ເຄື່ອງແມ່ຂ່າຍພຣັອກຊີຟຣີສໍາລັບວິສາຫະກິດທີ່ມີການອະນຸຍາດໂດເມນ

pfSense+Squid ກັບ https filtering + single sign-on (SSO) with Active Directory group filtering

ຄວາມເປັນມາໂດຍຫຍໍ້

ບໍລິສັດຕ້ອງການເພື່ອປະຕິບັດເຄື່ອງແມ່ຂ່າຍຂອງຕົວແທນທີ່ມີຄວາມສາມາດໃນການກັ່ນຕອງການເຂົ້າເຖິງເວັບໄຊທ໌ (ລວມທັງ https) ໂດຍກຸ່ມຈາກ AD ເພື່ອໃຫ້ຜູ້ໃຊ້ບໍ່ໃສ່ລະຫັດຜ່ານເພີ່ມເຕີມ, ແລະສາມາດຖືກຄຸ້ມຄອງຈາກອິນເຕີເຟດເວັບ. ຄໍາຮ້ອງສະຫມັກທີ່ດີ, ບໍ່ແມ່ນບໍ?

ຄໍາຕອບທີ່ຖືກຕ້ອງແມ່ນຈະຊື້ວິທີແກ້ໄຂເຊັ່ນ Kerio Control ຫຼື UserGate, ແຕ່ຢ່າງໃດກໍ່ຕາມບໍ່ມີເງິນ, ແຕ່ມີຄວາມຕ້ອງການ.

ນີ້ແມ່ນບ່ອນທີ່ Squid ເກົ່າທີ່ດີມາກູ້ໄພ, ແຕ່ອີກເທື່ອຫນຶ່ງ - ບ່ອນທີ່ຂ້ອຍສາມາດໄດ້ຮັບການໂຕ້ຕອບເວັບໄຊຕ໌? SAMS2? ລ້າສະໄຫມທາງດ້ານສິນທໍາ. ນີ້ແມ່ນບ່ອນທີ່ pfSense ເຂົ້າມາຊ່ວຍ.

ລາຍ​ລະ​ອຽດ

ບົດຄວາມນີ້ຈະອະທິບາຍວິທີການປັບຄ່າເຊີບເວີພຣັອກຊີ Squid.
Kerberos ຈະຖືກນໍາໃຊ້ເພື່ອອະນຸຍາດໃຫ້ຜູ້ໃຊ້.
SquidGuard ຈະຖືກນໍາໃຊ້ເພື່ອການກັ່ນຕອງໂດຍກຸ່ມໂດເມນ.

Lightsquid, sqstat ແລະລະບົບຕິດຕາມກວດກາ pfSense ພາຍໃນຈະຖືກນໍາໃຊ້ສໍາລັບການຕິດຕາມກວດກາ.
ມັນຍັງຈະແກ້ໄຂບັນຫາທົ່ວໄປທີ່ກ່ຽວຂ້ອງກັບການນໍາສະເຫນີເທກໂນໂລຍີເຂົ້າສູ່ລະບົບດຽວ (SSO), ຄືແອັບພລິເຄຊັນທີ່ພະຍາຍາມທ່ອງອິນເຕີເນັດພາຍໃຕ້ບັນຊີເຂັມທິດກັບບັນຊີລະບົບຂອງພວກເຂົາ.

ກຳລັງກະກຽມຕິດຕັ້ງ Squid

pfSense ຈະຖືກປະຕິບັດເປັນພື້ນຖານ, ຄໍາແນະນໍາການຕິດຕັ້ງ.

ພາຍໃນທີ່ພວກເຮົາຈັດການກວດສອບຄວາມຖືກຕ້ອງໃນ Firewall ຕົວຂອງມັນເອງໂດຍໃຊ້ບັນຊີໂດເມນ. ຄຳ ແນະ ນຳ

ສໍາ​ຄັນ​ຫຼາຍ!

ກ່ອນທີ່ທ່ານຈະເລີ່ມຕົ້ນການຕິດຕັ້ງ Squid, ທ່ານຈໍາເປັນຕ້ອງຕັ້ງຄ່າເຄື່ອງແມ່ຂ່າຍ DNS ໃນ pfsense, ສ້າງບັນທຶກ A ແລະບັນທຶກ PTR ສໍາລັບມັນຢູ່ໃນເຄື່ອງແມ່ຂ່າຍ DNS ຂອງພວກເຮົາ, ແລະ configure NTP ເພື່ອໃຫ້ເວລາບໍ່ແຕກຕ່າງຈາກເວລາຢູ່ໃນຕົວຄວບຄຸມໂດເມນ.

ແລະໃນເຄືອຂ່າຍຂອງທ່ານ, ໃຫ້ຄວາມສາມາດສໍາລັບການໂຕ້ຕອບ WAN ຂອງ pfSense ໄປຫາອິນເຕີເນັດ, ແລະຜູ້ໃຊ້ໃນເຄືອຂ່າຍທ້ອງຖິ່ນເພື່ອເຊື່ອມຕໍ່ກັບການໂຕ້ຕອບ LAN, ລວມທັງຢູ່ໃນພອດ 7445 ແລະ 3128 (ໃນກໍລະນີຂອງຂ້ອຍ 8080).

ທັງໝົດພ້ອມແລ້ວບໍ? ການເຊື່ອມຕໍ່ LDAP ຖືກສ້າງຕັ້ງຂຶ້ນກັບໂດເມນສໍາລັບການອະນຸຍາດໃນ pfSense ແລະເວລາຖືກ synchronized ບໍ? ຍິ່ງໃຫຍ່. ມັນເປັນເວລາທີ່ຈະເລີ່ມຕົ້ນຂະບວນການຕົ້ນຕໍ.

ການຕິດຕັ້ງແລະການຕັ້ງຄ່າກ່ອນ

Squid, SquidGuard ແລະ LightSquid ຈະຖືກຕິດຕັ້ງຈາກຜູ້ຈັດການຊຸດ pfSense ໃນສ່ວນ "System / Package Manager".

ຫຼັງ​ຈາກ​ການ​ຕິດ​ຕັ້ງ​ສົບ​ຜົນ​ສໍາ​ເລັດ​, ໃຫ້​ໄປ​ທີ່ "Services / Squid Proxy server /​" ແລະ​ທໍາ​ອິດ​ຂອງ​ການ​ທັງ​ຫມົດ​, ໃນ​ແຖບ Local Cache​, configure caching​, ຂ້າ​ພະ​ເຈົ້າ​ກໍາ​ນົດ​ທຸກ​ສິ່ງ​ທຸກ​ຢ່າງ​ເປັນ 0​, ເນື່ອງ​ຈາກ​ວ່າ​. ຂ້າ​ພະ​ເຈົ້າ​ບໍ່​ໄດ້​ເຫັນ​ຈຸດ​ຫຼາຍ​ໃນ​ເວັບ​ໄຊ​ຖານ​ຄວາມ​ຈໍາ​, ຕົວ​ທ່ອງ​ເວັບ​ເຮັດ​ວຽກ​ທີ່​ດີ​ກັບ​ນີ້​. ຫຼັງ​ຈາກ​ການ​ຕັ້ງ​ຄ່າ​, ໃຫ້​ກົດ​ປຸ່ມ "ບັນ​ທຶກ​" ຢູ່​ທາງ​ລຸ່ມ​ຂອງ​ຫນ້າ​ຈໍ​ແລະ​ນີ້​ຈະ​ເຮັດ​ໃຫ້​ພວກ​ເຮົາ​ມີ​ໂອ​ກາດ​ທີ່​ຈະ​ເຮັດ​ໃຫ້​ການ​ຕັ້ງ​ຄ່າ​ຕົວ​ແທນ​ຂັ້ນ​ພື້ນ​ຖານ​.

ການ​ຕັ້ງ​ຄ່າ​ຕົ້ນ​ຕໍ​ແມ່ນ​ດັ່ງ​ຕໍ່​ໄປ​ນີ້​:

ພອດເລີ່ມຕົ້ນແມ່ນ 3128, ແຕ່ຂ້ອຍມັກໃຊ້ 8080.

ຕົວກໍານົດການທີ່ເລືອກໃນແຖບການໂຕ້ຕອບຂອງພຣັອກຊີກໍານົດວ່າການໂຕ້ຕອບເຊີບເວີພຣັອກຊີຂອງພວກເຮົາຈະຟັງ. ເນື່ອງຈາກໄຟວໍນີ້ຖືກສ້າງຂຶ້ນໃນລັກສະນະທີ່ມັນເບິ່ງຢູ່ໃນອິນເຕີເນັດເປັນການໂຕ້ຕອບ WAN, ເຖິງແມ່ນວ່າ LAN ແລະ WAN ສາມາດຢູ່ໃນເຄືອຂ່າຍຍ່ອຍທ້ອງຖິ່ນດຽວກັນ, ຂ້ອຍຂໍແນະນໍາໃຫ້ໃຊ້ LAN ສໍາລັບຕົວແທນ.

Loopback ແມ່ນຈໍາເປັນສໍາລັບ sqstat ເພື່ອເຮັດວຽກ.

ຂ້າງລຸ່ມນີ້ທ່ານຈະເຫັນການຕັ້ງຄ່າຕົວແທນ Transparent (ໂປ່ງໃສ), ເຊັ່ນດຽວກັນກັບ SSL Filter, ແຕ່ພວກເຮົາບໍ່ຕ້ອງການພວກມັນ, ຕົວແທນຂອງພວກເຮົາຈະບໍ່ໂປ່ງໃສ, ແລະສໍາລັບການກັ່ນຕອງ https ພວກເຮົາຈະບໍ່ທົດແທນໃບຢັ້ງຢືນ (ພວກເຮົາມີເອກະສານ, ທະນາຄານ. ລູກຄ້າ, ແລະອື່ນໆ), ໃຫ້ເບິ່ງພຽງແຕ່ການຈັບມື.

ໃນຂັ້ນຕອນນີ້, ພວກເຮົາຈໍາເປັນຕ້ອງໄດ້ໄປຫາຕົວຄວບຄຸມໂດເມນຂອງພວກເຮົາ, ສ້າງບັນຊີການຢືນຢັນໃນມັນ (ທ່ານຍັງສາມາດໃຊ້ບັນຊີທີ່ຖືກຕັ້ງຄ່າສໍາລັບການພິສູດຢືນຢັນໃນ pfSense ຕົວມັນເອງ). ນີ້ແມ່ນປັດໃຈສໍາຄັນຫຼາຍ - ຖ້າທ່ານຕັ້ງໃຈຈະໃຊ້ການເຂົ້າລະຫັດ AES128 ຫຼື AES256 - ກວດເບິ່ງກ່ອງທີ່ເຫມາະສົມໃນການຕັ້ງຄ່າບັນຊີຂອງທ່ານ.

ຖ້າໂດເມນຂອງເຈົ້າເປັນປ່າຊັບຊ້ອນທີ່ມີຈໍານວນຫລາຍຂອງໄດເລກະທໍລີຫຼືໂດເມນຂອງເຈົ້າເປັນ .local, ມັນກໍ່ເປັນໄປໄດ້, ແຕ່ບໍ່ແນ່ນອນວ່າເຈົ້າຈະຕ້ອງໃຊ້ລະຫັດຜ່ານງ່າຍໆສໍາລັບບັນຊີນີ້, bug ເປັນທີ່ຮູ້ຈັກ, ແຕ່ມັນ. ອາດຈະບໍ່ເຮັດວຽກກັບລະຫັດຜ່ານທີ່ຊັບຊ້ອນ, ທ່ານຈໍາເປັນຕ້ອງກວດເບິ່ງກໍລະນີສະເພາະ.

ຫຼັງຈາກນັ້ນ, ພວກເຮົາສ້າງໄຟລ໌ທີ່ສໍາຄັນສໍາລັບ kerberos, ເປີດຄໍາສັ່ງທີ່ມີສິດທິຂອງຜູ້ບໍລິຫານຢູ່ໃນຕົວຄວບຄຸມໂດເມນແລະໃສ່:

# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab

ບ່ອນທີ່ພວກເຮົາຊີ້ໃຫ້ເຫັນ FQDN pfSense ຂອງພວກເຮົາ, ໃຫ້ແນ່ໃຈວ່າຈະເຄົາລົບກໍລະນີ, ໃສ່ບັນຊີໂດເມນຂອງພວກເຮົາແລະລະຫັດຜ່ານຂອງມັນຢູ່ໃນຕົວກໍານົດການ mapuser, ແລະໃນ crypto ພວກເຮົາເລືອກວິທີການເຂົ້າລະຫັດ, ຂ້ອຍໃຊ້ rc4 ສໍາລັບການເຮັດວຽກແລະໃນພາກສະຫນາມ -out ພວກເຮົາເລືອກບ່ອນທີ່ພວກເຮົາ ຈະສົ່ງໄຟລ໌ທີ່ສໍາຄັນຂອງພວກເຮົາ.
ຫຼັງຈາກສ້າງໄຟລ໌ທີ່ສໍາຄັນຢ່າງສໍາເລັດຜົນ, ພວກເຮົາຈະສົ່ງມັນໄປຫາ pfSense ຂອງພວກເຮົາ, ຂ້າພະເຈົ້າໄດ້ໃຊ້ Far ສໍາລັບນີ້, ແຕ່ວ່າທ່ານຍັງສາມາດເຮັດສິ່ງນີ້ໄດ້ທັງສອງດ້ວຍຄໍາສັ່ງແລະ putty ຫຼືໂດຍຜ່ານການໂຕ້ຕອບເວັບ pfSense ໃນສ່ວນ "ເສັ້ນຄໍາສັ່ງການວິນິດໄສ".

ຕອນນີ້ພວກເຮົາສາມາດແກ້ໄຂ / ສ້າງ /etc/krb5.conf

ບ່ອນທີ່ /etc/krb5.keytab ແມ່ນໄຟລ໌ທີ່ສໍາຄັນທີ່ພວກເຮົາສ້າງ.

ໃຫ້ແນ່ໃຈວ່າກວດເບິ່ງການດໍາເນີນງານຂອງ kerberos ໂດຍໃຊ້ kinit, ຖ້າມັນບໍ່ເຮັດວຽກ, ບໍ່ມີຈຸດໃດທີ່ຈະອ່ານຕໍ່ໄປ.

ຕັ້ງຄ່າການກວດສອບ Squid ແລະລາຍຊື່ການເຂົ້າເຖິງໂດຍບໍ່ມີການພິສູດຢືນຢັນ

ໂດຍໄດ້ຕັ້ງຄ່າ kerberos ສຳເລັດແລ້ວ, ພວກເຮົາຈະຕິດມັນໃສ່ກັບ Squid ຂອງພວກເຮົາ.

ເພື່ອເຮັດສິ່ງນີ້, ໄປທີ່ ServicesSquid Proxy Server ແລະໃນການຕັ້ງຄ່າຕົ້ນຕໍລົງໄປລຸ່ມສຸດ, ພວກເຮົາຈະຊອກຫາປຸ່ມ "Advanced settings".

ໃນ Custom Options (ກ່ອນ Auth), ໃສ່:

#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt" 
#Разрешения 
http_access allow nonauth 
http_access deny !auth
http_access allow auth

ຢູ່ໃສ ໂຄງການເຈລະຈາ auth_param /usr/local/libexec/squid/negotiate_kerberos_auth - ເລືອກຕົວຊ່ວຍ kerberos ການກວດສອບຄວາມຖືກຕ້ອງທີ່ພວກເຮົາຕ້ອງການ.

Key -s ທີ່​ມີ​ຄວາມ​ຫມາຍ​ GSS_C_NO_NAME — ກໍາ​ນົດ​ການ​ນໍາ​ໃຊ້​ບັນ​ຊີ​ໃດ​ຫນຶ່ງ​ຈາກ​ໄຟລ​໌​ທີ່​ສໍາ​ຄັນ​.

Key -k ທີ່​ມີ​ຄວາມ​ຫມາຍ​ /usr/local/etc/squid/squid.keytab - ກໍານົດການນໍາໃຊ້ໄຟລ໌ແປ້ນພິມສະເພາະນີ້. ໃນກໍລະນີຂອງຂ້ອຍ, ນີ້ແມ່ນໄຟລ໌ແປ້ນພິມດຽວກັນທີ່ພວກເຮົາສ້າງ, ເຊິ່ງຂ້ອຍໄດ້ຄັດລອກໄປທີ່ໄດເລກະທໍລີ / usr/local/etc/squid/ ແລະປ່ຽນຊື່ມັນ, ເພາະວ່າ squid ບໍ່ຕ້ອງການເປັນເພື່ອນກັບໄດເລກະທໍລີນັ້ນ, ເບິ່ງຄືວ່າບໍ່ມີ. ສິດທິພຽງພໍ.

Key -t ທີ່​ມີ​ຄວາມ​ຫມາຍ​ - ບໍ່​ມີ - ປິດການຮ້ອງຂໍ cyclic ກັບຕົວຄວບຄຸມໂດເມນ, ເຊິ່ງຊ່ວຍຫຼຸດຜ່ອນການໂຫຼດເທິງມັນຢ່າງຫຼວງຫຼາຍຖ້າທ່ານມີຜູ້ໃຊ້ຫຼາຍກວ່າ 50 ຄົນ.
ສໍາລັບໄລຍະເວລາຂອງການທົດສອບ, ທ່ານຍັງສາມາດເພີ່ມປຸ່ມ -d - i.e. ການວິນິດໄສ, ບັນທຶກເພີ່ມເຕີມຈະຖືກສະແດງ.
auth_param ເຈລະຈາເດັກນ້ອຍ 1000 - ກໍານົດວິທີການຫຼາຍຂະບວນການອະນຸຍາດພ້ອມໆກັນສາມາດດໍາເນີນການ
auth_param ເຈລະຈາ Keep_alive ສຸດ - ບໍ່ອະນຸຍາດໃຫ້ທໍາລາຍການເຊື່ອມຕໍ່ໃນລະຫວ່າງການລົງຄະແນນສຽງຂອງລະບົບຕ່ອງໂສ້ການອະນຸຍາດ
acl auth proxy_auth ຕ້ອງການ - ສ້າງ​ແລະ​ຮຽກ​ຮ້ອງ​ໃຫ້​ມີ​ບັນ​ຊີ​ລາຍ​ການ​ການ​ຄວບ​ຄຸມ​ການ​ເຂົ້າ​ເຖິງ​ທີ່​ປະ​ກອບ​ມີ​ຜູ້​ໃຊ້​ທີ່​ຜ່ານ​ການ​ອະ​ນຸ​ຍາດ​
acl nonauth dstdomain "/etc/squid/nonauth.txt" - ພວກເຮົາແຈ້ງໃຫ້ squid ກ່ຽວກັບບັນຊີລາຍຊື່ການເຂົ້າເຖິງ nonauth, ເຊິ່ງປະກອບດ້ວຍໂດເມນປາຍທາງ, ທີ່ທຸກຄົນຈະໄດ້ຮັບການອະນຸຍາດໃຫ້ເຂົ້າເຖິງ. ພວກເຮົາສ້າງໄຟລ໌ຕົວມັນເອງ, ແລະພາຍໃນມັນພວກເຮົາໃສ່ໂດເມນໃນຮູບແບບ

.whatsapp.com
.whatsapp.net

Whatsapp ບໍ່ໄດ້ຢູ່ໃນ vain ຖືກນໍາໃຊ້ເປັນຕົວຢ່າງ - ມັນເປັນຫຼາຍ picky ກ່ຽວກັບ proxy ທີ່ມີການກວດສອບຄວາມຖືກຕ້ອງແລະຈະບໍ່ເຮັດວຽກຖ້າຫາກວ່າມັນບໍ່ໄດ້ຖືກອະນຸຍາດໃຫ້ກ່ອນທີ່ຈະ authentication.
http_access ອະນຸຍາດໃຫ້ nonauth - ອະນຸຍາດໃຫ້ເຂົ້າເຖິງບັນຊີລາຍຊື່ນີ້ກັບທຸກຄົນ
http_access ປະຕິເສດ !auth - ພວກເຮົາຫ້າມການເຂົ້າເຖິງຜູ້ໃຊ້ທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດໄປຫາເວັບໄຊທ໌ອື່ນໆ
http_access ອະນຸຍາດໃຫ້ມີການກວດສອບ - ອະນຸຍາດໃຫ້ເຂົ້າເຖິງຜູ້ໃຊ້ທີ່ໄດ້ຮັບອະນຸຍາດ.
ນັ້ນແມ່ນ, squid ຕົວຂອງມັນເອງຖືກຕັ້ງຄ່າ, ໃນປັດຈຸບັນມັນເຖິງເວລາທີ່ຈະເລີ່ມການກັ່ນຕອງໂດຍກຸ່ມ.

ການຕັ້ງຄ່າ SquidGuard

ໄປທີ່ ServicesSquidGuard Proxy Filter.

ໃນ LDAP Options ພວກເຮົາໃສ່ຂໍ້ມູນຂອງບັນຊີຂອງພວກເຮົາທີ່ໃຊ້ສໍາລັບການພິສູດຢືນຢັນ kerberos, ແຕ່ໃນຮູບແບບຕໍ່ໄປນີ້:

CN=pfsense,OU=service-accounts,DC=domain,DC=local

ຖ້າມີຍະຫວ່າງ ຫຼືຕົວອັກສອນທີ່ບໍ່ແມ່ນພາສາລາຕິນ, ຂໍ້ມູນທັງໝົດນີ້ຄວນຈະຖືກໃສ່ໃນວົງຢືມດຽວ ຫຼືຄູ່:

'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"

ຕໍ່ໄປ, ໃຫ້ແນ່ໃຈວ່າກວດເບິ່ງກ່ອງເຫຼົ່ານີ້:

ເພື່ອຕັດ DOMAINpfsense ທີ່ບໍ່ຈໍາເປັນ DOMAIN.ທ້ອງຖິ່ນທີ່ລະບົບທັງໝົດມີຄວາມອ່ອນໄຫວຫຼາຍ.

ໃນປັດຈຸບັນພວກເຮົາໄປຫາກຸ່ມ Acl ແລະຜູກມັດກຸ່ມການເຂົ້າເຖິງໂດເມນຂອງພວກເຮົາ, ຂ້ອຍໃຊ້ຊື່ງ່າຍໆເຊັ່ນ group_0, group_1, ແລະອື່ນໆເຖິງ 3, ບ່ອນທີ່ 3 ແມ່ນການເຂົ້າເຖິງພຽງແຕ່ບັນຊີລາຍຊື່ສີຂາວ, ແລະ 0 - ທຸກສິ່ງທຸກຢ່າງແມ່ນເປັນໄປໄດ້.

ກຸ່ມຖືກເຊື່ອມຕໍ່ດັ່ງຕໍ່ໄປນີ້:

ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))

ບັນທຶກກຸ່ມຂອງພວກເຮົາ, ໄປທີ່ Times, ຢູ່ທີ່ນັ້ນຂ້ອຍໄດ້ສ້າງຊ່ອງຫວ່າງຫນຶ່ງທີ່ຫມາຍຄວາມວ່າຈະເຮັດວຽກຢູ່ສະເຫມີ, ຕອນນີ້ໄປທີ່ປະເພດເປົ້າຫມາຍແລະສ້າງລາຍຊື່ຕາມການຕັດສິນໃຈຂອງພວກເຮົາ, ຫຼັງຈາກການສ້າງລາຍຊື່ພວກເຮົາກັບຄືນໄປຫາກຸ່ມຂອງພວກເຮົາແລະພາຍໃນກຸ່ມດ້ວຍປຸ່ມທີ່ພວກເຮົາເລືອກວ່າໃຜສາມາດໄປໄດ້. ບ່ອນທີ່, ແລະຜູ້ທີ່ບໍ່ສາມາດຢູ່ໃສ.

LightSquid ແລະ sqstat

ຖ້າໃນລະຫວ່າງຂະບວນການຕັ້ງຄ່າພວກເຮົາເລືອກ loopback ໃນການຕັ້ງຄ່າ squid ແລະເປີດຄວາມສາມາດໃນການເຂົ້າເຖິງ 7445 ໃນ firewall ທັງໃນເຄືອຂ່າຍຂອງພວກເຮົາແລະໃນ pfSense ຕົວມັນເອງ, ຫຼັງຈາກນັ້ນເມື່ອພວກເຮົາໄປຫາ Diagnostics of Squid Proxy Reports, ພວກເຮົາສາມາດເປີດໄດ້ຢ່າງງ່າຍດາຍທັງ sqstat ແລະ. Lighsquid, ສໍາ​ລັບ​ການ​ຫຼັງ​ຈາກ​ທີ່​ພວກ​ເຮົາ​ຈະ​ຕ້ອງ​ການ​ໃນ​ສະ​ຖານ​ທີ່​ດຽວ​ກັນ​, ມາ​ເຖິງ​ມີ​ຊື່​ຜູ້​ໃຊ້​ແລະ​ລະ​ຫັດ​ຜ່ານ​, ແລະ​ຍັງ​ມີ​ໂອ​ກາດ​ທີ່​ຈະ​ເລືອກ​ເອົາ​ການ​ອອກ​ແບບ​.

ການສໍາເລັດ

pfSense ເປັນເຄື່ອງມືທີ່ມີປະສິດທິພາບຫຼາຍທີ່ສາມາດເຮັດຫຼາຍສິ່ງຫຼາຍຢ່າງ - ທັງການເປັນຕົວແທນການຈະລາຈອນແລະການຄວບຄຸມການເຂົ້າເຖິງອິນເຕີເນັດຂອງຜູ້ໃຊ້ແມ່ນພຽງແຕ່ສ່ວນຫນຶ່ງຂອງການເຮັດວຽກທັງຫມົດ, ຢ່າງໃດກໍຕາມ, ໃນວິສາຫະກິດທີ່ມີ 500 ເຄື່ອງ, ນີ້ແກ້ໄຂບັນຫາແລະປະຫຍັດ. ຊື້ຕົວແທນ.

ຂ້າ​ພະ​ເຈົ້າ​ຫວັງ​ວ່າ​ບົດ​ຄວາມ​ນີ້​ຈະ​ຊ່ວຍ​ໃຫ້​ຜູ້​ໃດ​ຜູ້​ຫນຶ່ງ​ແກ້​ໄຂ​ບັນ​ຫາ​ທີ່​ຂ້ອນ​ຂ້າງ​ກ່ຽວ​ຂ້ອງ​ສໍາ​ລັບ​ວິ​ສາ​ຫະ​ກິດ​ຂະ​ຫນາດ​ກາງ​ແລະ​ຂະ​ຫນາດ​ໃຫຍ່.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com