среда, 19 сентября 2012 г.

Настройка прокси-сервера SQUID для работы torrent-клиентов

Доступ в интернет из локальной сети предприятии осуществляется через прокси-сервер прокси-сервер SQUID (версии 2.0 и выше). Необходимо настроить прокси-сервер SQUID для работы torrent-клиентов.

Я использую следующий фрагмент конфигурации SQUID (конечно, все имена и IP-адреса изменены):
# Как правило берётся из стандартной конфигурации
acl CONNECT method CONNECT
...

# Настройки для torrent
acl ACL_torrent_src src 192.168.200.0/24
acl ACL_torrent_src src 192.168.100.1
acl ACL_torrent_src srcdomain kaktusenok.k43.guap.ru
acl ACL_torrent_dst_ports port 80
acl ACL_torrent_dst_ports port 1024-65535
http_access allow CONNECT ACL_torrent_src ACL_torrent_dst_ports

...
# Как правило берётся из стандартной конфигурации
# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

Первая и последняя строки конфигурации, как правило, уже имеются. Мы размещаем собственные настройки где-то между ними:
  • важно, чтобы acl CONNECT был определён;
  • а запрет соединения методом CONNECT  на все порты кроме SSL, был ниже.

Как правило, имеются ограничения по IP-адресам, кому можно использовать torrent, а кому нельзя. В самом простом случае это локальная подсеть, в более сложном - перечень IP-адресов, доменных имён машин, подсетей и т.д. Вы должны отредактировать этот список под себя.

Замечу, что порты должны включать порт 80. Если этого не сделать, то Вы не сможете получить информации о пирах и сидах:


Далее я разрешаю все порты в диапазоне 1024-65535, а не только 6660-6669, поскольку подавляющие большинство клиентов используют все порты, начиная с 1024 и выше.

В настройках torrent-клиента необходимо выставить HTTPS прокси (в данном случае gateway.k43.guap.ru:3128), а также указать "Use proxy server for peer-to-peer connections" ("Использовать прокси-сервер для соединения между клиентами"). Какой клиент - роли не играет. Ниже представлены настройки для uTorrent:


Остальные параметры зависят от настройки локальной сети, но в большинстве случаев их должно быть достаточно:


В данной статье не рассматривалась раздача данных torrent-клиентами, поскольку это независимая проблема.

Рекомендую почитать:
http://wiki.squid-cache.org/SquidFaq/SquidAcl - подробный разбор ACL-списков.

Комментариев нет:

Отправить комментарий