SQUID
Forrás:http://www.squid-cache.org/
http://www.szabilinux.hu/squid/http://www.lok.hu
2
SQUID
● Mi a Squid?● Proxy: kliens kérést továbbít. Lehet transzparens →
átlátszó proxy● Cache: átmeneti tároló, gyorsítás céljából● Tartalomszűrő: nem kívánatos tartalmak szűrése
● HTTP-alapú proxy: HTTP-n keresztül kommunikál a munkaállomás a proxy-val.
● Mi a cél?● http/https/ftp hozzáférés, szabályozás, cache
3
SQUID
● A Squid telepítése● Debian alapokon:
● apt install squid # squid3● apt-get install squid # squid3
● RedHat alapokon:● yum install squid● dnf install squid
● Dokumentáció:http://www.squid-cache.org/Doc/
4
SQUID
● A Squid beállításairól – hasznos lehet:* Tegyük külön partícióra/meghajtóra a cache könyvtárat és használjunk 'noatime' opciót.
* Ha lehet, tartsuk alacsonyan a diszk foglaltságát és használjunk olyan fájlrendszert, amely inkább a kis fájlok kezelésében hatékony. (Naplózó fájlrendszerek esetén a napló akár ki is kapcsolható.)
* Nagyobb forgalom esetén több diszkre érdemes szétosztani a forgalmat. Squid esetén több 'cache_dir'-t is megadhatunk és a partíciók között a beállított terület függvényében osztja szét a forgalmat, tehát nincs szükség RAID0 támogatásra.
* A cache által használható memória beállítására (cache_mem) érdemes a Squid-nek szánt memóriaterület harmadát megadni. Ugyanis a szoftver bizonyos esetekben (és ez főleg csúcsidőben fordul elő) jóval túllépheti a megadott mértéket.
* A naplófájlokat érdemes külön partícióra, diszkre tenni. A naplózás mértékét csökkenteni lehet, és akár ki is kapcsolhatjuk, ha egyáltalán nincs szükségünk rá.
5
SQUID
● A Squid konfigurálása, beállítási opciók:● Konfigurációs állomány: /etc/squid/squid.conf● Milyen IP címen, porton figyeljen:
http_port 10.0.0.1:8080● A cache memória mérete:
cache_mem 32 MB● Objektumok maximális mérete, amelyeket tárol:
maximum_object_size 120000 KB● A cache helye, mérete (MB), könyvtárak és azon
belüli könyvtárak száma:cache_dir diskd /var/spool/squid 14000 256 256
6
SQUID
● A Squid konfigurálása, beállítási opciók:● ACL → Access Control List: hozzáférés vezérlés lista
● acl <acl_name> típus paraméter
● ACL típus lehet:● dst : cél IP cím● dst_domain : cél domain● url_regex -i : szabályos kifejezés url-re● urlpath_regex : szabályos kifejezés urlpath-ra
(gépnév utáni rész!)
● Működés alapja: ACL-ek definiálása, majd az ACL alapján szabályozás: enged, tilt. Az első illeszkedés után már nem vizsgálja a többi szabályt.
