Squid memiliki banyak cara membatasi akses ke, dan membatasi apa yang pengguna dapat
lakukan.
Kami akan mencakup daftar kontrol akses dasar, dan bagaimana ini dapat digunakan dari
memaksa permintaan untuk melewati proxy orang tua untuk membatasi akses ke
proxy. Selain itu, kami akan menjelaskan cara untuk melindungi password proxy, dan
bagaimana menerapkan delay pools (membatasi penggunaan bandwidth).
ACL memiliki banyak pilihan untuk membatasi akses berdasarkan alamat ip sumber, alamat
tujuan ip, domain sumber, dan domain tujuan. Hal ini dilakukan oleh:
acl src wxyz / abcd # ACL berdasarkan alamat sumber ip
acl dst wxyz / abcd # ACL berdasarkan alamat tujuan ip
srcdomain foo.com acl # ACL berdasarkan sumber domain
foo.com dstdomain acl # ACL berdasarkan domain tujuan
Untuk menggunakan ini untuk membatasi akses ke proxy squid anda untuk hanya host yang
anda ingin - yakni, host lokal, gunakan format perintah berikut:
Anda dapat memiliki sebagai garis acl sebanyak yang Anda inginkan, menetapkan sebagai ip
banyak sumber yang berbeda alamat yang Anda inginkan. Tambahkan http_access lain
memungkinkan line untuk setiap acl, dan mengingat garis OR'ed bersama-sama. Jika Anda
ingin memiliki beberapa pembatasan, menempatkan mereka pada baris http_access yang
sama dan mereka AND'ed bersama.
Untuk membatasi akses ke proxy squid melalui waktu, gunakan format:
aclname acl waktu [hari-abbrevs] [h1: m1-h2: m2]
hari-abbrevs:
S - Minggu
M - Senin
T - Selasa
W - Rabu
H - Kamis
F - Jumat
A - Sabtu
Ini dapat digunakan, misalnya, untuk membatasi akses untuk bekerja jam (9:00-17:00, Senin
sampai Jumat).
Ada format lain untuk daftar kontrol akses, mulai dari ekspresi reguler berdasarkan sumber,
URL dan nama tujuan domain, browser User-Agent string (string yang mengidentifikasi ke
server apa browser yang Anda gunakan), dan banyak lagi.
Lihat squid.conf default didistribusikan dengan Squid untuk informasi lebih lanjut.
Hal ini juga mungkin untuk memaksa permintaan baik langsung ke sumber, atau untuk pergi
melalui setiap orang tua atau saudara proxy. Memaksa semua lalu lintas melalui proxy
lingkungan berguna dalam situasi di mana lalu lintas ke proxy orang tua adalah biaya lebih
rendah dari lalu lintas langsung. Memaksa lalu lintas untuk pergi langsung ke server biasanya
digunakan untuk memaksa permintaan lokal (misalnya, host di intranet). Standar cara
mengkonfigurasi ini adalah:
acl dstdomain host.domain.com lokal-intranet
always_direct memungkinkan lokal intranet
never_direct menyangkal lokal-intranet
never_direct mengizinkan semua
Ini adalah ide sederhana yang membaca dalam sebuah username dan password, menjalankan
program otentikasi yang ditentukan, dan baik kembali OK, jika username / kombinasi
password sudah benar, atau ERR jika tidak, dalam sebuah lingkaran tak berujung. Ini dapat
digunakan dalam banyak cara - pencarian password sistem yang sederhana, pencarian
database atau bahkan query LDAP.
Secara default, Squid dilengkapi dengan otentikasi proxy tradisional di
SQUID_SRC_ROOT / auth_modules / NCSA direktori. Untuk kompilasi, cd ke direktori ini
dan ketik:
$ Make
# Make install
Hal ini kemudian dapat digunakan dalam baris http_access, sebagai berikut:
Anda juga dapat menetapkan string teks yang diberikan kepada pengguna ketika mereka
diminta untuk nama pengguna / kata sandi oleh:
proxy_auth_realm Squid proxy-caching web server
Satu masalah dengan otentikasi proxy adalah, secara default, ia tidak memaksa otentikasi
koneksi FTP.
Untuk menentukan kolam klien jatuh ke dalam, membuat ACL yang menentukan rentang ip
untuk setiap kolam, dan gunakan sebagai berikut:
dimana agregat''`` adalah parameter untuk ember agregat, jaringan ``''untuk ember jaringan,
dan''`` individu untuk ember individu.
Agregat hanya berguna untuk kelas 1, 2, dan 3 jaringan untuk kelas 2 dan 3, dan individu
untuk kelas 3.
Masing-masing parameter ditentukan sebagai restore / maksimum - mengembalikan menjadi
byte per detik dikembalikan ke ember, dan maksimum menjadi jumlah byte yang dapat di
ember setiap saat. Penting untuk diingat bahwa mereka berada dalam byte per detik, bukan
bit.Untuk menetapkan bahwa parameter tidak terbatas, gunakan -1.
Jika Anda ingin membatasi parameter dalam bit per detik, membagi jumlah ini dengan 8, dan
menggunakan nilai baik untuk mengembalikan dan maksimal. Misalnya, untuk membatasi
seluruh proxy untuk 64kbps, gunakan:
delay_parameters 1 8000/8000
Hal ini juga mungkin untuk menentukan seberapa penuh ember dimulai:
delay_initial_bucket_level 50
Untuk penjelasan lebih lanjut dan contoh, bacalah komentar squid.conf default file.
Seperti yang anda lihat, squid menyediakan banyak cara untuk membatasi akses ke sana, baik
dengan membatasi yang bisa menggunakannya, dan berapa banyak mereka dapat
menggunakannya. Ada banyak opsi untuk Squid daripada dibahas di sini, tetapi defaultnya
adalah wajar untuk kebanyakan kasus.
Otentikasi
Otentikasi tidak dapat digunakan dalam mencegat proxy transparan sebagai klien maka
berpikir itu adalah berbicara ke server asal dan tidak proxy. Ini adalah keterbatasan menekuk
protokol TCP / IP untuk port 80 transparan, tidak mencegat keterbatasan dalam Squid.
Kode sumber Squid dilengkapi dengan beberapa proses otentikasi untuk otentikasi dasar. Ini
termasuk
Di Squid Selain itu juga mendukung otentikasi NTLM dan skema Digest yang baik
memberikan metode otentikasi yang lebih aman mana password tidak dipertukarkan dalam
teks biasa.
Konfigurasi squid untuk otentikasi LDAP
Misalnya
auth_param basic program / usr / local / squid / sbin /-b dc squid_ldap_auth = visolve, dc =
com-f uid = s-h visolve.com%
acl password proxy_auth REQUIRED
http_access memungkinkan sandi
http_access deny semua
Untuk memeriksa apakah Squid mesin berkomunikasi dengan server LDAP Gunakan bawah
perintah di baris perintah
Contoh:
# / Usr / local / squid / sbin / squid_ldap_auth-b dc = visolve, dc = com-f uid =% s
visolve.com
Ini menunggu input.You tersebut harus memberi ruang uid passwd. Jika itu dapat terhubung
ke server LDAP itu akan kembali "ok".
Ada beberapa alat yang digunakan untuk memantau Squid via SNMP, antara yang MRTG
banyak digunakan. Multi Router Traffic Grapher (MRTG) adalah alat untuk memantau
informasi cumi-cumi yang menghasilkan status real-time (representasi grafis), dalam
pandangan yang dinamis dengan sampling data setiap lima menit (dapat bervariasi sesuai
dengan kebutuhan Anda).MRTG menunjukkan aktivitas - dalam 24 jam terakhir dan juga
dalam, bulanan dan tahunan grafik mingguan.
Memonitor Kinerja Squid
Squid kinerja dimonitor dengan menggunakan cache dan manajer SNMP.
Cache Manager:
Hal ini menyediakan akses ke informasi tertentu yang diperlukan oleh administrator
cache. Sebuah program pendamping, cachemgr.cgi dapat digunakan untuk membuat
informasi ini tersedia melalui browser Web. permintaan manajer Cache untuk Squid yang
dibuat dengan URL khusus bentuk
Manajer cache pada dasarnya hanya menyediakan akses''`` membaca untuk informasi. Ini
tidak memberikan sebuah metode untuk mengkonfigurasi Squid ketika sedang berjalan.
SNMP:
SNMP dapat digunakan untuk memantau informasi runtime tanya seperti penggunaan CPU,
penggunaan memori, Cache Hit, Miss dll Multi Router Traffic Grapher (MRTG) adalah alat
untuk memantau informasi cumi-cumi yang menghasilkan status real-time (representasi
grafis), di dinamis tampilan dengan pengambilan data setiap lima menit.
Squid kinerja dapat ditingkatkan dengan mengumpulkan data kinerja untuk lingkungan
tertentu dan tuning dan Kernel parameter Hardware untuk kinerja puncak.
cache_dir aufs
Catatan:
Jika disk caching tidak digunakan, maka harus dinonaktifkan dengan menetapkan'ke' null /
tmp.
Ini menghilangkan kebutuhan data indeks memori cache meta-ruang yang digunakan oleh
squid.
Log file
Rotating Log
File log yang lebih besar dapat ditangani dengan memutar same.This bisa dilakukan dengan
perintah berikut
squid-k rotate
Untuk menentukan jumlah rotasi logfile untuk membuat ketika anda mengetik "squid-k
memutar 'mengkonfigurasi dalam file squid.conf di direktif logfile_rotate.
Penjadwalan dari prosedur ini dapat dilakukan dengan Cron entry yang berputar log pada
tengah malam.
Squid oleh doesnt default mendukung log ukuran lebih besar dari 2 GB.To membuat cumi
mendukung file dengan ukuran lebih besar dari 2GB mengkompilasi cumi-cumi dengan opsi
(- dengan-besar-file)
Sumber : http://firmanpurnama.blogspot.com/2011/02/managemen-bandwidth-dengan-delay-
pool.html