squid.conf по-русски. Секция Network

Перевод подготовила команда проекта http://break-people.ru

Секция: NETWORK
-----------------------------------------------------------------------------

TAG: http_port

hostname:port [options]
1.2.3.4:port [options]

Этот тэг устанавливает порт на котором, Squid будет слушать HTTP запросы клиента. Вы можете указать несколько портов, адресов + портов. Три варианта ввода данных, для этого тэга: только порт, hostname с портом и IP адрес с портом. Если вы определите hostname или IP адрес, то Squid будет слушать порт на этом hostname или адресе. Это заменяет старую опцию 'tcp_incoming_address'. В большинстве случаев, вам нет необходимости указывать адрес, достатчно указать только порт.

Если Squid запущен в режиме accelerator, то возможно вы захотите настроить Squid слушать также 80 порт.

Вы можете настроить Squid на прослушивание нескольких адресов/портов и адресов, распологая все их по одному на строку.

======= Опции =======

transparent

Поддержка прозрачного проксирования.

tproxy

Поддержка Linux TPROXY для подмены исходящих соединений используя клиентский IP адрес.

accel

Режим Accelerator. Требуется хотя бы один vhost/vport/defaultsite. Этот режим позволяет Squid слушать 80 порт, при том, что на нем уже висит сервер Apache. При этом, получается - используя Squid можно заходить на внутренние ресурсы локальной сети, не выходя в Интернет, т.е. не через внешку заходить к себе же. Для этого и нужно указать хоть один виртуальный сервер по умолчанию.

defaultsite=domainname

Сайт по умолчанию для accelerator. Используется для accel.

vhost

Хост(IP адрес) виртуального сервера. Используется для accel.

vport

Порт виртуального сервера. Используется для accel.

vport=NN

Порт виртуального сервера. Только если этот порт отличен от того, что внесен в http_port. Используется для accel.

urlgroup=

Urlgroup по умолчанию, для маркировки запросов. Смотри также acl urlgroup и url_rewrite_program.

protocol=

Протокол используемый Accelerator. По умолчанию - http.

no-connection-auth

Останавливает форвардинг Microsoft подключений, использующих аутентификацию(NTLM, Negotiate и Kerberos)

Если у вас сервер с двумя сетевыми интерфейсами, мы рекомендуем указать через http_port, внутренний интерейс(IP адрес:порт). Это сделает видимым Squid только для внутренних адресов.

Squid обычно слушает порт 3128.

По умолчанию:

http_port 3128

TAG: https_port

Примечание: Этот тэг доступен только если Squid скомпилирован с опцией --enable-ssl

[ip:]port cert=certificate.pem [key=key.pem] [options...]

Этот тэг позволяет задать адрес и порт на котором Squid будет слушать запросы клиентов по HTTPS.

Это полезно только в ситуациях, когда Squid запущен в режиме Accelerator и вы хотите, чтобы и SSL работал через Accelerator.

Вы можете указать несколько портов/адресов и портов, по одному на строку. Каждая строка содержала бы порт или пару - адрес:порт, свой собственный SSL сертификат и/или опции.

======= Опции ========

defaultsite=domainname

Сайт по умолчанию для accelerator. Используется для accel.

vhost

Хост(IP адрес) виртуального сервера. Используется для accel.

urlgroup=

urlgroup по умолчанию, для маркировки запросов. Смотри также acl urlgroup и url_rewrite_program.

protocol=

Протокол используемый Accelerator. По умолчанию - https.

cert=

Путь к SSL сертификату (PEM формат).

key=

Путь к SSL файлу частного ключа (PEM формат). Если нет отдельного файла ключа, тогда файл сертификата должен иметь и то и другое в себе.

version=

Поддерживаемые опции SSL/TLS

1 automatic (по умолчанию) Автоматически
2 SSLv2 only (Только SSLv2)
3 SSLv3 only (Только SSLv3)
4 TLSv1 only (Только TLSv1)

cipher=

Список поддерживаемых шифров, разделенных двоеточием.

options=

Различные SSL опции. Самые важные из них:

NO_SSLv2 Запрещает использовать SSLv2
NO_SSLv3 Запрещает использовать SSLv3
NO_TLSv1 Запрещает использовать TLSv1
SINGLE_DH_USE Всегда создает новый ключ, если использует временный DH ключ. Смотри src/ssl_support.c или OpenSSL SSL_CTX_set_options документацию. Там есть полный список SSL опций.

