Страница 1 из 1

Дайте пару советов по конфигу Squid

Добавлено: 2012-01-17 10:39:06
Jetro
Сквид работает, но тем не менее хотелось чтобы конфиг просмотрели более опытные люди чем я.
Имеется сервер под FreeBSD 8.2, Squid 3.1.18. Доступ к Сквиду на основе IP-адресов, при этом есть несколько сайтов разрешенных всем, и несколько веб-страниц организации, которые так-же доступны всем, которые работают не через интернет, и которые нужно кэшировать. Так-же установлен Режик, страницы ошибок находятся в кэше Сквида.
Просмотрите на наличие ошибок и недочетов, а так-же прошу дать пару советов по конфигу. Мой конфиг:

Код: Выделить всё

visible_hostname Squid.AAA.BBB

http_port 3128
icp_port 0

forwarded_for off

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 125 MB
maximum_object_size 5120 KB
maximum_object_size_in_memory 128 KB
cache_dir ufs /usr/squid/cache 50000 64 512

access_log /var/log/squid/access.log squid
cache_store_log none
cache_log /var/log/squid/cache.log
debug_options ALL,1

# Режик
url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf

acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 3128	# без этого были недоступны страницы ошибок Режика
acl Safe_ports port 5555	# этот порт для доступа к http-серверам организации
acl CONNECT method CONNECT

acl manager proto cache_object
acl     localhost       src        127.0.0.0/8
acl     localhost       src        192.168.11.80/32 # Без этого были недоступны страницы ошибок Режика
acl     my_networks    src         192.168.11.0/24 # Сеть моей организации
acl     my_web         src         192.168.1.0/24 # Здесь на разных хостах находяться http-серверы
acl     my_web         src         192.168.2.0/24 # Здесь на разных хостах находяться http-серверы
acl     AllowSites     url_regex   "/usr/local/etc/squid/AllowSites.list" # сайты, на которые имеют доступ все
acl     IPauth          src        "/usr/local/etc/squid/PCs.list" # Список адресов машин, которым доступен интернет

http_access     allow   localhost
http_access     deny    !my_networks # Разрешаем доступ только с моей сети
http_access     allow   my_web # Разрешаем всем доступ к серверам организации
http_access     deny    CONNECT        !SSL_ports
http_access     deny    !safe_ports
http_access     allow   AllowSites
http_access     allow   IPauth
http_access allow manager
http_access deny manager

http_access     deny    all

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
192.168.11.0/24 - здесь находятся мои адреса
192.168.1.0/24, 192.168.2.0/24 - главное отделение, здесь находятся WEB-сервера, работу с которыми нужно кэшировать, ибо скорость к ним маленькая.
По поводу разрешенных всем сайтов - сделал доступ по Регэкспу, так как dstdomain отрабатывал немного не верно, ибо адреса к сайтам немного специфические.

Ну а теперь вопросы:
Для Режика не требуется директива "url_rewrite_children"?
Мне не дает покоя правило "http_access deny !my_networks". У меня впечатление что оно пересекается с "http_access allow IPauth", хотя все вроди и работает правильно.

Re: Дайте пару советов по конфигу Squid

Добавлено: 2012-01-17 12:11:46
manefesto
http_port 3128 transparent
visible_hostname 192.168.33.1


cache_dir ufs /home/squid 5000 50 128


cache_access_log /home/squid/logs/cache_access.log

cache_log /home/squid/logs/cache.log

acl Safe_ports port 21 22 80 110 5190
acl SSL_Ports port 443
acl CONNECT method CONNECT

acl arch url_regex .zip$ .tar.gz$ .tar.bz2$
no_cache deny arch


acl nobanners src all
acl banners url_regex "/usr/local/etc/squid/banner.acl"
http_access deny nobanners banners

refresh_pattern -i \.gif$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.png$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.jpg$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.jpeg$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.swf$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.flv$ 43200 100% 43200 override-lastmod override-expire


acl localnet src 127.0.0.1 192.168.33.1 192.168.33.91 192.168.33.94 192.168.33.96 192.168.33.98 192.168.33.99 192.168.33.97 192.168.33.95 192.168.33.100


http_access allow localnet
http_access deny all
уже не помню как писал этот конфиг

Re: Дайте пару советов по конфигу Squid

Добавлено: 2012-01-17 12:48:41
sadchok
Вот для примера

Код: Выделить всё

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl localnet src 172.16.24.21-172.16.24.254     # RFC1918 possible internal network
acl server src 172.16.24.2-172.16.24.20 # RFC1918 possible internal network
acl work_time1 time MTWHF 08:30-12:30                       ## время блокировки
acl work_time2 time MTWHF 14:00-18:00
acl bad_sites url_regex -i "/usr/local/etc/squid/bad_sites" ##  список элементов URL-а, например, "porn"

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow server
http_access deny localnet bad_sites work_time1
http_access deny localnet bad_sites work_time2
http_access allow localnet
http_access allow localhost

http_access deny all

http_port 172.16.24.1:3128
http_port 192.168.24.4:3128
http_port 127.0.0.1:3128 transparent

coredump_dir /var/squid/cache

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

cache_mgr root@domain.ru
visible_hostname proxy.domain.ru

Re: Дайте пару советов по конфигу Squid

Добавлено: 2012-01-17 15:28:31
Jetro
manefesto, sadchok, что это? Вы уж меня извините, но мой пост вы вообще читали? У меня есть конфиг, который я написал сам, и который меня полностью удовлетворяет. Я только прошу критики своего конфига, прошу местных гуру просмотреть его и указать на недочеты, а вы что делаете? Выкладываете свои конфиги, которые под мои требования мало того что не подходят, да и не нужны совсем, так как я сам в состоянии реализовать свои идеи.

Re: Дайте пару советов по конфигу Squid

Добавлено: 2012-01-17 16:33:30
sadchok
Сори :pardon: