The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Шесть советов начинающим администраторам squid

13.02.2004 15:27

Полезные советы начинающим администраторам прокси сервера squid. Ниже краткое резюме:

  1. Нехватка файловых дескрипторов
    • Linux: echo 1024 > /proc/sys/fs/file-max; ulimit -Hn 1024
    • BSD: пересобрать ядро с "options MAXFILES=8192" или "set kern.maxfiles=8192" в /boot/loader.conf
    • Solaris: set rlim_fd_max = 1024
  2. Работа под отдельным uid (не nobody) заданным через директиву cache_effective_user
  3. Оптимизация значений директив cache_mem и tcp_recv_bufsize, использование high_memory_warning и "client_db off".
  4. Ротация логов через squid -k rotate
  5. Разбор синтаксиса и вариантов записи ACL.
  6. Ограничения доступа к прокси и запрещение метода connect на 25 порт (на самом деле нужно оставить коннект только для 443 порта, запретив все остальное), чтобы не превратиться OpenProxy через который рассылают спам:
    • acl SMTP_port port 25
    • http_access deny SMTP_port


  1. Главная ссылка к новости (http://www.onlamp.com/pub/a/on...)
  2. Chapter 8: Advanced Disk Cache Topics (PDF Format)
Лицензия: CC BY 3.0
Источник: onlamp.com
Короткая ссылка: https://opennet.ru/3407-squid
Ключевые слова: squid, acl, file, limit
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (12) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Akmetra (?), 22:42, 15/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Если бы кто-то объяснил мне как stargazer или что-то похожее поставить и настроить :\
     
  • 1.2, Аноним (2), 16:36, 16/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    а может кто-нибудь поподробнее по пункту 6?
    (про метод connect)

     
     
  • 2.3, Nickolay (?), 10:39, 17/02/2004 [^] [^^] [^^^] [ответить]  
    		• +/
    когда-то расписывали(увы не могу нарыть линк снова)
    фишка в том, что используя https можно коннектиться не только на 443-й порт

    в логах выглядит так:
    yuor.proxy.ip TCP_MISS/000 0 CONNECT mail.ozline.net:25

     
  • 2.4, Nickolay (?), 10:45, 17/02/2004 [^] [^^] [^^^] [ответить]  
    		• +/
    нашел.
    туннелирование TCP через web-прокси:
    часть 1-я
    http://www.nestor.minsk.by/sr/sr0006/sr00607.html
    и часть 2-я
    http://www.nestor.minsk.by/sr/sr0104/sr10404.html
     
     
  • 3.5, Supreme (?), 17:27, 17/02/2004 [^] [^^] [^^^] [ответить]  
    		• +/
    нашел он.
    нет чтобы самим писать
    даже копирайты не соблюдил
     
     
  • 4.7, Nickolay (?), 10:26, 18/02/2004 [^] [^^] [^^^] [ответить]  
    		• +/
    для придирчивых: нашел в своих закромах.
    вроде авторства я не присваивал.
     

  • 1.6, Len (?), 10:25, 18/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    а что там непонятно по шестому пункту? Просто перекрываешь доступ на 25-ый порт. :) Там же всё описано.
     
     
  • 2.8, Аноним (2), 12:23, 18/02/2004 [^] [^^] [^^^] [ответить]  
    		• +/
    >а что там непонятно по шестому пункту? Просто перекрываешь доступ на 25-ый
    >порт. :) Там же всё описано.


    не описано как использовать данную фичу :)

     

  • 1.9, alice d. saemon (?), 14:00, 19/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    да че вы паритесь, мне даже в кайф, что меня цитируют :)
     
  • 1.10, Аноним (2), 16:59, 19/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    несерьезные какие-то советы. тем более что многие из них реализованы по дефолту. в реальных условиях выходят совсем другие советы -
    1) ни в коем случае не полагаться на IP клиента
    2) явно указывать на каком интерфейсе слушать
    3) ежедневно делать ротацию лог-файлов во избежание  непреднамеренной DoS атаки со стороны клиентов (переполнение лога очень чревато). и вообще - надо следить за логами.
    4) следить за размером кэша и свободным объемом в разделе где кэш хранится
    5) желательно резать всякие баннеры и счетчики
    6) ограничивать канал всем без исключения (до приемлемых значений конечно)

    Да еще много всяких нюансов есть.

     
  • 1.11, Gundares (?), 23:50, 29/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Вопрос: а если у меня в  /proc/sys/fs/file-max стоит что-то вроде 26802, то у меня все в порядке с дескрипторами? Красна Шапка 7.3 и 8.0...
     
  • 1.12, kex2k (?), 18:27, 21/06/2004 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    а что разве этого недостаточно?!
    это ж по дефолту...

    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    http_access deny !Safe_ports

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру