Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
squid.doc
Скачиваний:
2
Добавлен:
01.05.2025
Размер:
1.45 Mб
Скачать

4.17 Что такое ``http_x_forwarded_for''? Почему squid снабжает ним www-сервера и как мне это прекратить?

Когда используется прокси-кеш, сервер не "видит" соединения от реального клиента. Многие предпочитают организовывать контроль доступа основанный на адресе клиента. Чтобы приспособиться под подобных людей, Squid добавляет собственный заголовок под названием "X-Forwarded-For", который выглядит так:

X-Forwarded-For: 128.138.243.150, unknown, 192.52.106.30

Строка всегда содержит IP-адрес либо слово unknown, если адрес не может быть определен, либо его отображение выключено при помощи конфигурационной опции forwarded_for.

Мы должны обратить ваше внимание на то, что контроль доступа онованный на этом заголовке очень неэффективен и может быть запросто обойден. Любой клиент может внести в запрос любой IP-адрес вручную. Возможно по этой причине клиентский IP-адрес не описывается в спецификации HTTP/1.1.

4.18 Может ли Squid сделать анонимными http-запросы?

Да, может, однако метод реализации этой возможности изменен по сравнению с ранними версиями Squid. В squid-2.2 представлен более гибкий метод. Следуйте инструкциям для используемой вами версии Squid. По умолчанию анонимайзер не используется.

Если вы решили использовать анонимайзер, то вам необходимо разобраться с опцией forwarded_for предотвращающей передачу адреса клиента. Отказ от устновки значения опции forwarded_for в "off" уменьшит эффективность анонимайзера. И наконец, если вы фильтруете заголовок User-Agent при помощи опции fake_user_agent, то это может предотвратить некоторые проблемы, возникающие у пользователей, т.к. некторые сайты требуют заголовка User-Agent.

Squid 2.2

Начиная с версии squid 2.2 анонимайзер стал более удобен в использовании. Теперь он позволяет точно указать какой из заголовков разрешено передавать.

Новый анонимайзер использует тег 'anonymize_headers'. Он имеет два режима - 'запрещающий' все и разрешающий определенные заголовки. Следующий пример симулирует работу старого параноидального режима.

anonymize_headers allow Allow Authorization Cache-Control

anonymize_headers allow Content-Encoding Content-Length

anonymize_headers allow Content-Type Date Expires Host

anonymize_headers allow If-Modified-Since Last-Modified

anonymize_headers allow Location Pragma Accept Charset

anonymize_headers allow Accept-Encoding Accept-Language

anonymize_headers allow Content-Language Mime-Version

anonymize_headers allow Retry-After Title Connection

anonymize_headers allow Proxy-Connection

Это предотвратит прохождение через прокси любых других заголовков, кроме указанных в списке.

Второй режим 'разрешает' все и запрещает определенные заголовки. Этот пример копирует работу старого режима standard.

anonymize_headers deny From Referer Server

anonymize_headers deny User-Agent WWW-Authenticate Link

Это разрешает прохождение всех заголовков, пока они не указаны в списке.

Вы не можете смешивать методы "allow" и "deny" в конфигурации squid, используйте либо один из них, либо другой !

Squid 2.1 и более ранние версии

Есть три режима: nonestandard, and paranoid. Режим указывается при помощи конфигурационной опции http_anonymizer.

Без анонимизации (по умолчанию), Squid передает все заголовке запроса, полученного от клиента, запрашиваемому серверу (согласно обычным правилам HTTP).

В режиме standard, Squid фильтрует такие специфические заголовки в запросе:

  • From:

  • Referer:

  • Server:

  • User-Agent:

  • WWW-Authenticate:

  • Link:

В режиме paranoid, Squid разрешает только такие специфические заголовке в запросе:

  • Allow:

  • Authorization:

  • Cache-Control:

  • Content-Encoding:

  • Content-Length:

  • Content-Type:

  • Date:

  • Expires:

  • Host:

  • If-Modified-Since:

  • Last-Modified:

  • Location:

  • Pragma:

  • Accept:

  • Accept-Charset:

  • Accept-Encoding:

  • Accept-Language:

  • Content-Language:

  • Mime-Version:

  • Retry-After:

  • Title:

  • Connection:

  • Proxy-Connection:

Рекомендации: Анонимный WWW

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]