weekend - projektet: oprettelse af blæksprutter om linux som caching web - indikator

, blæksprutter, stedfortræder serveren kan fungere i mange roller og mdash; http accelerator -, trafik - filter, netværk logger osv. og mdash, men dens primære funktion er ofte anmodet om web caching midler til at redde wan båndbredde.en gennemsigtig caching stedfortræder kan opfange og cache http trafik med hele din ian, uden at det er nødvendigt at individuelt konfigurere hver browser.for blæksprutter har så mange muligheder, men du er nødt til at sætte det op og prøve det, før rulles ud i en produktion, miljø og mdash. det perfekte weekend projekt.,, fuglen ' øje mening, før begyndt, er det vigtigt at forstå, at blæksprutter kan cache http trafik for hele lan, men det kan ikke gennemsigtigt cache tls /ssl forbindelser, imap, xmpp, og mange andre former for indhold.i de fleste tilfælde er der ikke forbindelse former, at du vil have, at cache for hele lan, men at det også bør undgå kostbare fejl at blokere for denne anden trafik.,, den nøjagtige fælde, der er nødvendige for deres ian vil afhænge af dens nettopologi.hvis du allerede har en maskine, der fungerer som en port router (måske endda dhcp - server), og det er det logiske valg at konfigurere som blæksprutte fuldmagt.men hvis maskinen er en lavfrekvens indbyggede router uden diskplads til brug som lager, kan det være nødvendigt at vælge en anden maskine være stedfortræder.i så fald, er du nødt til at forme blæksprutte ordentligt på stedet - maskine, og konfigurere routeren til automatisk at omdirigere http trafik fra ian klienter fuldmagt server., det er endelig meget tydede på, at du løber de en version af blæksprutter, som muligt.fordi pakken er leveret af alle større linux udlodninger, du skulle ikke have svært ved at få eller installere en ajourført pakke, men tjek versionsnummer for at være sikker.den seneste løsladelse er 3.1. x - serien; versioner af blæksprutter før 2.6 anvendes en markant forskellige sæt valgmuligheder.,, at erstatning og router på den samme maskine, enklere udformning er fundet, da blæksprutter kører på gateway - maskine; i dette tilfælde af ian kunder allerede er, at deres ip trafikken til maskinen, fordi det er den manglende vej til resten af nettet.maskinen kan inspicere de pakker ' indhold på grundlag af kilde - og bestemmelseshavnen., således at cache lan kunder og' trafik, kan vi bruge linux ', s iptables pakke - at omlægge trafikken hørt om ian nettet http grænseflade til blæksprutter og konfigurere blæksprutten til lager og fuldmagt, disse anmodninger på wan net grænseflade.hvis eth0 er ian grænseflade og eth1 er wan grænseflade, som iptables regler vil udføre havnen omlægninger:,,, iptables - t - - en prerouting - jeg eth0 - p tcp - dport 80 - j genafhøre... til port 3128 iptables - en input - j - m - medlemsstat acceptere nye, der er etableret i - jeg eth0 - p tcp - dport 3128 iptables - output - j - m - medlemsstat acceptere nye, der vedrørte - o - p eth1 tcp - dport 80 iptables - en input - j acceptere - m - stat, der er etableret, i - jeg eth1 - p tcp - sport 80 iptables - output - j acceptere - m - stat, der er etableret i eth0 - o - p tcp - sport, 80, første linje fremad ian trafik på tcp port 80 til blæksprutter og' s misligholdelse efter havn, 3128.den anden linje accepterer indgående trafik, der er udpeget til havn 3128, mens den tredje mulighed for udgående forbindelser på wan grænseflade, der er bestemt til havn 80 (dvs. på vej til fjerntliggende web - server).linje 4 accepterer nye wan trafik fra havn, 80, og sidst, men ikke mindst, linje fem giver de forbindelser, der leveres på ian grænseflade,.,, den sjove ting om iptables, er, at der ofte er mere end én måde at gøre det samme.de regler, der er nævnt ovenfor, er ganske enkel, men du kan få brug for ekstra konfiguration.hvis du har et andet netværk adapter på ian side (f.eks. " wlan0 " for en wifi - kort), overlapper de eth1 regler for wlan0 er ligetil.men hvis du har flere ian grænseflader (som kan forventes af en router med en indbygget ethernet - skift), filtrering indkommende pakker af kilden, ip - adresse er en bedre idé.du kan gøre det med, iptables - t - - en prerouting - s 192.168.1.0/24 - p tcp - dport 80 - j genafhøre... til port 3128 at filtrere alle klienter i 192.168.1. x blok.,, at konfigurere blæksprutte selv åbne den konfiguration, fil /etc /blæksprutter /blæksprutte. conf.for det første skal fastsætte, visible_hostname parameter til din maskine ', s hostname; uden denne blæksprutte vil ikke starte.næste, se på, http_access, linje. det kan være, at benægte alt.du kan ændre det til, gør det muligt for alle, for afprøvning (eller hvis du bare stole på alle, der nogensinde vil være på dit netværk), men for bedre sikkerhed, bør de kontakte blæksprutter, dokumentation for at oprette flere finkornet adgangskontrol, endelig, at det er tid til at gøre det muligt for gennemsigtige caching.på toppen af, squid.conf, fil, du vil se en, http_port, linje, der som nævnt ovenfor er fastsat til port 3128 ved misligholdelse.for at gøre den gennemskuelig caching, alt du skal gøre, er