Squid для самых маленьких

    Всему приходит время, и каждый начинающий сисадмин изучает новые программные пакеты для работы. Вот и дошло время для Squid, я думаю не стоит обьяснять что это такое, если вы это читаете значит вы уже представляете что такое сквид и для чего он нужен!

    Вот когда-то и мне тоже пришлось изучать эти дебри конфига… Я сначала думал что его просто не реально настроить, из-за большого количества параметров. Но со временем я понял, что там уже всё настроено для нормальной работы. Для раздачи интернета вам необходимо всего лишь добавить
    • acl all src 0.0.0.0/24
    • http_access allow all


    Итак, эти две магические сточки сделают следущее:
    Первая строка Создаст acl (Access Control List) с именем all для абсолютно всех ip-адресов.
    Вторая разрешит acl all доступ.

    Вот собственно и всё, теперь все кто будут ломиться на нашу проксю, смогут безнаказанно ломиться в инет, хотя можно и посмотреть кто, куда, и на сколько, но это тему уже другой статьи. Но этого можно избежать. Предположим у вас под сеть 192.168.0.0/24. Сервер со сквидом весит на адресе 192.168.0.1:3128(порт 3128 по дефолту), и второй интерфейс (не важно какой) смотрит в инет, то, для того чтобы пользоваться интернетом могли только компьютеры из вашей под сети необходимо убрать acl all, (его вообще не рекомендуется использовать в alllow!!!)и создать, к примеру вот так:

    • acl my_network src 192.168.0.0/24
    • acl all src 0.0.0.0/24
    • http_access allow my_network
    • http_access deny all


    Теперь, в интернет смогут заходить все у кого ip-адресс входит в наш acl my_network.

    Если это вас заинтересовало, то ждите новые статьи из серии «Заметки непутевого админа» :)
    Кросспост из моего блога
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 14

      0
      на статью ИМХО не тянет, но если в будущем всё-таки будет написан большой ман, думаю будет интересно, по этому в качестве аванса плюсую
        0
        А вот теперь эта статья хорошо ищется в яндексе и на хабре. Так что считаю своим долгом заметить, что 0.0.0.0/24 — совсем не всё, как описано выше.
        Пол ночи парился из-за этого, если уж хотите всё, то пишите так:
        acl all src 0/0
      • НЛО прилетело и опубликовало эту надпись здесь
        • НЛО прилетело и опубликовало эту надпись здесь
            0
            еще облегчает настройку squidGuard
              0
              Что-то уж со всем для маленьких, хотелось бы подробней.
              p.s. «если вы это читаете значит вы» получили пост по рсс или листаете ленту
                +1
                >acl all src 0.0.0.0/24
                >Первая строка Создаст acl (Access Control List) с именем all для абсолютно всех ip-адресов.

                неверно. ваш АЦЛ описывает сеть 0.0.0.0/24 с диапазоном адресов 0.0.0.0-0.0.0.255

                  +1
                  acl my_network src 192.168.0.0/24
                  acl all src 0.0.0.0/24
                  http_access allow my_network
                  http_access deny all



                  вот так и появляются открытые прокси.
                  исправляйте быстрее, а то «самые маленькие» сейчас понастраивают…
                    0
                    Открытые прокси — иногда их делают сознательно, а те кто их делает по не осторожности, просто не знает, иногда, что такое прокси. Вот и приведен данный пример.
                    А для локального прокси, я сейчас поправлю.
                  –1
                  под маком есть SquidMan. Там раздача инета настраивается в два клика )
                    0
                    router:~# ipcalc 0.0.0.0/24
                    Address:   0.0.0.0              00000000.00000000.00000000. 00000000
                    Netmask:   255.255.255.0 = 24   11111111.11111111.11111111. 00000000
                    Wildcard:  0.0.0.255            00000000.00000000.00000000. 11111111
                    =>
                    Network:   0.0.0.0/24           00000000.00000000.00000000. 00000000
                    HostMin:   0.0.0.1              00000000.00000000.00000000. 00000001
                    HostMax:   0.0.0.254            00000000.00000000.00000000. 11111110
                    Broadcast: 0.0.0.255            00000000.00000000.00000000. 11111111
                    Hosts/Net: 254                   Class A (!!!)


                    acl all src 0.0.0.0/0.0.0.0
                    acl localhost src 127.0.0.1/255.255.255.255
                    acl to_localhost dst 127.0.0.0/8

                    acl home src 192.168.1.2 — по IP
                    acl home arp 00:1A:4D:91:F6:F1 — по MAC

                    http_access allow home
                    http_access allow localhost

                    auth_param basic program /usr/lib/squid/pam_auth — PAM
                    acl auth proxy_auth REQUIRED
                    http_access allow auth
                    http_access deny all
                      0
                      а еще у меня вот так:

                      header_access X-Forwarded-For deny all
                      header_access Via deny all
                        0
                        Этот топик создавался для тех кто только что начал изучать сквид. Я тоже когда то его начинал изучать, и оп началу все было так сложно, что решил поделиться опытом, и чтобы не пугались новички.
                        В будущем буду усложнать тематику, и доводить все это.
                        Вот когда я переходил на убунту, то не хотел возиться с вайном, ибо HandyCache только под виндой. Решил начать изучение никсовых программ. Вот и докатился =)
                        Изменя всего несколько строчек, можно сделать «Лкальный кеширующий прокси сервер на Linux» и не только ;)
                          0
                          Хорошо, что вы решили освятить данную тему, но позвольте немного конструктивной критики.
                          Я вот хотел дать коллеге почитать ваш пост. Но позвольте, сколько времени прошло, а вы до сих пор не исправили ошибку с подсетью 0.0.0.0/24. Более того. Если уж хотите освятить вопрос, дайте больше информации, как работает прокси, как идет запрос, как обрабатывается. Настроить можно и по мануалам из интернета, а вот понимать процесс, чтобы иметь возможность отладить\внести свои коррективы — это сложно! Начинающим самое главное понимание процессов, имхо.

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое