squid (squid.conf)
squid.conf original com comentários didáticos
Categoria: Segurança
Software: squid
[ Hits: 15.937 ]
Por: Demi Rodrigues Sousa
Esse arquivo de configuração é o original, mas com muitas explicações para melhor entendimento.
# WELCOME TO SQUID 2.7.STABLE3 # ---------------------------- # # Este é o padrão Lula arquivo de configuração. Você pode desejar # Olhar para o Squid home page (http://www.squid-cache.org/) # Para o FAQ e outros documentos. # # O padrão Squid config arquivo mostra o que os padrões de # Acontecer várias opções para ser. Se você não precisa alterar o # Default, você não deve descomentar a linha. Fazer isso pode causar # Run-time problemas. Em alguns casos, "nenhum" se refere a nenhum padrão # Configuração de todo, enquanto que em outros casos em que se refere a um válido # Opção - os comentários de que a palavra-chave indicar se esta é a # Caso. # # Configuração opções podem ser incluídas utilizando a "incluir" directiva. # Include tem uma lista de ficheiros a incluir. Citando e coringa é # Suportados. # # Por exemplo, # # Include / caminho / para / incluído / arquivo / squid.acl.config # # Inclui podem ser aninhadas até um hard-coded profundidade de 16 níveis. # Este arbitrária restrição é para evitar recursivos incluir referências # Lula entrar de causar um loop infinito enquanto tentando carregar # Arquivos de configuração. # Opções de autenticação # ------------------------------------------------- ---------------------------- # TAG: auth_param # Isto é utilizado para definir vários parâmetros para a autenticação # Regimes apoiados por Lula. # # Formato: auth_param esquema parâmetro [definição] # # A ordem em que são apresentados sistemas de autenticação para o cliente é # Dependente do fim do regime aparece pela primeira vez no ficheiro de configuração. IE # Tem um bug (que não é compatível com RFC 2617) em que irá utilizar a base # Esquema básico se constitui a primeira entrada apresentados, mesmo se mais segura # Programas são apresentados. Para utilizar agora o despacho do recomendado # Configurações seção abaixo. Se outros navegadores têm dificuldades (não # Reconhecer os sistemas oferecidos mesmo se você estiver usando base) quer # Ponha base em primeiro lugar, ou desabilitar a outros sistemas (por comentar as suas # Programa entrada). # # Quando um esquema de autenticação é completamente configurado, ele só pode ser # Desligamento por fechar as lulas e reiniciar. As mudanças podem ser feitas no # A voar e activado com um reconfigurar. I.E. Você pode mudar para um # Socorredor diferentes, mas não unconfigure o ajudante completamente. # # Por favor, note que, embora esta directiva define como Lula processos # Autenticação não é ativado automaticamente autenticação. # Para utilizar a autenticação você deve, além disso, fazer uso de ACLs baseadas # No nome do login no http_access (proxy_auth, ou proxy_auth_regex #% LOGIN externo com o formato utilizado na etiqueta). O browser será # Desafiados para autenticação no primeiro tais acl encontradas # Http_access em transformação e também será re-desafiados para novas # Credenciais de login, se o pedido está a ser negada por um proxy_auth # Tipo acl. # # ATENÇÃO: autenticação não pode ser utilizado em um interceptor transparente # Proxy que o cliente pensa que está falando, em seguida, para um servidor de origem e # Não o proxy. Esta é uma limitação de flexão do protocolo TCP / IP para # Transparente interceptando porta 80, não uma limitação no Squid. # === # Parâmetros para o esquema básico seguir. === # # "Programa" cmdline # Especifique o comando para o autenticador externo. Tal programa # Lê uma linha contendo "usuário senha" e respostas "OK" ou # "ERR" em um loop infinito. "ERR" respostas podem opcionalmente ser seguido # Por um erro na descrição disponível% m retornou um erro na página. # # Por padrão, o esquema de autenticação básica não é usada, a menos que um # Programa é especificado. # # Se você quiser usar o tradicional proxy autenticação, saltar sobre a # Os auxiliadores / basic_auth / NCSA diretório e digite: #% Make #% Make install # # Em seguida, defina esta linha de algo como # # Auth_param básicas do programa / usr / lib / squid / ncsa_auth / usr / etc / passwd # # "Crianças" numberofchildren # O número de processos autenticador para desovar. Se você começar demasiado poucos # Lula vai ter de esperar para que um processo de acumulação de credencial # Verificações, abrandando-a para baixo. Quando credencial verificações são # Feito através de um (lento) de rede que são susceptíveis de necessidade de lotes # Autenticador processos. # Auth_param básicos crianças 5 # # "Concorrente" numberofconcurrentrequests # O número de pedidos simultâneos / canais a socorredor suporta. # Altera o protocolo usado para incluir um número de canal, em primeiro lugar, # A pedido / resposta linha, permitindo que vários pedidos para serem enviados # Para o mesmo assistente de parallell sem wating para a resposta. # Não deve ser definido a menos conhecida é o ajudante suporta isso. # # "Reino" realmstring # Especifica o campo nome, que deve ser relatado ao cliente para # Base o esquema de autenticação de proxy (parte do texto que o usuário # Vai ver quando for solicitado seu nome de usuário e senha). # Auth_param base realm Squid proxy-caching web server # # "Credentialsttl" timetolive # Especifica quanto tempo Lula assume uma validadas externamente # Usuário: senha par é válida para - por outras palavras, como muitas vezes o # Socorredor programa chama-se para esse usuário. Defina esta opção para forçar a baixa # Revalidação com vida curta senhas. Note que essa alta definição # Não ter impacto na sua suscetibilidade a ataques repetidos, a menos que sejam # Utilizando uma senha de tempo de um sistema (como SecureID). Se você estiver usando # Um sistema desse tipo, você estará vulnerável a ataques repetidos, a menos que você # Também utilizar o max_user_ip ACL em um http_access regra. # Auth_param base credentialsttl 2 horas # # "Casesensitive" on | off # Especifica se nomes de usuário estão entre maiúsculas e minúsculas. A maioria dos utilizadores de dados estão # Caso insensitivo permitindo o mesmo nome de usuário para ser digitadas usando tanto # Inferior e letras maiúsculas, mas alguns são caso sensível. Este # Faz uma grande diferença para user_max_ip LCA transformação e similares. # Auth_param base casesensitive off # # "Blankpassword" on | off # Especifica se senhas em branco deve ser apoiada. Padrões para fora # Como há vários autenticação backends que lida em branco # Senhas como "hóspede" acesso. # # === Parâmetros para digerir o regime Seguiu === # # "Programa" cmdline # Especifique o comando para o autenticador externo. Tal programa # Lê uma linha contendo "username": "reino" e respostas com o # Adequado H (A1) valor hexadecimal codificado ou ERR caso o utilizador (ou o seu H (A1) # Hash), não existe. Consulte RFC 2616 para a definição de H (A1). # "ERR" respostas podem opcionalmente ser seguido por uma descrição de erro #% M disponível como retornou o erro na página. # # Por padrão, a autenticação do sistema não é utilizado, a menos que um # Programa é especificado. # # Se você quiser usar um autenticador digerir, saltar para o # Socorredores / digest_auth / diretório e escolher o autenticador de usar. # Ele é tipo diretório #% Make #% Make install # # Em seguida, defina esta linha de algo como # # Auth_param digest program / usr / lib / squid / digest_auth_pw / usr / etc / digpass # # "Crianças" numberofchildren # O número de processos autenticador para desovar. Se você começar demasiado poucos # Lula vai ter de esperar para que um processo de acumulação de credencial # Verificações, abrandando-a para baixo. Quando credencial verificações são # Feito através de um (lento) de rede que são susceptíveis de necessidade de lotes # Autenticador processos. # Auth_param digerir 5 crianças # # "Concorrente" numberofconcurrentrequests # O número de pedidos simultâneos / canais a socorredor suporta. # Altera o protocolo usado para incluir um número de canal, em primeiro lugar, # A pedido / resposta linha, permitindo que vários pedidos para serem enviados # Para o mesmo assistente de parallell sem wating para a resposta. # Não deve ser definido a menos conhecida é o ajudante suporta isso. # # "Reino" realmstring # Especifica o campo nome, que deve ser relatado ao cliente para a # Digerir esquema de autenticação de proxy (parte do texto, o usuário verá # Quando for solicitado seu nome de usuário e senha). # Auth_param digest realm Squid proxy-caching web server # # "Nonce_garbage_interval" timeinterval # Especifica o intervalo que nonces que tenham sido emitidas para os clientes são # Verificada a validade. # Auth_param digest nonce_garbage_interval 5 minutos # # "Nonce_max_duration" timeinterval # Especifica o comprimento máximo de um tempo determinado Nonce será válida. # Auth_param digest nonce_max_duration 30 minutos # # "Nonce_max_count" número # Especifica o número máximo de vezes que um determinado Nonce pode ser usada. # Auth_param digest nonce_max_count 50 # # "Nonce_strictness" on | off # Determina se exige uma estrita incremento lula-por-1 comportamento para Nonce # Conta, ou simplesmente incrementado (off - para usar quando useragents gerar # Nonce conta que ocasionalmente perca 1 (ou seja, 1,2,4,6)). # Auth_param digest nonce_strictness off # # "Check_nonce_count" on | off # Esta directiva, se estar desactivado pode desativar a verificação Nonce count # Completamente para o trabalho em torno de buggy digerir qop implementações em certos # Principais versões do navegador. Padrão para verificar a contagem de Nonce # Proteger de ataques repetidos autenticação. # Auth_param digest check_nonce_count sobre # # "Post_workaround" on | off # Isto é uma solução para certas buggy navegadores que envia uma incorrecta # Digerir pedido em pedidos POST quando reutilizando as mesmas Nonce como adquirido # Anterior em resposta a um pedido GET. # Auth_param digest post_workaround off # # === NTLM regime opções siga === # # "Programa" cmdline # Especifique o comando para o exterior NTLM autenticador. Tal # NTLMSSP participa no programa de intercâmbio entre Lula e os # Cliente e lê comandos de acordo com o Squid NTLMSSP socorredor # Protocolo. Ver socorredores / ntlm_auth / para maiores detalhes. Recomendado NTLM # Autenticador é ntlm_auth de Samba-3.x, mas uma série de outros # NTLM authenticators está disponível. # # Por padrão, o esquema de autenticação NTLM não for utilizada, a menos que um # Programa é especificado. # # Auth_param NTLM programa / usr / bin / ntlm_auth - helper-protocol = squid-2.5-ntlmssp # # "Crianças" numberofchildren # O número de processos autenticador para desovar. Se você começar demasiado poucos # Lula vai ter de esperar para que um processo de acumulação de credencial # Verificações, abrandando-a para baixo. Quando credencial verificações são # Feito através de um (lento) de rede que são susceptíveis de necessidade de lotes # Autenticador processos. # Auth_param NTLM 5 crianças # # "Keep_alive" on | off # Esta opção permite a utilização de keep-alive, relativa à primeira # Autenticação pedido. Foi relatado algumas versões do MSIE # Ter problemas se este estiver ativado, mas o desempenho será aumentada # Se habilitado. # # Auth_param NTLM keep_alive sobre # # === Negociar regime opções siga === # # "Programa" cmdline # Especifique o comando para o exterior Negociar autenticador. Tal # SPNEGO participa no programa de intercâmbio entre Lula e os # Cliente e lê comandos de acordo com o Squid ntlmssp socorredor # Protocolo. Ver socorredores / ntlm_auth / para maiores detalhes. Recomendado SPNEGO # Autenticador é ntlm_auth de Samba-4.X. # # Por padrão, o esquema de autenticação Negociar não é usada, a menos que um # Programa é especificado. # # Auth_param negociar programa / caminho / para / samba / bin / ntlm_auth - helper-protocol = gss-SPNEGO # # "Crianças" numberofchildren # O número de processos autenticador para desovar. Se você começar demasiado poucos # Lula vai ter de esperar para que um processo de acumulação de credencial # Verificações, abrandando-a para baixo. Quando credencial verificações são # Feito através de um (lento) de rede que são susceptíveis de necessidade de lotes # Autenticador processos. # Auth_param negociar 5 crianças # # "Keep_alive" on | off # Se você tiver problemas com PUT / pedidos POST quando se utiliza a # Negociar esquema de autenticação, então você pode tentar essa definição para # Descolagem. Isto fará com que a força Lula fechar a conexão em # Os pedidos iniciais em que o navegador solicita os regimes que são # Apoiado pelo proxy. # # Auth_param negociar sobre keep_alive # # Configuração mínima recomendada por regime: # auth_param programa <uncomment negociar e concluir esta linha de activate> # auth_param negociar 5 crianças # auth_param negociar sobre keep_alive # auth_param NTLM <uncomment programa e concluir esta linha de activate> # auth_param NTLM 5 crianças # auth_param NTLM keep_alive sobre # auth_param digerir e concluir este programa <uncomment line> # auth_param digerir 5 crianças # auth_param digest realm Squid proxy-caching web server # auth_param digest nonce_garbage_interval 5 minutos # auth_param digest nonce_max_duration 30 minutos # auth_param digest nonce_max_count 50 # auth_param programa básico <uncomment e completa este line> # auth_param básicos crianças 5 # auth_param base realm Squid proxy-caching web server # auth_param base credentialsttl 2 horas # auth_param base casesensitive off # TAG: authenticate_cache_garbage_interval # O período de tempo entre a coleta em todo o cache de usuário. # Este é um tradeoff entre memória utilização (intervalos longos - digamos # 2 dias) e CPU (intervalos curtos - digamos 1 minuto). Só se você mudar # Ter uma boa razão para. # # Default: # Authenticate_cache_garbage_interval 1 hora # TAG: authenticate_ttl # O tempo que um usuário e as suas credenciais para a sua estada no usuário registrado no cache # Desde a sua última solicitação. Quando o intervalo de lixo passa, todos os usuários # Credenciais que passaram os seus TTL são removidos da memória. # # Default: # Authenticate_ttl 1 hora # TAG: authenticate_ip_ttl # Se você usa proxy autenticação eo 'max_user_ip' ACL, esta # Directiva controles Lula se lembra quanto tempo os endereços IP # Associada a cada utilizador. Use um pequeno valor (por exemplo, 60 segundos), se # Seus usuários endereços podem mudar rapidamente, como é o caso da # Dialups. Você pode estar seguro utilizar um valor maior (por exemplo, 2 horas) em um # LAN ambiente corporativo com relativamente estática endereço atribuições. # # Default: # Authenticate_ip_ttl 0 segundo # TAG: authenticate_ip_shortcircuit_ttl # Cache credenciais de autenticação por cliente endereço IP para esta # Tempo. O padrão é 0 segundo (desativado). # # Default: # Authenticate_ip_shortcircuit_ttl 0 segundo # CONTROLES DE ACESSO # ------------------------------------------------- ---------------------------- # TAG: external_acl_type # Essa opção define externas acl aulas usando um programa para auxiliar # Consultar o estado # # External_acl_type nome [opções] FORMAT .. / caminho / para / socorredor [socorredor argumentos ..] # # Opções: # # Ttl = n TTL em segundos para resultados em cache (padrão para 3600 # Durante 1 hora) # Negative_ttl = n # TTL para cache negativa lookups (padrão mesmo # Como ttl) # Filhos n = número de processos spawn para serviço externo acl # Pesquisas deste tipo. (padrão 5). # Concorrente n = concorrente nível por processo. Apenas usado com socorredores # Capaz de processar mais de uma consulta em uma hora. # Nota: ver nota abaixo compatibilidade # Cache resultado n = tamanho do cache, é unbounded 0 (padrão) # Graça = percentagem restante do TTL quando uma atualização de um # Entrada em cache deve ser iniciado sem que seja necessário # Esperar por uma nova resposta. (padrão 0 para nenhum período de carência) # Protocolo = 2,5 modo de compatibilidade para Squid-2.5 externo acl socorredores # # FORMAT especificações # #% LOGIN Authenticated user login #% EXT_USER Usuário externo de acl #% IDENT Ident nome do usuário #% SRC Cliente IP #% SRCPORT Cliente fonte porto #% URI URI solicitado #% DST Solicitada acolhimento #% PROTO Solicitada protocolo #% PORT Solicitada porto #% MÉTODO Pedido método #% MYADDR Squid interface endereço #% MYPORT Squid http_port número #% PATH Solicitado URL-path "(incluindo-query string se houver) #% USER_CERT Usuário certificado SSL em formato PEM #% USER_CERTCHAIN Usuário certificado SSL cadeia em formato PEM #% USER_CERT_xx Usuário certificado SSL sujeito atributo xx #% USER_CA_xx Usuário certificado SSL emitente atributo xx #%) (Cabeçalho HTTP request cabeçalho #% (Hdr: membro) solicitação HTTP cabeçalho lista membro #% (Hdr:; membro) # Solicitação HTTP cabeçalho lista membro usando, como # Lista de separação. ; Pode ser qualquer alfanumérico # Carácter. #% A ACL ACL nome #% DADOS A LCA argumentos. Se não for utilizado então quaisquer argumentos # É automaticamente adicionado ao fim # # Além do que precede, qualquer seqüência especificada no referenciamento # Acl também será incluído no pedido socorredor linha, após o # Formatos especificados (consulte a seção "acl externa" directiva) # # O assistente recebe por linhas acima do formato especificação, # E retorna linhas começando com OK ou ERR indicando a validade # Do pedido e, opcionalmente seguido por outras palavras-chave com # Obter mais detalhes. # # Geral resultado sintaxe: # # OK / ERR keyword = valor ... # # Definido palavras-chave: # # User = Os utilizadores nome (login também entendida) # Password = Os utilizadores senha (para PROXYPASS login = cache_peer) # Mensagem = mensagem de erro ou similares utilizados como% o em mensagens de erro # (Erro também entendida) # Log = Seqüência de ser registrado no access.log. Disponível como #% EA em logformat especificações # # Se protocol = 3.0 (o padrão), em seguida, fugir URL é usado para proteger # Cada valor em ambos os pedidos e respostas. # # Se estiver usando protocolo = 2,5, em seguida, todos os valores devem ser delimitados por aspas # Se podem conter branco, ou o branco escapou usando \. # E cita ou \ caracteres no valor deve ser a palavra-chave \ escapou. # # Quando estiver a utilizar o concorrente = opção do protocolo é alterado pelo # Introduzir uma consulta canal Infront etiqueta do pedido / resposta. # O canal tag query é um número entre 0 e concorrente-1. # # Compatibilidade Nota: As crianças = opção foi nomeado em concorrência = # Squid-2.5.STABLE3 e anteriores, e foi aceite como um alias para o # Duração da lula-2/5 releases para manter a compatibilidade. Contudo, # O significado da concorrência = opção mudou no Squid-2.6 para corresponder # O de Lula-3 e os antigos sintaxe já não funciona. # # Default: # None # TAG: acl # Definir uma lista Acesso # # Todo o acesso lista deve começar com uma definição aclname e acltype, # Seguido por qualquer tipo argumentos específicos ou citou um ficheiro que # São lidos a partir de. # # Acl aclname acltype argumento ... # Acl aclname acltype "arquivo" ... # # Quando usar "arquivo", o arquivo deverá conter um item por linha. # # Por padrão, as expressões regulares são case-sensitive. Para fazer # Eles maiúsculas e minúsculas, use a opção-i. # # Acl aclname src ip-address/netmask ... (clientes endereço IP) # Acl aclname src addr1-addr2/netmask ... (intervalo de endereços) # Acl aclname dst ip-address/netmask ... URL (endereço IP do anfitrião) # Acl aclname myip ip-address/netmask ... (local socket endereço IP) # # Acl aclname arp mac-address ... (xx: xx: xx: xx: xx: xx notação) # # A ACL arp requer especial configurar a opção - enable-arp-acl. # # Além disso, o código não é arp LCA portáteis para todos os sistemas operativos. # # Funciona em Linux, Solaris, FreeBSD e outros * BSD variantes. # # # # NOTA: Lula só pode determinar o endereço MAC de clientes que estão em # # A mesma sub-rede. Se o cliente estiver em uma sub-rede diferente e, em seguida, Lula não pode # # Descobrir seu endereço MAC. # # Acl aclname srcdomain. Foo.com ... # Pesquisa inversa, IP # Acl aclname dstdomain. Foo.com ... # Servidor de destino a partir do URL # Acl aclname srcdom_regex [-i] xxx ... # Regex matching cliente nome # Acl aclname dstdom_regex [-i] xxx ... # Regex matching servidor # # Para dstdomain e dstdom_regex uma pesquisa inversa é tentado se um IP # # Baseado URL é utilizada e nenhuma correspondência for encontrada. O nome "nada" é utilizado # # Se a pesquisa inversa falhar. # # Acl aclname tempo [dia-abbrevs] [h1: m1-h2: m2] # # Dia-abbrevs: # # S - Domingo # # M - Segunda-feira # # T - Terça-feira # # W - Quarta-feira # # H - Quinta-feira # # F - Sexta-feira # # A - Sábado # # H1: m1 deve ser inferior a h2: m2 # Acl aclname url_regex [-i] ^ http:// ... # Regex matching em todo URL # Acl aclname urlpath_regex [-i] \. Gif $ ... # Regex matching on URL path # Acl aclname urllogin [-i] [^ a-zA-Z0-9] ... # Regex matching on URL login campo # Acl aclname porta 80 70 21 ... # Acl aclname porto 0-1024 ... # Gamas permitidas # Acl aclname myport 3128 ... # (Local socket TCP port) # Acl aclname myportname 3128 ... # Http (s) nome _port # Acl aclname proto HTTP FTP ... # Acl aclname método GET POST ... # Acl aclname browser [-i] regexp ... # # Jogo padrão no cabeçalho User-Agent (ver também req_header abaixo) # Acl aclname referer_regex [-i] regexp ... # # Jogo padrão no cabeçalho Referer # # Referer é altamente fiável, por isso use com cuidado # Acl aclname ident usuário ... # Acl aclname ident_regex [-i] padrão ... # # String ident jogo em produção. # # Obrigado a aceitar qualquer uso não-nulo ident. # Acl aclname src_as número ... # Acl aclname dst_as número ... # # Salvo para o controle de acesso, como números podem ser utilizados para # # Encaminhamento dos pedidos de caches específicos. Aqui está um # # Exemplo para todos os pedidos de encaminhamento como # 1241 e apenas # # Aqueles a mycache.mydomain.net: # # Acl asexample dst_as 1241 # # Cache_peer_access mycache.mydomain.net permitir asexample # # Cache_peer_access mycache_mydomain.net negar todos # # Acl aclname proxy_auth [-i] nome_de_usuário ... # Acl aclname proxy_auth_regex [-i] padrão ... # # Lista de usuários válidos # # Uso obrigado a aceitar qualquer usuário válido. # # # # NOTA: quando um cabeçalho Proxy-autenticação é enviada, mas não é # # ACL testes necessários durante o seu nome de usuário não estiver conectado # # No access.log. # # # # NOTA: proxy_auth requer uma autenticação programa EXTERNAS # # Para verificar usuário / senha combinações (ver # # Auth_param directiva). # # # # NOTA: proxy_auth não pode ser utilizado em um proxy transparente como # # O navegador precisa ser configurado para usar um proxy no fim # # Procuração para responder a autenticação. # # Acl aclname snmp_community corda ... # # A corda da comunidade para limitar o acesso ao seu agente SNMP # # Exemplo: # # # # Acl snmppublic snmp_community público # # Acl aclname maxconn número # # Este será compensada quando o endereço IP do cliente tenha # # Mais de <number> conexões HTTP estabelecido. # # Acl aclname max_user_ip [-s] número # # Este será compensada quando o usuário tenta efetuar logon em mais de # # Não <number> diferentes endereços IP. O authenticate_ip_ttl # # Parâmetro controla o tempo sobre o ip entradas. -S # # Se for especificado o limite é rigorosa, negando navega # # A partir de qualquer outro endereço IP até que o TTL expirou. Sem # #-S Lula irá apenas aborrecer