Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия		 Предыдущая версия
network:squid [2023/12/13 09:43] – ↷ Страница перемещена из system:squid в network:squid mirocownetwork:squid [2025/11/05 23:09] (текущий) mirocow
Строка 62: Строка 62:
 nano /etc/squid/squid.conf nano /etc/squid/squid.conf
 <code bash> <code bash>
-acl localnet src 192.168.0.0/16 +######################################################## 
-acl russia_block_urls url_regex "/etc/squid/blocklist.list" +# ОСНОВНЫЕ НАСТРОЙКИ SQUID 
-acl i2p_urls url_regex -i .*://.*\.i2p\/.* +######################################################## 
-acl onion_urls url_regex -i .*://.*\.onion\/.* + 
-cache_peer 127.0.0.1  parent    4444  4444  no-digest allow-miss no-query +# Отключение проверки имён хостов 
-cache_peer_access 127.0.0.1 allow i2p_urls +check_hostnames off 
-cache_peer 192.168.1.131 parent 8118 8118 no-digest allow-miss no-query + 
-cache_peer_access 192.168.1.131 allow onion_urls +# Определение локальных сетей (RFC 1918 и др.) 
-cache_peer_access 192.168.1.131 allow russia_block_urls +acl localnet src 0.0.0.1-0.255.255.255     # "this" network (LAN) 
-never_direct allow onion_urls +acl localnet src 10.0.0.0/                   # RFC 1918 private 
-never_direct allow i2p_urls +acl localnet src 100.64.0.0/10               # RFC 6598 CGN 
-never_direct allow russia_block_urls+acl localnet src 169.254.0.0/16               # RFC 3927 link-local 
 +acl localnet src 172.16.0.0/12               # RFC 1918 private 
 +acl localnet src 192.168.0.0/16              # RFC 1918 private 
 +acl localnet src fc00::/                     # RFC 4193 private 
 +acl localnet src fe80::/10                     # RFC 4291 link-local 
 + 
 +# ACL для блокируемых/специальных ресурсов 
 +acl russia_block_list url_regex "/etc/squid/eais.list" 
 +acl onion_list url_regex -i .*://.*\.onion\/.* 
 + 
 +# ACL для разделения HTTP/HTTPS .i2p 
 +acl i2p_http url_regex -i ^http://.*\.i2p(/.*)?
 +acl i2p_https url_regex -i ^https://.*\.i2p(/.*)?$ 
 + 
 +######################################################## 
 +# НАСТРОЙКА PEER-СЕРВЕРОВ (UPSTREAM PROXIES) 
 +######################################################## 
 + 
 +# HTTP .i2p → порт 4444 
 +cache_peer 192.168.1.131 parent 4444 4444 no-digest 
 +    protocol=http \ 
 +    name=i2p_http_peer \ 
 +    connect-timeout=15 \ 
 +    request-timeout=60 \ 
 +    dead-peer-timeout=30 \ 
 +    round-robin 
 + 
 +# HTTPS .i2p → порт 4445 
 +cache_peer 192.168.1.131 parent 4445 4445 no-digest 
 +    protocol=https \ 
 +    name=i2p_https_peer \ 
 +    connect-timeout=15 \ 
 +    request-timeout=60 \ 
 +    dead-peer-timeout=30 \ 
 +    round-robin 
 + 
 +# privoxy peer (порт 8118) 
 +cache_peer 192.168.1.131 parent 8118 8118 no-digest \ 
 +    protocol=http \ 
 +    name=privoxy_peer \ 
 +    connect-timeout=15 \ 
 +    request-timeout=60 \ 
 +    dead-peer-timeout=30 \ 
 +    round-robin 
 + 
 +######################################################## 
 +# ПРАВИЛА ДОСТУПА К PEER-СЕРВЕРАМ 
 +######################################################## 
 + 
 +cache_peer_access i2p_http_peer allow i2p_http 
 +cache_peer_access i2p_https_peer allow i2p_https 
 +cache_peer_access privoxy_peer allow onion_list 
 +cache_peer_access privoxy_peer allow russia_block_list 
 + 
 +######################################################## 
 +# ПРАВИЛА НАПРАВЛЕНИЯ ЗАПРОСОВ 
 +######################################################## 
 + 
 +# never_direct: всегда использовать peer для указанных ACL 
 +never_direct allow i2p_http 
 +never_direct allow i2p_https 
 +never_direct allow onion_list 
 +never_direct allow russia_block_list
 never_direct deny localnet never_direct deny localnet
-always_direct deny onion_urls + 
-always_direct deny i2p_urls +# always_direct: никогда не использовать peer для указанных ACL 
-always_direct deny russia_block_urls+always_direct deny i2p_http 
 +always_direct deny i2p_https 
 +always_direct deny onion_list 
 +always_direct deny russia_block_list
 always_direct allow localnet always_direct allow localnet
 +
 +########################################################
 +# HTTP-ДОСТУП И БЕЗОПАСНОСТЬ
 +########################################################
 +
 +# Разрешить доступ из локальных сетей
 http_access allow localnet http_access allow localnet
 +
 +# Файл hosts для разрешения имён
 hosts_file /etc/squid/hosts hosts_file /etc/squid/hosts
 +
 +# Порты для безопасных соединений
 acl SSL_ports port 443 acl SSL_ports port 443
-acl Safe_ports port 80          # http +acl Safe_ports port 80            # http 
-acl Safe_ports port 21          # ftp +acl Safe_ports port 21            # ftp 
-acl Safe_ports port 443         # https +acl Safe_ports port 443           # https 
-acl Safe_ports port 70          # gopher +acl Safe_ports port 70            # gopher 
-acl Safe_ports port 210         # wais +acl Safe_ports port 210           # wais 
-acl Safe_ports port 1025-65535  # unregistered ports +acl Safe_ports port 1025-65535    # unregistered 
-acl Safe_ports port 280         # http-mgmt +acl Safe_ports port 280           # http-mgmt 
-acl Safe_ports port 488         # gss-http +acl Safe_ports port 488           # gss-http 
-acl Safe_ports port 591         # filemaker +acl Safe_ports port 591           # filemaker 
-acl Safe_ports port 777         # multiling http+acl Safe_ports port 777           # multiling http 
 acl CONNECT method CONNECT acl CONNECT method CONNECT
 +
 +# Запретить доступ к небезопасным портам
 http_access deny !Safe_ports http_access deny !Safe_ports
 +
 +# Запретить CONNECT к небезопасным SSL-портам
 http_access deny CONNECT !SSL_ports http_access deny CONNECT !SSL_ports
 +
 +# Доступ для менеджера (только локально)
 http_access allow localhost manager http_access allow localhost manager
 http_access deny manager http_access deny manager
 +
 +# Включить дополнительные конфиги
 +include /etc/squid/conf.d/*
 +
 +# Разрешить локальный доступ
 http_access allow localhost http_access allow localhost
 +
 +# Запретить всё остальное
 http_access deny all http_access deny all
 +
 +########################################################
 +# ПОРТ И ДИРЕКТОРИИ
 +########################################################
 +
 +# Основной HTTP-порт прокси
 http_port 3128 http_port 3128
 +
 +# Директория для coredump
 coredump_dir /var/spool/squid coredump_dir /var/spool/squid
 +
 +########################################################
 +# НАСТРОЙКИ КЭШИРОВАНИЯ
 +########################################################
 +
 refresh_pattern ^ftp:           1440    20%     10080 refresh_pattern ^ftp:           1440    20%     10080
-refresh_pattern ^gopher:        1440    0%      1440 +refresh_pattern ^gopher:         1440    0%      1440 
-refresh_pattern -i (/cgi-bin/|\?) 0     0%      0+refresh_pattern -i (/cgi-bin/|\?) 0      0%      0
 refresh_pattern .                     20%     4320 refresh_pattern .                     20%     4320
 +
 +########################################################
 +# ДОПОЛНИТЕЛЬНЫЕ НАСТРОЙКИ (ОПЦИОНАЛЬНО)
 +########################################################
 +
 +# Уровень отладки (раскомментировать при необходимости)
 +# debug_options ALL,1 33,2
 +
 +# Логирование доступа (стандартный формат)
 +access_log /var/log/squid/access.log
 +
 +# Логирование кэша
 +cache_log /var/log/squid/cache.log
 +
 +# Размер кэша (пример: 10 ГБ)
 +# cache_dir ufs /var/spool/squid 10240 16 256
 +
 +# Максимальный размер объекта в кэше (например, 100 МБ)
 +# maximum_object_size 102400 KB
 +
 +# DNS-серверы (если требуется)
 +# dns_nameservers 8.8.8.8 1.1.1.1
 +# dns_timeout 15 seconds
 </code> </code>
 +
 +  - cache_peer_access - какие(чьи) запросы к доменам, порождают соединение, проходящее через соседский прокси
 +  - never_direct - какие(чьи) запросы, НИКОГДА НЕ БУДУТ идти напрямую в Интернет
 +  - always_direct - какие(чьи) запросы, будут ВСЕГДА идти напрямую в Интернет
  
 ===== Удаление комментариев ===== ===== Удаление комментариев =====