squid (squid.conf)
squid.conf original com comentários didáticos
Categoria: Segurança
Software: squid
[ Hits: 15.891 ]
Por: Demi Rodrigues Sousa
Esse arquivo de configuração é o original, mas com muitas explicações para melhor entendimento.
# WELCOME TO SQUID 2.7.STABLE3 # ---------------------------- # # Este é o padrão Lula arquivo de configuração. Você pode desejar # Olhar para o Squid home page (http://www.squid-cache.org/) # Para o FAQ e outros documentos. # # O padrão Squid config arquivo mostra o que os padrões de # Acontecer várias opções para ser. Se você não precisa alterar o # Default, você não deve descomentar a linha. Fazer isso pode causar # Run-time problemas. Em alguns casos, "nenhum" se refere a nenhum padrão # Configuração de todo, enquanto que em outros casos em que se refere a um válido # Opção - os comentários de que a palavra-chave indicar se esta é a # Caso. # # Configuração opções podem ser incluídas utilizando a "incluir" directiva. # Include tem uma lista de ficheiros a incluir. Citando e coringa é # Suportados. # # Por exemplo, # # Include / caminho / para / incluído / arquivo / squid.acl.config # # Inclui podem ser aninhadas até um hard-coded profundidade de 16 níveis. # Este arbitrária restrição é para evitar recursivos incluir referências # Lula entrar de causar um loop infinito enquanto tentando carregar # Arquivos de configuração. # Opções de autenticação # ------------------------------------------------- ---------------------------- # TAG: auth_param # Isto é utilizado para definir vários parâmetros para a autenticação # Regimes apoiados por Lula. # # Formato: auth_param esquema parâmetro [definição] # # A ordem em que são apresentados sistemas de autenticação para o cliente é # Dependente do fim do regime aparece pela primeira vez no ficheiro de configuração. IE # Tem um bug (que não é compatível com RFC 2617) em que irá utilizar a base # Esquema básico se constitui a primeira entrada apresentados, mesmo se mais segura # Programas são apresentados. Para utilizar agora o despacho do recomendado # Configurações seção abaixo. Se outros navegadores têm dificuldades (não # Reconhecer os sistemas oferecidos mesmo se você estiver usando base) quer # Ponha base em primeiro lugar, ou desabilitar a outros sistemas (por comentar as suas # Programa entrada). # # Quando um esquema de autenticação é completamente configurado, ele só pode ser # Desligamento por fechar as lulas e reiniciar. As mudanças podem ser feitas no # A voar e activado com um reconfigurar. I.E. Você pode mudar para um # Socorredor diferentes, mas não unconfigure o ajudante completamente. # # Por favor, note que, embora esta directiva define como Lula processos # Autenticação não é ativado automaticamente autenticação. # Para utilizar a autenticação você deve, além disso, fazer uso de ACLs baseadas # No nome do login no http_access (proxy_auth, ou proxy_auth_regex #% LOGIN externo com o formato utilizado na etiqueta). O browser será # Desafiados para autenticação no primeiro tais acl encontradas # Http_access em transformação e também será re-desafiados para novas # Credenciais de login, se o pedido está a ser negada por um proxy_auth # Tipo acl. # # ATENÇÃO: autenticação não pode ser utilizado em um interceptor transparente # Proxy que o cliente pensa que está falando, em seguida, para um servidor de origem e # Não o proxy. Esta é uma limitação de flexão do protocolo TCP / IP para # Transparente interceptando porta 80, não uma limitação no Squid. # === # Parâmetros para o esquema básico seguir. === # # "Programa" cmdline # Especifique o comando para o autenticador externo. Tal programa # Lê uma linha contendo "usuário senha" e respostas "OK" ou # "ERR" em um loop infinito. "ERR" respostas podem opcionalmente ser seguido # Por um erro na descrição disponível% m retornou um erro na página. # # Por padrão, o esquema de autenticação básica não é usada, a menos que um # Programa é especificado. # # Se você quiser usar o tradicional proxy autenticação, saltar sobre a # Os auxiliadores / basic_auth / NCSA diretório e digite: #% Make #% Make install # # Em seguida, defina esta linha de algo como # # Auth_param básicas do programa / usr / lib / squid / ncsa_auth / usr / etc / passwd # # "Crianças" numberofchildren # O número de processos autenticador para desovar. Se você começar demasiado poucos # Lula vai ter de esperar para que um processo de acumulação de credencial # Verificações, abrandando-a para baixo. Quando credencial verificações são # Feito através de um (lento) de rede que são susceptíveis de necessidade de lotes # Autenticador processos. # Auth_param básicos crianças 5 # # "Concorrente" numberofconcurrentrequests # O número de pedidos simultâneos / canais a socorredor suporta. # Altera o protocolo usado para incluir um número de canal, em primeiro lugar, # A pedido / resposta linha, permitindo que vários pedidos para serem enviados # Para o mesmo assistente de parallell sem wating para a resposta. # Não deve ser definido a menos conhecida é o ajudante suporta isso. # # "Reino" realmstring # Especifica o campo nome, que deve ser relatado ao cliente para # Base o esquema de autenticação de proxy (parte do texto que o usuário # Vai ver quando for solicitado seu nome de usuário e senha). # Auth_param base realm Squid proxy-caching web server # # "Credentialsttl" timetolive # Especifica quanto tempo Lula assume uma validadas externamente # Usuário: senha par é válida para - por outras palavras, como muitas vezes o # Socorredor programa chama-se para esse usuário. Defina esta opção para forçar a baixa # Revalidação com vida curta senhas. Note que essa alta definição # Não ter impacto na sua suscetibilidade a ataques repetidos, a menos que sejam # Utilizando uma senha de tempo de um sistema (como SecureID). Se você estiver usando # Um sistema desse tipo, você estará vulnerável a ataques repetidos, a menos que você # Também utilizar o max_user_ip ACL em um http_access regra. # Auth_param base credentialsttl 2 horas # # "Casesensitive" on | off # Especifica se nomes de usuário estão entre maiúsculas e minúsculas. A maioria dos utilizadores de dados estão # Caso insensitivo permitindo o mesmo nome de usuário para ser digitadas usando tanto # Inferior e letras maiúsculas, mas alguns são caso sensível. Este # Faz uma grande diferença para user_max_ip LCA transformação e similares. # Auth_param base casesensitive off # # "Blankpassword" on | off # Especifica se senhas em branco deve ser apoiada. Padrões para fora # Como há vários autenticação backends que lida em branco # Senhas como "hóspede" acesso. # # === Parâmetros para digerir o regime Seguiu === # # "Programa" cmdline # Especifique o comando para o autenticador externo. Tal programa # Lê uma linha contendo "username": "reino" e respostas com o # Adequado H (A1) valor hexadecimal codificado ou ERR caso o utilizador (ou o seu H (A1) # Hash), não existe. Consulte RFC 2616 para a definição de H (A1). # "ERR" respostas podem opcionalmente ser seguido por uma descrição de erro #% M disponível como retornou o erro na página. # # Por padrão, a autenticação do sistema não é utilizado, a menos que um # Programa é especificado. # # Se você quiser usar um autenticador digerir, saltar para o # Socorredores / digest_auth / diretório e escolher o autenticador de usar. # Ele é tipo diretório #% Make #% Make install # # Em seguida, defina esta linha de algo como # # Auth_param digest program / usr / lib / squid / digest_auth_pw / usr / etc / digpass # # "Crianças" numberofchildren # O número de processos autenticador para desovar. Se você começar demasiado poucos # Lula vai ter de esperar para que um processo de acumulação de credencial # Verificações, abrandando-a para baixo. Quando credencial verificações são # Feito através de um (lento) de rede que são susceptíveis de necessidade de lotes # Autenticador processos. # Auth_param digerir 5 crianças # # "Concorrente" numberofconcurrentrequests # O número de pedidos simultâneos / canais a socorredor suporta. # Altera o protocolo usado para incluir um número de canal, em primeiro lugar, # A pedido / resposta linha, permitindo que vários pedidos para serem enviados # Para o mesmo assistente de parallell sem wating para a resposta. # Não deve ser definido a menos conhecida é o ajudante suporta isso. # # "Reino" realmstring # Especifica o campo nome, que deve ser relatado ao cliente para a # Digerir esquema de autenticação de proxy (parte do texto, o usuário verá # Quando for solicitado seu nome de usuário e senha). # Auth_param digest realm Squid proxy-caching web server # # "Nonce_garbage_interval" timeinterval # Especifica o intervalo que nonces que tenham sido emitidas para os clientes são # Verificada a validade. # Auth_param digest nonce_garbage_interval 5 minutos # # "Nonce_max_duration" timeinterval # Especifica o comprimento máximo de um tempo determinado Nonce será válida. # Auth_param digest nonce_max_duration 30 minutos # # "Nonce_max_count" número # Especifica o número máximo de vezes que um determinado Nonce pode ser usada. # Auth_param digest nonce_max_count 50 # # "Nonce_strictness" on | off # Determina se exige uma estrita incremento lula-por-1 comportamento para Nonce # Conta, ou simplesmente incrementado (off - para usar quando useragents gerar # Nonce conta que ocasionalmente perca 1 (ou seja, 1,2,4,6)). # Auth_param digest nonce_strictness off # # "Check_nonce_count" on | off # Esta directiva, se estar desactivado pode desativar a verificação Nonce count # Completamente para o trabalho em torno de buggy digerir qop implementações em certos # Principais versões do navegador. Padrão para verificar a contagem de Nonce # Proteger de ataques repetidos autenticação. # Auth_param digest check_nonce_count sobre # # "Post_workaround" on | off # Isto é uma solução para certas buggy navegadores que envia uma incorrecta # Digerir pedido em pedidos POST quando reutilizando as mesmas Nonce como adquirido # Anterior em resposta a um pedido GET. # Auth_param digest post_workaround off # # === NTLM regime opções siga === # # "Programa" cmdline # Especifique o comando para o exterior NTLM autenticador. Tal # NTLMSSP participa no programa de intercâmbio entre Lula e os # Cliente e lê comandos de acordo com o Squid NTLMSSP socorredor # Protocolo. Ver socorredores / ntlm_auth / para maiores detalhes. Recomendado NTLM # Autenticador é ntlm_auth de Samba-3.x, mas uma série de outros # NTLM authenticators está disponível. # # Por padrão, o esquema de autenticação NTLM não for utilizada, a menos que um # Programa é especificado. # # Auth_param NTLM programa / usr / bin / ntlm_auth - helper-protocol = squid-2.5-ntlmssp # # "Crianças" numberofchildren # O número de processos autenticador para desovar. Se você começar demasiado poucos # Lula vai ter de esperar para que um processo de acumulação de credencial # Verificações, abrandando-a para baixo. Quando credencial verificações são # Feito através de um (lento) de rede que são susceptíveis de necessidade de lotes # Autenticador processos. # Auth_param NTLM 5 crianças # # "Keep_alive" on | off # Esta opção permite a utilização de keep-alive, relativa à primeira # Autenticação pedido. Foi relatado algumas versões do MSIE # Ter problemas se este estiver ativado, mas o desempenho será aumentada # Se habilitado. # # Auth_param NTLM keep_alive sobre # # === Negociar regime opções siga === # # "Programa" cmdline # Especifique o comando para o exterior Negociar autenticador. Tal # SPNEGO participa no programa de intercâmbio entre Lula e os # Cliente e lê comandos de acordo com o Squid ntlmssp socorredor # Protocolo. Ver socorredores / ntlm_auth / para maiores detalhes. Recomendado SPNEGO # Autenticador é ntlm_auth de Samba-4.X. # # Por padrão, o esquema de autenticação Negociar não é usada, a menos que um # Programa é especificado. # # Auth_param negociar programa / caminho / para / samba / bin / ntlm_auth - helper-protocol = gss-SPNEGO # # "Crianças" numberofchildren # O número de processos autenticador para desovar. Se você começar demasiado poucos # Lula vai ter de esperar para que um processo de acumulação de credencial # Verificações, abrandando-a para baixo. Quando credencial verificações são # Feito através de um (lento) de rede que são susceptíveis de necessidade de lotes # Autenticador processos. # Auth_param negociar 5 crianças # # "Keep_alive" on | off # Se você tiver problemas com PUT / pedidos POST quando se utiliza a # Negociar esquema de autenticação, então você pode tentar essa definição para # Descolagem. Isto fará com que a força Lula fechar a conexão em # Os pedidos iniciais em que o navegador solicita os regimes que são # Apoiado pelo proxy. # # Auth_param negociar sobre keep_alive # # Configuração mínima recomendada por regime: # auth_param programa <uncomment negociar e concluir esta linha de activate> # auth_param negociar 5 crianças # auth_param negociar sobre keep_alive # auth_param NTLM <uncomment programa e concluir esta linha de activate> # auth_param NTLM 5 crianças # auth_param NTLM keep_alive sobre # auth_param digerir e concluir este programa <uncomment line> # auth_param digerir 5 crianças # auth_param digest realm Squid proxy-caching web server # auth_param digest nonce_garbage_interval 5 minutos # auth_param digest nonce_max_duration 30 minutos # auth_param digest nonce_max_count 50 # auth_param programa básico <uncomment e completa este line> # auth_param básicos crianças 5 # auth_param base realm Squid proxy-caching web server # auth_param base credentialsttl 2 horas # auth_param base casesensitive off # TAG: authenticate_cache_garbage_interval # O período de tempo entre a coleta em todo o cache de usuário. # Este é um tradeoff entre memória utilização (intervalos longos - digamos # 2 dias) e CPU (intervalos curtos - digamos 1 minuto). Só se você mudar # Ter uma boa razão para. # # Default: # Authenticate_cache_garbage_interval 1 hora # TAG: authenticate_ttl # O tempo que um usuário e as suas credenciais para a sua estada no usuário registrado no cache # Desde a sua última solicitação. Quando o intervalo de lixo passa, todos os usuários # Credenciais que passaram os seus TTL são removidos da memória. # # Default: # Authenticate_ttl 1 hora # TAG: authenticate_ip_ttl # Se você usa proxy autenticação eo 'max_user_ip' ACL, esta # Directiva controles Lula se lembra quanto tempo os endereços IP # Associada a cada utilizador. Use um pequeno valor (por exemplo, 60 segundos), se # Seus usuários endereços podem mudar rapidamente, como é o caso da # Dialups. Você pode estar seguro utilizar um valor maior (por exemplo, 2 horas) em um # LAN ambiente corporativo com relativamente estática endereço atribuições. # # Default: # Authenticate_ip_ttl 0 segundo # TAG: authenticate_ip_shortcircuit_ttl # Cache credenciais de autenticação por cliente endereço IP para esta # Tempo. O padrão é 0 segundo (desativado). # # Default: # Authenticate_ip_shortcircuit_ttl 0 segundo # CONTROLES DE ACESSO # ------------------------------------------------- ---------------------------- # TAG: external_acl_type # Essa opção define externas acl aulas usando um programa para auxiliar # Consultar o estado # # External_acl_type nome [opções] FORMAT .. / caminho / para / socorredor [socorredor argumentos ..] # # Opções: # # Ttl = n TTL em segundos para resultados em cache (padrão para 3600 # Durante 1 hora) # Negative_ttl = n # TTL para cache negativa lookups (padrão mesmo # Como ttl) # Filhos n = número de processos spawn para serviço externo acl # Pesquisas deste tipo. (padrão 5). # Concorrente n = concorrente nível por processo. Apenas usado com socorredores # Capaz de processar mais de uma consulta em uma hora. # Nota: ver nota abaixo compatibilidade # Cache resultado n = tamanho do cache, é unbounded 0 (padrão) # Graça = percentagem restante do TTL quando uma atualização de um # Entrada em cache deve ser iniciado sem que seja necessário # Esperar por uma nova resposta. (padrão 0 para nenhum período de carência) # Protocolo = 2,5 modo de compatibilidade para Squid-2.5 externo acl socorredores # # FORMAT especificações # #% LOGIN Authenticated user login #% EXT_USER Usuário externo de acl #% IDENT Ident nome do usuário #% SRC Cliente IP #% SRCPORT Cliente fonte porto #% URI URI solicitado #% DST Solicitada acolhimento #% PROTO Solicitada protocolo #% PORT Solicitada porto #% MÉTODO Pedido método #% MYADDR Squid interface endereço #% MYPORT Squid http_port número #% PATH Solicitado URL-path "(incluindo-query string se houver) #% USER_CERT Usuário certificado SSL em formato PEM #% USER_CERTCHAIN Usuário certificado SSL cadeia em formato PEM #% USER_CERT_xx Usuário certificado SSL sujeito atributo xx #% USER_CA_xx Usuário certificado SSL emitente atributo xx #%) (Cabeçalho HTTP request cabeçalho #% (Hdr: membro) solicitação HTTP cabeçalho lista membro #% (Hdr:; membro) # Solicitação HTTP cabeçalho lista membro usando, como # Lista de separação. ; Pode ser qualquer alfanumérico # Carácter. #% A ACL ACL nome #% DADOS A LCA argumentos. Se não for utilizado então quaisquer argumentos # É automaticamente adicionado ao fim # # Além do que precede, qualquer seqüência especificada no referenciamento # Acl também será incluído no pedido socorredor linha, após o # Formatos especificados (consulte a seção "acl externa" directiva) # # O assistente recebe por linhas acima do formato especificação, # E retorna linhas começando com OK ou ERR indicando a validade # Do pedido e, opcionalmente seguido por outras palavras-chave com # Obter mais detalhes. # # Geral resultado sintaxe: # # OK / ERR keyword = valor ... # # Definido palavras-chave: # # User = Os utilizadores nome (login também entendida) # Password = Os utilizadores senha (para PROXYPASS login = cache_peer) # Mensagem = mensagem de erro ou similares utilizados como% o em mensagens de erro # (Erro também entendida) # Log = Seqüência de ser registrado no access.log. Disponível como #% EA em logformat especificações # # Se protocol = 3.0 (o padrão), em seguida, fugir URL é usado para proteger # Cada valor em ambos os pedidos e respostas. # # Se estiver usando protocolo = 2,5, em seguida, todos os valores devem ser delimitados por aspas # Se podem conter branco, ou o branco escapou usando \. # E cita ou \ caracteres no valor deve ser a palavra-chave \ escapou. # # Quando estiver a utilizar o concorrente = opção do protocolo é alterado pelo # Introduzir uma consulta canal Infront etiqueta do pedido / resposta. # O canal tag query é um número entre 0 e concorrente-1. # # Compatibilidade Nota: As crianças = opção foi nomeado em concorrência = # Squid-2.5.STABLE3 e anteriores, e foi aceite como um alias para o # Duração da lula-2/5 releases para manter a compatibilidade. Contudo, # O significado da concorrência = opção mudou no Squid-2.6 para corresponder # O de Lula-3 e os antigos sintaxe já não funciona. # # Default: # None # TAG: acl # Definir uma lista Acesso # # Todo o acesso lista deve começar com uma definição aclname e acltype, # Seguido por qualquer tipo argumentos específicos ou citou um ficheiro que # São lidos a partir de. # # Acl aclname acltype argumento ... # Acl aclname acltype "arquivo" ... # # Quando usar "arquivo", o arquivo deverá conter um item por linha. # # Por padrão, as expressões regulares são case-sensitive. Para fazer # Eles maiúsculas e minúsculas, use a opção-i. # # Acl aclname src ip-address/netmask ... (clientes endereço IP) # Acl aclname src addr1-addr2/netmask ... (intervalo de endereços) # Acl aclname dst ip-address/netmask ... URL (endereço IP do anfitrião) # Acl aclname myip ip-address/netmask ... (local socket endereço IP) # # Acl aclname arp mac-address ... (xx: xx: xx: xx: xx: xx notação) # # A ACL arp requer especial configurar a opção - enable-arp-acl. # # Além disso, o código não é arp LCA portáteis para todos os sistemas operativos. # # Funciona em Linux, Solaris, FreeBSD e outros * BSD variantes. # # # # NOTA: Lula só pode determinar o endereço MAC de clientes que estão em # # A mesma sub-rede. Se o cliente estiver em uma sub-rede diferente e, em seguida, Lula não pode # # Descobrir seu endereço MAC. # # Acl aclname srcdomain. Foo.com ... # Pesquisa inversa, IP # Acl aclname dstdomain. Foo.com ... # Servidor de destino a partir do URL # Acl aclname srcdom_regex [-i] xxx ... # Regex matching cliente nome # Acl aclname dstdom_regex [-i] xxx ... # Regex matching servidor # # Para dstdomain e dstdom_regex uma pesquisa inversa é tentado se um IP # # Baseado URL é utilizada e nenhuma correspondência for encontrada. O nome "nada" é utilizado # # Se a pesquisa inversa falhar. # # Acl aclname tempo [dia-abbrevs] [h1: m1-h2: m2] # # Dia-abbrevs: # # S - Domingo # # M - Segunda-feira # # T - Terça-feira # # W - Quarta-feira # # H - Quinta-feira # # F - Sexta-feira # # A - Sábado # # H1: m1 deve ser inferior a h2: m2 # Acl aclname url_regex [-i] ^ http:// ... # Regex matching em todo URL # Acl aclname urlpath_regex [-i] \. Gif $ ... # Regex matching on URL path # Acl aclname urllogin [-i] [^ a-zA-Z0-9] ... # Regex matching on URL login campo # Acl aclname porta 80 70 21 ... # Acl aclname porto 0-1024 ... # Gamas permitidas # Acl aclname myport 3128 ... # (Local socket TCP port) # Acl aclname myportname 3128 ... # Http (s) nome _port # Acl aclname proto HTTP FTP ... # Acl aclname método GET POST ... # Acl aclname browser [-i] regexp ... # # Jogo padrão no cabeçalho User-Agent (ver também req_header abaixo) # Acl aclname referer_regex [-i] regexp ... # # Jogo padrão no cabeçalho Referer # # Referer é altamente fiável, por isso use com cuidado # Acl aclname ident usuário ... # Acl aclname ident_regex [-i] padrão ... # # String ident jogo em produção. # # Obrigado a aceitar qualquer uso não-nulo ident. # Acl aclname src_as número ... # Acl aclname dst_as número ... # # Salvo para o controle de acesso, como números podem ser utilizados para # # Encaminhamento dos pedidos de caches específicos. Aqui está um # # Exemplo para todos os pedidos de encaminhamento como # 1241 e apenas # # Aqueles a mycache.mydomain.net: # # Acl asexample dst_as 1241 # # Cache_peer_access mycache.mydomain.net permitir asexample # # Cache_peer_access mycache_mydomain.net negar todos # # Acl aclname proxy_auth [-i] nome_de_usuário ... # Acl aclname proxy_auth_regex [-i] padrão ... # # Lista de usuários válidos # # Uso obrigado a aceitar qualquer usuário válido. # # # # NOTA: quando um cabeçalho Proxy-autenticação é enviada, mas não é # # ACL testes necessários durante o seu nome de usuário não estiver conectado # # No access.log. # # # # NOTA: proxy_auth requer uma autenticação programa EXTERNAS # # Para verificar usuário / senha combinações (ver # # Auth_param directiva). # # # # NOTA: proxy_auth não pode ser utilizado em um proxy transparente como # # O navegador precisa ser configurado para usar um proxy no fim # # Procuração para responder a autenticação. # # Acl aclname snmp_community corda ... # # A corda da comunidade para limitar o acesso ao seu agente SNMP # # Exemplo: # # # # Acl snmppublic snmp_community público # # Acl aclname maxconn número # # Este será compensada quando o endereço IP do cliente tenha # # Mais de <number> conexões HTTP estabelecido. # # Acl aclname max_user_ip [-s] número # # Este