Squid je plnohodnotný cachovací proxy podporující oblíbené síťové protokoly jako HTTP, HTTPS, FTP a další. Umístění Squida před webový server může výrazně zlepšit výkon serveru ukládáním opakovaných požadavků do mezipaměti, filtrováním webového provozu a přístupem k geograficky omezenému obsahu.
Tento tutoriál vysvětluje, jak nastavit Squid na CentOS 7 a nakonfigurovat webové prohlížeče Firefox a Google Chrome pro použití proxy.
Instalace Squid na CentOS #
Balíček Squid je součástí výchozích úložišť CentOS 7. Chcete-li jej nainstalovat, spusťte následující příkaz jako uživatel sudo:
sudo yum install squidPo dokončení instalace spusťte a povolte službu Squid:
sudo systemctl start squidsudo systemctl enable squid
Chcete-li ověřit, zda byla instalace úspěšná, zadejte následující příkaz, který vytiskne stav služby:
sudo systemctl status squid● squid.service - Squid caching proxy
Loaded: loaded (/usr/lib/systemd/system/squid.service; enabled; vendor preset: disabled)
Active: active (running) since Sat 2019-07-13 16:47:56 UTC; 12s ago
...
Konfigurace Squid #
Squid lze nakonfigurovat úpravou /etc/squid/squid.conf soubor. Další soubory s konfiguračními možnostmi lze zahrnout pomocí direktivy „include“.
Před provedením jakýchkoli změn zálohujte původní konfigurační soubor pomocí cp příkaz:
sudo cp /etc/squid/squid.conf{,.orginal}Chcete-li soubor upravit, otevřete jej v textovém editoru:
sudo nano /etc/squid/squid.conf
Ve výchozím nastavení je Squid nakonfigurován tak, aby naslouchal na portu 3128 na všech síťových rozhraních na serveru.
Pokud chcete změnit port a nastavit naslouchací rozhraní, vyhledejte řádek začínající http_port a zadejte IP adresu rozhraní a nový port. Pokud není specifikováno žádné rozhraní Squid bude naslouchat na všech rozhraních.
# Squid normally listens to port 3128
http_port IP_ADDR:PORT
Spuštění Squidu na všech rozhraních a na výchozím portu by mělo být pro většinu uživatelů v pořádku.
Přístup k serveru Squid můžete ovládat pomocí seznamů řízení přístupu (ACL).
Ve výchozím nastavení Squid umožňuje přístup pouze z localhost a localnet.
Pokud mají všichni klienti, kteří budou používat proxy, statickou IP adresu, můžete vytvořit ACL, který bude obsahovat povolené IP adresy.
Místo přidávání IP adres do hlavního konfiguračního souboru vytvoříme nový vyhrazený soubor, který bude obsahovat IP adresy:
/etc/squid/allowed_ips.txt192.168.33.1
# All other allowed IPs
Po dokončení otevřete hlavní konfigurační soubor a vytvořte nový ACL s názvem allowed_ips (první zvýrazněný řádek) a povolit přístup k tomuto ACL pomocí http_access směrnice (druhý zvýrazněný řádek):
# ...
acl allowed_ips src "/etc/squid/allowed_ips.txt"
# ...
http_access allow localnet
http_access allow localhost
http_access allow allowed_ips
# And finally deny all other access to this proxy
http_access deny all
Pořadí http_access pravidla jsou důležitá. Ujistěte se, že jste přidali řádek před http_access deny all .
http_access direktiva funguje podobným způsobem jako pravidla firewallu. Squid čte pravidla shora dolů, a když pravidlo odpovídá pravidlům níže, nejsou zpracovány.
Kdykoli provedete změny v konfiguračním souboru, musíte restartovat službu Squid, aby se změny projevily:
sudo systemctl restart squidOvěření olihně #
Squid může používat různé backendy, včetně Samba, LDAP a základního ověřování HTTP pro ověřené uživatele.
V tomto příkladu nakonfigurujeme Squid tak, aby používal základní ověřování. Jedná se o jednoduchou autentizační metodu zabudovanou do protokolu HTTP.
Použijeme openssl vygenerovat hesla a připojit username:password spárujte s /etc/squid/htpasswd soubor s tee příkaz, jak je znázorněno níže:
printf "USERNAME:$(openssl passwd -crypt PASSWORD)\n" | sudo tee -a /etc/squid/htpasswd
Chcete-li například vytvořit uživatele s názvem „mike“ s heslem „Pz$lPk76 ” spustíte:
printf "mike:$(openssl passwd -crypt 'Pz$lPk76')\n" | sudo tee -a /etc/squid/htpasswdmike:2nkgQsTSPCsIo
Dalším krokem je nakonfigurovat Squid tak, aby povolil základní ověřování HTTP a používal soubor.
Otevřete hlavní konfiguraci a přidejte následující:
/etc/squid/squid.conf# ...
auth_param basic program /usr/lib64/squid/basic_ncsa_auth /etc/squid/htpasswd
auth_param basic realm proxy
acl authenticated proxy_auth REQUIRED
# ...
http_access allow localnet
http_access allow localhost
http_access allow authenticated
# And finally deny all other access to this proxy
http_access deny all
S prvními třemi zvýrazněnými řádky vytváříme nový ACL s názvem authenticated . Poslední zvýrazněný řádek umožňuje přístup ověřeným uživatelům.
Restartujte službu Squid:
sudo systemctl restart squidKonfigurace brány firewall #
Pokud používáte firewall, budete muset otevřít port 3128 . Chcete-li tak učinit, spusťte následující příkazy:
Pokud Squid běží na jiném, nevýchozím portu, budete muset povolit provoz na tomto portu.sudo firewall-cmd --permanent --add-port=3128/tcpfirewall-cmd --reload
Konfigurace vašeho prohlížeče pro použití proxy #
Nyní, když máte Squid nastaven, je posledním krokem konfigurace vašeho preferovaného prohlížeče, aby jej používal.
Firefox #
Níže uvedené kroky jsou stejné pro Windows, macOS a Linux.
-
V pravém horním rohu klikněte na ikonu hamburgeru
☰otevřete nabídku Firefoxu: -
Klikněte na
⚙ Preferencesodkaz. -
Přejděte dolů na
Network Settingsa klikněte naSettings...tlačítko. -
Otevře se nové okno.
- Vyberte
Manual proxy configurationpřepínač. - Zadejte IP adresu svého serveru Squid do
HTTP Hostpole a3128vPortpole. - Vyberte
Use this proxy server for all protocolszaškrtávací políčko. - Klikněte na
OKtlačítko pro uložení nastavení.
- Vyberte
V tomto okamžiku je váš Firefox nakonfigurován a můžete procházet internet přes Squid proxy. Chcete-li to ověřit, otevřete google.com , zadejte „jaká je moje ip“ a měli byste vidět IP adresu vašeho serveru Squid.
Chcete-li se vrátit zpět k výchozímu nastavení, přejděte do Network Settings , vyberte Use system proxy settings přepínač a uložte nastavení.
Existuje také několik pluginů, které vám mohou pomoci nakonfigurovat nastavení proxy prohlížeče Firefox, jako je FoxyProxy.
Google Chrome #
Google Chrome používá výchozí systémové nastavení proxy serveru. Místo změny nastavení proxy operačního systému můžete buď použít doplněk, jako je SwitchyOmega, nebo spustit webový prohlížeč Chrome z příkazového řádku.
Chcete-li spustit Chrome pomocí nového profilu a připojit se k serveru Squid, použijte následující příkaz:
Linux:
/usr/bin/google-chrome \
--user-data-dir="$HOME/proxy-profile" \
--proxy-server="http://SQUID_IP:3128"
macOS:
"/Applications/Google Chrome.app/Contents/MacOS/Google Chrome" \
--user-data-dir="$HOME/proxy-profile" \
--proxy-server="http://SQUID_IP:3128"
Windows:
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" ^
--user-data-dir="%USERPROFILE%\proxy-profile" ^
--proxy-server="http://SQUID_IP:3128"
Pokud profil neexistuje, bude vytvořen automaticky. Tímto způsobem můžete spustit více instancí Chrome současně.
Chcete-li ověřit, zda proxy server funguje správně, otevřete google.com a zadejte „jaká je moje ip“. IP zobrazená ve vašem prohlížeči by měla být IP adresa vašeho serveru.