|
|
www.lissyara.su
—> статьи
—> FreeBSD
—> программы
—> frox
установка ftp прокси-сервера FROX
Автор: lissyara.
Прокси-сервер - это программа, которая принимает запросы пользователя и устанавливает соединение за него. Бывают прозрачные и непрозрачные прокси-серверы. Непрозрачный прокси - это тот, о котором нужно знать, чтобы установить соединение, и для того, чтобы им воспользоваться нужно знать его настройки (адрес, порт, возможно пароль). Запросы идут непосредственно к прокси. Прозрачный прокси сервер невидим для пользователя. Т.е. клиент пытается установить соединение с сервером в интернете (http, www, etc...), но на шлюзе тем или иным способом запросы клиента переадресуются на прокси, который и устанавливает соединение с запрашиваемым сервером. Из плюсов прозрачного проксирования - на клиентской машине не нужно делать вообще никаких настроек - достаточно указать шлюз по-умолчанию, адрес DNS-сервера - и всё работает. Из минусов - на нём нельзя организовать авторизацию пользователей (по крайней мере так у squid`a, являющегося образцом для всех остальных). Плюс обоих видов прокси сервера - в том, что если какой-то файл (а html страничка в конечном счёте - тоже файл, даже если она генерится при запросе, она же может быть сохранена) был один раз запрошен, то при повторном запросе его же прокси сервер шлёт коротенький запрос 304 - была ли она изменена, если нет, то он отдаёт страницу из собственного кэша, чем экономится траффик и ускоряется работа инета (причём ускоряется реально - у меня дома под столом стоит машина с 4.11 фряхой, squid и frox. Я как-то на своём десктопе, под форточками, устанавливал кучу софта на FreeBSD в VmWare. А их у меня там три штуки - так вот на первой он честно всё качал из инета, я заколебался ждать, а на остальных скорость скачивания была 3-4 мегабайта в секунду - отдавали из кэша squid, если файл был по http, или frox, если по ftp. Кстати линия у меня 160 кбит/с - это чуть больше 20-ти килобайт в секунду. Экономия времени получилась приличная, в сумме ему было качать почти 200 мегов...)
Итак. frox - ftp прокси сервер. Может быть как прозрачным, так и непрозрачным.
— Встроенная проверка на вирусы (внешним антивирусом, встроенная в том смысле, что это стандартная опция конфига и не надо плясать с бубном чтобы её привернуть, как у сквида - хотя и для последнего, вроде бы, скоро, icap будет встроенный....)
— Может запускаться сам, а может через inetd (к сожалению в последнем случае функция кэширования не работает, из плюсов остаётся только антивирь).
— ACL (Access Control Lists) - можно настроить кому куда можно, и кому можно вообще.
— Поддержка внешнего редиректора, как в squid (в конфиге так и написано - что идея взята именно из него) - т.е. если что-то не удаётся сделать в конфиге, можно написать свой редиректор, который будет например подменять файлы - чтоб всякую дрянь, типа кино не качали :)
Короче много чего может :). Самое хорошее - внятный и понятный конфиг. Из косяков, на мой взгляд, тока два - первое - не может работать на 127.0.0.1 (его приходится вешать на адрес внутренней сетки), и второе - антивирус при проверке запускается заново для каждого файла. Это особенно актуально на слабых машинах, если файлов много - ждать по 4 секунды (на моём P-I 166MMX) на файл размером в пару килобайт - это вешалка.... На более современных машинах это всё конечно много быстрей, но всё равно медленно. В итоге на работе антивирусная проверка ftp-траффика включена, а вот дома - нет.
Ставить будем из портов.
/root/>cd /usr/ports/ftp/frox
/usr/ports/ftp/frox/>make && make install && make clean
| Вылезает синенькое окошко с опциями, где выбираем то, что нам нужно. Я выбрал:
VIRUS_SCAN
LOCAL_CACHE
CCP
Если Вы пользуютесь ipfilter - то надо выбрать и эту строчку, я же пользуюсь IPFW, поэтому мне она не нужна. Зависимости у него "стандартные", если конечно можно так выразиться:
expat-1.95.8_3
gettext-0.14.5
gmake-3.80_2
libiconv-1.9.2_1
Если до этого что-то из портов ставилось - то всё это уже стоит. Если нет - сам притащит. Чем и хороши порты :). Версия самого его на этот момент: frox-0.7.18
Редактируем /usr/local/etc/frox.conf - только изначальное его нет, надо его скопировать из дефолтового конфига:
/usr/ports/ftp/frox/>cd /usr/local/etc/
/usr/local/etc/>cp frox.conf.sample frox.conf
/usr/local/etc/>ee frox.conf
| У меня он такой (естественно комментарии все убраны, как и неиспользуемые опции, для краткости и наглядности), для использования прозрачного проксирования:
Listen 192.168.0.254
Port 2121
User nobody
Group nogroup
WorkingDir /tmp/frox
DontChroot Yes
LogLevel 25
LogFile /var/log/frox.log
PidFile /var/run/frox.pid
APConv yes
BounceDefend yes
CacheModule local
CacheSize 400
MinCacheSize 1
VirusScanner '"/usr/local/bin/clamscan" "-i" "%s"'
VSOK 0
VSProgressMsgs 30
MaxForks 10
MaxForksPerHost 4
ACL Allow * - *
| Если собираетесь использовать антивирусную проверку - то надо установить ClamAV или другой антивирус который будете использовать. Тут я описывать это не буду, т.к. настроек никаких особенных нет, просто отошлю к этой статье, там всё подробно расписано. Что касается остальных настроек - смотрите сам сам файл конфигурации - там много комментариев.
Добавляем в /etc/rc.conf строку frox_enable="YES" и запускаем frox:
/usr/local/etc/>cd rc.d
/usr/local/etc/rc.d/>./frox.sh start
Starting frox.
/usr/local/etc/rc.d/>Sat Sep 3 22:59:07 2005 frox[88879] Forked to background
/usr/local/etc/rc.d/>
| После чего добавляем такую строчку в файрволл, до natd, там же где и squid:
${FwCMD} add fwd ${IpIn},2121 tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}
где:
FwCMD="/sbin/ipfw" - бинарник ipfw с путём
IpIn="192.168.0.254" - внутренний IP сервака
NetIn="192.168.0.0" - внутренняя сеть
NetMask="24" - маска внутренней сети
LanOut="fxp0" - внешний интерфейс
Вот и всё. Можно пользоваться.
P.S. Насчёт антивирусной проверки - попробуйте, если скорость устроит, то пользуйтесь. У меня была идея написать скриптик на перле, который ему подсовывать вместо антивируса в строке
VirusScanner '"/usr/local/bin/clamscan" "-i" "%s"', а вот скриптик уже бы скармливал файлы clamd висящему в памяти постоянно. Но - нету времени и перл я не очень хорошо знаю :( Если реализуете - напишите. Ценный скриптик был бы :)
P.S.2 У FROX есть ещё одна проблема - если папка на удалённом сервере названа по русски - на неё не войти...
P.S.3 (2005-11-24) Я прикрутил clamd к frox. Правда убил на это весь день, но всё-таки. Смысл, в общем такой - в конфиге меняем строчку антивирусной программы, должна быть такая
VirusScanner '"/usr/local/bin/clamdscan" "--quiet" "%s"'
| затем выясняем от кого кто у нас работает:
/usr/local/etc/>ps -axj | grep clam
clamav 57255 1 57255 c4569dc0 0 Ss ?? 0:00.01 /usr/local/sbin/clamd
/usr/local/etc/exim/>ps -axj | grep frox
lissyara 63164 29190 29190 c44cc080 1 RV p0 0:00.00 grep frox (csh)
nobody 59762 1 59761 c3808ec0 0 I p1 0:00.00 frox
nobody 59763 59762 59761 c3808ec0 0 I p1 0:00.02 frox
nobody 59765 59762 59761 c3808ec0 0 I p1 0:00.01 frox
/usr/local/etc/>
| Выясняется, что они работают от разных пользователей. Надо сделать одного. Мне показалось проще перевести ClamAV на пользователя nobody. Это было ошибкой. На него было слишком много завязано. Тогда вернул всё как было, а вот FROX стал запускать от пользователя clamav, заодно надо поменять права на директорию где хранится его кэш:
/usr/local/etc/>chown -R clamav:clamav /tmp/frox
/usr/local/etc/>killall -9 frox
/usr/local/etc/>killall -9 frox
No matching processes were found
/usr/local/etc/>rc.d/frox.sh restart
| В итоге всё заработало. Выигрыш в быстродействии - едва ли не на порядок, особенно при копировании мелких файлов - раньше шёл запуск clamav на каждый файл, а теперь их проверяет постоянно висящий в памяти clamd.
|
размещено: 2005-09-03,
последнее обновление: 2005-11-24,
автор: lissyara
|
|
|
|
2014-07-27, lissyara
gmirror
Удалённое создание софтверного зеркала средствами gmirror, на диске разбитом с использованием gpart. Использование меток дисков для монтирования разделов.
2013-08-20, zentarim
Scan+Print server FreeBSD 9
Настройка сервера печати и сервера сканирования под управлением операционной системы FreebSD 9 для МФУ Canon PIXMA MP540
2011-11-20, BlackCat
Разъём на WiFi-карту
Делаем съёмной несъёмную антену на WiFi-карте путём установки ВЧ-разъёма
2011-09-14, manefesto
Настройка git+gitosis
Настройка системы контроля версия исходного кода в связке git+gitosis+ssh
2011-08-14, zentarim
Wi-FI роутер + DHCP + DNS
Настройка Wi-Fi роутера на Freebsd 8 + DNS сервер + DHCP сервер: чтобы Wi-Fi клиенты были в одной подсети с проводными, проводные и беспроводные клиенты получали адреса автоматически по DHCP, кэширующ
2011-06-15, -ZG-
Охранная система на FreeBSD+LPT
В этой статье описана попытка реализации простой охранной системы на базе FreeBSD с подключением к ней охранных устройтсв на LPT порт и видеорегистрацией.
2011-03-13, terminus
ng_nat
Описание работы ng_nat, практическое использование, достоинства и недостатки в сравнении с ipfw nat
2011-02-20, Капитан
Nagios+Digitemp
Статья описывает создание системы оповещения о превышении температуры в специальных помещениях на основе Nagios с использованием программы Digitemp.
2011-02-17, Le1
Zyxel Configuration
Скрипт для массового изменения конфига свичей Zyxel. Берет из файла iplist список ip-шек, заходит последовательно на каждый и выполняет комманды из файла commands, записывая происходящее в лог файл.
2011-02-16, fox
hast carp zfs ucarp cluster
HAST (Highly Available Storage), CARP, UCARP, ZFS, Cluster настройка и одаптация плюс личные размышления…
2011-02-04, BlackCat
Восстановление ZFS
История о том, как был восстановлен развалившийся RAIDZ ZFS-пул (перешедший в FAULTED) с помощью скотча и подручных средств. Или о том, какие приключения ожидают тех, кто не делает резервных копий.
2011-02-03, Капитан
1-Wire
Статья описывает самостоятельное изготовление контроллера DS9097 для съёма показаний с датчиков температуры DS1820 с помощью программы Digitemp.
2011-01-28, Капитан
Температура в серверной
Статья описывает построение системы наблюдения за температурой в помещении серверной с использованием программы Digitemp и выводом графиков в MRTG
2011-01-21, m4rkell
Syslog server
Как то буквально на днях, у нас завалилось, что то в еве) или не в еве не суть. Суть в том, что когда захотели снять логи с хостов esx обнаружили, что хранят эти негодяи логии только за последнии сутк
2011-01-07, lissyara
Canon/gphotofs
Монтирование цифровых фотоаппаратов Canon (PTP) как файловой системы, автоматизация этого процесса через события devd и внешние скрипты.
2010-12-13, Al
IPSec
Описание принципов работы IPSEC и способов аутентификации.
|
Комментарии пользователей [13 шт.]