Руководство администратора Linux по безопасности


SQUID - часть 2


tcp_incoming_address 10.0.0.1 tcp_outgoing_address 5.6.7.8 udp_incoming_address 10.0.0.1 udp_outgoing_address 5.6.7.8

Это предотвратит от использования Squid, чтобы исследовать внутреннюю сеть.

Но иногда используют Squid для того, чтобы внутренние www-серверы были досьупны из Internet. Например, есть IIS 4.0 www-сервер, который надо выпустить в Internet, но не хочется подключать его напрямую. Используя Squid Вы может предоставлять доступ к нему очень хорошим способом. В этом примере 1.2.3.4 произвольная машина в Internet, 5.6.7.8 внешний IP-адрес Squid-сервера, 10.0.0.1 внутренний IP-адрес и 10.0.0.2 www-сервер во внутренней сети, управляемый IIS 4.0.

Чтобы использовать Squid как ускоритель просто установите ? http_port? в 80 в файле squid.conf:

http_port 3128

Затем установите IP-адреса по-другому:

tcp_incoming_address 5.6.7.8 tcp_outgoing_address 10.0.0.2 udp_incoming_address 5.6.7.8 udp_outgoing_address 10.0.0.2

В заключение Вы должны определить машину, для которой Вы используете ускорение:

httpd_accel_host 10.0.0.2 httpd_accel_port 80

Есть подробное Squid FAQ

http://squid.nlanr.net/Squid/FAQ/FAQ.html.

ACL работает с помощью задания и прменения правил, например:

acl internalnet 10.0.0.0/255.0.0.0 http_access allow internalnet http_access deny all

Здесь определяется "internalnet" для чего-то с адресом 10.0.0.0/255.255.255.0, позволяя этому доступ к http кэширование порта, и запрещая его всем остальным. Не забудьте, что правила читаются в заданном порядке, точно так же как ipfwadm, позволяя Вам делать их очень сложными (и наделать ошибок, если Вы неосторожны). Всегда размещайте общие правила перед специальными. Лучше запретить лишнее. О лишнем запрете Вы узнаете быстрее (обычно от разьяреных пользователей), чем о лишнем разрешении (обычно когда файлы из внутренней сети появятся в Internet). Файл настройки Squid (squid.conf) хорошо прокомментирован и имеет подробную man-страницу.

Другой полезный пример блокирует ads (баннеры и прочие веселые гадости, комх в последнее время развелось немерено), для этого добавьте в squid.conf:




- Начало -  - Назад -  - Вперед -