cache_peer hostname type proxy-port icp-port options
где: hostname — имя узла-«соседа»;
type — тип соседа: parent — старший, sibling — одного уровня;
proxy-port — порт прокси-сервера;
icp-port — порт ICP;
options — параметры.
За управление кэшем отвечают следующие директивы:
♦ cache_mem <число> — задает размер оперативной памяти, отводимой под кэш. Размер этот указывается в байтах, килобайтах, мегабайтах (MB) или гигабайтах (GB). По умолчанию используется значение 8 MB;
♦ cache_dir <тип> <каталог> <размер> <1уровня_кат> <2уровня_кат> — задает местоположение кэша на диске и его параметры:
• тип — тип хранения. Практически всегда используется значение ufs;
• каталог — задает имя каталога, в котором будет храниться кэш;
• размер — размер (в мегабайтах) отводимого под кэш пространства на жестком диске;
• 1уровня_кат — максимальное число подкаталогов 1 уровня, которое может быть в указанном каталоге кэша;
• 2уровня_кат — максимальное количество подкаталогов, которое может быть в каждом из подкаталогов 1 уровня.
Значение по умолчанию: cache_dir ufs /usr/local/squid/cache 100 16 256. Допускается использование нескольких записей с директивой cache_dir для определения нескольких каталогов для размещения кэша;
♦ сасhe_swap_high <число> — процент заполнения кэша, по достижении которого начинается ускоренный процесс удаления старых объектов. Значение по умолчанию равно 95;
♦ cache_swap_low <число> — процент заполнения кэша, по достижении которого прекращается удаление старых объектов. Значение по умолчанию равно 90;
♦ maximum_object_size <число> KB — максимальный размер кэшируемого объекта. Значение по умолчанию равно 4096 KB;
♦ minimum_object_size — файлы меньшего размера не кэшируются. Значение по умолчанию: 0 KB.
Ниже перечислены режимы протоколирования SQUID с указанием соответствующих журналов. Если какой-то журнал вам не нужен, установите none вместо имени файла.
♦ cache_access_log /usr/lосal/squid/logs/aссеss.log — протоколирование запросов к SQUID:
♦ cache_log /usr/local/squid/logs/cache.log — протоколирование запусков процессов;
♦ cache_store_log /usr/local/squid/logs/store.log — протоколирование записи объектов в кэш.
18.5.5. Параметры внешних программ
В конфигурационном файле squid.conf могут быть заданы следующие параметры внешних программ и сервисов:
♦ ftp_user email-адрес — этот email-адрес будет использоваться вместо пароля при анонимном доступе к ftp-серверам;
♦ dns_nameservers список IP-адресов — этот список используется вместо того списка DNS-серверов, который определен в файле /etc/resolv.conf; значение по умолчанию — none;
♦ cache_dns program /usr/local/squid/bin/dnsserver — указывает программу разрешения имен (сервер DNS);
♦ authenticate_program none — позволяет производить аутентификацию клиентов, делающих запросы. При этом должен быть определен ACL proxy_auth;
♦ authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/squid/etc/passwd — традиционная программа аутентификации. Определена в ../auth_modules/NCSA.
18.5.6. Параметры администрирования
Параметры администрирования, которые можно задать в файле squid.conf, таковы:
♦ cache_mgr_email — почтовый адрес, на который будет послано письмо, если SQUID перестанет функционировать;
♦ cache_effective_user nobody — при запуске SQUID от имени root изменить UID на указанный в параметре сасhe_effective_user:
♦ cache_effective_group nogroup — при запуске SQUID от имени root изменить GID на указанный в параметре cache_effective_group;
♦ visible_hostname имя_узла — это имя будет упоминаться в сообщениях об ошибках;
♦ hostname_aliases имя — этот параметр задает список синонимов для имени узла.
ACL (Access Control Lists) — списки контроля доступа. Довольно часто возникает необходимость группировки однотипных параметров в единое целое для их последующей обработки. Для эффективного решения этой задачи используются списки ACL. Например:
acl SSL_ports port 443 563
Эта запись означает, что создается список SSL_ports типа port. Элементами списка являются номера портов 443 и 563.
