รูปแบบการใช้งาน

$ wget [option]... [URL]...

ตัวอย่างเช่น ต้องการดาวน์โหลดเว็บเพจหน้าแรกของ www.google.co.th

$ wget 'http://www.google.co.th'
--13:52:23--  http://www.google.co.th/
           => `index.html'
Resolving www.google.co.th... 72.14.203.147, 72.14.203.103, 72.14.203.104, ...
Connecting to www.google.co.th|72.14.203.147|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]

    [  <=>                                                                                ] 6,726         11.96K/s

13:52:24 (11.96 KB/s) - `index.html' saved [6726]

จากตัวอย่าง ผลลัพธ์ที่ได้จะถูกบันทึกเป็นชื่อ index.html

หมายเหตุ แนะนำให้ใส่เครื่องหมายคำพูด ‘  คลอบ URL เพราะบางตัวอักษรอาจมีความหมายใน SHELL

$ cat index.html
<!doctype html><html><head><meta http-equiv="content-type" content="text/html; charset=windows-874"><title>Google</title>
...

ระบุออปชั่น ‘–help’ เพื่อดูวิธีการใช้งาน พร้อมทั้งออปชั่นต่างๆ

$ wget --help
GNU Wget 1.10.2 (Red Hat modified), a non-interactive network retriever.
Usage: wget [OPTION]... [URL]...

Mandatory arguments to long options are mandatory for short options too.

Startup:
  -V,  --version           display the version of Wget and exit.
  -h,  --help              print this help.
  -b,  --background        go to background after startup.
  -e,  --execute=COMMAND   execute a `.wgetrc'-style command.

ในบทความนี้ขอแนะนำการใช้ออปชั่นที่ผู้เขียนใช้บ่อยๆ

ดูรายละเอียดการโหลด (debug)

ระบุออปชั่น ‘-d’ เพื่อดูรายละเอียดการดาวน์โหลด เช่นดู HTTP Header, Protocol, Cookie ที่เกิดขึ้นในการดาวน์โหลด

$ wget -d 'http://www.google.co.th'
DEBUG output created by Wget 1.10.2 (Red Hat modified) on linux-gnu.

--14:16:24--  http://www.google.co.th/
           => `index.html'
Resolving www.google.co.th... 72.14.203.105, 72.14.203.106, 72.14.203.99, ...
Caching www.google.co.th => 72.14.203.105 72.14.203.106 72.14.203.99 72.14.203.104 72.14.203.103 72.14.203.147
Connecting to www.google.co.th|72.14.203.105|:80... connected.
Created socket 3.
Releasing 0x000000000083d390 (new refcount 1).

---request begin---
GET / HTTP/1.0
User-Agent: Wget/1.10.2 (Red Hat modified)
Accept: */*
Host: www.google.co.th
Connection: Keep-Alive

---request end---
HTTP request sent, awaiting response...
---response begin---
HTTP/1.0 200 OK
Date: Fri, 22 Jan 2010 07:16:29 GMT
Expires: -1
Cache-Control: private, max-age=0
Content-Type: text/html; charset=windows-874
Set-Cookie: PREF=ID=79a6955a36392a2d:TM=1264144589:LM=1264144589:S=c99kK7cOeBwCp4KG; expires=Sun, 22-Jan-2012 07:16:29 GMT; path                                             =/;

domain=.google.co.th
Set-Cookie: NID=31=h8-gos7iGB-MXzlXOo4C1_CRqzSNE6wu5Os2WBu6C-jm7tPhrlj4kJp1aiENCM66f388IScBzce4Q-6x7rwbfxUUbp2DGAIcxXu1zwSGy6zKH                                            

cjUQ2_59hiym_wuaRt2; expires=Sat, 24-Jul-2010 07:16:29 GMT; path=/; domain=.google.co.th; HttpOnly
Server: gws
X-XSS-Protection: 0

---response end---
200 OK
cdm: 1 2 3 4 5 6 7 8
Stored cookie google.co.th -1 (ANY) / <permanent> <insecure> [expiry 2012-01-22 14:16:29] PREF ID=79a6955a36392a2d:TM=1264144589                                            

:LM=1264144589:S=c99kK7cOeBwCp4KG
cdm: 1 2 3 4 5 6 7 8
Stored cookie google.co.th -1 (ANY) / <permanent> <insecure> [expiry 2010-07-24 14:16:29] NID 31=h8-gos7iGB-MXzlXOo4C1_CRqzSNE6w                                            

u5Os2WBu6C-jm7tPhrlj4kJp1aiENCM66f388IScBzce4Q-6x7rwbfxUUbp2DGAIcxXu1zwSGy6zKHcjUQ2_59hiym_wuaRt2
Length: unspecified [text/html]

    [  <=>                                                                                ] 6,702          6.21K/s

Closed fd 3
14:16:31 (6.20 KB/s) - `index.html' saved [6702]

ดาวน์โหลดต่อไฟล์ (continue)

สามารถดาวน์โหลดไฟล์ต่อจากที่ดาวน์โหลดยังไม่ครบได้

เช่นต้องการดาวน์โหลดไฟล์ iso ที่มีขนาดใหญ่มาก แล้วดาวน์โหลดครั้งแรกยังไม่ครบ

$ wget 'http://www.mirror.in.th/osarchive/fedora/releases/11/Live/x86_64/Fedora-11-x86_64-Live.iso'
--14:09:51--  http://www.mirror.in.th/osarchive/fedora/releases/11/Live/x86_64/Fedora-11-x86_64-Live.iso
           => `Fedora-11-x86_64-Live.iso'
Resolving www.mirror.in.th... 61.7.253.242
Connecting to www.mirror.in.th|61.7.253.242|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 724,097,024 (691M) [application/octet-stream]

 0% [                                                                                     ] 1,090,066     87.82K/s  ETA 2:13:52

หมายเหตุ ในระหว่างการดาวน์โหลด หากต้องการยกเลิกให้กด [Ctrl-C]

ครั้งแรกดาวน์โหลดไฟล์ได้แค่ 1 Meg กว่าๆ

$ ls -l
total 1080
-rw-r--r-- 1 user1  users  1098754 2010-01-22 14:10 Fedora-11-x86_64-Live.iso

ถ้าต้องการดาวน์โหลดต่อ ต้องระบุออปชั่น ‘-c’

$ wget -c 'http://www.mirror.in.th/osarchive/fedora/releases/11/Live/x86_64/Fedora-11-x86_64-Live.iso'
--14:11:46--  http://www.mirror.in.th/osarchive/fedora/releases/11/Live/x86_64/Fedora-11-x86_64-Live.iso
           => `Fedora-11-x86_64-Live.iso'
Resolving www.mirror.in.th... 61.7.253.242
Connecting to www.mirror.in.th|61.7.253.242|:80... connected.
HTTP request sent, awaiting response... 206 Partial Content
Length: 724,097,024 (691M), 722,998,270 (690M) remaining [application/octet-stream]

 0% [                                                                                     ] 1,401,045     94.59K/s  ETA 2:04:50

$ ls -l
total 1384
-rw-r--r-- 1 user1  users  1409733 2010-01-22 14:11 Fedora-11-x86_64-Live.iso

จำกัดความเร็วการโหลด

ต้องการโหลดไฟล์แต่ไม่ต้องการเบียดบังความเร็วการใช้อินเตอร์เน็ตจากคนอื่นมากเกินไป เราสามารถจำกัดความเร็วในการโหลดของเราได้ ด้วยออปชั่น ‘–limit-rate’

เช่นต้องการจำกัดไว้ที่ 10 KBytes/s

$ wget --limit-rate 10000 'http://www.mirror.in.th/osarchive/fedora/releases/11/Live/x86_64/Fedora-11-x86_64-Live.iso'
--14:25:14--  http://www.mirror.in.th/osarchive/fedora/releases/11/Live/x86_64/Fedora-11-x86_64-Live.iso
           => `Fedora-11-x86_64-Live.iso'
Resolving www.mirror.in.th... 61.7.253.242
Connecting to www.mirror.in.th|61.7.253.242|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 724,097,024 (691M) [application/octet-stream]

 0% [                                                                                     ] 62,618         9.77K/s ETA 20:07:01

หมายเหตุ หน่วยของออปชั่น ‘–limit-rate’ เป็น bytes per second

โหลดผ่าน proxy

หากต้องใช้ proxy ในการโหลด ต้องมีการระบุตัวแปร ‘http_proxy’ ไว้ใน shell ก่อนรันคำสั่ง เช่น IP ของ proxy คือ 192.168.1.1 และพอร์ต proxy คือ 3128 ถ้าใช้ BASH สามารถทำได้โดย

$ export http_proxy=http://192.168.1.1:3128

ใช้คำสั่ง wget พร้อมระบุออปชั่น ‘–proxy’ เพื่อให้โหลดผ่าน proxy

$ wget --proxy 'http://www.mirror.in.th/osarchive/fedora/releases/11/Live/x86_64/Fedora-11-x86_64-Live.iso'
--2010-01-22 14:30:26--  http://www.mirror.in.th/osarchive/fedora/releases/11/Live/x86_64/Fedora-11-x86_64-Live.iso
Connecting to 192.168.1.1:3128... connected.
Proxy request sent, awaiting response... 200 OK
Length: 724097024 (691M) [application/octet-stream]
Saving to: `Fedora-11-x86_64-Live.iso'

 0% [                                                                                     ] 63,434      96.4K/s

แต่ถ้า proxy ต้องระบุ user, password ด้วย จะขึ้น error ดังนี้

$ wget --proxy  'http://www.mirror.in.th/osarchive/fedora/releases/11/Live/x86_64/Fedora-11-x86_64-Live.iso'
--2010-01-22 14:31:06--  http://www.mirror.in.th/osarchive/fedora/releases/11/Live/x86_64/Fedora-11-x86_64-Live.iso
Connecting to 192.168.1.1:3128... connected.
Proxy request sent, awaiting response... 407 Proxy Authentication Required
2010-01-22 14:31:06 ERROR 407: Proxy Authentication Required.

ใช้ออปชั่น '--proxy-user' และ '--proxy-password' เพื่อระบุ user, password ในการใช้ proxy

$ wget --proxy-user=prxuser --proxy-password=prx1234  'http://www.mirror.in.th/osarchive/fedora/releases/11/Live/x86_64/Fedora-11-x86_64-Live.iso'
--2010-01-22 14:30:26--  http://www.mirror.in.th/osarchive/fedora/releases/11/Live/x86_64/Fedora-11-x86_64-Live.iso
Connecting to 192.168.1.1:3128... connected.
Proxy request sent, awaiting response... 200 OK
Length: 724097024 (691M) [application/octet-stream]
Saving to: `Fedora-11-x86_64-Live.iso'

 0% [                                                                                     ] 63,434      96.4K/s

ไฟล์คอนฟิก .wgetrc

แทนที่จะต้องระบุออปชั่น proxy ทุกครั้ง สามารถสร้างเป็นไฟล์คอนฟิกสำหรับใช้คำสั่ง wget โดยสร้างไฟล์ชื่อ .wgetrc (มีเครื่องหมายจุดนำหน้าชื่อไฟล์ด้วย) ไว้ใน HOME ของผู้ใช้งาน

$ cat ~/.wgetrc
http_proxy=http://192.168.1.1:3128/
proxy_user=prxuser
proxy_password=prx1234

หลังจากสร้างไฟล์คอนฟิก .wgetrc แล้ว เวลาใช้คำสั่ง wget ก็ไม่ต้องระบุออปชั่นใดๆ อีก

$ wget  'http://www.mirror.in.th/osarchive/fedora/releases/11/Live/x86_64/Fedora-11-x86_64-Live.iso'
--2010-01-22 14:37:46--  http://www.mirror.in.th/osarchive/fedora/releases/11/Live/x86_64/Fedora-11-x86_64-Live.iso
Connecting to 192.168.1.1:3128... connected.
Proxy request sent, awaiting response... 200 OK
Length: 724097024 (691M) [application/octet-stream]
Saving to: `Fedora-11-x86_64-Live.iso.1'

 0% [                                                                                     ] 80,810      95.8K/s

ข้อมูลอ้างอิง

• GNU Wget

ในแต่ละการทดสอบ มีการแสดงไฟล์ log ของ squid ด้วย คือไฟล์

• access_log (/var/log/squid/access_log) เก็บข้อมูลการใช้งาน proxy ว่ามาจากเครื่อง “client” ไหน เข้าเว็บไซต์ไหน รวมทั้งบอกผลการ HIT cache หรือไฟล์ที่โหลดนั้น มีอยู่ใน cache หรือยัง
• store_log (/var/log/squid/store.log) เก็บรายละเอียดการสร้าง “SWAPOUT” หรือลบ “RELEASE” ไฟล์ cache

เครื่องที่ใช้ทดสอบ

• web client: 192.168.1.2
• web server: 192.168.1.1
• proxy: 192.168.1.254

คอนฟิกของ squid ในส่วน cache size

maximum_object_size_in_memory 8 KB
maximum_object_size 4096 KB
cache_dir ufs /var/spool/squid 100 16 256

คอนฟิก proxy ของโปรแกรม wget

เพื่อให้โปรแกรม wget โหลดไฟล์ผ่าน proxy ต้องสร้างไฟล์ .wgetrc ใน home directory ของผู้ใช้ที่รันคำสั่ง wget แล้วใส่คอนฟิกดังนี้

[root@fc11-64min ~]# cat .wgetrc
http_proxy = http://192.168.1.254:3128/

คำอธิบาย

• 192.168.1.254 คือ ip ของ proxy
• 3128 คือพอร์ตของ proxy

ทดลองโหลดไฟล์ขนาด 7k

เริ่มต้นทดลองโหดลไฟล์ขนาด 7k (กิโลไบต์) ซึ่งน้อยกว่าค่า “maximum_object_size_in_memory” ที่ตั้งไว้ 8 KB

โหลดไฟล์ขนาด 7k ครั้งที่ 1 ขึ้น “TCP_MISS” หมายถึง squid ไม่มีไฟล์นี้อยู่ใน cache เมื่อโหลดเสร็จ squid จะเก็บไฟล์ไว้ใน cache ด้วย “SWAPOUT”

[root@fc11-64min ~]# wget http://192.168.1.1/files/tfile-7k.bin

==> access.log <==
1248507942.812     17 192.168.1.2 TCP_MISS/200 7417 GET http://192.168.1.1/files/tfile-7k.bin - DIRECT/192.168.1.1 application/octet-stream

==> store.log <==
1248507942.810 SWAPOUT 00 00000001 3F277563988F72945705D5ED41526CA2  200 1248507942 1248505810        -1 application/octet-stream 7000/7000 GET http://192.168.1.1/files/tfile-7k.bin

โหลดไฟล์ขนาด 7k ครั้งที่ 2 ขึ้น “TCP_MEM_HIT” หมายถึง squid มีไฟล์นี้ใน cache บน memory แล้ว สามารถดึงไฟล์จาก memory ได้เลย

[root@fc11-64min ~]# wget http://192.168.1.1/files/tfile-7k.bin

==> access.log <==
1248507971.779      0 192.168.1.1 TCP_MEM_HIT/200 7424 GET http://192.168.1.1/files/tfile-7k.bin - NONE/- application/octet-stream

ทดลองโหลดไฟล์ขนาด 9k

ทดลองโหลดไฟล์ 9k ซึ่งมีขนาดมากกว่า “maximum_object_size_in_memory” แต่ยังน้อยกว่าค่า “maximum_object_size” ซึ่งตั้งไว้ 4096 KB (4 Mbytes)

โหลดไฟล์ขนาด 9k ครั้งที่ 1 ขึ้น “TCP_MISS” หมายถึง squid ไม่มีไฟล์นี้อยู่ใน cache เมื่อโหลดเสร็จ squid จะเก็บไฟล์ไว้ใน cache ด้วย “SWAPOUT”

[root@fc11-64min ~]# wget http://192.168.1.1/files/tfile-9k.bin

==> access.log <==
1248508182.804      3 192.168.1.2 TCP_MISS/200 12418 GET http://192.168.1.1/files/tfile-9k.bin - DIRECT/192.168.1.1 application/octet-stream

==> store.log <==
1248508182.804 SWAPOUT 00 00000002 CEFDC390A1EE023973CBADC1A78D73C7  200 1248508182 1248508174        -1 application/octet-stream 12000/12000 GET http://192.168.1.1/files/tfile-9k.bin

โหลดไฟล์ขนาด 9k ครั้งที่ 2 ขึ้น “TCP_HIT” หมายถึง squid มีไฟล์นี้ใน cache แต่อยู่บน disk

[root@fc11-64min ~]# wget http://192.168.1.1/files/tfile-9k.bin

==> access.log <==
1248508281.238      0 192.168.1.2 TCP_HIT/200 12424 GET http://192.168.1.1/files/tfile-9k.bin - NONE/- application/octet-stream

ทดลองโหลดไฟล์ขนาด 5M

ทดลองโหลดไฟล์ 5M ซึ่งมีขนาดน้อยกว่า “maximum_object_size” ซึ่งตั้งไว้ 4096 KB (4 Mbytes)

โหลดไฟล์ขนาด 5k ครั้งที่ 1 ขึ้น “TCP_MISS” หมายถึง squid ไม่มีไฟล์นี้อยู่ใน cache เมื่อโหลดเสร็จ เนื่องจากมีขนาดไฟล์ใหญ่กว่าขนาด “maximum_object_size” โปรแกรม squid จะไม่เก็บไฟล์ไว้ใน cache  ขึ้น “RELEASE”

[root@fc11-64min ~]# wget http://192.168.1.1/files/tfile-5M.bin

1248509577.012    197 192.168.1.2 TCP_MISS/200 5000422 GET http://192.168.1.1/files/tfile-5M.bin - DIRECT/192.168.1.1 application/octet-stream

