Squid es una solución común para programadores, administradores de sistemas y entusiastas de las redes informáticas para crear y administrar un servidor proxy eficiente. El programa es especialmente atractivo porque es multiplataforma. Es decir, puedes instalarlo y ejecutarlo tanto en Linux y otros sistemas operativos correspondientes a la arquitectura Unix, como en Windows. Las capacidades de esta herramienta son las más destacadas. ¿Cómo se pueden usar? ¿Hay alguna característica en la configuración del programa dependiendo del sistema operativo específico?
¿Qué es Calamar? Este nombre es conocido por un servidor proxy particularmente de alto rendimiento que se usa con mayor frecuencia con clientes web. Con él, puede organizar el acceso simultáneo a Internet para varios usuarios. Otra característica notable de Squid es que puede almacenar en caché varias consultas. Esto le permite obtener archivos más rápido, ya que no necesita volver a descargarlos de Internet. El servidor proxy Squid también puede ajustar la velocidad del canal de Internet en relación con la carga real.
Squid ha sido adaptado para su uso en plataformas Unix. Sin embargo, existen versiones de Squid para Windows y muchos otros sistemas operativos populares. Este programa, como muchos sistemas operativos basados en el concepto Unix, es gratuito. Es compatible con FTP, SSL, le permite configurar un control flexible sobre el acceso a los archivos. Squid también almacena en caché las consultas de DNS. Al mismo tiempo, también puedes configurar un proxy Squid transparente, es decir, el servidor funciona en un formato donde el usuario no sabe que está accediendo a la Red a través de él, y no directamente. Por lo tanto, Squid es una poderosa herramienta en manos de un administrador de sistemas o un proveedor de servicios de comunicación.
¿Cuándo puede Squid ser más útil? Por ejemplo, esta puede ser una tarea en la que es necesario integrar de manera efectiva varias computadoras en una red y proporcionarles acceso a Internet. La conveniencia de utilizar un servidor proxy en este caso es que las solicitudes entre este y el navegador de una PC en particular se realizan más rápido que en el caso de la interacción del usuario con Internet directamente. Además, al usar Squid, el caché en el navegador se puede deshabilitar por completo. Esta característica tiene una gran demanda entre los usuarios.
La decisión sobre cuál en cuestión, consta de varios componentes. De hecho, este es un paquete software. En su estructura hay una aplicación con la que se lanza el servidor, así como un programa complementario para trabajar con DNS. Su característica interesante es que lanza procesos, cada uno de los cuales funciona independientemente de los demás. Esto le permite optimizar la interacción del servidor con DNS.
La instalación de Squid suele ser sencilla. Es muy fácil instalar el programa en Linux: simplemente ingrese el comando $ sudo apt-get install squid.
En cuanto a Squid para Windows, las cosas son un poco más complicadas. El hecho es que este programa no tiene archivos ejecutables- los elementos principales de las aplicaciones para el sistema operativo de Microsoft.
Sin embargo, instalar Squid en Windows es una tarea bastante rápida. Es necesario encontrar en o recursos relevantes un kit de distribución que contenga archivos de tipo .bat, que son algo parecidos a los ejecutables tradicionales de Windows. Después de eso, debe copiarlos en una carpeta separada en el disco. Luego, debe iniciar Squid como un servicio del sistema. Después de eso, el programa se puede usar como proxy a través de un navegador de PC. Podemos decir que esto completa la instalación de Squid.
Una distribución de servidor proxy casi siempre contiene un archivo de configuración como .conf. Es la principal herramienta para configurar el acceso a Internet desde el ordenador del usuario y otros dispositivos combinados en red local al usar Squid.
¿Qué matices puede incluir configurar Squid? Windows es un sistema operativo en el que el trabajo con un servidor proxy se realizará mediante la edición de archivos de configuración.
En el caso de Linux, se puede utilizar para algunos trámites. Pero en general, en este Sistema operativo, al igual que si el sistema operativo en el que está configurado Squid es Windows, el archivo squid.conf se usa con más frecuencia. Prescribe ciertas expresiones ("comandos"), de acuerdo con las cuales el servidor administra las conexiones a la red.
Considere, por lo tanto, cómo se configura Squid, con más detalle. El primer paso es permitir que los usuarios de la red accedan al servidor. Para hacer esto, en el archivo squid.conf, configure los valores apropiados en http_port, así como en http_access. También es útil para crear una lista de control de acceso o ACL. La configuración de http_port nos importa, ya que nuestro objetivo es preparar Squid para servir solo a un grupo específico de computadoras. A su vez, un parámetro como http_access es importante, ya que con su ayuda podremos regular el acceso a recursos de red específicos solicitados desde ciertas direcciones (también son posibles otros criterios: protocolos, puertos y otras propiedades contenidas en la ACL) .
¿Cómo establecer los ajustes necesarios? Es muy fácil hacer esto.
Digamos que hemos creado una red informática con un rango de direcciones que comienza en 192.168.0.1 y termina en 192.168.0.254. En este caso, se debe establecer el siguiente parámetro en la configuración de ACL: src 192.168.0.0/24. Si necesitamos configurar el puerto, entonces en el archivo de configuración debemos hacer una entrada http_port 192.168.0.1 (solo especifique la dirección IP correcta) e ingrese el número de puerto.
Para restringir el acceso al proxy creado con Squid (sin contar las computadoras incluidas en la red local), debe realizar cambios en http_access. Esto se hace simplemente, con la ayuda de expresiones ("comandos", estamos de acuerdo en llamarlos así, aunque, estrictamente hablando, no son tales en el texto, pero en la línea de terminal les corresponderían bastante) permitir LocalNet y negar todo. Es muy importante colocar el primer parámetro sobre el segundo, ya que Squid los reconoce uno por uno.
En realidad, las configuraciones de acceso son posibles en Squid en un rango muy amplio. Considere ejemplos útiles en la práctica de la gestión de redes locales.
El elemento src tiene una gran demanda. Con él, puede corregir la dirección IP de la computadora que realizó la solicitud al servidor proxy. Al combinar el elemento src con http_access, puede, por ejemplo, permitir el acceso a la red a un usuario específico, pero prohibir acciones similares para todos los demás. Esto se hace de manera muy simple.
Escribimos ACL (nombre de grupo de usuarios) src (intervalo de direcciones IP que están bajo regulación). La línea de abajo es ACL (nombre de una computadora específica) src (dirección IP de la PC correspondiente). Después de eso, trabajamos con http_access. Configuramos el permiso para ingresar a la red para un grupo de usuarios y una PC individual usando los comandos de permiso http_access. En la siguiente línea arreglamos que el acceso al resto de equipos de la red se cierre con el comando deny all.
La configuración de un proxy Squid también implica el uso de otro elemento útil proporcionado por el sistema de control de acceso: dst. Le permite fijar la dirección IP del servidor al que el usuario proxy quiere conectarse.
Con la ayuda del elemento en cuestión podemos, por ejemplo, restringir el acceso a una subred en particular. Para hacer esto, puede usar el comando ACL (designación de red) dst (dirección IP de subred), la línea a continuación es http_access deny (el nombre de una computadora específica en la red).
Otro elemento útil— dominiodst. Nos permitirá fijar el dominio al que el usuario quiere conectarse. Usando el elemento en cuestión, podemos restringir el acceso de un usuario en particular, por ejemplo, a recursos externos de Internet. Para hacer esto, puede usar el comando: ACL (grupo de sitios) dstdomain (direcciones de sitios), la línea a continuación es http_access deny (nombre de la computadora en la red).
Hay otros elementos destacables en la estructura del sistema de control de acceso. Entre ellos se encuentra SitesRegex. Con esta expresión, puede restringir el acceso de los usuarios a los dominios de Internet que contienen una determinada palabra, por ejemplo, correo (si la tarea es prohibir que los empleados de la empresa accedan a los servidores de correo de terceros). Para hacer esto, puede usar el comando ACL SitesRegexMail dstdom_regex mail, luego ACL SitesRegexComNet dstdom_regex \.com$ (esto significa que se denegará el acceso para el tipo de dominio correspondiente). La línea de abajo es http_accesss deny indicando las computadoras desde las cuales se accede a servidores de correo no deseado.
