Istnieje wiele wspaniałych narzędzi, które oferują to, co Squid, ale kiedy muszę przekierować ruch sieciowy do serwera buforującego (ang. caching server) w celu zwiększenia wydajności sieci lub jej bezpieczeństwa, wybieram Squida. Squid ma wbudowaną warstwę pośredniczącą i narzędzia do jej obsługi, które są proste i efektywne.

Oryginalny tekst pochodzi z Red Hat Magazine, autorem jest Noah Gift. Opublikowano 17 kwietnia 2007 r.

Instalowałem niedawno Squida w bezpiecznej sieci, która blokowała łączność z zewnętrznymi adresami IP po porcie 80. Wiele organizacji blokuje zewnętrzny port 80 na poziomie rutera. To niezły sposób na pozbycie się wielkiej dziury w systemie bezpieczeństwa, ale równocześnie prawdziwy ból głowy dla administratora, który choć na chwilę potrzebuje wydostać się na zewnątrz w celu pobrania jakiegoś pliku.

Kolejny scenariusz: przekierować wszystkie komputery w sieci domowej (HAN – Home Area Network) do lokalnego serwera buforującego, aby zwiększyć wydajność wyszukiwania informacji w Sieci i odzyskać pasmo przepustowe do innych celów.

Właśnie w takich chwilach tekst „Squid w 5 minut” może okazać się przydatny. Wszystkie żądania dostępu do zewnętrznych adresów http mogą być obsłużone przez Squida, poprzez prostą rekonfigurację maszyn sieciowych. Brzmi skomplikowanie, ale nie jest. Weźmy się za detale.

Instalowanie

W systemach operacyjnych bazujących na Red Hat EL, czy Fedorze wystarczy sprawdzić za pomocą polecenia rpm, czy przypadkiem Squid nie jest już zainstalowany. Wpisujemy polecenie:

rpm -q squid

Jeśli jest, otrzymamy informację w rodzaju:

squid-2.5.STABLE6-3.4E.12

Jeśli nie, będziemy musieli użyć polecenia yum. Dzięki niemu proces instalacyjny będzie prościutki.

Po prostu wpisujemy w linii poleceń:

yum install squid

Gdyby zdarzyło się, iż pakiet Squida jest już pobrany, użyjemy innego polecenia:

rpm -ivh squid-2.5.STABLE6-3.4E.12.i386.rpm

Konfigurowanie

Głównym plikiem konfiguracyjnym Squida jest /etc/squid/squid.conf. Jego 3,339 wierszy może zniechęcać, niemniej Squid daje się bardzo łatwo ustawiać w zakresie serwera buforującego, który przekieruje ruch http, https i ftp na domyślny port 3128 i na dodatek będzie buforował dane.

Kopiowanie pliku konfiguracyjnego

Wykonanie kopii zapasowej pierwotnego pliku konfiguracyjnego, zanim poddamy go edycji, jest zawsze wysoce wskazane. Jeśli ktoś nie popadł jeszcze z tego powodu w tarapaty, to znaczy, że niewiele plików konfiguracyjnych edytował. Proszę wykonać kopię bezpieczeństwa z linii poleceń albo za pomocą programu graficznego, zmieniając oryginalną nazwę pliku w coś informującego. Osobiście lubię dodawać do nazwy końcówkę bck.data. Na przykład:

cp /etc/squid/squid.conf /etc/squid/squid.conf.bck.02052007

Jeśli jest to oryginalny plik konfiguracyjny można wybrać taką nazwę:

cp /etc/squid/squid.conf /etc/squid/squid.conf.orig.02052007

Edytowanie pliku konfiguracyjnego

Otwieramy plik /etc/squid/squid.conf w ulubionym edytorze. Ja korzystam z vima, ale nano jest równie dobry, szczególnie dla początkujących użytkowników linuksa. Proszę pamiętać, aby w przypadku plików konfiguracyjnych uruchamiać nano z wyłączoną opcją zawijania wierszy (nano -nowrap). Można także użyć edytora Gedit.

Konfigurowanie pięciominutowe

Wiele z interesujących opcji Squida pozostawimy niewłączone jak np. acls (listy kontrolne dostępu) czy uwierzytelnianie. Skonfigurujemy serwer buforujący bez kontroli dostępu. Wystarczy, jak na potrzeby sieci domowej schowanej za zaporą.

