Мы — долго запрягаем, быстро ездим, и сильно тормозим.
www.lissyara.su —> статьи —> FreeBSD —> программы —> frox

установка ftp прокси-сервера FROX

Автор: lissyara.


    Прокси-сервер - это программа, которая принимает запросы пользователя и устанавливает соединение за него. Бывают прозрачные и непрозрачные прокси-серверы. Непрозрачный прокси - это тот, о котором нужно знать, чтобы установить соединение, и для того, чтобы им воспользоваться нужно знать его настройки (адрес, порт, возможно пароль). Запросы идут непосредственно к прокси. Прозрачный прокси сервер невидим для пользователя. Т.е. клиент пытается установить соединение с сервером в интернете (http, www, etc...), но на шлюзе тем или иным способом запросы клиента переадресуются на прокси, который и устанавливает соединение с запрашиваемым сервером. Из плюсов прозрачного проксирования - на клиентской машине не нужно делать вообще никаких настроек - достаточно указать шлюз по-умолчанию, адрес DNS-сервера - и всё работает. Из минусов - на нём нельзя организовать авторизацию пользователей (по крайней мере так у squid`a, являющегося образцом для всех остальных). Плюс обоих видов прокси сервера - в том, что если какой-то файл (а html страничка в конечном счёте - тоже файл, даже если она генерится при запросе, она же может быть сохранена) был один раз запрошен, то при повторном запросе его же прокси сервер шлёт коротенький запрос 304 - была ли она изменена, если нет, то он отдаёт страницу из собственного кэша, чем экономится траффик и ускоряется работа инета (причём ускоряется реально - у меня дома под столом стоит машина с 4.11 фряхой, squid и frox. Я как-то на своём десктопе, под форточками, устанавливал кучу софта на FreeBSD в VmWare. А их у меня там три штуки - так вот на первой он честно всё качал из инета, я заколебался ждать, а на остальных скорость скачивания была 3-4 мегабайта в секунду - отдавали из кэша squid, если файл был по http, или frox, если по ftp. Кстати линия у меня 160 кбит/с - это чуть больше 20-ти килобайт в секунду. Экономия времени получилась приличная, в сумме ему было качать почти 200 мегов...)
   Итак. frox - ftp прокси сервер. Может быть как прозрачным, так и непрозрачным.
— Встроенная проверка на вирусы (внешним антивирусом, встроенная в том смысле, что это стандартная опция конфига и не надо плясать с бубном чтобы её привернуть, как у сквида - хотя и для последнего, вроде бы, скоро, icap будет встроенный....)
— Может запускаться сам, а может через inetd (к сожалению в последнем случае функция кэширования не работает, из плюсов остаётся только антивирь).
— ACL (Access Control Lists) - можно настроить кому куда можно, и кому можно вообще.
— Поддержка внешнего редиректора, как в squid (в конфиге так и написано - что идея взята именно из него) - т.е. если что-то не удаётся сделать в конфиге, можно написать свой редиректор, который будет например подменять файлы - чтоб всякую дрянь, типа кино не качали :)
   Короче много чего может :). Самое хорошее - внятный и понятный конфиг. Из косяков, на мой взгляд, тока два - первое - не может работать на 127.0.0.1 (его приходится вешать на адрес внутренней сетки), и второе - антивирус при проверке запускается заново для каждого файла. Это особенно актуально на слабых машинах, если файлов много - ждать по 4 секунды (на моём P-I 166MMX) на файл размером в пару килобайт - это вешалка.... На более современных машинах это всё конечно много быстрей, но всё равно медленно. В итоге на работе антивирусная проверка ftp-траффика включена, а вот дома - нет.
   Ставить будем из портов.
/root/>cd /usr/ports/ftp/frox
/usr/ports/ftp/frox/>make && make install && make clean

Вылезает синенькое окошко с опциями, где выбираем то, что нам нужно. Я выбрал:
VIRUS_SCAN
LOCAL_CACHE
CCP

Если Вы пользуютесь ipfilter - то надо выбрать и эту строчку, я же пользуюсь IPFW, поэтому мне она не нужна. Зависимости у него "стандартные", если конечно можно так выразиться:
expat-1.95.8_3
gettext-0.14.5
gmake-3.80_2
libiconv-1.9.2_1

Если до этого что-то из портов ставилось - то всё это уже стоит. Если нет - сам притащит. Чем и хороши порты :). Версия самого его на этот момент: frox-0.7.18
   Редактируем /usr/local/etc/frox.conf - только изначальное его нет, надо его скопировать из дефолтового конфига:
/usr/ports/ftp/frox/>cd /usr/local/etc/
/usr/local/etc/>cp frox.conf.sample frox.conf
/usr/local/etc/>ee frox.conf

У меня он такой (естественно комментарии все убраны, как и неиспользуемые опции, для краткости и наглядности), для использования прозрачного проксирования:
Listen 192.168.0.254
Port 2121
User nobody
Group nogroup
WorkingDir /tmp/frox
DontChroot Yes
LogLevel 25
LogFile /var/log/frox.log
PidFile /var/run/frox.pid
APConv yes
BounceDefend yes
CacheModule local
CacheSize 400
MinCacheSize 1
VirusScanner '"/usr/local/bin/clamscan" "-i" "%s"'
VSOK 0
VSProgressMsgs 30
MaxForks 10
MaxForksPerHost 4
ACL Allow * - *

Если собираетесь использовать антивирусную проверку - то надо установить ClamAV или другой антивирус который будете использовать. Тут я описывать это не буду, т.к. настроек никаких особенных нет, просто отошлю к этой статье, там всё подробно расписано. Что касается остальных настроек - смотрите сам сам файл конфигурации - там много комментариев.
   Добавляем в /etc/rc.conf строку frox_enable="YES" и запускаем frox:
/usr/local/etc/>cd rc.d
/usr/local/etc/rc.d/>./frox.sh start
Starting frox.
/usr/local/etc/rc.d/>Sat Sep  3 22:59:07 2005 frox[88879] Forked to background
/usr/local/etc/rc.d/>

После чего добавляем такую строчку в файрволл, до natd, там же где и squid:
${FwCMD} add fwd ${IpIn},2121 tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}
где:
FwCMD="/sbin/ipfw" - бинарник ipfw с путём
IpIn="192.168.0.254" - внутренний IP сервака
NetIn="192.168.0.0" - внутренняя сеть
NetMask="24" - маска внутренней сети
LanOut="fxp0" - внешний интерфейс

   Вот и всё. Можно пользоваться.

P.S. Насчёт антивирусной проверки - попробуйте, если скорость устроит, то пользуйтесь. У меня была идея написать скриптик на перле, который ему подсовывать вместо антивируса в строке
VirusScanner '"/usr/local/bin/clamscan" "-i" "%s"', а вот скриптик уже бы скармливал файлы clamd висящему в памяти постоянно. Но - нету времени и перл я не очень хорошо знаю :( Если реализуете - напишите. Ценный скриптик был бы :)

P.S.2 У FROX есть ещё одна проблема - если папка на удалённом сервере названа по русски - на неё не войти...

P.S.3 (2005-11-24) Я прикрутил clamd к frox. Правда убил на это весь день, но всё-таки. Смысл, в общем такой - в конфиге меняем строчку антивирусной программы, должна быть такая
VirusScanner '"/usr/local/bin/clamdscan" "--quiet" "%s"'

затем выясняем от кого кто у нас работает:
/usr/local/etc/>ps -axj | grep clam
clamav   57255     1 57255 c4569dc0    0 Ss    ??    0:00.01 /usr/local/sbin/clamd
/usr/local/etc/exim/>ps -axj | grep frox
lissyara 63164 29190 29190 c44cc080    1 RV    p0    0:00.00 grep frox (csh)
nobody   59762     1 59761 c3808ec0    0 I     p1    0:00.00 frox
nobody   59763 59762 59761 c3808ec0    0 I     p1    0:00.02 frox
nobody   59765 59762 59761 c3808ec0    0 I     p1    0:00.01 frox
/usr/local/etc/>

Выясняется, что они работают от разных пользователей. Надо сделать одного. Мне показалось проще перевести ClamAV на пользователя nobody. Это было ошибкой. На него было слишком много завязано. Тогда вернул всё как было, а вот FROX стал запускать от пользователя clamav, заодно надо поменять права на директорию где хранится его кэш:
/usr/local/etc/>chown -R clamav:clamav /tmp/frox
/usr/local/etc/>killall -9 frox
/usr/local/etc/>killall -9 frox
No matching processes were found
/usr/local/etc/>rc.d/frox.sh restart

В итоге всё заработало. Выигрыш в быстродействии - едва ли не на порядок, особенно при копировании мелких файлов - раньше шёл запуск clamav на каждый файл, а теперь их проверяет постоянно висящий в памяти clamd.



размещено: 2005-09-03,
последнее обновление: 2005-11-24,
автор: lissyara


bonh, 2006-07-19 в 7:58:52

Первое ОГРОМНОЕ СПАСИБО ЗА СТАТЬЮ и ЗА ВЕСЬ САЙТ
Второе строку: /usr/local/etc/>chown -R clamav:clamav /tmp/frox, нуно дополнить /usr/local/etc/>chown -R clamav:clamav /tmp/frox /var/log/frox.log /var/run/frox.run
Ну и на конец третье: ПОМОГИТЕ!!! СПАСИТЕ!!! фрокс с антивирусом работать не хочет... ругается по буржуйски:
Unrecognised option "VirusScanner" at line 199 of (null)
Error reading configuration file
пробывал со строкой
VirusScanner '"/usr/local/bin/clamdscan" "--quiet" "%s"'
та же истрория, если закоментировать сл. строки:
VirusScanner '"/usr/local/bin/clamscan" "-i" "%s"'
VSOK 0
VSProgressMsgs 30
то запускается, НО набираю top, а его там тю-тю, хотя при запуске неругается.

lissyara, 2006-07-19 в 9:03:19

Читать про комменты и вопросы умеем? :)))
Пересобери с поддержкой сканирования вирусов - явно же без неё собрал....

bonh, 2006-07-19 в 9:14:36

возможно что то ещё в inetd.conf нужно подправить?

spiner, 2007-03-23 в 13:13:04

Использую frox вместе с cachemodule squid. Может быть кому-то будет интересно, но frox не передает сквиду данные НЕанонимного ftp. Ответ на вопрос не нашел.

Tuxper, 2007-06-15 в 9:50:03

P.S.2 У FROX есть ещё одна проблема - если папка на удалённом сервере названа по русски - на неё не войти...
В конфиге правим:
AllowNonASCII yes
И все окей...

vad73, 2007-08-20 в 0:25:36

... Может быть кому-то будет интересно, но frox не передает сквиду данные НЕанонимного ftp. ...
В конфиге правим:
CacheAll yes
И все окей...

kolesya, 2007-09-10 в 14:27:32

А с активным FTP frox дружит ?

doom, 2008-01-14 в 7:27:50

Вот такой глюк обнаружился, если сразу же качать файл с фтп повторно то соединение разрывается и в логах:
ERROR: "Setting file lock: Resource temporarily unavailable" at line 528 of misc.c

KaMa-CyTpA, 2008-03-25 в 19:14:41

Респект те за статью!
Если ОСь нормально поставлена и сторонних граблей нет - становится и работает!
Впрочем как и все с этого сайта!

PnD!, 2008-08-01 в 13:48:56

Прикрутил FTP-антивирус к сквиду примерно так (freebsd, ipfw):
{
cmd="ipfw -q add"
ftp_out="21"
FTP_PROXY="192.168.1.254,2121"

$cmd 199 forward $FTP_PROXY tcp from me to any $ftp_out uid squid out via $wan
}
Зачем? А потому что кальмар занимается ntlm-авторизацией, дальше havp фильтрует http, а FTP-запросы может послать только на вышестоящую проксю. А frox не хавает http на входе.

Все путем, но при скачке файла метров на 300 пользователь любуется песочными часиками понятное время ;) Я бы на месте авторов frox, отдывал бы файл по чуть-чуть (аналогично havp и всяким icap-демонам)

vvs, 2008-11-05 в 12:05:26

Смею заметить, что авторы frox'а давно забыли о его сущаствовании :( и советовать им что-либо уже как-бы поздновато :(((((((((((

ma40, 2008-11-09 в 12:32:55

Да, блин на сайте фрокса последний исходник датируется 2005-02-04. Так шта...неспокойно как то его ставить

daggerok, 2009-03-23 в 12:41:41

Товарищщи! а как быть с большими файлами?
поставил фрокс, прикрутил клам, все отлично - клам проверяет, но при закачке файлов большого размера, как я понимаю пока клам не проверит запрошенный файл он его не отдаст полльзователю, да и для того чтобы проверить файл, нужно для начала его скачать...

кто-то сталкивался с этим? как решили проблему?



 

  Этот информационный блок появился по той простой причине, что многие считают нормальным, брать чужую информацию не уведомляя автора (что не так страшно), и не оставляя линк на оригинал и автора — что более существенно. Я не против распространения информации — только за. Только условие простое — извольте подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой, незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
  Если соизволите поставить автора в известность — то вообще почёт вам и уважение.

© lissyara 2006-10-24 08:47 MSK

Время генерации страницы 0.0383 секунд
Из них PHP: 27%; SQL: 73%; Число SQL-запросов: 77 шт.
Исходный размер: 36876; Сжатая: 10344