Ad əlavə et acl girişi rədd edildi squid deny. Squid - siyahılar üzrə URL filtrasiyasını konfiqurasiya edin. Keşləmə vasitəsilə şəbəkə resurslarının optimallaşdırılması

Çoxlarından əvvəl sistem administratorları Müəyyən internet resurslarına istifadəçi girişinin məhdudlaşdırılması sualı yaranır. Əksər hallarda, resurs tutumlu və mürəkkəb məzmun filtrasiyası lazım deyil, URL siyahıları kifayət qədərdir. Üçüncü tərəf proqram təminatını cəlb etmədən squid proxy serverindən istifadə edərək belə bir üsulu həyata keçirmək olduqca mümkündür.

"Qara" və "ağ" siyahılar üsulu, ünvanları əvvəlcədən məlum olan, lakin nədənsə arzuolunmaz olan resurslara girişi məhdudlaşdırmaq üçün idealdır, məsələn, sosial Mediya. Məzmun filtrasiyası ilə müqayisədə bu metodun bir çox çatışmazlıqları var, lakin digər tərəfdən onu həyata keçirmək çox asandır və daha az hesablama resursları tələb edir.

Səmərəlilik bu üsul vəzifə baxımından nəzərə alınmalıdır, buna görə də işçilər üçün sosial şəbəkələri və onların ən çox vaxt sərf etdikləri bir sıra əyləncə resurslarını bloklamaq istəyirsinizsə, URL siyahıları ilə filtrləmə bu problemi tamamilə həll edə bilər. Eyni zamanda, müəyyən məzmunun hər hansı resursuna girişi məhdudlaşdırmaq lazımdırsa, bu cür filtrləmə təsirsiz olacaq.

Bundan sonra oxucunun ilkin bacarıqlara malik olduğunu güman edəcəyik Linux administrasiyası. Həmçinin unutmayın ki, aşağıdakı əmrlərin hamısı superuser kimi işlədilməlidir.

Əvvəlcə siyahı faylı yaradaq. O, hər yerdə yerləşdirilə bilər, lakin onu squid konfiqurasiya qovluğuna yerləşdirmək məntiqli olacaq - /etc/squid(və ya /etc/squid3 squid3 istifadə edirsinizsə)

/etc/squid/qara siyahıya toxunun

və doldurmağa başlayın. URL göstərərkən RegExp sintaksisindən istifadə etməlisiniz, biz bu məsələyə ətraflı toxunmayacağıq, çünki bu məqalənin əhatə dairəsindən kənarda olduğundan RegExp qaydaları haqqında daha çox oxuya bilərsiniz. Məsələn, məşhur sosial şəbəkələri bloklayaq:

Vk\.com
odnoklassniki\.ru

Nəzərə alın ki, RegExp-də nöqtə xidmət simvoludur və buna görə də simvoldan qaçmaq lazımdır \ (əks kəsik).

squid konfiqurasiya faylında ( /etc/squid/squid.conf) filtrləmə aparılacaq hostları və ya istifadəçiləri ehtiva edən acl siyahısı yaradın.

Acl url_filtred src 10.0.0.100-10.0.0.199

Bizim vəziyyətimizdə 10.0.0.100-199 ünvan diapazonunda bütün hostlar üçün filtrləmə aktivləşdirilib, yəni. biz interneti yalnız müəyyən bir istifadəçi qrupu üçün filtrləyəcəyik.

Sonra siyahımızı daxil edəcəyik:

Acl qara siyahı url_regex -i "/etc/squid/blacklist"

-i açarı siyahının böyük hərflərə həssas olmadığını göstərir.

İndi keçək qaydalar bölməsinə və qaydadan əvvəl

http_access yerli şəbəkəyə icazə verir

Http_access url_filtred qara siyahını rədd edir

Bir daha diqqətinizi ona yönəltmək istərdik ki, kalamardakı bütün qaydalar ardıcıl olaraq, ilk baş verənə qədər işlənir, ona görə də biz daha çox yerləşdirsək ümumi qayda daha özəl birindən əvvəl işləməyəcək. Eyni şey üst-üstə düşən qaydalara da aiddir - birincisi işləyəcək.

Dəyişiklikləri yadda saxlayın və squid-i yenidən başladın:

Xidmət squid yenidən başladın

Siyahıdan bir sayta baş çəkməyə çalışaq, əgər hər şey düzgün aparılıbsa, bu resursa girişin rədd edildiyi barədə squid mesajı görəcəksiniz.

Squid effektiv proxy server yaratmaq və idarə etmək üçün proqramçılar, sistem administratorları və kompüter şəbəkəsi həvəskarları üçün ümumi bir həlldir. Proqram çarpaz platforma olduğu üçün xüsusilə cəlbedicidir. Yəni siz onu həm Linux-da, həm Unix arxitekturasına uyğun gələn digər əməliyyat sistemlərində, həm də Windows-da quraşdırıb işlədə bilərsiniz. İmkanlar bu alət- ən görkəmli. Onlardan necə istifadə etmək olar? Xüsusi OS-dən asılı olaraq proqramı qurmaqda hər hansı xüsusiyyətlər varmı?

Squid haqqında ümumi məlumat

Squid nədir? Bu ad, veb müştəriləri ilə ən çox istifadə olunan yüksək performanslı proksi server üçün tanınır. Bununla siz bir neçə istifadəçi üçün eyni vaxtda İnternetə çıxışı təşkil edə bilərsiniz. Squid-in başqa bir diqqətəlayiq xüsusiyyəti müxtəlif sorğuları keş edə bilməsidir. Bu, faylları daha sürətli əldə etməyə imkan verir, çünki onları İnternetdən yenidən yükləməyə ehtiyac yoxdur. Squid proksi serveri həmçinin internet kanalının sürətini faktiki yükə görə tənzimləyə bilər.

Squid Unix platformalarında istifadə üçün uyğunlaşdırılmışdır. Bununla belə, Windows və bir çox digər məşhur əməliyyat sistemləri üçün Squid versiyaları var. Bu proqram, Unix konsepsiyasına əsaslanan bir çox əməliyyat sistemləri kimi pulsuzdur. FTP, SSL-i dəstəkləyir, fayllara giriş üzərində çevik nəzarəti konfiqurasiya etməyə imkan verir. Squid həmçinin DNS sorğularını keşləyir. Eyni zamanda, şəffaf Squid proxy-ni də konfiqurasiya edə bilərsiniz, yəni server istifadəçinin Şəbəkəyə birbaşa deyil, onun vasitəsilə daxil olduğunu bilmədiyi bir formatda işləyir. Beləliklə, Squid sistem administratorunun və ya rabitə xidməti provayderinin əlində güclü bir vasitədir.

Kalamarın Praktik Faydalılığı

Squid nə vaxt ən faydalı ola bilər? Məsələn, bu, bir neçə kompüteri şəbəkəyə effektiv şəkildə inteqrasiya etmək və onlara İnternetə çıxışı təmin etmək lazım olan bir vəzifə ola bilər. Bu vəziyyətdə bir proksi serverdən istifadənin məqsədəuyğunluğu ondan ibarətdir ki, onunla müəyyən bir kompüterin brauzeri arasında sorğular istifadəçinin birbaşa İnternetlə qarşılıqlı əlaqəsi vəziyyətindən daha sürətli həyata keçirilir. Həmçinin, Squid istifadə edərkən, brauzerin özündəki keş tamamilə söndürülə bilər. Bu xüsusiyyət istifadəçilər arasında yüksək tələbatdır.

Squid tərkibi

Sözügedən həll bir neçə komponentdən ibarətdir. Əslində bu bir paketdir proqram təminatı. Onun strukturunda serverin işə salındığı proqram, həmçinin DNS ilə işləmək üçün əlavə proqram var. Onun maraqlı xüsusiyyəti ondan ibarətdir ki, o, hər biri digərlərindən asılı olmayaraq fəaliyyət göstərən prosesləri işə salır. Bu, serverin DNS ilə qarşılıqlı əlaqəsini optimallaşdırmağa imkan verir.

Proqramın quraşdırılması

Squid quraşdırmaq adətən sadədir. Proqramı Linux-da quraşdırmaq çox asandır: sadəcə $ sudo apt-get install squid əmrini daxil edin.

Windows üçün Squid-ə gəldikdə, işlər bir az daha mürəkkəbdir. Fakt budur ki bu proqram icra edilə bilən fayllar yoxdur - Microsoft-dan OS üçün tətbiqlərin əsas elementləri.

Bununla belə, Squid-i Windows-da quraşdırmaq kifayət qədər sürətli bir işdir. Ənənəvi Windows icra sənədlərinə bir qədər yaxın olan .bat tipli faylları ehtiva edən paylama dəsti və ya müvafiq resurslarda tapmaq lazımdır. Bundan sonra onları diskdəki ayrı bir qovluğa kopyalamalısınız. Sonra Squid-i sistem xidməti kimi işə salmalısınız. Bundan sonra proqram PC brauzeri vasitəsilə proxy kimi istifadə edilə bilər. Deyə bilərik ki, bu, Squid-in quraşdırılmasını tamamlayır.

Bir proxy server paylanması demək olar ki, həmişə ehtiva edir konfiqurasiya faylı type.conf. Bu, istifadəçinin kompüterindən və birləşdirilmiş digər cihazlardan İnternetə çıxışı konfiqurasiya etmək üçün əsas vasitədir yerli şəbəkə Squid istifadə edərkən.

Nüansların təyin edilməsi

Squid-in qurulması hansı nüansları əhatə edə bilər? Windows, konfiqurasiya fayllarını redaktə etməklə proxy server ilə işin aparılacağı bir əməliyyat sistemidir.

Linux vəziyyətində, bəzi prosedurlar üçün istifadə edilə bilər. Ancaq ümumiyyətlə, bunda əməliyyat sistemi, necə ki, Squid-in konfiqurasiya edildiyi ƏS Windows-dur, squid.conf faylı ən çox istifadə olunur. O, müəyyən ifadələri (“əmrlər”) təyin edir, buna uyğun olaraq server şəbəkəyə qoşulmaları idarə edir.

Buna görə də, Squid-in necə konfiqurasiya edildiyini daha ətraflı nəzərdən keçirin. İlk addım şəbəkə istifadəçilərinin serverə daxil olmasına icazə verməkdir. Bunu etmək üçün squid.conf faylında təyin edin uyğun dəyərlər http_port və http_access-də. Girişə nəzarət siyahısı və ya ACL yaratmaq da faydalıdır. http_port parametrləri bizim üçün vacibdir, çünki məqsədimiz Squid-i yalnız müəyyən bir kompüter qrupuna xidmət etmək üçün hazırlamaqdır. Öz növbəsində, http_access kimi bir parametr vacibdir, çünki onunla müəyyən ünvanlardan tələb olunan xüsusi Şəbəkə resurslarına çıxışı tənzimləyə biləcəyik (digər meyarlar da mümkündür - protokollar, portlar və ACL-də olan digər xüsusiyyətlər).

Lazımi parametrləri necə qurmaq olar? Bunu etmək çox asandır.

Tutaq ki, biz 192.168.0.1-dən başlayan və 192.168.0.254-də bitən ünvan diapazonu ilə kompüter şəbəkəsi yaratdıq. Bu halda, ACL parametrlərində təyin etməlisiniz növbəti parametr: src 192.168.0.0/24. Əgər portu konfiqurasiya etməliyiksə, onda konfiqurasiya faylında http_port 192.168.0.1 (yalnız düzgün IP ünvanını göstərin) və port nömrəsini daxil etməliyik.

Squid ilə yaradılmış proksiyə girişi məhdudlaşdırmaq üçün (yerli şəbəkəyə daxil olan kompüterlər nəzərə alınmadan) http_access-ə dəyişiklik etməlisiniz. Bu, sadəcə olaraq edilir - ifadələrin köməyi ilə ("əmrlər" - biz onları adlandırmağa razıyıq ki, ciddi şəkildə desək, mətndə belə deyillər, lakin terminal xəttində onlara tamamilə uyğun olacaqlar) LocalNet və hamısını inkar etmək. Birinci parametri ikincinin üstündə yerləşdirmək çox vacibdir, çünki Squid onları bir-bir tanıyır.

ACL ilə işləmək: saytlara girişi rədd etmək

Əslində, giriş parametrləri Squid-də çox geniş diapazonda mümkündür. Lokal şəbəkələrin idarə edilməsi təcrübəsində faydalı olan nümunələri nəzərdən keçirin.

src elementinə yüksək tələbat var. Bununla, proxy serverə sorğu göndərən kompüterin IP ünvanını düzəldə bilərsiniz. src elementini http_access ilə birləşdirərək, məsələn, müəyyən bir istifadəçi üçün şəbəkəyə girişə icazə verə bilərsiniz, lakin hər kəs üçün oxşar hərəkətləri qadağan edə bilərsiniz. Bu çox sadə edilir.

ACL (istifadəçi qrupunun adı) src (tənzimləmələrə daxil olan IP ünvanlarının intervalı) yazırıq. Aşağıdakı sətir ACL (müəyyən bir kompüterin adı) src (müvafiq kompüterin IP ünvanı)-dir. Bundan sonra biz http_access ilə işləyirik. Biz http_access icazə əmrlərindən istifadə edərək bir qrup istifadəçi və fərdi kompüter üçün şəbəkəyə daxil olmaq icazəsini təyin etdik. Aşağıdakı sətirdə, şəbəkədəki qalan kompüterlərə girişin hamısını rədd etmək əmri ilə bağlandığını düzəldirik.

Squid proxy-nin qurulması həmçinin girişə nəzarət sistemi tərəfindən təmin edilən digər faydalı elementin istifadəsini nəzərdə tutur - dst. Proksi istifadəçinin qoşulmaq istədiyi serverin IP ünvanını düzəltməyə imkan verir.

Sözügedən elementin köməyi ilə, məsələn, müəyyən bir alt şəbəkəyə girişi məhdudlaşdıra bilərik. Bunu etmək üçün ACL əmrindən (şəbəkə təyinatı) dst (alt şəbəkənin IP ünvanı) istifadə edə bilərsiniz, aşağıdakı sətir http_access inkar edir (şəbəkədə müəyyən bir kompüterin adı).

Digər faydalı element dstdomain-dir. Bu, istifadəçinin qoşulmaq istədiyi domeni düzəltməyə imkan verəcək. Sözügedən elementdən istifadə edərək, müəyyən bir istifadəçinin, məsələn, xarici İnternet resurslarına girişini məhdudlaşdıra bilərik. Bunu etmək üçün əmrdən istifadə edə bilərsiniz: ACL (sayt qrupu) dstdomain (sayt ünvanları), aşağıdakı sətir http_access deny (şəbəkədə kompüter adı).

Girişə nəzarət sisteminin strukturunda digər diqqətəlayiq elementlər də var. Onların arasında SitesRegex də var. İstifadə etməklə verilmiş ifadə istifadəçinin müəyyən bir sözü ehtiva edən İnternet domenlərinə, məsələn, poçta girişini məhdudlaşdıra bilərsiniz (əgər vəzifə şirkət işçilərinin üçüncü tərəfin poçt serverlərinə daxil olmasını qadağan etməkdirsə). Bunun üçün siz ACL SitesRegexMail dstdom_regex mail, sonra ACL SitesRegexComNet dstdom_regex \.com$ əmrindən istifadə edə bilərsiniz (bu o deməkdir ki, müvafiq domen növü üçün giriş rədd ediləcək). Aşağıdakı sətir http_accesss inkar edir və xaricə daxil olan kompüterləri göstərir poçt serverləri arzuolunmaz.

Bəzi ifadələr -i seçimindən istifadə edə bilər. Ondan, həmçinin veb ünvanları üçün şablon yaratmaq üçün nəzərdə tutulmuş, məsələn, url_regex kimi bir elementdən istifadə edərək, verilmiş uzantılı fayllara girişi rədd edə bilərik.

Məsələn, NoSwfFromMail url_regex -i mail.*\.swf$ ACL əmrindən istifadə edərək biz Flash filmləri olan poçt saytlarına daxil olmaq imkanına nəzarət edirik. Giriş alqoritmlərinə daxil etməyə ehtiyac yoxdursa Domen adı saytda urlpath_regex ifadəsindən istifadə edə bilərsiniz. Məsələn, ACL media urlpath_regex -i \.wma$ \.mp3$ əmri şəklində.

Proqramlara girişi rədd edin

Squid-in konfiqurasiyası proxy server resurslarından istifadə edərkən istifadəçinin müəyyən proqramlara girişini qadağan etməyə imkan verir. Bu məqsədlə ACL əmrindən (proqram adı) portdan (port intervalı) istifadə edilə bilər, aşağıdakı sətir http_access deny all (proqram adı) dir.

Cəlbedici standartlar və protokollar

Squid-in konfiqurasiyası həm də sistem administratoruna İnternet kanalından istifadə üçün üstünlük verilən protokolu təyin etməyə imkan verir. Məsələn, müəyyən bir PC-dən olan şəxsin FTP protokolu vasitəsilə şəbəkəyə daxil olmasına ehtiyac varsa, o zaman aşağıdakı əmrdən istifadə edilə bilər: ACL ftpproto proto ftp, aşağıdakı sətir http_access deny (kompüter adı) ftpproto-dur.

Metod elementi ilə HTTP sorğusunun necə edilməsini təyin edə bilərik. Onlardan 2-si var - GET və POST, lakin bəzi hallarda birinciyə üstünlük verilir, ikinciyə deyil və əksinə. Məsələn, müəyyən bir işçinin mail.ru vasitəsilə poçta baxmaması lazım olduğu bir vəziyyət mümkündür, lakin bir şəxs göstərilən saytda xəbərləri oxumaq istəsə, işəgötürən etiraz etməz. Bunun üçün sistem inzibatçısı aşağıdakı əmrdən istifadə edə bilər: ACL sitemailru dstdomain .mail.ru, aşağıdakı xətt ACL metodpost metodu POST, sonra http_access inkar (kompüter adı) metodpost sitemailru.

Bunlar Squid konfiqurasiyasında iştirak edən nüanslardır. Ubuntu istifadə olunur, Windows və ya proxy server ilə uyğun gələn başqa bir OS - nəzərdən keçirdiyimiz tapşırığın xüsusiyyətləri istədiyiniz parametrlərümumiyyətlə hər hansı bir xüsusiyyətə malikdir proqram təminatı mühiti Squid-in işləməsi. Bu proqram təminatı ilə işləmək inanılmaz dərəcədə maraqlı prosesdir və eyni zamanda proqramı qurmaq üçün əsas alqoritmlərin məntiqi və şəffaflığına görə sadədir.

Squid konfiqurasiyasına xas olan bəzi əsas məqamlara nəzər salaq.

Quraşdırarkən nələrə diqqət etmək lazımdır?

Əsas server konfiqurasiya aləti olan squid.conf faylını tapmaqda çətinlik çəkirsinizsə, etc/squid kataloqunu yoxlamağa cəhd edə bilərsiniz.

Sözügedən faylla işləyərkən ən sadəsini istifadə etsəniz yaxşı olar mətn redaktoru: proksi serverin qurulmasına cavabdeh olan sətirlərə daxil edilməsi üçün heç bir formatlama elementinə ehtiyac yoxdur.

Bəzi hallarda, əməliyyat zamanı provayderin proksi serverini təyin etmək lazım gələ bilər. Bunun üçün cache_peer əmri var. Bunu belə daxil etməlisiniz: cache_peer (provayderin proxy server ünvanı).

Bəzi hallarda dəyəri düzəltmək faydalıdır təsadüfi giriş yaddaşı, Squid tərəfindən istifadə ediləcək. Bu cache_mem əmri ilə edilə bilər. Keşlənmiş məlumatların saxlanacağı kataloqu müəyyən etmək də faydalıdır, bu cache_dir ifadəsindən istifadə etməklə edilir. Birinci halda, bütün əmr cache_mem (baytlarda RAM miqdarı), ikincidə - cache_dir (kataloq ünvanı, disk sahəsinin meqabayt sayı) kimi görünəcəkdir. Seçim varsa, önbelleği ən yüksək performanslı disklərə yerləşdirmək məsləhətdir.

Proksi serverə çıxışı olan kompüterləri göstərməlisiniz. Bu, ACL icazə verilən hosts src (kompüter IP ünvan diapazonu) və ACL localhost src (yerli ünvan) əmrlərindən istifadə etməklə edilə bilər.

Bağlantılarda SSL portları istifadə olunursa, onlar həmçinin ssl_ports port (portu göstərin) ACL əmrindən istifadə etməklə düzəldilə bilər. Eyni zamanda, təhlükəsiz SSL bağlantısında göstərilənlər istisna olmaqla, digər portlar üçün CONNECT metodunun istifadəsini söndürə bilərsiniz. http_access inkar CONNECT ifadəsi bunu etməyə kömək edəcək! SSL Portları.

Squid və pfSense

Bəzi hallarda nəzərdən keçirilən proksi serverlə birlikdə effektiv interfeys kimi istifadə olunan pfSense interfeysindən istifadə olunur.Onların birgə işini necə təşkil etmək olar? Bu problemi həll etmək üçün alqoritm çox mürəkkəb deyil.

Əvvəlcə pfSense interfeysi üzərində işləməliyik. Artıq konfiqurasiya etdiyimiz Squid, SSH əmrləri vasitəsilə quraşdırılmalıdır. Bu ən rahat və biridir təhlükəsiz yollar proksi serverlərlə işləmək. Bunun üçün interfeysdə Enable elementini aktivləşdirin.Onu tapmaq üçün Sistem menyusunu, daha sonra Qabaqcıl, sonra Admin Girişini seçməlisiniz.

