https://www.opennet.ru/openforum/vsluhforumID3/3282.html Полезные советы начинающим администраторам прокси сервера squid. Ниже краткое резюме:<br>&lt;ol&gt;<br>- Нехватка файловых дескрипторов <br> &lt;ul&gt;<br> - Linux: echo 1024 &gt; /proc/sys/fs/file-max; ulimit -Hn 1024<br> - BSD: пересобрать ядро с "options MAXFILES=8192" или "set kern.maxfiles=8192" в /boot/loader.conf<br> - Solaris: set rlim_fd_max = 1024<br> &lt;/ul&gt;<br>- Работа под отдельным uid (не nobody) заданным через директиву cache_effective_user <br>- Оптимизация значений директив cache_mem и tcp_recv_bufsize, использование high_memory_warning и "client_db off".<br>- Ротация логов через squid -k rotate<br>- Разбор синтаксиса и вариантов записи ACL.<br>- Ограничения доступа к прокси и запрещение метода connect на 25 порт (на самом деле нужно оставить коннект только для 443 порта, запретив все остальное), чтобы не превратиться OpenProxy через который рассылают спам:<br>&lt;ul&gt;<br> - acl SMTP_port port 25<br> - http_access deny SMTP_port<br>&lt;/ul&gt;<br>&lt;ol&gt;<br><br>URL: http://www.onlamp.com/pub/a/onlamp/2004/02/12/squid.html<br>Новость: http://www.opennet.ru/openn https://www.opennet.ru/openforum/vsluhforumID3/3282.html#12 Mon, 21 Jun 2004 14:27:55 GMT а что разве этого недостаточно?!<br>это ж по дефолту...<br><br>acl SSL_ports port 443 563<br>acl Safe_ports port 80# http<br>acl Safe_ports port 21# ftp<br>acl Safe_ports port 443 563# https, snews<br>acl Safe_ports port 70# gopher<br>acl Safe_ports port 210# wais<br>acl Safe_ports port 1025-65535# unregistered ports<br>acl Safe_ports port 280# http-mgmt<br>acl Safe_ports port 488# gss-http<br>acl Safe_ports port 591# filemaker<br>acl Safe_ports port 777# multiling http<br>http_access deny !Safe_ports https://www.opennet.ru/openforum/vsluhforumID3/3282.html#11 Sun, 29 Feb 2004 20:50:09 GMT Вопрос: а если у меня в /proc/sys/fs/file-max стоит что-то вроде 26802, то у меня все в порядке с дескрипторами? Красна Шапка 7.3 и 8.0...<br> https://www.opennet.ru/openforum/vsluhforumID3/3282.html#10 Thu, 19 Feb 2004 13:59:15 GMT несерьезные какие-то советы. тем более что многие из них реализованы по дефолту. в реальных условиях выходят совсем другие советы -<br>1) ни в коем случае не полагаться на IP клиента <br>2) явно указывать на каком интерфейсе слушать <br>3) ежедневно делать ротацию лог-файлов во избежание непреднамеренной DoS атаки со стороны клиентов (переполнение лога очень чревато). и вообще - надо следить за логами. <br>4) следить за размером кэша и свободным объемом в разделе где кэш хранится<br>5) желательно резать всякие баннеры и счетчики<br>6) ограничивать канал всем без исключения (до приемлемых значений конечно) <br><br>Да еще много всяких нюансов есть. <br> https://www.opennet.ru/openforum/vsluhforumID3/3282.html#9 Thu, 19 Feb 2004 11:00:08 GMT да че вы паритесь, мне даже в кайф, что меня цитируют :) <br> https://www.opennet.ru/openforum/vsluhforumID3/3282.html#8 Wed, 18 Feb 2004 09:23:11 GMT &gt;а что там непонятно по шестому пункту? Просто перекрываешь доступ на 25-ый <br>&gt;порт. :) Там же всё описано. <br><br><br>не описано как использовать данную фичу :)<br> https://www.opennet.ru/openforum/vsluhforumID3/3282.html#7 Wed, 18 Feb 2004 07:26:21 GMT для придирчивых: нашел в своих закромах.<br>вроде авторства я не присваивал.<br> https://www.opennet.ru/openforum/vsluhforumID3/3282.html#6 Wed, 18 Feb 2004 07:25:23 GMT а что там непонятно по шестому пункту? Просто перекрываешь доступ на 25-ый порт. :) Там же всё описано.<br> https://www.opennet.ru/openforum/vsluhforumID3/3282.html#5 Tue, 17 Feb 2004 14:27:05 GMT нашел он.<br>нет чтобы самим писать<br>даже копирайты не соблюдил<br> https://www.opennet.ru/openforum/vsluhforumID3/3282.html#4 Tue, 17 Feb 2004 07:45:30 GMT нашел.<br>туннелирование TCP через web-прокси:<br>часть 1-я<br>http://www.nestor.minsk.by/sr/sr0006/sr00607.html<br>и часть 2-я<br>http://www.nestor.minsk.by/sr/sr0104/sr10404.html<br>