Администрирование

Основные настройки прокси

Для выполнения основных настроек прокси-сервера необходимо:

выбрать из выпадающего списка «Основные настройки прокси»;

../../../../../../_images/one84.png — Переход к основным настройкам прокси-сервера

в поле «Включить прокси» установить переключатель в случае необходимости включения прокси-сервера;

../../../../../../_images/two76.png — Включение проки-сервера

нажать кнопку «Применить» .

Для включения режима расширенных настроек необходимо установить переключатель.

../../../../../../_images/four44.png — Включение расширенных настроек

В режиме расширенных настроек необходимо:

в поле «Порт ICP» указать номер порта, на который Squid будет посылать и принимать ICP-запросы от соседних кэшей;

../../../../../../_images/five42.png — Порт ICP

Совет

Необходимо оставить поле пустым, чтобы отключить эту возможность (по умолчанию)

Совет

Стандартный номер UDP порта — 3130

в поле «Включить ведение журнала обращений» установить переключатель в случае необходимости включить ведение журнала запросов клиентов;

../../../../../../_images/six40.png — Включение ведения журнала обращений

в поле «Цель журнала доступа» указать цель, в которую будут отправляться данные журнала;

../../../../../../_images/seven35.png — Цель журнала доступа

Примечание

Когда выбран системный журнал для отправки сообщений информационного уровня, для этих журналов будет использоваться локальная служба

в поле «Включить ведение журнала действий с кэшем» установить переключатель в случае необходимости включить ведение журнала действий с кэшем;

../../../../../../_images/eit30.png — Включение ведения журнала действий с кэшем

в поле «Игнорировать хосты в журнале access.log» указать подсети/адреса, которые следует игнорировать для access.log;

../../../../../../_images/nine26.png — Игнорировать хосты в журнале access.log

в поле «Использовать альтернативные DNS-серверы» указать IP-адреса альтернативных DNS-серверов, которые необходимо использовать;

../../../../../../_images/ten23.png — Использовать альтернативные DNS-серверы

в поле «Включить сначала DNS v4» установить переключатель в случае необходимости изменить порядок предпочтения, чтобы Squid сначала связывался с веб-сайтами с двойным стеком через IPv4;

../../../../../../_images/eleven18.png — Включить сначала DNS v4

Примечание

Squid по-прежнему будет выполнять DNS-запрос IPv6 и IPv4 перед подключением

Примечание

Этот параметр ограничит ситуации, в которых используется (и тестируется) подключение IPv6, и скроет сетевые проблемы, которые в противном случае были бы обнаружены и предупреждены

в поле «Использовать заголовок Via» установить переключатель в случае необходимости Squid добавлять Via заголовок в запросы и ответы, как того требует RFC2616;

../../../../../../_images/twelve18.png — Использовать заголовок Via

в поле «Обработка заголовков X-Forwarded-Fo» указать действие, проводимое с заголовком X-Forwarded-For;

../../../../../../_images/trinad18.png — Обработка заголовков X-Forwarded-Fo

в поле «Имя хоста, которое будет отображаться в сообщениях об ошибках» указать имя хоста, которое будет отображаться в сообщениях об ошибке прокси-сервера;

../../../../../../_images/fourteen16.png — Имя хоста, которое будет отображаться в сообщениях об ошибках

в поле «Почта администратора» указать адрес электронной почты, который будет отображаться пользователям в сообщениях об ошибке;

../../../../../../_images/fiveteen15.png — Почта администратора

в поле «Блокировать строку с версией» установить переключатель в случае необходимости пресекать выдачу версии Squid в HTTP-заголовках и HTML-страницах об ошибках;

../../../../../../_images/sixteen15.png — Блокировать строку с версией

в поле «Тайм-аут ожидания подключения» указать значение тайм-аута ожидания подключения (в секундах) при проблемах с подключением к серверам с поддержкой IPv6;

../../../../../../_images/seventeen14.png — Тайм-аут ожидания подключения

в поле «Обработка пробелов для URI» указать действие, проводимое с URI, содержащими пробелы;

../../../../../../_images/eitteen10.png — Обработка пробелов для URI

Внимание

Текущая реализация Squid кодирования и измельчения нарушает RFC2616, поскольку не использует перенаправление 301 после изменения URL-адреса

в поле «Включить pinger» установить переключатель в случае необходимости переключить службу проверки связи Squid;

../../../../../../_images/nineteen10.png — Включить pinger

нажать кнопку «Применить» .

