![Нокиа 7.2 има 6 ГБ РАМ-а, Снапдрагон 710, камеру од 48 мегапиксела](/f/d0e509e8201b82bda42e427c3bb747a1.jpg?width=100&height=100)
А. Сертификовани инжењер Линук фондацијеје вешт професионалац који има искуство у инсталирању, управљању и решавању проблема са мрежним услугама у Линук -у система, и задужен је за пројектовање, имплементацију и стално одржавање системске архитектуре.
Представљамо програм сертификације Линук Фоундатион.
Ин Део 1 ове серије, показали смо како се инсталира скуид, проки сервер за кеширање за веб клијенте. Молимо вас да погледате тај пост (веза наведена испод) пре него што наставите ако још нисте инсталирали лигње на свој систем.
У овом чланку ћемо вам показати како да конфигуришете Скуид проки сервер како бисте одобрили или ограничили приступ Интернету и како да конфигуришете хттп клијент или веб прегледач за коришћење тог проки сервера.
Оперативни систем: Дебиан Вхеези 7.5. ИП адреса: 192.168.0.15. Назив хоста: дев2.габриелцанепа.цом.ар.
Оперативни систем: Убунту 12.04. ИП адреса: 192.168.0.104 Име хоста: убунтуОС.габриелцанепа.цом.ар.
Оперативни систем: ЦентОС-7.0-1406. ИП адреса: 192.168.0.17 Назив хоста: дев1.габриелцанепа.цом.ар.
Подсетимо се, једноставно речено, веб проки сервер је посредник између једног (или више) клијентских рачунара и одређеног мрежног ресурса, а најчешћи је приступ Интернету. Другим речима, проки сервер је повезан са једне стране директно на Интернет (или на рутер који је повезан на Интернет), а са друге стране на мрежу клијентских рачунара који ће путем Ворлд Виде Веба приступити то.
Можда се питате, зашто бих желео да додам још један софтвер у своју мрежну инфраструктуру?
1. Скуид складишти датотеке из претходних захтева како би убрзао будуће преносе. На пример, претпоставимо цлиент1 преузимања ЦентОС-7.0-1406-к86_64-ДВД.исо од интернета. Када цлиент2 захтева приступ истој датотеци, лигње може пренети датотеку из кеша уместо да је поново преузме са Интернета. Као што можете погодити, ову функцију можете користити за убрзавање преноса података у мрежи рачунара који захтевају честа ажурирања неке врсте.
2. АЦЛс (Листе за контролу приступа) дозвољавају нам да ограничимо приступ веб локацијама и / или надгледамо приступ по кориснику. Можете ограничити приступ на основу дана у недељи или доба дана, или домена, на пример.
3. Заобилажење веб филтера је омогућено коришћењем веб проксија на који се упућују захтеви и који враћа тражени садржај клијенту, уместо да клијент то захтева директно на Интернету.
На пример, претпоставимо да сте пријављени цлиент1 и желите да приступите ввв.фацебоок.цом преко рутера ваше компаније. С обзиром да смернице ваше компаније могу блокирати веб локацију, уместо тога можете да се повежете на веб проки сервер и затражите приступ ввв.фацебоок.цом. Даљински садржај вам се затим враћа преко веб проки сервера, заобилазећи политике блокирања рутера ваше компаније.
Шема контроле приступа веб проки сервера Скуид састоји се од две различите компоненте:
Главна конфигурацијска датотека Скуид -а је /etc/squid/squid.conf, која је ~5000 редове јер садржи и конфигурацијске директиве и документацију. Из тог разлога ћемо створити нову лигње.цонф датотеку само са линијама које садрже конфигурацијске директиве ради наше удобности, изостављајући празне или коментарисане редове. Да бисмо то учинили, користићемо следеће команде.
# мв /етц/скуид/скуид.цонф /етц/скуид/скуид.цонф.бкп.
И онда,
# греп -Еив '( ^# | ^$)' /етц/скуид/скуид.цонф.бкп ИЛИ# греп -ве ^# -ве ^$ /етц/скуид/скуид.цонф.бкп>/етц/скуид/ лигње.цонф.
Сада отворите новостворени лигње.цонф датотеку и потражите (или додајте) следеће АЦЛ елементи и приступне листе.
ацл лоцалхост срц 127.0.0.1/32. ацл лоцалнет срц 192.168.0.0/24.
Горња два реда представљају основни пример употребе АЦЛ елементи.
Два реда испод су приступна листа правила и представљају експлицитну примену АЦЛ раније поменуте директиве. У неколико речи то указују хттп приступ треба одобрити ако захтев потиче из локалне мреже (лоцалнет), или из локални домаћин. Које су конкретно дозвољене локалне мреже или адресе локалних хостова? Одговор је: они наведени у директивама лоцалхост и лоцалнет.
хттп_аццесс дозвољава лоцалнет. хттп_аццесс дозвољава лоцалхост.
У овом тренутку можете поново покренути Лигње како би се примениле све промене на чекању.
# сервице скуид рестарт [Упстарт / сисвинит-басед дистрибутионс] # системцтл поново покрените скуид.сервице [дистрибуције засноване на системд]
а затим конфигуришите прегледач клијента у локалној мрежи (192.168.0.104 у нашем случају) за приступ Интернету преко вашег проксија на следећи начин.
1. Идите на Уредити мени и изаберите Преференцес опција.
2. Кликните на Адванцед, затим на Мрежа картицу, и коначно укључено Подешавања…
3. Проверавати Ручна конфигурација прокија и унесите ИП адреса проки сервера и Лука где слуша везе.
Белешка Подразумевано, Скуид слуша на порту 3128, али ово понашање можете надјачати уређивањем датотеке приступна листа правило које почиње са хттп_порт (подразумевано гласи хттп_порт 3128).
4. Кликните У реду да примените промене и спремни сте.
Сада можете да проверите да ли клијент ваше локалне мреже приступа Интернету преко вашег проксија на следећи начин.
1. У свом клијенту отворите а терминал и откуцајте,
# ип адреса показати етх0 | греп -Еи '(инет.*етх0)'
Та команда ће приказати тренутну ИП адреса вашег клијента (192.168.0.104 на следећој слици).
2. У свом клијенту користите веб прегледач да бисте отворили било коју веб локацију (ввв.тецминт.цом у овом случају).
3. На серверу покрените.
# таил -ф /вар/лог/скуид/аццесс.лог.
и добићете уживо преглед захтева који се достављају Лигње.
Претпоставимо сада да желите изричито забранити приступ тој одређеној ИП адреси клијента, а да притом задржите приступ за остатак локалне мреже.
1. Дефинишите нову АЦЛ директиву на следећи начин (назвао сам је убунтуОС али можете га назвати како год желите).
ацл убунтуОС срц 192.168.0.104.
2. Додајте АЦЛ директиву за приступ локалној мрежи списак који је већ постављен, али му је претходно постављен узвичник. Ово значи, "Дозволите приступ Интернету клијентима који одговарају локалној мрежној АЦЛ директиви, осим оној која се подудара са убунтуОС директивом”.
хттп_аццесс дозвољава лоцалнет! убунтуОС.
3. Сада морамо поново покренути Скуид да бисмо применили промене. Затим, ако покушамо да прегледамо било коју веб локацију, открићемо да је приступ сада одбијен.
Да бисмо ограничили приступ Скуид -у према домену, користићемо дстдомаин кључна реч у а АЦЛ директивом, како следи.
ацл забрањен дстдомаин "/етц/скуид/алловед_домаинс"
Где забрањени_домени је обична текстуална датотека која садржи домене којима желимо забранити приступ.
Коначно, морамо одобрити приступ Скуид -у за захтеве који не одговарају горњој директиви.
хттп_аццесс дозвољава лоцалнет! забрањено.
Или ћемо можда желети само да дозволимо приступ тим веб локацијама у одређено доба дана (10:00 до 11:00 сати) Само на Понедељак (М), Среда (З), и Петак (Ф).
ацл сомеДаис тиме МВФ 10: 00-11: 00. хттп_аццесс дозвољава забрањене неке дане. хттп_аццесс порицање забрањено.
У супротном ће приступ тим доменима бити блокиран.
Лигње подржавају неколико механизама за потврду идентитета (Басиц, НТЛМ, Дигест, СПНЕГО и Оаутх) и помоћнике (СКЛ база података, ЛДАП, НИС, НЦСА, да набројимо само неке). У овом водичу ћемо користити Основну аутентификацију са НЦСА.
Додајте следеће редове у свој /etc/squid/squid.conf филе.
аутх_парам основни програм/уср/либ/скуид/нцса_аутх/етц/скуид/пассвд. аутх_парам басиц цредентиалсттл 30 минута. аутх_парам основно разликовање великих и малих слова на. аутх_парам басиц реалм Скуид проки-цацхинг веб сервер за Тецминт ЛФЦЕ серију. ацл нцса проки_аутх ОБАВЕЗНО. хттп_аццесс дозвољава нцса.
Белешка: Ин ЦентОС 7, додатак НЦСА за лигње можете пронаћи у /usr/lib64/squid/basic_nsca_auth, па према томе промените у горњој линији.
Неколико појашњења:
Покрените следећу команду да бисте креирали датотеку и додали акредитиве за корисника гацанепа (изоставите -ц означите ако датотека већ постоји).
# хтпассвд -ц/етц/скуид/пассвд гацанепа.
Отворите веб прегледач на клијентској машини и покушајте да пронађете било коју веб локацију.
Ако аутентификација успе, приступ траженом ресурсу је одобрен. У супротном, приступ ће бити одбијен.
Једна од карактеристика Скуид -а је могућност кеширања ресурса затражених са веба на диск како би се убрзали будући захтеви тих објеката од стране истог клијента или других.
Додајте следеће директиве у свој лигње.цонф филе.
цацхе_дир уфс/вар/цацхе/скуид 1000 16 256. максимална величина_објекта 100 МБ. рефресх_паттерн.*\. (мп4 | исо) 2880.
Неколико појашњења горе наведених директива.
Први и други 2880 су доње и горње границе, односно, колико дуго ће се објекти без изричитог истека времена сматрати недавним, па ће их опслуживати кеш меморија, док 0% је проценат старости објеката (време од последње измене) да ће се сваки објекат без експлицитног времена истека сматрати недавним.
Први клијент (ИП 192.168.0.104) преузимања а 71 МБ .мп4 датотеку за 2 минута и 52 секунде.
Други клијент (ИП 192.168.0.17) преузима исту датотеку за 1,4 секунде!
То је зато што је датотека послужена из Скуид цацхе (указује ТЦП_ХИТ/200) у другом случају, за разлику од првог степена, када је преузет директно са Интернета (представљен са ТЦП_МИСС/200).
Тхе ХИТ и ГОСПОЂИЦА кључне речи, заједно са 200 хттп код одговора, указују на то да је датотека оба пута успешно послужена, али је кеш меморија била ХИТ и Миссед. Када кеш меморија из неког разлога не може да послужи захтев, тада Скуид покушава да га послужи са Интернета.
У овом чланку смо разговарали о томе како поставити а Проки за кеширање веб сајтова. Можете користити проки сервер за филтрирање садржаја према одабраним критеријумима, а такође и за смањење кашњења (будући да су идентични долазни захтеви се послужују из кеша, који је ближи клијенту од веб сервера који заправо служи садржају, што резултира бржим пренос података) и мрежни саобраћај (смањујући количину искоришћене пропусности, што вам штеди новац ако плаћате за саобраћај).
Можда ћете желети да се позовете на Веб локација Скуид за даљу документацију (обавезно проверите и вики), али не оклевајте да нас контактирате ако имате било каквих питања или коментара. Биће нам више него драго да вас чујемо!