Alterator-squid

Материал из ALT Linux Wiki

Название пакета

alterator-squid

Назначение

Модуль Прокси-сервер предназначен для конфигурирования прокси сервера Squid.

Запуск

Модуль Прокси-сервер доступен в веб-интерфейсе по адресу https://ip-address:8080 (раздел Cерверы ▷ Прокси-сервер):

Веб-интерфейс модуля alterator-squid

Настройка

Несколько компьютеров, объединённых в локальную сеть могут быть подключены к глобальной сети (Интернет) через один общий канал. Такое решение имеет ряд преимуществ перед другими. В частности, если разместить в месте соединения двух сетей (шлюзе) прокси-сервер, полученные через него страницы попадут в кеш, и при повторном обращении к ним загрузка из внешней сети уже не потребуется. Это может существенно ускорить доступ к популярным сайтам и снизить потребляемый организацией трафик.

Прокси-сервер принимает запросы из локальной сети и, по мере необходимости, передаёт их во внешнюю сеть. Поступление запроса ожидается на определённом порту, который по умолчанию имеет стандартный номер 3128. Если по каким-то причинам не желательно использовать данный порт, то можно поменять его значение на любое другое.

Перед тем как выполнить перенаправление запроса, прокси-сервер проверяет принадлежность сетевого адрес узла, с которого запрос был отправлен к группе внутренних сетевых адресов. Для того, чтобы запросы, отправленные из локальной сети, обрабатывались прокси-сервером, необходимо добавить соответствующую группу адресов (адрес подсети и адресную маску) в список внутренних сетей в разделе «Разрешённые сети»:

Редактирование списка внутренних сетей

Вторым условием передачи запроса является принадлежность целевого порта к разрешённому диапазону. Посмотреть и отредактировать список разрешённых целевых портов можно в разделе «Разрешённые протоколы»:

Редактирование списка разрешённых протоколов


Прокси-сервер может работать в двух режимах: стандартном и прозрачном. Стандартный режим использования прокси-сервера требует изменения режима работы программ локальной сети, что может потребовать их ручной настройки. По этой причине другим популярным режимом использования прокси-сервера является прозрачный режим. В этом режиме все обращения из внутренней сети по зарегистрированным протоколам (портам) во внешнюю сеть автоматически перехватываются прокси-сервером при прохождении через шлюз. Программы в локальной сети при этом продолжают работать в обычном режиме, не требуя никакой специальной настройки. Недостатком прозрачного режима работы является невозможность идентификации пользователей — все запросы отправляются из локальной сети анонимно. Для указания портов, используемых в режиме прозрачного проксирования, перейдите в раздел «Разрешённые протоколы», выберите из списка протокол и установите для этого протокола флажок «Включить прозрачное перенаправление».

Преимуществом непрозрачного режима работы, требующего перенастройки программ локальной сети, является возможность производить аутентификацию пользователей и контролировать их доступ во внешнюю сеть. Для того, чтобы включить аутентификацию, выберите способ аутентификации, отличный от Без аутентификации:

Выбор способа аутентификации

Настройка политики доступа пользователей во внешнюю сеть

Политика доступа пользователей во внешнюю сеть формируется на основе групп пользователей и сетевых доменов в разделе Группы. Для каждой группы пользователей может быть сформирован список доменов, к которым разрешается, или наоборот, запрещается обращение. Внесение и исключение пользователей из групп производится с помощью общесистемного модуля «Пользователи/Группы». Политики доступа для специальных групп «Все пользователи» и «Авторизованные пользователи» обрабатываются несколько иначе, чем политики доступа для индивидуальных групп пользователей.

Настройка политики доступа пользователей во внешнюю сеть

Индивидуальные политики для групп пользователей устанавливают точечные ограничения или разрешения: разрешение доступа к списку доменов не означает запрещение доступа для не вошедших в список доменов. Аналогично, запрещение доступа к списку доменов не означает разрешение доступа для не вошедших в список доменов. Имея самый высокий приоритет, они удобны для формирования исключений.

Разрешающая политика для группы «Все пользователи» определяет белый список доменов с более высоким приоритетом, чем аналогичная политика для группы «Аутентифицированные пользователи». Доступ к перечисленным доменам предоставляется всем пользователям, если индивидуальные политики не препятствуют этому. Разрешение доступа всем пользователям к определённому списку доменов удобно, когда вы совершенно не заботитесь об ограничении доступа к определённым сайтам, например, поисковым машинам. Однако в случае, если список доменов пуст, то по умолчанию доступ будет предоставлен ко всем сайтам без исключения, делая все политики с меньшим приоритетом бессмысленными.

Разрешающая политика для группы «Авторизованные пользователи» имеет более низкий по отношению к вышеописанной политике приоритет: доступ к перечисленным доменам предоставляется всем прошедшим аутентификацию пользователям, если индивидуальные политики не препятствуют этому. Разрешение доступа всем прошедшим аутентификацию пользователям к определённому списку доменов удобно, когда вы полагаете, что раз пользователь представился системе, то он может получить доступ к более широкому кругу сайтов, чем анонимные пользователи. Однако в случае, если список доменов пуст, таким пользователям по умолчанию будет предоставлен доступ ко всем сайтам без исключения. Такая установка удобна, когда вы хотите ограничить доступ в Интернет, главным образом, для анонимных пользователей.

Запрещающая политика для группы «Авторизованные пользователи» определяет чёрный список доменов с более высоким, чем аналогичная политика для группы «Все пользователи», приоритетом. Доступ к перечисленным сайтам будет запрещён для всех прошедших аутентификацию пользователей, если соответствующая индивидуальная политика или разрешающая политика группы «Все пользователи» не предоставляет его. Кроме того, доступ будет предоставлен ко всем не вошедшим в список сайтам. Такая политика удобна, когда для представившихся пользователей вы хотите ограничить доступ только к некоторому небольшому набору сайтов, оставив более масштабные ограничения для анонимных пользователей.

Запрещающая политика для группы «Все пользователи» определяет чёрный список доменов с наименьшим приоритетом. Доступ к перечисленным сайтам будет запрещён, если другие политики не препятствуют этому, в то время как доступ ко всем не вошедшим в список сайтам будет предоставлен. Такая политика удобна, когда по умолчанию вы хотите ограничить доступ только к некоторому небольшому набору сайтов.

Просмотр статистики работы прокси-сервера

Для просмотра статистики работы прокси-сервера предназначен модуль alterator-squidmill