Настройки локального кэша

Для выполнения настроек локального кэша необходимо:

выбрать из выпадающего списка «Настройки локального кэша»;

../../../../../../_images/twenty8.png — Переход к настройкам локального кэша

в поле «Размер кэш-памяти (в Мб)» указать размер памяти кэша или 0 для полного отключения;

../../../../../../_images/twentyone6.png — Размер кэш-памяти (в Мб)

в поле «Включить локальный кеш» установить переключатель в случае необходимости включить локальный кэш;

../../../../../../_images/twentytwo6.png — Включить локальный кеш

Примечание

Поддерживается только тип кэша UFS directory

Примечание

Не включайте на встраиваемых системах с SD или CF картами без опции /var MFS т.к. это способствует износу диска

в поле «Включить кеш пакетов Linux» установить переключатель в случае необходимости включить кэширование пакетов для дистрибутивов Linux;

../../../../../../_images/twentytri6.png — Включить кеш пакетов Linux

Совет

Использование функции «Включить кеш пакетов Linux» необходимо, если у пользователя есть несколько серверов в его сети и он не размещает собственное зеркало пакетов. Это уменьшит использование интернет-трафика, но увеличит доступ к диску

в поле «Включить кэш Центра обновления Windows» установить переключатель в случае необходимости включить кэширование обновлений Windows;

../../../../../../_images/twentyfour5.png — Включить кэш Центра обновления Windows

Примечание

Использование функции «Включить кэш Центра обновления Windows» необходимо, если у пользователя нет сервера WSUS. Если пользователь может настроить сервер WSUS, это решение должно быть предпочтительным

нажать кнопку «Применить» .

Для включения режима расширенных настроек необходимо установить переключатель.

../../../../../../_images/twentyfive5.png — Включение расширенных настроек

В режиме расширенных настроек необходимо:

в поле «Размер кэша (в Мб)» указать количество дискового пространства для хранения локального кэша;

../../../../../../_images/twentysix5.png — Размер кэша (в Мб)

Примечание

По умолчанию 100 Мб

в поле «Расположение директории кэша» указать расположение директории для локального кэша;

../../../../../../_images/twentyseven5.png — Расположение директории кэша

Примечание

По умолчанию /var/squid/cache

в поле «Число подкаталогов первого уровня» указать количество подкаталогов первого уровня, которые будут созданы в директории для хранения локального кэша;

../../../../../../_images/twentyeit5.png — Число подкаталогов первого уровня

Примечание

По умолчанию 16

в поле «Число подкаталогов второго уровня» указать количество подкаталогов второго уровня, которые будут созданы в директории для хранения локального кэша;

../../../../../../_images/twentynine5.png — Число подкаталогов второго уровня

Примечание

По умолчанию 256

в поле «Максимальный размер объектов (КБ)» указать максимальный размер объекта;

../../../../../../_images/trizero5.png — Число подкаталогов второго уровня

Примечание

Если после «Максимальный размер объектов (КБ)» пустое, используется значение по умолчанию равно 4 МБ

нажать кнопку «Применить» .