==> store.log <==
1248509577.012 RELEASE -1 FFFFFFFF 81F5E27F6F4A2D2CFB41BF48899FBFE5  200 1248509576 1248505985        -1 application/octet-stream 5000000/5000000 GET http://192.168.1.1/files/tfile-5M.bin

ไม่ว่าจะโหลดไฟล์ที่มีขนาดใหญ่กว่า “maximum_object_size” โปรแกรม squid จะไม่เก็บ cache ไว้เลย

ขนาดรวมไฟล์ cache ทั้งหมด

เมื่อเก็บไฟล์ cache มากจนกระทั่งมีขนาดไฟล์รวมทั้งหมด มากกว่าที่คอนฟิกไว้ในส่วน “cache_dir” ในที่นี้คอนฟิกไว้ 100 (100Mbytes)

ตรวจสอบขนาดของ cache_dir ด้วยคำสั่ง du

[root@fc11-64min ~]# cd /var/spool/squid
[root@fc11-64min squid]# du -sh
105M    .

เมื่อทดลองโหลดไฟล์เพิ่มเติม squid จะทำการเก็บไฟล์ใหม่ที่โหลดเสร็จ “SWAPOUT” แต่เนื่องจากขนาดมากกว่า “cache_dir” ดังนั้นจำเป็นต้องลบบางไฟล์ใน cache ออกไป ด้วย “RELEASE”

เช่นทดลองไฟล์ 4M เพิ่มเติม

[root@fc11-64min ~]# wget http://192.168.1.1/files/tfile-4M.bin

==> access.log <==
1248509870.685     91 192.168.1.2 TCP_MISS/200 4000422 GET http://192.168.1.1/files/tfile-4M.bin - DIRECT/192.168.1.1 application/octet-stream

==> store.log <==
1248509870.683 SWAPOUT 00 0000000E 93E941E788327BE1F0E0F028A1114B49  200 1248509870 1248505053        -1 application/octet-stream 4000000/4000000 GET http://192.168.1.1/files/tfile-4M.bin
1248509870.758 RELEASE 00 00000007 E43BBBD8932CA6266141E6BFFB46EFCC   ?         ?         ?         ? ?/? ?/? ? ?

ข้อมูลอ้างอิง

• แก้ไขคอนฟิก Squid Cache Size
• SquidFaq/SquidLogs

บทความนี้กล่าวถึงการแก้ไขคอนฟิกของ squid ในส่วนเพื่อเพิ่มขนาดของ cache โดยจะทดสอบบน Fedora 11  คอนฟิกไฟล์ของ squid จะอยู่ที่ /etc/squid/squid.conf

ขนาดไฟล์ใหญ่สุดที่จะเก็บ cache ไว้ใน memory

เนื่องจากการเขียนอ่านไฟล์ลงบน memory มีความเร็วมากกว่าบน disk มาก ถ้าเรามีขนาดของ memory มาก แนะนำให้เพื่มขนาดไฟล์ใหญ่สุดที่จะเก็บ cache ไว้ใน memory เพื่อว่าถ้าการโหลดไฟล์ที่ HIT จะได้ดึงจาก memory ได้เลย

โดยดีฟอลต์ ค่าคอนฟิกจะตั้งไว้แค่ 8 KB (กิโลไบต์) เท่านั้น หากต้องการเพิ่มค่า เช่นเพิ่มเป็น 8 MB สามารถแก้ไขคอนฟิกได้ตามตัวอย่าง

#  TAG: maximum_object_size_in_memory   (bytes)
#       Objects greater than this size will not be attempted to kept in
#       the memory cache. This should be set high enough to keep objects
#       accessed frequently in memory to improve performance whilst low
#       enough to keep larger objects from hoarding cache_mem.
#
#Default:
# maximum_object_size_in_memory 8 KB
maximum_object_size_in_memory 8 MB

ขนาดไฟล์ใหญ่สุดที่จะเก็บ cache ไว้บน disk

ประโยชน์ของการใช้ squid คือเก็บไฟล์ที่มีการโหลดมาแล้ว ลงบน disk เพื่อให้ครั้งต่อไปถ้ามีผู้โหลดไฟล์นี้ซ้ำ จะได้ดึงจาก disk ได้เลย ไม่จำเป็นต้องไปดาวน์โหลดจากอินเตอร์เน็ตอีกครั้ง

แต่ squid มีคอนฟิกที่ระบุขนาดของแต่ละไฟล์ใหญ่ที่สุด ที่จะเก็บ cache ลงบน disk โดยค่าดีฟอลต์ตั้งไว้แค่ 4096 KB หรือ 4 MB เท่านั้น หมายความว่า ถ้ามีการโหลดไฟล์ขนาดใหญ่กว่านี้  squid จะไม่ทำการเก็บไฟล์ ทำให้ผู้ใช้ที่โหลดไฟล์เดียวกัน ต้องไปดาวน์โหลดใหม่จากอินเตอร์เน็ตทุกครั้ง

ถ้าคุณมีขนาดของ disk ค่อนข้างใหญ่ แนะนำให้เพิ่มค่าคอนฟิกนี้ เช่น ถ้าต้องการเก็บไฟล์ที่มีขนาดใหญ่ถึง 16 MB สามารถแก้ไขคอนฟิกได้ดังนี้

#  TAG: maximum_object_size     (bytes)
#       Objects larger than this size will NOT be saved on disk.  The
#       value is specified in kilobytes, and the default is 4MB.  If
#       you wish to get a high BYTES hit ratio, you should probably
#       increase this (one 32 MB object hit counts for 3200 10KB
#       hits).  If you wish to increase speed more than your want to
#       save bandwidth you should leave this low.
#
#       NOTE: if using the LFUDA replacement policy you should increase
#       this value to maximize the byte hit rate improvement of LFUDA!
#       See replacement_policy below for a discussion of this policy.
#
#Default:
# maximum_object_size 4096 KB
maximum_object_size 16 MB

ขนาดไฟล์ cache รวมทั้งหมดที่เก็บไว้บน disk

เมื่อมีการใช้งานไปเรื่อยๆ ขนาดของ cache ที่เก็บไว้บน disk ก็มีขนาดเพิ่มขึ้นเรื่อยๆ ไปถึงจุดหนึ่ง เป็นค่าผลรวมขนาดไฟล์ทั้งหมดสูงสุดที่ squid จะอนุญาตให้มีการเก็บไฟล์ไว้ ถ้าไฟล์ใหม่เพิ่มมาอีก ที่เกินจากกนี้ จำเป็นต้องลบบางไฟล์ใน cache ออกไป เพื่อเก็บไฟล์ใหม่นี้ได้

โดยดีฟอลต์ squid อนุญาตให้เก็บไฟล์ cache ได้รวมทั้งหมด ไม่เกิน 100 MB เท่านั้น ถ้ามีขนาด disk ขนาดใหญ่ แนะนำให้เพิ่มค่าคอนฟิกนี้ เช่น เพิ่มให้สามารถเก็บไฟล์ cache ได้ทั้งหมด 200 GB สามารถแก้ไขคอนฟิกได้ดังนี้

#  TAG: cache_dir
#       Usage:
#
#       cache_dir ufs Directory-Name Mbytes L1 L2 [options]
#

#Default:
# cache_dir ufs /var/spool/squid 100 16 256
cache_dir ufs /var/spool/squid 200000 16 256

หมายเหตุ ขนาดตัวเลขที่ระบุ มีหน่วยเป็น MBytes

รีโหลดเซอร์วิส squid หลังแก้ไขคอนฟิก

หลังแก้ไขไฟล์ /etc/squid/squid.conf ทุกครั้ง ต้องรันคำสั่ง service เพื่อรีโหลดคอนฟิกใหม่ให้มีผล

[root@fc11-64min ~]# service squid reload

ข้อมูลอ้างอิง

• คอนฟิก Squid Proxy Server
• ทดสอบค่าคอนฟิก Squid Cache Size

การคอนฟิกในที่นี้เป็นการจำกัดขนาดไฟล์การดาวน์โหลดต่อครั้ง เพื่อป้องกันไม่ให้ผู้ใช้งานดาวน์โหลดไฟล์ขนาดใหญ่ เช่นไฟล์เพลง หนัง ได้

เว็บเซิร์ฟเวอร์ระบบทดสอบ

สำหรับการทดสอบ ในที่นี้เราจะสร้างไฟล์ขนาดต่างๆ บนเว็บเซิร์ฟเวอร์ เพื่อดูว่าการคอนฟิกของ squid มีผลอย่างไร

[root@web-server test]# cat file-download.html

<a href="file-1M.bin">file-1M.bin</a><br>

<a href="file-2M.bin">file-2M.bin</a><br>

<a href="file-3M.bin">file-3M.bin</a><br>

<a href="file-4M.bin">file-4M.bin</a><br>

[root@web-server test]# dd if=/dev/zero of=file-1M.bin bs=1000000 count=1

[root@web-server test]# dd if=/dev/zero of=file-2M.bin bs=1000000 count=2

[root@web-server test]# dd if=/dev/zero of=file-3M.bin bs=1000000 count=3

[root@web-server test]# dd if=/dev/zero of=file-4M.bin bs=1000000 count=4

[root@web-server test]# ls -l

total 9780

-rw-r--r-- 1 root root 1000000 2009-03-14 12:28 file-1M.bin

-rw-r--r-- 1 root root 2000000 2009-03-14 12:28 file-2M.bin

-rw-r--r-- 1 root root 3000000 2009-03-14 12:28 file-3M.bin

-rw-r--r-- 1 root root 4000000 2009-03-14 12:28 file-4M.bin

-rw-r--r-- 1 root root     168 2009-03-14 12:26 file-download.html

คอนฟิก ip และ port ของ squid proxy ลงไปใน browser แล้วทดลองเรียกไปที่ web-server (ip: 192.168.1.1) ไฟล์ file-download.html

คอนฟิก reply_body_max_size

คอนฟิกของ squid ที่ใช้สำหรับการจำกัดขนาดของไฟล์ดาวน์โหลดคือ reply_body_max_size รูปแบบการคอนฟิกคือ

reply_body_max_size SIZE UNITS [acl ...]

คำอธิบาย

• SIZE UNITS คือขนาดของไฟล์ที่ต้องการจำกัด
• acl เป็นออปชั่น ถ้าไม่ใส่ จะเป็นการจำกัดขนาดไฟล์ทุกคนที่ใช้ผ่าน proxy แต่ถ้าต้องการระบุเป็นกลุ่ม เราสามารถสร้าง acl แล้วนำชื่อ acl นั้นมาต่อท้ายบรรทัดนนี้ได้
• ดีฟอลต์คอนฟิกที่ติดตั้งมา ไม่มีการจำกัด

หมายเหตุ รูปแบบการคอนฟิกค่า reply_body_max_size ของเวอร์ชั่น 3.0 จะแตกต่างจากเวอร์ชั่นก่อนหน้า เช่น 2.6 คือตัดคำว่า allow/deny ออกไป

ตัวอย่างคอนฟิกการจำกัดขนาดไฟล์ดาวน์โหลดได้สูงสุด 2 MBytes สำหรับทุกคน

[root@squid ~]# cat /etc/squid/squid.conf

...

reply_body_max_size 2 MB

...

