Директивы(TAG) Squid
Добавлено: 11 ноя 2017, 21:42
Источник: http://break-people.ru/cmsmade/?page=tr ... _reference
Директивы(TAG) Squid
squid.conf - главный конфигурационный файл прокси-сервера Squid. Мы сделали полный перевод этого файла, но счастье наших посетителей было бы не полным, без списочного состава директив из этого файла. Поэтому ниже мы распологаем в алфавитном порядке, все теги(директивы) из переведенного нами squid.conf.
accept_filter
access_log
acl
acl_uses_indirect_client
adaptation_access
adaptation_masterx_shared_names
adaptation_meta
adaptation_send_client_ip
adaptation_send_username
adaptation_service_chain
adaptation_service_iteration_limit
adaptation_service_set
adaptation_uses_indirect_client
adapted_http_access
allow_underscore
always_direct
announce_file
announce_host
announce_period
announce_port
append_domain
as_whois_server
auth_param
authenticate_cache_garbage_interval
authenticate_ip_ttl
authenticate_ttl
background_ping_rate
balance_on_multiple_ip
broken_posts
broken_vary_encoding
buffered_logs
cache
cache_dir
cache_dns_program
cache_effective_group
cache_effective_user
cache_log
cache_mem
cache_mgr
cache_miss_revalidate
cache_peer
cache_peer_access
cache_peer_domain
cache_replacement_policy
cache_store_log
cache_swap_high
cache_swap_low
cache_swap_state
cache_vary
cachemgr_passwd
check_hostnames
chroot
client_db
client_delay_access
client_delay_initial_bucket_level
client_delay_parameters
client_delay_pools
client_dst_passthru
client_idle_pconn_timeout
client_ip_max_connections
client_lifetime
client_netmask
client_persistent_connections
client_request_buffer_max_size
clientside_mark
clientside_tos
configuration_includes_quoted_values
collapsed_forwarding
connect_retries
connect_timeout
coredump_dir
cpu_affinity_map
dead_peer_timeout
debug_options
delay_access
delay_class
delay_initial_bucket_level
delay_parameters
delay_pool_uses_indirect_client
delay_pools
deny_info
detect_broken_pconn
digest_bits_per_entry
digest_generation
digest_rebuild_chunk_percentage
digest_rebuild_period
digest_rewrite_period
digest_swapout_chunk_size
diskd_program
dns_children
dns_defnames
dns_multicast_local
dns_nameservers
dns_retransmit_interval
dns_testnames
dns_timeout
dns_v4_first
ecap_enable
ecap_service
email_err_data
emulate_httpd_log
err_html_text
err_page_stylesheet
error_directory
error_map
esi_parser
eui_lookup
extension_methods
external_acl_type
follow_x_forwarded_for
force_request_body_continuation
forward_log
forward_max_tries
forward_timeout
forwarded_for
fqdncache_size
ftp_client_idle_timeout
ftp_eprt
ftp_epsv
ftp_epsv_all
ftp_list_width
ftp_passive
ftp_sanitycheck
ftp_telnet_protocol
ftp_user
global_internal_static
half_closed_clients
header_access
header_replace
hierarchy_stoplist
high_memory_warning
high_page_fault_warning
high_response_time_warning
hostname_aliases
hosts_file
htcp_access
htcp_clr_access
htcp_port
http_access
http_access2
http_port
http_reply_access
httpd_accel_no_pmtu_disc
httpd_suppress_version_string
https_port
icon_directory
icp_access
icp_hit_stale
icp_port
icp_query_timeout
ident_lookup_access
ident_timeout
ie_refresh
ignore_unknown_nameservers
incoming_dns_average
incoming_http_average
incoming_icp_average
ipcache_high
ipcache_low
ipcache_size
location_rewrite_access
location_rewrite_children
location_rewrite_concurrency
location_rewrite_program
log_access
log_fqdn
log_icp_queries
log_ip_on_direct
log_mime_hdrs
log_uses_indirect_client
logfile_rotate
logformat
mail_from
mail_program
max_open_disk_fds
maximum_icp_query_timeout
maximum_object_size
maximum_object_size_in_memory
maximum_single_addr_tries
mcast_groups
mcast_icp_query_timeout
mcast_miss_addr
mcast_miss_encode_key
mcast_miss_port
mcast_miss_ttl
memory_pools
memory_pools_limit
memory_replacement_policy
mime_table
min_dns_poll_cnt
min_http_poll_cnt
min_icp_poll_cnt
minimum_direct_hops
minimum_direct_rtt
minimum_expiry_time
minimum_icp_query_timeout
minimum_object_size
miss_access
negative_dns_ttl
negative_ttl
neighbor_type_domain
netdb_high
netdb_low
netdb_ping_period
never_direct
nonhierarchical_direct
offline_mode
pconn_timeout
peer_connect_timeout
persistent_connection_after_error
persistent_request_timeout
pid_filename
pinger_program
pipeline_prefetch
positive_dns_ttl
prefer_direct
query_icmp
quick_abort
range_offset_limit
read_ahead_gap
read_timeout
redirector_bypass
referer_log
refresh_pattern
refresh_stale_hit
relaxed_header_parser
reload_into_ims
reply_body_max_size
reply_header_max_size
request_body_max_size
request_entities
request_header_max_size
request_timeout
retry_on_error
server_persistent_connections
short_icon_urls
shutdown_lifetime
sleep_after_fork
snmp_access
snmp_incoming_address
snmp_outgoing_address
snmp_port
ssl_engine
ssl_unclean_shutdown
sslpassword_program
sslproxy_cafile
sslproxy_capath
sslproxy_cipher
sslproxy_client_certificate
sslproxy_client_key
sslproxy_flags
sslproxy_options
sslproxy_version
store_avg_object_size
store_dir_select_algorithm
store_objects_per_bucket
strip_query_terms
tcp_outgoing_address
tcp_outgoing_tos
tcp_recv_bufsize
test_reachability
udp_incoming_address
udp_outgoing_address
umask
unique_hostname
unlinkd_program
uri_whitespace
url_rewrite_access
url_rewrite_children
url_rewrite_concurrency
url_rewrite_host_header
url_rewrite_program
useragent_log
vary_ignore_expire
via
visible_hostname
wccp2_address
wccp2_assignment_method
wccp2_forwarding_method
wccp2_rebuild_wait
wccp2_return_method
wccp2_router
wccp2_service
wccp2_service_info
wccp2_weight
wccp_address
wccp_router
wccp_version
--------------------------------------------------------------------------------------------------------------------------------------
TAG: accept_filter
Этот тэг предназначен для указания используемого фильтра новых соединений.