7
SQUID
● A Squid konfigurálása, beállítási opciók:Példák:● Minden olyan forrás IP, aminek az értéke bármely IP:
acl all src 0.0.0.0/0.0.0.0● „helyi” ACL értéke azon forrás IP címek, melyek a
10.0.0.0 hálózatban vannak:acl helyi src 10.0.0.0/255.0.0.0
● „kiterjesztések” értéke azon reguláris kifejezésekkel egyenlő, melyek illeszkednek arra a mintára, ami fel van sorolva. A hivatkozások végére illeszti a mintákat ( pl: www.lok.hu/akarmi/video.avi ):acl kiterjesztesek url_regex -i \.mp3$ \.vqf$ \.avi$ \.mpeg$ \.mpe$ \.mpg$ \.qt$ \.ram$ \.rm$ \.raw$ \.wav$ \.mov$ \.wmv$ \.vma$ \.divx$ \.asf$ \.au$ \.asx$
8
SQUID
● A Squid konfigurálása, beállítási opciók:Példák II.:● „webszerver” azon cél domain, ami fel van sorolva:
acl webszerver dst www.bercsenyi-bp.sulinet.hu● „kitiltott” azon cél domének, amik fel vannak sorolva:
acl kitiltott dstdomain .honfoglalo.hu .mellesleg.hu● „engedett_user” azon felhasználói nevek, amik fel
vannak sorolva:acl engedett_user proxy_auth username muszashi eszter edit gyuri bumara
● „szabalyozott” azon forrás IP-k, melyek a megadott fájlban vannak:acl szabalyzott src "/etc/squid/szabalyok"
9
SQUID
● A Squid konfigurálása, beállítási opciók:Példák III.:● „SSL_ports” értéke a 443 és az 563-as port:
acl SSL_ports port 443 563● „ido” értéke idő. A hét minden napján a 7:30-14:05
intervallumra illik. (napok angolul):acl ido time SMTWHFA 07:30-14:05
● A feldolgozás sorrendben történik. Egyezés esetén végrehajtja a szabályt és a feldolgozás véget ér. Ezért a végére érdemes tenni, minden egyéb tiltása:http_access deny all
10
SQUID
● A Squid konfigurálása, beállítási opciók:Példák IV. (szabályok):● Tiltjuk a hozzáférést, kivéve a Safe_port -ban
felsorolt portokat:http_access deny !Safe_ports
● Tiltjuk a „Connect” acl értékének megfelelő értékeket, kivéve ha az egyezik az SSL_ports vagy az egroup_ports értékével:http_access deny CONNECT !SSL_ports !egroup_ports
● Mindent engedek, ami „localhost”-ban van:http_access allow localhost
11
SQUID
● A Squid konfigurálása, beállítási opciók:Példák V. (szabályok):● engedem a „kiterjesztések” acl-t a megengedett
felhasználóknak (engedett_user):http_access allow kiterjesztesek engedett_user
● Tiltjuk a hozzáférést, kivéve a Safe_port -ban felsorolt portokat:http_access deny !Safe_ports
● Tiltjuk a „Connect” acl értékének megfelelő értékeket, kivéve ha az egyezik az SSL_ports vagy az egroup_ports értékével:http_access deny CONNECT !SSL_ports !egroup_ports
12
SQUID
● A Squid konfigurálása, beállítási opciók:Példák VI. (szabályok):● engedem a „kiterjesztések” acl-t a megengedett
felhasználóknak (engedett_user):http_access allow kiterjesztesek engedett_user
● Tiltom a „szabalyozott”-ban szereplő értékeket:http_access deny szabalyzott
● „kiterjesztések”-ben szereplő értékekre egyező értékek tiltva, „ido” acl-ben szereplő ideig:http_access deny kiterjesztesek ido
13
SQUID
● A Squid konfigurálása, beállítási opciók:Kiegészítő beállítások:● Magyar nyelvű hibaüzenetek (útvonal változó!):
error_directory /usr/share/squid/errors/Hungarian● Személyre szabott hibaüzenetek:
deny_info HIBAUZENET szabalyzott
14
SQUID
● A Squid konfigurálása, beállítási opciók:Személyre szabott hibaüzenet:
15
SQUID
● A Squid konfigurálása, beállítási opciók:Kiegészítők:
● SquidGuard: finomhangolható tartalomszűrő● Dansgurdian: finomhangolható tartalomszűrő
● Jelszavas elérés a htpasswd segítségével (lsd. proxy_auth)
16
SQUID
● A Squid konfigurálása, beállítási opciók:Működő konfiguráció (I.):
17
SQUID
● A Squid konfigurálása, beállítási opciók:Működő konfiguráció (II.):
18
SQUID
● A Squid konfigurálása, beállítási opciók:Működő konfiguráció (III.):
19
SQUID
● A Squid konfigurálása, beállítási opciók:Működő konfiguráció (IV.):
20
SQUID
● A Squid konfigurálása, beállítási opciók:Működő konfiguráció (V.):
21
SQUID
● A Squid konfigurálása, beállítási opciók:Működő konfiguráció (külső fájlok):
22
SQUID
Köszönöm a figyelmet!