Bundan sonra, SSH ilə işləmək üçün lazımlı proqram olan PuTTY-ni yükləməlisiniz. Sonra, konsoldan istifadə edərək, Squid quraşdırmalısınız. Bu, -pkg install squid əmri ilə asanlıqla edilir. Bundan sonra, həmçinin pfSense veb interfeysi vasitəsilə proksi təyin etməlisiniz. Squid (onun parametrləri bu mərhələdə konfiqurasiya edilməyib) menyu elementini seçməklə quraşdırıla bilər Sistem, sonra Paketlər, sonra - Mövcud Paketlər. Squid Stable paketi müvafiq pəncərədə mövcud olmalıdır. Biz onu seçirik. Siz aşağıdakı parametrləri təyin etməlisiniz: Proksi interfeysi: LAN. Şəffaf Proksi xəttinin qarşısındakı qutuyu qeyd edə bilərsiniz. Jurnal üçün ünvanı seçirik və rus dilini üstünlük verilən dil kimi qeyd edirik. Saxla klikləyin.

Resurs optimallaşdırma aləti

Squid-in qurulması sistem administratorlarına server resurslarını səmərəli şəkildə ayırmağa imkan verir. Yəni, bu halda söhbət heç bir sayta giriş qadağalarından getmir, lakin bu və ya digər istifadəçi və ya onların qrupu tərəfindən kanalın aktivləşdirilməsinin intensivliyi nəzarət tələb edə bilər. Baxılan proqram həll etməyə imkan verir bu vəzifə bir neçə yolla. Birincisi, bu, keşləmə mexanizmlərinin istifadəsidir: buna görə İnternetdən faylları yenidən yükləmək tələb olunmur, çünki trafik yükü azalacaq. İkincisi, şəbəkəyə girişin vaxtında məhdudlaşdırılmasıdır. Üçüncüsü, bu, müəyyən istifadəçilərin hərəkətləri və ya yüklənmiş faylların xüsusi növləri ilə bağlı şəbəkədə məlumat mübadiləsi sürəti üçün limit dəyərlərin müəyyən edilməsidir. Bu mexanizmləri daha ətraflı nəzərdən keçirək.

Keşləmə vasitəsilə şəbəkə resurslarının optimallaşdırılması

Strukturda şəbəkə trafiki dəyişməmiş formada istifadə edilən bir çox fayl növləri var. Yəni, onları kompüterə yüklədikdən sonra istifadəçi müvafiq əməliyyatı təkrarlamaya bilər. Squid proqramı bu cür faylların server tərəfindən tanınması mexanizminin çevik konfiqurasiyasına imkan verir.

Yetər faydalı variant yoxladığımız proksi serverin - keşdəki faylın yaşını yoxlamaq. Müvafiq yaddaş sahəsində çox uzun olan obyektlər yenilənməlidir. Bu seçim refresh_pattern əmrindən istifadə etməklə aktivləşdirilə bilər. Beləliklə, tam ifadə refresh_pattern kimi görünə bilər (minimum vaxt müddəti - dəqiqələrlə, "təzə" faylların maksimum payı -% ilə, maksimum müddət). Müvafiq olaraq, əgər fayl keşdə göstərilən meyarlardan daha uzundursa, onun yeni versiyasını yükləmək lazım ola bilər.

Zamana əsaslanan giriş məhdudiyyətləri vasitəsilə resurs optimallaşdırılması

Squid-Proxy-nin imkanları sayəsində istifadə edilə bilən başqa bir seçim istifadəçinin şəbəkə resurslarına girişini zamanla məhdudlaşdırmaqdır. O, çox sadə bir əmrdən istifadə etməklə təyin edilir: ACL (kompüter adı) vaxtı (gün, saat, dəqiqə). İngilis əlifbasında "gün" sözünün adına uyğun gələn sözün ilk hərfi ilə əvəz edilməklə, həftənin istənilən günü üçün giriş məhdudlaşdırıla bilər. Məsələn, bazar ertəsidirsə, M, çərşənbə axşamıdırsa, T. Əgər əmrdə “gün” sözü yoxdursa, bütün həftə üçün müvafiq qadağa qoyulacaq. Maraqlıdır ki, müəyyən proqramların köməyi ilə istifadəçilər tərəfindən həyata keçirilən şəbəkəyə daxil olma cədvəlini də tənzimləyə bilərsiniz.

Məhdudiyyət dərəcəsi vasitəsilə resurs optimallaşdırılması

Kifayət qədər ümumi bir seçim, daxilində icazə verilən məlumat mübadiləsi sürətini tənzimləməklə resursları optimallaşdırmaqdır kompüter şəbəkəsi. Öyrəndiyimiz proxy server bu problemin həlli üçün ən əlverişli vasitədir. Şəbəkədə məlumat mübadiləsi sürətinin tənzimlənməsi gecikmə_sinifi, gecikmə_parametrləri, gecikmə_access kimi parametrlərdən, həmçinin gecikmə_hövzələri elementi vasitəsilə həyata keçirilir. Lokal şəbəkə resurslarının optimallaşdırılması baxımından sistem administratorlarının qarşılaşdıqları problemlərin həlli üçün dörd komponentin hamısı böyük əhəmiyyət kəsb edir.

Problem aşağıdakılardan ibarətdir. AD müəssisəsində, bir proxy vasitəsilə İnternetə çıxış, bir DMZ var. Proksi və onun portu brauzer parametrlərində, _connections_ bölməsində qeydə alınıb. DMZ-yə daxil olmaq üçün ISA 2006 istifadə olunur (Isa müştəri 2004-ə sahibəm). İnternetə squid vasitəsilə gedirik.

sonra Windows quraşdırılması 7 (təmiz maşında) IExplorer həmişəki kimi konfiqurasiya edildi, proksi və port qeydiyyatdan keçdi, lakin IExplorer onlayn olmaqdan imtina edir (müvafiq olaraq, yeniləmələri aktivləşdirmək və qəbul etmək imkanı azalır). Başlanğıcda giriş və şifrə tələb olunur, lakin sonunda aşağıdakı mesajı olan bir səhifə alıram:
==============================
XƏTA: Keş girişi rədd edildi.

XƏTA

Keş girişi rədd edildi

Aşağıdakı xəta baş verdi:

• Keş girişi rədd edildi

Üzr istəyirik, siz tələb edə bilməzsiniz:

http://go.microsoft.com/fwlink/? bu keşdən autentifikasiya edənə qədər.

Bunun üçün sizə Netscape 2.0 və ya daha yüksək versiya və ya Microsoft lazımdır internet Explorer 3.0 və ya HTTP/1.1 uyğun brauzer. Doğrulama ilə bağlı probleminiz varsa, keş inzibatçısı ilə əlaqə saxlayın və ya standart parolunuzu dəyişdirin.

FireFox-da bu problem yoxdur.. Parametrlərdə proksi təyin etdim, login və şifrəmi daxil etdim və bu məktubu yazıram.
XP və Vista-da da hər şey qaydasındadır .

Aşağıdakı məclisləri 7100 (rus), 7201 qoyuram, indi 7231 (rus) başa gəlir - vəziyyət dəyişmir.

Sual budur ki, nəyi və harada bükmək lazımdır?

Bu məqaləni dərc etməyin səbəbi belədir: çox vaxt forumlarda TC-nin dəhşətli bir qarışıqlıq ilə konfiqurasiyalarına necə nümunələr verdiyini görürəm. acl və http_access direktivləri, xüsusən də girişlə bağlı problemlərə aid mövzularda kalamar. Hər hansı bir sistemi qurarkən məntiqi bir sıraya riayət etməyə çalışıram. Bu gün sizə nəyi çatdırmağa çalışacağam http_access sifarişi saxlayıram.

Əsas fikir http_access üçün squid təlimatından götürülmüş ifadədədir:

Əgər "giriş" sətirlərinin heç biri uyğunluğa səbəb olmursa, defolt siyahıdakı sonuncu sətirin əksidir. Sonuncu sətir rədd edilibsə, defolt olaraq icazə verilir. Əksinə, əgər sonuncu sətir icazə verilirsə, defolt inkar ediləcək. Bu səbəblərə görə, potensial çaşqınlığın qarşısını almaq üçün giriş siyahılarınızın sonunda “hamısını rədd et” qeydinin olması yaxşı fikirdir.

Sözün əsl mənasında aşağıdakılar:

Əgər "giriş" qaydası tapılmazsa, defolt olaraq siyahıda sonuncunun əksinə olan qayda tətbiq olunacaq. Əgər sonuncu qayda inkar edilərsə, defolt olaraq icazə tətbiq olunacaq. Əksinə, əgər sonuncu sətir icazə verilirsə, defolt olaraq rədd edilir. Odur ki, mümkün anlaşılmazlıqların qarşısını almaq üçün qaydalar siyahısının sonunda “hamısını inkar et” qaydasının olması yaxşı olar.

Mən artıq məqalədə bəzi məsləhətlər və qaydaları əhatə etmişəm. İndi öz baxışımı çatdırmağa çalışacağam acl və http_access sifarişi. Əslində, acl direktivlərinin sırası qətiyyən fərqi yoxdur. Əsas odur ki acl http_access qaydalarından ƏVVƏL müəyyən edilmişdir(Mən təlimatlarda bunun təsdiqini tapmadım, lakin http_access-dən sonra acl yerləşdirərkən bəzi giriş problemlərim var idi). Mən acl-ı eyni növlərə görə qruplaşdırmağa çalışıram.

