Home FreeBSD FreeBSD Proxy установка ftp прокси-сервера FROX

установка ftp прокси-сервера FROX

установка ftp прокси-сервера FROX

Автор: lissyara.
Оригинал: http://www.lissyara.su/articles/freebsd/programms/frox/


Прокси-сервер - это программа, которая принимает запросы пользователя и устанавливает соединение за него. Бывают прозрачные и непрозрачные прокси-серверы. Непрозрачный прокси - это тот, о котором нужно знать, чтобы установить соединение, и для того, чтобы им воспользоваться нужно знать его настройки (адрес, порт, возможно пароль). Запросы идут непосредственно к прокси. Прозрачный прокси сервер невидим для пользователя. Т.е. клиент пытается установить соединение с сервером в интернете (http, www, etc...), но на шлюзе тем или иным способом запросы клиента переадресуются на прокси, который и устанавливает соединение с запрашиваемым сервером. Из плюсов прозрачного проксирования - на клиентской машине не нужно делать вообще никаких настроек - достаточно указать шлюз по-умолчанию, адрес DNS-сервера - и всё работает. Из минусов - на нём нельзя организовать авторизацию пользователей (по крайней мере так у squid`a, являющегося образцом для всех остальных). Плюс обоих видов прокси сервера - в том, что если какой-то файл (а html страничка в конечном счёте - тоже файл, даже если она генерится при запросе, она же может быть сохранена) был один раз запрошен, то при повторном запросе его же прокси сервер шлёт коротенький запрос 304 - была ли она изменена, если нет, то он отдаёт страницу из собственного кэша, чем экономится траффик и ускоряется работа инета (причём ускоряется реально - у меня дома под столом стоит машина с 4.11 фряхой, squid и frox. Я как-то на своём десктопе, под форточками, устанавливал кучу софта на FreeBSD в VmWare. А их у меня там три штуки - так вот на первой он честно всё качал из инета, я заколебался ждать, а на остальных скорость скачивания была 3-4 мегабайта в секунду - отдавали из кэша squid, если файл был по http, или frox, если по ftp. Кстати линия у меня 160 кбит/с - это чуть больше 20-ти килобайт в секунду. Экономия времени получилась приличная, в сумме ему было качать почти 200 мегов...)
Итак. frox - ftp прокси сервер. Может быть как прозрачным, так и непрозрачным.
— Встроенная проверка на вирусы (внешним антивирусом, встроенная в том смысле, что это стандартная опция конфига и не надо плясать с бубном чтобы её привернуть, как у сквида - хотя и для последнего, вроде бы, скоро, icap будет встроенный....)
— Может запускаться сам, а может через inetd (к сожалению в последнем случае функция кэширования не работает, из плюсов остаётся только антивирь).
— ACL (Access Control Lists) - можно настроить кому куда можно, и кому можно вообще.
— Поддержка внешнего редиректора, как в squid (в конфиге так и написано - что идея взята именно из него) - т.е. если что-то не удаётся сделать в конфиге, можно написать свой редиректор, который будет например подменять файлы - чтоб всякую дрянь, типа кино не качали :)
Короче много чего может :). Самое хорошее - внятный и понятный конфиг. Из косяков, на мой взгляд, тока два - первое - не может работать на 127.0.0.1 (его приходится вешать на адрес внутренней сетки), и второе - антивирус при проверке запускается заново для каждого файла. Это особенно актуально на слабых машинах, если файлов много - ждать по 4 секунды (на моём P-I 166MMX) на файл размером в пару килобайт - это вешалка.... На более современных машинах это всё конечно много быстрей, но всё равно медленно. В итоге на работе антивирусная проверка ftp-траффика включена, а вот дома - нет.
Ставить будем из портов./root/>cd /usr/ports/ftp/frox
/usr/ports/ftp/frox/>make && make install && make clean


Вылезает синенькое окошко с опциями, где выбираем то, что нам нужно. Я выбрал:
VIRUS_SCAN
LOCAL_CACHE
CCP
Если Вы пользуютесь ipfilter - то надо выбрать и эту строчку, я же пользуюсь IPFW, поэтому мне она не нужна. Зависимости у него "стандартные", если конечно можно так выразиться:
expat-1.95.8_3
gettext-0.14.5
gmake-3.80_2
libiconv-1.9.2_1
Если до этого что-то из портов ставилось - то всё это уже стоит. Если нет - сам притащит. Чем и хороши порты :). Версия самого его на этот момент: frox-0.7.18
Редактируем /usr/local/etc/frox.conf - только изначальное его нет, надо его скопировать из дефолтового конфига:/usr/ports/ftp/frox/>cd /usr/local/etc/
/usr/local/etc/>cp frox.conf.sample frox.conf
/usr/local/etc/>ee frox.conf


У меня он такой (естественно комментарии все убраны, как и неиспользуемые опции, для краткости и наглядности), для использования прозрачного проксирования:Listen 192.168.0.254
Port 2121
User nobody
Group nogroup
WorkingDir /tmp/frox
DontChroot Yes
LogLevel 25
LogFile /var/log/frox.log
PidFile /var/run/frox.pid
APConv yes
BounceDefend yes
CacheModule local
CacheSize 400
MinCacheSize 1
VirusScanner '"/usr/local/bin/clamscan" "-i" "%s"'
VSOK 0
VSProgressMsgs 30
MaxForks 10
MaxForksPerHost 4
ACL Allow * - *


Если собираетесь использовать антивирусную проверку - то надо установить ClamAV или другой антивирус который будете использовать. Тут я описывать это не буду, т.к. настроек никаких особенных нет, просто отошлю к этой статье, там всё подробно расписано. Что касается остальных настроек - смотрите сам сам файл конфигурации - там много комментариев.
Добавляем в /etc/rc.conf строку frox_enable="YES" и запускаем frox:/usr/local/etc/>cd rc.d
/usr/local/etc/rc.d/>./frox.sh start
Starting frox.
/usr/local/etc/rc.d/>Sat Sep 3 22:59:07 2005 frox[88879] Forked to background
/usr/local/etc/rc.d/>


После чего добавляем такую строчку в файрволл, до natd, там же где и squid:
${FwCMD} add fwd ${IpIn},2121 tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}
где:
FwCMD="/sbin/ipfw" - бинарник ipfw с путём
IpIn="192.168.0.254" - внутренний IP сервака
NetIn="192.168.0.0" - внутренняя сеть
NetMask="24" - маска внутренней сети
LanOut="fxp0" - внешний интерфейс

Вот и всё. Можно пользоваться.

P.S. Насчёт антивирусной проверки - попробуйте, если скорость устроит, то пользуйтесь. У меня была идея написать скриптик на перле, который ему подсовывать вместо антивируса в строке
VirusScanner '"/usr/local/bin/clamscan" "-i" "%s"', а вот скриптик уже бы скармливал файлы clamd висящему в памяти постоянно. Но - нету времени и перл я не очень хорошо знаю :( Если реализуете - напишите. Ценный скриптик был бы :)

P.S.2 У FROX есть ещё одна проблема - если папка на удалённом сервере названа по русски - на неё не войти...

P.S.3 (2005-11-24) Я прикрутил clamd к frox. Правда убил на это весь день, но всё-таки. Смысл, в общем такой - в конфиге меняем строчку антивирусной программы, должна быть такая VirusScanner '"/usr/local/bin/clamdscan" "--quiet" "%s"'


затем выясняем от кого кто у нас работает:/usr/local/etc/>ps -axj | grep clam
clamav 57255 1 57255 c4569dc0 0 Ss ?? 0:00.01 /usr/local/sbin/clamd
/usr/local/etc/exim/>ps -axj | grep frox
lissyara 63164 29190 29190 c44cc080 1 RV p0 0:00.00 grep frox (csh)
nobody 59762 1 59761 c3808ec0 0 I p1 0:00.00 frox
nobody 59763 59762 59761 c3808ec0 0 I p1 0:00.02 frox
nobody 59765 59762 59761 c3808ec0 0 I p1 0:00.01 frox
/usr/local/etc/>


Выясняется, что они работают от разных пользователей. Надо сделать одного. Мне показалось проще перевести ClamAV на пользователя nobody. Это было ошибкой. На него было слишком много завязано. Тогда вернул всё как было, а вот FROX стал запускать от пользователя clamav, заодно надо поменять права на директорию где хранится его кэш:/usr/local/etc/>chown -R clamav:clamav /tmp/frox
/usr/local/etc/>killall -9 frox
/usr/local/etc/>killall -9 frox
No matching processes were found
/usr/local/etc/>rc.d/frox.sh restart


В итоге всё заработало. Выигрыш в быстродействии - едва ли не на порядок, особенно при копировании мелких файлов - раньше шёл запуск clamav на каждый файл, а теперь их проверяет постоянно висящий в памяти clamd.

Обновлено 28.05.2010 13:45  
Интересная статья? Поделись ей с другими:

  • Вопросы по поводу написанных статей можно обсудить в нашем сообществе в Вконтакте / Questions about written articles can be discussed in our community in Vkontakte Вопросы по поводу написанных статей можно обсудить в нашем сообществе в  Вконтакте / Questions about written articles can be discussed in our community in Vkontakte
Яндекс.Метрика