at tilføje ordet, skæring, at denne linje.så start eller genoptage blæksprutte fra kommando linjen med service blæksprutte genstarte,.,, det vil give dig et lager, men du bør også læse squid.conf in - line - dokumentation, for at få en fornemmelse af, hvor nogle af de andre muligheder kan påvirke resultaterne.i særdeleshed, blæksprutte, anvender den, var /spole /blæksprutter /, statistik, som standard for skjult objekt oplagring.de mindre rum, de har til rådighed, var /,, værre, din præstation vil blive som objekter, udløber før fra lager.på samme måde, du vil vælge en normal værdi for, maximum_object_size, og maximum_object_size_in_memory.,,, at erstatning og router på forskellige maskiner, hvis blæksprutten er, ikke, kører på gateway - maskine (og dermed, om misligholdelse rute til ip - trafik), så det her bliver mere kompliceret på routing - side.du bør oprette blæksprutte - serveren sig som før, bruge, standse, flag, blæksprutte. conf,.,, på din ian ' s misligholdelse router, men du bliver nødt til at anvende et andet sæt af iptables regler.det er planen at omskrive ian trafikken på vej til en tcp 80 bestemmelseshavnen til blæksprutte - serveren, medmindre, at trafikken stammer fra blæksprutte - server.på den måde kan stadig kan få forbindelser til verden udenfor, som det var tilfældet før, er der flere forskellige metoder til at gøre dette med linux ' s pakke filtrering funktionalitet.en fremgangsmåde svarende til eksemplet ovenfor (ved hjælp af " nat " tabel) kunne se sådan ud, om router:,,, iptables - t - - en prerouting - jeg eth0 - s!192.168.1.101 - p tcp - dport 80 - j dnat - - for at 192.168.1.101:3128 iptables - t - - en postrouting - o - s eth0 192.168.1.0/24 - d 192.168.1.100 - j slange... at 192.168.1.1 iptables - frem - s 192.168.1.0/24 - d 192.168.1.101 - jeg eth0 - o eth0 - m - stat nye, der vedrørte - p tcp - dport 3128 - j acceptere iptables - frem - d 192.168.1.0/24 - s 192.168.1.101 - jeg eth0 - o eth0 - m - stat, der er etableret i tilknytning - p tcp - sport 3128 - j acceptere,,,,,,, eth0 er igen ian grænseflade og eth1 wan - grænseflade.blæksprutte kører på 192.168.1.101, mens 192.168.1.1 er ian ' s port router.linje 1 registret omdirigerer http trafikken ("!") fra blæksprutte - server for blæksprutte - serveren på dets misligholdelse havn 3128.linje 2 har omdirigeret trafikken på vej ud, og udfører kilde netadresse oversættelse, således at de pakker, synes at have oprindelse på router.linje tre og fire, blot fortælle router for at muliggøre trafik passerer uændret mellem blæksprutte - og ian klienter.,, en anden tilgang er foreslået på den officielle blæksprutte projekt wiki ved hjælp af linux ', s iproute2 nytteværdi.i denne metode, man definerer en særlig vej for dit udtrykt trafik i /etc /iproute2 /rt_tables, såsom, 222 squidtraffic, og definere den rute, ip - regel tilføje fwmark 2 tabel squidtraffic; ip rute tilføje misligholdelse gennem 192.168.1.101 tabel squidtraffic,.,, og oprette en iptables regel om, at ", marks " ian http trafik med firewall mark (udvalgt i, ip - regel, kommando; antallet i sig selv er et vilkårligt valg):,,, iptables - t lemlæste - en prerouting - p tcp - dport 80 - s 192.168.1.101 - j acceptere iptables - t lemlæste - en prerouting - jeg eth0 - p tcp - dport 80 - j... sæt mark 2 iptables - t lemlæste - en prerouting - m... mark 2 - j acceptere,,, en fordel ved denne metode er, at det ikke stole på netadressen transning, så hvis du ikke bruger nat, du behøver ikke at starte.på den anden side, den deler de konfiguration i flere stykker, som kan være forvirrende, når man revidere konfiguration otte måneder senere, har glemt detaljerne.,, at de vedvarende og lidt ekstra kredit, alt efter hvilken løsning der, du tager med henblik på at gøre deres ændringer overleve en genstart, du bliver nødt til at red din iptables (og /eller up) kommandoer i et manuskript, der bliver henrettet, når netadaptere er bragt op af boot proces.hvordan man bedst gør det varierer lidt af distribution.ubuntu og hat, f.eks. bruge opkomling, så du kan redde dit manuskript med en meningsfyldt navn, /etc /lokalitet /,, men du må konfigureres i henhold til opkomling ' s særlige regler.opensuse og debian brugere kan benytte en mere traditionel shell manuskript format og redde det, /etc /lokalitet. d /,,.,, en helt anderledes tilgang til caching proxy problem, overveje at se på nettet cache meddelelse protokol (wccp), som også støttes af blæksprutter.wccp blev udviklet af cisco til anvendelse i store udsendelser (med klynger af depoter og routere), men for komplekse netværk, der kan være lettere at fastholde, at flere uafhængige routere hver med et andet sæt iptables regler.,, hvis du er allerede blæksprutte med succes med en anden pakke filtrering fælde, overveje at dele med andre læsere.mange af reglerne er meget afhængige af nettopologien og den version af blæksprutter, der anvendes, så hvem ved — deres eksempel kan hjælpe nogen, der arbejder på at støtte et lignende konfiguration.og dermed redde dem den båndbredde, der er nødvendige for at jage dem ned på deres egne.



Previous:
Next Page: