Lägg till namn acl tillgång nekad bläckfisk neka. Squid - konfigurera URL-filtrering efter listor. Optimera nätverksresurser genom cachning

Före många systemadministratörer Frågan uppstår om att begränsa användarnas åtkomst till vissa Internetresurser. I de flesta fall är inte resurskrävande och komplex innehållsfiltrering nödvändig, URL-listor räcker. Det är fullt möjligt att implementera en sådan metod med hjälp av bläckfiskproxyservern utan att involvera programvara från tredje part.

Metoden med "svarta" och "vita" listor är idealisk för att begränsa åtkomsten till resurser vars adresser är kända i förväg, men av någon anledning är oönskade, t.ex. sociala nätverk. Jämfört med innehållsfiltrering har denna metod många nackdelar, men å andra sidan är den mycket lättare att implementera och kräver mycket mindre datorresurser.

Effektivitet den här metoden bör övervägas ur uppgiftens synvinkel, så om du vill blockera sociala nätverk för anställda och ett antal underhållningsresurser som de spenderar mest tid på, kan filtrering efter URL-listor helt lösa detta problem. Samtidigt kommer sådan filtrering att vara ineffektiv om du behöver begränsa åtkomsten till resurser för ett visst innehåll.

I det följande kommer vi att anta att läsaren har de första färdigheterna Linux administration. Kom också ihåg att alla kommandon nedan måste köras som superanvändare.

Först och främst, låt oss skapa en listfil. Den kan placeras var som helst, men det kommer att vara logiskt att placera den i bläckfiskens konfigurationskatalog - /etc/squid(eller /etc/squid3 om du använder bläckfisk3)

Tryck på /etc/squid/blacklist

och börja fylla i. När du anger en URL bör du använda RegExp-syntaxen, vi kommer inte att uppehålla oss i denna fråga i detalj, eftersom detta ligger utanför artikelns ram, kan du läsa mer om RegExp-reglerna. Låt oss till exempel blockera populära sociala nätverk:

Vk\.com
odnoklassniki\.ru

Observera att punkten i RegExp är ett servicetecken och därför måste escapes med tecknet \ (omvänt snedstreck).

I squid-konfigurationsfilen ( /etc/squid/squid.conf) skapa en acl-lista som inkluderar värdar eller användare för vilka filtrering kommer att utföras.

Acl url_filtred src 10.0.0.100-10.0.0.199

I vårt fall är filtrering aktiverad för alla värdar i adressintervallet 10.0.0.100-199, d.v.s. vi kommer att filtrera internet endast för en viss grupp användare.

Då inkluderar vi vår lista:

Acl blacklist url_regex -i "/etc/squid/blacklist"

Omkopplaren -i indikerar att listan är skiftlägesokänslig.

Låt oss nu gå till reglersektionen och före regeln

http_access tillåt lokalnät

Http_access neka svartlista url_filtred

Återigen vill vi uppmärksamma er på det faktum att alla regler i bläckfisk behandlas sekventiellt, tills den första förekomsten, så om vi placerar mer än allmän regel innan en mer privat kommer det inte att fungera. Detsamma gäller för överlappande regler - den allra första kommer att fungera.

Spara ändringar och starta om bläckfisk:

Service omstart av bläckfisk

Låt oss försöka besöka en webbplats från listan, om allt är gjort korrekt kommer du att se ett bläckfiskmeddelande om att åtkomst till denna resurs nekas.

Squid är en vanlig lösning för programmerare, systemadministratörer och datornätverksentusiaster för att skapa och hantera en effektiv proxyserver. Programmet är särskilt attraktivt eftersom det är plattformsoberoende. Det vill säga att du kan installera och köra det både på Linux och andra operativsystem som motsvarar Unix-arkitekturen och på Windows. Det här verktygets funktioner är de mest enastående. Hur kan de användas? Finns det några funktioner i att ställa in programmet beroende på det specifika operativsystemet?

Allmän information om bläckfisk

Vad är Squid? Detta namn är känt för en särskilt högpresterande proxyserver som oftast används med webbklienter. Med den kan du organisera samtidig åtkomst till Internet för flera användare. En annan anmärkningsvärd egenskap hos Squid är att den kan cache olika frågor. Detta gör att du kan hämta filer snabbare, eftersom du inte behöver ladda ner dem igen från Internet. Squid-proxyservern kan även justera hastigheten på internetkanalen i förhållande till den faktiska belastningen.

Squid har anpassats för användning på Unix-plattformar. Det finns dock versioner av Squid för Windows och många andra populära operativsystem. Detta program är, liksom många andra operativsystem baserade på Unix-konceptet, gratis. Den stöder FTP, SSL, låter dig konfigurera flexibel kontroll över åtkomst till filer. Squid cachar också DNS-frågor. Samtidigt kan du också konfigurera en transparent Squid-proxy, det vill säga servern fungerar i ett format där användaren inte vet att han kommer åt nätverket genom den, och inte direkt. Således är Squid ett kraftfullt verktyg i händerna på en systemadministratör eller kommunikationstjänstleverantör.

Den praktiska användbarheten av bläckfisk

När kan bläckfisk vara mest användbar? Det kan till exempel vara en uppgift där det är nödvändigt att effektivt integrera flera datorer i ett nätverk och ge dem tillgång till Internet. Lämpligheten med att använda en proxyserver i det här fallet ligger i det faktum att förfrågningar mellan den och webbläsaren på en viss dator utförs snabbare än i fallet med användarinteraktion med Internet direkt. Dessutom, när du använder Squid, kan cachen i själva webbläsaren inaktiveras helt. Denna funktion är mycket efterfrågad bland användare.

Sammansättning av bläckfisk

Lösningen i fråga består av flera komponenter. I själva verket är detta ett paket programvara. I dess struktur finns en applikation med vilken servern startas, samt ett kompletterande program för att arbeta med DNS. Dess intressanta funktion är att den startar processer, som var och en fungerar oberoende av de andra. Detta gör att du kan optimera interaktionen mellan servern och DNS.

Programinstallation

Att installera Squid är vanligtvis enkelt. Det är väldigt enkelt att installera programmet på Linux: skriv bara in kommandot $ sudo apt-get install squid.

När det gäller Squid för Windows är saker och ting lite mer komplicerade. Faktum är att det här programmet har inga körbara filer - huvudelementen i applikationer för OS från Microsoft.

Men att installera Squid på Windows är en ganska snabb uppgift. Det är nödvändigt att hitta på eller relevanta resurser ett distributionskit som innehåller .bat-filer, som är något nära traditionella Windows-körbara filer. Efter det bör du kopiera dem till en separat mapp på disken. Då behöver du starta Squid som en systemtjänst. Därefter kan programmet användas som proxy via en PC-webbläsare. Vi kan säga att detta slutför installationen av Squid.

Distributionen av en proxyserver innehåller nästan alltid konfigurationsfil type.conf. Det är huvudverktyget för att konfigurera åtkomst till Internet från användarens dator och andra enheter kombinerade till lokalt nätverk när du använder Squid.

Att sätta nyanser

Vilka nyanser kan inkludera att ställa in Squid? Windows är ett operativsystem där arbete med en proxyserver kommer att utföras genom redigering av konfigurationsfiler.

När det gäller Linux kan det användas för vissa procedurer. Men generellt sett i detta operativ system, precis som om operativsystemet som Squid är konfigurerat på är Windows, används oftast filen squid.conf. Den föreskriver vissa uttryck ("kommandon") i enlighet med vilka servern hanterar anslutningar till nätverket.

Tänk därför på hur Squid är konfigurerad mer detaljerat. Det första steget är att ge nätverksanvändare tillgång till servern. För att göra detta, ställ in filen squid.conf motsvarande värden i http_port såväl som i http_access. Det är också användbart att skapa en åtkomstkontrolllista eller ACL. http_port-inställningarna är viktiga för oss, eftersom vårt mål är att förbereda Squid för att endast tjäna en specifik grupp av datorer. I sin tur är en sådan parameter som http_access viktig, eftersom vi med den kommer att kunna reglera åtkomst till specifika nätverksresurser som begärs från vissa adresser (andra kriterier är också möjliga - protokoll, portar och andra egenskaper som finns i ACL).

Hur ställer man in nödvändiga inställningar? Det är väldigt lätt att göra detta.

Låt oss säga att vi har skapat ett datornätverk med ett adressintervall som börjar på 192.168.0.1 och slutar på 192.168.0.254. I det här fallet, i ACL-inställningarna, bör du ställa in nästa parameter: src 192.168.0.0/24. Om vi ​​behöver konfigurera porten, måste vi i konfigurationsfilen göra en post http_port 192.168.0.1 (ange bara rätt IP-adress) och ange portnumret.

För att begränsa åtkomsten till proxyn som skapats med Squid (datorer som ingår i det lokala nätverket räknas inte med), måste du göra ändringar i http_access. Detta görs enkelt - med hjälp av uttryck ("kommandon" - vi är överens om att kalla dem att, även om de strängt taget inte är sådana i texten, men på terminalraden skulle de helt motsvara dem) tillåter LocalNet och förneka allt. Det är mycket viktigt att placera den första parametern ovanför den andra, eftersom Squid känner igen dem en efter en.

Arbeta med ACL:er: neka åtkomst till webbplatser

Egentligen är åtkomstinställningar möjliga i Squid inom ett mycket brett spektrum. Tänk på exempel som är användbara för att hantera lokala nätverk.

src-elementet är mycket efterfrågat. Med den kan du fixa IP-adressen för datorn som gjorde begäran till proxyservern. Genom att kombinera src-elementet med http_access kan du till exempel tillåta åtkomst till nätverket för en specifik användare, men förbjuda liknande åtgärder för alla andra. Detta görs väldigt enkelt.

Vi skriver ACL (användargruppsnamn) src (intervall av IP-adresser som faller under reglering). Raden nedan är ACL (namn på en specifik dator) src (IP-adress för motsvarande PC). Efter det jobbar vi med http_access. Vi anger behörighet att komma in i nätverket för en grupp användare och en enskild dator med hjälp av kommandona http_access tillåter. På raden nedan fixar vi att åtkomst till resten av datorerna i nätverket stängs med kommandot deny all.

Att sätta upp en Squid-proxy innebär också användning av ett annat användbart element som tillhandahålls av åtkomstkontrollsystemet - dst. Det låter dig fixa IP-adressen för servern som proxyanvändaren vill ansluta till.

Med hjälp av elementet i fråga kan vi till exempel begränsa åtkomsten till ett visst subnät. För att göra detta kan du använda ACL-kommandot (nätverksbeteckning) dst (undernätets IP-adress), raden nedan är http_access deny (namnet på en specifik dator i nätverket).

Ett annat användbart element är dstdomain. Det gör att vi kan fixa den domän som användaren vill ansluta till. Genom att använda elementet i fråga kan vi begränsa åtkomsten för en viss användare, till exempel till externa Internetresurser. För att göra detta kan du använda kommandot: ACL (webbplatsgrupp) dstdomain (webbplatsadresser), raden nedan är http_access deny (datornamn på nätverket).

Det finns andra anmärkningsvärda element i strukturen för åtkomstkontrollsystemet. Bland dem är SitesRegex. Genom att använda givet uttryck du kan begränsa användaråtkomsten till Internetdomäner som innehåller ett visst ord, till exempel e-post (om uppgiften är att förbjuda företagets anställda från att komma åt tredje parts e-postservrar). För att göra detta kan du använda kommandot ACL SitesRegexMail dstdom_regex mail, sedan ACL SitesRegexComNet dstdom_regex \.com$ (detta innebär att åtkomst nekas för motsvarande typ av domäner). Raden nedan är http_accesss deny som indikerar från vilka datorer åtkomst till extern e-postservrar oönskade.

Vissa uttryck kan använda -i-växeln. Genom att använda den, samt ett element som till exempel url_regex, designat för att skapa en mall för webbadresser, kan vi neka åtkomst till filer med en given tillägg.

Till exempel, med hjälp av NoSwfFromMail url_regex -i mail.*\.swf$ ACL-kommandot kontrollerar vi möjligheten att komma åt e-postsidor som innehåller Flash-filmer. Om det inte finns något behov av att inkludera i åtkomstalgoritmer Domän namn webbplats kan du använda uttrycket urlpath_regex. Till exempel i form av kommandot ACL media urlpath_regex -i \.wma$ \.mp3$.

Neka åtkomst till program

Genom att konfigurera Squid kan du förbjuda användaråtkomst till vissa program när du använder proxyserverresurser. För detta ändamål kan ACL-kommandot (programnamn) port (portintervall) användas, raden nedan är http_access deny all (programnamn).

Engagerande standarder och protokoll

Genom att konfigurera Squid kan systemadministratören också ställa in det föredragna protokollet för användning av Internetkanalen. Till exempel, om det finns ett behov av en person från en specifik PC för att komma åt nätverket via FTP-protokollet, kan följande kommando användas: ACL ftpproto proto ftp, raden nedan är http_access deny (datornamn) ftpproto.

Med metodelementet kan vi specificera hur HTTP-förfrågan ska göras. Det finns 2 av dem - GET och POST, men i vissa fall är den första att föredra, inte den andra och vice versa. Till exempel är en situation möjlig där en viss anställd inte ska se e-post via mail.ru, men hans arbetsgivare har inget emot om en person vill läsa nyheter på den angivna webbplatsen. För att göra detta kan systemadministratören använda följande kommando: ACL sitemailru dstdomain .mail.ru, raden nedan är ACL methodpost-metoden POST, sedan http_access deny (datornamn) methodpost sitemailru.

Dessa är nyanserna som är involverade i att konfigurera Squid. Ubuntu används, Windows eller annat operativsystem som är kompatibelt med proxyservern - funktionerna i uppgiften har vi övervägt önskade parametrar allmänt kännetecknande för någon mjukvarumiljö funktion hos bläckfisk. Att arbeta med denna mjukvara är en otroligt spännande process och samtidigt enkel på grund av logiken och transparensen i huvudalgoritmerna för att sätta upp programmet.

Låt oss ta en titt på några av nyckelpunkterna som är specifika för att konfigurera Squid.

Vad ska man vara uppmärksam på när man installerar?

Om du har svårt att hitta filen squid.conf, som är det huvudsakliga serverkonfigurationsverktyget, kan du prova att kolla katalogen etc/squid.

Det är bäst om du, när du arbetar med filen i fråga, använder den enklaste textredigerare: behöver inga formateringselement för att inkluderas i raderna som ansvarar för att ställa in proxyservern.

I vissa fall kan det vara nödvändigt att ange leverantörens proxyserver under drift. Det finns ett cache_peer-kommando för detta. Du måste ange det så här: cache_peer (leverantörens proxyserveradress).

I vissa fall är det användbart att fixa värdet random access minne, som kommer att användas av Squid. Detta kan göras med kommandot cache_mem. Det är också användbart att ange i vilken katalog den cachade datan ska lagras, detta görs med hjälp av uttrycket cache_dir. I det första fallet kommer hela kommandot att se ut som cache_mem (mängden RAM i byte), i det andra - som cache_dir (katalogadress, antal megabyte diskutrymme). Det är tillrådligt att placera cachen på skivorna med högsta prestanda, om det finns ett val.

Du kan behöva ange vilka datorer som har åtkomst till proxyservern. Detta kan göras med hjälp av ACL-tillåtna hosts src (datorns IP-adressintervall) och ACL localhost src (lokal adress) kommandon.

Om SSL-portar används i anslutningar kan de även fixas med ACL-kommandot ssl_ports port (specificera port). Samtidigt kan du inaktivera användningen av CONNECT-metoden för andra portar, förutom de som anges i den säkra SSL-anslutningen. Uttrycket http_access deny CONNECT hjälper till att göra detta! SSL-portar.

Squid och pfSense

I vissa fall, tillsammans med den övervägda proxyservern, används pfSense-gränssnittet, som används som ett effektivt. Hur organiserar man sitt gemensamma arbete? Algoritmen för att lösa detta problem är inte alltför komplicerad.

Först måste vi arbeta med pfSense-gränssnittet. Squid, som vi redan har konfigurerat, kommer att behöva installeras via SSH-kommandon. Det är en av de mest bekväma och säkra sätt arbeta med proxyservrar. För att göra detta, aktivera alternativet Aktivera i gränssnittet. För att hitta det måste du välja menyalternativet System, sedan Avancerat och sedan Admin Access.

Efter det måste du ladda ner PuTTY - en praktisk applikation för att arbeta med SSH. Därefter, med hjälp av konsolen, måste du installera Squid. Detta görs enkelt med kommandot -pkg install squid. Efter det måste du också ställa in proxyn via pfSense webbgränssnitt. Squid (dess parametrar är inte konfigurerade i detta skede) kan installeras genom att välja menyalternativet System, sedan Paket, efter - Tillgängliga paket. Squid Stable-paketet bör finnas tillgängligt i lämpligt fönster. Vi väljer det. Du måste ställa in följande inställningar: Proxygränssnitt: LAN. Mittemot Transparent Proxy-linjen kan du markera rutan. Vi väljer adressen för loggen och markerar ryska som föredraget språk. Klicka på Spara.

Verktyg för resursoptimering

Genom att installera Squid kan systemadministratörer fördela serverresurser effektivt. Det vill säga, i det här fallet talar vi inte om åtkomstförbud till någon webbplats, men intensiteten av kanalaktivering av en eller annan användare eller deras grupp kan kräva kontroll. Programmet under övervägande tillåter oss att lösa denna uppgift på flera sätt. För det första är detta användningen av cachningsmekanismer: på grund av detta krävs inte omnedladdning av filer från Internet, eftersom belastningen på trafiken kommer att minska. För det andra är det begränsningen av tillgången till nätverket i tid. För det tredje är detta fastställandet av gränsvärden för hastigheten för datautbyte på nätverket i förhållande till vissa användares handlingar eller specifika typer av nedladdade filer. Låt oss överväga dessa mekanismer mer i detalj.

Optimera nätverksresurser genom cachning

I struktur nätverkstrafik det finns många typer av filer som används i oförändrad form. Det vill säga, när användaren väl har laddat ner dem till datorn kanske inte användaren upprepar motsvarande operation. Squid-programmet tillåter flexibel konfiguration av mekanismen för att känna igen sådana filer av servern.

Tillräckligt användbart alternativ av proxyservern vi undersöker - kontrollerar en fils ålder i cachen. Objekt som är för långa i motsvarande minnesområde bör uppdateras. Det här alternativet kan aktiveras med kommandot refresh_pattern. Så det fullständiga uttrycket kan se ut som refresh_pattern (minsta tidslängd - i minuter, maximal andel "färska" filer - i %, maximal period). Följaktligen, om en fil finns i cachen längre än de angivna kriterierna, kan det bli nödvändigt att ladda ner en ny version av den.

Resursoptimering genom tidsstyrda åtkomstbegränsningar

Ett annat alternativ som kan användas tack vare funktionerna hos Squid-Proxy är att begränsa användaråtkomst till nätverksresurser över tid. Den ställs in med ett mycket enkelt kommando: ACL (datornamn) tid (dag, timme, minut). Åtkomsten kan begränsas för alla dagar i veckan genom att ersätta "dag" med den första bokstaven i ordet som motsvarar dess namn i det engelska alfabetet. Till exempel, om det är måndag, då M, om det är tisdag, då T. Om kommandot inte innehåller ordet "dag", kommer motsvarande förbud att ställas in för hela veckan. Intressant nog kan du också reglera schemat för att komma in i nätverket, utfört av användare med hjälp av vissa program.

Resursoptimering genom hastighetsbegränsning

Ett ganska vanligt alternativ är att optimera resurser genom att reglera den tillåtna dataväxlingshastigheten inom datornätverk. Proxyservern vi studerar är det mest bekväma verktyget för att lösa detta problem. Reglering av dataväxlingshastigheten i nätverket utförs med hjälp av sådana parametrar som delay_class, delay_parameters, delay_access, såväl som genom elementet delay_pools. Alla fyra komponenterna är av stor betydelse för att lösa de problem som systemadministratörer möter när det gäller att optimera lokala nätverksresurser.

Problemet är följande. På AD-företaget, tillgång till Internet via en proxy, det finns en DMZ. Proxyn och dess port registreras i webbläsarinställningarna, i avsnittet _anslutningar_. ISA 2006 används för att komma åt DMZ (jag har Isa-klient 2004). Vi går till Internet genom bläckfisk.

Efter Windows installation 7 (på en ren maskin) IExplorer konfigurerad som vanligt, registrerade en proxy och port, men IExplorer vägrar att gå online (i enlighet därmed faller möjligheten att aktivera och ta emot uppdateringar). Vid uppstart begärs inloggning och lösenord, men till slut får jag upp en sida med följande meddelande:
==============================
FEL: Cacheåtkomst nekad.

FEL

Cacheåtkomst nekad

Följande fel har inträffat:

  • Cacheåtkomst nekad

Tyvärr, du kan inte begära:

http://go.microsoft.com/fwlink/? från denna cache tills du autentiserar.

För att göra detta behöver du Netscape version 2.0 eller högre, eller Microsoft Internet Explorer 3.0 eller HTTP/1.1-kompatibel webbläsare. Kontakta cacheadministratören om du har problem med autentiseringen, eller ändra ditt standardlösenord.


Genererad tor, 18 juni 2009 04:11:33 GMT av apk-proxy2.apk.gov (squid/2.6.STABLE18) ======================= =======

FireFox har inte detta problem.. Jag angav en proxy i inställningarna, angav mitt användarnamn och lösenord, och här är jag och skriver detta brev.
På XP och Vista är allt OK också .

Jag sätter följande sammansättningar 7100 (rus), 7201, nu kostar det 7231 (rus) - situationen förändras inte.

Frågan är vad och var man ska vrida?

Anledningen till att posta den här artikeln är följande: väldigt ofta på forumen ser jag hur TC ger exempel på deras konfigurationer med ett monstruöst mishmash acl och http_access direktiv, särskilt i ämnen som handlar om problem med tillgång till bläckfisk. När jag sätter upp vilket system som helst försöker jag följa någon form av logisk ordning. Idag ska jag försöka förmedla till dig vad http_access order Jag behåller.

Huvudidén ligger i frasen hämtad från bläckfiskmanualen för http_access:

Om ingen av "åtkomst"-raderna orsakar en matchning är standardinställningen motsatsen till den sista raden i listan. Om den sista raden nekades är standardinställningen tillåt. Omvänt, om den sista raden är tillåten, kommer standarden att vara neka. Av dessa skäl är det en bra idé att ha en "neka alla"-posten i slutet av dina åtkomstlistor för att undvika potentiell förvirring.

Bokstavligen följande:

Om "åtkomst"-regeln inte hittas, kommer regeln motsatt den sista i listan att tillämpas som standard. Om den sista regeln nekas kommer tillåt att tillämpas som standard. Omvänt, om den sista raden är tillåten, är standardvärdet neka. Så det är en bra idé att ha en "neka alla"-regel i slutet av din lista med regler för att undvika eventuella missförstånd.

Jag har redan täckt några tips och regler i artikeln. Nu ska jag försöka förmedla min vision acl och http_access ordning. Faktiskt, ordning av acl-direktiv spelar absolut ingen roll. Huvudsaken att acl definierades INNAN http_access-reglerna(Jag hittade ingen bekräftelse på detta i manualerna, men jag hade några åtkomstproblem när jag placerade acl efter http_access). Jag försöker gruppera acl efter samma typer.

Ställer in http_access i squid

Exakt ordning för att placera http_access-direktiv avgör om klienten kommer åt cachen eller inte. Algoritmen för bearbetning av cachebegäran är följande:

  1. Varje begäran jämförs sekventiellt mot varje rad i http_access-reglerna.
  2. Tills begäran matchar en av reglerna för åtkomst eller avslag kommer den att följa från regel till regel och verifiera dess auktoritet.
    Allt är enkelt här. Låt oss titta på följande regler:
  3. Om flera acls anges i http_access används en logisk AND. Exempel: http_access allow|deny acl AND acl AND... OR http_access allow|deny acl AND acl AND... OR
  4. Om begäran inte matchar någon regel, använder bläckfisk som standard den motsatta regeln till den senaste. # vi har en enda tillåt-regel för vissa acl-användare: http_access tillåt användare # om begäran inte faller in i denna acl, när du får åtkomst till bläckfisk, kommer åtgärden att avvisa att tillämpas på den. # Och om vi har två regler http_access tillåt användare http_access neka användare2 # och begäran inte ingår i varken acl användare eller acl användare2, så kommer tillåt att tillämpas på den. # Det vill säga den motsatta åtgärden av den senaste http_access neka användaren2

Det här är grunderna i grunderna. Men det finns några nyanser som avslöjas under drift.

http_access tuning)

Vi vet att det finns acls som använder extern . Eller andra moduler (t.ex. srcdomain och srcdom_regex kräver upplösning). Det kan rent teoretiskt dras slutsatsen att acl-data kan vara något långsammare än acl src eller dst eller liknande. Enligt wikin delar utvecklare in snabb/långsam acl i följande grupper (från och med bläckfisk 3.1.0.7):

Följaktligen, om vi specificerar förbudsreglerna först, särskilt om de är "snabba" (till exempel sådana

Http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports

) så löser de sig mycket snabbt, vilket minskar belastningen på grund av att färre förfrågningar når reglerna med autentisering, de som verkligen behöver det. Så försök att placera neka http_access-regler med hjälp av acl utan externa moduler så högt som möjligt, placera sedan tillåter regler. Tja, den sista glöm inte att ange neka alla (för att undvika potentiell förvirring).

Felsökning av acl och http_access

Om det fortfarande finns några problem när du länkar http_access-direktivet och den önskade användaren inte får åtkomst kan du prova att använda . Exempel:

Debug_options ALLA,1 33.2

Efter att squid har konfigurerats om kommer cache.log att börja innehålla meddelanden om åtkomstbehörighet/neka för varje session och acl-namnet, enligt vilket åtkomst beviljas eller inte. Om denna information inte räcker kan du inkludera mer information:

Debug_options ALLA,1 33.2 28.9

Sammanfattning

Det var allt för idag. Idag övervägde vi frågan om att konfigurera acl och http_access. Logiken för bearbetning av http_access-direktiv och bekantade mig med några rekommendationer. Kanske kommer någon av läsarna att rätta mig, vilket jag kommer att vara väldigt tacksam för. Utöver den här artikeln rekommenderar jag att du läser http://wiki.squid-cache.org/SquidFaq/SquidAcl.

Med vänlig hälsning, Mc.Sim!