首页
登录 | 注册

squid 访问控制

访问控制

数据结构在内存里存储IP地址ACLsplay tree有自我调整的特性,其中之一是在查询发生时,列表会自动纠正它自己的位置。当某个匹配元素在列表里发现时,该元素变成新的树根。在该方法中,最近参考的条目会移动到树的顶部,这减少了将来查询的时间。

属于同一ACL元素的所有的子网和范围不能重迭。例如,如下不被允许:

它导致squidcache.log里打印警告:

数据库与日更新,在该情形下,请求可能会延时非常长时间,直到DNS查询超时。

    假如你使用srcdomain ACL,请确认你自己的DNS in-addr.arpa区域配置正确并且在工作中
Java代码,你可以这样写:

ident_regex

ident_regex允许你使用正则表达式,代替严格的字符串匹配,这些匹配是对ident协议返回的用户名进行。例如,如下ACL匹配包含数字的用户名:acl NumberInName ident_regex [0-9]

proxy_auth_regex

ACL允许对代理认证用户名使用正则表达式。例如,如下ACL匹配admin,administratoradministrators:

acl Admins proxy_auth_regex -i ^admin

 

外部ACL

外部ACL:可以指示squid发送某些信息片断到外部进程,然后外部的辅助程序告诉squid,数据匹配或不匹配。

external_acl_type指令定义新的外部ACL类型。通用语法:

type-name是用户定义的字串。

Squid当前支持如下选项(options)

可以在这里包含命令参数。例如,整条命令可能类似如此:

将这些放在一个长行里。squid不支持如下通过反斜杠分隔长行的技术,所以请记住所有这些必须放在单行里

编写引用它的acl行。这相对容易,语法如下:

如下是个简单示例:

squid接受在type-name后面的任意数量的参数。

 

处理长ACL列表

从外部文件里包含ACL列表。语法:acl name "filename"

文件可以包含以#开头的注释。注意在该文件里的每个IP地址必须是一个单独的行。acl行里的任何地方,以空格来分隔值,新行是包含ACL值的文件的分界。

 

Squid如何匹配访问控制元素

squid在检查ACL元素值时使用OR逻辑。当squid找到第一个值匹配时,它停止搜索。这意味着把最可能匹配的值放在列表开头处,能减少延时。

 

访问控制规则

squid有大量其他的访问控制列表:

http_access:它决定哪些客户HTTP请求被允许,和哪些被拒绝。



访问规则语法

访问控制规则的语法如下:

将最常用的ACL放在列表的开始位置,可以减少squidCPU负载。

请谨慎的编写always_direct,never_direct,no_cache规则。在always_direct中,allow规则意味着匹配的请求直接转发到原始服务器。always_direct deny规则意味着匹配的请求不强迫发送到原始服务器,但假如邻居cache不可到达,那可能还是会这么做。no_cache规则也有点麻烦。这里,你必须对不必被cache的请求使用deny



如何匹配访问规则

squid在搜索ACL元素时使用的“或”逻辑。访问规则恰好相反,squid使用“与”逻辑。如下示例:

对该匹配规则来说,请求必须匹配ACL1,ACL2,ACL3中的任何一个。

对某个规则来说,将最少匹配的ACL放在首位,能使效率最佳。考虑如下示例:

src 0/0 ACL表示匹配每一个和任意类型的请求。



访问列表风格

 

延时检查

squid遇到某个ACL不能被检查时,它延迟决定并且发布对必要信息的查询(IP地址,域名,用户名等)。当信息可用时,squid再次在列表的开头位置检查这些规则。它不会从前次检查剩下的位置继续。假如可能,你应该将这些最可能被延时的ACL放在规则的顶部,以避免不必要的,重复的检查。

 

减缓和加速规则检查

下列访问规则被快速检查:



2020 jeepxie.net webmaster#jeepxie.net
10 q. 0.009 s.
京ICP备10005923号