Kalmari

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 13.5.2021 tarkistetusta versiosta . tarkastukset vaativat 9 muokkausta .

Kalmari
Kalmari logo
Tyyppi	välityspalvelin
Kehittäjä	Squid Software Foundation [d]
Sisään kirjoitettu	C++
Käyttöjärjestelmä	GNU/Linux [3] , BSD ja Microsoft Windows
Ensimmäinen painos	heinäkuuta 1996
Laitteistoalusta	Microsoft Windows
uusin versio	5.7 [1] [2] ( 5. syyskuuta 2022 )
Lisenssi	GNU GPL 2+ [3]
Verkkosivusto	squid-cache.org _

Squid ( englanniksi squid - "squid") on ohjelmistopaketti, joka toteuttaa välimuistipalvelimen toiminnon HTTP- , FTP- , Gopher- ja (jos oikein määritetty) HTTPS -protokollia varten . Yhteisön kehittämä avoimen lähdekoodin ohjelma (jaettu GNU GPL :n alla ). Kaikki pyynnöt käsitellään yhtenä estävänä I/O -prosessina .

Sitä käytetään UNIX-tyyppisissä järjestelmissä ja Windows NT -perheen käyttöjärjestelmissä . Sillä on kyky olla vuorovaikutuksessa Active Directory Windows Serverin kanssa todennuksen kautta LDAP :n kautta , jonka avulla voit käyttää Internet-resurssien pääsynhallintaa käyttäjille, joilla on tilejä Windows Serverissä, ja mahdollistaa myös Internet-liikenteen "leikkaamisen" eri käyttäjille.

Käytetään yhdessä Mediawiki -koneiden kanssa wiki-isännöissä. Välimuistipalvelimen käyttäminen sivustoille on kannattavaa noin 2000 vierailijasta päivässä.

Yhteensopivuus

Squid-palvelinta on kehitetty useita vuosia. Tarjoaa yhteensopivuuden tärkeimpien Internet-protokollien sekä käyttöjärjestelmien kanssa:

AIX
BSDI
FreeBSD
Linux
HP-UX
IRIX
Mac-käyttöjärjestelmän kymmenes versio
Microsoft Windows
NetBSD
Seuraava askel
OSF ja Digital Unix
OpenBSD
OS/2 , mukaan lukien EComStation ja ArcaOS [4]
SCO Unix
SunOS / Solaris

Squidia käyttää myös Wikimedia -järjestelmä . [5]

Arkkitehtuurin kuvaus

Kulunvalvontaluettelot

Pääsynhallintalistoja [6] ( pääsynhallintaluettelo , acl ) käytetään hallitsemaan resurssien käyttöä ja määrittämään useita toimintoja . Jokainen ACL voi koostua useista kriteereistä (mutta vain yhdestä tyypistä):

pyynnön lähteen osoite (verkko), pyynnön kohde
pyyntölähteen nimi ( domain name ), pyynnön kohteen nimi
osia pyynnön URL -osoitteesta
protokollaa
portti (vastaanotin, lähettäjä, kalmari itse)
menetelmää (POST tai GET) siirrettäessä tietoja HTTP:n kautta
selain ( käyttäjäagentti )
ident (pyyntö työasemalle )
Lähettäjän/vastaanottajan autonomisen järjestelmän numero (ei kaikissa tapauksissa)
Valtuutus välityspalvelimella (katso alla)
Yhteysnumero (käytetään useimmiten rajoittamaan yhteyksien määrää)
SNMP
käyttäjävarmenteita
pyyntöparametreja
ulkoiset käsittelijät

Tunnistus

Squid tukee useita käyttäjien todennustyyppejä:

IP-osoitteen (tai isäntäverkkotunnuksen) mukaan
Siirrettyjen tietojen mukaan (kirjautuminen / salasana)
Käyttäjäagentin (selaimen) tunnuksen mukaan

Tunnistukseen kirjautumistunnuksella/salasanalla on mahdollista käyttää:

Tavallinen käyttäjätunnus/salasana
NTLM- valtuutus
Ulkoiset valtuutusohjelmat (valtuutusmuodon määrittäminen)

Ryhmien pääsyn rajoittaminen

Uudelleenohjaajat

Squidillä on kyky kirjoittaa pyydetyt URL-osoitteet uudelleen. Squid voidaan määrittää välittämään saapuvat URL-osoitteet uudelleenohjausprosessin kautta, joka toimii ulkoisena prosessina (samanlainen kuin dnsserver), joka palauttaa uuden URL-osoitteen tai tyhjän merkkijonon, joka ilmaisee, ettei muutosta ole tapahtunut.

Uudelleenohjaus ei ole Squid-paketin vakio-osa. Uudelleenohjaus antaa järjestelmänvalvojalle hallinnan käyttäjien liikkeisiin. Uudelleenohjauksen käyttö yhdessä läpinäkyvän välityspalvelimen kanssa antaa yksinkertaisen mutta tehokkaan hallinnan ei-toivottujen resurssien käyttöön (esimerkiksi viihderesurssit ja sosiaaliset verkostot yritysverkossa , pornografia ) . Uudelleenohjaajan tulee lukea URL-osoitteet (yksi per rivi) vakiosyötteestä ja kirjoittaa muuttuneet URL-osoitteet tai tyhjät rivit vakiotulosteeseen. On huomattava, että uudelleenohjausohjelma ei voi käyttää puskuroitua I/O:ta. Squid liittää URL-osoitteen perään lisätietoja, joita uudelleenohjaaja voi käyttää päätöksentekoon.

SAMS (SQUID Account Management System) on ohjelmistotyökalu Squid-välityspalvelimen käyttäjien pääsyn hallintaan.

Tällä hetkellä SAMS määrittää uudelleenohjaajien työn:

SAMS-uudelleenohjaus - uudelleenohjaus, joka toimii suoraan SAMS-tietokantojen kanssa
SquidGuard on erittäin tehokas uudelleenohjaus.
Standard SQUID – yksinkertaisin uudelleenohjaus, joka on kuvattu SQUIDin dokumentaatiossa

Uudelleenohjaajien tyypit:

SAMS-uudelleenohjaus

Erityisesti SQUIDille kirjoitettu, käyttää suoraan tietokannan sisältämiä tietoja. Voit ottaa käyttöön eri pyyntöjen uudelleenohjauksen käyttäjille (muokattuna käyttäjämallien mukaan). SAMS Redirector tarjoaa:

rajoittamalla käyttäjien pääsyä SQUIDiin
SQUIDin käytön aikaohjaus
rajoittamalla käyttäjien pääsyä kiellettyihin resursseihin (tai käyttäjän pääsyn vain sallittuihin resursseihin)
käyttäjien pyyntöjen ohjaaminen bannereihin, laskureihin jne.

SquidGuard-uudelleenohjaus

Tehokas uudelleenohjaus upeilla ominaisuuksilla. Uudelleenohjaus sisältää luettelot banneri-, porno- ja muista verkkotunnuksista. SAMS lisää SquidGuard- määritystiedostoon squidguard.conf asetukset estettyjen toimialueluetteloiden ja SAMS-käyttöoikeuksien uudelleenohjauksen osalta. SquidGuardin mukana tulevien luetteloiden asetuksia ei muuteta tai poisteta.

SquidGuard-uudelleenohjausta käytettäessä acl:t syötetään squid.conf-tiedostoon, jolloin kaikki käyttäjät voivat käyttää SQUID:tä. Käyttäjien pääsyn rajoittaminen järjestetään uudelleenohjauksen avulla.

