|
Taille: 2707
Commentaire:
|
Taille: 4393
Commentaire: avec plusieurs serveurs web et vhost
|
| Texte supprimé. | Texte ajouté. |
| Ligne 2: | Ligne 2: |
| <<TableOfContents()>> | |
| Ligne 13: | Ligne 13: |
=== Proxy inverse === L'utiliser signifie que le serveur web interrogé ne verra qu'une seule adresse IP (normal non :) ) => pas d'infos sur les IP d'origine dans les stats. ==== Le plus simple ==== Au CNF on l'utilise pour alléger la charge sur les serveurs web pour les utilisateurs en provenance de l'université. /!\ Ses règles d'accès doivent être placées '''avant''' toutes les autres. {{{ http_port 172.16.224.14:80 accel defaultsite=miroir.ndere.cm.refer.org ###reglages pour le reverse cache_peer miroir.ndere.cm.refer.org parent 80 0 no-query originserver name=Accel1 ##access control acl miroirCNF dstdomain miroir.ndere.cm.refer.org http_access allow miroirCNF cache_peer_access Accel1 allow miroirCNF cache_peer_access Accel1 deny all }}} ==== Avec plusieurs serveurs web et vhost ==== Dans notre cas, un site web dans un CT et différents miroirs répartis dans des vhost d'une autre machine. {{{ http_port 172.16.224.14:80 accel defaultsite=miroir.ndere.cm.refer.org vhost ### reglages pour le reverse cache_peer 192.168.10.102 parent 80 0 no-query originserver name=Accel1 cache_peer 192.168.10.210 parent 80 0 no-query originserver name=Accel2 ## access controm acl miroirCNF dstdom_regex miroir(mobile)?.ndere.cm.refer.org acl miroirCNF dstdomain www.ndere.cm.refer.org acl miroirCNF dstdom_regex (natty|squeeze).ndere.cm.refer.org acl cgqWeb dstdomain cgq.ndere.cm.refer.org http_access allow miroirCNF http_access allow cgqWeb cache_peer_access Accel1 allow miroirCNF cache_peer_access Accel2 allow cgqWeb cache_peer_access Accel1 deny all cache_peer_access Accel2 deny all }}} |
Sommaire
Page de référence : Squid
Juste les lignes les plus importantes ...
- proxy transparent sur toutes les interfaces
exemple http_port 192.168.18.1:3128 transparent
- reverse proxy à préparer
http_port ip accel ...
cache_peer ndere.cm.auf.org parent 3128 0 [options],...
delay_pool à étudier mais je ne suis pas sur que ça soit intéressant à Ngaoundéré
Proxy inverse
L'utiliser signifie que le serveur web interrogé ne verra qu'une seule adresse IP (normal non 
) => pas d'infos sur les IP d'origine dans les stats.
Le plus simple
Au CNF on l'utilise pour alléger la charge sur les serveurs web pour les utilisateurs en provenance de l'université.
![/!\](/static/gugiel/img/alert.png "/!\"){kind=small}
Ses règles d'accès doivent être placées avant toutes les autres.
http_port 172.16.224.14:80 accel defaultsite=miroir.ndere.cm.refer.org ###reglages pour le reverse cache_peer miroir.ndere.cm.refer.org parent 80 0 no-query originserver name=Accel1 ##access control acl miroirCNF dstdomain miroir.ndere.cm.refer.org http_access allow miroirCNF cache_peer_access Accel1 allow miroirCNF cache_peer_access Accel1 deny all
Avec plusieurs serveurs web et vhost
Dans notre cas, un site web dans un CT et différents miroirs répartis dans des vhost d'une autre machine.
http_port 172.16.224.14:80 accel defaultsite=miroir.ndere.cm.refer.org vhost ### reglages pour le reverse cache_peer 192.168.10.102 parent 80 0 no-query originserver name=Accel1 cache_peer 192.168.10.210 parent 80 0 no-query originserver name=Accel2 ## access controm acl miroirCNF dstdom_regex miroir(mobile)?.ndere.cm.refer.org acl miroirCNF dstdomain www.ndere.cm.refer.org acl miroirCNF dstdom_regex (natty|squeeze).ndere.cm.refer.org acl cgqWeb dstdomain cgq.ndere.cm.refer.org http_access allow miroirCNF http_access allow cgqWeb cache_peer_access Accel1 allow miroirCNF cache_peer_access Accel2 allow cgqWeb cache_peer_access Accel1 deny all cache_peer_access Accel2 deny all
ACL
- restriction sur certains domaines, types de fichiers
- distinction entre différents types d'utilisateurs
couper ceux qui font trop de requêtes simultanées (maxconn)
acl localnet src 192.168.18.0/24 # LAN du CNFN acl localnet_posteAUF src 192.168.18.70-192.168.18.90 acl localnet_posteUsager src 192.168.18.100-192.168.18.200 # les usagers mobiles acl recalcitrant src 192.168.18.200 #tout ceux qui ne veulent pas suivre les consignes et à qui je dois expliquer oralement les raisons des restrictions acl dmz src 192.168.10.0/24 # dmz du CNFN http_access allow dmz # Prise en compte du domaine local acl domainNdere dstdomain ndere.cm.auf.org # banned adult content acl adultContent url_regex -i "/etc/squid/file/banned" acl adultContentDom dstdom_regex -i "/etc/squid/file/dom_drop" #maxim de connexion par postes acl peak_veryLow maxconn 12 acl peak_high maxconn 28 acl peak_low maxconn 23 #domaines autorises dans toutes les situations acl domGrant dstdom_regex -i "/etc/squid/file/dom_grant" #domaines banned (entertainment) acl entertainment dstdom_regex -i "/etc/squid/file/dom_drop" acl entertainmentDom url_regex -i "/etc/squid/file/entertainment" #mes machines qui doivent passer partout acl usagerGranted src 192.168.18.20 acl rpvmaster src 10.45.33.0/24 #surveillance de certains fichiers... acl extfiles urlpath_regex -i "/etc/squid/file/extensions" acl extfilesGrant urlpath_regex -i \.pdf$ # Mes access http_access allow rpvmaster http_access allow usagerGranted #mode chasse #quand je suis dur .... #http_access deny localnet http_access allow domGrant http_access allow extfilesGrant #http_access deny adultContentDom localnet http_access deny adultContent localnet http_access deny extfiles localnet http_access deny entertainmentDom localnet http_access deny entertainment localnet http_access deny peak_veryLow recalcitrant http_access deny peak_low localnet_posteUsager http_access deny peak_high localnet_posteAUF #http_access deny peak localnet http_access allow localnet http_access allow localhost
Autres lignes importantes
cache deny domainNdere cache_dir ufs /var/spool/squid 1000 16 256