イカの構成

Question 1

Squidをプロキシサーバーとして使用するトンネルSSLラッパーで。キャッシュのため、パフォーマンスは非常に良いです。

イカの構成

Squidをインストールしたら、次の手順を実行します。イカ文書そして整理してみてください。以下は構成例です。

http_port 3193 透明

キャッシュディレクトリ ufs /var/cache/squid 128 16128
キャッシュメモリ1MB
メモリ内の最大オブジェクトサイズ512 KB
最大オブジェクトサイズ 1MB

visible_hostnameホスト名.com

Hierarchy_stoplist cgi-bin?
更新モード^ftp：1440 20％10080
リフレッシュモード^ゴッパー：1440 0％1440
リフレッシュモード -i (/cgi-bin/|\?) 0 0% 0
リフレッシュモード。 0 20% 4320

acl管理者プロトタイプキャッシュ_オブジェクト
ACL ローカルホスト src 127.0.0.1/32::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl localnet src 10.0.0.0/8 # RFC 1918 可能な内部ネットワーク
acl localnet src 172.16.0.0/12 # RFC 1918 可能な内部ネットワーク
acl localnet src 192.168.0.0/16 # RFC 1918 可能な内部ネットワーク
acl localnet src fc00::/7 # RFC 4193 ローカルプライベートネットワーク範囲
acl localnet src fe80::/10 # RFC 4291 リンクローカル（ドロップイン）マシン

acl SSL_ports ポート 443
acl Safe_ports ポート 80# http
acl Safe_ports ポート 21#ftp
acl Safe_ports ポート 443# https
acl Safe_ports ポート 70# ゴーファー
acl Safe_ports ポート 210#wais
acl Safe_ports port 1025-65535# 未登録ポート
acl Safe_ports ポート 280# http-mgmt
acl Safe_ports ポート 488# gss-http
acl Safe_ports ポート 591# ファイルメーカー
acl Safe_ports ポート 777# マルチチャネル http
acl CONNECT メソッド CONNECT

auth_param 基本プログラム/usr/libexec/squid/pam_auth
auth_param 基本サブキー 5
auth_param 基本 fieldSquidy
auth_param 基本資格証明 4時間

ACLパスワードProxy_authが必要

http_access許可マネージャ
http_accessが拒否されました！ Safe_ports
http_access 拒否 CONNECT !SSL_ports
http_accessはパスワードを受け入れます
http_accessはlocalhostを受け入れます
http_accessはローカルネットワークを許可します
http_accessすべて拒否

閉じることで
Forward_Close

request_header_access 許可 すべて許可
request_header_access 認証はすべて許可
request_header_access WWW-認証はすべて許可します。
request_header_access プロキシ認証はすべて許可します。
request_header_access プロキシ認証はすべて許可します。
request_header_accessキャッシュ制御はすべてを許可します
request_header_access コンテンツエンコーディングはすべて許可します。
request_header_access content-length はすべて受け入れます。
request_header_access コンテンツタイプはすべて許可
request_header_access 日付をすべて許可
request_header_access の有効期限が切れると、すべて許可されます。
request_header_access ホストはすべて許可します。
request_header_access If-Modified-Since はすべて許可します。
request_header_access Last-Modifiedはすべて許可します。
request_header_access場所はすべて受け入れます
request_header_access Pragmaはすべて許可します。
request_header_access 承認をすべて許可
request_header_access は文字セットを受け入れ、すべてを受け入れます。
request_header_access エンコーディングを許可 すべて許可
request_header_access はすべての言語を受け入れます。
request_header_access コンテンツ言語はすべて許可
request_header_access Mime バージョンはすべて許可
request_header_access 再試行 - 以降すべて許可
request_header_access ヘッダーはすべて許可
request_header_access 接続はすべて許可
request_header_access プロキシ接続はすべて許可
request_header_access user-agent はすべて許可します。
request_header_accessクッキーはすべて受け入れます。
request_header_access すべて すべて拒否

ポートでリッスンします3193 tcp。その後、キャッシュオプション、いくつかのaclコマンド、およびPAM認証がありますauth_param（おそらくプロキシをオンにし、スパムレポートのためにVPSを失いたくないでしょう）。request_header_access配線は不要です。彼らはより良い匿名性を提供します。

Stunnel サーバーの構成

サーバーに Stunnel をインストールします。以下は構成例です。

setuid=トンネル
setgid=トンネル

CAfile = /etc/stunnel/certs.pem
CRLファイル= /etc/stunnel/crls.pem

[代理人]
承諾=8888
接続=127.0.0.1:3193

Stunnelのインストール中に生成された認証ファイルかもしれません。ファイルパスを確認してくださいCAfile。単にポートでリッスンし、復号化され8888 tcpたストリームをSquidにリダイレクトします。したがって、アクセス可能であることを確認してください。

iptables -I INPUT 1 -p tcp --dport 8888 -j ACCEPT

もはや世界的にイカリスニングポートに接続する必要はありません。

Stunnel クライアントの構成

ローカルマシンにstunnelをインストールし、必要に応じてこの設定を変更します。

setuid=トンネル
setgid=トンネル
pid = /var/run/stunnel/stunnel.pid

[エポキシ]
承諾=8123
接続 = サーバー IP: 8888
顧客=はい
libwrap=いいえ

server_ip を適切な値に置き換えます。その後、サーバーでSquidを起動し、クライアントとサーバーでStunnelを起動します。localhost:8123ブラウザと同様にプロキシを設定してください。すべてが正常な場合は、ユーザー名とパスワードを入力するように求められます。

Answer

Squidをプロキシサーバーとして使用するトンネルSSLラッパーで。キャッシュのため、パフォーマンスは非常に良いです。

イカの構成

Squidをインストールしたら、次の手順を実行します。イカ文書そして整理してみてください。以下は構成例です。

http_port 3193 透明

キャッシュディレクトリ ufs /var/cache/squid 128 16128
キャッシュメモリ1MB
メモリ内の最大オブジェクトサイズ512 KB
最大オブジェクトサイズ 1MB

visible_hostnameホスト名.com

Hierarchy_stoplist cgi-bin?
更新モード^ftp：1440 20％10080
リフレッシュモード^ゴッパー：1440 0％1440
リフレッシュモード -i (/cgi-bin/|\?) 0 0% 0
リフレッシュモード。 0 20% 4320

acl管理者プロトタイプキャッシュ_オブジェクト
ACL ローカルホスト src 127.0.0.1/32::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl localnet src 10.0.0.0/8 # RFC 1918 可能な内部ネットワーク
acl localnet src 172.16.0.0/12 # RFC 1918 可能な内部ネットワーク
acl localnet src 192.168.0.0/16 # RFC 1918 可能な内部ネットワーク
acl localnet src fc00::/7 # RFC 4193 ローカルプライベートネットワーク範囲
acl localnet src fe80::/10 # RFC 4291 リンクローカル（ドロップイン）マシン

acl SSL_ports ポート 443
acl Safe_ports ポート 80# http
acl Safe_ports ポート 21#ftp
acl Safe_ports ポート 443# https
acl Safe_ports ポート 70# ゴーファー
acl Safe_ports ポート 210#wais
acl Safe_ports port 1025-65535# 未登録ポート
acl Safe_ports ポート 280# http-mgmt
acl Safe_ports ポート 488# gss-http
acl Safe_ports ポート 591# ファイルメーカー
acl Safe_ports ポート 777# マルチチャネル http
acl CONNECT メソッド CONNECT

auth_param 基本プログラム/usr/libexec/squid/pam_auth
auth_param 基本サブキー 5
auth_param 基本 fieldSquidy
auth_param 基本資格証明 4時間

ACLパスワードProxy_authが必要

http_access許可マネージャ
http_accessが拒否されました！ Safe_ports
http_access 拒否 CONNECT !SSL_ports
http_accessはパスワードを受け入れます
http_accessはlocalhostを受け入れます
http_accessはローカルネットワークを許可します
http_accessすべて拒否

閉じることで
Forward_Close

request_header_access 許可 すべて許可
request_header_access 認証はすべて許可
request_header_access WWW-認証はすべて許可します。
request_header_access プロキシ認証はすべて許可します。
request_header_access プロキシ認証はすべて許可します。
request_header_accessキャッシュ制御はすべてを許可します
request_header_access コンテンツエンコーディングはすべて許可します。
request_header_access content-length はすべて受け入れます。
request_header_access コンテンツタイプはすべて許可
request_header_access 日付をすべて許可
request_header_access の有効期限が切れると、すべて許可されます。
request_header_access ホストはすべて許可します。
request_header_access If-Modified-Since はすべて許可します。
request_header_access Last-Modifiedはすべて許可します。
request_header_access場所はすべて受け入れます
request_header_access Pragmaはすべて許可します。
request_header_access 承認をすべて許可
request_header_access は文字セットを受け入れ、すべてを受け入れます。
request_header_access エンコーディングを許可 すべて許可
request_header_access はすべての言語を受け入れます。
request_header_access コンテンツ言語はすべて許可
request_header_access Mime バージョンはすべて許可
request_header_access 再試行 - 以降すべて許可
request_header_access ヘッダーはすべて許可
request_header_access 接続はすべて許可
request_header_access プロキシ接続はすべて許可
request_header_access user-agent はすべて許可します。
request_header_accessクッキーはすべて受け入れます。
request_header_access すべて すべて拒否

ポートでリッスンします3193 tcp。その後、キャッシュオプション、いくつかのaclコマンド、およびPAM認証がありますauth_param（おそらくプロキシをオンにし、スパムレポートのためにVPSを失いたくないでしょう）。request_header_access配線は不要です。彼らはより良い匿名性を提供します。

Stunnel サーバーの構成

サーバーに Stunnel をインストールします。以下は構成例です。

setuid=トンネル
setgid=トンネル

CAfile = /etc/stunnel/certs.pem
CRLファイル= /etc/stunnel/crls.pem

[代理人]
承諾=8888
接続=127.0.0.1:3193

Stunnelのインストール中に生成された認証ファイルかもしれません。ファイルパスを確認してくださいCAfile。単にポートでリッスンし、復号化され8888 tcpたストリームをSquidにリダイレクトします。したがって、アクセス可能であることを確認してください。

iptables -I INPUT 1 -p tcp --dport 8888 -j ACCEPT

もはや世界的にイカリスニングポートに接続する必要はありません。

Stunnel クライアントの構成

ローカルマシンにstunnelをインストールし、必要に応じてこの設定を変更します。

setuid=トンネル
setgid=トンネル
pid = /var/run/stunnel/stunnel.pid

[エポキシ]
承諾=8123
接続 = サーバー IP: 8888
顧客=はい
libwrap=いいえ

server_ip を適切な値に置き換えます。その後、サーバーでSquidを起動し、クライアントとサーバーでStunnelを起動します。localhost:8123ブラウザと同様にプロキシを設定してください。すべてが正常な場合は、ユーザー名とパスワードを入力するように求められます。

Question 2

httpsサーバーはApacheですか？私はあなたの状況を完全に理解していませんが、mod_proxyがあればあなたが望むことをすることができます。

Answer

httpsサーバーはApacheですか？私はあなたの状況を完全に理解していませんが、mod_proxyがあればあなたが望むことをすることができます。

Question 3

仮想ホストに何も設定したことはありませんが、汎用HTTPSに関する情報は次のとおりです。

HTTPSはHTTPとSSLの組み合わせを使用します（ここではWikipediaの記事を参照してください：http://en.wikipedia.org/wiki/HTTP_Secure）。 HTTPSは実際にはそれ自体プロトコルではなく、SSLトンネルを介して実行される一般的なHTTPです。

HTTPSは認証局（CA）と公開鍵インフラストラクチャ（PKI）を使用して、ユーザーがサイトを「信頼」できるようにします。 Webサーバー用の公開鍵証明書を生成し、証明書を信頼できるCA（VeriSignなど）で署名する必要があります。信頼できる証明書を取得するには、それを維持するために年間料金を支払う必要があります。

信頼できるCAを通過しないと、ユーザーがWebサイトに接続しようとすると警告メッセージが表示されます。これにより、ユーザーはセキュリティ上のリスクを考慮に入れることができ、サイトを離れることがよくあります。

また、HTTP はデフォルトでポート 80 を使用しますが、HTTPS は 443 を使用するため、ポートフォワーディング/ポート遮断がある場合は、そのポートを接続できることを確認する必要があります。 HTTPSを使用するには、サイトを閲覧するときにそのサイトにURLを入力する必要があります。それ以外の場合、デフォルト値はHTTPに設定されます。

編集：以下はHTTPSの仕組みの良い紹介です。 http://securityworkshop.blogspot.com/2009/01/how-httpsssl-works-part-1-basics.html

Answer

仮想ホストに何も設定したことはありませんが、汎用HTTPSに関する情報は次のとおりです。

HTTPSはHTTPとSSLの組み合わせを使用します（ここではWikipediaの記事を参照してください：http://en.wikipedia.org/wiki/HTTP_Secure）。 HTTPSは実際にはそれ自体プロトコルではなく、SSLトンネルを介して実行される一般的なHTTPです。

HTTPSは認証局（CA）と公開鍵インフラストラクチャ（PKI）を使用して、ユーザーがサイトを「信頼」できるようにします。 Webサーバー用の公開鍵証明書を生成し、証明書を信頼できるCA（VeriSignなど）で署名する必要があります。信頼できる証明書を取得するには、それを維持するために年間料金を支払う必要があります。

信頼できるCAを通過しないと、ユーザーがWebサイトに接続しようとすると警告メッセージが表示されます。これにより、ユーザーはセキュリティ上のリスクを考慮に入れることができ、サイトを離れることがよくあります。

また、HTTP はデフォルトでポート 80 を使用しますが、HTTPS は 443 を使用するため、ポートフォワーディング/ポート遮断がある場合は、そのポートを接続できることを確認する必要があります。 HTTPSを使用するには、サイトを閲覧するときにそのサイトにURLを入力する必要があります。それ以外の場合、デフォルト値はHTTPに設定されます。

編集：以下はHTTPSの仕組みの良い紹介です。 http://securityworkshop.blogspot.com/2009/01/how-httpsssl-works-part-1-basics.html

Question 4

私の水晶玉はあなたがそれを見なければならないと言うhttp://www.stunnel.org/static/stunnel.html

ボールが間違っている場合は関係ありません。

Answer

私の水晶玉はあなたがそれを見なければならないと言うhttp://www.stunnel.org/static/stunnel.html

ボールが間違っている場合は関係ありません。

イカの構成

答え1

イカの構成

Stunnel サーバーの構成

Stunnel クライアントの構成

答え2

答え3

答え4

関連情報