Inhalt
- Einstieg
- Aufbau
- Verkehrsregelung
- Leistungsverbesserungen
- Manuelles Löschen des Squid-Cache
- Proxy-Berichte
- Zusätzliche pfSense-Anleitungen
- Fragen & Antworten
Sam arbeitet als Netzwerkanalyst für eine algorithmische Handelsfirma. Er erhielt seinen Bachelor-Abschluss in Informationstechnologie von UMKC.
Proxyserver fungieren als Vermittler für Clients in einem Netzwerk, die Ressourcen von einem anderen Server anfordern. Der häufigste Proxy-Typ ist ein Web-Proxy.
Proxyserver können sehr nützlich sein, um die Geschwindigkeit einer Internetverbindung durch Zwischenspeichern, Protokollieren der Internetnutzung oder Filtern des Datenverkehrs zu verbessern. Der Proxyserver speichert lokale Kopien von HTML-Seiten, Bildern und anderen Dateien in seinem Cache.
Das Zwischenspeichern von Proxyservern kann die Internetleistung von Unternehmensnetzwerken oder Internetcafés, in denen viele Benutzer möglicherweise ähnliche Seiten anfordern, erheblich verbessern.
Wenn ein Client eine Webseite anfordert, prüft der Proxy, ob eine der Dateien im Cache gespeichert ist. Wenn dies der Fall ist, stellt er sie dem Client zur Verfügung, ohne sie vom Webserver herunterladen zu müssen.
Dies reduziert die Latenz und spart Internetbandbreite. Transparente Proxys leiten den Datenverkehr des Clients automatisch durch den Proxyserver, im Gegensatz zu herkömmlichen Proxys, für die Konfigurationsänderungen auf den Client-Systemen erforderlich sind.
Wenn Sie mit pfSense nicht vertraut sind, lesen Sie eine Einführung in pfSense.
Einstieg
Als erstes müssen Sie das Squid-Paket in pfSense installieren. Dies kann über den Paketmanager im Systemmenü erfolgen.
Suchen Sie das Squid-Paket und klicken Sie auf das + -Symbol daneben, um die Installation zu starten. Der Installationsvorgang dauert normalerweise einige Minuten.
Aufbau
Nach Abschluss der Installation haben Sie unter "Dienste" eine neue Menüoption mit dem Namen "Proxyserver". Klicken Sie auf die neue Menüoption, um zur Konfigurationsseite zu gelangen.
Hier müssen Sie die Proxy-Schnittstelle einstellen, bei der es sich normalerweise um LAN handelt. Aktivieren Sie als Nächstes das Kontrollkästchen "Benutzer auf der Benutzeroberfläche zulassen". Aktivieren Sie dann das Kontrollkästchen 'Transparenten Proxy aktivieren'. Scrollen Sie nun nach unten und klicken Sie auf Speichern. Dadurch wird der Tintenfischdienst mit den von Ihnen definierten Einstellungen gestartet.
Zu diesem Zeitpunkt haben Sie einen voll funktionsfähigen transparenten Proxyserver, der auf pfSense ausgeführt wird. Sie müssen keine Änderungen an den Computern in Ihrem Netzwerk vornehmen, damit diese den Proxy verwenden können. Alle Clients, die Webseiten auf Port 80 anfordern, werden automatisch über den Proxy umgeleitet. Die Benutzer in Ihrem Netzwerk wissen nicht einmal, dass ihr Datenverkehr über einen Proxy geleitet wird!
Verkehrsregelung
Die Registerkarte "Verkehrsverwaltung" enthält einige Einstellungen, die nützlich sind, wenn Sie dem Proxy Bandbreitennutzungsbeschränkungen auferlegen möchten.
Mit diesen Einstellungen können Sie eine maximale Download- oder Upload-Größe konfigurieren, wodurch Übertragungen über eine bestimmte Größenbeschränkung beschränkt werden.
Sie können den Proxy auch so einstellen, dass Binärdateien, CD-Images oder andere von Ihnen angegebene Dateitypen gedrosselt werden. Pro Host-Drosselung wird die maximale Bandbreite festgelegt, die ein einzelner Host verwenden kann.