clientca=

Файл содержащий список используемых CA, когда клиент запрашивает сертификат.

cafile=

Файл содержащий дополнительные CA сертификаты для верификации клиента. Если пусто, то используется clientca.

capath=

Каталог содержащие дополнительные CA сертификаты и списки CRL используемые для верификации клиента.

crlfile=

Файл дополнительных списков CRL используемых для верификации клиента. Требует установки флага VERIFY_CRL.

dhparams=

Файл содержащий DH параметры для временных DH ключей.

sslflags=

Различные флаги SSL:

DELAYED_AUTH

Не запрашивает клиентский сертификат немедленно, а ждет, пока ACL запросит его.

NO_DEFAULT_CA

Не использовать списки CA по умолчанию, встроенные в OpenSSL.

NO_SESSION_REUSE

Запрещает переиспользование сессии. Каждое подключение открывает новую SSL сессию.

VERIFY_CRL

Проверять CRL списки когда приняты клиентские сертификаты.

VERIFY_CRL_ALL

Проверять CRL списки для всех сертификатов в цепочке клиентского сертификата.

sslcontext=

ID контекстный идентификатор SSL.

vport

Порт виртуального сервера. Используется для accel.

vport=NN

Порт виртуального сервера. Только если этот порт отличен от того, что внесен в https_port. Используется для accel.

По умолчанию:

none

TAG: tcp_outgoing_tos

Этот тэг позволяет вам выбрать значение TOS/Diffserv для маркировки исходящих соединений, открытых на основе username(имя пользователя) или IP адреса.

tcp_outgoing_tos ds-field [!]aclname ...

Пример, где normal_service_net используют TOS значение 0x00 и good_service_net используют 0x20

acl normal_service_net src 10.0.0.0/255.255.255.0
acl good_service_net src 10.0.1.0/255.255.255.0
tcp_outgoing_tos 0x00 normal_service_net
tcp_outgoing_tos 0x20 good_service_net

TOS/DSCP значения, являются локальной подписью - поэтому вы должны знать, что вы делаете. Для более подробной информации смотри RFC2474 и RFC3260

TOS/DSCP устанавливается в байтах.Поэтому это должно быть число из диапазона 0-255 или введите значение "default", чтобы использовать значения по умолчанию. На практике используются значения в диапазоне 0-63. Для более подробной информации смотри RFC3168.

Примечание: Использование этого тэга с применением ACL невозможно, если сервер использует persistent(постоянные) соединения. Для того, чтобы быть увереным в правильной работе этого тэга, вам следует установить значение тэга server_persistent_connections в off.

По умолчанию:

none

TAG: tcp_outgoing_address

Этот тэг позволяет вам настроить форвардинг запросов на различные IP адреса(через различные сетевые интерфейсы), используя ACL.

tcp_outgoing_address ipaddr [[!]aclname] ...

Пример, где запросы от 10.0.0.0/24 будут отправлены через интерфейс 10.1.0.1 ;
Запросы от 10.0.1.0/24 и 10.0.2.0/24 будут отправлены с интерфейса 10.1.0.2 ;
А остальные запросы пойдут с 10.1.0.3 .

acl normal_service_net src 10.0.0.0/24
acl good_service_net src 10.0.1.0/24 10.0.2.0/24
tcp_outgoing_address 10.1.0.1 normal_service_net
tcp_outgoing_address 10.1.0.2 good_service_net
tcp_outgoing_address 10.1.0.3

Примечание: Использование этого тэга с применением ACL невозможно, если сервер использует persistent(постоянные) соединения. Для того, чтобы быть увереным в правильной работе этого тэга, вам следует установить значение тэга server_persistent_connections в off.

По умолчанию:

none



Ссылки:

К содержанию
Squid на практике
Работа с Squid через Webmin
Анализатор логов Squid

© Copyright 2004-2017 - CMS Made Simple
Сайт работает на CMS Made Simple version 1.4.1

© Все печеньки Break-people.ru принадлежат авторам проекта.

Яндекс цитирования Рейтинг@Mail.ru Яндекс.Метрика