Normaali SQUID

Tämä uudelleenohjaus on kuvattu SQUID-dokumentaatiossa. Perlissä kirjoitettu. Uudelleenohjaus luodaan sen jälkeen, kun on annettu komento määrittää SQUID uudelleen pyynnön edelleenlähetysluetteloiden perusteella. Nopea ja kevyt uudelleenohjaus, mutta ei erota käyttäjiä.

Tätä uudelleenohjausta käytettäessä käyttäjien pääsyn estoluetteloiden rajoittaminen järjestetään ACL SQUID:n avulla. Käytettäessä SQUID-uudelleenohjausta tai jos uudelleenohjausta ei käytetä ollenkaan, on mahdollista, että kun käyttäjät katkaisevat yhteyden ylimääräisen liikenteen vuoksi, heillä on edelleen pääsy "Paikalliset verkkotunnukset" -luettelossa määritettyihin URL- ja IP-osoitteisiin.

Yhteyden enimmäisnopeusrajoitus

Käyttäjän (käyttäjien) maksimivastaanottonopeuden rajoittaminen kalmarissa on toteutettu englanninkielisellä mekanismilla. viive poolit (kirjaimellisesti - "viive poolit"). Nopeusrajoitusmekanismi toimii poolin periaatteella (siis nimi pool (pool)), johon tieto "virraa" ja "virtaa ulos". Tällä tavalla määritettyjä erillisiä muistialueita kutsutaan englanniksi. ämpäri (ämpäri). Kauhassa on parametrit: "kapasiteetti", "täyttönopeus". Jos käyttäjä(t) vastaanottavat tietoa pienemmällä nopeudella kuin "täyttöaste", ämpäri on aina täynnä. Jos käyttäjä nostaa tiedon vastaanottonopeutta hetkeksi täyttönopeuden yläpuolelle, niin siihen asti, kun ämpäri on tyhjä, hänen nopeutta ei ole rajoitettu, heti kun ämpäri tyhjenee, asiakas saa tiedon ämpärin täyttönopeudella . Jos on ryhmä- ja yksittäisiä kauhoja, ne kytketään päälle peräkkäin.

Viivepooleja on kolmea tyyppiä (luokkaa) [7] :

Yksi segmentti ( eng. aggregate bucket , luokka 1) on raja koko ryhmän kulutetulle kaistanleveydelle. (parametrit: altaan tilavuus, täyttönopeus).
Yksittäinen aggregaattikauha sekä "yksittäinen" kauha , luokka 2 . Yksittäiset kauhat muodostetaan IP-osoitteen biteistä (25-32).
yksittäinen yhdistelmäsäilö sekä "verkko"-säilö ja "yksittäinen" ämpäri , luokka 3) . Verkkoämpäri muodostetaan IP-osoitteen biteistä 17-24.

Jokaiselle kauhalle on määritetty kaksi parametria: kapasiteetti ja täyttönopeus. −1 tarkoittaa "ei rajaa".

Käyttäjien osuma yhdessä tai toisessa ryhmässä määräytyy ryhmien pääsyluetteloilla, niitä tarkastellaan siinä järjestyksessä, jossa ne mainitaan asetustiedostossa ensimmäiseen osumaan asti. Käyttäjien, jotka eivät kuulu mihinkään ämpäriin, nopeus ei ole rajoitettu.

Käänteinen välimuisti

Yksi squidin ominaisuuksista on kyky työskennellä käänteisessä välityspalvelintilassa , joka tunnetaan myös nimellä "kiihdytin" ("HTTP-kiihdytin"). Tässä tapauksessa useiden käyttäjien useiden sivustojen pyynnöt välimuistiin tallennetaan useiden käyttäjien useille sivustoille tekemät pyynnöt välimuistiin. Tässä tilassa vastaanotetun pyynnön "dynaaminen" (onko tarpeen käsitellä pyyntö tyhjästä joka kerta) ja "ikä" (onko tiedot edelleen relevantti) tarkistetaan. Jos tiedot ovat edelleen relevantteja eivätkä ole muuttuneet, pyyntöä ei lähetetä palvelimelle, vaan se palautetaan squid-välimuistista. Siten palvelimien kuormitus vähenee merkittävästi (esimerkiksi Wikipediassa sivupyynnöt tallennetaan välimuistiin, koska niiden sisältö ei muutu katselun jälkeen, kun taas palvelimien kuormitus on paljon pienempi - pyynnön käsittely välimuistiin on paljon helpompaa kuin SQL-tietokannan pyynnön käsittely, wikimerkintöjen käsittely ja verkkosivujen luominen ).