Squid-də http_access-in qurulması

Tam olaraq http_access direktivlərinin yerləşdirilməsi qaydası müştərinin önbelleğe daxil olub-olmamasını müəyyən edir. Keş sorğusunun işlənməsi alqoritmi aşağıdakı kimidir:

1. Hər sorğu ardıcıl olaraq http_access qaydalarının hər sətri ilə müqayisə edilir.
2. Sorğu giriş və ya rədd etmə qaydalarından birinə uyğun gələnə qədər o, qaydadan qaydaya əməl edəcək və səlahiyyətini yoxlayacaq.
   Burada hər şey sadədir. Aşağıdakı qaydalara baxaq:
3. Əgər http_access-də çoxlu acls göstərilibsə, məntiqi AND istifadə olunur.Məsələn: http_access allow|deny acl VƏ acl AND... VEYA http_access allow|deny acl VƏ acl AND... OR
4. Əgər sorğu heç bir qaydaya uyğun gəlmirsə, defolt olaraq, squid sonuncunun əksi qaydadan istifadə edir. # bəzi acl istifadəçisi üçün vahid icazə qaydamız var: http_access allow user # əgər squid-ə daxil olarkən sorğu bu acl-ə daxil olmayıbsa, ona rədd hərəkəti tətbiq olunacaq. # Və əgər bizim http_access icazə istifadəçiyə http_access inkar istifadəçi2 # qaydası varsa və sorğu nə acl istifadəçisinə, nə də acl user2-yə daxil deyilsə, icazə ona tətbiq olunacaq. # Yəni, sonuncu http_access inkarının əks hərəkəti istifadəçi2

Bunlar əsasların əsaslarıdır. Amma əməliyyat zamanı ortaya çıxan bəzi nüanslar var.

http_access tənzimləmə)

Xarici istifadə edən acls olduğunu bilirik. Və ya digər modullar (məsələn, srcdomeni Və srcdom_regex həllini tələb edir). Məntiqi nəzəri olaraq belə nəticəyə gəlmək olar ki, acl məlumat acl src və ya dst və ya oxşardan bir qədər yavaş ola bilər. Vikiyə görə, tərtibatçılar sürətli/yavaş acl-ni aşağıdakı qruplara bölürlər (squid 3.1.0.7-ə görə):

Müvafiq olaraq, ilk növbədə qadağan qaydalarını dəqiqləşdirsək, xüsusən də onlar "sürətli" olduqda (məsələn, belə

Http_access inkar meneceri http_access inkar !Safe_ports http_access inkar CONNECT !SSL_ports

) sonra onlar çox tez işləyirlər, daha az sorğuların autentifikasiyadan istifadə edərək qaydalara, həqiqətən ehtiyacı olanlara çatması səbəbindən yükü azaldırlar. Beləliklə, xarici modullar olmadan acl istifadə edərək http_access inkar etmə qaydalarını mümkün qədər yüksək yerləşdirməyə çalışın, sonra icazə qaydalarını yerləşdirin. Yaxşı, sonuncu hamını inkar etməyi (potensial qarışıqlığın qarşısını almaq üçün) göstərməyi unutmayın.

acl və http_access ilə bağlı problemlərin aradan qaldırılması

Əgər http_access direktivini əlaqələndirərkən hələ də bəzi problemlər varsa və istədiyiniz istifadəçi giriş əldə etmirsə, siz . Misal:

Sazlama_seçimləri ALL,1 33.2

Squid yenidən konfiqurasiya edildikdən sonra, cache.log hər sessiya üçün giriş icazəsi/inkar mesajlarını və girişin verildiyi və ya verilmədiyinə görə acl adını ehtiva etməyə başlayacaq. Bu məlumat kifayət deyilsə, daha ətraflı məlumat daxil edə bilərsiniz:

Sazlama_seçimləri ALL,1 33.2 28.9

Xülasə

Bu gün üçün hamısı budur.Bu gün biz acl və http_access-in konfiqurasiyası məsələsini nəzərdən keçirdik. http_access direktivlərinin işlənməsi məntiqi və bəzi tövsiyələrlə tanış oldum. Bəlkə də oxuculardan biri məni düzəldər, buna görə çox minnətdar olaram. Bu məqaləyə əlavə olaraq http://wiki.squid-cache.org/SquidFaq/SquidAcl-ı oxumağı tövsiyə edirəm.

Hörmətlə, Mc.Sim!