стенд :
-
Настройка FastCGI-приложений с nginx ( apache2 )
-
Настройка пакетной фильтрации средствами iptables ( nftables )
-
Shorewall ( Межсетевой экран ) тут немного изменённый стенд
-
altsrv1 - такая же настройка , единственное только интерфейсы местами изменены
-
192.168.100.100 - это altsrv2 из net1 ( здесь у меня apache2)
-
192.168.100.99 - это altwks2 из net1
-
192.168.200.123 - это altsrv3 из DMZ
-
10.0.0.2 altsrv4 - ничего не менял --> из inet
-
10.0.0.102 altwks - ничего не менял -->из inet
поэтому на скриншотах , я просто через curl проверяю apache и после уже утилитой ping работоспособность сборки shorewall
4 Прокси-сервер SQUID стенд уже базовый SQUID в непрозрачном режиме - скачать nginx на altsrv3 + поднять его (подробнее ... )
-
4.1 настроил сетевые интерфейсы ( ipv4address , ipv4route , resolv.conf )
-
4.2 на altsrv1 сделал
$ sysctl net.ipv4.ip_forward=1--->net.ipv4.ip_forward=1+iptzbles -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE -
4.3 скачал squid
-
4.4 настроил /etc/squid/squid.conf
,а именно закоментировал (http_access allow localnet) и добавил свои ip адресса локальной сети net -
ПРОВЕРКА ---> открыть через altwks в браузере http://10.0.0.2 , также на altwks2 ---> должно открыться только на altwks
КЭШИРОВАНИЕ
-
в /etc/squid/squid.con ---> добавим настроку кэша
-
в /etc/squid/squid.conf ---> dns_nameservers 8.8.8.8 1.1.1.1
-
после "squid -z" ( делаем уже в остановленном squid )
-
для принятия трафика по прокси для рабочей станции через ... --->
, а также через http можно настроить так ---> 
-
найстройка для сервера без графики на прокси --->
-
ну и также добавление сети в /etc/squid/squid.conf
---> добавили только 200 сеть
-
-
итог видим при обновление TCP_MEM_HIT ( при повторном использовании apt-get update -d или на разных узлах )
АВТОРИЗАЦИЯ в squid через BASIC-аутентификации
- Создание базы пользователей
___________________________________________________________________________
- $ touch /etc/squid/passwd
- $ ps ax -o user,group,cmd | grep squid
$ chown squid:squid /etc/squid/passwd
Добавление пользователя
$ apt-get install apache2-htpasswd
___________________________________________________________________________
$ htpasswd /etc/squid/passwd user
- Добавляем в /etc/squid/squid.conf
acl auth_users proxy_auth REQUIRED
http_access allow auth_users
Параметры BASIC-аутентификации
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Squid Basic Authentication
auth_param basic credentialsttl 2 hours
- получаем ---> (чек фото ниже)
- Настройка Digest-аутентификации в SQUID
- Создание базы пользователей
$ touch /etc/squid/dpasswd $ ps ax -o user,group,cmd | grep squid $ chown squid:squid /etc/squid/dpasswd Добавление пользователя $ apt-get install apache2-common
$ htdigest /etc/squid/dpasswd 'DigestAuth' user2 ACL для Digest-аутентификации
acl auth_users proxy_auth REQUIRED http_access allow auth_users Параметры Digest-аутентификации
auth_param digest program /usr/lib/squid/digest_file_auth -c /etc/squid/dpasswd auth_param digest children 20 startup=0 idle=1 auth_param digest realm DigestAuth auth_param digest nonce_garbage_interval 5 minutes auth_param digest nonce_max_duration 30 minutes auth_param digest nonce_max_count 50
Блокировки HTTP-ресурсов в SQUID Блокировки сайтов по регулярным выражениям
$ touch /etc/squid/blockwords.lst
facebook youtube microsoft
acl blockkeywordlist url_regex "/etc/squid/blockwords.lst" http_access deny blockkeywordlist Блокировки сайтов по доменным именам
$ touch /etc/squid/blockdomains.lst
.vk.com .ok.ru
acl blockdomains dstdomain "/etc/squid/blocdomains.lst" http_access deny blockdomains
squid в прозрачном режиме
tail -f /var/log/squid/access.log