7. Главный
конфигурационный файл
Основной файл конфигурации называется config
в Linux/BSD и OS/2, и config.txt
в Windows.
Настройки задаются строчками, начинающимися с
ключевого слова с последующим списком значений, разделенных
пробельными символами (любое количество пробелов или табуляций).
Например, строка:
confdir
/etc/privoxy
присваивает значение «/etc/privoxy»
опции confdir , тем самым
задавая каталог, в котором хранятся настройки Privoxy - /etc/confdir.
Все опции в конфигурационном файле, за
исключением confdir и
logdir, не являются обязательными. В нижеследующем
описании указывается, что произойдет, если не задавать эти
настройки.
В главном конфигурационном файле задаются
глобальные настройки Privoxy (т.е. они являются универсальными, и
применяются всегда и везде – на любом сайте).
7.1.
Расположение файлов конфигурации и файла журнала
Privoxy может использовать (и по умолчанию использует) несколько
разных файлов для дополнительных настроек, справки, ведения журнала
работы. Данная секция главного конфигурационного файла задает, где
Privoxy будет искать эти дополнительные файлы.
Пользователь, от имени которого запускается Privoxy, должен иметь
право на чтение ко всем конфигурационным файлам, и право записи в
изменяемые файлы, такие, как журнал и файлы действий.
7.1.1. confdir
- Задает:
-
Каталог, в котором находятся конфигурационные файлы
-
Тип значения:
-
Путь (имя каталога)
-
Значение по умолчанию:
-
/etc/privoxy (Unix) или каталог,
в который установлен Privoxy (Windows)
-
Эффект, если не задан:
Это
обязательный параметр
- Примечания:
-
Пожалуйста, не добавляйте символ "/"
в конце строки
-
В будущем планируется настройки блокировки рекламы, фильтры и
пользовательские настройки хранить в отдельных подкаталогах каталога
"confdir".
Пока структура этого каталога плоская, за исключением
каталога confdir/templates,
где расположились HTML-шаблоны веб-интерфейса Privoxy
(они используются CGI-программами, которые рисуют этот интерфейс;
пример – шаблон страницы «404 not found» ).
7.1.2. logdir
- Задает:
-
Каталог, в котором находятся журналы (лог-файлы) (т.е. logfile
и jarfile)
-
Тип значения:
-
Путь (имя каталога)
-
Значение по умолчанию:
-
/var/log/privoxy (Unix) или
каталог, в который установлен Privoxy (Windows)
Эффект, если не задан:
Это
обязательный параметр
Примечания:
- Пожалуйста, не пишите символ "/"
в конце строки
7.1.3. actionsfile
Задает:
- Файлы
действий (actions files)
-
Тип значения:
-
Имя файла относительно каталога confdir без суффикса
.action
-
Значения по умолчанию:
-
|
standard #
Используется для внутренних целей, не рекомендуется
редактировать
|
|
default #
Основной файл действий
|
|
user #
Пользовательские настройки
|
- Эффект, если не задан:
-
Никаких действий к URL применяться не будет. Privoxy будет выполнять
простое нейтральное проксирование (proxying).
-
Примечания:
-
В файле actionsfile разрешаются и даже рекомендуются
многострочные записи (т.е. описание одного действия можно переносить
на несколько строк для лучшей читаемости – при. пер.).
По умолчанию заданы файлы: standard.action –
используется для внутренних целей, нужен для работы Privoxy и
обязательно должен существовать; default.action
– основной файл действий, поддерживается разработчиками;
user.action, - для пользовательских настроек, действий и
т.п..
В файлах действий задаются все
настройки блокирования рекламы, управления cookies, скрытия приватной
информации и пр.. Таким образом, без файлов действий (хотя бы
одного) использовать Privoxy нет смысла.
7.1.4. filterfile
- Задает:
-
Используемый файл
фильтров (filter file)
-
Тип значения:
-
Имя файла относительно каталога confdir
-
Значение по умолчанию:
-
default.filter (Unix) или
default.filter.txt (Windows)
-
Эффект, если не задан:
-
Фильтрация содержимого страниц не выполняется, т.е. все действия
+filter{name}
в файлах действий устаналиваются в нейтральное состояние (не
работают).
-
Примечания:
-
Файл
фильтров содержит правила, по которым содержимое веб-страниц
может изменяться «на лету» с помощью регулярных
выражений. Эти правила позволяют полностью
изменять веб-страницы, например, можно отключить раздражающие вас
скрипты JavaScript (не отключая его полностью); можно изменять не
только HTML-код страницы и т.п., но и собственно сам выводимый текст
– например просто поприкалываться, заменяя везде «Microsoft»
на «Microsuck».
-
-
Правила +filter{name}
в файлах действий задают только область применения фильтра, сами же
фильтры определяются записями вида filter
(name) в файле фильтров.
-
-
В дистрибутив Privoxy стандартно входит файл default.filter,
в котором содержатся несколько удобных фильтров «общего
назначения». Список этих фильтров можно найти в
соответствующей
секции раздела, посвященного файлам действий.
7.1.5. logfile
- Задает:
-
Используемый файл журнала (лог-файл)
Тип значения:
- Имя файла относительно каталога
logdir
Значение по умолчанию:
- logfile (Unix)
или privoxy.log
(Windows)
Эффект, если не задан:
- Запись событий в журнал не ведется,
все сообщения отправляются на консоль (STDERR).
Примечания:
В журнал записываются все сообщения
об ошибках и другие важные сообщения. Уровень детализации и
количество сообщений задаются опцией debug (см. далее). Журнал
работы может быть полезен для решения возможных проблем с Privoxy
(например, не блокируются баннеры, которые по вашему мнению должны
блокироваться), но скорее всего, вы туда ни разу не заглянете.
Если ничего специально не делать,
журнал будет разрастаться, пока не займет все доступное место, но
файл журнала можно периодически удалять. В Unix-системах можно
использовать планировщик заданий cron (см. "man cron"). Во
многих дистрибутивах (например, RedHat/Fedora Core) используется
ротация журналов с помощью демона logrotate.
В системе SuSE Linux вы можете
добавить строку вида "/var/log/privoxy.* +1024k 644
nobody.nogroup" в /etc/logfiles,
в результате ежедневно (при выполнении
скрипта cron.daily), если
размер журнала превысит 1Мбайт, он будет автоматически упакован в
отдельный архивный файл, а сам журнал будет очищен.
Пользователь, от имени которого
запущен Privoxy (в UNIX по умолчанию это пользователь «privoxy»)
должен иметь право записи в файл журнала.
7.1.6.
jarfile
Задает:
Файл для
хранения перехваченных cookies
Тип значения:
Имя файла относительно каталога
logdir
Значение по умолчанию:
jarfile (Unix) или
privoxy.jar (Windows)
Эффект, если не задан:
Перехваченные
cookies не будет сохраняться.
Примечания:
jarfile со временем может разрастаться до
совершенно неприличных размеров.
7.1.7. trustfile
Задает:
Используемый файл со списком доверенных
сайтов (trust file)
Тип значения:
Имя файла относительно каталога confdir
Значение по умолчанию:
Не задан
(закомментировано). Если задан, используется файл trust
(Unix) или trust.txt (Windows)
Эффект, если не задан:
Механизм доверенных сайтов отключен.
Примечания:
Механизм доверенных сайтов -
экспериментальная функция для создания «белых списков»
сайтов, поэтому он должен использоваться с осторожностью. НЕ
рекомендуется для обычных пользователей (эти функции полезны скорее
системному администратору).
Если вы задали файл со списком
доверенных сайтов, Privoxy разрешит доступ только к сайтам,
которые перечислены в этом файле. Записи в файле могут быть двух
видов:
Если в файле trust есть строчки,
начинающиеся с символа «~», например, ~www.example.com,
то Privoxy разрешит доступ только к этим сайтам (а также и ко
всем их файлам и подкаталогам).
Также можно задать в файле trust
сайты-доверенные источники (trusted referrers; такие записи
начинаются с символа «+»). В результате пользователь
сможет получить доступ к «не доверенным» сайтам, но
только в том случае, если он переходит на этот сайт по ссылке с
одного из сайтов-доверенных
источников. При этом «не доверенный» сайт будет
добавлен в файл trust (т.е. станет уже доверенным), так что при
следующем обращении к этом сайту будет разрешен уже прямой доступ
(т.е. не обязательно через доверенные
источники). Сайты, добавленные с помощью этого механизма, сами
не становятся доверенными
источниками (т.е. эти сайты добавляются в «trustfile»
с префиксом «~», а
не «+»).
Если вы используете механизм
доверенных источников, файл trust со временем может сильно
разрастаться.
При использовании механизма
доверенных сайтов рекомендуется компилировать Privoxy с опциями
--disable-force, --disable-toggle и –disable-editor
(при этом невозможно будет изменять настройки Privoxy через
веб-интерфейс, а также принудительно переходить по заблокированным
ссылкам – прим. пер.).
Одно из возможных применений этой
функции Privoxy – ограничение доступа детей к Интернету.
7.2.
Локально установленная документация
Если вы
планируете использовать Privoxy для нескольких пользователей (т.е.
как прокси для локальной сети), полезно будет дать
пользователям возможность узнать, как связаться с администратором,
почему та или иная веб-страница блокируется, ваши политики
блокирования и т.п..
7.2.1.
user-manual
Задает:
Расположение
Руководства пользователя Privoxy.
Тип значения:
Полный и правильный URI (т.е. полный
путь к каталогу с документацией, на локальном или сетевом диске,
веб-сервере и т.п. – прим. пер.)
Значение по умолчанию:
Не задано
Эффект, если не задано:
- Будет использоваться путь
http://www.privoxy.org/version/user-manual/
, где version – это версия Privoxy.
- Примечания:
-
URI Руководства Пользователя используется в гиперссылках на
страницах веб-интерфейса. Обычно руководство пользователя включается
в бинарные дистрибутивы, так что скорее всего, вы захотите, чтоб
использовалась именно уже имеющуюся локальную документацию. Для
многопользовательской установки нужно разместить документацию на
локальном веб-сервере и использовать соответствующий URL.
Примеры:
Unix, локальная файловая система:
-
user-manual file:///usr/share/doc/privoxy-3.0.3/user-manual/
|
- Windows,
локальная файловая системе, обратите внимание, что обязательно
должен использоваться прямой слэш:
-
user-manual file:/c:/some-dir/privoxy-3.0.3/user-manual/
|
- Windows,
нотация UNC (с прямыми слэшами):
-
user-manual file://///some-server/some-path/privoxy-3.0.3/user-manual/
|
- Любая
платформа, документация размещена на локальном web-сервере
"local-webserver":
-
user-manual http://local-webserver/privoxy-user-manual/
|
-
|
Предостережение
|
|
Если
эта опция задана, то она должна быть первой
опцией в файле config,
поскольку она
используется при чтении конфигурационного
файла.
|
7.2.2.
trust-info-url
Задаёт:
URL, который будет выведен на веб-странице с
сообщением об ошибке, если пользователь попытается перейти на
закрытую для него страницу или сайт.
Тип значения:
URL
Значение по умолчанию:
Заданы два URL в качестве примера
Эффект, если не задано:
На странице с сообщением об ошибке не будет
никаких гиперссылок.
Примечания:
Задание
этого параметра имеет смысл, только если включен механизм доверенных
сайтов. (См. trustfile
выше).
Если вы используете механизм
доверенных сайтов, желательно создать один или несколько документов
(веб-страниц), разъясняющих ваши правила ограничения доступа, и
укажите их адрес(а) в качестве значения параметра trust-info-url. Для
задания нескольких URL нужно использовать несколько записей
trust-info-url..
Рекомендуется задавать этот
параметр, чтобы пользователи не гадали, почему был заблокирован
доступ к тому или иному сайту, а прочитали соответствующие правила.
7.2.3.
admin-address
Задает:
Адрес электронной почты для связи с
администратором прокси-сервера.
Тип значения:
Адрес адрес электронной почты
Значение по умолчанию:
Не установлено
Эффект, если не установлено:
На веб-странице с сообщениями об ошибках
(например, о запрете доступа к сайту) не будет указан адрес
электронной почты администратора.
Примечания:
Если не заданы оба параметра admin-address
и proxy-info-url на всех сгенерированных страницах не будет
отображаться весь раздел «Local Privoxy support».
7.2.4.
proxy-info-url
Задает:
URL документации о локальной настройках
Privoxy, и политике администратора.
Тип значения:
URL
Значение по умолчанию:
Не установлено
Эффект, если не установлено:
На страницах с ошибками не будет выведена
ссылка на локальную документацию.
Примечания:
Если не заданы оба параметра admin-address
и proxy-info-url на всех сгенерированных страницах не будет
отображаться весь раздел «Local Privoxy support».
По понятным причинам этот URL не следует
блокировать ;-)
7.3. Отладка
Эти опции в основном полезны при выявлении проблем. Обратите
внимание, что при отладке вместо использования этих опций можно
просто вызывать Privoxy из командной строки с опцией --no-daemon.
7.3.1. debug
- Задает:
-
Ключевые значения, определяющие, какая информация будет добавлена в
журнал (logfile).
-
Тип значения:
-
Целое число
-
Значение по умолчанию:
-
12289 (т.е.: адреса (URL) плюс предупреждения и информационные
сообщения)
-
Эффект, если не задано:
-
В журнал ничего не добавляется.
-
Примечания:
-
Доступны следующие уровни отладки:
-
debug 1 # показывает каждый запрос GET/POST/CONNECT
debug 2 # показывает статус каждого соединения
debug 4 # показывает статус I/O (ввода-вывода)
debug 8 # показывает анализ заголовков
debug 16 # запись всех данных в журнал
debug 32 # принудительная отладка
debug 64 # отладка фильтра регулярных выражений
debug 128 # отладка быстрых переходов
debug 256 # отладка блокирования GIF-анимации
debug 512 # CLF (Common Log Format) – вывод в стандартизированном формате ведения журналов
debug 1024 # отладка блокировки всплывающих окон
debug 2048 # веб-интерфейс пользователя
debug 4096 # Стартовый баннер и предупреждения
debug 8192 # Некритические ошибки
|
- Для выбора одновременно нескольких
отладки вы можете либо складывать соответствующие числовые значения,
либо использовать несколько строк debug.
-
Уровень отладки 1 – информативный, поскольку в журнал
добавляется каждый запрос. Настоятельно
рекомендуется использовать уровни 1, 4096 и 8192 ,
поскольку вы сразу заметите, если что-то идет не так. Остальные
уровни, скорее всего, понадобятся вам только для отладки конкретных
проблем. Эти уровни могут засыпать вас с головой отладочными
сообщениями (особенно 16).
-
Сообщение о критических ошибках
(т.е. вызывающих падение Privoxy) всегда добавляются в журнал и не
могут быть отключены.
-
Если вы хотите использовать CLF (Common Log Format – Общий
формат журналов), нужно задать ТОЛЬКО
уровень "debug 512", и больше никаких.
7.3.2.
single-threaded
- Задает:
-
Запускать ли для сервера только один поток (thread)
-
Тип значения:
-
Нет
-
Значение по умолчанию:
-
Не задано
-
Эффект, если не задано:
-
Privoxy будет работать в многопоточном (multithreaded) режиме (или,
если это недоступно, будет создавать дочерние процессы (forked
mode)), т.е. он сможет одновременно обслуживать множество запросов.
-
Примечания:
-
Эта опция нужна исключительно для отладочных целей, и, скорее всего,
у вас никогда не возникнет необходимость в ней. Она
существенно снижает производительность.
7.4. Управление
доступом и безопасность
В этом разделе конфигурационного файла собраны настройки,
относящиеся к безопасности.
7.4.1.
listen-address
- Задает:
-
IP-адрес и TCP-порт, на котором Privoxy будет «слушать»
клиентские запросы.
-
Тип значения:
-
[IP-Address]:Port
-
Значение по умолчанию:
-
127.0.0.1:8118
-
Эффект, если не задано:
-
Будет использоваться адрес 127.0.0.1 (localhost) и порт 8118. Эти
настройки подходят (и рекомендуются) домашним пользователям,
запускающим Privoxy на той же машине, что и браузер.
-
Примечания:
-
Нужно настроить свой браузер(ы) на этот адрес и порт прокси-сервера.
-
Если уже запущен другой сервис, использующий порт 8118, или, если вы
хотите обслуживать запросы с других машин (например, из вашей
локальной сети), нужно изменить значение по умолчанию.
-
Если опустить IP-адрес, Privoxy будет «слушать» все
сетевые интерфейсы на вашей машине, и может стать доступным из
Интернета. В этом случае используйте access
control lists (списки контроля доступа - ACL's, см. ниже), и/или
файрвол (брандмауэр).
-
Если вы открываете Privoxy для «не доверенных»
пользователей, лучше также выключить опции enable-edit-actions
и enable-remote-toggle!
-
Пример:
-
Допустим, Privoxy работает на машине, имеющей адрес 192.168.0.1 в
локальной сети (192.168.0.0); также имеется ещё один сетевой
интерфейс с другим адресом (например, в «большой»
Интернет). Для того, чтобы разрешить доступ к Privoxy только для
клиентов из локальной сети, нужно задать следующий параметр:
-
listen-address 192.168.0.1:8118
|
7.4.2. toggle
- Задает:
-
Начальное состояние переключателя "toggle" (переключение,
или «вкл/выкл»)
-
Тип значения:
-
1 или 0
-
Значение по умолчанию:
-
1
-
Эффект, если не задано:
-
Включено (т.е. равно 1)
-
Примечания:
-
При установке в "0" Privoxy будет запускаться в режиме
"toggled off" - «выключен», т.е. как
нейтральный (ничего не делающий) прокси-сервер, фильтрация
содержимого веб-страниц, блокировка рекламы и т.п. отключены. См.
описание опции enable-remote-toggle ниже. На практике эта
опция мало полезна, т.к. включать/отключать Privoxy гораздо удобнее
через веб-интерфейс,
а не ручным редактированием конфигурационного файла.
-
Если эта опция присутствует в конфигурационном файле, в
Windows-версия Privoxy будет отображаться только значок
включения/отключения программы в трее.
7.4.3.
enable-remote-toggle
- Задает:
-
Может ли использоваться функция включения/отключения
через веб-интерфейс.
-
Тип значения:
-
0 или 1
-
Значение по умолчанию:
-
1
-
Эффект, если не задано:
-
Возможность включения/отключения Privoxy через веб-интерфейс не
доступна.
-
Примечания:
-
Если Privoxy «выключен», он работает как простой
нейтральный прокси-сервер, например, не выполняется никакой
обработки URL.
-
Пока что доступ к функции включения/отключения Privoxy нельзя
настроить отдельно для авторизации по ACL или HTTP, так что все, кто
имеют доступ к Privoxy (см. "ACLs" и listen-address
выше), могут включать/отключать Privoxy полностью (т.е. для всех его
пользователей). Поэтому не рекомендуется
использовать эту опцию, если с Privoxy работают несколько «не
доверенных» пользователей (которым нельзя разрешить управление
прокси-сервером).
-
Обратите внимание: для использования этой возможности Privoxy должен
быть скомпилирован с её поддержкой, иначе использование этой опции
бесполезно.
7.4.4.
enable-edit-actions
- Задаёт:
-
Можно ли редактировать
файлы действий (action files) через веб-интерфейс.
-
Тип значения:
-
0 или1
-
Значение по умолчанию:
-
1
-
Эффект, если не задано:
-
Редактирование файлов действий через веб-интерфейс недоступно
-
Примечания:
-
Пока что доступ к этой функции Privoxy нельзя настроить отдельно для
авторизации по ACL или HTTP, так что все, кто имеют доступ к Privoxy
(см. "ACLs" и listen-address выше), могут
включать/отключать Privoxy полностью (т.е. для всех его
пользователей). Поэтому не рекомендуется
использовать эту опцию, если с Privoxy работают несколько «не
доверенных» пользователей (которым нельзя разрешить управление
прокси-сервером).
-
Обратите внимание: для использования этой возможности Privoxy должен
быть скомпилирован с её поддержкой, иначе использование этой опции
бесполезно.
7.4.5. ACL: permit-access и
deny-access
- Задает:
-
Кто к чему имеет доступ.
-
Тип значения:
-
src_addr[/src_masklen]
[dst_addr[/dst_masklen]]
-
Где src_addr и dst_addr – IP-адреса в
обычной форме записи (вида 192.168.1.12) или корректные (разрешимые)
DNS-имена, а src_masklen и dst_masklen –
маски подсети в нотации CIDR, т.е. целые числа от 2 до 30
определяющие длины (в битах) адресов сетей в полных IP-адресах.
Можно не указывать маску подсети для src_addr и полностью
опустить часть dst_addr.
-
Значение по умолчанию:
-
Не задано
-
Эффект, если не задано:
-
Доступ не ограничивается (точнее, не ограничивается дополнительно к
ограничениям, заданным опцией listen-address)
-
Примечания:
-
Средства управления доступом включены по требованию
интернет-провайдеров и системных администраторов, и, как правило, не
нужны индивидуальным пользователям. Обычному домашнему
пользователю обычно достаточно знать, что Privoxy доступен только с
localhost (127.0.0.1) или с компьютеров из внутренней (домашней)
сети согласно опции listen-address.