Настройки управления трафиком

Для выполнения настроек управления трафиком необходимо:

выбрать из выпадающего списка «Настройки управления трафиком»;

../../../../../../_images/trione5.png — Переход к настройкам управления трафиком

в поле «Включить управление трафиком» установить переключатель в случае необходимости включить управление трафиком;

../../../../../../_images/tritwo4.png — Включить управление трафиком

в поле «Максимальный размер скачиваемых файлов (КБ)» указать максимальный размер скачиваемых файлов в килобайтах;

../../../../../../_images/tritri6.png — Максимальный размер скачиваемых файлов (КБ)

Совет

Для отключения настройки необходимо оставить поле пустым

в поле «Максимальный размер загружаемых файлов (КБ)» указать максимальный размер загружаемых файлов в килобайтах;

../../../../../../_images/trifour4.png — Максимальный размер загружаемых файлов (КБ)

Совет

Для отключения настройки необходимо оставить поле пустым

в поле «Регулирование общей пропускной способности (Кбит/с)» указать допустимую общую пропускную способность в килобитах в секунду;

../../../../../../_images/trifive4.png — Регулирование общей пропускной способности (Кбит/с)

Совет

Для отключения ограничения необходимо оставить поле пустым

в поле «Регулирование общей пропускной для хоста (Кбит/с)» указать допустимую пропускную способность для хоста в килобитах в секунду;

../../../../../../_images/trisix3.png — Регулирование общей пропускной для хоста (Кбит/с)

Совет

Для отключения ограничения необходимо оставить поле пустым

нажать кнопку «Применить» .

Настройки родительского прокси

Для выполнения настроек родительского прокси необходимо:

выбрать из выпадающего списка «Настройки родительского прокси»;

../../../../../../_images/triseven3.png — Переход к настройкам родительского прокси

в поле «Включить родительский прокси» установить переключатель в случае необходимости включить родительский прокси;

../../../../../../_images/trieit4.png — Включить родительский прокси

в поле «Хост» указать IP-адрес или имя хоста родительского прокси-сервера;

../../../../../../_images/trinine4.png — Хост

в поле «Порт» указать порт родительского прокси-сервера;

../../../../../../_images/fourzero3.png — Порт

в поле «Включить аутентификацию» установить переключатель в случае необходимости включить аутентификацию на родительском прокси-сервере;

../../../../../../_images/fourone5.png — Включить аутентификацию

в поле «Имя пользователя» указать имя пользователя, если родительский прокси-сервер требует аутентификации;

../../../../../../_images/fourtwo4.png — Имя пользователя

в поле «Пароль» указать пароль, если родительский прокси-сервер требует аутентификации;

../../../../../../_images/fourtri4.png — Пароль

в поле «Локальные домены» указать список доменов, которые нельзя отправлять через родительский прокси-сервер;

../../../../../../_images/fourfour4.png — Локальные домены

в поле «Локальные IP-адреса» указать список IP-адресов, которые нельзя отправлять через родительский прокси-сервер;

../../../../../../_images/fourfive4.png — Локальные IP-адреса

нажать кнопку «Применить» .

Основные настройки перенаправления

Для выполнения основных настроек перенаправления необходимо:

выбрать из выпадающего списка «Основные настройки перенаправления»;

../../../../../../_images/foursix4.png — Переход к основным настройкам перенаправления

в поле «Интерфейсы прокси» выбрать из выпадающего списка интерфейсы, к которым будет привязан прокси-сервер;

../../../../../../_images/fourseven3.png — Интерфейсы прокси

в поле «Номер порта прокси-сервера» указать порт, который прокси-сервер будет прослушивать;

../../../../../../_images/foureit3.png — Номер порта прокси-сервера

в поле «Включить прозрачный HTTP-прокси» установить переключатель в случае необходимости включить прозрачный HTTP-прокси;

../../../../../../_images/fournine3.png — Включить прозрачный HTTP-прокси

Примечание

Пользователю потребуется правило межсетевого экрана для перенаправления трафика с межсетевого экрана на прокси-сервер

Примечание

Пользователь может оставить прокси-интерфейсы пустыми, но в этом случае необходимо установить действительный ACL

в поле «Включить проверку SSL» установить переключатель в случае необходимости включить режим проверки SSL;

../../../../../../_images/fivezero3.png — Включить проверку SSL

Примечание

Режим проверки SSL позволяет регистрировать информацию о HTTPS-соединениях, такую как запрошенный URL-адрес, и/или заставлять прокси действовать как человек между Интернетом и клиентами пользователя

Внимание

Помните о последствиях для безопасности, прежде чем включать опцию «Включить проверку SSL»

Примечание

Если вы планируете использовать прозрачный режим HTTPS, вам нужны правила nat для отражения вашего трафика

в поле «Протоколировать только информацию SNI» установить переключатель в случае необходимости протоколировать только информацию SNI;

../../../../../../_images/fiveone3.png — Протоколировать только информацию SNI

Внимание

Не декодируйте и/или не фильтруйте содержимое SSL, регистрируйте только запрошенные домены и IP-адреса

Примечание

Некоторые старые сервера могут не предоставлять SNI, поэтому их адреса указываться не будут

в поле «Порт SSL прокси» указать порт, который служба SSL-прокси будет прослушивать;

../../../../../../_images/fivetwo2.png — Порт SSL прокси

в поле «Использовать центр сертификации» выбрать из выпадающего списка центр сертификации для использования;

../../../../../../_images/fivetri1.png — Использовать центр сертификации

Примечание

Чтобы создать центр сертификации, перейдите «Система» - «Доверенные сертификаты» - «Полномочия»

в поле «SSL-сайты без бампов» указать список сайтов, которые нельзя проверять;

../../../../../../_images/fivefour1.png — SSL-сайты без бампов

нажать кнопку «Применить» .

Для включения режима расширенных настроек необходимо установить переключатель.

../../../../../../_images/fivefive2.png — Включение расширенных настроек

В режиме расширенных настроек необходимо:

в поле «Размер кэша SSL» указать максимальный размер кэша (в МБ) для сертификатов SSL;

../../../../../../_images/fivesix1.png — Размер кэша SSL

в поле «Рабочие сертификаты SSL» указать количество используемых рабочих сертификатов SSL (sslcrtd_children);

../../../../../../_images/fiveseven1.png — Рабочие сертификаты SSL

в поле «Разрешить подсети на интерфейсе» установить переключатель в случае необходимости добавления подсетей выбранных интерфейсов в список с правами доступа;

../../../../../../_images/fiveeit2.png — Разрешить подсети на интерфейсе

нажать кнопку «Применить» .

Настройки FTP-прокси

Для выполнения настроек FTP-прокси необходимо:

выбрать из выпадающего списка «Настройки FTP-прокси»;

../../../../../../_images/fivenine2.png — Переход к настройкам FTP-прокси

в поле «Интерфейсы FTP-прокси» выбрать из выпадающего списка интерфейсы, к которым будет привязан прокси-сервер FTP;

../../../../../../_images/sixzero.png — Интерфейсы FTP-прокси

в поле «Порт FTP-прокси» указать порт, который прокси-сервер будет прослушивать;

../../../../../../_images/sixone.png — Порт FTP-прокси

в поле «Включить прозрачный режим» установить переключатель в случае необходимости включить прозрачный режим FTP-прокси, чтобы без дополнительной настройки перенаправлять запросы для порта назначения номер 21 на прокси-сервер;

../../../../../../_images/sixtwo.png — Включить прозрачный режим

нажать кнопку «Применить» .

Список управления доступом

Для выполнения настроек списка управления доступом необходимо:

выбрать из выпадающего списка «Список управления доступом»;

../../../../../../_images/sixtri1.png — Переход к настройкам списка управления доступом

в поле «Разрешенные подсети» указать подсети, которым необходимо разрешить доступ к прокси-серверу;

../../../../../../_images/sixfour.png — Разрешенные подсети

в поле «IP-адреса без ограничений» указать IP-адреса, которым необходимо разрешить доступ к прокси-серверу;

../../../../../../_images/sixfive.png — IP-адреса без ограничений

в поле «Заблокированные IP-адреса хоста» указать заблокированные IP-адреса хоста;

../../../../../../_images/sixsix.png — Заблокированные IP-адреса хоста

в поле «Белый список» указать белый список целевых доменов;

../../../../../../_images/sixseven.png — Белый список

Примечание

Пользователь может использовать регулярное выражение, использовать запятую или нажать Enter для нового элемента

в поле «Черный список» указать черный список целевых доменов;

../../../../../../_images/sixeit.png — Черный список

Примечание

в поле «Блок мобильного кода» установить переключатель в случае необходимости заблокировать javascript, файлы cookie и ActiveX;

../../../../../../_images/sixnine.png — Блок мобильного кода

нажать кнопку «Применить» .

Для включения режима расширенных настроек необходимо установить переключатель.

../../../../../../_images/sevenzero.png — Включение расширенных настроек

В режиме расширенных настроек необходимо:

в поле «Блокировать browser/user-agent строки» использовать регулярное выражение, использовать запятую для блокировки юзер-агентов;

../../../../../../_images/sevenone.png — Блокировать browser/user-agent строки

Примечание

Примеры: «^(.)+Macintosh(.)+Firefox/37.0» соответствует «версия Firefox для Macintosh версии 37.0»; «^Mozilla» соответствует «всем браузерам на основе Mozilla»

в поле «Блокировать ответы с конкретным MIME-типом» использовать регулярное выражение, использовать запятую для блокировки ответа определенного типа MIME;

../../../../../../_images/seventwo.png — Блокировать ответы с конкретным MIME-типом

Примечание

Примеры: «video/flv» соответствует «Flash Video»; «application/x-javascript» соответствует «javascripts»

в поле «Google GSuite ограничен» указать домен, которому будет разрешено использовать Google G Suite;

../../../../../../_images/seventri.png — Google GSuite ограничен

Примечание

Все учетные записи, не относящиеся к этому домену, будут заблокированы для его использования

в поле «Фильтр YouTube» выбрать из выпадающего списка уровень фильтра Youtube;

../../../../../../_images/sevenfour.png — Фильтр YouTube

в поле «Разрешенные TCP-порты назначения» указать разрешенные TCP-порты назначения;

../../../../../../_images/sevenfive.png — Разрешенные TCP-порты назначения

Примечание

Пользователь может использовать диапазоны (например, 222-226) и добавлять комментарии с двоеточием (например, 22: ssh)

в поле «Разрешенные SSL-порты» указать разрешенные SSL-порты назначения;

../../../../../../_images/sevensix.png — Разрешенные SSL-порты

Примечание

нажать кнопку «Применить» .

Настройки ICAP

Для выполнения настроек ICAP необходимо:

выбрать из выпадающего списка «Настройки ICAP»;

../../../../../../_images/sevenseven.png — Переход к настройкам ICAP

в поле «Включить ICAP» установить переключатель в случае необходимости использовать ICAP-сервер для фильтрации или замены содержимого;

../../../../../../_images/seveneit.png — Включить ICAP

в поле «Внешний Антивирус» установить переключатель в случае необходимости использовать удаленную антивирусную защиту;

../../../../../../_images/sevennine.png — Внешний Антивирус

в поле «Запрос на изменение URL» (при активной функции «Внешний Антивирус») указать URL, на который должны посылаться REQMOD запросы;

../../../../../../_images/eitzero.png — Запрос на изменение URL

в поле «Ответ на изменение URL» (при активной функции «Внешний Антивирус») указать URL, на который должны посылаться REQMOD ответы;

../../../../../../_images/eitone.png — Ответ на изменение URL

в поле «Выбор антивируса» (при отключенной функции «Внешний Антивирус») выбрать из выпадающего списка встроенный антивирус;

../../../../../../_images/eittwo.png — Выбор антивируса

в поле «Список исключений» указать целевые домены списка исключений;

../../../../../../_images/eittri.png — Список исключений

Примечание

Примеры: «mydomain.com» соответствует «.mydomain.com»; «https://([a-zA-Z]+).mydomain.» соответствует «http(s)://textONLY.mydomain.»; «.gif$» совпадает с «*.gif», но не с «*.giftest»; «[0-9]+.gif$» совпадает с «123.gif», но не с «test.gif»

нажать кнопку «Применить» .

Для включения режима расширенных настроек необходимо установить переключатель.

../../../../../../_images/eitfour.png — Включение расширенных настроек

В режиме расширенных настроек необходимо:

в поле «ТТL параметров по умолчанию» указать время по умолчанию;

../../../../../../_images/eitfive.png — ТТL параметров по умолчанию

в поле «Отправить IP-адрес клиента» установить переключатель в случае необходимости отправить IP-адрес клиента на ICAP-сервер;

../../../../../../_images/eitsix.png — Отправить IP-адрес клиента

Совет

Это параметр может быть полезен, если вы хотите отфильтровать трафик по IP-адресам

в поле «Отправить имя пользователя» установить переключатель в случае необходимости отправить имя пользователя клиента на ICAP-сервер;

../../../../../../_images/eitseven.png — Отправить имя пользователя

Совет

Это параметр может быть полезен, если вы хотите фильтровать трафик на основе имен пользователей

Примечание

Для использования имен пользователей требуется аутентификация

в поле «Закодировать имя пользователя» установить переключатель в случае необходимости закодировать имя пользователя;

../../../../../../_images/eiteit.png — Закодировать имя пользователя

в поле «Заголовок имени пользователя» указать заголовок, который должен использоваться для отправки имени пользователя на сервер;

../../../../../../_images/eitnine.png — Заголовок имени пользователя

в поле «Включить предпросмотр» установить переключатель в случае необходимости включить предпросмотр;

../../../../../../_images/ninezero.png — Включить предпросмотр

Примечание

При использовании параметра «Включить предпросмотр» только часть данных отправляется на ICAP-сервер

Внимание

Установка этого параметра может увеличить производительность

в поле «Размер в режиме предпросмотра» указать размер превью, которое отправляется на ICAP-сервер;

../../../../../../_images/nineone.png — Размер в режиме предпросмотра

нажать кнопку «Применить» .

Настройки аутентификации

Для выполнения настроек аутентификации необходимо:

выбрать из выпадающего списка «Настройки аутентификации»;

../../../../../../_images/ninetwo.png — Переход к настройкам аутентификации

в поле «Метод аутентификации» выбрать из выпадающего списка метод аутентификации;

../../../../../../_images/ninetri.png — Метод аутентификации

в поле «Принудительно использовать локальную группу» выбрать из выпадающего списка необходимую группу, пользователям которой необходимо разграничить доступ;;

../../../../../../_images/ninefour.png — Принудительно использовать локальную группу

Примечание

Пользователи (или ваучеры), которые не администрируются локально, будут отклонены при использовании этой опции

в поле «Подсказка» указать подсказку, которая будет отображаться в окне запроса аутентификации;

../../../../../../_images/ninefive.png — Подсказка

в поле «TTL аутентификации (часов)» указать как долго (в часах) прокси-сервер предполагает, что проверенная извне комбинация имени пользователя и пароля действительна (время жизни);

../../../../../../_images/ninesix.png — TTL аутентификации (часов)

Примечание

Когда TTL истечет, пользователю снова будет предложено ввести учетные данные

в поле «Процесс аутентификации» указать количество процессов аутентификатора, которые могут быть запущены одновременно;

../../../../../../_images/nineseven.png — Процесс аутентификации

нажать кнопку «Применить» .

Вэб-прокси

Журнал кэша