Pridať meno acl prístup odmietnutý squid odmietnut. Squid - konfigurácia filtrovania adries URL podľa zoznamov. Optimalizácia sieťových zdrojov pomocou vyrovnávacej pamäte

Pred mnohými správcov systému Vzniká otázka obmedzenia prístupu používateľov k určitým internetovým zdrojom. Vo väčšine prípadov nie je potrebné náročné na zdroje a zložité filtrovanie obsahu, úplne postačia zoznamy URL. Je celkom možné implementovať takúto metódu pomocou servera proxy squid bez použitia softvéru tretích strán.

Metóda „čiernych“ a „bielych“ zoznamov je ideálna na obmedzenie prístupu k zdrojom, ktorých adresy sú vopred známe, no z nejakého dôvodu sú nežiaduce, napr. sociálne siete. V porovnaní s filtrovaním obsahu má táto metóda veľa nevýhod, no na druhej strane je oveľa jednoduchšia na implementáciu a vyžaduje oveľa menej výpočtových zdrojov.

Efektívnosť túto metódu by sa malo posudzovať z hľadiska úlohy, takže ak chcete blokovať sociálne siete pre zamestnancov a množstvo zábavných zdrojov, na ktorých trávia najviac času, filtrovanie podľa zoznamov URL môže tento problém úplne vyriešiť. Takéto filtrovanie bude zároveň neúčinné, ak potrebujete obmedziť prístup k akýmkoľvek zdrojom určitého obsahu.

V nasledujúcom texte budeme predpokladať, že čitateľ má počiatočné zručnosti Administrácia Linuxu. Pamätajte tiež, že všetky nižšie uvedené príkazy musia byť spustené ako superužívateľ.

Najprv si vytvorte súbor so zoznamom. Môže byť umiestnený kdekoľvek, ale bude logické umiestniť ho do konfiguračného adresára chobotnice - /etc/squid(alebo /etc/squid3 ak používate chobotnicu3)

Dotknite sa /etc/squid/blacklist

a začnite ho vypĺňať. Pri zadávaní adresy URL by ste mali použiť syntax RegExp, touto problematikou sa nebudeme podrobne zaoberať, keďže to presahuje rámec článku, môžete si prečítať viac o pravidlách RegExp. Zablokujme napríklad populárne sociálne siete:

Vk\.com
odnoklassniki\.ru

Upozorňujeme, že bodka v RegExp je servisný znak, a preto musí byť znakom ukončený \ (obrátené lomítko).

V konfiguračnom súbore squid ( /etc/squid/squid.conf) vytvorte zoznam acl, ktorý obsahuje hostiteľov alebo používateľov, pre ktorých sa bude vykonávať filtrovanie.

Acl url_filtred src 10.0.0.100-10.0.0.199

V našom prípade je filtrovanie povolené pre všetkých hostiteľov v rozsahu adries 10.0.0.100-199, t.j. budeme internet filtrovať len pre určitú skupinu užívateľov.

Potom zahrnieme náš zoznam:

Acl blacklist url_regex -i "/etc/squid/blacklist"

Prepínač -i označuje, že zoznam nerozlišuje veľké a malé písmená.

Teraz poďme do sekcie pravidiel a pred pravidlom

http_access povoliť lokálnu sieť

Http_access deny blacklist url_filtred

Ešte raz by sme vás chceli upozorniť na fakt, že všetky pravidlá v chobotnici sú spracované postupne, až do prvého výskytu, takže ak umiestnime viac ako všeobecné pravidlo pred súkromnejšou to nepôjde. To isté platí pre prekrývajúce sa pravidlá – bude fungovať úplne prvé.

Uložte zmeny a reštartujte chobotnicu:

Reštart služby chobotnice

Skúsme navštíviť stránku zo zoznamu, ak je všetko vykonané správne, zobrazí sa správa chobotnice o odmietnutí prístupu k tomuto zdroju.

Squid je bežné riešenie pre programátorov, systémových administrátorov a nadšencov počítačových sietí na vytváranie a správu efektívneho proxy servera. Program je obzvlášť atraktívny, pretože je multiplatformový. To znamená, že ho môžete nainštalovať a spustiť v systéme Linux a iných operačných systémoch zodpovedajúcich architektúre Unix a vo Windows. Schopnosti tohto nástroja sú najvýraznejšie. Ako sa dajú použiť? Existujú nejaké funkcie pri nastavovaní programu v závislosti od konkrétneho operačného systému?

Všeobecné informácie o Squid

Čo je Squid? Tento názov je známy pre mimoriadne výkonný proxy server, ktorý sa najčastejšie používa s webovými klientmi. S ním môžete organizovať súčasný prístup na internet pre viacerých používateľov. Ďalšou pozoruhodnou vlastnosťou Squidu je, že dokáže ukladať do vyrovnávacej pamäte rôzne dotazy. To vám umožní získať súbory rýchlejšie, pretože ich nemusíte znova sťahovať z internetu. Proxy server Squid môže tiež upraviť rýchlosť internetového kanála v závislosti od aktuálneho zaťaženia.

Squid bol prispôsobený na použitie na platformách Unix. Existujú však verzie Squid pre Windows a mnoho ďalších populárnych operačných systémov. Tento program, podobne ako mnohé operačné systémy založené na koncepte Unix, je bezplatný. Podporuje FTP, SSL, umožňuje konfigurovať flexibilnú kontrolu nad prístupom k súborom. Squid tiež ukladá do vyrovnávacej pamäte DNS dotazy. Zároveň môžete nakonfigurovať aj transparentný proxy server Squid, to znamená, že server pracuje vo formáte, v ktorom používateľ nevie, že pristupuje k sieti prostredníctvom neho a nie priamo. Squid je teda výkonný nástroj v rukách správcu systému alebo poskytovateľa komunikačných služieb.

Praktická užitočnosť chobotnice

Kedy môže byť Squid najužitočnejší? Môže ísť napríklad o úlohu, pri ktorej je potrebné efektívne integrovať niekoľko počítačov do siete a poskytnúť im prístup na internet. Účelnosť použitia proxy servera v tomto prípade spočíva v tom, že požiadavky medzi ním a prehliadačom konkrétneho počítača sa vykonávajú rýchlejšie ako v prípade priamej interakcie používateľa s internetom. Pri používaní Squid je tiež možné úplne vypnúť vyrovnávaciu pamäť v samotnom prehliadači. Táto funkcia je medzi používateľmi veľmi žiadaná.

Zloženie chobotnice

Predmetné riešenie pozostáva z niekoľkých komponentov. V skutočnosti ide o balík softvér. V jeho štruktúre sa nachádza aplikácia, s ktorou sa server spúšťa, ako aj doplnkový program pre prácu s DNS. Jeho zaujímavosťou je, že spúšťa procesy, z ktorých každý funguje nezávisle od ostatných. To vám umožní optimalizovať interakciu servera s DNS.

Inštalácia programu

Inštalácia Squid je zvyčajne jednoduchá. Inštalácia programu v systéme Linux je veľmi jednoduchá: stačí zadať príkaz $ sudo apt-get install squid.

Pokiaľ ide o Squid pre Windows, veci sú trochu komplikovanejšie. Faktom je, že tento program nemá spustiteľné súbory - hlavné prvky aplikácií pre OS od spoločnosti Microsoft.

Inštalácia Squid na Windows je však pomerne rýchla úloha. Je potrebné nájsť v príslušných zdrojoch distribučnú sadu obsahujúcu súbory typu .bat, ktoré sú trochu blízke tradičným spustiteľným súborom Windows. Potom by ste ich mali skopírovať do samostatného priečinka na disku. Potom musíte spustiť Squid ako systémovú službu. Potom je možné program používať ako proxy cez prehliadač počítača. Môžeme povedať, že týmto je inštalácia Squidu dokončená.

