以前の名前: ascii_port
動作条件:
デフォルト値: none
提案された設定:
# Squid normally listens to port 3128
http_port 3128
使用方法:
port [mode] [options]
hostname:port [mode] [options]
1.2.3.4:port [mode] [options]
SquidがHTTPクライアントからのリクエストを待ち受けるソケットのアドレス。
あなたは、複数のソケットアドレスを指定することもできます。
これらは単一のポート, ホスト名とポート, IPアドレスとポートという3つの形式があります。
ホスト名またはIPアドレスを指定した場合は、Squidはその特定のアドレスにソケットをバインドします。
最も可能性の高いのは、特定のアドレスにバインドする必要がないのでポート番号だけを使用することでしょう。
あなたがアクセラレータモードでのSquidを実行している場合は、おそらくポート80をリッスンするようにしたい事でしょう。
コマンドラインオプションの -a は、Squidが要求を受け付ける追加のポートを指定するために使用することができます。このようなポートは、オプションなしのプレーンなプロキシポートになります。
あなたは、複数の行に複数のソケットアドレスを指定することもできます。
mode(モード):
- intercept
- ブラウザでの設定なしでリクエストをIP-レイヤーにて傍受(インターセプト)するのをサポートします。
NP(Not Possible?): 認証およびIPv6ポート上では無効にします。
- tproxy
- クライアントIPアドレスの発信基を詐称(spoofing)するためにリLinux の TPROXY をサポートします。
NP(Not Possible?): 認証あるいはIPv6ポート上では無効にします。
- accel
- アクセラレータ:加速(Accelerator) / リバース・プロキシ モード
- ssl-bump
- ssl_bump ACLによって許可された各CONNECTリクエストについては、クライアント、およびサーバーとの安全な接続を確立して、それらがSquidを通り抜けるように HTTPSメッセージを解読して、解読されたHTTPメッセージとしてそれらを扱うように介入する。
ssl_bumpオプションはCONNECTリクエストのバンピング(bumping)を有効にするように要求します。
モードフラグを省略すると、デフォルトではフォワードプロキシモードが使用されます。
アクセラレータ(Accelerator)・モード オプション:
- defaultsite=domainname
- リクエストの中に HOST: ヘッダーが存在しない場合に使用されます。どのサイト(オリジナルサイトが無いとき)アクセラレータが考慮するデフォルトを決めます。
- no-vhost
- 仮想ドメインをサポートするための HTTP/1.1 ホストヘッダーの使用を無効にします。
- protocol=
- アクセラレーションでのリクエスト内のプロトコルを再構築します。
デフォルトでは、http_portにはhttpを、https_portにはhttpsです。
- vport
- バーチャルホストのポートのサポート。 HOST: ヘッダーでのポートとして代わりに指定されたポート番号を使う。
- act-as-origin
- このsquidはオリジンサーバであるかのように行動する。これは、HITでのあたらしい Date: や Expires: ヘッダーを現在のもので生成し、Age: を追加します。
- ignore-cc
- リクエストの Cache-Control ヘッダを無視する。
警告:このオプションを非アクセラレーションのセットアップの中で使用したなら、HTTP仕様に違反します。
- allow-direct
- アクセラレータモードでのダイレクト転送を可能にします。通常、never_direct が使用されたかのように、アクセラレートでのリクエストではダイレクト転送は拒否されます。
警告:このオプションでアクセラレータモードを開くことで、通常はインターセプトモードにセキュリティの脆弱性への影響を与える。 これを使用する場合、フォワーディングを保護することを確実にする適切なhttp_accessルールを適用してください。
SSL Bumpモード オプション:
これらのオプションに加えて、ssl-bump はTLS/SSLオプションを要求します。
- generate-host-certificates[=<on|off>]
- bumpされた CONNECT リクエストの転送先ホストのためのダイナミックにSSLサーバ証明書を作成します。
有効にすると証明書とキーのオプションは、生成された証明書に署名するために使用されます。
そうでないなら生成される証明書は、自己署名されます。
有効期限のあるCA証明書で生成された証明書では、証明書の有効期限はCAの証明書と等しい。生成された証明書が自己署名の場合、寿命は3年です。ssl-bumpが使用されている場合、このオプションはデフォルトで有効になっています。
詳細については、上記のssl-bumpオプションを参照してください。
- dynamic_cert_mem_cache_size=SIZE
- キャッシュで生成される証明書に費やすおおよそのRAMサイズの合計。
ゼロに設定すると、キャッシングは無効になっています。
デフォルト値は4MBです。
TLS / SSL オプション:
- cert=
- SSL証明書へのパス(PEM形式)
- key=
- SSLプライベートキーファイルへのパス(PEM形式)。
指定されていない場合は、証明書ファイルは証明書とキーが組み合わされているとみなされます。
- version=
- サポートされているSSLのバージョン。
1 automatic (default)
2 SSLv2 only
3 SSLv3 only
4 TLSv1.0 only
5 TLSv1.1 only
6 TLSv1.2 only
- cipher=
- コロンで区切られた、サポートされている暗号のリスト。
注:
EDH暗号のようないくつかの暗号は追加のセッティングを期待します。
それらのセッティングが省略される場合、暗号はOpenSSLライブラリによって暗黙のうちに無視されるかもしれません。
- options=
- 様々なSSLインプリメンテーション・オプション。とても重要。
次の中から:
NO_SSLv2 SSLv2 の使用を許可しない。
NO_SSLv3 SSLv3 の使用を許可しない。
NO_TLSv1 TLSv1.0 の使用を許可しない。
NO_TLSv1_1 TLSv1.1 の使用を許可しない。
NO_TLSv1_2 TLSv1.2 の使用を許可しない。
SINGLE_DH_USE temporary/ephemeralの(一時的な/暫時)DHキー交換を使用するときは、
必ず新しいキーを作成する。
ALL OpenSSLによって"無害な"ものとして示唆された様々なバグ回避手段を
可能する。これによって幾つかの攻撃に対しSSL / TLSの強度が低下する
ことに注意。
オプションの完全なリストについては、OpenSSLのSSL_CTX_set_options
マニュアルを参照してください。
- clientca=
- クライアント証明書を要求するときに使用するCAのリストのファイル。
- cafile=
- クライアント証明書を検証する際に使用するために追加のCA証明書のファイル。
clientcaが未設定のときに使用される。
- capath=
- クライアント証明書を確認する場合に使用するための、追加のCA証明書およびCRLを含んでいるディレクトリーのリスト。
- crlfile=
- capathで与えられたCRLに加え、クライアント証明書を確認する場合に使用する追加のCRLリストのファイルを追加します。
VERIFY_CRLフラグを意味を下に示します。
- dhparams=
- temporary/ephemeral(一時的な/暫時)のDHキー交換用のDHパラメーターを含んでいるファイル。
このファイルを作成する方法についての詳細については、OpenSSLドキュメンテーションを参照してください。
警告:このオプションが設定されていない場合、EDH暗号は無効になります。
- sslflags=
- SSLの使用を変更する各種フラグ:
DELAYED_AUTH
すぐにクライアント証明書を要求しない。
ACLの処理において認証処理のリクエストは待ってください。(まだ実装されていない)
NO_DEFAULT_CA
OpenSSLに組み込まれたデフォルトのCAのリストを使用しないでください。
NO_SESSION_REUSE
セッションの再利用を可能にしないでください。各接続は、新しいSSLセッションになります。
VERIFY_CRL
クライアント証明書を受け入れるときに、CRLのリストを確認してください。
VERIFY_CRL_ALL
クライアント証明書チェーン内のすべての証明書のCRLのリストを確認してください。
- sslcontext=
- SSLセッションIDコンテキスト識別子。
その他のオプション:
- connection-auth[=on|off]
- connection-auth=off はsquidがMicrosoftに適合した認証の接続を防ぐために使用します。
(NTLMネゴシエーションとKerberos)
- disable-pmtu-discovery=
-
Path-MTU discovery を制御します。
off OSが(デフォルト)に何をすべきかを決定することができます。
transparent トランスペアレント(透過)のサポートが有効の場合に、PMTU discoveryを無効にします。
always 常に PMTU discoveryを無効にします。
透過的インターセプトを行うプロキシの設定において、Path-MTU探索(discovery)は、クライアントに向けてトラフィック上で動作することはできません。
このような場合には、透過中のデバイスは接続の追跡を完全には行えず、またキャッシュサーバは断片化されたICMPによって失敗するでしょう。
あなたが、このようなセットアップによる特定のクライアントの散発的にハングアップを経験したなら、 disable-pmtu-discoveryで'transparent'オプションをセットすることで成功するでしょう
- name=
- ポートの内部名を指定します。デフォルトでは port が指定されています。(port or addr:port)
- tcpkeepalive[=idle,interval,timeout]
- アイドル接続中のTCPキープアライブ・プローブを使用可能にします。
秒単位で、idle はTCPの接続の開始からどれくらい経過し、interval はどのくらいの間隔で探査(プローブ)を行い、timeout はその応答がなかったときどれ位でタイムアウトとするかです。
もしあなたが、内部および外部インターフェースのデュアルホームマシーン(複数のアドレスを持って構築するマシーンのこと)でSquidを実行するなら、内部アドレスは address:port として指定することをお勧めします。
この方法のSquidでは内部アドレスを見えるようになるでしょう。