o usuário por "acaso" negar os pedidos. # # (O contador é reiniciado cada vez que o limite é atingido e um # # Pedido negado) # # NOTA: no modo de aceleração ou em que há malha de criança proxies, # # Clientes podem parecer vir de vários endereços, se forem # # Passando por procuração fazendas, para um limite de 1 utilizador pode causar problemas. # # Acl aclname req_mime_type mime-type ... # # Regex o jogo contra o tipo de mime do pedido gerado # # Pelo cliente. Pode ser utilizado para detectar arquivos upload ou alguns # # Tipos HTTP tunneling pedidos. # # NOTA: isto não coincidir com a resposta. Você não pode usar esse # # Retornou para corresponder ao tipo de arquivo. # # Acl aclname req_header header-name [-i] qualquer \. Regex \. Aqui # # Regex match contra qualquer um dos cabeçalhos conhecido pedido. Pode ser # # Pensado como um superconjunto do "browser", "referer" e "mime-type" # # ACLs. # # Acl aclname rep_mime_type mime-type ... # # Regex match contra o tipo MIME da resposta recebida por # # Lulas. Pode ser utilizado para detectar algum arquivo ou fazer download # # Tipos HTTP tunneling pedidos. # # NOTA: Isto não tem nenhum efeito no http_access regras. Ele só tem # # Efeito das normas que afetam o fluxo de dados, como resposta # # Http_reply_access. # # Acl aclname rep_header header-name [-i] qualquer \. Regex \. Aqui # # Regex match contra qualquer um dos cabeçalhos resposta conhecida. Pode ser # # Pensado como um superconjunto do "browser", "referer" e "mime-type" # # ACLs. # # # # Exemplo: # # # # Acl many_spaces rep_header Content-Disposition-i [[: space:]] (3,) # # Acl aclname externa class_name [argumentos ...] # # ACL externa através de uma pesquisa socorredor classe definida pelo # # External_acl_type directiva. # # Acl aclname urlgroup group1 ... # # O jogo contra o urlgroup tal como indicado pela redireccionadores # # Acl aclname user_cert atributo valores ... # # Jogo contra o atributos de um usuário certificado SSL # # É um atributo do DN / C / S / CN / L / ST # # Acl aclname ca_cert atributo valores ... # # Jogo contra o atributos usuários emite um certificado SSL CA # # É um atributo do DN / C / S / CN / L / ST # # Acl aclname ext_user usuário ... # Acl aclname ext_user_regex [-i] padrão ... # # String retornada por correspondência sobre usuário externo acl socorredor # # Obrigado a aceitar qualquer uso não-nulo nome de utilizador. # # Exemplos: # acl macaddress arp 09:00:2 b: 23:45:67 # acl myexample dst_as 1241 # acl senha proxy_auth REQUIRED # acl fileupload req_mime_type-i ^ multipart / form-data $ # acl javascript rep_mime_type-i ^ application / x-javascript $ # # Configuração mínima recomendada: acl todos src todos acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0 / 8 # # Exemplo regra permitindo o acesso de sua rede local. # Adaptar a sua lista (interna) de redes IP de onde navega # Deve ser permitida acl localnet src 10.0.0.0 / 8 # RFC1918 possível rede interna acl localnet src 172.16.0.0/12 # RFC1918 possível rede interna acl localnet src 192.168.0.0/16 # RFC1918 possível rede interna # acl SSL_ports port 443 # https acl SSL_ports port 563 # snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # WAIS acl Safe_ports port 1025-65535 # unregistered portos acl Safe_ports port 280 # http-Mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # FileMaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl purge método PURGE acl CONNECT método CONNECT # TAG: http_access # Permitir ou negar o acesso com base em listas acesso definido # # O acesso à porta HTTP: # Http_access permitir | negar [!] Aclname ... # # NOTA sobre os valores padrão: # # Se não existirem "acesso" presentes linhas, o padrão é negar # O pedido. # # Se nenhum dos "acesso" linhas causar uma correspondência, o padrão é o # Oposto da última linha da lista. Se a última linha foi # Negar, o padrão é permitir. Inversamente, se a última linha # É permitir, o padrão será negar. Por estas razões, é um # Boa idéia de ter um "negar tudo" ou "permitir que todos os" a entrada no final # Do seu acesso listas para evitar possíveis confusões. # # Default: # Http_access negar todos # # Configuração mínima recomendada: # # Somente permitir acesso de localhost cachemgr http_access permitir gerente localhost http_access negar gestor # Só permitir purge pedidos de localhost http_access permitir purge localhost http_access negar purge # Negar pedidos de desconhecidos portos http_access negar! Safe_ports # Deny CONNECT para outros portos do que SSL http_access negar CONNECT! SSL_ports # # Nós recomendamos a seguinte uncommented ser para proteger inocentes # Aplicações web a correr no servidor proxy que pensam os únicos # Um quem pode aceder aos serviços on "localhost" é um usuário local # http_access negar to_localhost # # INSERT SEU ESTADO (S) AQUI PARA PERMITIR ACESSO DE SEUS CLIENTES # Exemplo regra permitindo o acesso de sua rede local. # Adaptar localnet na ACL seção para listar sua (interna) de redes IP # Navega a partir de onde deverá ser autorizada # http_access permitir localnet http_access permitir localhost # E finalmente todos os outros negam o acesso a este proxy http_access negar todos # TAG: http_access2 # Permitir ou negar o acesso com base em listas acesso definido # # Idêntica a http_access, mas é executado após redireccionadores. Se não definido # Http_access só então é utilizado. # # Default: # None # TAG: http_reply_access # Permitir respostas às solicitações do cliente. Esta é complementar à http_access. # # Http_reply_access permitir | negar [!] Aclname ... # # NOTA: se não houver acesso linhas presentes, o padrão é permitir que # Todas as respostas # # Se nenhuma das linhas de acesso causar um jogo a frente do # Última linha será aplicada. Assim, é boa prática para pôr fim ao regime # Com um "permitir que todos os" ou "negar tudo" entrada. # # Default: # Http_reply_access permitir que todos os # TAG: icp_access # Permitir ou negar o acesso à porta ICP definidos com base em # Acesso listas # # Icp_access permitir | negar [!] Aclname ... # # Http_access para ver detalhes # # Default: # Icp_access negar todos # # Allow ICP queries a partir de redes locais só icp_access permitir localnet icp_access negar todos # TAG: htcp_access # Permitir ou negar o acesso ao porto HTCP definidos com base em # Acesso listas # # Htcp_access permitir | negar [!] Aclname ... # # Http_access para ver detalhes # # NOTA: O padrão se nenhum htcp_access linhas estão presentes é o de # Negar todo o tráfego. Este padrão pode causar problemas com os pares # Utilizando o htcp ou htcp-oldsquid opções. # # Default: # Htcp_access negar todos # # Deixar HTCP consultas de redes locais só # Htcp_access permitir localnet # Htcp_access negar todos # TAG: htcp_clr_access # Permitir ou Negar acesso a purga conteúdo usando HTCP baseada # Definida no acesso listas # # Htcp_clr_access permitir | negar [!] Aclname ... # # Http_access para ver detalhes # # # Permitir HTCP CLR solicitações de amigos confiáveis # acl htcp_clr_peer src 172.16.1.2 # htcp_clr_access permitir htcp_clr_peer # # Default: # Htcp_clr_access negar todos # TAG: miss_access # Utilize para forçar seus vizinhos a usar-te como um irmão em vez de # Um progenitor. Por exemplo: # # Acl localclients src 172.16.0.0/16 # Miss_access permitir localclients # Miss_access negar! Localclients # # Isto significa somente seus clientes locais estão autorizados a buscar # Misses e todos os outros clientes apenas podem buscar HITS. # # Por omissão, permitir que todos os clientes que passaram a http_access regras # Para buscar Misses de nós. # # Predefinição: # Miss_access permitir que todos os # TAG: ident_lookup_access # Uma lista de ACL elementos que, se for compensada, causar um ident # (RFC931) pesquisa a ser realizada para este pedido. Para # Exemplo, você pode optar por sempre realizar ident lookups # Para o seu