Jak zainstalować i skonfigurować Squid proxy na Centos 7

Squid to w pełni funkcjonalny buforujący serwer proxy obsługujący popularne protokoły sieciowe, takie jak HTTP, HTTPS, FTP i inne. Umieszczenie Squid przed serwerem WWW może znacznie poprawić wydajność serwera poprzez buforowanie powtarzających się żądań, filtrowanie ruchu sieciowego i dostęp do treści ograniczonych geograficznie.

W tym samouczku wyjaśniono, jak skonfigurować Squid na CentOS 7 i skonfigurować przeglądarki Firefox i Google Chrome do korzystania z proxy.

Instalowanie Squid na CentOS

Pakiet Squid jest zawarty w domyślnych repozytoriach CentOS 7. Aby zainstalować, uruchom następujące polecenie jako użytkownik sudo:

sudo yum install squid

Po zakończeniu instalacji uruchom i włącz usługę Squid:

sudo systemctl start squid sudo systemctl enable squid

Aby sprawdzić, czy instalacja się powiodła, wpisz następujące polecenie, które wyświetli status usługi:

sudo systemctl status squid

● squid.service - Squid caching proxy Loaded: loaded (/usr/lib/systemd/system/squid.service; enabled; vendor preset: disabled) Active: active (running) since Sat 2019-07-13 16:47:56 UTC; 12s ago…

Konfigurowanie Squid

Squid można skonfigurować, edytując plik /etc/squid/squid.conf . Dodatkowe pliki z opcjami konfiguracji można dołączyć za pomocą dyrektywy „include”.

Przed wprowadzeniem jakichkolwiek zmian wykonaj kopię zapasową oryginalnego pliku konfiguracyjnego za pomocą polecenia cp :

sudo cp /etc/squid/squid.conf{,.orginal} Aby edytować plik, otwórz go w edytorze tekstu:

sudo nano /etc/squid/squid.conf

Domyślnie Squid jest skonfigurowany do nasłuchiwania na porcie 3128 na wszystkich interfejsach sieciowych na serwerze.

/etc/squid/squid.conf

# Squid normally listens to port 3128 http_port IP_ADDR:PORT

Uruchomienie Squid na wszystkich interfejsach i na domyślnym porcie powinno być w porządku dla większości użytkowników.

Możesz kontrolować dostęp do serwera Squid za pomocą list kontroli dostępu (ACL).

Domyślnie Squid zezwala na dostęp tylko z localhost i localnet.

Jeśli wszyscy klienci korzystający z serwera proxy mają statyczny adres IP, możesz utworzyć listę ACL, która będzie zawierać dozwolone adresy IP.

Zamiast dodawać adresy IP w głównym pliku konfiguracyjnym utworzymy nowy plik dedykowany, który będzie przechowywać adresy IP:

/etc/squid/allowed_ips.txt

192.168.33.1 # All other allowed IPs

Po zakończeniu otwórz główny plik konfiguracyjny i utwórz nową listę ACL o nazwie allowed_ips (pierwsza podświetlona linia) i zezwól na dostęp do tej listy ACL za pomocą dyrektywy http_access (druga podświetlona linia):

/etc/squid/squid.conf

#… acl allowed_ips src "/etc/squid/allowed_ips.txt" #… http_access allow localnet http_access allow localhost http_access allow allowed_ips # And finally deny all other access to this proxy http_access deny all

Kolejność reguł http_access jest ważna. Upewnij się, że dodajesz linię, zanim http_access deny all .

Dyrektywa http_access działa w podobny sposób, jak reguły zapory. Squid odczytuje reguły od góry do dołu, a gdy reguła pasuje do reguły poniżej, nie są przetwarzane.

Za każdym razem, gdy wprowadzasz zmiany w pliku konfiguracyjnym, musisz ponownie uruchomić usługę Squid, aby zmiany odniosły skutek:

sudo systemctl restart squid

Uwierzytelnianie Squid

Squid może korzystać z różnych uwierzytelnień, w tym podstawowego uwierzytelniania Samba, LDAP i HTTP dla uwierzytelnionych użytkowników.

