02.03.2023 05:13
itzme 8 3100 Источник

Настройка файла конфигурации Squid

Произведем базовую настройку, открываем /etc/squid/squid.conf

# Аутентификация Kerberos

auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s proxy_k@YOURDOMAIN.RU

auth_param negotiate children 160 startup=0 idle=1

auth_param negotiate keep_alive off

 

# Интерфейсы прокси сервера

http_port 192.168.10.100:3128

http_port 127.0.0.1:3128

 

# В ACL добавляем

acl auth proxy_auth REQUIRED # Доступ всем прошедшим авторизацию

acl localnet src 192.168.10.1/24 # Подсеть компании

 

# HTTP Access (Доступ всем прошедшим аутентификацию)

http_access allow auth

 

# Cache (Настройки кэша)

cache_mem 1024 MB

maximum_object_size_in_memory 512 KB

cache_dir ufs /var/spool/squid 2048 16 256

maximum_object_size 4 MB

access_log daemon:/var/log/squid/access.log squid

logfile_rotate 31

На этом этапе прокси уже будет работать, но никаких настроек по доступам и скоростям мы не произвели. Сохраняем файл squid.conf.

Выполняем команду squid -k reconfigure. Проверяем.

На компьютере из сети компании в настройках прокси сервера указываем адрес нашего сервера:

HTTP/proxy_comp@yourdomain.com

Порт: 3128

Заходим в браузер на виндовой машине и проверяем доступы к сайтам.

Смотрим логи авторизации в /var/log/squid/cache.log

И логи доступов к сайтам в /var/log/squid/access.log

Часть 3. https://habr.com/ru/post/720160/

Комментарии (8)


  1. shalamberidze
    00.00.0000 00:00
    #25283664
    +3

    Ностальгия :) Не знал что его еше активно используют


  1. martin74ua
    00.00.0000 00:00
    #25284476

    Попридираюсь )
    squid -k reconfigurate
    все таки squid -k reconfigure


    1. itzme Автор
      00.00.0000 00:00
      #25284916

      Спасибо, поправил)


  1. MountainGoat
    00.00.0000 00:00
    #25285092
    +3

    Поскольку из-за https даже на статический контент теперь прокси не может ничего кешировать, то сейчас по сути вся эта конструкция для тех, кто ниасилил комплексную настройку сети на gateway. Управление доступом, распределение нагрузки, логи - это всё можно делать без прокси, и, наверное, даже нужно.


    1. pae174
      00.00.0000 00:00
      #25286254
      +1

      Squid может работать и с HTTPS, для этого есть ssl_bump, но придётся в браузере пользователя импортировать самоподписанный сертификат.

      https://habr.com/ru/post/168515/


      1. zlo1
        00.00.0000 00:00
        #25289076

        Squid может перенаправлять запросы на сторонние HTTPS прокси без валидации ?


  1. nagibat0r
    00.00.0000 00:00
    #25291332

    Какой же это боевой Squid?) Какой смысл в кешировании, если у Вас оно не настроено толком?) Почему Вы сделали maximum_object_size таким?) Чтобы не кешировать объекты больше 4мб? А http кешировать без https тоже смысла не имеет, ибо сейчас ничтожная доля ресурсов, которые работают исключительно по http. cache_dir ufs ставить - это вообще не для продакшена. refresh_pattern почему не настроили? А где storeid? А дедубликатор?


  1. nagibat0r
    00.00.0000 00:00
    #25291610

    И логи доступов к сайтам

    Рекомендую ScreenSquid: https://sourceforge.net/projects/screen-squid/