หลังจากเปลี่ยนคอนฟิก squid.conf แล้ว ต้องรีโหลดเซอร์วิสของ squid ด้วย เพื่อให้คอนฟิกใหม่มีผล

[root@squid ~]# service squid reload

ทดลองใช้ browser กดดาวน์โหลดไฟล์ต่างๆ บนหน้า file-download.html ของเครื่องเว็บเซิร์ฟเวอร์

ข้อความเตือนว่าไม่สามารถดาวน์โหลดไฟล์ได้ เนื่องจากขนาดไฟล์มีขนาดใหญ่เกินไป “The request or reply is too large.”  (มากกว่า reply_body_max_size)

ตัวอย่างข้อความเตือน เมื่อพยายามดาวน์โหลดไฟล์ขนาด 3MB

แบ่งขนาดไฟล์ดาวน์โหลดเป็นกลุ่ม

ถ้าเราต้องการยกเว้นสำหรับบางกลุ่มเช่น บางคนจำเป็นต้องดาวน์โหลดไฟล์ขนาดใหญ่ๆ อยู่เสมอ เราสามารถสร้าง acl ขึ้นมาเพื่อระบุการแบ่งกลุ่ม แล้วคอนฟิกเข้ากับ reply_body_max_size เพื่อจำกัดขนาดไฟล์แยกเป็นกลุ่มๆ ตาม acl ได้

เช่น ต้องการให้เครื่องไคลเอนต์ที่มี ip เป็น 192.168.2.0/24 (net_group1) สามารถดาวน์โหลดไฟล์ขนาดสูงสุดได้ถึง 3MB แต่ถ้าเป็นเครื่องไคลเอนต์ที่มี ip  192.168.3.0/24 (net_group2) ดาวน์โหลดไฟล์ขนาดสูงสุดได้แค่ 1 MB สามารถคอนฟิกได้ดังนี้

[root@squid ~]# cat /etc/squid/squid.conf

...

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

#-------------------------------------------------------------------------------

acl net_group1 src 192.168.2.0/24

acl net_group2 src 192.168.3.0/24

reply_body_max_size 3 MB net_group1

reply_body_max_size 1 MB net_group2

#-------------------------------------------

...

หลังจากเปลี่ยนคอนฟิก squid.conf แล้ว ต้องรีโหลดเซอร์วิสของ squid ด้วย เพื่อให้คอนฟิกใหม่มีผล

[root@squid ~]# service squid reload

ทดลองใช้ browser จากเครื่อง ip ต่างๆ แล้วกดดาวน์โหลดไฟล์ต่างๆ บนหน้า file-download.html ของเครื่องเว็บเซิร์ฟเวอร์

ข้อมูลอ้างอิง

• คอนฟิก Squid Proxy Server
• การกำหนด access list ใน Squid Proxy Server ตอนที่ 1
• การกำหนด access list ใน Squid Proxy Server ตอนที่ 2
• Squid configuration directive reply_body_max_size

ดีฟอลต์คอนฟิก acl ของ Squid เวอร์ชั่น squid-3.0.STABLE10 ที่ติดตั้งมากับ Fedora 10 จะแตกต่างจากเวอร์ชั่นก่อนๆ คือ อนุญาตเครื่องไคลเอนต์ที่มี ip address เป็น private  (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) มีสิทธิใช้ proxy ซี่งแนะนำให้มีการแก้ไขก่อนนำไปใช้งานจริง

อนุญาตให้ใช้งานและจัดการเกี่ยวกับ cache_object ได้จากในเครื่องที่ติดตั้ง (localhost)

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

http_access allow manager localhost
http_access deny manager
http_access allow localhost

อนุญาตเครื่องไคลเอนต์ที่มี ip address เป็น private สามารถใช้งานได้

acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

http_access allow localnet

แนะนำให้ปิด (comment) ทั้งสี่บรรทัด ด้านบน แล้วค่อยกำหนด ip address ของไคลเอนต์ที่มีสิทธิใช้งาน proxy ได้อีกที

ปิดการอนุญาตเครื่องไคลเอนต์ที่มี ip address เป็น private

#acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

#http_access allow localnet

ปฏิเสธการเชื่อมต่อโดยใช้พอร์ตของเว็บไซต์ ที่ไม่ใช่พอร์ต Safe_ports

เบอร์พอร์ต Safe_ports มีดังนี้ 80, 21, 443, 70, 210, 280, 488, 597, 777, 1025-65535

acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443     # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210     # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280     # http-mgmt
acl Safe_ports port 488     # gss-http
acl Safe_ports port 591     # filemaker
acl Safe_ports port 777     # multiling http

http_access deny !Safe_ports

ปฏิเสธการเชื่อมต่อแบบ SSL ไปยังพอร์ตที่ไม่ใช่พอร์ตเบอร์ 443

acl SSL_ports port 443
acl CONNECT method CONNECT

http_access deny CONNECT !SSL_ports

ปฏิเสธการใช้งานอื่นๆ ที่ไม่ match จาก acl ที่กำหนดไว้

http_access deny all

วิธีการแก้ไขไฟล์คอนฟิก /etc/squid/squid.conf

เพื่อสะดวกในการอ้างอิงภายหลัง การแก้ไขเพิ่มเติม acl ทั้งในส่วนกำหนดชื่อ aclname และการอนุญาตหรือปฏิเสธ ในไฟล์ /etc/squid/squid.conf ให้แก้ไขใต้บรรทัด ที่มีคำว่า

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

หลังจากแก้ไขไฟล์คอนฟิกของ squid ต้องใช้คำสั่ง service reload เซอร์วิส เพื่อให้คอนฟิกใหม่มีผล

[root@proxy ~]# service squid reload

หากมีข้อผิดพลาดในคอนฟิก จะมี error ฟ้องขึ้นมา ต้องแก้ไขให้ถูกต้อง คอนฟิกใหม่ถึงจะมีผล

ตัวอย่างการกำหนด ip address ผิดในไฟล์คอนฟิก

[root@proxy ~]# service squid reload
2009/01/17 12:58:36| aclParseIpData: Bad host/IP: '192.168.1.02-'
FATAL: Bungled squid.conf line 643: acl acl_client1 src 192.168.1.02-
Squid Cache (Version 3.0.STABLE10): Terminated abnormally.
CPU Usage: 0.005 seconds = 0.001 user + 0.004 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 0

ข้อมูลอ้างอิง

• การกำหนด access list ใน Squid Proxy Server ตอนที่ 1

ในบทความนี้จะกล่าวถึงการกำหนดสิทธิในรูปแบบอื่นๆ ที่สามารถทำได้ ตามความต้องการ

ส่วนการคอนฟิก access list ใน Squid

ไฟล์คอนฟิกหลักของโปรแกรม Squid โดยดีฟอลต์แล้วคือไฟล์ /etc/squid/squid.conf ประกอบด้วยคอนฟิกหลายส่วน (TAG) ด้วยกัน ในบทความนี้เราจะเปลี่ยนเฉพาะในส่วน “TAG: acl” และ “TAG: http_access” เท่านั้น

คำแนะนำ สำรองไฟล์ (backup) /etc/squid/squid.conf ไว้ ก่อนการแก้ไข

การคอนฟิกจะมีสองขั้นตอนดังนี้

1) คอนฟิก TAG: acl

ขั้นแรกเพิ่มคอนฟิกในส่วน acl เพื่อกำหนดชื่อ (aclname) และชนิด (acltype) ของ access list มีรปแบบคอนฟิกดังนี้

acl <aclname> <acltype> <argument> ...

