Различия

Показаны различия между двумя версиями страницы.

--- network:squid [2025/11/05 10:46] – mirocow
+++ network:squid [2025/11/05 23:09] (текущий) – mirocow
@@ Строка 62: / Строка 62: @@
 nano /etc/squid/squid.conf
 <code bash>
+########################################################
+# ОСНОВНЫЕ НАСТРОЙКИ SQUID
+########################################################
+# Отключение проверки имён хостов
 check_hostnames off
-acl localnet src 0.0.0.1-0.255.255.255	# RFC 1122 "this" network (LAN)
+# Определение локальных сетей (RFC 1918 и др.)
-acl localnet src 10.0.0.0/8		          # RFC 1918 local private network (LAN)
+acl localnet src 0.0.0.1-0.255.255.255     # "this" network (LAN)
-acl localnet src 100.64.0.0/10		      # RFC 6598 shared address space (CGN)
+acl localnet src 10.0.0.0/8                    # RFC 1918 private
-acl localnet src 169.254.0.0/16         # RFC 3927 link-local (directly plugged) machines
+acl localnet src 100.64.0.0/10               # RFC 6598 CGN
-acl localnet src 172.16.0.0/12		      # RFC 1918 local private network (LAN)
+acl localnet src 169.254.0.0/16               # RFC 3927 link-local
-acl localnet src 192.168.0.0/16		      # RFC 1918 local private network (LAN)
+acl localnet src 172.16.0.0/12               # RFC 1918 private
-acl localnet src fc00::/7               # RFC 4193 local private network range
+acl localnet src 192.168.0.0/16              # RFC 1918 private
-acl localnet src fe80::/10              # RFC 4291 link-local (directly plugged) machines
+acl localnet src fc00::/7                      # RFC 4193 private
+acl localnet src fe80::/10                     # RFC 4291 link-local
-###
+# ACL для блокируемых/специальных ресурсов
 acl russia_block_list url_regex "/etc/squid/eais.list"
-acl i2p_list url_regex -i .*://.*\.i2p\/.*
 acl onion_list url_regex -i .*://.*\.onion\/.*
-# i2p
+# ACL для разделения HTTP/HTTPS .i2p
-cache_peer 192.168.1.131  parent    4444  4444  no-digest allow-miss no-query
+acl i2p_http url_regex -i ^http://.*\.i2p(/.*)?$
-cache_peer_access localhost allow i2p_list
+acl i2p_https url_regex -i ^https://.*\.i2p(/.*)?$
-# privoxy
+########################################################
-cache_peer 192.168.1.131 parent 8118 8118 no-digest allow-miss no-query
+# НАСТРОЙКА PEER-СЕРВЕРОВ (UPSTREAM PROXIES)
-cache_peer_access 192.168.1.131 allow onion_list
+########################################################
-cache_peer_access 192.168.1.131 allow russia_block_list
+# HTTP .i2p → порт 4444
+cache_peer 192.168.1.131 parent 4444 4444 no-digest \
+    protocol=http \
+    name=i2p_http_peer \
+    connect-timeout=15 \
+    request-timeout=60 \
+    dead-peer-timeout=30 \
+    round-robin
+# HTTPS .i2p → порт 4445
+cache_peer 192.168.1.131 parent 4445 4445 no-digest \
+    protocol=https \
+    name=i2p_https_peer \
+    connect-timeout=15 \
+    request-timeout=60 \
+    dead-peer-timeout=30 \
+    round-robin
+# privoxy peer (порт 8118)
+cache_peer 192.168.1.131 parent 8118 8118 no-digest \
+    protocol=http \
+    name=privoxy_peer \
+    connect-timeout=15 \
+    request-timeout=60 \
+    dead-peer-timeout=30 \
+    round-robin
+########################################################
+# ПРАВИЛА ДОСТУПА К PEER-СЕРВЕРАМ
+########################################################
+cache_peer_access i2p_http_peer allow i2p_http
+cache_peer_access i2p_https_peer allow i2p_https
+cache_peer_access privoxy_peer allow onion_list
+cache_peer_access privoxy_peer allow russia_block_list
+########################################################
+# ПРАВИЛА НАПРАВЛЕНИЯ ЗАПРОСОВ
+########################################################
+# never_direct: всегда использовать peer для указанных ACL
+never_direct allow i2p_http
+never_direct allow i2p_https
 never_direct allow onion_list
-never_direct allow i2p_list
 never_direct allow russia_block_list
 never_direct deny localnet
+# always_direct: никогда не использовать peer для указанных ACL
+always_direct deny i2p_http
+always_direct deny i2p_https
 always_direct deny onion_list
-always_direct deny i2p_list
 always_direct deny russia_block_list
 always_direct allow localnet
+########################################################
+# HTTP-ДОСТУП И БЕЗОПАСНОСТЬ
+########################################################
+# Разрешить доступ из локальных сетей
 http_access allow localnet
+# Файл hosts для разрешения имён
 hosts_file /etc/squid/hosts
-###
+# Порты для безопасных соединений
 acl SSL_ports port 443
-acl Safe_ports port 80		# http
+acl Safe_ports port 80            # http
-acl Safe_ports port 21		# ftp
+acl Safe_ports port 21            # ftp
-acl Safe_ports port 443		# https
+acl Safe_ports port 443           # https
-acl Safe_ports port 70		# gopher
+acl Safe_ports port 70            # gopher
-acl Safe_ports port 210		# wais
+acl Safe_ports port 210           # wais
-acl Safe_ports port 1025-65535	# unregistered ports
+acl Safe_ports port 1025-65535    # unregistered
-acl Safe_ports port 280		# http-mgmt
+acl Safe_ports port 280           # http-mgmt
-acl Safe_ports port 488		# gss-http
+acl Safe_ports port 488           # gss-http
-acl Safe_ports port 591		# filemaker
+acl Safe_ports port 591           # filemaker
-acl Safe_ports port 777		# multiling http
+acl Safe_ports port 777           # multiling http
 acl CONNECT method CONNECT
+# Запретить доступ к небезопасным портам
 http_access deny !Safe_ports
+# Запретить CONNECT к небезопасным SSL-портам
 http_access deny CONNECT !SSL_ports
+# Доступ для менеджера (только локально)
 http_access allow localhost manager
 http_access deny manager
+# Включить дополнительные конфиги
 include /etc/squid/conf.d/*
+# Разрешить локальный доступ
 http_access allow localhost
+# Запретить всё остальное
 http_access deny all
+########################################################
+# ПОРТ И ДИРЕКТОРИИ
+########################################################
+# Основной HTTP-порт прокси
 http_port 3128
+# Директория для coredump
 coredump_dir /var/spool/squid
-refresh_pattern ^ftp:		1440	20%	10080
+########################################################
-refresh_pattern ^gopher:	1440	0%	1440
+# НАСТРОЙКИ КЭШИРОВАНИЯ
-refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
+########################################################
-refresh_pattern .		0	20%	4320		0	20%	4320           0       20%     4320
+refresh_pattern ^ftp:           1440    20%     10080
+refresh_pattern ^gopher:         1440    0%      1440
+refresh_pattern -i (/cgi-bin/|\?) 0      0%      0
+refresh_pattern .               0       20%     4320
+########################################################
+# ДОПОЛНИТЕЛЬНЫЕ НАСТРОЙКИ (ОПЦИОНАЛЬНО)
+########################################################
+# Уровень отладки (раскомментировать при необходимости)
+# debug_options ALL,1 33,2
+# Логирование доступа (стандартный формат)
+access_log /var/log/squid/access.log
+# Логирование кэша
+cache_log /var/log/squid/cache.log
+# Размер кэша (пример: 10 ГБ)
+# cache_dir ufs /var/spool/squid 10240 16 256
+# Максимальный размер объекта в кэше (например, 100 МБ)
+# maximum_object_size 102400 KB
+# DNS-серверы (если требуется)
+# dns_nameservers 8.8.8.8 1.1.1.1
+# dns_timeout 15 seconds
 </code>
+  - cache_peer_access - какие(чьи) запросы к доменам, порождают соединение, проходящее через соседский прокси
+  - never_direct - какие(чьи) запросы, НИКОГДА НЕ БУДУТ идти напрямую в Интернет
+  - always_direct - какие(чьи) запросы, будут ВСЕГДА идти напрямую в Интернет
 ===== Удаление комментариев =====