Lisäksi "käänteinen välityspalvelin" pystyy jakamaan pyyntöjä useiden palvelimien kesken tasapainottaen kuormitusta ja/tai tarjoamalla vikasietoisuutta, eli tarjoaa itse asiassa klusterin kaltaisia toimintoja .

Läpinäkyvä välityspalvelintila

Yhdessä joidenkin palomuurien ja reitittimien kanssa squid voi toimia läpinäkyvässä välityspalvelintilassa . Tässä tilassa reititin välittää käyttäjän HTTP-pyynnöt suoraan Internetin HTTP-palvelimelle , vaan välittää ne välityspalvelimelle, joka voi toimia erillisessä isännässä tai itse reitittimessä. Välityspalvelin käsittelee pyynnön (mahdollinen sisällön palauttaminen välimuistista), tämä sisältö lähetetään pyynnön esittäneelle käyttäjälle, jolle se näyttää "vastaukselta" palvelimelta, jolle pyyntö osoitettiin. Näin ollen käyttäjä ei välttämättä edes tiedä, että kaikki pyynnöt ja vastaukset ovat menneet välityspalvelimen kautta.

Tässä välityspalvelimen lähestymistavassa todennusta ei tarjota, koska välityspalvelimen läpinäkyvyys edellyttää tätä.

Edut

Läpinäkyvän välityspalvelimen järjestelmänvalvojan ei tarvitse määrittää jokaista asiakaskonetta käyttämään välityspalvelinta.

Haitat

Läpinäkyvyystilassa FTP- ja HTTPS -pyyntöjä ei välitetä [8] .

Jotta välityspalvelinta voidaan käyttää läpinäkyvässä tilassa, HTTPS - pyynnöt on käännettävä tukemalla SslBump [9] .

Muistiinpanot

↑ Squid versio 5 . (määrätön)
↑ Squid 5.7 julkaisutiedot . (määrätön)
↑ 12 vapaiden ohjelmistojen hakemisto
↑ Paul Smedley. Unix-portit OS/2:lle ja ArcaOS :lle . Paul Smedleyn Unix-portit OS/2:lle ja ArcaOS:lle . Haettu 13. toukokuuta 2021. Arkistoitu alkuperäisestä 13. toukokuuta 2021.
↑ Wikimedia-palvelimet - Meta . Haettu 21. syyskuuta 2010. Arkistoitu alkuperäisestä 10. tammikuuta 2010. (määrätön)
↑ ACL-kuvaus käsikirjassa . Haettu 10. toukokuuta 2008. Arkistoitu alkuperäisestä 1. maaliskuuta 2017. (määrätön)
↑ http://www.squid-cache.org/Versions/v2/2.6/cfgman/delay_class.html Arkistoitu 1. maaliskuuta 2017 Wayback Machinessa Kuvaus delay_class- vaihtoehdosta
↑ Läpinäkyvä välityspalvelin Linuxilla ja Squid mini-HOWTO . Haettu 20. maaliskuuta 2011. Arkistoitu alkuperäisestä 18. maaliskuuta 2011. (määrätön)
↑ Squid in the middle SSL Bump . Haettu 22. maaliskuuta 2018. Arkistoitu alkuperäisestä 17. helmikuuta 2018. (määrätön)

Linkit

squid-cache.org - projektin kotisivu