Для FreeBSD: Этот тэг является специфическим для FreeBSD и требует включение его поддержки в ядре.
Фильтр 'httpready' приостанавливает создание новых соединений к Squid до тех пор пока не будет получен полный HTTP запрос от клиента. Смотри man accf_http(9) для подробностей.
Фильтр 'dataready' приостанавливает создание новых соединений к Squid до тех пор пока идет обработка получаемых данных. Смотри man accf_dataready(9) для подробностей.
Для Linux:
Фильтр 'data' приостанавливает создание новых соединений к Squid до тех пор пока идет обработка получаемых данных. Вы можете указать время ожидания, просто задав 'data=N', где N - количество секунд. По умолчанию, 30 секунд. Смотри man tcp(7) для подробностей.
Пример:
accept_filter httpready
accept_filter data
По умолчанию:
none
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
TAG: access_log
Этот тэг определяет местоположение журнала access.log в который будет производится запись клиентской активности. Каждая строка содержит HTTP или ICP запрос.
Формат:
access_log <filepath> [<logformat name> [acl acl ...]]
access_log none [acl acl ...]]
Этот тэг позволяет использовать механизм ACL при записи в журнал. Если ни один ACL не указан, следовательно все поступившие запросы будут записаны в журнал.
Для отключения функции ведения журнала, укажите вместо <filepath> значение "none".
Для записи в журнал через syslog, укажите путь к "syslog":
access_log syslog[:facility.priority] [format [acl1 [acl2 ....]]]
где facility может быть одним из:
authpriv, daemon, local0 .. local7 or user.
priority может быть одним из:
err, warning, notice, info, debug.
По умолчанию:
access_log /usr/local/squid/logs/access.log squid
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
TAG: acl
Этот тэг позволяет задавать ACL. Ниже представлены типы ACL и краткие описания к каждому из них(на что нацелены). acl aclname acltype string1 ...
acl aclname acltype "file" ...
Когда используется "file", то файл должен содержать не более одного правила на строку.
acltype - тип ACL
По умолчанию, регулярные выражения РЕГИСТРОЗАВИСИМЫ. Для того, чтобы сделать регулярное выражение регистронезависимым используйте опцию -i .
acl aclname src ip-address/netmask ...
Проверяет IP адрес клиента. Как пользоваться?
acl aclname src addr1-addr2/netmask ...
Проверяет диапазон IP адресов клиента. Как пользоваться?
acl aclname dst ip-address/netmask ...
Проверяет IP адрес URL хоста.
acl aclname myip ip-address/netmask ...
Проверяет локальный IP адрес.
acl aclname arp mac-address ...
Проверяет xx:xx:xx:xx:xx:xx MAC адрес.
Примечание: Тип arp ACL доступен если Squid скомпилирован с опцией --enable-arp-acl Кроме того, ACL типа arp поддерживают не все операционные системы. Это работает на Linux, Solaris FreeBSD и некоторых других *BSD системах.
Примечание: Squid может определить MAC адреса клиентов из одной подсети. Если же клиенты будут из разных подсетей, тогда Squid не сможет определить MAC адрес клиента.
acl aclname srcdomain .foo.com ...
Проверяет имя хоста клиента.
acl aclname dstdomain .foo.com ...
Проверяет имя хоста сервера назначения. Как пользоваться?
acl aclname srcdom_regex [-i] xxx ...
Регулярное выражение для хоста клиента
acl aclname dstdom_regex [-i] xxx ...
Регулярное выражение для сервера назначения
Типы ACL dstdomain и dstdom_regex используют имена хостов. Если же URL адрес задан через IP(например, 195.33.72.33), то будет автоматически произведена замена его на имя хоста связанное с этим IP(например на yandex.ru), используя DNS. И к уже к найденному имени хоста будет применен ACL.
acl aclname time [day-abbrevs] [h1:m1-h2:m2]
Проверяет день недели и время. Как пользоваться?
Аббревиатуры дней:
S - Воскресенье
M - Понедельник
T - Вторник
W - Среда
H - Четверг
F - Пятница
A - Суббота
h1:m1 должно быть меньше h2:m2
acl aclname url_regex [-i] ^http:// ...
Регулярное выражение вбирающее в себя все URL адреса. Как пользоваться?
acl aclname urlpath_regex [-i] \.gif$ ...
Регулярное выражение проверяющее URL путь(все, что после имени хоста в URL)
acl aclname urllogin [-i] [^a-zA-Z0-9] ...
Регулярное выражение проверяющее поле URL login.
acl aclname port 80 70 21 ...
Проверяет порт назначения. Как пользоваться?
acl aclname port 0-1024 ...
Диапазон портов. Как пользоваться?
acl aclname myport 3128 ...
Локальный TCP порт
acl aclname proto HTTP FTP ...
Проверяет протокол. Как пользоваться?
acl aclname method GET POST ...
Проверяет метод доступа
acl aclname browser [-i] regexp ...
Проверяет заголовок User-Agent (смотри также req_header). Как пользоваться?
acl aclname referer_regex [-i] regexp ...
Проверяет заголовок Referer. Referer очень ненадежен, поэтому используйте с осторожностью
acl aclname ident username ...
acl aclname ident_regex [-i] pattern ...
Проверяет выходные данные ident. Используйте REQUIRED для принятия не пустых ident строк.
acl aclname src_as number ...
acl aclname dst_as number ...
# # ======= осталось без перевода ================================
# # Except for access control, AS numbers can be used for
# # routing of requests to specific caches. Here's an
# # example for routing all requests for AS#1241 and only
# # those to mycache.mydomain.net:
# # acl asexample dst_as 1241
# # cache_peer_access mycache.mydomain.net allow asexample
# # cache_peer_access mycache_mydomain.net deny all
# # ======= осталось без перевода ================================
acl aclname proxy_auth [-i] username ...
acl aclname proxy_auth_regex [-i] pattern ...
Список прокси пользователей.
Примечание: Когда заголовок Proxy-Authentication(Прокси аутентификации) отправлен, но не используется в ACL, то такая запись вносится в access.log
Примечание: proxy_auth требует программу внешней(External) аутентификации для проверки пары username/password(логин/пароль). Смотри директиву auth_param.
Примечание: proxy_auth не работает при прозрачном проксировании. Браузер должен быть настроен на использование прокси, чтобы аутентификация работала.
acl aclname snmp_community string ...
Строка для ограничения доступа SNMP community
Пример:
acl snmppublic snmp_community public
acl aclname maxconn number
Этот ACL проверяет количество HTTP сессий клиента. И не дает открыть ему больше чем <number> подключений
acl aclname max_user_ip [-s] number
Этот ACL проверяет количество различных IP адресов, с которого пользователь может пройти аутентификацию одновременно. Директива authenticate_ip_ttl определяет время действия аутентификации пользователя с конкретного IP адреса. По истечению этого времени, пользователь с этого IP должен будет пройти аутентификацию вновь. Аргумент -s означает, что при достижении числа number, будет невозможно подключится с любого другого IP адреса, пока ttl текущей аутентификации какого-либо IP адреса не истечет.
Примечание: в режиме acceleration или при использовании нескольких child прокси, клиенты могут приходить с множества IP адресов если они идут через 2-3 прокси сервера, тогда ограничение в 1 IP адрес на клиента, может вызвать проблемы.
acl aclname req_mime_type mime-type1 ...
Регулярное выражение проверяющее mime тип клиентского запроса. Может быть использовано для определения отправки файлов или HTTP туннелирования.
Примечание: Этот ACL не проверяет ответ от сервера на запрос клиента.
acl aclname req_header header-name [-i] any\.regex\.here
Регулярное выражение проверяющее заголовки запросов. Например, может использоватся для блокирования доступа некоторых браузеров.
acl aclname rep_mime_type mime-type1 ...
Регулярное выражение проверяющее mime тип ответа от сервера. Может быть использовано для определения скачивания файла или HTTP туннелирования.
Примечание: Этот ACL не действует в правилах для http_access. Этот ACL имеет эффект в правилах, которые работают с ответами от сервера, такими как http_reply_access.
acl aclname rep_header header-name [-i] any\.regex\.here
Регулярное выражение проверяющее заголовки ответов от сервера.
Пример:
acl many_spaces rep_header Content-Disposition -i [[:space:]]{3,}
acl acl_name external class_name [arguments...]
Внешние ACL используемые вспомогательными программами(скриптами) должны быть перед использованием описаны директивой external_acl_type.
acl urlgroup group1 ...
Проверяет urlgroup используемую редиректорами
acl aclname user_cert attribute values...
Проверяет атрибуты в пользовательском сертификате SSL. Атрибутом может быть один из DN/C/O/CN/L/ST
acl aclname ca_cert attribute values...
Проверяет атрибуты выдавшего SSL сертификат. Атрибутом может быть один из DN/C/O/CN/L/ST
acl aclname ext_user username ...
acl aclname ext_user_regex [-i] pattern ...
Проверяет имя пользователя, которое вернул внешний ACL скрипт. Используйте REQUIRED, для принятия любого не пустого имени пользователя.
Примеры:
#acl macaddress arp 09:00:2b:23:45:67
#acl myexample dst_as 1241
#acl password proxy_auth REQUIRED
#acl fileupload req_mime_type -i ^multipart/form-data$
#acl javascript rep_mime_type -i ^application/x-javascript$
Рекомендуемый минимум:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
TAG: acl_uses_indirect_client on|off
Примечание: Этот тэг доступен только, если Squid скомилирован с опцией -DFOLLOW_X_FORWARDED_FOR
Этот тэг определяет, может ли использоватся косвенный адрес клиента как настоящий адрес клиента в ACL.
По умолчанию:
acl_uses_indirect_client on
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
TAG: adaptation_access
Этот тэг доступен только если Squid скомпилирован с опциями --enable-ecap или --enable-icap-client.
Этот тэг разрешает или запрещает согласно ACL, отправку HTTP транзакций(HTTP запрос или ответ) к ICAP или eCAP сервису.
Примечание break-people.ru: ICAP или eCAP сервис это программное обеспечение которое предназначено для выполнения некоторого преобразования HTTP запроса(ответа) перед его отправкой на сервер или после его получения. Например, пользователь запрашивает некоторую страницу, которая наполнена рекламой. ICAP сервис, может производить обработку полученного от сервера ответа и убирать рекламу, перед тем как отдать ответ пользователю. Также ICAP сервис может модифицировать HTTP запрос перед отправкой его на сервер. ICAP и eCAP созданы для использования в прозрачных прокси-серверах. Подробнее читай RFC 3507
Использование:
adaptation_access service_name allow|deny [!]aclname... adaptation_access set_name allow|deny [!]aclname...
Проверка HTTP запроса(ответа) на попадание в ACL, производится в том порядке, как они следуют в файле сверху вниз (как обычно в Squid).
Следующие ICAP cервисы, игнорируются (без проверки ACL):
- сервисы предоставляющие несколько видов преобразований запроса;
- не работающие сервисы;
- сервисы, которые сконфигурированы игнорировать ICAP запросы (на основе заголовка ICAP Transfer-Ignore)
Для указания множества ICAP сервисов в одной строке используй set_name. Смотри adaptation_service_set для подробностей.
Если ACL сработал, то процессинг останавливается. Для правила allow, HTTP запрос(ответ) будет отправлен указанному ICAP сервису в adaptation_access. Если deny, то HTTP запрос(ответ) не отправляется указанному ICAP сервису.
На текущий момент, невозможно применить более чем одно преобразование через ICAP сервис, для одного HTTP-запроса(ответа). Смотри также: icap_service и ecap_service
Пример:
adaptation_access service_1 allow all
По умолчанию:
none
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
TAG: adaptation_masterx_shared_names
Этот тэг доступен только если Squid скомпилирован с опциями --enable-ecap или --enable-icap-client.
Для каждой master-транзакции (например, HTTP запрос или ответ включая связанные ICAP и eCAP сообщения), Squid создает таблицу с метаданными. Эта таблица содержит пары(name, value) тип транзакции и значение . Эта таблица уничтожается вместе с уничтожением master-транзакции.
Этот тэг указывает какие типы транзакций Squid будет принимать и перенаправлять на обработку ICAP или eCAP сервисам.
Пример:
adaptation_masterx_shared_names X-Subscriber-ID
По умолчанию:
none
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
TAG: adaptation_meta
Этот тэг доступен только если Squid скомпилирован с опциями --enable-ecap или --enable-icap-client.
Этот тэг позволяет администратору добавлять пользовательский ICAP заголовок или eCAP опции к ICAP запросам или eCAP транзакциям.
В тэге можно указывать ACL: adaptation_meta name value [!]aclname ... Только один пользовательский заголовок может быть добавлен. Проверка на ACL производится сверху вниз. Применяется первое сработавшее правило, соответственно, вот почему может быть добавлен только один пользовательский заголовок. Если ни одно правило не сработало, то никакой заголовок не добавляется по умолчанию.
Например:
# отключить отладку транзакций, кроме тех которые требуют отладки
adaptation_meta X-Debug 1 needs_debugging
# записывать все транзакции кроме тех, которые являются конфиденциальными
adaptation_meta X-Log 1 !keep_secret
# маркировка транзакций от пользователей "G 1" группы
adaptation_meta X-Authenticated-Groups "G 1" authed_as_G1
"value" может быть числом или строкой заключенной в двойные кавычки.
По умолчанию:
none
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
TAG: adaptation_send_client_ip
Этот тэг доступен только если Squid скомпилирован с опциями --enable-ecap или --enable-icap-client.
Если включено, Squid отсылает IP клиента, сервису ICAP или eCAP.
Для ICAP, Squid добавляет заголовок X-Client-IP к ICAP запросу.
Для eCAP, Squid устанавливает опцию libecap::metaClientIp в транзакцию.
Смотри также: adaptation_uses_indirect_client
По умолчанию:
adaptation_send_client_ip off
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
Директивы(TAG) Squid
squid.conf - главный конфигурационный файл прокси-сервера Squid. Мы сделали полный перевод этого файла, но счастье наших посетителей было бы не полным, без списочного состава директив из этого файла. Поэтому ниже мы распологаем в алфавитном порядке, все теги(директивы) из переведенного нами squid.conf.
accept_filter
access_log
acl
acl_uses_indirect_client
adaptation_access
adaptation_masterx_shared_names
adaptation_meta
adaptation_send_client_ip
adaptation_send_username
adaptation_service_chain
adaptation_service_iteration_limit
adaptation_service_set
adaptation_uses_indirect_client
adapted_http_access
allow_underscore
always_direct
announce_file
announce_host
announce_period
announce_port
append_domain
as_whois_server
auth_param
authenticate_cache_garbage_interval
authenticate_ip_ttl
authenticate_ttl
background_ping_rate
balance_on_multiple_ip
broken_posts
broken_vary_encoding
buffered_logs
cache
cache_dir
cache_dns_program
cache_effective_group
cache_effective_user
cache_log
cache_mem
cache_mgr
cache_miss_revalidate
cache_peer
cache_peer_access
cache_peer_domain
cache_replacement_policy
cache_store_log
cache_swap_high
cache_swap_low
cache_swap_state
cache_vary
cachemgr_passwd
check_hostnames
chroot
client_db
client_delay_access
client_delay_initial_bucket_level
client_delay_parameters
client_delay_pools
client_dst_passthru
client_idle_pconn_timeout
client_ip_max_connections
client_lifetime
client_netmask
client_persistent_connections
client_request_buffer_max_size
clientside_mark
clientside_tos
configuration_includes_quoted_values
collapsed_forwarding
connect_retries
connect_timeout
coredump_dir
cpu_affinity_map
dead_peer_timeout
debug_options
delay_access
delay_class
delay_initial_bucket_level
delay_parameters
delay_pool_uses_indirect_client
delay_pools
deny_info
detect_broken_pconn
digest_bits_per_entry
digest_generation
digest_rebuild_chunk_percentage
digest_rebuild_period
digest_rewrite_period
digest_swapout_chunk_size
diskd_program
dns_children
dns_defnames
dns_multicast_local
dns_nameservers
dns_retransmit_interval
dns_testnames
dns_timeout
dns_v4_first
ecap_enable
ecap_service
email_err_data
emulate_httpd_log
err_html_text
err_page_stylesheet
error_directory
error_map
esi_parser
eui_lookup
extension_methods
external_acl_type
follow_x_forwarded_for
force_request_body_continuation
forward_log
forward_max_tries
forward_timeout
forwarded_for
fqdncache_size
ftp_client_idle_timeout
ftp_eprt
ftp_epsv
ftp_epsv_all
ftp_list_width
ftp_passive
ftp_sanitycheck
ftp_telnet_protocol
ftp_user
global_internal_static
half_closed_clients
header_access
header_replace
hierarchy_stoplist
high_memory_warning
high_page_fault_warning
high_response_time_warning
hostname_aliases
hosts_file
htcp_access
htcp_clr_access
htcp_port
http_access
http_access2
http_port
http_reply_access
httpd_accel_no_pmtu_disc
httpd_suppress_version_string
https_port
icon_directory
icp_access
icp_hit_stale
icp_port
icp_query_timeout
ident_lookup_access
ident_timeout
ie_refresh
ignore_unknown_nameservers
incoming_dns_average
incoming_http_average
incoming_icp_average
ipcache_high
ipcache_low
ipcache_size
location_rewrite_access
location_rewrite_children
location_rewrite_concurrency
location_rewrite_program
log_access
log_fqdn
log_icp_queries
log_ip_on_direct
log_mime_hdrs
log_uses_indirect_client
logfile_rotate
logformat
mail_from
mail_program
max_open_disk_fds
maximum_icp_query_timeout
maximum_object_size
maximum_object_size_in_memory
maximum_single_addr_tries
mcast_groups
mcast_icp_query_timeout
mcast_miss_addr
mcast_miss_encode_key
mcast_miss_port
mcast_miss_ttl
memory_pools
memory_pools_limit
memory_replacement_policy
mime_table
min_dns_poll_cnt
min_http_poll_cnt
min_icp_poll_cnt
minimum_direct_hops
minimum_direct_rtt
minimum_expiry_time
minimum_icp_query_timeout
minimum_object_size
miss_access
negative_dns_ttl
negative_ttl
neighbor_type_domain
netdb_high
netdb_low
netdb_ping_period
never_direct
nonhierarchical_direct
offline_mode
pconn_timeout
peer_connect_timeout
persistent_connection_after_error
persistent_request_timeout
pid_filename
pinger_program
pipeline_prefetch
positive_dns_ttl
prefer_direct
query_icmp
quick_abort
range_offset_limit
read_ahead_gap
read_timeout
redirector_bypass
referer_log
refresh_pattern
refresh_stale_hit
relaxed_header_parser
reload_into_ims
reply_body_max_size
reply_header_max_size
request_body_max_size
request_entities
request_header_max_size
request_timeout
retry_on_error
server_persistent_connections
short_icon_urls
shutdown_lifetime
sleep_after_fork
snmp_access
snmp_incoming_address
snmp_outgoing_address
snmp_port
ssl_engine
ssl_unclean_shutdown
sslpassword_program
sslproxy_cafile
sslproxy_capath
sslproxy_cipher
sslproxy_client_certificate
sslproxy_client_key
sslproxy_flags
sslproxy_options
sslproxy_version
store_avg_object_size
store_dir_select_algorithm
store_objects_per_bucket
strip_query_terms
tcp_outgoing_address
tcp_outgoing_tos
tcp_recv_bufsize
test_reachability
udp_incoming_address
udp_outgoing_address
umask
unique_hostname
unlinkd_program
uri_whitespace
url_rewrite_access
url_rewrite_children
url_rewrite_concurrency
url_rewrite_host_header
url_rewrite_program
useragent_log
vary_ignore_expire
via
visible_hostname
wccp2_address
wccp2_assignment_method
wccp2_forwarding_method
wccp2_rebuild_wait
wccp2_return_method
wccp2_router
wccp2_service
wccp2_service_info
wccp2_weight
wccp_address
wccp_router
wccp_version
--------------------------------------------------------------------------------------------------------------------------------------
TAG: accept_filter
Этот тэг предназначен для указания используемого фильтра новых соединений.
Для FreeBSD: Этот тэг является специфическим для FreeBSD и требует включение его поддержки в ядре.
Фильтр 'httpready' приостанавливает создание новых соединений к Squid до тех пор пока не будет получен полный HTTP запрос от клиента. Смотри man accf_http(9) для подробностей.
Фильтр 'dataready' приостанавливает создание новых соединений к Squid до тех пор пока идет обработка получаемых данных. Смотри man accf_dataready(9) для подробностей.
Для Linux:
Фильтр 'data' приостанавливает создание новых соединений к Squid до тех пор пока идет обработка получаемых данных. Вы можете указать время ожидания, просто задав 'data=N', где N - количество секунд. По умолчанию, 30 секунд. Смотри man tcp(7) для подробностей.
Пример:
accept_filter httpready
accept_filter data
По умолчанию:
none
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
TAG: access_log
Этот тэг определяет местоположение журнала access.log в который будет производится запись клиентской активности. Каждая строка содержит HTTP или ICP запрос.
Формат:
access_log <filepath> [<logformat name> [acl acl ...]]
access_log none [acl acl ...]]
Этот тэг позволяет использовать механизм ACL при записи в журнал. Если ни один ACL не указан, следовательно все поступившие запросы будут записаны в журнал.
Для отключения функции ведения журнала, укажите вместо <filepath> значение "none".
Для записи в журнал через syslog, укажите путь к "syslog":
access_log syslog[:facility.priority] [format [acl1 [acl2 ....]]]
где facility может быть одним из:
authpriv, daemon, local0 .. local7 or user.
priority может быть одним из:
err, warning, notice, info, debug.
По умолчанию:
access_log /usr/local/squid/logs/access.log squid
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
TAG: acl
Этот тэг позволяет задавать ACL. Ниже представлены типы ACL и краткие описания к каждому из них(на что нацелены). acl aclname acltype string1 ...
acl aclname acltype "file" ...
Когда используется "file", то файл должен содержать не более одного правила на строку.
acltype - тип ACL
По умолчанию, регулярные выражения РЕГИСТРОЗАВИСИМЫ. Для того, чтобы сделать регулярное выражение регистронезависимым используйте опцию -i .
acl aclname src ip-address/netmask ...
Проверяет IP адрес клиента. Как пользоваться?
acl aclname src addr1-addr2/netmask ...
Проверяет диапазон IP адресов клиента. Как пользоваться?
acl aclname dst ip-address/netmask ...
Проверяет IP адрес URL хоста.
acl aclname myip ip-address/netmask ...
Проверяет локальный IP адрес.
acl aclname arp mac-address ...
Проверяет xx:xx:xx:xx:xx:xx MAC адрес.
Примечание: Тип arp ACL доступен если Squid скомпилирован с опцией --enable-arp-acl Кроме того, ACL типа arp поддерживают не все операционные системы. Это работает на Linux, Solaris FreeBSD и некоторых других *BSD системах.
Примечание: Squid может определить MAC адреса клиентов из одной подсети. Если же клиенты будут из разных подсетей, тогда Squid не сможет определить MAC адрес клиента.
acl aclname srcdomain .foo.com ...
Проверяет имя хоста клиента.
acl aclname dstdomain .foo.com ...
Проверяет имя хоста сервера назначения. Как пользоваться?
acl aclname srcdom_regex [-i] xxx ...
Регулярное выражение для хоста клиента
acl aclname dstdom_regex [-i] xxx ...
Регулярное выражение для сервера назначения
Типы ACL dstdomain и dstdom_regex используют имена хостов. Если же URL адрес задан через IP(например, 195.33.72.33), то будет автоматически произведена замена его на имя хоста связанное с этим IP(например на yandex.ru), используя DNS. И к уже к найденному имени хоста будет применен ACL.
acl aclname time [day-abbrevs] [h1:m1-h2:m2]
Проверяет день недели и время. Как пользоваться?
Аббревиатуры дней:
S - Воскресенье
M - Понедельник
T - Вторник
W - Среда
H - Четверг
F - Пятница
A - Суббота
h1:m1 должно быть меньше h2:m2
acl aclname url_regex [-i] ^http:// ...
Регулярное выражение вбирающее в себя все URL адреса. Как пользоваться?
acl aclname urlpath_regex [-i] \.gif$ ...
Регулярное выражение проверяющее URL путь(все, что после имени хоста в URL)
acl aclname urllogin [-i] [^a-zA-Z0-9] ...
Регулярное выражение проверяющее поле URL login.
acl aclname port 80 70 21 ...
Проверяет порт назначения. Как пользоваться?
acl aclname port 0-1024 ...
Диапазон портов. Как пользоваться?
acl aclname myport 3128 ...
Локальный TCP порт
acl aclname proto HTTP FTP ...
Проверяет протокол. Как пользоваться?
acl aclname method GET POST ...
Проверяет метод доступа
acl aclname browser [-i] regexp ...
Проверяет заголовок User-Agent (смотри также req_header). Как пользоваться?
acl aclname referer_regex [-i] regexp ...
Проверяет заголовок Referer. Referer очень ненадежен, поэтому используйте с осторожностью
acl aclname ident username ...
acl aclname ident_regex [-i] pattern ...
Проверяет выходные данные ident. Используйте REQUIRED для принятия не пустых ident строк.
acl aclname src_as number ...
acl aclname dst_as number ...
# # ======= осталось без перевода ================================
# # Except for access control, AS numbers can be used for
# # routing of requests to specific caches. Here's an
# # example for routing all requests for AS#1241 and only
# # those to mycache.mydomain.net:
# # acl asexample dst_as 1241
# # cache_peer_access mycache.mydomain.net allow asexample
# # cache_peer_access mycache_mydomain.net deny all
# # ======= осталось без перевода ================================
acl aclname proxy_auth [-i] username ...
acl aclname proxy_auth_regex [-i] pattern ...
Список прокси пользователей.
Примечание: Когда заголовок Proxy-Authentication(Прокси аутентификации) отправлен, но не используется в ACL, то такая запись вносится в access.log
Примечание: proxy_auth требует программу внешней(External) аутентификации для проверки пары username/password(логин/пароль). Смотри директиву auth_param.
Примечание: proxy_auth не работает при прозрачном проксировании. Браузер должен быть настроен на использование прокси, чтобы аутентификация работала.
acl aclname snmp_community string ...
Строка для ограничения доступа SNMP community
Пример:
acl snmppublic snmp_community public
acl aclname maxconn number
Этот ACL проверяет количество HTTP сессий клиента. И не дает открыть ему больше чем <number> подключений
acl aclname max_user_ip [-s] number
Этот ACL проверяет количество различных IP адресов, с которого пользователь может пройти аутентификацию одновременно. Директива authenticate_ip_ttl определяет время действия аутентификации пользователя с конкретного IP адреса. По истечению этого времени, пользователь с этого IP должен будет пройти аутентификацию вновь. Аргумент -s означает, что при достижении числа number, будет невозможно подключится с любого другого IP адреса, пока ttl текущей аутентификации какого-либо IP адреса не истечет.
Примечание: в режиме acceleration или при использовании нескольких child прокси, клиенты могут приходить с множества IP адресов если они идут через 2-3 прокси сервера, тогда ограничение в 1 IP адрес на клиента, может вызвать проблемы.
acl aclname req_mime_type mime-type1 ...
Регулярное выражение проверяющее mime тип клиентского запроса. Может быть использовано для определения отправки файлов или HTTP туннелирования.
Примечание: Этот ACL не проверяет ответ от сервера на запрос клиента.
acl aclname req_header header-name [-i] any\.regex\.here
Регулярное выражение проверяющее заголовки запросов. Например, может использоватся для блокирования доступа некоторых браузеров.
acl aclname rep_mime_type mime-type1 ...
Регулярное выражение проверяющее mime тип ответа от сервера. Может быть использовано для определения скачивания файла или HTTP туннелирования.
Примечание: Этот ACL не действует в правилах для http_access. Этот ACL имеет эффект в правилах, которые работают с ответами от сервера, такими как http_reply_access.
acl aclname rep_header header-name [-i] any\.regex\.here
Регулярное выражение проверяющее заголовки ответов от сервера.
Пример:
acl many_spaces rep_header Content-Disposition -i [[:space:]]{3,}
acl acl_name external class_name [arguments...]
Внешние ACL используемые вспомогательными программами(скриптами) должны быть перед использованием описаны директивой external_acl_type.
acl urlgroup group1 ...
Проверяет urlgroup используемую редиректорами
acl aclname user_cert attribute values...
Проверяет атрибуты в пользовательском сертификате SSL. Атрибутом может быть один из DN/C/O/CN/L/ST
acl aclname ca_cert attribute values...
Проверяет атрибуты выдавшего SSL сертификат. Атрибутом может быть один из DN/C/O/CN/L/ST
acl aclname ext_user username ...
acl aclname ext_user_regex [-i] pattern ...
Проверяет имя пользователя, которое вернул внешний ACL скрипт. Используйте REQUIRED, для принятия любого не пустого имени пользователя.
Примеры:
#acl macaddress arp 09:00:2b:23:45:67
#acl myexample dst_as 1241
#acl password proxy_auth REQUIRED
#acl fileupload req_mime_type -i ^multipart/form-data$
#acl javascript rep_mime_type -i ^application/x-javascript$
Рекомендуемый минимум:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
TAG: acl_uses_indirect_client on|off
Примечание: Этот тэг доступен только, если Squid скомилирован с опцией -DFOLLOW_X_FORWARDED_FOR
Этот тэг определяет, может ли использоватся косвенный адрес клиента как настоящий адрес клиента в ACL.
По умолчанию:
acl_uses_indirect_client on
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
TAG: adaptation_access
Этот тэг доступен только если Squid скомпилирован с опциями --enable-ecap или --enable-icap-client.
Этот тэг разрешает или запрещает согласно ACL, отправку HTTP транзакций(HTTP запрос или ответ) к ICAP или eCAP сервису.
Примечание break-people.ru: ICAP или eCAP сервис это программное обеспечение которое предназначено для выполнения некоторого преобразования HTTP запроса(ответа) перед его отправкой на сервер или после его получения. Например, пользователь запрашивает некоторую страницу, которая наполнена рекламой. ICAP сервис, может производить обработку полученного от сервера ответа и убирать рекламу, перед тем как отдать ответ пользователю. Также ICAP сервис может модифицировать HTTP запрос перед отправкой его на сервер. ICAP и eCAP созданы для использования в прозрачных прокси-серверах. Подробнее читай RFC 3507
Использование:
adaptation_access service_name allow|deny [!]aclname... adaptation_access set_name allow|deny [!]aclname...
Проверка HTTP запроса(ответа) на попадание в ACL, производится в том порядке, как они следуют в файле сверху вниз (как обычно в Squid).
Следующие ICAP cервисы, игнорируются (без проверки ACL):
- сервисы предоставляющие несколько видов преобразований запроса;
- не работающие сервисы;
- сервисы, которые сконфигурированы игнорировать ICAP запросы (на основе заголовка ICAP Transfer-Ignore)
Для указания множества ICAP сервисов в одной строке используй set_name. Смотри adaptation_service_set для подробностей.
Если ACL сработал, то процессинг останавливается. Для правила allow, HTTP запрос(ответ) будет отправлен указанному ICAP сервису в adaptation_access. Если deny, то HTTP запрос(ответ) не отправляется указанному ICAP сервису.
На текущий момент, невозможно применить более чем одно преобразование через ICAP сервис, для одного HTTP-запроса(ответа). Смотри также: icap_service и ecap_service
Пример:
adaptation_access service_1 allow all
По умолчанию:
none
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
TAG: adaptation_masterx_shared_names
Этот тэг доступен только если Squid скомпилирован с опциями --enable-ecap или --enable-icap-client.
Для каждой master-транзакции (например, HTTP запрос или ответ включая связанные ICAP и eCAP сообщения), Squid создает таблицу с метаданными. Эта таблица содержит пары(name, value) тип транзакции и значение . Эта таблица уничтожается вместе с уничтожением master-транзакции.
Этот тэг указывает какие типы транзакций Squid будет принимать и перенаправлять на обработку ICAP или eCAP сервисам.
Пример:
adaptation_masterx_shared_names X-Subscriber-ID
По умолчанию:
none
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
TAG: adaptation_meta
Этот тэг доступен только если Squid скомпилирован с опциями --enable-ecap или --enable-icap-client.
Этот тэг позволяет администратору добавлять пользовательский ICAP заголовок или eCAP опции к ICAP запросам или eCAP транзакциям.
В тэге можно указывать ACL: adaptation_meta name value [!]aclname ... Только один пользовательский заголовок может быть добавлен. Проверка на ACL производится сверху вниз. Применяется первое сработавшее правило, соответственно, вот почему может быть добавлен только один пользовательский заголовок. Если ни одно правило не сработало, то никакой заголовок не добавляется по умолчанию.
Например:
# отключить отладку транзакций, кроме тех которые требуют отладки
adaptation_meta X-Debug 1 needs_debugging
# записывать все транзакции кроме тех, которые являются конфиденциальными
adaptation_meta X-Log 1 !keep_secret
# маркировка транзакций от пользователей "G 1" группы
adaptation_meta X-Authenticated-Groups "G 1" authed_as_G1
"value" может быть числом или строкой заключенной в двойные кавычки.
По умолчанию:
none
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
TAG: adaptation_send_client_ip
Этот тэг доступен только если Squid скомпилирован с опциями --enable-ecap или --enable-icap-client.
Если включено, Squid отсылает IP клиента, сервису ICAP или eCAP.
Для ICAP, Squid добавляет заголовок X-Client-IP к ICAP запросу.
Для eCAP, Squid устанавливает опцию libecap::metaClientIp в транзакцию.
Смотри также: adaptation_uses_indirect_client
По умолчанию:
adaptation_send_client_ip off
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------