W tym przykładzie skonfigurujemy Squid do korzystania z podstawowego uwierzytelniania. Jest to prosta metoda uwierzytelniania wbudowana w protokół

Użyjemy openssl do wygenerowania haseł i dodamy parę username:password do /etc/squid/htpasswd za pomocą polecenia tee jak pokazano poniżej:

printf "USERNAME:$(openssl passwd -crypt PASSWORD)\n" | sudo tee -a /etc/squid/htpasswd

Na przykład, aby utworzyć użytkownika o nazwie „mike” z hasłem „ Pz$lPk76 ”, uruchomisz:

printf "mike:$(openssl passwd -crypt 'Pz$lPk76')\n" | sudo tee -a /etc/squid/htpasswd

mike:2nkgQsTSPCsIo

Następnym krokiem jest skonfigurowanie Squid, aby włączyć podstawowe uwierzytelnianie HTTP i użyć pliku.

Otwórz główną konfigurację i dodaj:

/etc/squid/squid.conf

#… auth_param basic program /usr/lib64/squid/basic_ncsa_auth /etc/squid/htpasswd auth_param basic realm proxy acl authenticated proxy_auth REQUIRED #… http_access allow localnet http_access allow localhost http_access allow authenticated # And finally deny all other access to this proxy http_access deny all

Za pomocą trzech pierwszych wyróżnionych linii tworzymy nową listę ACL o nazwie authenticated . Ostatnia wyróżniona linia umożliwia dostęp uwierzytelnionym użytkownikom.

Uruchom ponownie usługę Squid:

sudo systemctl restart squid

Konfigurowanie zapory ogniowej

sudo firewall-cmd --permanent --add-port=3128/tcp firewall-cmd --reload Jeśli Squid działa na innym, innym niż domyślny porcie, musisz zezwolić na ruch na tym porcie za pomocą.

Konfigurowanie przeglądarki do korzystania z serwera proxy

Po skonfigurowaniu Squid ostatnim krokiem jest skonfigurowanie preferowanej przeglądarki do korzystania z niej.

Firefox

Poniższe kroki są takie same dla systemów Windows, macOS i Linux.

1. W prawym górnym rogu kliknij ikonę hamburgera ☰ aby otworzyć menu Firefoksa:

   Kliknij link ⚙ Preferences .

   Przewiń w dół do sekcji Network Settings i kliknij przycisk Settings…

   Otworzy się nowe okno.

   • Wybierz przycisk opcji Manual proxy configuration Wprowadź adres IP serwera Squid w polu HTTP Host i 3128 w polu Port Zaznacz pole wyboru Use this proxy server for all protocols Kliknij przycisk OK , aby zapisać ustawienia.

   

   

W tym momencie Firefox jest skonfigurowany i możesz przeglądać Internet za pośrednictwem serwera proxy Squid. Aby to zweryfikować, otwórz google.com , wpisz „what is my ip”, a powinieneś zobaczyć adres IP swojego serwera Squid.

Aby przywrócić ustawienia domyślne, przejdź do Network Settings , wybierz przycisk radiowy Use system proxy settings i zapisz ustawienia.

Istnieje również kilka wtyczek, które mogą pomóc w konfiguracji ustawień proxy Firefoksa, takich jak FoxyProxy.

Google Chrome

Google Chrome używa domyślnych systemowych ustawień proxy. Zamiast zmieniać ustawienia proxy systemu operacyjnego, możesz użyć dodatku takiego jak SwitchyOmega lub uruchomić przeglądarkę Chrome z wiersza polecenia.

Aby uruchomić Chrome przy użyciu nowego profilu i połączyć się z serwerem Squid, użyj następującego polecenia:

Linux:

/usr/bin/google-chrome \ --user-data-dir="$HOME/proxy-profile" \ --proxy-server="http://SQUID_IP:3128"

System operacyjny Mac:

"/Applications/Google Chrome.app/Contents/MacOS/Google Chrome" \ --user-data-dir="$HOME/proxy-profile" \ --proxy-server="http://SQUID_IP:3128"

Windows:

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" ^ --user-data-dir="%USERPROFILE%\proxy-profile" ^ --proxy-server="http://SQUID_IP:3128"

Profil zostanie utworzony automatycznie, jeśli nie istnieje. W ten sposób możesz uruchamiać wiele instancji Chrome jednocześnie.

Aby potwierdzić, że serwer proxy działa poprawnie, otwórz google.com i wpisz „what is my ip”. Adres IP wyświetlany w przeglądarce powinien być adresem IP serwera.

Wniosek

Nauczyłeś się instalować kałamarnicę na CentOS 7 i konfigurować przeglądarkę, aby z niej korzystać.

Squid jest jednym z najpopularniejszych serwerów buforujących proxy. Poprawia szybkość serwera internetowego i może pomóc ograniczyć dostęp użytkownika do Internetu.

centra proxy