Domyślna konfiguracja Squida jest prawie gotowa, poza drobnymi wyjątkami. Wystarczy uaktywnić („odkomentowć”) niektóre opcje, albo zmodyfikować opcje uaktywnione. Należy skorzystać z ulubionego edytora i znaleźć następujące wiersze zawierające:

visible_hostname machine-name
http_port 3128
cache_dir ufs /var/spool/squid 1000 16 256
cache_access_log /var/log/squid/access.log

W sekcji acl, pod koniec pliku:

acl intranet 192.168.0.0/24
http_access allow intranet

Wyjaśnijmy znaczenie każdego z tych sześciu wierszy:

visible_hostname – (nazwa bieżącego hosta) należy wpisać nazwę odpowiadającą nazwie danego komputera sieciowego. Można ją uzyskać wydając w wierszu poleceń polecenie „hostname”. Nie podanie tej nazwy może zdezorientować Squida, gdy nie będzie w stanie automatycznie określić pełnej nazwy danego komputera sieciowego.

http_port 3128 – należy wiersz jedynie odkomentować, nie ma potrzeby zmieniania domyślnej wartości tego portu.

cache_dir ufs /var/spool/squid 1000 15 256 – wiersz do odkomentowania. Można dopisać trzecie zero do 100, zwiększając w ten sposób wielkość bufora ze 100 MB do 1000 MB. Pozostałe wartości odnoszą się do ilości podpoziomów foldera głównego i odpowiednio jego podkatalogów. Nie wymagają modyfikacji.

cache_access_log – wiersz do odkomentowania. Nazwa opcji określa miejsce składowania dziennika dostępu do usług Squida.

acl intranet 192.168.0.0/24 – ten zapis należy dodać. Definiuje nazwę usługi dostępowej (tutaj intranet), która zostanie wykorzystana w definicji udostępniania usług (patrz zapis poniżej). Druga część wpisu powinna odpowiadać zakresowi sieci lokalnej w notacji CIDR. Na przykład, gdy serwer Fedory ma adres 192.168.2.5, należy wprowadzić zapis „acl intranet 192.168.2.0/24″ (bez cudzysłowu).

http_access allow intranet – opcja ta zezwala acl o nazwie intranet na wykorzystywanie serwera buforującego. Zapis musi być umieszczony powyżej zapisu http_access deny all.

Włączanie Squida

Definiujemy odpowiedni poziom uruchomieniowy:

chkconfig squid on

Uruchomiamy usługę:

service squid start

Sprawdzamy czy Squid działa:

service squid status

Jeśli pojawią się jakieś problemy z uruchomieniem Squida, należy otworzyć terminal i wydać następujące polecenie:

tail -f /var/log/messages

Następnie uruchamiamy usługi Squida w jego pierwotnym oknie:

service squid start

Polecenie tail powinno pokazać komunikaty błędów, które pomogą w rozwiązaniu problemów. Jednym z powszechniejszych błędów jest brak kartoteki (katalogu, folderu) wymiany (ang. swap). W celu usunięcia braku należy uruchomić Squid z opcją -z (squid -z), co spowoduje automatyczne utworzenie tej kartoteki (w uniksach mówimy o kartotekach, w linuksach „używa się” katalogów, a w graficznych nakładkach na systemy operacyjne powinno mówić się o folderach, gdyż są to graficzne obiekty reprezentujące katalogi/kartoteki – P2O2).

/usr/sbin/squid -z

Nadajemy squidowej kartotece wymiany uprawnienia zapisu, w przeciwnym wypadku nie zadziała.

Konfigurowanie klientów

W Firefoksie lub Mozilli należy server buforujący wpisać do konfiguracji przeglądarek:

przechodzimy do Preferences>Network>Settings

Wpisujemy nazwę serwera buforującego i port 3128

Otwieramy okno terminala dla serwera buforującego, aby śledzić zapisy w pliku dziennikowym. Ponownie korzystamy z polecenia tail, jak poprzednio:

tail -f /var/log/squid/access.log

Obecnie można już serfować poprzez serwer buforujący. Powinniśmy zaobserwować pojawianie się stron WWW w czasie rzeczywistym. Gratulacje, serwer buforujący działa!

Podsumowanie

Szybkie podsumowanie: zainstalowaliśmy Squid za pomocą polecenia yum. Wykonaliśmy kopię zapasową pliku konfiguracyjnego, a w jego oryginale poddaliśmy edycji 6 wierszy. Przypisaliśmy Squida do odpowiedniego poziomu uruchomieniowego (ang. runlevel) i uruchomiliśmy go. Następnie skonfigurowaliśmy klientów, aby mogli korzystać ze Squida i sprawdziliśmy jego poprawne działania korzystając z polecenia tail. Wszystko udało wykonać się w 5 minut. Niech no teraz ktoś zaprzeczy, że Linux nie jest przyjemny!

Errata (P2O2)

W dyskusji do artykułu pojawiła się informacja o błędnym zapisie jednej z opcji. Zamiast:

acl intranet 192.168.0.0/24

powinno być:

acl intranet src 192.168.0.0/24

Tłumaczenie: P2O2