คำอธิบาย

• <aclname> เป็นชื่อ acl ที่เรากำหนดเอง โดยชื่อชี้จะถูกกำหนดในขั้นตอนที่สองอีกทีว่าจะอนุญาตหรือปฏิเสธ
• <acltype> เป็นชนิด access list ที่เราจะใช้ แสดงรายละเอยดในหัวข้อถัดไป
• <argument> เป็นค่าพารามิเตอร์ สามารถกำหนดได้หลายค่า ขึ้นอยู่กับ acltype

2) คอนฟิก TAG: http_access

ส่วนที่สองคือเพิ่มคอนฟิกในส่วน TAG: http_acces เพื่อที่จะอนุญาต (allow) หรือปฏิเสธ (deny) ชื่อ acl (aclname) ที่สร้างไว้ มีรูปแบบคอนฟิกดังนี้

http_access {allow|deny} [!]<aclname> ...

คำอธิบาย

• คอนฟิก http_access เป็นตัวกำหนดว่า aclname ที่ match ได้นั้น จะอนุญาตหรือปฏิเสธการใช้งาน
• หากมีหลาย aclname ถูกกำหนดไว้ในบรรทัดเดียวกัน การ match ได้จะต้อง match ชื่อ aclname ทั้งหมด
• รูปแบบการ match จะไล่เรียงตั้งแต่บรรทัดแรกจนถึงบรรทัดสุดท้ายที่ขึ้นต้นด้วย http_access
• เครื่องหมายตกใจ ! เป็นการ match ในทางตรงกันข้าม

ชนิดของ access list <acltype>

สามารถดูรายละเอียดทั้งหมดของ acltype ได้จากในไฟล์ /etc/squid/squid.conf แต่ในที่นี้ขอยกตัวอย่างมาเฉพาะที่ใช้กันบ่อยๆ  ดังนี้

ตัวอย่าง match ไคลเอนต์ที่มี ip address อยู่ใน subnet 192.168.1.0/24 หรือ 192.168.2.0/24

acl acl_client1 src 192.168.1.0/24 192.168.2.0/24

ตัวอย่าง match ไคลเอนต์ที่มี ip address ระหว่าง 192.168.1.1 ถึง 192.168.1.10

acl acl_range1 src 192.168.1.1-192.168.1.10

ตัวอย่าง match การเข้าเว็บไซต์ที่มี ip address 10.1.0.1 หรือ 10.9.0.22

acl acl_server1 dst 10.1.0.1/32 10.9.0.22/32

ตัวอย่าง match การเข้าเว็บไซต์ที่มีโดเมนเนมเป็น .useless-website.com

acl acl_domain1 dstdomain .useless-website.com

ตัวอย่างการ match การเข้าเว็บไซต์ พอร์ต 8080 หรือ พอร์ต 9000

acl acl_port1 port 8080 9000

พารามิเตอร์ที่ใช้กำหนดช่วงเวลามีสองส่วนคือ วัน และเวลา มีรูปแบบคอนฟิกดังนี้

acl aclname time [day-abbrevs] [h1:m1-h2:m2]

คำอธิบาย

• day-abbrevs : เป็นอักษรย่อของวัน ตามด้านล่างนี้

S – Sunday
M – Monday
T – Tuesday
W – Wednesday
H – Thursday
F – Friday
A – Saturday

• h1:m1 เวลาเริ่มต้น
• h2:m2 เวลาสิ้นสุด
• h1:m1 ต้องน้อยกว่า h2:m2

ตัวอย่างการ match การเข้าเว็บไซต์ระหว่างเวลา 12:00-13:00 ตั้งแต่วันจันทร์ถึงวันศุกร์

acl acl_time1 time MTWHF 12:00-13:00

ข้อมูลอ้างอิง

• คอนฟิก Squid Proxy Server
• การกำหนด access list ใน Squid Proxy Server ตอนที่ 2
• ไฟล์ /etc/squid/squid.conf

บทความนี้จอแนะนำการใช้ Proxy Server เพื่อเพิ่มประสิทธิภาพและจำกัดการใช้งานอินเทอร์เน็ต คือทุกเครื่องแทนที่จะออกอินเทอร์เน็ตกันได้อย่างอิสระ เราจะบังคับให้ต้องมาผ่าน proxy server ก่อนเสมอ ถ้าไม่ผ่านก็ใช้เน็ตไม่ได้

ประโยชน์ของการใช้ proxy server มีอยู่หลายอย่างจะขอสรุปคร่าวๆ ดังนี้

• เมื่อมีการเรียกไฟล์เดียวกันจากอินเทอร์เน็ต เช่นรูปภาพ เมื่อคนแรกเรียกไฟล์นี้แล้ว proxy จะเก็บไฟล์นี้ไว้ในเครื่อง (cache) เมื่อคนต่อมาเรียกไฟล์เดียวกัน ก็สามารถดึงจาก proxy ได้เลย ไม่ต้องไปเรียกจากอินเทอร์เน็ตอีกครั้ง นี้ถือเป็นจุดมุ่งหมายหลักๆ เลย สำหรับ proxy server
• เราสามารถระบุช่วงเวลาในการใช้งานได้
• ระบุเว็บที่สามารถใช้งานได้ หรือเว็บไหนที่ห้ามไป
• สามารถที่จะทำสถิติรายงานการใช้งาน เพื่อดูว่าเครื่องไหนใช้งานมากสุด

