Полезные советы начинающим администраторам прокси сервера squid. Ниже краткое резюме:
<ol>
- Нехватка файловых дескрипторов
<ul>
- Linux: echo 1024 > /proc/sys/fs/file-max; ulimit -Hn 1024
- BSD: пересобрать ядро с "options MAXFILES=8192" или "set kern.maxfiles=8192" в /boot/loader.conf
- Solaris: set rlim_fd_max = 1024
</ul>
- Работа под отдельным uid (не nobody) заданным через директиву cache_effective_user
- Оптимизация значений директив cache_mem и tcp_recv_bufsize, использование high_memory_warning и "client_db off".
- Ротация логов через squid -k rotate
- Разбор синтаксиса и вариантов записи ACL.
- Ограничения доступа к прокси и запрещение метода connect на 25 порт (на самом деле нужно оставить коннект только для 443 порта, запретив все остальное), чтобы не превратиться OpenProxy через который рассылают спам:
<ul>
- acl SMTP_port port 25
- http_access deny SMTP_port
</ul>
<ol>URL: http://www.onlamp.com/pub/a/onlamp/2004/02/12/squid.html
Новость: http://www.opennet.me/opennews/art.shtml?num=3407
Если бы кто-то объяснил мне как stargazer или что-то похожее поставить и настроить :\
а может кто-нибудь поподробнее по пункту 6?
(про метод connect)
когда-то расписывали(увы не могу нарыть линк снова)
фишка в том, что используя https можно коннектиться не только на 443-й портв логах выглядит так:
yuor.proxy.ip TCP_MISS/000 0 CONNECT mail.ozline.net:25
нашел.
туннелирование TCP через web-прокси:
часть 1-я
http://www.nestor.minsk.by/sr/sr0006/sr00607.html
и часть 2-я
http://www.nestor.minsk.by/sr/sr0104/sr10404.html
нашел он.
нет чтобы самим писать
даже копирайты не соблюдил
для придирчивых: нашел в своих закромах.
вроде авторства я не присваивал.
а что там непонятно по шестому пункту? Просто перекрываешь доступ на 25-ый порт. :) Там же всё описано.
>а что там непонятно по шестому пункту? Просто перекрываешь доступ на 25-ый
>порт. :) Там же всё описано.
не описано как использовать данную фичу :)
да че вы паритесь, мне даже в кайф, что меня цитируют :)
несерьезные какие-то советы. тем более что многие из них реализованы по дефолту. в реальных условиях выходят совсем другие советы -
1) ни в коем случае не полагаться на IP клиента
2) явно указывать на каком интерфейсе слушать
3) ежедневно делать ротацию лог-файлов во избежание непреднамеренной DoS атаки со стороны клиентов (переполнение лога очень чревато). и вообще - надо следить за логами.
4) следить за размером кэша и свободным объемом в разделе где кэш хранится
5) желательно резать всякие баннеры и счетчики
6) ограничивать канал всем без исключения (до приемлемых значений конечно)Да еще много всяких нюансов есть.
Вопрос: а если у меня в /proc/sys/fs/file-max стоит что-то вроде 26802, то у меня все в порядке с дескрипторами? Красна Шапка 7.3 и 8.0...
а что разве этого недостаточно?!
это ж по дефолту...acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
http_access deny !Safe_ports