principal multi-usuário Unix caixas, mas não para os seus Macs # E PC. Por padrão, ident pesquisas não são realizadas para # Todos os pedidos. # # Para permitir que ident lookups para clientes específicos endereços, você # Pode seguir este exemplo: # # Acl ident_aware_hosts src 198.168.1.0/255.255.255.0 # Ident_lookup_access permitir ident_aware_hosts # Ident_lookup_access negar todos # # Só src tipo ACL controlos são totalmente apoiadas. Um src_domain # ACL poderia funcionar, por vezes, mas ela nem sempre fornecem # O resultado correcto. # # Default: # Ident_lookup_access negar todos # TAG: reply_body_max_size bytes permitir | acl acl negar ... # Esta opção especifica o tamanho máximo de uma resposta do órgão em bytes. # Pode ser usado para impedir que os usuários download de arquivos muito grandes, # Tais como MP3's e filmes. Quando a resposta cabeçalhos são recebidos, # Reply_body_max_size as linhas são processadas, e a primeira linha com # Um resultado de "permitir" é usado como o órgão máximo de tamanho para esta resposta. # Este tamanho é controlado por duas vezes. Em primeiro lugar, quando chegarmos a resposta cabeçalhos, # Nós verificar o conteúdo de comprimento valor. Se o comprimento do conteúdo valor existe # E é maior que o tamanho permitido, o pedido é negado e os # Usuário recebe uma mensagem de erro que diz que "o pedido ou resposta # É muito grande. "Se não existe nenhum conteúdo de comprimento, ea resposta # Tamanho excede esse limite, o cliente da conexão é fechada apenas # E que irão receber uma resposta parcial. # # WARNING: downstream caches provavelmente não pode detectar uma resposta parcial # Se não houver conteúdo cabeçalho de comprimento, então eles irão cache # Respostas parciais, e dar-lhes como hits. Você não deve # Usar esta opção se você tiver jusante caches. # # Se você definir esse parâmetro para zero (o padrão), haverá # Sem limite imposta. # # Default: # Reply_body_max_size 0 permitir que todos os # TAG: authenticate_ip_shortcircuit_access # Acesso lista shortcicuiting determinar quando o processo de autenticação # Baseadas em IP source credentials cached é aceitável. Use isto para negar # Usar o ip auth cache sobre os pedidos de criança procurações ou outra fonte # IP's com vários usuários. # # Default: # None # OPÇÕES PARA X-transmitido-Para # ------------------------------------------------- ---------------------------- # TAG: follow_x_forwarded_for # Permitir ou Negar o X-transmitido-Para cabeçalho a ser seguido para # Encontrar a fonte original de um pedido. # # Os pedidos podem passar através de uma cadeia de vários outros proxies # Antes de chegar a nós. O X-transmitido-Para cabeçalho irá conter um # Lista separada por vírgulas dos endereços IP na cadeia, com a # Rightmost endereço sendo o mais recente. # # Se um pedido chega até nós a partir de uma fonte que seja permitido pela presente # Configuração item, então, consultar o X-transmitido-Por cabeçalho # Para ver onde que recebeu o pedido de acolhimento. Se o # X-transmitido-Para cabeçalho contém vários endereços, e se # Acl_uses_indirect_client é, então nós continuamos backtracking # Até chegarmos a um endereço para o qual não estamos autorizados a # Siga os X-transmitido-Por cabeçalho, ou até chegar ao primeiro # Endereço na lista. (Se acl_uses_indirect_client está desligado e, em seguida, # É impossível voltar atrás através de mais de um nível de # X-transmitido-Para endereços.) # # O resultado final deste processo é um endereço IP que vamos # Se referem como o cliente indirecto endereço. Este endereço pode # Ser tratado como cliente o endereço de controlo de acesso, demora # Piscinas e exploração florestal, em função da acl_uses_indirect_client, # Delay_pool_uses_indirect_client e log_uses_indirect_client # Opções. # # Considerações de segurança: # # Qualquer acolhimento para que siga o X-transmitido-Por cabeçalho # Pode colocar informações incorrectas, no cabeçalho, e Lula # Irá utilizar a informação incorreta, como se fosse o # Endereço de origem do pedido. Isto pode permitir remoto # Hospeda nenhum controle de acesso para contornar restrições que são # Baseada no cliente da fonte endereços. # # Por exemplo: # # Acl localhost src 127.0.0.1 # Acl my_other_proxy srcdomain. Proxy.example.com # Follow_x_forwarded_for permitir localhost # Follow_x_forwarded_for permitir my_other_proxy # # Default: # Follow_x_forwarded_for negar todos # TAG: acl_uses_indirect_client on | off # Controla se o cliente indirecto endereço # (Ver follow_x_forwarded_for) é usado no lugar do # Cliente direto no endereço acl correspondência. # # Default: # Acl_uses_indirect_client sobre # TAG: delay_pool_uses_indirect_client on | off # Controla se o cliente indirecto endereço # (Ver follow_x_forwarded_for) é usado no lugar do # Cliente direto endereço em atraso piscinas. # # Default: # Delay_pool_uses_indirect_client sobre # TAG: log_uses_indirect_client on | off # Controla se o cliente indirecto endereço # (Ver follow_x_forwarded_for) é usado no lugar do # Cliente direto endereço no acesso diário. # # Default: # Log_uses_indirect_client sobre # SSL OPÇÕES # ------------------------------------------------- ---------------------------- # TAG: ssl_unclean_shutdown # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # Alguns navegadores (especialmente MSIE) bugs out sobre SSL desligamento # Mensagens. # # Default: # Ssl_unclean_shutdown off # TAG: ssl_engine # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # O motor para usar OpenSSL. Você precisa definir isto se você # Gostaria de usar SSL aceleração de hardware, por exemplo. # # Default: # None # TAG: sslproxy_client_certificate # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # Cliente certificado SSL para usar quando proxy https: / / URLs # # Default: # None # TAG: sslproxy_client_key # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # Cliente Chave SSL para usar quando proxy https: / / URLs # # Default: # None # TAG: sslproxy_version # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # SSL versão nível para usar quando proxy https: / / URLs # # Default: Sslproxy_version # 1 # TAG: sslproxy_options # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # Opções para utilizar SSL motor quando proxy https: / / URLs # # Default: # None # TAG: sslproxy_cipher # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # SSL cifra lista para usar quando proxy https: / / URLs # # Default: # None # TAG: sslproxy_cafile # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # Arquivo contendo certificados CA para utilizar na verificação servidor # Certificados enquanto proxy https: / / URLs # # Default: # None # TAG: sslproxy_capath # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # Diretório que contém certificados CA para utilizar na verificação # Certificados de servidor proxy, enquanto https: / / URLs # # Default: # None # TAG: sslproxy_flags # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # Vários pavilhões, que altera o uso de SSL, enquanto proxy https: / / URLs: # DONT_VERIFY_PEER Aceitar certificados, mesmo que não consigam # Verificar. # NO_DEFAULT_CA Não use o padrão CA lista construída em # Para OpenSSL. # # Default: # None # TAG: sslpassword_program # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # Especifique um programa usado para entrar SSL chave passphrases # Quando usando codificado certificado SSL chaves. Se não for especificado # Chaves devem ser ou não criptografada, ou Lula começou com a N - # Opção, para permitir a consulta interactiva para a frase-chave. # # Default: # None # REDE DE OPÇÕES # ------------------------------------------------- ---------------------------- # TAG: http_port # Uso: porto [opções] # Hostname: porta [opções] # 1.2.3.4: port [opções] # # O soquete endereços onde Lula vai ouvir por HTTP cliente # Pedidos. Você pode especificar socket múltiplos endereços. # Existem três formas: porta sozinho, hostname com porta, e # Endereço IP com a porta. Se você especificar um nome de host ou IP # Endereço, Lula liga para o socket que específica # Endereço. Este substitui o antigo "tcp_incoming_address' # Opção. Provavelmente, você não precisa se ligar a um determinado # Endereço, assim que você pode utilizar o número da porta sozinho. # # Se você estiver executando o Squid no acelerador modo, você # Provavelmente quer escutar na porta 80 também, ou em alternativa. # # A-I da linha de comando opção irá sobrepor-se ao primeiro * * porto # Aqui especificado. # # Você pode especificar socket múltiplos endereços em várias linhas. # # Opções: # # Transparente transparente intercepção de Apoio à # Cessante pedidos sem as configurações do navegador. # # Tproxy suporte para Linux TPROXY spoofing cessante # Conexões usando endereço IP do cliente. # # Accel Accelerator modo. Veja também as relacionadas vhost, # Vport e defaultsite directivas. # # Defaultsite = nome_do_domínio # O que deve ser utilizado para a anfitriã: cabeçalho se ele não estiver presente # Em um pedido. Determina o local (não origem servidor) # Aceleradores deve considerar o padrão. # Defaults to visible_hostname: porto, se não definido # Pode ser combinada com vport = NN para substituir o número da porta. # Implies acel. # # Vhost Accelerator usando modo de cabeçalho de host para a virtual # Domínio apoio. Implica acel. # # Vport Acelerador com IP virtual baseada acolhimento apoio. # Implies acel. # # Vport = NN Como acima, mas usa número de porta especificado bastante # Http_port do que o número. Implica acel. # # Permitir-direta Permitir transmissão directa no acelerador modo. Normalmente # Acelerado pedidos negado transmissão directa, uma vez que # Never_direct foi utilizado. # # Urlgroup = Default urlgroup para pedidos com a marca (ver # Acl urlgroup e também url_rewrite_program) # # Protocol = protocolo para reconstruir acelerado com os pedidos. # Defaults to http. # # Não-conexão-auth # Evitar a transmissão da Microsoft orientado conexão # Autenticação (NTLM, Negociar e Kerberos) # # Agir-como-origem # Se esta lei, se Lula é o servidor de origem. # Este actualmente significa gerar próprio Data: e # Expires: cabeçalhos. Implica acel. # # Http11 Ativa HTTP/1.1 suporte a clientes. The HTTP/1.1 # Apoio ainda está incompleta com um interno HTTP/1.0 # Hop, mas que deve funcionar com a maioria dos clientes. O principal # HTTP/1.1 características ausentes devido a essa transmissão é # Utilizando blocos de pedidos transferência codificação (resultados # Em 411) e encaminhamento de respostas 1xx (silenciosamente # Baixaram) # # Name = Especifica um nome interno para o porto. Padrões para # Especificação do porto (porto ou addr: port) # # KeepAlive [= ocioso, intervalo de tempo] # Ativar TCP KeepAlive sondas de ocioso conexões # Ociosa é a primeira vez antes TCP inicia sondagem # A conexão, intervalo de quantas vezes a sonda, e # Tempo ao tempo antes de desistir. # # Se você executar o Squid em uma máquina dual-homed com um interno # E uma interface externa, recomendamos que você especifique o # Interno endereço: porto em http_port. Desta forma Lula só será # Visível no endereço interno. # # Squid normalmente ouve a porta 3128 http_port 3128 # TAG: https_port # Nota: Esta opção só está disponível se Lula é reconstruída com a # - Enable-ssl opção # # Uso: [IP]: porto cert = certificate.pem [key = key.pem] [opções ...] # # O endereço onde soquete Squid irá escutar HTTPS para clientes # Pedidos. # # Isto é realmente útil apenas para as situações em que você está executando # Squid no acelerador e de modo que você deseja fazer o trabalho no SSL # Acelerador nível. # # Você pode especificar socket múltiplos endereços em várias linhas, # Cada um com seu próprio certificado SSL e / ou opções. # # Opções: # # Para além das opções especificadas para http_port o folling # SSL relacionados opções é suportado: # # Cert = Caminho para certificado SSL (PEM format). # # Key = Caminho a chave privada SSL arquivo (formato PEM) # Se não for especificado, o arquivo está certificado # Assume-se um certificado e combinado # Ficheiro chave. # # Version = A versão de SSL / TLS apoiados # 1 automático (padrão) # 2 SSLv2 apenas # 3 SSLv3 apenas # 4 TLSv1 apenas # # Cipher = Colon separados lista de cifras. # # Várias opções = SSL motor opções. O mais importante # Sendo: # NO_SSLv2 Bloquear o uso de SSLv2 # NO_SSLv3 Bloquear o uso de SSLv3 # NO_TLSv1 Bloquear o uso de TLSv1 # SINGLE_DH_USE Sempre crie uma nova chave quando se utiliza # Temporária / efêmero DH chave intercâmbios # Veja src / ssl_support.c ou OpenSSL SSL_CTX_set_options # Documentação para obter uma lista completa de opções. # # Clientca = arquivo que contém a lista de CAs de usar quando # Requerente um certificado de cliente. # # ArquivoCA = Arquivo contendo adicionais certificados CA para # Poderá utilizar o cliente ao verificar certificados. Se unset # Clientca será utilizado. # # Capath = Diretório contendo adicionais certificados CA # LCR e listas a utilizar na verificação cliente certificados. # # Crlfile = Ficheiro adicional de LCR listas a utilizar na verificação # O certificado de cliente, além de LCR armazenados em # O capath. Implica VERIFY_CRL bandeira abaixo. # # Dhparams = arquivo contendo os parâmetros para DH temporário / efêmero # DH principais bolsas de valores. # # Sslflags = Vários pavilhões modificar o uso de SSL: # DELAYED_AUTH # Não cliente solicitar certificados # Imediato, mas aguarde até acl transformação # Exige um certificado (ainda não implementado). # NO_DEFAULT_CA # Não use o padrão CA listas construído em # Para OpenSSL. # NO_SESSION_REUSE # Não permitir a sessão reutilização. Cada conexão # Irá resultar em uma nova sessão SSL. # VERIFY_CRL # Verificar CRL listas quando aceitando cliente # Certificados. # VERIFY_CRL_ALL # Verificar CRL listas para todos os certificados no # Cliente certificado cadeia. # # Sslcontext sessão SSL ID = contexto identificador. # # # Default: # None # TAG: tcp_outgoing_tos # Permite que você selecione um TOS / Diffserv valor à marca cessante # Ligações com, baseado no nome de usuário ou endereço fonte # Fazer o pedido. # # Tcp_outgoing_tos ds-campo [!] Aclname ... # # Exemplo normal_service_net quando utiliza o valor TOS 0x00 # E good_service_net usa 0x20 # # Acl normal_service_net src 10.0.0.0/255.255.255.0 # Acl good_service_net src 10.0.1.0/255.255.255.0 # Tcp_outgoing_tos 0x00 normal_service_net # Tcp_outgoing_tos 0x20 good_service_net # # TOS / DSCP valores realmente só tem significado local - assim que você deve # Sei que você está precisando. Para mais informações, consulte RFC2474 e # RFC3260. # # O TOS / DSCP byte deve ser exatamente isso - um octeto valor de 0-255, ou # "Padrão" para utilizar o padrão tem o seu anfitrião. Note-se que em # Prática muitas vezes, apenas valores de 0-63 pode ser usado como os dois maiores bits # Foram redefinidas para uso por REC (RFC3168). # # Processamento receitas na ordem especificada, e pára na primeira plenamente # Correspondência linha. # # Nota: O uso desta directiva usando cliente está dependente ACLs # Incompatível com a utilização do lado do servidor ligações persistentes. Para # Garantir resultados corretos, é melhor para definir server_persisten_connections # Para fora quando se utiliza esta directiva, em tais configurações. # # Default: # None # TAG: tcp_outgoing_address # Permite mapear os pedidos de saída diferentes endereços IP # Baseado no nome de usuário ou endereço de origem do usuário fazer # O pedido. # # Tcp_outgoing_address end_ip [[!] Aclname] ... # # Exemplo de que os pedidos serão encaminhados 10.0.0.0/24 # Com a fonte endereço 10.1.0.1, 10.0.2.0/24 enviada com # Fonte endereço 10.1.0.2 eo resto será enviado com # Fonte endereço 10.1.0.3. # # Acl normal_service_net src 10.0.0.0/24 # Acl good_service_net src 10.0.1.0/24 10.0.2.0/24 # Tcp_outgoing_address 10.1.0.1 normal_service_net # Tcp_outgoing_address 10.1.0.2 good_service_net # Tcp_outgoing_address 10.1.0.3 # # Processamento receitas na ordem especificada, e pára na primeira plenamente # Correspondência linha. # # Nota: O uso desta directiva usando cliente está dependente ACLs # Incompatível com a utilização do lado do servidor ligações persistentes. Para # Garantir resultados corretos, é melhor para definir server_persistent_connections # Para fora quando se utiliza esta directiva, em tais configurações. # # Default: # None # TAG: zph_mode # Esta opção permite a marcação de pacotes nível HIT / MISS respostas, # Usando IP TOS ou soquete prioridade. # Off Feature deficientes # TOS Defina o campo IP TOS Defina a prioridade # socket prioridade (pode chegar a TOS mapeados pelo SO, # Outro utilizável apenas em locais rulesets) # # Veja também tcp_outgoing_tos para mais detalhes / exigências sobre TOS uso. # # Default: # Zph_mode off # TAG: zph_local # Permite que você selecione um TOS / Diffserv / Prioridade valor para marcar locais hits. # Padrão: 0 (desativado). # # Default: # Zph_local 0 # TAG: zph_sibling # Permite que você selecione um TOS / Diffserv / Prioridade valor a marca sibling hits. # Padrão: 0 (desativado). # # Default: # Zph_sibling 0 # TAG: zph_parent # Permite que você selecione um TOS / Diffserv / Prioridade valor a marca-mãe hits. # Padrão: 0 (desativado). # # Default: # Zph_parent 0 # TAG: zph_option # A opção IP para usar quando zph_mode é definido como "opção". Padrões para # 136, que é oficialmente registadas como "SATNET Stream ID". # # Default: # Zph_option 136 # OPÇÕES que afectam a vizinha SELECÇÃO ALGORITMO # ------------------------------------------------- ---------------------------- # TAG: cache_peer # Para especificar outros esconderijos em uma hierarquia, utilize o formato: # # Cache_peer hostname tipo http-porta icp-porto [opções] # # Por exemplo, # # # Proxy icp # # Hostname tipo porto porto opções # # -------------------- -------- ----- ----- ---------- -- # Cache_peer parent.foo.net progenitor 3128 3130 proxy-only padrão # Cache_peer sib1.foo.net sibling 3128 3130 proxy-only # Cache_peer sib2.foo.net sibling 3128 3130 proxy-only # # Tipo: ou 'mãe', 'irmão', ou 'multicast'. # # Proxy-port: O número da porta onde o cache ouve por procuração # Pedidos. # # Icp-port: Usado para pesquisar vizinho sobre caches # Objetos. Para que um não-ICP neighbor # Especificar'7 'para a ICP porta e certifique-se que o # Neighbor máquina tem a porta UDP echo # Ativado no seu ficheiro / etc / inetd.conf. # NOTA: Também exige icp_port opção habilitado para enviar / receber # Solicitações através deste método. # # Opções: proxy-only # Peso = n # Ttl = n # Não-query # Default # Round-robin # Carpa # Multicast-respondedor # Multicast-irmãos # Mais próximo de apenas # Não-digerir # Não-netdb-troca # Sem demora # Login = usuário: senha | PASS | *: senha # Connect-timeout = nn # Digeri-url = url # Permitir-miss # Max-conn = n # Htcp # Htcp-oldsquid # Originserver # Userhash # Sourcehash # Name = xxx # Monitorurl url = # Monitorsize = sizespec # Monitorinterval = segundos # Monitortimeout = segundos # Forceddomain = nome # Ssl # Sslcert = / caminho / para / ssl / certificado # Sslkey = / caminho / para / ssl / chave # Sslversion = 1 | 2 | 3 | 4 # Sslcipher =... # Ssloptions =... # Front-end-https [= on | auto] # Conexão-auth = [on | off | auto] # Idle = n # Http11 # # Use 'proxy-only' para especificar objetos buscados # Deste cache não devem ser guardados localmente. # # Use 'weight = n' para influenciar a selecção de um parceiro # Durante qualquer ponderada peer-selecção mecanismos. # O peso deve ser um número inteiro, por defeito é 1, # Maiores pesos são mais favorecidos. # Esta opção não afecta mãe selecção se um peering # Protocolo não estiver em uso. # # Use 'ttl = n' para especificar um IP multicast TTL para uso # Quando envia uma ICP consultas para este endereço. # Apenas útil quando o envio de um grupo multicast. # Porque não aceitam respostas de ICP aleatória # Anfitriões, você deve configurar outros membros do grupo como # Pares com o 'multicast-responder' opção abaixo. # # Use 'no-query "para não enviar ICP às consultas a este # Vizinho. # # Use 'default' se esta é uma mãe que pode cache # Ser utilizado como um "último recurso," se um parceiro não pode ser localizada # Por qualquer das par-selecção mecanismos. # Se especificado mais de uma vez, só o primeiro é utilizado. # # Use 'round-robin ", para definir um conjunto de pais que # Deve ser utilizado em um round-robin no # Falta de ICP queries. # # Use "carpa", para definir um conjunto de pais que devem # Ser utilizado como um CARP array. Os pedidos serão # Distribuído entre os pais com base na carga CARP # Balanceamento função hash com base em seu peso. # # 'Multicast-responder' indica que o chamado peer # É um membro de um grupo multicast. ICP consultas serão # Não serão enviados directamente para o parceiro, mas ICP respostas # Serão aceitas a partir dele. # # O 'multicast-irmãos "opção se destina a ser utilizado # Só para cache pares do tipo "multicast". Ele instrui # Lula que todos os membros deste grupo têm multicast # "Irmão" relacionamento com ele, e não "mãe". Isto é # Uma otimização que evita inúteis multicast queries # Para um grupo multicast, quando o objeto solicitado seria # Ser obtida apenas a partir de uma "mãe" cache, de qualquer maneira. É # Útil, por exemplo, ao configurar um pool de redundante # Squid proxies, que são membros da mesma # Multicast grupo. # # 'Mais próximo de apenas "indica que, para ICP_OP_MISS # Respostas, vamos apenas transmitir CLOSEST_PARENT_MISSes # E nunca FIRST_PARENT_MISSes. # # Use 'não digerir' a pedido NÃO cache digere a partir de # Este vizinho. # # "Não-netdb-troca 'desativa solicitando ICMP # RTT dados (NetDB), a partir do vizinho. # # Use 'não demora "para impedir o acesso a este vizinho # De influenciar o atraso piscinas. # # Use 'login = usuário: senha' se esta é uma pessoal / workgroup # Proxy e seu pai proxy exige autenticação. # Nota: A seqüência pode incluir URL escapes (ou seja, 20% para # Espaços). Isto significa também deve ser escrito como%%%. # # Use 'login = PASS "se os usuários devem autenticar contra # A montante proxy ou no caso de um proxy reverso # Configuração, a origem do servidor da web. Isso vai passar # As credenciais de usuários como eles são para o peer. # Nota: Para combinar com este local a autenticação básica # Esquema de autenticação devem ser utilizados, e ambos os servidores devem # Compartilhar a mesma base de dados como HTTP usuário apenas permite a # Um login único (para um proxy, um servidor de origem). # Também será avisada esta irá expor seus usuários proxy # Senha para o peer. USAR COM CUIDADO # # Use 'login =*: senha' para passar o nome de usuário para o # Montante cache, mas com um valor fixo senha. Isto se entende # Para ser utilizada quando o peer está noutro administrativa # Domínio, mas ainda é necessária para identificar cada usuário. # A estrela pode opcionalmente ser seguido por alguns extras # Informação que é adicionado ao nome do usuário. Isto pode # Ser usado para identificar este proxy para os pares, semelhante ao # O login = usuário: senha opção acima. # # Use 'connect-timeout = nn' para especificar um peer # Específicas ligar Timeout (ver também o # Peer_connect_timeout directiva) # # Use 'digerir-url = url' para dizer Squid para buscar o cache # Digerir (se digere estão ativados) para este acolhimento de # O URL especificado e não o Lula por omissão # Local. # # Use 'permitir-miss' para desabilitar o uso de apenas Pota-se-cache # Ao enviarem os pedidos de irmãos. Trata-se essencialmente # Icp_hit_stale útil quando é utilizada pelo irmão. Para # Extenso uso desta opção pode resultar em transmissão # Loops, e você deve evitar ter dois sentidos peerings # Com esta opção. (por exemplo, para negar o uso em pares # Pedidos a partir de pares por cache_peer_access se negando a # Fonte é um peer) # # Use 'max-conn = n' para limitar a quantidade de ligações Lulas # Pode abrir a este ponto. # # Use 'htcp' para enviar HTCP, em vez de ICP, consultas # Para o vizinho. Você provavelmente também querem # Define o "icp porta" para 4827 em vez de 3130. # Você também deve permitir que este htcp_access e Lulas # Http_access no pares Squid configuração. # # Use 'htcp-oldsquid' para enviar HTCP às antigas versões Lulas # Você também deve permitir que este htcp_access e Lulas # Http_access no pares Squid configuração. # # 'Originserver "causas desta mãe de ser contactado pelos pares como # Um servidor de origem. Concebida para ser utilizada no acelerador configurações. # # Use 'userhash "a carga de equilíbrio entre uma série de pais # Baseada no cliente ou proxy_auth ident usuário. # # Use 'sourcehash "a carga de equilíbrio entre uma série de pais # Baseada no cliente fonte ip. # # Use 'name = xxx' se você tem múltiplos pares no mesmo # Acolhimento, mas diferentes portos. Este nome pode ser utilizado para # Diferenciar os seus pares nos cache_peer_access e similares # Directivas. # # Use 'monitorurl url = "para que periodicamente um dado pedido # URL a partir do posto, e apenas considerar a peer como vivo # Se esse acompanhamento for bem sucedida (padrão nenhum) # # Use 'monitorsize min = [-max]' para limitar o tamanho leque de # 'Monitorurl' respostas consideradas válidas. Padrões de 0 a # Aceitar qualquer tamanho como respostas válidas. # # Use 'monitorinterval = segundos "para alterar a freqüência de # Quantas vezes os pares é monitorado com "monitorurl ' # (Padrão 300 para um intervalo de 5 minutos). Se estiver definido para 0 # Então monitorização está desabilitado, mesmo que um URL é definido. # # Use 'monitortimeout = segundos' para alterar o tempo limite de # 'Monitorurl'. Defaults to 'monitorinterval'. # # Use '= forceddomain nome «força para definir o cabeçalho de host N º de pedidos enviados a este ponto. Útil no acelerador # Configurações onde o servidor (peer) espera um certo domínio # Nome, utilizando redirecionadores para alimentar este nome de domínio # Não é viável. # # Use 'ssl' para indicar ligações a este ponto deve # Ser SSL / TLS criptografados. # # Use 'sslcert = / caminho / para / ssl / certificado' para indicar um cliente # Certificado SSL para usar quando conectar a esse ponto. # # Use 'sslkey = / caminho / para / ssl / chave' para especificar o privado SSL # Tecla correspondente ao sslcert acima. Se 'sslkey' não é # Especificado 'sslcert' é assumido como uma referência # Combinado arquivo contendo tanto o certificado como a chave. # # Use sslversion = 1 | 2 | 3 | 4 para especificar a versão SSL para usar # Ao se conectar a esse ponto # 1 = automático (padrão) # 2 = SSL v2 só # 3 = SSL v3 só # 4 = TLS v1 apenas # # Use sslcipher =... para especificar a lista de SSL válido Cifras # Para usar quando conectar a esse ponto. # # Use ssloptions =... SSL para especificar várias opções de motores: # NO_SSLv2 Bloquear o uso de SSLv2 # NO_SSLv3 Bloquear o uso de SSLv3 # NO_TLSv1 Bloquear o uso de TLSv1 # Veja src / ssl_support.c ou a documentação do OpenSSL # Uma lista mais completa. # # Use sslcafile =... para especificar um arquivo contendo # Adicionais certificados CA para utilizar na verificação da # Pares certificado. # # Use sslcapath =... para especificar um diretório que contenha # Adicionais certificados CA para utilizar na verificação da # Pares certificado. # # Use sslcrlfile =... para especificar um certificado revogação # Lista ficheiros a utilizar quando se verificar a peer certificado. # # Use sslflags =... para especificar vários pavilhões, que altera o # Implementação SSL: # DONT_VERIFY_PEER # Aceitar certificados, mesmo que não consigam # Verificar. # NO_DEFAULT_CA # Não use o padrão CA lista construída em # Para OpenSSL. # # Use ssldomain = para especificar os pares nome como publicidade # No seu certificado. Usado para verificar a exactidão # Dos pares receberam certificado. Se não for especificado o # Pares hostname será utilizado. # # Poderá utilizar o front-end-https para permitir que a "Front-End-Https: On" # Cabeçalho necessários quando se utiliza SSL Squid como um frontend em frente # Da Microsoft OWA. Ver documento MS KB Q307347 para obter detalhes # Sobre este cabeçalho. Se estiver definido para o cabeçalho será automática # Só será adicionado se o pedido é enviado como uma https: / / # URL. # # Usar conexão-auth = off Lula para dizer que este ponto não # Não suporta o Microsoft ligação orientada para autenticação, # E quaisquer desafios recebidos de lá deve ser # Ignorado. O padrão é automática para determinar automaticamente o # Estado do posto. # # Uso ocioso = n para especificar um número mínimo de ocioso conexões # Que deve ser mantida em aberto a este ponto. # # Http11 utilizar para enviar os pedidos utilizando HTTP/1.1 a este ponto. # Nota: O apoio HTTP/1.1 é ainda incompleta, com uma # Interno HTTP/1.0 hop. Como resultado 1xx respostas não serão # Ser enviada. # # Default: # None # TAG: cache_peer_domain # Use a limitar os domínios para os quais um cache vizinho será # Queried. Uso: # # Cache_peer_domain cache-host domínio [domínio ...] # Cache_peer_domain cache-hospedeiro! Domínio # # Por exemplo, especificando # # Cache_peer_domain parent.foo.net. Edu # # Tem o efeito que essa consulta UDP pacotes são enviados para # 'Bigserver "apenas quando o objeto solicitado existe numa # Servidor no domínio. Edu. Prefixing o nome de domínio # Com "!" significa que o cache será consultado para objetos # NÃO nesse domínio. # # NOTA: * Qualquer número de domínios pode ser concedida por um cache-hospedeiro, # Quer sobre o mesmo ou linhas separadas. # * Quando múltiplos domínios são dadas para um determinado # Cache-hospedeiro, a primeira correspondência domínio é aplicada. # * Cache hosts sem domínio restrições são consultadas # Para todas as solicitações. # * Não há nenhum padrão. # * Existe também uma 'cache_peer_access' tag na ACL # Secção. # # Default: # None # TAG: cache_peer_access # Similares a "cache_peer_domain", mas dá mais flexibilidade ao # ACL utilizando elementos. # # Cache_peer_access cache-host permitir | negar [!] Aclname ... # # A sintaxe é idêntica a "http_access" e as outras listas de # ACL elementos. Veja os comentários de "http_access" abaixo, ou # O Squid FAQ (http://www.squid-cache.org/FAQ/FAQ-10.html). # # Default: # None # TAG: neighbor_type_domain # Uso
Comentários
Nenhum comentário foi encontrado.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Enviar mensagem ao usuário trabalhando com as opções do php.ini
Meu Fork do Plugin de Integração do CVS para o KDevelop
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Compartilhamento de Rede com samba em modo Público/Anônimo de forma simples, rápido e fácil
Cups: Mapear/listar todas as impressoras de outro Servidor CUPS de forma rápida e fácil
Criando uma VPC na AWS via CLI
Tópicos
Falta pacotes de suporte ao sistema de arquivos (Gerenciador de discos... (2)
Enzo quer programar mas não faz código pra não bugar (12)
Erro de Montagem SSD Nvme (12)
WebScrapping através de screenshot devido a bloqueios de Shadow DOM (1)
Top 10 do mês
-
Xerxes
1° lugar - 69.199 pts -
Fábio Berbert de Paula
2° lugar - 50.020 pts -
Renato Michnik de Carvalho
3° lugar - 27.311 pts -
Mauricio Ferrari
4° lugar - 14.996 pts -
Alberto Federman Neto.
5° lugar - 14.734 pts -
Daniel Lara Souza
6° lugar - 13.488 pts -
Diego Mendes Rodrigues
7° lugar - 12.691 pts -
Buckminster
8° lugar - 12.518 pts -
edps
9° lugar - 12.249 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 11.220 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