Algunas expresiones pueden usar la opción -i. Usándolo, además de un elemento como, por ejemplo, url_regex, diseñado para crear una plantilla para direcciones web, podemos denegar el acceso a archivos con una extensión determinada.
Por ejemplo, al usar el comando ACL NoSwfFromMail url_regex -i mail.*\.swf$, controlamos la capacidad de acceder a sitios de correo que contienen películas Flash. Si no hay necesidad de incluir en los algoritmos de acceso Nombre de dominio sitio, puede usar la expresión urlpath_regex. Por ejemplo, en la forma del comando ACL media urlpath_regex -i \.wma$ \.mp3$.
La configuración de Squid le permite prohibir el acceso de los usuarios a ciertos programas cuando utiliza los recursos del servidor proxy. Para este propósito, se puede usar el puerto (intervalo de puerto) del comando ACL (nombre del programa), la línea a continuación es http_access deny all (nombre del programa).
La configuración de Squid también le permite al administrador del sistema establecer el protocolo preferido para usar el canal de Internet. Por ejemplo, si es necesario que una persona de una PC específica acceda a la red a través del protocolo FTP, se puede usar el siguiente comando: ACL ftpproto proto ftp, la línea a continuación es http_access deny (nombre de la computadora) ftpproto.
Con el elemento de método, podemos especificar cómo se debe realizar la solicitud HTTP. Hay 2 de ellos: GET y POST, pero en algunos casos es preferible el primero, no el segundo, y viceversa. Por ejemplo, es posible una situación en la que un empleado en particular no debería ver el correo a través de mail.ru, pero a su empleador no le importará si una persona quiere leer noticias en el sitio especificado. Para hacer esto, el administrador del sistema puede usar el siguiente comando: ACL sitemailru dstdomain .mail.ru, la siguiente línea es ACL methodpost method POST, luego http_access deny (nombre de la computadora) methodpost sitemailru.
Estos son los matices involucrados en la configuración de Squid. Se utiliza Ubuntu, Windows u otro sistema operativo compatible con el servidor proxy: las características que hemos considerado para configurar los parámetros necesarios son generalmente típicas para cualquier entorno de software funcionamiento de Squid. Trabajar con este software es un proceso increíblemente emocionante y al mismo tiempo simple debido a la lógica y transparencia de los principales algoritmos para configurar el programa.
Echemos un vistazo a algunos de los puntos clave específicos para configurar Squid.
Si tiene dificultades para encontrar el archivo squid.conf, que es la principal herramienta de configuración del servidor, puede intentar consultar el directorio etc/squid.
Es mejor si, al trabajar con el archivo en cuestión, utiliza el más simple editor de texto: no es necesario incluir ningún elemento de formato en las líneas responsables de configurar el servidor proxy.
En algunos casos, puede ser necesario especificar el servidor proxy del proveedor durante la operación. Hay un comando cache_peer para esto. Debe ingresarlo así: cache_peer (dirección del servidor proxy del proveedor).
En algunos casos es útil fijar el valor memoria de acceso aleatorio, que será utilizado por Squid. Esto se puede hacer con el comando cache_mem. También es útil especificar el directorio en el que se almacenarán los datos en caché, esto se hace mediante la expresión cache_dir. En el primer caso, el comando completo se verá como cache_mem (la cantidad de RAM en bytes), en el segundo, como cache_dir (dirección de directorio, número de megabytes Espacio del disco). Es recomendable colocar la memoria caché en los discos de mayor rendimiento, si hay una opción.
Es posible que deba especificar las computadoras que tienen acceso al servidor proxy. Esto se puede hacer usando los comandos ACL allow hosts src (rango de direcciones IP de la computadora) y ACL localhost src (dirección local).
Si se utilizan puertos SSL en las conexiones, también se pueden reparar mediante el comando ACL ssl_ports port (especificar puerto). Al mismo tiempo, puede deshabilitar el uso del método CONNECT para otros puertos, a excepción de los especificados en la conexión segura SSL. ¡La expresión http_access deny CONNECT ayudará a hacer esto! Puertos SSL.
En algunos casos, junto con el servidor proxy en cuestión, se utiliza la interfaz pfSense, que se utiliza como una eficaz. trabajo conjunto? El algoritmo para resolver este problema no es demasiado complicado.
Primero necesitamos trabajar en la interfaz pfSense. Squid, que ya hemos configurado, deberá instalarse mediante comandos SSH. Esta es una de las formas más convenientes y seguras de trabajar con servidores proxy. Para hacer esto, active el elemento Habilitar en la interfaz Para encontrarlo, debe seleccionar el elemento de menú Sistema, luego Avanzado, luego Acceso de administrador.
Después de eso, necesitas descargar PuTTY - aplicación práctica para trabajar con SSH. A continuación, utilizando la consola, debe instalar Squid. Esto se hace fácilmente con el comando -pkg install squid. Después de eso, también debe configurar el proxy a través de la interfaz web de pfSense. Squid (sus parámetros no están configurados en esta etapa) se puede instalar seleccionando el elemento de menú Sistema, luego Paquetes, después - Paquetes disponibles. El paquete Squid Stable debería estar disponible en la ventana correspondiente. Lo seleccionamos. Se debe establecer siguientes ajustes: Interfaz de proxy: LAN. Frente a la línea Proxy transparente, puede marcar la casilla. Seleccionamos la dirección para el registro y marcamos el ruso como idioma preferido. Clic en Guardar.
La configuración de Squid permite a los administradores del sistema asignar los recursos del servidor de manera eficiente. Es decir, en este caso no estamos hablando de prohibiciones de acceso a ningún sitio, sin embargo, la intensidad de activación del canal por parte de uno u otro usuario o su grupo puede requerir control. El programa en consideración nos permite resolver esta tarea de varias maneras. En primer lugar, este es el uso de mecanismos de almacenamiento en caché: debido a esto, no es necesario volver a descargar archivos de Internet, ya que la carga de tráfico disminuirá. En segundo lugar, es la restricción de acceso a la red en el tiempo. En tercer lugar, se trata del establecimiento de valores límite para la velocidad de intercambio de datos en la red en relación con las acciones de ciertos usuarios o tipos específicos de archivos descargados. Consideremos estos mecanismos con más detalle.
En la estructura del tráfico de red, hay muchos tipos de archivos que se utilizan sin cambios. Es decir, una vez descargadas en el ordenador, el usuario no podrá repetir la operación correspondiente. Squid te permite configuración flexible mecanismo para reconocer dichos archivos por parte del servidor.
Una opción bastante útil del servidor proxy que estamos estudiando es verificar la antigüedad de un archivo en el caché. Los objetos que son demasiado largos en el área de memoria correspondiente deben actualizarse. Esta opción se puede habilitar usando el comando refresh_pattern. Por lo tanto, la expresión completa puede parecerse a refresh_pattern (duración de tiempo mínima, en minutos, proporción máxima de archivos "nuevos", en %, período máximo). En consecuencia, si un archivo está en el caché más tiempo que los criterios especificados, entonces puede ser necesario descargar una nueva versión del mismo.
Otra opción que se puede utilizar gracias a las capacidades de Squid-Proxy es limitar el acceso de los usuarios a los recursos de la red a lo largo del tiempo. Se configura usando un comando muy simple: ACL (nombre de la computadora) hora (día, hora, minuto). Se puede restringir el acceso para cualquier día de la semana reemplazando "día" con la primera letra de la palabra correspondiente a su nombre en el alfabeto inglés. Por ejemplo, si es lunes, entonces M, si es martes, entonces T. Si el comando no contiene la palabra "día", se establecerá la prohibición correspondiente para toda la semana. Curiosamente, también puede regular el horario de ingreso a la red, realizado por los usuarios con la ayuda de ciertos programas.
Una opción bastante común es optimizar los recursos regulando la tasa de intercambio de datos permitida dentro de Red de computadoras. El servidor proxy que estamos estudiando es − herramienta útil para resolver este problema. La regulación de la tasa de intercambio de datos en la red se lleva a cabo utilizando parámetros como delay_class, delay_parameters, delay_access, así como a través del elemento delay_pools. Los cuatro componentes son esenciales para afrontar los retos a los que se enfrenta administradores del sistema en términos de optimización de los recursos de la red local.
El problema es el siguiente. En la empresa AD, acceso a Internet a través de un proxy, hay una DMZ. El proxy y su puerto se registran en la configuración del navegador, en la sección _conexiones_. Se utiliza ISA 2006 para acceder a la DMZ (tengo un cliente Isa 2004). Entramos a Internet a través de Squid.
Después instalación de ventanas 7 (en una máquina limpia) IExplorer configurado como de costumbre, registró un proxy y un puerto, pero IExplorer se niega a conectarse (en consecuencia, la capacidad de activar y recibir actualizaciones cae). Al inicio, se solicita un nombre de usuario y una contraseña, pero al final aparece una página con el siguiente mensaje:
==============================
ERROR: acceso a caché denegado.
Se ha producido el siguiente error:
Lo sentimos, no puedes solicitar:
http://go.microsoft.com/fwlink/? de este caché hasta que se autentique.
Para hacer esto, necesita Netscape versión 2.0 o superior, o Microsoft explorador de Internet 3.0 o navegador compatible con HTTP/1.1. Póngase en contacto con el administrador del caché si tiene problemas con la autenticación o cambie su contraseña predeterminada.
FireFox no tiene este problema.. Especifiqué un proxy en la configuración, ingresé mi nombre de usuario y contraseña, y aquí estoy, escribiendo esta carta.
En XP y Vista todo está bien también .
Puse los siguientes ensamblajes 7100 (rus), 7201, ahora cuesta 7231 (rus), la situación no cambia.
La pregunta es, ¿qué y dónde torcer?
Muchos administradores de sistemas enfrentan el problema de restringir el acceso de los usuarios a ciertos recursos de Internet. En la mayoría de los casos, el filtrado de contenido complejo y que requiere muchos recursos no es necesario, las listas de URL son suficientes. Es muy posible implementar dicho método utilizando el servidor proxy squid sin involucrar software de terceros.
El método de listas "negras" y "blancas" es ideal para restringir el acceso a recursos cuyas direcciones se conocen de antemano, pero que por alguna razón no son deseables, por ejemplo medios de comunicación social. En comparación con el filtrado de contenido, este método tiene muchas desventajas, pero por otro lado, es mucho más fácil de implementar y requiere muchos menos recursos informáticos.
Eficiencia este método debe considerarse desde el punto de vista de la tarea, por lo que si desea bloquear las redes sociales para los empleados y una serie de recursos de entretenimiento en los que pasan la mayor parte del tiempo, filtrar por listas de URL puede resolver completamente este problema. Al mismo tiempo, dicho filtrado será ineficaz si necesita restringir el acceso a cualquier recurso de un determinado contenido.
En lo que sigue, supondremos que el lector tiene las habilidades iniciales administración de linux. Además, recuerde que todos los comandos a continuación deben ejecutarse como superusuario.
En primer lugar, vamos a crear un archivo de lista. Se puede ubicar en cualquier lugar, pero lo lógico será ubicarlo en el directorio de configuración de squid - /etc/calamar(o /etc/calamar3 si estás usando squid3)
Toque /etc/calamar/lista negra
y empieza a llenarlo. Al especificar una URL, debe usar la sintaxis RegExp, no nos detendremos en este tema en detalle, ya que esto está más allá del alcance del artículo, puede leer más sobre las reglas RegExp. Por ejemplo, bloqueemos las redes sociales populares:
Vk\.com
odnoklassniki\.ru
Tenga en cuenta que el punto en RegExp es un carácter de servicio y, por lo tanto, debe escaparse con el carácter \ (barra invertida).
EN archivo de configuración calamar ( /etc/calamar/calamar.conf) cree una lista de ACL que incluya hosts o usuarios para los que se realizará el filtrado.
Acl url_filtred src 10.0.0.100-10.0.0.199
En nuestro caso, el filtrado está habilitado para todos los hosts en el rango de direcciones 10.0.0.100-199, es decir filtraremos Internet solo para un determinado grupo de usuarios.
Luego incluiremos nuestra lista:
Lista negra ACL url_regex -i "/etc/squid/blacklist"
El modificador -i indica que la lista no distingue entre mayúsculas y minúsculas.
Ahora vamos a la sección de reglas y antes de la regla
http_access permitir red local
Http_access denegar lista negra url_filtred
Una vez más, nos gustaría llamar su atención sobre el hecho de que todas las reglas en squid se procesan secuencialmente, hasta la primera aparición, por lo que si colocamos más de regla general antes de uno más privado, no funcionará. Lo mismo es cierto para las reglas superpuestas: la primera funcionará.
Guarde los cambios y reinicie squid:
Servicio de reinicio de calamar
Intentemos visitar un sitio de la lista, si todo se hace correctamente, verá un mensaje de calamar sobre el acceso denegado a este recurso.
La razón para publicar este artículo es la siguiente: muy a menudo en los foros veo cómo TC da ejemplos de sus configuraciones con una mezcolanza monstruosa directivas acl y http_access, especialmente en temas relacionados con problemas de acceso a calamar. Al configurar cualquier sistema, trato de adherirme a algún tipo de orden lógico. Hoy trataré de transmitirte lo que orden de acceso http_ Sigo.
La idea principal está en la frase tomada del manual de squid para http_access:
Si ninguna de las líneas de "acceso" provoca una coincidencia, el valor predeterminado es el opuesto de la última línea de la lista. Si la última línea fue denegar, el valor predeterminado es permitir. Por el contrario, si se permite la última línea, el valor predeterminado será denegar. Por estas razones, es una buena idea tener una entrada de "negar todo" al final de sus listas de acceso para evitar posibles confusiones.
Literalmente lo siguiente:
Si no se encuentra la regla de "acceso", se aplicará por defecto la regla opuesta a la última de la lista. Si la última regla es denegar, se aplicará permitir de forma predeterminada. Por el contrario, si se permite la última línea, el valor predeterminado es denegar. Por lo tanto, es una buena idea tener una regla de "negar todo" al final de su lista de reglas para evitar posibles malentendidos.
Ya he cubierto algunos consejos y reglas en el artículo. Ahora intentaré transmitir mi visión. orden acl y http_access. De hecho, orden de las directivas acl absolutamente no importa. Lo principal que acl se definieron ANTES de las reglas de http_access(No encontré confirmación de esto en los manuales, pero tuve algunos problemas de acceso al colocar acl después de http_access). Intento agrupar acl por los mismos tipos.
Exactamente orden de colocación de las directivas http_access determina si el cliente accederá al caché o no. El algoritmo de procesamiento de solicitudes de caché es el siguiente:
Estos son los básicos de los básicos. Pero hay algunos matices revelados durante la operación.
Sabemos que hay acls que usan external . U otros módulos (por ejemplo, dominio_src Y srcdom_regex que requieren resolución). Se puede concluir teóricamente que acl data puede ser algo más lento que acl src o dst o similar. De acuerdo con el wiki, los desarrolladores dividen el acl rápido/lento en los siguientes grupos (a partir de squid 3.1.0.7):
En consecuencia, si especificamos primero las reglas de prohibición, especialmente si son "rápidas" (por ejemplo, tales
Http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports
) entonces funcionan muy rápido, reduciendo la carga debido a que llegan menos solicitudes a las reglas que usan autenticación, las que realmente lo necesitan. Por lo tanto, intente colocar las reglas de denegación de http_access usando acl sin módulos externos lo más alto posible, luego coloque las reglas de permiso. Bueno, lo último no olvide especificar deny all (para evitar posibles confusiones).
Si todavía hay algunos problemas al vincular la directiva http_access y el usuario deseado no obtiene acceso, puede intentar usar el . Ejemplo:
Opciones de depuración TODAS, 1 33,2
Después de reconfigurar squid, cache.log comenzará a contener mensajes de permiso/denegación de acceso para cada sesión y el nombre de ACL, según el acceso otorgado o no. Si esta información no es suficiente, puede incluir más detalles:
Opciones_depuración TODAS,1 33,2 28,9
Resumen
Eso es todo por hoy Hoy consideramos el tema de configurar acl y http_access. La lógica para procesar las directivas http_access y se familiarizó con algunas recomendaciones. Quizás alguno de los lectores me corrija, por lo que le estaré muy agradecido. Además de este artículo, le recomiendo que lea http://wiki.squid-cache.org/SquidFaq/SquidAcl.
Atentamente, Mc.Sim!