Leistungsverbesserungen
Auf der Registerkarte "Cache" der Squid-Konfigurationsseite gibt es verschiedene Optionen, die Sie ändern können, um die Leistung in Ihrer Umgebung zu verbessern. Im Folgenden sind einige der Einstellungen aufgeführt, die ich ändern möchte. Wenn der Computer, auf dem der Proxy ausgeführt wird, nur über eine begrenzte Menge an Festplatte und RAM verfügt, sollten Sie darauf achten, keine übermäßig aggressiven Einstellungen zu verwenden. Wenn Sie jedoch viele Ressourcen zur Verfügung haben, können Sie die Einstellungen erhöhen, um die Leistung zu verbessern.
- Festplatten-Cache-Größe: Hiermit wird die Gesamtmenge an Festplattenspeicher festgelegt, die Squid zum Zwischenspeichern von Objekten verwendet. Wenn Sie eine große Festplatte haben, können Sie diese Einstellung erhöhen, um mehr Objekte zwischenzuspeichern. Denken Sie daran, dass im Speicher zwischengespeicherte Objekte schneller abgerufen werden als Objekte auf der Festplatte.
- Speicher-Cache-Größe: Wenn Ihr pfSense-System über genügend RAM verfügt, empfehle ich, den Speichercache zu vergrößern. Objekte, die Squid nicht im Speicher speichern kann, werden auf eine Festplatte ausgelagert, die viel langsamer als der Arbeitsspeicher ist.
- Maximale Objektgröße: Der Standardwert von 4K ist ziemlich klein. Ich empfehle, dies auf 50 zu erhöhen. Sie könnten es größer einstellen, aber die meisten Cache-Treffer finden ohnehin in kleinen Dateien statt.
- Bearbeiten Sie /boot/loader.conf.local: Diese Änderung muss über SSH erfolgen. Fügen Sie mit einem Texteditor wie vi der Datei kern.ipc.nmbclusters = "32768" hinzu, speichern Sie die Datei und starten Sie den pfSense-Router neu.Dies erhöht die Gesamtmenge an Speicher, die für Socket-Puffer verwendet wird, auf 32 MB.
Weitere Informationen zur Optimierung der Squid-Leistung finden Sie auf der pfSense-Dokumentationsseite.
Manuelles Löschen des Squid-Cache
Squid verfügt über ein eigenes System zum Löschen alter Objekte aus dem Cache. Gelegentlich möchten Sie jedoch möglicherweise den gesamten Squid-Cache löschen.
Ich empfehle, sich mit SSH bei pfSense anzumelden, um diese Befehle auszuführen. Es ist möglich, sie über die Eingabeaufforderungsfunktion im Diagnosemenü auszuführen, ich rate jedoch nicht dazu.
Zunächst müssen Sie den Proxy-Dienst beenden.
Tintenfisch -k heruntergefahren
Mit dem folgenden Befehl werden alle Dateien im Cache-Verzeichnis gelöscht. Die Ausführung dieses Befehls kann lange dauern, insbesondere wenn Sie eine große Cache-Größe definiert haben. Seien Sie also geduldig.
rm -fr / var / squid / cache / *
Bevor Sie Squid neu starten, sollten Sie die Swap-Direktstruktur neu erstellen.
Wenn Sie die Meldung erhalten, dass Squid bereits ausgeführt wird, fahren Sie fort und beenden Sie den Dienst erneut und führen Sie den Befehl erneut aus. PfSense scheint Squid von selbst neu zu starten, wenn es bemerkt, dass es nicht läuft.
Tintenfisch -z
Schließlich können Sie Squid neu starten, um den Proxy wieder zu verwenden.
/ usr / local / sbin / squid -D
Um sicherzustellen, dass es gestartet wurde, können Sie den Status im Servicemenü überprüfen, das sich im Statusmenü der Weboberfläche befindet.
Proxy-Berichte
Wenn Sie die Verwendung Ihres Proxys verfolgen möchten, können Sie ein zusätzliches Paket namens Lightsquid installieren.
Lightsquid generiert interaktive Berichte, in denen alle von Benutzern besuchten Websites sowie eine Liste der wichtigsten Websites erfasst werden.
Sie können sogar bestimmen, welche IP eine bestimmte Site besucht hat und wann sie besucht wurde.
Lightsquid kann über den pfSense-Paketmanager genauso installiert werden, wie Sie squid installiert haben.
Nach der Installation wird unter Status ein neuer Menüpunkt namens Proxy-Bericht erstellt.
Auf der Einstellungsseite können Sie den Zeitplan für die Berichtsaktualisierung auf ein Intervall zwischen 10 Minuten und 24 Stunden festlegen. Dies bestimmt, wie oft Lightsquid einen neuen Bericht generiert. Sie können den Bericht manuell über die Schaltfläche Jetzt aktualisieren aktualisieren. Klicken Sie zum Anzeigen des Berichts auf die Registerkarte Lightsquid-Bericht.
Zusätzliche pfSense-Anleitungen
- So konfigurieren Sie eine DNS-Blacklist mit pfSense
Wenn Sie nach einer einfachen Möglichkeit suchen, Domains in Ihrem Netzwerk basierend auf vielen gängigen Kategorien zu blockieren, kann die DNS-Blacklist die Aufgabe problemlos erledigen. DNS Blacklist ist ein Paket für die beliebte pfSense-Plattform. - Dual Wan Router - Lastausgleich mit pfSense
Durch den Kauf eines Dual-Wan-Routers können Sie leicht mehrere hundert Dollar zurückbekommen. Neben den hohen Preisen fehlen vielen Modellen auf dem Markt viele Funktionen. Also anstatt Bargeld für einen Router mit ... - Einrichten eines pfSense-Routers
Wenn Sie Ihren Heimrouter durch etwas ersetzen möchten, das mehr Kontrolle, Funktionen und Leistung bietet, ist pfSense eine ausgezeichnete Wahl. pfSense kann sowohl als Router als auch als Firewall fungieren und bietet viele kostenlose Funktionen, die häufig nur verfügbar sind
Fazit
Ich hoffe, dieser Hub hat gezeigt, wie einfach es ist, mit der Leistung von pfSense einen transparenten Proxy einzurichten. Transparente Proxys können kleinen Heimnetzwerken oder großen Unternehmensnetzwerken mit Hunderten von Benutzern einen Mehrwert verleihen.
Fühlen Sie sich frei zu kommentieren, wenn Sie Fragen haben und lassen Sie mich wissen, was Sie sonst noch über pfSense erfahren möchten.
Wenn Sie diesen Hub nützlich fanden, nehmen Sie sich bitte einen Moment Zeit, um ihn zu bewerten, oder hinterlassen Sie unten einen Kommentar.
Dieser Artikel ist genau und nach bestem Wissen des Autors. Der Inhalt dient nur zu Informations- oder Unterhaltungszwecken und ersetzt nicht die persönliche Beratung oder professionelle Beratung in geschäftlichen, finanziellen, rechtlichen oder technischen Angelegenheiten.
Fragen & Antworten
Frage: Wir haben eine ASA-Firewall in unserem LAN und möchten gleichzeitig Pfsense und ASA verwenden. Ist dies möglich?
Antworten: Ja, Sie können pfSense in Kombination mit dem ASA verwenden, wenn Sie dies wünschen. Um pfSense als transparenten Proxy zu verwenden, legen Sie das Standard-Gateway auf Ihren Clients so fest, dass es auf das pfSense-System verweist. Sie würden dann das Gateway von pfSense so einstellen, dass es auf den ASA verweist.
Wenn Sie das Standard-Gateway der Clients nicht ändern möchten, können Sie die Client-Proxy-Einstellungen so ändern, dass sie auf pfSense verweisen. Wieder müsste pfSense auf den ASA als Standard-Gateway verweisen.