Distribúcia proxy servera takmer vždy obsahuje konfiguračný súbor typ.conf. Je to hlavný nástroj na konfiguráciu prístupu na internet z počítača používateľa a ďalších zariadení lokálna sieť pri použití Squid.

Nuansy nastavenia

Aké nuansy môžu zahŕňať nastavenie Squid? Windows je operačný systém, v ktorom bude práca s proxy serverom prebiehať úpravou konfiguračných súborov.

V prípade Linuxu sa dá použiť na niektoré postupy. Ale vo všeobecnosti v tomto operačný systém, rovnako ako v prípade, že OS, na ktorom je Squid nakonfigurovaný, je Windows, najčastejšie sa používa súbor squid.conf. Predpisuje určité výrazy („príkazy“), podľa ktorých server spravuje pripojenia k sieti.

Zvážte teda, ako je Squid nakonfigurovaný, podrobnejšie. Prvým krokom je povoliť používateľom siete prístup k serveru. Ak to chcete urobiť, nastavte v súbore squid.conf zodpovedajúce hodnoty v http_port aj v http_access. Je tiež užitočné vytvoriť zoznam riadenia prístupu alebo ACL. Na nastaveniach http_port nám záleží, keďže naším cieľom je pripraviť Squid tak, aby slúžil iba špecifickej skupine počítačov. Na druhej strane je dôležitý parameter ako http_access, pretože pomocou neho budeme môcť regulovať prístup ku konkrétnym sieťovým zdrojom požadovaným z určitých adries (možné sú aj iné kritériá - protokoly, porty a ďalšie vlastnosti obsiahnuté v ACL).

Ako nastaviť potrebné nastavenia? Je to veľmi jednoduché.

Povedzme, že sme vytvorili počítačovú sieť s rozsahom adries začínajúcim na 192.168.0.1 a končiacom na 192.168.0.254. V tomto prípade by ste mali v nastaveniach ACL nastaviť ďalší parameter: src 192.168.0.0/24. Ak potrebujeme nakonfigurovať port, tak v konfiguračnom súbore musíme urobiť záznam http_port 192.168.0.1 (stačí zadať správnu IP adresu) a zadať číslo portu.

Ak chcete obmedziť prístup k proxy vytvorenému pomocou Squid (nepočítajúc počítače zahrnuté v lokálnej sieti), musíte vykonať zmeny v http_access. Robí sa to jednoducho – pomocou výrazov („príkazov“ – súhlasíme s tým, že ich budeme nazývať tak, že v texte síce striktne povedané nie sú, ale v terminálovom riadku by im celkom zodpovedali) povoliť LocalNet a všetko poprieť. Je veľmi dôležité umiestniť prvý parameter nad druhý, pretože Squid ich rozpozná jeden po druhom.

Práca s ACL: odmietnutie prístupu na stránky

V skutočnosti sú nastavenia prístupu v Squid možné vo veľmi širokom rozsahu. Zvážte príklady užitočné v praxi správy miestnych sietí.

Prvok src je veľmi žiadaný. Pomocou neho môžete opraviť IP adresu počítača, ktorý odoslal požiadavku na proxy server. Kombináciou prvku src s http_access môžete napríklad povoliť prístup do siete pre konkrétneho používateľa, ale zakázať podobné akcie pre všetkých ostatných. Toto sa robí veľmi jednoducho.

Píšeme ACL (názov skupiny používateľov) src (interval IP adries, ktoré spadajú pod reguláciu). Riadok nižšie je ACL (názov konkrétneho počítača) src (IP adresa príslušného PC). Potom pracujeme s http_access. Oprávnenie na vstup do siete sme nastavili pre skupinu používateľov a jednotlivé PC pomocou príkazov http_access allow. V riadku nižšie opravíme, že prístup k ostatným počítačom v sieti je uzavretý príkazom zamietnuť všetko.