será compensada quando o usuário tenta efetuar logon em mais de # # Não <number> diferentes endereços IP. O authenticate_ip_ttl # # Parâmetro controla o tempo sobre o ip entradas. -S # # Se for especificado o limite é rigorosa, negando navega # # A partir de qualquer outro endereço IP até que o TTL expirou. Sem # #-S Lula irá apenas aborrecer o usuário por "acaso" negar os pedidos. # # (O contador é reiniciado cada vez que o limite é atingido e um # # Pedido negado) # # NOTA: no modo de aceleração ou em que há malha de criança proxies, # # Clientes podem parecer vir de vários endereços, se forem # # Passando por procuração fazendas, para um limite de 1 utilizador pode causar problemas. # # Acl aclname req_mime_type mime-type ... # # Regex o jogo contra o tipo de mime do pedido gerado # # Pelo cliente. Pode ser utilizado para detectar arquivos upload ou alguns # # Tipos HTTP tunneling pedidos. # # NOTA: isto não coincidir com a resposta. Você não pode usar esse # # Retornou para corresponder ao tipo de arquivo. # # Acl aclname req_header header-name [-i] qualquer \. Regex \. Aqui # # Regex match contra qualquer um dos cabeçalhos conhecido pedido. Pode ser # # Pensado como um superconjunto do "browser", "referer" e "mime-type" # # ACLs. # # Acl aclname rep_mime_type mime-type ... # # Regex match contra o tipo MIME da resposta recebida por # # Lulas. Pode ser utilizado para detectar algum arquivo ou fazer download # # Tipos HTTP tunneling pedidos. # # NOTA: Isto não tem nenhum efeito no http_access regras. Ele só tem # # Efeito das normas que afetam o fluxo de dados, como resposta # # Http_reply_access. # # Acl aclname rep_header header-name [-i] qualquer \. Regex \. Aqui # # Regex match contra qualquer um dos cabeçalhos resposta conhecida. Pode ser # # Pensado como um superconjunto do "browser", "referer" e "mime-type" # # ACLs. # # # # Exemplo: # # # # Acl many_spaces rep_header Content-Disposition-i [[: space:]] (3,) # # Acl aclname externa class_name [argumentos ...] # # ACL externa através de uma pesquisa socorredor classe definida pelo # # External_acl_type directiva. # # Acl aclname urlgroup group1 ... # # O jogo contra o urlgroup tal como indicado pela redireccionadores # # Acl aclname user_cert atributo valores ... # # Jogo contra o atributos de um usuário certificado SSL # # É um atributo do DN / C / S / CN / L / ST # # Acl aclname ca_cert atributo valores ... # # Jogo contra o atributos usuários emite um certificado SSL CA # # É um atributo do DN / C / S / CN / L / ST # # Acl aclname ext_user usuário ... # Acl aclname ext_user_regex [-i] padrão ... # # String retornada por correspondência sobre usuário externo acl socorredor # # Obrigado a aceitar qualquer uso não-nulo nome de utilizador. # # Exemplos: # acl macaddress arp 09:00:2 b: 23:45:67 # acl myexample dst_as 1241 # acl senha proxy_auth REQUIRED # acl fileupload req_mime_type-i ^ multipart / form-data $ # acl javascript rep_mime_type-i ^ application / x-javascript $ # # Configuração mínima recomendada: acl todos src todos acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0 / 8 # # Exemplo regra permitindo o acesso de sua rede local. # Adaptar a sua lista (interna) de redes IP de onde navega # Deve ser permitida acl localnet src 10.0.0.0 / 8 # RFC1918 possível rede interna acl localnet src 172.16.0.0/12 # RFC1918 possível rede interna acl localnet src 192.168.0.0/16 # RFC1918 possível rede interna # acl SSL_ports port 443 # https acl SSL_ports port 563 # snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # WAIS acl Safe_ports port 1025-65535 # unregistered portos acl Safe_ports port 280 # http-Mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # FileMaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl purge método PURGE acl CONNECT método CONNECT # TAG: http_access # Permitir ou negar o acesso com base em listas acesso definido # # O acesso à porta HTTP: # Http_access permitir | negar [!] Aclname ... # # NOTA sobre os valores padrão: # # Se não existirem "acesso" presentes linhas, o padrão é negar # O pedido. # # Se nenhum dos "acesso" linhas causar uma correspondência, o padrão é o # Oposto da última linha da lista. Se a última linha foi # Negar, o padrão é permitir. Inversamente, se a última linha # É permitir, o padrão será negar. Por estas razões, é um # Boa idéia de ter um "negar tudo" ou "permitir que todos os" a entrada no final # Do seu acesso listas para evitar possíveis confusões. # # Default: # Http_access negar todos # # Configuração mínima recomendada: # # Somente permitir acesso de localhost cachemgr http_access permitir gerente localhost http_access negar gestor # Só permitir purge pedidos de localhost http_access permitir purge localhost http_access negar purge # Negar pedidos de desconhecidos portos http_access negar! Safe_ports # Deny CONNECT para outros portos do que SSL http_access negar CONNECT! SSL_ports # # Nós recomendamos a seguinte uncommented ser para proteger inocentes # Aplicações web a correr no servidor proxy que pensam os únicos # Um quem pode aceder aos serviços on "localhost" é um usuário local # http_access negar to_localhost # # INSERT SEU ESTADO (S) AQUI PARA PERMITIR ACESSO DE SEUS CLIENTES # Exemplo regra permitindo o acesso de sua rede local. # Adaptar localnet na ACL seção para listar sua (interna) de redes IP # Navega a partir de onde deverá ser autorizada # http_access permitir localnet http_access permitir localhost # E finalmente todos os outros negam o acesso a este proxy http_access negar todos # TAG: http_access2 # Permitir ou negar o acesso com base em listas acesso definido # # Idêntica a http_access, mas é executado após redireccionadores. Se não definido # Http_access só então é utilizado. # # Default: # None # TAG: http_reply_access # Permitir respostas às solicitações do cliente. Esta é complementar à http_access. # # Http_reply_access permitir | negar [!] Aclname ... # # NOTA: se não houver acesso linhas presentes, o padrão é permitir que # Todas as respostas # # Se nenhuma das linhas de acesso causar um jogo a frente do # Última linha será aplicada. Assim, é boa prática para pôr fim ao regime # Com um "permitir que todos os" ou "negar tudo" entrada. # # Default: # Http_reply_access permitir que todos os # TAG: icp_access # Permitir ou negar o acesso à porta ICP definidos com base em # Acesso listas # # Icp_access permitir | negar [!] Aclname ... # # Http_access para ver detalhes # # Default: # Icp_access negar todos # # Allow ICP queries a partir de redes locais só icp_access permitir localnet icp_access negar todos # TAG: htcp_access # Permitir ou negar o acesso ao porto HTCP definidos com base em # Acesso listas # # Htcp_access permitir | negar [!] Aclname ... # # Http_access para ver detalhes # # NOTA: O padrão se nenhum htcp_access linhas estão presentes é o de # Negar todo o tráfego. Este padrão pode causar problemas com os pares # Utilizando o htcp ou htcp-oldsquid opções. # # Default: # Htcp_access negar todos # # Deixar HTCP consultas de redes locais só # Htcp_access permitir localnet # Htcp_access negar todos # TAG: htcp_clr_access # Permitir ou Negar acesso a purga conteúdo usando HTCP baseada # Definida no acesso listas # # Htcp_clr_access permitir | negar [!] Aclname ... # # Http_access para ver detalhes # # # Permitir HTCP CLR solicitações de amigos confiáveis # acl htcp_clr_peer src 172.16.1.2 # htcp_clr_access permitir htcp_clr_peer # # Default: # Htcp_clr_access negar todos # TAG: miss_access # Utilize para forçar seus vizinhos a usar-te como um irmão em vez de # Um progenitor. Por exemplo: # # Acl localclients src 172.16.0.0/16 # Miss_access permitir localclients # Miss_access negar! Localclients # # Isto significa somente seus clientes locais estão autorizados a buscar # Misses e todos os outros clientes apenas podem buscar HITS. # # Por omissão, permitir que todos os clientes que passaram a http_access regras # Para buscar Misses de nós. # # Predefinição: # Miss_access permitir que todos os # TAG: ident_lookup_access # Uma lista de ACL elementos que, se for compensada, causar um ident # (RFC931) pesquisa a ser realizada para este pedido. Para # Exemplo, você pode optar por sempre realizar ident lookups # Para o seu principal multi-usuário Unix caixas, mas não para os seus Macs # E PC. Por padrão, ident pesquisas não são realizadas para # Todos os pedidos. # # Para permitir que ident lookups para clientes específicos endereços, você # Pode seguir este exemplo: # # Acl ident_aware_hosts src 198.168.1.0/255.255.255.0 # Ident_lookup_access permitir ident_aware_hosts # Ident_lookup_access negar todos # # Só src tipo ACL controlos são totalmente apoiadas. Um src_domain # ACL poderia funcionar, por vezes, mas ela nem sempre fornecem # O resultado correcto. # # Default: # Ident_lookup_access negar todos # TAG: reply_body_max_size bytes permitir | acl acl negar ... # Esta opção especifica o tamanho máximo de uma resposta do órgão em bytes. # Pode ser usado para impedir que os usuários download de arquivos muito grandes, # Tais como MP3's e filmes. Quando a resposta cabeçalhos são recebidos, # Reply_body_max_size as linhas são processadas, e a primeira linha com # Um resultado de "permitir" é usado como o órgão máximo de tamanho para esta resposta. # Este tamanho é controlado por duas vezes. Em primeiro lugar, quando chegarmos a resposta cabeçalhos, # Nós verificar o conteúdo de comprimento valor. Se o comprimento do conteúdo valor existe # E é maior que o tamanho permitido, o pedido é negado e os # Usuário recebe uma mensagem de erro que diz que "o pedido ou resposta # É muito grande. "Se não existe nenhum conteúdo de comprimento, ea resposta # Tamanho excede esse limite, o cliente da conexão é fechada apenas # E que irão receber uma resposta parcial. # # WARNING: downstream caches provavelmente não pode detectar uma resposta parcial # Se não houver conteúdo cabeçalho de comprimento, então eles irão cache # Respostas parciais, e dar-lhes como hits. Você não deve # Usar esta opção se você tiver jusante caches. # # Se você definir esse parâmetro para zero (o padrão), haverá # Sem limite imposta. # # Default: # Reply_body_max_size 0 permitir que todos os # TAG: authenticate_ip_shortcircuit_access # Acesso lista shortcicuiting determinar quando o processo de autenticação # Baseadas em IP source credentials cached é aceitável. Use isto para negar # Usar o ip auth cache sobre os pedidos de criança procurações ou outra fonte # IP's com vários usuários. # # Default: # None # OPÇÕES PARA X-transmitido-Para # ------------------------------------------------- ---------------------------- # TAG: follow_x_forwarded_for # Permitir ou Negar o X-transmitido-Para cabeçalho a ser seguido para # Encontrar a fonte original de um pedido. # # Os pedidos podem passar através de uma cadeia de vários outros proxies # Antes de chegar a nós. O X-transmitido-Para cabeçalho irá conter um # Lista separada por vírgulas dos endereços IP na cadeia, com a # Rightmost endereço sendo o mais recente. # # Se um pedido chega até nós a partir de uma fonte que seja permitido pela presente # Configuração item, então, consultar o X-transmitido-Por cabeçalho # Para ver onde que recebeu o pedido de acolhimento. Se o # X-transmitido-Para cabeçalho contém vários endereços, e se # Acl_uses_indirect_client é, então nós continuamos backtracking # Até chegarmos a um endereço para o qual não estamos autorizados a # Siga os X-transmitido-Por cabeçalho, ou até chegar ao primeiro # Endereço na lista. (Se acl_uses_indirect_client está desligado e, em seguida, # É impossível voltar atrás através de mais de um nível de # X-transmitido-Para endereços.) # # O resultado final deste processo é um endereço IP que vamos # Se referem como o cliente indirecto endereço. Este endereço pode # Ser tratado como cliente o endereço de controlo de acesso, demora # Piscinas e exploração florestal, em função da acl_uses_indirect_client, # Delay_pool_uses_indirect_client e log_uses_indirect_client # Opções. # # Considerações de segurança: # # Qualquer acolhimento para que siga o X-transmitido-Por cabeçalho # Pode colocar informações incorrectas, no cabeçalho, e Lula # Irá utilizar a informação incorreta, como se fosse o # Endereço de origem do pedido. Isto pode permitir remoto # Hospeda nenhum controle de acesso para contornar restrições que são # Baseada no cliente da fonte endereços. # # Por exemplo: # # Acl localhost src 127.0.0.1 # Acl my_other_proxy srcdomain. Proxy.example.com # Follow_x_forwarded_for permitir localhost # Follow_x_forwarded_for permitir my_other_proxy # # Default: # Follow_x_forwarded_for negar todos # TAG: acl_uses_indirect_client on | off # Controla se o cliente indirecto endereço # (Ver follow_x_forwarded_for) é usado no lugar do # Cliente direto no endereço acl correspondência. # # Default: # Acl_uses_indirect_client sobre # TAG: delay_pool_uses_indirect_client on | off # Controla se o cliente indirecto endereço # (Ver follow_x_forwarded_for) é usado no lugar do # Cliente direto endereço em atraso piscinas. # # Default: # Delay_pool_uses_indirect_client sobre # TAG: log_uses_indirect_client on | off # Controla se o cliente indirecto endereço # (Ver follow_x_forwarded_for) é usado no lugar do # Cliente direto endereço no acesso diário. # # Default: # Log_uses_indirect_client sobre # SSL OPÇÕES # ------------------------------------------------- ---------------------------- # TAG: ssl_unclean_shutdown # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # Alguns navegadores (especialmente MSIE) bugs out sobre SSL desligamento # Mensagens. # # Default: # Ssl_unclean_shutdown off # TAG: ssl_engine # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # O motor para usar OpenSSL. Você precisa definir isto se você # Gostaria de usar SSL aceleração de hardware, por exemplo. # # Default: # None # TAG: sslproxy_client_certificate # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # Cliente certificado SSL para usar quando proxy https: / / URLs # # Default: # None # TAG: sslproxy_client_key # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # Cliente Chave SSL para usar quando proxy https: / / URLs # # Default: # None # TAG: sslproxy_version # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # SSL versão nível para usar quando proxy https: / / URLs # # Default: Sslproxy_version # 1 # TAG: sslproxy_options # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # Opções para utilizar SSL motor quando proxy https: / / URLs # # Default: # None # TAG: sslproxy_cipher # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # SSL cifra lista para usar quando proxy https: / / URLs # # Default: # None # TAG: sslproxy_cafile # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # Arquivo contendo certificados CA para utilizar na verificação servidor # Certificados enquanto proxy https: / / URLs # # Default: # None # TAG: sslproxy_capath # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # Diretório que contém certificados CA para utilizar na verificação # Certificados de servidor proxy, enquanto https: / / URLs # # Default: # None # TAG: sslproxy_flags # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # Vários pavilhões, que altera o uso de SSL, enquanto proxy https: / / URLs: # DONT_VERIFY_PEER Aceitar certificados, mesmo que não consigam # Verificar. # NO_DEFAULT_CA Não use o padrão CA lista construída em # Para OpenSSL. # # Default: # None # TAG: sslpassword_program # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # Especifique um programa usado para entrar SSL chave passphrases # Quando usando codificado certificado SSL chaves. Se não for especificado # Chaves devem ser ou não criptografada, ou Lula começou com a N - # Opção, para permitir a consulta interactiva para a frase-chave. # # Default: # None # REDE DE OPÇÕES # ------------------------------------------------- ---------------------------- # TAG: http_port # Uso: porto [opções] # Hostname: porta [opções] # 1.2.3.4: port [opções] # # O soquete endereços onde Lula vai ouvir por HTTP cliente # Pedidos. Você pode especificar socket múltiplos endereços. # Existem três formas: porta sozinho, hostname com porta, e # Endereço IP com a porta. Se você especificar um nome de host ou IP # Endereço, Lula liga para o socket que específica # Endereço. Este substitui o antigo "tcp_incoming_address' # Opção. Provavelmente, você não precisa se ligar a um determinado # Endereço, assim que você pode utilizar o número da porta sozinho. # # Se você estiver executando o Squid no acelerador modo, você # Provavelmente quer escutar na porta 80 também, ou em alternativa. # # A-I da linha de comando opção irá sobrepor-se ao primeiro * * porto # Aqui especificado. # # Você pode especificar socket múltiplos endereços em várias linhas. # # Opções: # # Transparente transparente intercepção de Apoio à # Cessante pedidos sem as configurações do navegador. # # Tproxy suporte para Linux TPROXY spoofing cessante # Conexões usando endereço IP do cliente. # # Accel Accelerator modo. Veja também as relacionadas vhost, # Vport e defaultsite directivas. # # Defaultsite = nome_do_domínio # O que deve ser utilizado para a anfitriã: cabeçalho se ele não estiver presente # Em um pedido. Determina o local (não origem servidor) # Aceleradores deve considerar o padrão. # Defaults to visible_hostname: porto, se não definido # Pode ser combinada com vport = NN para substituir o número da porta. # Implies acel. # # Vhost Accelerator usando modo de cabeçalho de host para a virtual # Domínio apoio. Implica acel. # # Vport Acelerador com IP virtual baseada acolhimento apoio. # Implies acel. # # Vport = NN Como acima, mas usa número de porta especificado bastante # Http_port do que o número. Implica acel. # # Permitir-direta Permitir transmissão directa no acelerador modo. Normalmente # Acelerado pedidos negado transmissão directa, uma vez que # Never_direct foi utilizado. # # Urlgroup = Default urlgroup para pedidos com a marca (ver # Acl urlgroup e também url_rewrite_program) # # Protocol = protocolo para reconstruir acelerado com os pedidos. # Defaults to http. # # Não-conexão-auth # Evitar a transmissão da Microsoft orientado conexão # Autenticação (NTLM, Negociar e Kerberos) # # Agir-como-origem # Se esta lei, se Lula é o servidor de origem. # Este actualmente significa gerar próprio Data: e # Expires: cabeçalhos. Implica acel. # # Http11 Ativa HTTP/1.1 suporte a clientes. The HTTP/1.1 # Apoio ainda está incompleta com um interno HTTP/1.0 # Hop, mas que deve funcionar com a maioria dos clientes. O principal # HTTP/1.1 características ausentes devido a essa transmissão é # Utilizando blocos de pedidos transferência codificação (resultados # Em 411) e encaminhamento de respostas 1xx (silenciosamente # Baixaram) # # Name = Especifica um nome interno para o porto. Padrões para # Especificação do porto (porto ou addr: port) # # KeepAlive [= ocioso, intervalo de tempo] # Ativar TCP KeepAlive sondas de ocioso conexões # Ociosa é a primeira vez antes TCP inicia sondagem # A conexão, intervalo de quantas vezes a sonda, e # Tempo ao tempo antes de desistir. # # Se você executar o Squid em uma máquina dual-homed com um interno # E uma interface externa, recomendamos que você especifique o # Interno endereço: porto em http_port. Desta forma Lula só será # Visível no endereço interno. # # Squid normalmente ouve a porta 3128 http_port 3128 # TAG: https_port # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # Uso: [IP]: porto cert = certificate.pem [key = key.pem] [opções ...] # # O endereço onde soquete Squid irá escutar HTTPS para clientes # Pedidos. # # Isto é realmente útil apenas para as situações em que você está executando # Squid no acelerador e de modo que você deseja fazer o trabalho no SSL # Acelerador nível. # # Você pode especificar socket múltiplos endereços em várias linhas, # Cada um com seu próprio certificado SSL e / ou opções. # # Opções: # # Para além das opções especificadas para http_port o folling # SSL relacionados opções é suportado: # # Cert = Caminho para certificado SSL (PEM format). # # Key = Caminho a chave privada SSL arquivo (formato PEM) # Se não for especificado, o arquivo está certificado # Assume-se um certificado e combinado # Ficheiro chave. # # Version = A versão de SSL / TLS apoiados # 1 automático (padrão) # 2 SSLv2 apenas # 3 SSLv3 apenas # 4 TLSv1 apenas # # Cipher = Colon separados lista de cifras. # # Várias opções = SSL motor opções. O mais importante # Sendo: # NO_SSLv2 Bloquear o uso de SSLv2 # NO_SSLv3 Bloquear o uso de SSLv3 # NO_TLSv1 Bloquear o uso de TLSv1 # SINGLE_DH_USE Sempre crie uma nova chave quando se utiliza # Temporária / efêmero DH chave intercâmbios # Veja src / ssl_support.c ou OpenSSL SSL_CTX_set_options # Documentação para obter uma lista completa de opções. # # Clientca = arquivo que contém a lista de CAs de usar quando # Requerente um certificado de cliente. # # ArquivoCA = Arquivo contendo adicionais certificados CA para # Poderá utilizar o cliente ao verificar certificados. Se unset # Clientca será utilizado. # # Capath = Diretório contendo adicionais certificados CA # LCR e listas a utilizar na verificação cliente certificados. # # Crlfile = Ficheiro adicional de LCR listas a utilizar na verificação # O certificado de cliente, além de LCR armazenados em # O capath. Implica VERIFY_CRL bandeira abaixo. # # Dhparams = arquivo contendo os parâmetros para DH temporário / efêmero # DH principais bolsas de valores. # # Sslflags = Vários pavilhões modificar o uso de SSL: # DELAYED_AUTH # Não cliente solicitar certificados # Imediato, mas aguarde até acl transformação # Exige um certificado (ainda não implementado). # NO_DEFAULT_CA # Não use o padrão CA listas construído em # Para OpenSSL. # NO_SESSION_REUSE # Não permitir a sessão reutilização. Cada conexão # Irá resultar em uma nova sessão SSL. # VERIFY_CRL # Verificar CRL listas quando aceitando cliente # Certificados. # VERIFY_CRL_ALL # Verificar CRL listas para todos os certificados no # Cliente certificado cadeia. # # Sslcontext sessão SSL ID = contexto identificador. # # # Default: # None # TAG: tcp_outgoing_tos # Permite que você selecione um TOS / Diffserv valor à marca cessante # Ligações com, baseado no nome de usuário ou endereço fonte # Fazer o pedido. # # Tcp_outgoing_tos ds-campo [!] Aclname ... # # Exemplo normal_service_net quando utiliza o valor TOS 0x00 # E good_service_net usa 0x20 # # Acl normal_service_net src 10.0.0.0/255.255.255.0 # Acl good_service_net src 10.0.1.0/255.255.255.0 # Tcp_outgoing_tos 0x00 normal_service_net # Tcp_outgoing_tos 0x20 good_service_net # # TOS / DSCP valores realmente só tem significado local - assim que você deve # Sei que você está precisando. Para mais informações, consulte RFC2474 e # RFC3260. # # O TOS / DSCP byte deve ser exatamente isso - um octeto valor de 0-255, ou # "Padrão" para utilizar o padrão tem o seu anfitrião. Note-se que em # Prática muitas vezes, apenas valores de 0-63 pode ser usado como os dois maiores bits # Foram redefinidas para uso por REC (RFC3168). # # Processamento receitas na ordem especificada, e pára na primeira plenamente # Correspondência linha. # # Nota: O uso desta directiva usando cliente está dependente ACLs # Incompatível com a utilização do lado do servidor ligações persistentes. Para # Garantir resultados corretos, é melhor para definir server_persisten_connections # Para fora quando se utiliza esta directiva, em tais configurações. # # Default: # None # TAG: tcp_outgoing_address # Permite mapear os pedidos de saída diferentes endereços IP # Baseado no nome de usuário ou endereço de origem do usuário fazer # O pedido. # # Tcp_outgoing_address end_ip [[!] Aclname] ... # # Exemplo de que os pedidos serão encaminhados 10.0.0.0/24 # Com a fonte endereço 10.1.0.1, 10.0.2.0/24 enviada com # Fonte endereço 10.1.0.2 eo resto será enviado com # Fonte endereço 10.1.0.3. # # Acl normal_service_net src 10.0.0.0/24 # Acl good_service_net src 10.0.1.0/24 10.0.2.0/24 # Tcp_outgoing_address 10.1.0.1 normal_service_net # Tcp_outgoing_address 10.1.0.2 good_service_net # Tcp_outgoing_address 10.1.0.3 # # Processamento receitas na ordem especificada, e pára na primeira plenamente # Correspondência linha. # # Nota: O uso desta directiva usando cliente está dependente ACLs # Incompatível com a utilização do lado do servidor ligações persistentes. Para # Garantir resultados corretos, é melhor para definir server_persistent_connections # Para fora quando se utiliza esta directiva, em tais configurações. # # Default: # None # TAG: zph_mode # Esta opção permite a marcação de pacotes nível HIT / MISS respostas, # Usando IP TOS ou soquete prioridade. # Off Feature deficientes # TOS Defina o campo IP TOS Defina a prioridade # socket prioridade (pode chegar a TOS mapeados pelo SO, # Outro utilizável apenas em locais rulesets) # # Veja também tcp_outgoing_tos para mais detalhes / exigências sobre TOS uso. # # Default: # Zph_mode off # TAG: zph_local # Permite que você selecione um TOS / Diffserv / Prioridade valor para marcar locais hits. # Padrão: 0 (desativado). # # Default: # Zph_local 0 # TAG: zph_sibling # Permite que você selecione um TOS / Diffserv / Prioridade valor a marca sibling hits. # Padrão: 0 (desativado). # # Default: # Zph_sibling 0 # TAG: zph_parent # Permite que você selecione um TOS / Diffserv / Prioridade valor a marca-mãe hits. # Padrão: 0 (desativado). # # Default: # Zph_parent 0 # TAG: zph_option # A opção IP para usar quando zph_mode é definido como "opção". Padrões para # 136, que é oficialmente registadas como "SATNET Stream ID". # # Default: # Zph_option 136 # OPÇÕES que afectam a vizinha SELECÇÃO ALGORITMO # ------------------------------------------------- ---------------------------- # TAG: cache_peer # Para especificar outros esconderijos em uma hierarquia, utilize o formato: # # Cache_peer hostname tipo http-porta icp-porto [opções] # # Por exemplo, # # # Proxy icp # # Hostname tipo porto porto opções # # -------------------- -------- ----- ----- ---------- -- # Cache_peer parent.foo.net progenitor 3128 3130 proxy-only padrão # Cache_peer sib1.foo.net sibling 3128 3130 proxy-only # Cache_peer sib2.foo.net sibling 3128 3130 proxy-only # # Tipo: ou 'mãe', 'irmão', ou 'multicast'. # # Proxy-port: O número da porta onde o cache ouve por procuração # Pedidos. # # Icp-port: Usado para pesquisar vizinho sobre caches # Objetos. Para que um não-ICP neighbor # Especificar'7 'para a ICP porta e certifique-se que o # Neighbor máquina tem a porta UDP echo # Ativado no seu ficheiro / etc / inetd.conf. # NOTA: Também exige icp_port opção habilitado para enviar / receber # Solicitações através deste método. # # Opções: proxy-only # Peso = n # Ttl = n # Não-query # Default # Round-robin # Carpa # Multicast-respondedor # Multicast-irmãos # Mais próximo de apenas # Não-digerir # Não-netdb-troca # Sem demora # Login = usuário: senha | PASS | *: senha # Connect-timeout = nn # Digeri-url = url # Permitir-miss # Max-conn = n # Htcp # Htcp-oldsquid # Originserver # Userhash # Sourcehash # Name = xxx # Monitorurl url = # Monitorsize = sizespec # Monitorinterval = segundos # Monitortimeout = segundos # Forceddomain = nome # Ssl # Sslcert = / caminho / para / ssl / certificado # Sslkey = / caminho / para / ssl / chave # Sslversion = 1 | 2 | 3 | 4 # Sslcipher =... # Ssloptions =... # Front-end-https [= on | auto] # Conexão-auth = [on | off | auto] # Idle = n # Http11 # # Use 'proxy-only' para especificar objetos buscados # Deste cache não devem ser guardados localmente. # # Use 'weight = n' para influenciar a selecção de um parceiro # Durante qualquer ponderada peer-selecção mecanismos. # O peso deve ser um número inteiro, por defeito é 1, # Maiores pesos são mais favorecidos. # Esta opção não afecta mãe selecção se um peering # Protocolo não estiver em uso. # # Use 'ttl = n' para especificar um IP multicast TTL para uso # Quando envia uma ICP consultas para este endereço. # Apenas útil quando o envio de um grupo multicast. # Porque não aceitam respostas de ICP aleatória # Anfitriões, você deve configurar outros membros do grupo como # Pares com o 'multicast-responder' opção abaixo. # # Use 'no-query "para não enviar ICP às consultas a este # Vizinho. # # Use 'default' se esta é uma mãe que pode cache # Ser utilizado como um "último recurso," se um parceiro não pode ser localizada # Por qualquer das par-selecção mecanismos. # Se especificado mais de uma vez, só o primeiro é utilizado. # # Use 'round-robin ", para definir um conjunto de pais que # Deve ser utilizado em um round-robin no # Falta de ICP queries. # # Use "carpa", para definir um conjunto de pais que devem # Ser utilizado como um CARP array. Os pedidos serão # Distribuído entre os pais com base na carga CARP # Balanceamento função hash com base em seu peso. # # 'Multicast-responder' indica que o chamado peer # É um membro de um grupo multicast. ICP consultas serão # Não serão enviados directamente para o parceiro, mas ICP respostas # Serão aceitas a partir dele. # # O 'multicast-irmãos "opção se destina a ser utilizado # Só para cache pares do tipo "multicast". Ele instrui # Lula que todos os membros deste grupo têm multicast # "Irmão" relacionamento com ele, e não "mãe". Isto é # Uma otimização que evita inúteis multicast queries # Para um grupo multicast, quando o objeto solicitado seria # Ser obtida apenas a partir de uma "mãe" cache, de qualquer maneira. É # Útil, por exemplo, ao configurar um pool de redundante # Squid proxies, que são membros da mesma # Multicast grupo. # # 'Mais próximo de apenas "indica que, para ICP_OP_MISS # Respostas, vamos apenas transmitir CLOSEST_PARENT_MISSes # E nunca FIRST_PARENT_MISSes. # # Use 'não digerir' a pedido NÃO cache digere a partir de # Este vizinho. # # "Não-netdb-troca 'desativa solicitando ICMP # RTT dados (NetDB), a partir do vizinho. # # Use 'não demora "para impedir o acesso a este vizinho # De influenciar o atraso piscinas. # # Use 'login = usuário: senha' se esta é uma pessoal / workgroup # Proxy e seu pai proxy exige autenticação. # Nota: A seqüência pode incluir URL escapes (ou seja, 20% para # Espaços). Isto significa também deve ser escrito como%%%. # # Use 'login = PASS "se os usuários devem autenticar contra # A montante proxy ou no caso de um proxy reverso # Configuração, a origem do servidor da web. Isso vai passar # As credenciais de usuários como eles são para o peer. # Nota: Para combinar com este local a autenticação básica # Esquema de autenticação devem ser utilizados, e ambos os servidores devem # Compartilhar a mesma base de dados como HTTP usuário apenas permite a # Um login único (para um proxy, um servidor de origem). # Também será avisada esta irá expor seus usuários proxy # Senha para o peer. USAR COM CUIDADO # # Use 'login =*: senha' para passar o nome de usuário para o # Montante cache, mas com um valor fixo senha. Isto se entende # Para ser utilizada quando o peer está noutro administrativa # Domínio, mas ainda é necessária para identificar cada usuário. # A estrela pode opcionalmente ser seguido por alguns extras # Informação que é adicionado ao nome do usuário. Isto pode # Ser usado para identificar este proxy para os pares, semelhante ao # O login = usuário: senha opção acima. # # Use 'connect-timeout = nn' para especificar um peer # Específicas ligar Timeout (ver também o # Peer_connect_timeout directiva) # # Use 'digerir-url = url' para dizer Squid para buscar o cache # Digerir (se digere estão ativados) para este acolhimento de # O URL especificado e não o Lula por omissão # Local. # # Use 'permitir-miss' para desabilitar o uso de apenas Pota-se-cache # Ao enviarem os pedidos de irmãos. Trata-se essencialmente # Icp_hit_stale útil quando é utilizada pelo irmão. Para # Extenso uso desta opção pode resultar em transmissão # Loops, e você deve evitar ter dois sentidos peerings # Com esta opção. (por exemplo, para negar o uso em pares # Pedidos a partir de pares por cache_peer_access se negando a # Fonte é um peer) # # Use 'max-conn = n' para limitar a quantidade de ligações Lulas # Pode abrir a este ponto. # # Use 'htcp' para enviar HTCP, em vez de ICP, consultas # Para o vizinho. Você provavelmente também querem # Define o "icp porta" para 4827 em vez de 3130. # Você também deve permitir que este htcp_access e Lulas # Http_access no pares Squid configuração. # # Use 'htcp-oldsquid' para enviar HTCP às antigas versões Lulas # Você também deve permitir que este htcp_access e Lulas # Http_access no pares Squid configuração. # # 'Originserver "causas desta mãe de ser contactado pelos pares como # Um servidor de origem. Concebida para ser utilizada no acelerador configurações. # # Use 'userhash "a carga de equilíbrio entre uma série de pais # Baseada no cliente ou proxy_auth ident usuário. # # Use 'sourcehash "a carga de equilíbrio entre uma série de pais # Baseada no cliente fonte ip. # # Use 'name = xxx' se você tem múltiplos pares no mesmo # Acolhimento, mas diferentes portos. Este nome pode ser utilizado para # Diferenciar os seus pares nos cache_peer_access e similares # Directivas. # # Use 'monitorurl url = "para que periodicamente um dado pedido # URL a partir do posto, e apenas considerar a peer como vivo # Se esse acompanhamento for bem sucedida (padrão nenhum) # # Use 'monitorsize min = [-max]' para limitar o tamanho leque de # 'Monitorurl' respostas consideradas válidas. Padrões de 0 a # Aceitar qualquer tamanho como respostas válidas. # # Use 'monitorinterval = segundos "para alterar a freqüência de # Quantas vezes os pares é monitorado com "monitorurl ' # (Padrão 300 para um intervalo de 5 minutos). Se estiver definido para 0 # Então monitorização está desabilitado, mesmo que um URL é definido. # # Use 'monitortimeout = segundos' para alterar o tempo limite de # 'Monitorurl'. Defaults to 'monitorinterval'. # # Use '= forceddomain nome «força para definir o cabeçalho de host N º de pedidos enviados a este ponto. Útil no acelerador # Configurações onde o servidor (peer) espera um certo domínio # Nome, utilizando redirecionadores para alimentar este nome de domínio # Não é viável. # # Use 'ssl' para indicar ligações a este ponto deve # Ser SSL / TLS criptografados. # # Use 'sslcert = / caminho / para / ssl / certificado' para indicar um cliente # Certificado SSL para usar quando conectar a esse ponto. # # Use 'sslkey = / caminho / para / ssl / chave' para especificar o privado SSL # Tecla correspondente ao sslcert acima. Se 'sslkey' não é # Especificado 'sslcert' é assumido como uma referência # Combinado arquivo contendo tanto o certificado como a chave. # # Use sslversion = 1 | 2 | 3 | 4 para especificar a versão SSL para usar # Ao se conectar a esse ponto # 1 = automático (padrão) # 2 = SSL v2 só # 3 = SSL v3 só # 4 = TLS v1 apenas # # Use sslcipher =... para especificar a lista de SSL válido Cifras # Para usar quando conectar a esse ponto. # # Use ssloptions =... SSL para especificar várias opções de motores: # NO_SSLv2 Bloquear o uso de SSLv2 # NO_SSLv3 Bloquear o uso de SSLv3 # NO_TLSv1 Bloquear o uso de TLSv1 # Veja src / ssl_support.c ou a documentação do OpenSSL # Uma lista mais completa. # # Use sslcafile =... para especificar um arquivo contendo # Adicionais certificados CA para utilizar na verificação da # Pares certificado. # # Use sslcapath =... para especificar um diretório que contenha # Adicionais certificados CA para utilizar na verificação da # Pares certificado. # # Use sslcrlfile =... para especificar um certificado revogação # Lista ficheiros a utilizar quando se verificar a peer certificado. # # Use sslflags =... para especificar vários pavilhões, que altera o # Implementação SSL: # DONT_VERIFY_PEER # Aceitar certificados, mesmo que não consigam # Verificar. # NO_DEFAULT_CA # Não use o padrão CA lista construída em # Para OpenSSL. # # Use ssldomain = para especificar os pares nome como publicidade # No seu certificado. Usado para verificar a exactidão # Dos pares receberam certificado. Se não for especificado o # Pares hostname será utilizado. # # Poderá utilizar o front-end-https para permitir que a "Front-End-Https: On" # Cabeçalho necessários quando se utiliza SSL Squid como um frontend em frente # Da Microsoft OWA. Ver documento MS KB Q307347 para obter detalhes # Sobre este cabeçalho. Se estiver definido para o cabeçalho será automática # Só será adicionado se o pedido é enviado como uma https: / / # URL. # # Usar conexão-auth = off Lula para dizer que este ponto não # Não suporta o Microsoft ligação orientada para autenticação, # E quaisquer desafios recebidos de lá deve ser # Ignorado. O padrão é automática para determinar automaticamente o # Estado do posto. # # Uso ocioso = n para especificar um número mínimo de ocioso conexões # Que deve ser mantida em aberto a este ponto. # # Http11 utilizar para enviar os pedidos utilizando HTTP/1.1 a este ponto. # Nota: O apoio HTTP/1.1 é ainda incompleta, com uma # Interno HTTP/1.0 hop. Como resultado 1xx respostas não serão # Ser enviada. # # Default: # None # TAG: cache_peer_domain # Use a limitar os domínios para os quais um cache vizinho será # Queried. Uso: # # Cache_peer_domain cache-host domínio [domínio ...] # Cache_peer_domain cache-hospedeiro! Domínio # # Por exemplo, especificando # # Cache_peer_domain parent.foo.net. Edu # # Tem o efeito que essa consulta UDP pacotes são enviados para # 'Bigserver "apenas quando o objeto solicitado existe numa # Servidor no domínio. Edu. Prefixing o nome de domínio # Com "!" significa que o cache será consultado para objetos # NÃO nesse domínio. # # NOTA: * Qualquer número de domínios pode ser concedida por um cache-hospedeiro, # Quer sobre o mesmo ou linhas separadas. # * Quando múltiplos domínios são dadas para um determinado # Cache-hospedeiro, a primeira correspondência domínio é aplicada. # * Cache hosts sem domínio restrições são consultadas # Para todas as solicitações. # * Não há nenhum padrão. # * Existe também uma 'cache_peer_access' tag na ACL # Secção. # # Default: # None # TAG: cache_peer_access # Similares a "cache_peer_domain", mas dá mais flexibilidade ao # ACL utilizando elementos. # # Cache_peer_access cache-host permitir | negar [!] Aclname ... # # A sintaxe é idêntica a "http_access" e as outras listas de # ACL elementos. Veja os comentários de "http_access" abaixo, ou # O Squid FAQ (http://www.squid-cache.org/FAQ/FAQ-10.html). # # Default: # None # TAG: neighbor_type_domain # Uso
Nenhum comentário foi encontrado.
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Flatpak: remover runtimes não usados e pacotes
Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2
big linux sem audio como resolver (2)
Como faz para dar um update-grub por shell script [RESOLVIDO] (3)
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta