Есть масса задач, для решения которых применяют прокси-серверы. Чаще всего это организация доступа в Интернет и кэширование трафика. Для этой цели выполним простую настройку прозрачного прокси-сервера на SQUID.
Для установки SQUID выполним в терминале:
sudo apt-get install squid
Перейдём в каталог /etc/squid3
Переименуем оригинальный конфигурационный файл squid.conf в squid.conf.original выполнив команду в терминале:
sudo mv squid.conf squid.conf.original
Удалим из оригинального конфигурационного файла все комментарии и пустые строки, сохранив результат в /tmp/squid.tmp. Для этого в терминале выполним:
sudo grep -v '^#' squid.conf.original | sed '/^$/d' > /tmp/squid.tmp
Затем переместим полученный файл /tmp/squid.tmp в /etc/squid3/squid.conf командой в терминале:
sudo mv /tmp/squid.tmp /etc/squid3/squid.conf
Внесём изменения в файл настроек прокси-сервера, открыв его в редакторе nano командой в терминале:
sudo nano /etc/squid3/squid.conf
Разрешаем доступ только из своей сети добавив строку в файл (укажите IP-адреса своей сети):
acl localnet src 172.16.8.0/21
Разрешаем http-доступ для localnet добавив в файл строку:
http_access allow localnet
Указываем порт прокси-сервера - 3128, IP-адрес интерфейса на котором будет работать прокси-сервер (в моём случае - 172.16.15.1) и режим "прозрачный прокси" исправив строку в файле на:
http_port 172.16.15.1:3128 transparent
Вписываем в файл директорию кэша и его параметры:
cache_dir ufs /var/spool/squid3 4096 32 256
Указываем минимальный размер кэшируемого файла (кэширование слишком мелких файлов сильно нагружает дисковую подсистему прокси-сервера):
minimum_object_size 2 KB
Указываем максимальный размер кэшируемого файла (кэширование очень больших файлов требует много места малоэффективно):
maximum_object_size 65536 KB
Для того, чтобы сделать наш прокси анонимным (прятать внутренние IP-адреса) - добавляем строки в файл:
via off
forwarded_for delete
Сохраняем изменения в файле нажав <Ctrl> + <o> и выходим нажав <Ctrl> + <x>.
Остановим прокси-сервер командой в терминале:
sudo service squid3 stop
Подготовим директорию кэша выполнив в терминале:
sudo squid3 -z
Теперь запустим прокси-сервер командой:
sudo service squid3 start
Описываемая в этой статье схема подразумевает работу прокси-сервера в "прозрачном" режиме. Для этого сервер на котором устанавливается прокси-сервер SQUID должен быть шлюзом по-умолчанию для компьютеров локальной сети, а настройки прокси у пользователей указывать не требуется. Такая простота развёртывания обеспечивается перехватом обращений на порт 80 (http) и принудительным перенаправлением их на порт прокси-сервера - 3128. Делается это средствами IPTABLES командой в терминале:
sudo iptables -t nat -A PREROUTING ! -d 172.16.8.0/21 -i eth1 -p tcp -m multiport --dport 80 -j REDIRECT --to-port 3128
Данное правило для таблицы NAT обеспечивает перенаправление пакетов TCP, пришедших на порт 80 сетевого интерфейса ETH1 (но не в сторону сети 172.16.8.0/21 - не будем кэшировать трафик в локальной сети) на порт 3128.
Настройки IPTABLES в данной статье подробно не рассматриваются, поэтому способ включения приведённого выше правила при загрузке сервера необходимо выбрать самостоятельно (это может быть команда в /etc/rc.local или отдельный скрипт на bash, либо правило прописанное средствами webmin).
ВНИМАНИЕ! ЕСТЬ ОГРАНИЧЕНИЯ!
Схема работы SQUID в режиме прозрачного прокси удобна скоростью развёртывания и отсутствием необходимости настройки у всех потребителей (например, при подключении к сети оборудования, где не предусмотрена настройка работы через прокси - это может быть хорошим решением).
Но есть и ряд ограничений:
- нет возможности применять какую-либо авторизацию (ни по логину/паролю, ни по учётным данным домена Windows);
- работает только HTTP (порт 80), а для работы других протоколов (https, ftp и т.д.) необходимо использовать NAT;
- учёт трафика возможен только для HTTP (порт 80) и только по IP-адресам потребителей.
Если Вам необходим классический непрозрачный прокси-сервер - не прописывайте привило в IPTABLES, а в файле настроек строка с IP и портом прокси должна быть указана без transparent:
http_port 172.16.15.1:3128
При такой схеме настройки прокси нужно указывать у всех потребителей.
Комментариев нет:
Отправить комментарий