PROXY SERVER SQUID
SQUID proxy server – ukázky konfiguračních souborů
- Povoleno vše:
http_port 3128 #icp_port 3130
icp_port 0
htcp_port 4827: 0dns_nameservers ipadresa.vaseho.dns.serveru
visible_hostname jmennypreklad.vaseho.pocitace
acl all src 0.0.0.0/0.0.0.0
http_access allow all - Ukázka sofiistikovanějšího nastavení – inspirace:
http_port 3128
# icp_port 1080#######################################################
# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
###################################### OPTIONS WHICH AFFECT THE CACHE SIZE
cache_mem 8 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 8192 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB
cache_replacement_policy lru
memory_replacement_policy lru#########################################
# LOGFILE PATHNAMES AND CACHE DIRECTORIES
cache_dir ufs /var/spool/squid 100 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log none
emulate_httpd_log off
debug_options ALL,1
client_netmask 255.255.255.0#######################################
# OPTIONS FOR EXTERNAL SUPPORT PROGRAMS
ftp_user Squid@
# ftp_list_width 50 – pokud je toto nastaveni male – zvetsit
ftp_list_width 50
# unlinkd_program /usr/lib/squid/unlinkd – není nutné
unlinkd_program /usr/lib/squid/unlinkd###############################
# OPTIONS FOR TUNING THE CACHE
quick_abort_pct 75
negative_ttl 5 minutes
positive_dns_ttl 6 hours
negative_dns_ttl 5 minutes
request_body_max_size 1 MB#############
# TIMEOUTS
connect_timeout 120 seconds
request_timeout 30 seconds
client_lifetime 1 day
half_closed_clients on
pconn_timeout 120 seconds
ident_timeout 10 seconds
shutdown_lifetime 30 seconds######## ACCESS CONTROLS#########
# howto: nejprve se vytvoří a pojmenuje pravidlo a definuje se čeho se pravidlo týká.
# potom se na konci této sekce (v oddilu # INSERT YOUR OWN RULE(S)… pravidlo povolí / zakáže.. ###############################acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object######################################################
#zde jsou ip adresy pc (nebo rozsah), teré BUDOU mít přístup k internetu
acl localnet src 192.168.1.10 192.168.1.11-192.168.1.20 192.168.1.30-192.168.1.255 #acl localnet src 192.168.1.2-192.168.1.255 ########################################## #zde se povolují bezpečné porty a pc atd.. acl localhost src 127.0.0.1 acl https_port port 443 acl SSL_ports port 443 563 acl icq_gaim_port port 5190 src 192.168.1.1-192.168.1.255 acl Safe_ports port 80 21 563 70 210 1025-5189 5191-65535 acl purge method PURGE acl CONNECT method CONNECT ############################################################### ####################################### # DENY destinations – zakazané stránky: acl CHATS dstdomain www.seznam.cz www.pokec.sk pokec.azet.sk www.onlinehry.sk www.doodie.com www.pokemon.sk www.atlantis.sk www.oddych.sk acl CHATS_REGEXP url_regex -i chat\. acl MILIONAR dst 212.71.156.26/255.255.255.255 #################################################### # DENY work days = zakázané pracovní dny (a hodiny):
acl day1 time M 5:00-22:00
acl day2 time T 5:00-22:00
acl day3 time W 5:00-22:00
acl day4 time H 5:00-22:00
acl day5 time F 5:00-22:00#############################################################
# DENY workstations – pc stanice (rozsah ip adres), kterých se výše uvedená omezení týkají:
# acl labs src 192.168.1.1-192.168.1.9
acl labs src 192.168.1.2-192.168.1.9 192.168.1.21-192.168.1.23 192.168.1.25-192.168.1.29
# identifikace administrátora – e mail, na který mu je možné psát##############################################################
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR ACL DEFINITIONS http_access allow manager localhost
http_access deny managerhttp_access allow purge localhost
http_access deny purgehttp_access allow https_port
#http_access deny !Safe_ports
http_access allow !Safe_ports
http_access allow icq_gaim_port
http_access deny CONNECT !SSL_ports# XXX: doesn’t work with 1 day rule!!! Pro každé pravidlo zvlášt…
http_access deny CHATS labs day1
http_access deny CHATS labs day2
http_access deny CHATS labs day3
http_access deny CHATS labs day4
http_access deny CHATS labs day5# XXX: doesn’t work with 1 day rule!!!
http_access deny CHATS_REGEXP labs day1
http_access deny CHATS_REGEXP labs day2
http_access deny CHATS_REGEXP labs day3
http_access deny CHATS_REGEXP labs day4
http_access deny CHATS_REGEXP labs day5# XXX: doesn’t work with 1 day rule!!!
http_access deny MILIONAR labs day1
http_access deny MILIONAR labs day2
http_access deny MILIONAR labs day3
http_access deny MILIONAR labs day4
http_access deny MILIONAR labs day5# XXX: doesn’t work with 1 day rule!!!
http_access deny labs day1
http_access deny labs day2
http_access deny labs day3
http_access deny labs day4
http_access deny labs day5#####################################################
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#http_access allow localnet
http_access allow labs
http_access deny all# pokud se používá icp port:
# icp_access allow all
# miss_access allow all3128############################
# ADMINISTRATIVE PARAMETERS
cache_mgr admin################
# MISCELLANEOUS
# dns_testnames www.infovek.sk www.sanet.sk www.debian.org
logfile_rotate 10# HowTo zákaz: Nejprve definujeme pravidla pro různé druhy zákazů (různé zákazy).
# Pak dny,
# kterých se to týká, # pak PC, kterých se to týká. Potom zakážeme / povolíme 3x
# pro každé pravidlo …