,пользователь может даже не знать, что все запросы и ответы прошли черезпрокси-сервер.
При таком подходе проксирования аутентификация не предусмотрена,так как прозрачность проксирования это и подразумевает.
2. Рабочий проект
2.1 Установка Squid
Squid – приложение позволяющее организовать прокси/кэширующийсервер для HTTP, FTP и некоторых других популярных протоколов. Поддерживаетсяработа с защищенными TLS/SSL соединениями, кэширование DNS, возможноиспользование Squid в качестве прозрачного или реверсного прокси.Распространяется по лицензии GNU GPL. Работает во всех популярных вариантахUnix систем – GNU/Linux, *BSD, Mac OS X, SunOS/Solaris, и некоторых других.Есть версия для Windows.
Для примера будет использоваться Linux Mint, но все сказанноекасается и всех остальных дистрибутивов или ОС, за исключением особенностейустановки в конкретном решении. Хотелось бы также отметить, что сейчаспараллельно развивается две ветки: 2-x и 3-x. Третья ветка перешла в разрядSTABLE в конце 2008 года и рекомендуема к использованию. По параметрамописываемых далее отличий у них практически нет, поэтому все описанное касаетсяобеих версий.
/>
Рис. 3. Установка Squid в Mint.
После инсталляции Squid будет запущен сустановками по умолчанию.
2.2 Настройка конфигурации
Все настройки Squid производятся в единственном файле/etc/Squid/Squid.conf, параметров внутри очень много. Просмотреть список параметров,убрав пустые и закомментированные строки, можно при помощи команды (рис. 4):
$ sudo grep -v «^#» /etc/Squid/Squid.conf | sed-e /^$/d’
/>
Рис. 4. Список параметров.
Создание acl (Access Control List) с именем all для абсолютно всехip-адресов:
acl all src 0.0.0.0/0.0.0.0
Создание acl (Access Control List) с именем localhostдля 127.0.0.1/32ip-адресов:
acl localhost src 127.0.0.1/32
Создание acl (Access Control List) с именем to_localhostдля 127.0.0.0/8ip-адресов:
acl to_localhost dst 127.0.0.0/8
Указание сети, с которой можно присоединяться без авторизации:
acl localnet src 10.0.0.0/8
acl localnet src 172.16.0.0/12
acl localnet src 192.168.0.0/24
Описание портов:
acl SSL_ports port 443 – https порт
acl Safe_ports port 80 – http порт
acl Safe_ports port 21 – ftp порт
acl Safe_ports port 443 – https порт
Включение поддержки проброски соединения с помощью командыпротокола CONNECT:
acl CONNECT method CONNECT
Описывает рабочее время с понедельника по пятницу:
acl work_hours time M T W T F 9:00-18:00
Описывает путь к файлу со списком доменов:
acl blockdomen dstdom_regex"/etc/squid/blocks.domen.acl" – в этом файде содержатся списокдоменов.
Описывает путь к файлу со списком файлов:
acl blockfiles urlpath_regex -i"/etc/squid/blocks.files.acl" – в этом файде содержатся данные орасширениях.
Описывает путь к файлу со списком значений адресса:
acl blockadult dstdom_regex"/etc/squid/blocks.adult.acl" – в этом файде содержатся регулярныевыражения для интернет ресурсов.
Пропуск (allow) или запрет (deny) для указанных портов. Порядокhttp_acces важен, идет сверху вниз:
http_access allow manager localhost
http_access allow localnet
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny!Safe_ports
http_access deny CONNECT!SSL_ports
http_access allow localhost
http_access deny blockdomen
http_access deny blockfiles
http_access deny blockadult
http_access deny!work_hours
Разрешение acl all доступ:
http_access allow all
Разрешение или запрет доступа к ICP порту, основанное назаявленных списках доступа:
icp_access allow localnet
icp_access deny all
Адреса сокетов, на которых Squid будет ожидать запросы HTTP клиентов:
http_port 192.168.70.131:3128
В этих файлах размещаются журналы запросов клиентов. На каждыйHTTP и ICP запрос отводится одна строка:
access_log /var/log/squid/access.log squid
Этот тэг определяет имя хоста(hostname), которое будет отображатсяв сообщениях об ошибках, и т.д. в данном случае используется имя mysquid:
visible_hostname mysquid
Директория ошибок:
error_directory /usr/share/squid/errors/ru
Выводит ошибки для определенных ACL:
deny_info ERR_ACCESS_DENIED_ADULT blockadult
deny_info ERR_ACCESS_DENIED_WORK_HOURS work_hours
deny_info ERR_ACCESS_DENIED_BLOCKFILES blockfiles
deny_info ERR_ACCESS_DENIED_BLOCKDOMEN blockdomen
Расположение локальной базы данных связей IP адрес-имя узла:
hosts_file /etc/hosts
По умолчанию Squid оставляет файлыядра в папке, из которой он был запущен:
coredump_dir /var/spool/squid
Формат Squid.conf стандартен для Unix, каждая запись состоит изстрок вида: параметр значение.
Возможно использование переменных. Cтроки начинающиеся со знакарешетки (#) являются комментариями. Для удобства настройки, все параметрыразбиты по секциям. Такое разбиение чисто условно и можно прописывать своипараметры в любое место файла, лишь бы было понятно. Возможно подключениевнешнего файла с настройками при помощи include. Единственное о чем следуетпомнить – установки применяются в порядке очередности. После установки в/usr/share/doc/Squid можно найти документацию и примеры конфигурационныхфайлов.
2.3 Запуск прокси-сервера Squid
Для запуска прокси-сервера Squid используется команда (Рис. 5):
/>$ sudo/etc/init.d/Squid start
Рис. 5. Запуск Squid.
Так же нужно настроить клиентские машины для доступа в интернетчерез прокси-сервер Squid (Рис. 6).
/>
Рис. 6. Направление всего трафика через прокси-сервер.
Теперь при попытке доступа к заблокированным ресурсам вместо нихбудут открываться надписи со сведениями причины блокировки:
/>
Рис. 7. Запрет доступа к развлекательным и зарубежным доменам.
/>
Рис. 8. Запрет доступа к файлам мультимедиа.
/>
Рис. 9. Запрет доступа к порнографии.
/>
Рис. 10. Запрет доступа в не рабочее время.
Заключение
В настоящее время на рынке программного обеспечения предствленномножество разнообразных программных прокси-серверов. Большинство из них имеетдва основных недостатка: они коммерческие и не поддерживают ICP (ICPиспользуется для обмена информации о наличии URL в соседнем кэше). Squid – этолучший выбор для кэширующего прокси-сервера, так как он надежный, бесплатный иподдерживает ICP. В настоящее время это наиболее производительныйпрокси-сервер, превосходящий по функциональности Microsoft ISA Server 2000.
Производный от “кэширующего” программного обеспечения ARPA-fundedHarvest research project, разработанного в National Laboratory for AppliedNetwork Research and funded by the National Science Foundation, Squidпредлагает высокопроизводительное кэширование для веб клиентов, он такжеподдерживает FTP, HTTP и HTTPS объекты данных. Squid хранит часто используемыеобъекты в RAM, поддерживает надежную базу данных объектов на диске, имееткомплексных механизм контроля доступа и поддерживает SSL протокол дляпосредничества в безопасных соединениях. В дополнение к этому, он поддерживаетиерархические связи с другими прокси-серверами, базирующимися на Squid. Squidведет достаточно подробные логи об интернет-активности пользователей.
Squid используется в UNIX-like системах и в ОС семейства WindowsNT. Имеет возможность взаимодействия с Active Directory Windows Server путёмаутентификации через LDAP, что позволяет использовать разграничения доступа кинтернет ресурсам пользователей, которые имеют учётные записи на WindowsServer, также позволяет организовать «нарезку» интернет трафика для различныхпользователей.
Список литературы
1. БруйВ. В., Карлов С. В. Б67 “LINUX-сервер: пошаговые инструкции инсталляции инастройки.” – М.: Изд-во СИП РИА, 2003. – 572 с. ISBN 5-89354-153-7
2. http://www.Squid-cache.org/-Домашняя страница проекта Squid
3. http://Squid.visolve.com/- Руководство, советы по настройке
4. http://Squid.opennet.ru/- FAQ, форум, ссылки на русскоязычные ресурсы, посвященные Squid
5. http://www.bog.pp.ru/- Установка, настройка и использование
6. http://www.break-people.ru/- Файл Squid.conf на русском, по секциям