มีหลายโปรแกรมที่สามารถทำหน้าที่เป็น proxy server ได้ บทความนี้จะขอแนะนำการใช้ squid เพื่อติดตั้งบน Fedora Linux 8

ขั้นตอนที่ 1 – ตรวจสอบและติดตั้ง squid
ขั้นแรกตรวจสอบว่าเครื่อง server เรา ติดตั้งโปรแกรม squid หรือยัง ถ้าไม่มีต้องติดตั้งลงไป โดยไฟล์ติดตั้งที่ต้องใช้คือ

ตัวอย่างการติดตั้ง squid บน Fedora 8 (x86_64)

[root@server ~]# rpm -ivh squid-2.6.STABLE16-2.fc8.x86_64.rpm
[root@server ~]# rpm -q squid
squid-2.6.STABLE16-2.fc8
[root@server ~]#


ขั้นตอนที่ 2 – แก้ไขคอนฟิก
เราต้องเปลี่ยนแปลงคอนฟิกไฟล์ของ squid เพื่อให้ใช้งานได้ คอนฟิกที่ดีฟอลต์ที่มาตอนติดตั้งจะไม่สามารถใช้งานจากเครื่องอื่นได้ ใช้ได้แต่จากเครื่อง server ที่ติดตั้งโปรแกรมเอง (ด้วยเหตุผลทางด้านความปลอดภัย ไม่งั้นเครื่องข้างนอกจะสามารถชึ้ proxy มายังเครื่องเรา แล้ว สามารถเรียกเว็บภายในของเราได้)

ไฟล์คอนฟิกหลักของ proxy คือไฟล์ /etc/squid/squid.conf สำหรับเริ่มต้นจะขอแนะนำแก้คอนฟิกพื้นฐานให้สามารถใช้งานได้

2.1 ACCESS CONTROLS
คอนฟิกส่วนนี้จะกำหนดสิทธิในการใช้งาน proxy ว่ามาจากเครื่องไหนได้บ้าง แล้วไปเว็บไซต์ไหนได้บ้าง


# ACCESS CONTROLS
# -----------------------------------------------------------------------------
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT


เพิ่ม acl อีกบรรทัดนึงต่อท้ายคอนฟิกส่วนนี้ เพื่อกำหนดเครื่องที่จะมีสิทธิใช้งาน proxy ได้

ตัวอย่างเช่น เราต้องการให้ทุกเครื่องที่อยู่ในเครื่อข่าย 192.168.1.x และ 192.168.2.x ให้สามารถใช้งาน proxy ได้ ให้เพิ่มบรรทัดตามตัวอย่างนี้



acl our_networks src 192.168.1.0/24 192.168.2.0/24
http_access allow our_networks



อีกตัวอย่างหนึ่งสมมุติว่าเราไม่ต้องการให้ผู้ใช้งานเข้าเว็บไซต์ foo.com หรือ xxx.com เราสามารถเพิ่มคอนฟิกได้ดังนี้



acl ban_websites dstdomain .foo.com .xxx.com
http_access deny ban_websites



หมายเหตุ ข้อควรระวังการเรียงลำดับของ acl ก่อนหน้าและหลัง มีผลในการอนุญาต (allow) หรือปฏิเสธ (deny) การใช้งาน

2.2 NETWORK OPTIONS
ในส่วนนี้จะกำหนดพอร์ตของ proxy ที่ใช้งาน โดยดีฟอลต์แล้ว จะใช้พอร์ต 3128 ถ้าเราจะแก้ไขก็สามารถเปลี่ยนตัวเลข 3128 ไปเป็นตัวเลขอื่นได้เลย เช่นกำหนดให้ใช้พอร์ต


# NETWORK OPTIONS
# -----------------------------------------------------------------------------
# Squid normally listens to port 3128
http_port 3128


หมายเหตุ หลังจากทำขึ้นตอนที่ 3 เพื่อเริ่มต้น squid proxy server แล้ว ทุกครั้งที่แก้ไขไฟล์คอนฟิก /etc/squid/squid.conf ต้องรันคำสั่ง service ทุกครั้งเพื่อให้ค่าคอนฟิกมีผล แนะนำให้ใช้ reload ก็เพียงพอ ไม่จำเป็นต้อง restart โปรแกรมใหม่ เพราะจะช้ามาก


[root@server squid]# service squid reload
[root@server squid]#


ขั้นตอนที่ 3 เริ่มตั้น squid proxy server
หลังจากแก้ไขคอนฟิกเรียบร้อบแล้ว ต้องใช้คำสั่ง service เพื่อเริ่มต้นทำหน้าที่เป็น squid proxy server

ตัวอย่างการเริ่มต้น squid proxy server

[root@server ~]# service squid start
init_cache_dir /var/spool/squid... Starting squid: .. [ OK ]
[root@server ~]#


ถ้าเราเพิ่งรัน squid proxy server ครั้งแรก จะมีการสร้าง cache directory ขึ้นมา โดยดีฟอลต์แล้วจะอยู่ใน /var/spool/squid/

ขั้นตอนที่ – 4 ทดสอบจากเครื่อง client
ในที่นี้จะแนะนำการทดสอบการเครื่อง client โดยใช้โปรแกรม Internet Explorer, และ Firefox โดยชี้ไปที่ proxy ที่มี ip 192.168.1.1 พอร์ต 3128

ใน Internet Explorer สามารถเข้าไปได้ที่ Tools -> Internet Options -> Connections -> LAN settings

ตัวอย่างการตั้งค่า proxy ใน Internet Explorer

ส่วนใน Mozilla Firefox สามารถเข้าไปแก้ไขคอนฟิกได้ที่ Tools -> Options -> Advanced -> Network -> Settings ->

ตัวอย่างการตั้งค่า proxy ใน Mozilla Firefox

ข้อมูลอ้างอิง

• การกำหนด access list ใน Squid Proxy Server ตอนที่ 1
• Squid Official Site
• squid-2.6.STABLE16-2.fc8.x86_64.rpm