Перевод подготовила команда проекта http://break-people.ru
Секция: NETWORK
-----------------------------------------------------------------------------
TAG: http_port
hostname:port [options]
1.2.3.4:port [options]
Этот тэг устанавливает порт на котором, Squid будет слушать HTTP запросы клиента. Вы можете указать несколько портов, адресов + портов. Три варианта ввода данных, для этого тэга: только порт, hostname с портом и IP адрес с портом. Если вы определите hostname или IP адрес, то Squid будет слушать порт на этом hostname или адресе. Это заменяет старую опцию 'tcp_incoming_address'. В большинстве случаев, вам нет необходимости указывать адрес, достатчно указать только порт.
Если Squid запущен в режиме accelerator, то возможно вы захотите настроить Squid слушать также 80 порт.
Вы можете настроить Squid на прослушивание нескольких адресов/портов и адресов, распологая все их по одному на строку.
======= Опции =======
transparent
Поддержка прозрачного проксирования.
tproxy
Поддержка Linux TPROXY для подмены исходящих соединений используя клиентский IP адрес.
accel
Режим Accelerator. Требуется хотя бы один vhost/vport/defaultsite. Этот режим позволяет Squid слушать 80 порт, при том, что на нем уже висит сервер Apache. При этом, получается - используя Squid можно заходить на внутренние ресурсы локальной сети, не выходя в Интернет, т.е. не через внешку заходить к себе же. Для этого и нужно указать хоть один виртуальный сервер по умолчанию.
defaultsite=domainname
Сайт по умолчанию для accelerator. Используется для accel.
vhost
Хост(IP адрес) виртуального сервера. Используется для accel.
vport
Порт виртуального сервера. Используется для accel.
vport=NN
Порт виртуального сервера. Только если этот порт отличен от того, что внесен в http_port. Используется для accel.
urlgroup=
Urlgroup по умолчанию, для маркировки запросов. Смотри также acl urlgroup и url_rewrite_program.
protocol=
Протокол используемый Accelerator. По умолчанию - http.
no-connection-auth
Останавливает форвардинг Microsoft подключений, использующих аутентификацию(NTLM, Negotiate и Kerberos)
Если у вас сервер с двумя сетевыми интерфейсами, мы рекомендуем указать через http_port, внутренний интерейс(IP адрес:порт). Это сделает видимым Squid только для внутренних адресов.
Squid обычно слушает порт 3128.
По умолчанию:
http_port 3128
TAG: https_port
Примечание: Этот тэг доступен только если Squid скомпилирован с опцией --enable-ssl
[ip:]port cert=certificate.pem [key=key.pem] [options...]
Этот тэг позволяет задать адрес и порт на котором Squid будет слушать запросы клиентов по HTTPS.
Это полезно только в ситуациях, когда Squid запущен в режиме Accelerator и вы хотите, чтобы и SSL работал через Accelerator.
Вы можете указать несколько портов/адресов и портов, по одному на строку. Каждая строка содержала бы порт или пару - адрес:порт, свой собственный SSL сертификат и/или опции.
======= Опции ========
defaultsite=domainname
Сайт по умолчанию для accelerator. Используется для accel.
vhost
Хост(IP адрес) виртуального сервера. Используется для accel.
urlgroup=
urlgroup по умолчанию, для маркировки запросов. Смотри также acl urlgroup и url_rewrite_program.
protocol=
Протокол используемый Accelerator. По умолчанию - https.
cert=
Путь к SSL сертификату (PEM формат).
key=
Путь к SSL файлу частного ключа (PEM формат). Если нет отдельного файла ключа, тогда файл сертификата должен иметь и то и другое в себе.
version=
Поддерживаемые опции SSL/TLS
1 automatic (по умолчанию) Автоматически
2 SSLv2 only (Только SSLv2)
3 SSLv3 only (Только SSLv3)
4 TLSv1 only (Только TLSv1)
cipher=
Список поддерживаемых шифров, разделенных двоеточием.