Добавить новый элемент к уже существующему списку можно так:
acl add SSL_ports port 999
Удалить ненужный элемент можно с помощью операции del:
acl del SSL_ports 999
Переименовать список позволяет операция ren:
acl ren SSL_ports Allowed_ports
Удалить все списки вместе с их содержимым позволяет операция flush:
acl flush
Стандарт ACL требует, чтобы перед именем списка обязательно был указан символ $. Строго говоря, все перечисленные выше примеры без этого символа неправильны. Однако большинство фильтров, например SQUID, пренебрегают этим требованием, и вы можете указывать имена списков без знака доллара.
Итак, ACL — это определение списка доступа, имеющее следующий формат:
acl <имя> <тип> <регулярное_выражение>
Типы, которые можно использовать при составлении списков ACL, перечислены в таблице 18.3.
Типы ACL Таблица 18.3
Тип Назначение Src IP-адрес/маска IP-адрес клиентов Src IP1-IP2/маска Диапазон адресов Dst IP-адрес/маска URL узлов Time [день] [Ч1:М1-Ч2:М2] Время, где день — это одна буква из SMTWHFA Port Список портов Port port1-port2 Диапазон портов Proto Протокол — HTTP или FTP Method Метод — GET или POST Browser [-i] рег_выражение Заголовок браузера клиента, [-i] — игнорируется регистр букв
18.6.1. Параметры доступа
Параметры доступа в файле squid.conf задаются следующими директивами:
♦ http_access allow | deny aclname — разрешать доступ к прокси по HTTP;
♦ icp_access allow | deny aclname — разрешать доступ к прокси по ICP;
♦ miss_access allow | deny aclname — разрешать получать ответ MISS («не найден») от вас;
♦ cache_peer_access cache-host allow | deny aclname — ограничить запросы к данному соседу — расширение для cache_peer_domain;
♦ proxy_auth_realm Squid proxy-caching web server — строка текста, которая будет выдана на экран клиента при запросе имени/пароля доступа к кэшу.
18.7. Отказ от рекламы. Баннерный фильтр
Вам не хочется тратить лишнее время на загрузку рекламных баннеров? Мне тоже. К счастью, SQUID позволяет достаточно просто решить эту проблему. Просто вставьте следующие строки в свой файл squid.conf:
acl good_url url_regex "/usr/local/etc/sguid/acl/good_url"
acl bad_urlpath urlpath_regex "/usr/local/etc/squid/acl/bad_urlpath"
acl bad_url url_regex "/usr/local/etc/squid/acl/bad_url"
http_access deny bad_ur_path !good_url
http_access deny bad_url !good_url
Соответственно, нужно будет создать три файла: good_url, bad_url_path и bad_url. В файл bad_url следует поместить URL с плохой репутацией, например:
^http://.*doubleclick
^http://.*-ad.flycast.com/server/img/
^http://1000.stars.ru/cgi-bin/1000.cgi
^http://12.16.1.10/~web_ani/
А в файл bad_url_path — «плохие» пути, например, такие, которые часто бывают у баннеров:
88x31.*gif
88x31.*GIF
100x80.*gif
100x80.*GIF
100x100.*gif
100x100.*GIF
120x60.*gif
120x60.*GIF
179x69.*gif
193x72.*gif
468x60.*gif
Примеры файлов good_url, bad_url_path и bad_url можно взять на моей домашней страничке http://dkws.narod.ru.
18.8. Разделение канала с помощью SQUID
Допустим, вам нужно настроить прокси-сервер таким образом, чтобы одна группа компьютеров работала в Интернете с одной скоростью, а другая — с другой. Это может потребоваться, например, для разграничения пользователей, которые используют канал для работы, и пользователей, которые используют ресурсы канала в личных целях. Естественно, первым пропускная способность канала важнее, чем вторым. С помощью прокси-сервера SQUID можно разделить канал.
Для начала в файле конфигурации squid.conf укажите, сколько пулов, то есть групп пользователей, у вас будет:
delay_pools 2