Nastavenie Squid proxy zahŕňa aj použitie ďalšieho užitočného prvku, ktorý poskytuje systém kontroly prístupu – dst. Umožňuje vám opraviť adresu IP servera, ku ktorému sa chce používateľ proxy pripojiť.

Pomocou príslušného prvku môžeme napríklad obmedziť prístup do určitej podsiete. Na to môžete použiť príkaz ACL (označenie siete) dst (IP adresa podsiete), riadok nižšie je http_access deny (názov konkrétneho počítača v sieti).

Ďalším užitočným prvkom je dstdomain. Umožní nám to opraviť doménu, ku ktorej sa chce používateľ pripojiť. Pomocou predmetného prvku môžeme obmedziť prístup konkrétneho používateľa napríklad k externým internetovým zdrojom. Ak to chcete urobiť, môžete použiť príkaz: ACL (skupina stránok) dstdomain (adresy stránok), riadok nižšie je http_access deny (názov počítača v sieti).

V štruktúre systému kontroly prístupu sú ďalšie pozoruhodné prvky. Medzi nimi je SitesRegex. Používaním daný výraz môžete obmedziť prístup používateľov k internetovým doménam obsahujúcim určité slovo, napríklad mail (ak je úlohou zakázať zamestnancom spoločnosti prístup na poštové servery tretích strán). Na to môžete použiť príkaz ACL SitesRegexMail dstdom_regex mail, potom ACL SitesRegexComNet dstdom_regex \.com$ (to znamená, že prístup bude odmietnutý pre príslušný typ domén). Riadok nižšie je http_accesss odmietnutie označujúce počítače, z ktorých majú prístup k externému poštové servery nechcené.

Niektoré výrazy môžu používať voľbu -i. Pomocou neho, ako aj prvku, akým je napríklad url_regex, určeného na vytvorenie šablóny pre webové adresy, môžeme zakázať prístup k súborom s danou príponou.

Napríklad pomocou príkazu NoSwfFromMail url_regex -i mail.*\.swf$ ACL ovládame možnosť prístupu k poštovým stránkam, ktoré obsahujú filmy vo formáte Flash. Ak nie je potrebné zahrnúť do prístupových algoritmov Doménové meno môžete použiť výraz urlpath_regex. Napríklad vo forme príkazu ACL media urlpath_regex -i \.wma$ \.mp3$.

Zakázať prístup k programom

Konfigurácia Squid vám umožňuje zakázať prístup používateľov k určitým programom pri používaní prostriedkov proxy servera. Na tento účel možno použiť príkaz ACL (názov programu) port (interval portu), riadok nižšie je http_access deny all (názov programu).

Zapojenie štandardov a protokolov

Konfigurácia Squid tiež umožňuje správcovi systému nastaviť preferovaný protokol na používanie internetového kanála. Napríklad, ak je potrebné, aby osoba z konkrétneho PC mala prístup k sieti cez FTP protokol, potom je možné použiť nasledujúci príkaz: ACL ftpproto proto ftp, riadok nižšie je http_access deny (názov počítača) ftpproto.

Pomocou elementu method môžeme určiť, ako sa má vykonať HTTP požiadavka. Existujú 2 z nich - GET a POST, ale v niektorých prípadoch je vhodnejší prvý, nie druhý a naopak. Napríklad je možná situácia, v ktorej by si konkrétny zamestnanec nemal prezerať poštu cez mail.ru, ale jeho zamestnávateľovi nebude vadiť, ak si chce niekto prečítať novinky na zadanej stránke. Na to môže správca systému použiť nasledujúci príkaz: ACL sitemailru dstdomain .mail.ru, riadok nižšie je ACL methodpost metóda POST, potom http_access deny (názov počítača) methodpost sitemailru.

Toto sú nuansy zahrnuté v konfigurácii Squid. Používa sa Ubuntu, Windows alebo iný OS kompatibilný s proxy serverom - vlastnosti úlohy, ktoré sme zvážili požadované parametre všeobecne charakteristické pre akúkoľvek softvérové ​​prostredie fungovanie Squid. Práca s týmto softvérom je neuveriteľne vzrušujúci proces a zároveň jednoduchá vďaka logike a transparentnosti hlavných algoritmov na nastavenie programu.

Poďme sa pozrieť na niektoré kľúčové body špecifické pre konfiguráciu Squid.

Na čo si dať pozor pri nastavovaní?

Ak máte problém nájsť súbor squid.conf, ktorý je hlavným konfiguračným nástrojom servera, môžete skúsiť skontrolovať adresár etc/squid.

Najlepšie je, ak pri práci s daným súborom použijete ten najjednoduchší textový editor: nepotrebujú žiadne formátovacie prvky na to, aby boli zahrnuté do riadkov zodpovedných za nastavenie proxy servera.

V niektorých prípadoch môže byť potrebné špecifikovať proxy server poskytovateľa počas prevádzky. Na to existuje príkaz cache_peer. Musíte ho zadať takto: cache_peer (adresa servera proxy poskytovateľa).

V niektorých prípadoch je užitočné hodnotu opraviť Náhodný vstup do pamäťe, ktorý bude používať Squid. Môžete to urobiť pomocou príkazu cache_mem. Je tiež užitočné určiť adresár, v ktorom budú uložené údaje uložené vo vyrovnávacej pamäti, a to pomocou výrazu cache_dir. V prvom prípade bude celý príkaz vyzerať ako cache_mem (množstvo pamäte RAM v bajtoch), v druhom - ako cache_dir (adresa adresára, počet megabajtov miesta na disku). Cache je vhodné umiestniť na najvýkonnejšie disky, ak je na výber.

Možno budete musieť zadať počítače, ktoré majú prístup k serveru proxy. Dá sa to urobiť pomocou príkazov ACL povolených hosts src (rozsah IP adries počítača) a ACL localhost src (lokálna adresa).

Ak sa v pripojeniach používajú porty SSL, možno ich opraviť aj pomocou príkazu ACL port ssl_ports (špecifikujte port). Zároveň môžete zakázať používanie metódy CONNECT pre ostatné porty okrem tých, ktoré sú uvedené v zabezpečenom pripojení SSL. Výraz http_access odmietnutie CONNECT vám v tom pomôže! SSL porty.

Squid a pfSense

V niektorých prípadoch sa spolu s uvažovaným proxy serverom používa rozhranie pfSense, ktoré sa používa ako efektívne Ako organizovať ich spoločnú prácu? Algoritmus na riešenie tohto problému nie je príliš zložitý.

Najprv musíme popracovať na rozhraní pfSense. Squid, ktorý sme už nakonfigurovali, bude potrebné nainštalovať pomocou príkazov SSH. Je to jedna z najpohodlnejších a bezpečnými spôsobmi pracovať s proxy servermi. Ak to chcete urobiť, aktivujte v rozhraní položku Povoliť, ak ju chcete nájsť, musíte vybrať položku ponuky Systém, potom Rozšírené a potom Prístup správcu.

Potom si musíte stiahnuť PuTTY - šikovnú aplikáciu na prácu s SSH. Ďalej pomocou konzoly musíte nainštalovať Squid. To sa dá ľahko vykonať pomocou príkazu -pkg install squid. Potom musíte tiež nastaviť proxy cez webové rozhranie pfSense. Squid (jeho parametre nie sú v tejto fáze nakonfigurované) je možné nainštalovať výberom položky ponuky Systém, potom Balíky, po - Dostupné balíky. Balík Squid Stable by mal byť dostupný v príslušnom okne. Vyberáme to. Musíte nastaviť nasledujúce nastavenia: Rozhranie proxy: LAN. Oproti riadku Transparent Proxy môžete začiarknuť políčko. Vyberieme adresu pre denník a označíme ruštinu ako preferovaný jazyk. Kliknite na tlačidlo Uložiť.

Nástroj na optimalizáciu zdrojov

Nastavenie Squidu umožňuje správcom systému efektívne prideľovať zdroje servera. To znamená, že v tomto prípade nehovoríme o zákazoch prístupu na akúkoľvek stránku, ale intenzita aktivácie kanála jedným alebo druhým používateľom alebo ich skupinou môže vyžadovať kontrolu. Uvažovaný program nám umožňuje riešiť túto úlohu niekoľkými spôsobmi. Po prvé, ide o použitie mechanizmov ukladania do vyrovnávacej pamäte: vďaka tomu nie je potrebné opätovné sťahovanie súborov z internetu, pretože sa zníži zaťaženie prevádzky. Po druhé, je to obmedzenie prístupu do siete v čase. Po tretie, ide o stanovenie limitných hodnôt pre rýchlosť výmeny údajov v sieti vo vzťahu k činnostiam určitých používateľov alebo špecifickým typom sťahovaných súborov. Pozrime sa na tieto mechanizmy podrobnejšie.

Optimalizácia sieťových zdrojov pomocou vyrovnávacej pamäte

V štruktúre sieťová prevádzka existuje veľa typov súborov používaných v nezmenenej podobe. To znamená, že po ich stiahnutí do počítača už používateľ nemusí zopakovať príslušnú operáciu. Program Squid umožňuje flexibilnú konfiguráciu mechanizmu na rozpoznávanie takýchto súborov serverom.

Dosť užitočná možnosť proxy servera, ktorý skúmame - kontrola veku súboru vo vyrovnávacej pamäti. Objekty, ktoré sú v príslušnej oblasti pamäte príliš dlhé, by sa mali aktualizovať. Túto voľbu je možné povoliť pomocou príkazu refresh_pattern. Kompletný výraz teda môže vyzerať ako refresh_pattern (minimálna doba trvania - v minútach, maximálny podiel "čerstvých" súborov - v %, maximálna perióda). Preto, ak je súbor vo vyrovnávacej pamäti dlhší ako špecifikované kritériá, môže byť potrebné stiahnuť jeho novú verziu.

Optimalizácia zdrojov prostredníctvom obmedzení načasovaného prístupu

Ďalšou možnosťou, ktorú možno vďaka schopnostiam Squid-Proxy využiť, je časom obmedziť prístup používateľov k sieťovým zdrojom. Nastavuje sa pomocou veľmi jednoduchého príkazu: ACL (názov počítača) čas (deň, hodina, minúta). Prístup je možné obmedziť na ktorýkoľvek deň v týždni nahradením slova „deň“ prvým písmenom slova zodpovedajúceho jeho názvu v anglickej abecede. Napríklad, ak je pondelok, potom M, ak je utorok, potom T. Ak príkaz neobsahuje slovo „deň“, nastaví sa zodpovedajúci zákaz na celý týždeň. Zaujímavé je, že môžete tiež regulovať plán vstupu do siete, ktorý vykonávajú používatelia pomocou určitých programov.

Optimalizácia zdrojov prostredníctvom obmedzenia rýchlosti

Pomerne bežnou možnosťou je optimalizácia zdrojov reguláciou povoleného výmenného kurzu dát počítačová sieť. Proxy server, ktorý študujeme, je najvhodnejším nástrojom na riešenie tohto problému. Regulácia rýchlosti výmeny dát v sieti sa vykonáva pomocou parametrov ako delay_class, delay_parameters, delay_access, ako aj prostredníctvom prvku delay_pools. Všetky štyri komponenty majú veľký význam pre riešenie problémov, ktorým čelia správcovia systému z hľadiska optimalizácie lokálnych sieťových zdrojov.

Problém je nasledovný. V podniku AD je prístup na internet cez proxy, existuje DMZ. Proxy a jeho port sú zaregistrované v nastaveniach prehliadača v sekcii _connections_. Na prístup do DMZ sa používa ISA 2006 (mám klienta Isa 2004). Na internet ideme cez chobotnice.

Po Inštalácia systému Windows 7 (na čistom stroji) IExplorer nakonfigurovaný ako zvyčajne, zaregistrovaný proxy a port, ale IExplorer odmieta prejsť do režimu online (v súlade s tým klesá schopnosť aktivovať a prijímať aktualizácie). Pri spustení sa vyžaduje prihlasovacie meno a heslo, ale nakoniec sa mi zobrazí stránka s nasledujúcou správou:
==============================
CHYBA: Prístup do vyrovnávacej pamäte bol odmietnutý.

CHYBA

Prístup do vyrovnávacej pamäte bol odmietnutý

Vyskytla sa nasledujúca chyba:

• Prístup do vyrovnávacej pamäte bol odmietnutý

Ľutujeme, nemôžete požadovať:

http://go.microsoft.com/fwlink/? z tejto vyrovnávacej pamäte, kým sa neoveríte.

Na to potrebujete Netscape verzie 2.0 alebo vyššej alebo Microsoft internet Explorer 3.0 alebo prehliadač kompatibilný s HTTP/1.1. Ak máte problémy s autentifikáciou, kontaktujte správcu vyrovnávacej pamäte alebo zmeňte svoje predvolené heslo.

FireFox tento problém nemá.. V nastaveniach som zadal proxy, zadal svoje prihlasovacie meno a heslo a tu píšem tento list.
Na XP a Vista je tiež všetko v poriadku .

Dal som nasledujúce zostavy 7100 (rus), 7201, teraz to stojí 7231 (rus) - situácia sa nemení.

Otázka je, čo a kde krútiť?

Dôvod uverejnenia tohto článku je nasledujúci: veľmi často na fórach vidím, ako TC dávajú príklady svojich konfigurácií s obludným mišmašom direktívy acl a http_access, najmä v témach zaoberajúcich sa problémami s prístupom k chobotnice. Pri nastavovaní akéhokoľvek systému sa snažím držať nejakého logického poriadku. Dnes sa vám pokúsim sprostredkovať čo http_access order nechávam si.

Hlavná myšlienka je vo fráze prevzatej z príručky chobotnice pre http_access:

Ak žiadny z „prístupových“ riadkov nespôsobí zhodu, predvolená hodnota je opakom posledného riadku v zozname. Ak bol posledný riadok odmietnutý, predvolená hodnota je povolená. Naopak, ak je posledný riadok povolený, predvolená hodnota bude odmietnutá. Z týchto dôvodov je dobré mať na konci zoznamov prístupových práv položku „zamietnuť všetko“, aby sa predišlo možnému zmätku.

Doslova nasledovné:

Ak sa pravidlo „prístupu“ nenájde, štandardne sa použije pravidlo opačné ako posledné v zozname. Ak je posledné pravidlo odmietnuté, predvolene sa použije povolenie. Naopak, ak je posledný riadok povolený, predvolená hodnota je odmietnutie. Preto je dobré mať na konci zoznamu pravidiel pravidlo „zaprieť všetko“, aby ste sa vyhli prípadným nedorozumeniam.

Niekoľko tipov a pravidiel som už popísal v článku. Teraz sa pokúsim sprostredkovať svoju víziu acl a http_access poradí. Vlastne, poradie direktív acl absolútne je to jedno. Hlavná vec, že acl boli definované PRED pravidlami http_access(V manuáloch som to nepotvrdil, ale mal som nejaké problémy s prístupom pri umiestnení acl za http_access). Snažím sa zoskupovať acl podľa rovnakých typov.

Nastavenie http_access v chobotnici

presne tak poradie umiestnenia smerníc http_access určuje, či klient pristúpi ku cache alebo nie. Algoritmus spracovania požiadavky cache je nasledujúci:

1. Každá požiadavka sa postupne porovnáva s každým riadkom pravidiel http_access.
2. Kým sa žiadosť nezhoduje s jedným z pravidiel prístupu alebo odmietnutia, bude sa riadiť pravidlom a overovať svoju autoritu.
   Všetko je tu jednoduché. Pozrime sa na nasledujúce pravidlá:
3. Ak je v http_access špecifikovaných viacero acl, použije sa logický AND. Príklad: http_access allow|deny acl AND acl AND... OR http_access allow|deny acl AND acl AND... ALEBO
4. Ak požiadavka nezodpovedá žiadnemu pravidlu, potom chobotnica štandardne používa opačné pravidlo ako posledné. # máme jedno pravidlo povolenia pre niektorých používateľov acl: http_access povoliť používateľa # ak pri prístupe k chobotnici požiadavka nespadá do tohto acl, potom sa na ňu použije akcia odmietnutia. # A ak máme dve pravidlá http_access povoliť používateľovi http_access zamietnuť user2 # a požiadavka nie je zahrnutá ani v acl user, ani v acl user2, potom sa na ňu použije povolenie. # To znamená, že opačná akcia posledného http_access odmietnutia user2

Toto sú základy základov. Počas prevádzky sú však odhalené niektoré nuansy.

http_ladenie prístupu)

Vieme, že existujú ACL, ktoré používajú externé . Alebo iné moduly (napr. srcdomain a srcdom_regex vyžadujúce rozlíšenie). Dá sa logicky teoreticky dospieť k záveru, že údaje acl môžu byť o niečo pomalšie ako údaje acl src alebo dst alebo podobné. Podľa wiki vývojári rozdeľujú rýchle/pomalé acl do nasledujúcich skupín (od squid 3.1.0.7):

Ak teda najskôr špecifikujeme pravidlá zákazu, najmä ak sú „rýchle“ (napr

Http_access odmietnutý manažér http_access odmietnut !Safe_ports http_access odmietnut CONNECT !SSL_ports

), potom fungujú veľmi rýchlo, čím sa znižuje zaťaženie v dôsledku skutočnosti, že k pravidlám používajúcim autentifikáciu sa dostane menej požiadaviek, ktoré to skutočne potrebujú. Skúste teda umiestniť pravidlá odmietnutia http_access pomocou acl bez externých modulov tak vysoko, ako je to možné, a potom umiestnite pravidlá povolenia. No a posledný nezabudnite uviesť zamietnuť všetko (aby ste sa vyhli prípadnému zmätku).

Riešenie problémov s acl a http_access

Ak pri prepájaní direktívy http_access stále existujú nejaké problémy a požadovaný používateľ nezíska prístup, môžete skúsiť použiť . Príklad:

Možnosti ladenia VŠETKY,1 33.2

Po prekonfigurovaní squid začne cache.log obsahovať správy o povolení/odmietnutí prístupu pre každú reláciu a názov acl, podľa ktorého je prístup povolený alebo nie. Ak tieto informácie nestačia, môžete uviesť ďalšie podrobnosti:

Možnosti ladenia VŠETKY,1 33,2 28,9

Zhrnutie

To je na dnes všetko. Dnes sme sa zaoberali otázkou konfigurácie acl a http_access. Logika spracovania http_access direktív a zoznámila sa s niektorými odporúčaniami. Snáď ma niekto z čitateľov opraví, za čo mu budem veľmi vďačný. Okrem tohto článku vám odporúčam prečítať si http://wiki.squid-cache.org/SquidFaq/SquidAcl.

S pozdravom Mc.Sim!