-
Пожалуйста, обратите внимание на предостережения в FAQ, что этот
прокси-сервер не может заменить собой брандмауэр (firewall) или
позволить игнорировать уязвимости в системе безопасности.
-
В конфигурационном файле можно задавать множество строчек с
правилами доступа (ACL). Если определено какое-либо правило доступа
(ACL), то Privoxy работает разрешает подключаться к себе (т.е.
использовать себя как прокси-сервер) только с IP-адресов,
соответствующих хотя бы одной строке permit-access (разрешить
доступ) и не подпадающих ни под одно из нижеследующих строчек
deny-access (запретить доступ). Иными словами, правила
читаются в конфигурационном файле сверху вниз и «побеждает»
последнее правило, при этом приоритет имеют «запрещающие»
правила (deny-access)
-
Если используется переадресация (forwarding, см. forward
ниже) для определённых адресов (URL) назначения, dst_addr
проверяется на совпадение с адресом перенаправляющего прокси-сервера
(forwarding-proxy), а не с адресом конечного узла назначения. Это
необходимо, поскольку Privoxy не всегда может определить IP-адрес
узла назначения (обычно, если Privoxy находится во внутренней сети,
которая соединена с Интернетом через шлюз).
-
Рекомендуется использовать IP-адреса, а не DNS-имена, поскольку
разрешение имен узлов в IP-адреса требует времени. При этом все
DNS-имена должны быть разрешимы (т.е., чтоб по ним можно было
определить IP-адрес)! Нельзя использовать шаблоны доменов,
вроде "*.org" или неполные доменные имена. Если DNS-имени
соответствует несколько IP-адресов, будет использоваться только
первый найденный.
-
Запрет доступа к определенным сайтам по ACL может иметь
нежелательный эффект, если «запрещенный» сайт расположен
на сервере, на котором размещены другие сайты (доступ к ним также
будет запрещён).
-
Примеры:
-
Явно задаём поведение по умолчанию (если не задан параметр
listen-address или какие-либо правила доступа ACL выше):
разрешить доступ с локального компьютера:
-
- Разрешить доступ с любого хоста из
сети класса C, к которой относится хост www.privoxy.org,
только к сайту www.example.com
(и ни к какому другому):
-
permit-access www.privoxy.org/24 www.example.com/32
|
- Разрешает доступ с любого хоста
сети 192.168.45.64/26 куда угодно, за одним исключением –
персонально 192.168.45.73 запрещен доступ на
www.dirty-stuff.example.com:
-
permit-access 192.168.45.64/26
deny-access 192.168.45.73 www.dirty-stuff.example.com
|
7.4.6.
buffer-limit
- Определяет:
-
Максимальный размер буфера для фильтрации содержимого.
-
Тип значения:
-
Размер в килобайтах
-
Значение по умолчанию:
-
4096
-
Эффект, если не задано:
-
Размер буфера устанавливается в 4 Мб (4096 Кб).
-
Примечания:
-
Для фильтрации содержимого веб-страниц, например, использования
действий +filter и +deanimate-gif необходимо,
чтобы Privoxy буферизовал весь документ полностью. Это может быть
потенциально опасным, поскольку сервер может буферизовать полученные
данные данными до бесконечности, пока не кончится оперативная память
– с самыми плачевными последствиями. Чтоб такого не случилось
и используется эта опция.
-
Когда размер буфера контента достигает
buffer-limit,
содержимое буфера отправляется («сбрасывается») клиенту
не отфильтрованным (т.е. к содержимому не применяются никакие
фильтры) и Privoxy больше не делает попыток применить фильтры к
оставшейся части документа (не поместившейся в буфер).
Помните, что Privoxy может работать в многопоточном (multithreaded)
режиме, при этом каждый поток требует буфер размером до
buffer-limit, если, конечно, вы не включили опцию
single-threaded (см. выше).
7.5. Forwarding -
Перенаправление пакетов
Эта функция позволяет направлять HTTP-запросы через цепочку из
нескольких прокси-серверов. Это может быть полезно для большей защиты
анонимности и конфиденциальности при доступе к определенным сайтам
(доменам) путём направления запросов к этим доменам через публичные
анонимные прокси-серверы (например, см.
http://www.multiproxy.org/anon_list.htm).
Другой вариант использования этой функции – работа Privoxy
совместно с кэширующим прокси-сервером для увеличения скорости работы
(т.к. сам Privoxy не поддерживает кэширование – прим. пер.).
Ещё один вариант – перенаправление запросов к родительскому
(вышестоящему) прокси-серверу в том случае, если машина, на которой
работает Privoxy не имеет прямого доступа в Интернет.
В этом разделе также рассматривается использование SOCKS-прокси.
Privoxy поддерживает протоколы SOCKS 4 и SOCKS 4A.
7.5.1. forward
- Задаёт:
-
На какой родительский прокси-сервер перенаправлять заданные
HTTP-запросы.
-
Тип значения:
-
target_pattern http_parent[:port]
-
где target_pattern это шаблон
(URL pattern), который определяет, к каким запросам (т.е.
адресам назначения) это правило перенаправления применять. "/"
означает “любой адрес (URL)”. http_parent[:port]
это DNS-имя или IP-адрес родительского HTTP-прокси, через который
пойдут запросы, дополнительно может быть указан порт (по умолчанию:
8080). Если в правиле в качестве http_parent указать одну
точку (.), то для адресов, попадающих под шаблон target_pattern
перенаправление использоваться не будет (запросы пойдут напрямую).
-
Значение по умолчанию:
-
Не задано
-
Эффект, если не задано
-
HTTP-запросы будут направляться прямо на узлы назначения.
-
Примечания:
-
Если в качестве http_parent указана ".", то
запросы не будут перенаправляться к другому HTTP-прокси, а пойдут
непосредственно к web-серверам.
-
Можно задавать больше одной строки с правилами перенаправления, они
проверяются последовательно сверху вниз (т.е. используется последнее
правило, под которое подпадает данный адрес назначения).
-
Примеры:
-
В данном примере всё
пойдёт через анонимный прокси-сервер, за исключением соединений по
SSL на 443-м порту (данный сервер не поддерживает SSL):
-
forward / anon-proxy.example.org:8080
forward :443 .
|
- Все запросы
идут к кэширующему прокси-серверу Интернет-провайдера, исключая
запросы к сайтам этого провайдера:
-
forward / caching-proxy.example-isp.net:8000
forward .example-isp.net .
|
7.5.2. forward-socks4 и
forward-socks4a
- Определяет:
-
Через какие SOCKS-прокси (и к каким родительским HTTP-прокси) пойдут
определённые запросы.
-
Тип значения:
-
target_pattern socks_proxy[:port]
http_parent[:port]
-
где target_pattern это шаблон
(pattern) URL, который определяет к каким запросам (т.е.
адресам) применять данное правило перенаправления. "/"
означает “любой адрес (URL)”. http_parent и
socks_proxy – IP-адреса в десятичной записи с
точками-разделителями (вроде «12.56.125.234») или
корректные (разрешимые) DNS-имена (в качестве http_parent
можно написать точку ("."), что будет означать "не
использовать перенаправление"); необязательный параметр port
– это номер TCP-порта, т.е. целое число от 1 до 66535
-
Значение по умолчанию:
-
Не задано
-
Эффект, если не задано:
-
Не использовать SOCKS-прокси.
-
Примечания:
-
Можно задавать больше одной строки с правилами перенаправления, они
проверяются последовательно сверху вниз (т.е. используется последнее
правило, под которое подпадает данный адрес назначения).
-
Разница между forward-socks4 и forward-socks4a
в том, что в протоколе SOCKS 4A разрешение DBS-имени целевого хоста
происходит на SOCKS-сервере, тогда как в SOCKS 4 это происходит
локально.
-
Если в качестве http_parent указана ".", то
запросы не будут перенаправляться к другому HTTP-прокси, а пойдут
непосредственно к web-серверам, но через SOCKS-прокси.
-
Примеры:
-
С любого хоста в домене example.com (внутренняя сеть компании)
разрешены прямые соединения к любому серверу внутри этого домена;
всё, что идёт «наружу» (т.е. в Интернет)
перенаправляется на кэширующий прокси-сервер провайдера через шлюз
компании (прокси-сервер SOCKS4A).
-
forward-socks4a / socks-gw.example.com:1080 www-cache.example-isp.net:8080
forward .example.com .
|
- Правило, похожее на предыдущее, но
н шлюзе стоит SOCKS4-прокси, а запросы не перенаправляются к
родительскому прокси-серверу:
-
forward-socks4 / socks-gw.example.com:1080 .
|
7.5.3.
Более сложные примеры использования перенаправления (forwarding)
Если у вас несколько подключений к Интернету
через разных провайдеров, которые которые предоставляют различные
сервисы только для своих клиентов,
можно настроить несколько серверов Privoxy, которые будут соединяться
с соответствующими провайдерами и при необходимости перенаправлять
запросы друг другу; а в результате ваши пользователи смогут получить
доступ к внутренним сервисам всех провайдеров.
Допустим, host-a выходит в Интернет через провайдера isp-a с
помощью PPP-соединения, а host-b – через провайдера isp-b.net,
также по PPP. Оба запускают Privoxy. Их настройки Privoxy для
перенаправления (forwarding) могут выглядеть примерно так:
host-a:
forward / .
forward .isp-b.net host-b:8118
|
host-b:
forward / .
forward .isp-a.net host-a:8118
|
Теперь ваши пользователи могут настроить свои браузеры на
использование прокси-сервера host-a или host-b, и таким образом
получить к внутренним сервисам обоих провайдеров.
Если вы хотите использовать совместно Privoxy и Squid на локальном
компьютере, рекомендуется такая цепочка: браузер -> Squid ->
Privoxy -> Интернет .
Полагая, что Privoxy и Squid запущены на одном компьютере,
настройки Squid должны быть примерно такими:
# Указываем, что Privoxy - это родительский прокси-сервер (и ICP – Internet Cache Protocol – не используется)
cache_peer 127.0.0.1 parent 8118 7 no-query
# Задаём правила разграничения доступа (ACL) для протокола FTP
acl ftp proto FTP
# Не перенаправлять FTP-запросы к Privoxy (который не поддерживает протокол FTP – прим. пер.)
always_direct allow ftp
# Перенаправлять все остальное к Privoxy
never_direct allow all
|
Затем нужно изменить настройки прокси-сервера вашего браузера на
адрес и порт Squid. Squid обычно использует порт 3128. Если не
уверены, посмотрите значение опции http_port
в squid.conf.
Аналогично, можно перенаправлять запросы на закачку исполнимых
файлов Windows родительский прокси-сервер, выполняющий проверку на
вирусы проходящего через него контента, допустим, на
antivir.example.com, на порт 8010:
forward / .
forward /.*\.(exe|com|dll|zip)$ antivir.example.com:8010
|
7.6. Настройки
графического интерфейса Windows-версии
Privoxy имеет несколько опций, относящихся только к графическому
пользовательскому интерфейсу (GUI) версии для Windows:
Если значение параметра
"activity-animation" равно 1, значок Privoxy в трее будет
анимированным (показывая активность прокси-сервера). Если же это
значение равно 0, анимация будет отключена.
activity-animation 1
Если значение параметра
"log-messages" равно 1, Privoxy будет отправлять
информационные сообщения, сообщения об ошибках и пр. в окно консоли
(а не в файл журнала).
log-messages 1
Если значение параметра "log-buffer-size" равно 1,
размер буфера журнала, т.е. размер памяти, выделенной для отображения
сообщений в окне консоли, будет ограничен до "log-max-lines"
строк (см. ниже).
Предостережение: при значении параметра, равном 0, буфер будет
расти бесконечно и съест всю память!
log-buffer-size 1
Параметр log-max-lines задаёт
максимальное количество строк в буфере сообщений. См. выше.
log-max-lines 200
Если значение параметра "log-highlight-messages" равно
1, Privoxy будет подсвечивать порции сообщений в окне консоли жирным
шрифтом:
log-highlight-messages 1
Шрифт, используемый в окне консоли:
log-font-name Comic Sans
MS
Размер шрифта, используемого в окне
консоли:
log-font-size 8
Параметр "show-on-task-bar"
определяет, будет или нет Privoxy сворачиваться в «Панель
задач» (Taskbar) Windows :
show-on-task-bar 0
Если значение параметра "close-button-minimizes" равно
1, кнопка закрытия окна будет минимизировать Privoxy, а не завершать
его работу (выйти из программы при этом можно будет с помощью пункта
«Exit» в меню «File»).
close-button-minimizes 1
Параметр "hide-console"
специфичен для окна консоли MS Windows. Если эта опция используется,
Privoxy будет при запуске отсоединяться от консоли и скрывать её
окно.
#hide-console