options=
Различные SSL опции. Самые важные из них:
NO_SSLv2 Запрещает использовать SSLv2
NO_SSLv3 Запрещает использовать SSLv3
NO_TLSv1 Запрещает использовать TLSv1
SINGLE_DH_USE Всегда создает новый ключ, если использует временный DH ключ. Смотри src/ssl_support.c или OpenSSL SSL_CTX_set_options документацию. Там есть полный список SSL опций.
clientca=
Файл содержащий список используемых CA, когда клиент запрашивает сертификат.
cafile=
Файл содержащий дополнительные CA сертификаты для верификации клиента. Если пусто, то используется clientca.
capath=
Каталог содержащие дополнительные CA сертификаты и списки CRL используемые для верификации клиента.
crlfile=
Файл дополнительных списков CRL используемых для верификации клиента. Требует установки флага VERIFY_CRL.
dhparams=
Файл содержащий DH параметры для временных DH ключей.
sslflags=
Различные флаги SSL:
DELAYED_AUTH
Не запрашивает клиентский сертификат немедленно, а ждет, пока ACL запросит его.
NO_DEFAULT_CA
Не использовать списки CA по умолчанию, встроенные в OpenSSL.
NO_SESSION_REUSE
Запрещает переиспользование сессии. Каждое подключение открывает новую SSL сессию.
VERIFY_CRL
Проверять CRL списки когда приняты клиентские сертификаты.
VERIFY_CRL_ALL
Проверять CRL списки для всех сертификатов в цепочке клиентского сертификата.
sslcontext=
ID контекстный идентификатор SSL.
vport
Порт виртуального сервера. Используется для accel.
vport=NN
Порт виртуального сервера. Только если этот порт отличен от того, что внесен в https_port. Используется для accel.
По умолчанию:
none
TAG: tcp_outgoing_tos
Этот тэг позволяет вам выбрать значение TOS/Diffserv для маркировки исходящих соединений, открытых на основе username(имя пользователя) или IP адреса.
tcp_outgoing_tos ds-field [!]aclname ...
Пример, где normal_service_net используют TOS значение 0x00 и good_service_net используют 0x20
acl normal_service_net src 10.0.0.0/255.255.255.0
acl good_service_net src 10.0.1.0/255.255.255.0
tcp_outgoing_tos 0x00 normal_service_net
tcp_outgoing_tos 0x20 good_service_net
TOS/DSCP значения, являются локальной подписью - поэтому вы должны знать, что вы делаете. Для более подробной информации смотри RFC2474 и RFC3260
TOS/DSCP устанавливается в байтах.Поэтому это должно быть число из диапазона 0-255 или введите значение "default", чтобы использовать значения по умолчанию. На практике используются значения в диапазоне 0-63. Для более подробной информации смотри RFC3168.
Примечание: Использование этого тэга с применением ACL невозможно, если сервер использует persistent(постоянные) соединения. Для того, чтобы быть увереным в правильной работе этого тэга, вам следует установить значение тэга server_persistent_connections в off.
По умолчанию:
none
TAG: tcp_outgoing_address
Этот тэг позволяет вам настроить форвардинг запросов на различные IP адреса(через различные сетевые интерфейсы), используя ACL.
tcp_outgoing_address ipaddr [[!]aclname] ...
Пример, где запросы от 10.0.0.0/24 будут отправлены через интерфейс 10.1.0.1 ;
Запросы от 10.0.1.0/24 и 10.0.2.0/24 будут отправлены с интерфейса 10.1.0.2 ;
А остальные запросы пойдут с 10.1.0.3 .
acl normal_service_net src 10.0.0.0/24
acl good_service_net src 10.0.1.0/24 10.0.2.0/24
tcp_outgoing_address 10.1.0.1 normal_service_net
tcp_outgoing_address 10.1.0.2 good_service_net
tcp_outgoing_address 10.1.0.3
Примечание: Использование этого тэга с применением ACL невозможно, если сервер использует persistent(постоянные) соединения. Для того, чтобы быть увереным в правильной работе этого тэга, вам следует установить значение тэга server_persistent_connections в off.
По умолчанию:
none
Ссылки:
К содержаниюSquid на практике
Работа с Squid через Webmin
Анализатор логов Squid
