Squid代理服务器
squid代理的工作机制:
- 代替客户机向网站请求数据,从而可以隐藏用户的真实IP地址
- 将获得的网页数据(静态 web元素)保存到缓存中并发给客户机,以便下次请求相同的数据时快速响应
代理服务器的概念及其作用:
代理服务器是一个位于客户端和原始(资源)服务器之间的服务器,为了从原始服务器取得内容,客户端向代理服务器发送一个请求并指定目标原始服务器,然后代理服务器向原始服务器转交请求并将获得的内容返回给客户端。
其主要作用有:
资源获取:代替客户端实现从原始服务器的资源获取:
加速访问:代理服务器可能离原始服务器更近,从而起到一-定的加速作用:
缓存作用:代理服务器保存从原始服务器所获取的资源,从而实现客户端快速的获取:,
隐藏真实地址:代理服务器代替客户端去获取原始服务器资源,从而隐藏客户端真实信息。
squid代理的基本类型
- 传统代理:适用于internet,需在客户机指定代理服务器的地址和端口
- 透明代理:客户机不需指定代理服务器的地址和端口,而是通过默认路由、防火墙策略将web访问重定向给代理服务器处理
- 反向代理:如果Squid反向代理服务器中缓存了该请求的资源,则将该请求的资源直接返回给客户端;否则反向代理服务器将向后台的web服务器请求资源,然后将请求的应答返回给客户端,同时也将该应答缓存(静态)在本地,供下一个请求者使用
传统模式和透明模式的区别
安装Squid服务
首先关闭防火墙和SElinux
systemctl stop firewalld
systemctl disable firewalld
setenforce 0
1.编译安装 Squid
yum -y install gcc gcc-c++ make
tar zxvf squid-3.5.28.tar.gz -C /opt/ #解压软件包
cd /opt/squid-3.5.28
./configure --prefix=/usr/local/squid \ #指定安装目录路径
--sysconfdir=/etc \ #指定配置文件路径
--enable-arp-acl \ #MAC地址管控,防止客户端使用IP欺骗
--enable-linux-netfilter \ #使用内核过滤
--enable-linux-tproxy \ #支持透明模式
--enable-async-io=100 \ #异步IO,提升存储性能
--enable-err-language="Simplify_ Chinese" \ #错误信息的显示语言
--enable-underscore \ #允许URL中有下划线
--disable-poll \ #关闭默认使用poll模式
--enable-epoll \ #开启epoll模式提升性能
--enable-gnuregex #使用GNU正则表达式
make -j2 && make install
ln -s /usr/local/squid/sbin/* /usr/local/sbin
##创建链接文件,优化路径
useradd -M -s /sbin/nologin squid
###创建程序用户、组
chown -R squid:squid /usr/local/squid/var/
##改变目录属主,此目录用来存放缓存文件
2.修改Squid的配置文件
vim /etc/squid.conf
......
-----56行--插入------
http_access allow all #放在http_access deny all 之前,允许任意客户机使用代理服务,控制规则自上而下匹配
http_access deny all
http_port 3128 #用来指定代理服务监听的地址和端口(默认的端口号为3128)
-----61行--插入------
cache_effective_user squid #添加,指定程序用户,用来设置初始化、运行时缓存的账号,否则启动不成功
cache_effective_group squid #添加,指定账号基本组
coredump_dir /usr/local/squid/var/cache/squid #指定缓存文件目录
3.Squid 的运行控制
检查配置文件语法是否正确
squid -k parse
启动Squid, 第一次启动Squid服务时,会自动初始化缓存目录
squid -z #-z选项用来初始化缓存目录
squid #启动squid 服务
netstat -anpt | grep "squid"
4.创建 Squid 服务脚本
vim /etc/init.d/squid
#!/bin/bash
#chkconfig: 2345 90 25
PID="/usr/local/squid/var/run/squid.pid"
CONF="/etc/squid.conf"
CMD="/usr/local/squid/sbin/squid"
case "$1" in
start)
netstat -natp | grep squid &> /dev/null
if [ $? -eq 0 ]
then
echo "squid is running"
else
echo "正在启动 squid..."
$CMD
fi
;;
stop)
$CMD -k kill &> /dev/null
rm -rf $PID &> /dev/null
;;
status)
[ -f $PID ] &> /dev/null
if [ $? -eq 0 ]
then
netstat -natp | grep squid
else
echo "squid is not running"
fi
;;
restart)
$0 stop &> /dev/null
echo "正在关闭 squid..."
$0 start &> /dev/null
echo "正在启动 squid..."
;;
reload)
$CMD -k reconfigure
;;
check)
$CMD -k parse
;;
*)
echo "用法:$0{start|stop|status|reload|check|restart}"
;;
esac
搭建传统代理
环境准备工作:
服务器类型 系统和IP地址 需要安装的组件 网络模式
squid服务器 CentOS7.4(64 位) 192.168.247.10 squid-3.5.28.tar.gz ——nat模式
web服务器 CentOS7.4(64 位) 192.168.247.20 httpd ——nat模式
client客户端 Win10客户端 192.168.247.129 ——nat模式
1 . 修改squid.conf配置文件
vim /etc/squid.conf
cache_mem 64 MB
#指定缓存功能所使用的内存空间大小,便于保持访问较频繁的WEB对象,容量最好为4的倍数,单位为MB,建议设为物理内存的1/4
reply_body_max_size 10 MB
#允许用户下载的最大文件大小,以字节为单位,当下载超过指定大小的Web对象时,浏览器的报错页面中会出现“请求或访问太大”的提示默认设置0表示不进行限制
maximum_object_size 4096 KB
#允许保存到缓存空间的最大对象大小,以KB为单位,超过大小限制的文件将不被缓存,而是直接转发给用户
2 . 重启服务
service squid restart
3 . 添加设置防火墙规则
#生产环境中还需要修改防火墙规则
iptables -F
iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
4 . 修改客户机代理
看一下客户机的IP地址
搜索查看web服务器
此时可以查看web端的 网页日志 (是可以直接看到是客户机请求的IP)
tail -f /var/log/httpd/access_log
---客户机的代理配置
打开浏览器,工具-->Internet选项-->连接 -->局域网设置-->开启代理服务器 (地址: Squid服务器IP地址,端口: 3128)
清除缓存后,使用浏览器访问http://192.168.247.20 (web服务器地址)
此时查看web端的 网页日志 (这时候就只能看到是Squid服务器的ip请求的)
再查看一下Squid服务器的日志(可以看到是129向20的请求)
tail -f /usr/local/squid/var/logs/access.log
构建透明代理服务器
客户端并不知道代理服务器的存在,但是数据需要经过代理服务器,再由代理服务器的路由及防火前规则进行转发
1 . Squid服务器:双网卡
内网ens33: 192.168.247.10 外网ens36: 12.0.0.1
2 . quid服务器配置
① 修改新网卡配置
cd /etc/sysconfig/network-scripts/
cp -p ifcfg-ens33 ifcfg-ens36
vim ifcfg-ens36
.......
NAME=ens36
DEVICE=ens36
IPADDR=12.0.0.1
NETMASK=255.255.255.0
systemctl restart network
②修改squid配置文件
vim /etc/squid.conf
http_port 192.168.247.10:3128 transparent
systemctl restart squid
③路由和防火墙配置
开启路由转发,实现本机中不同网段的地址转发
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p
iptables -F
iptables -t nat -F
iptables -t nat -I PREROUTING -i ens33 -s 192.168.247.0/24 -p tcp --dport 80 -j REDIRECT --to 3128 #用于转发http协议
iptables -t nat -I PREROUTING -i ens33 -s 192.168.247.0/24 -p tcp --dport 443 -j REDIRECT --to 3128 #用于转发https协议
iptables -I INPUT -p tcp --dport 3128 -j ACCEPT #放3128端口的数据进来
3.访问检测
客户机访问web网站(12.0.0.12) 追踪 web的日志 和Squid的日志
追踪 web的日志 发现请求端是12.0.0.1 也就是squid的外网卡
追踪 squid的日志
ACL访问控制
ACL访问控制概述
ACL访问控制列表的概念
ACL(Access Control List)访问控制列表,主要用于过滤网络中的流量,是控制访问的一种技术手段。网络设备为了过滤报文,需要配置一系列的匹配条件对报文进行分类,应用在端口上,根据预先设定的策略,对特定端口的流量起到控制作用。
访问控制列表(ACL)由一组规则组成,在规则中定义允许或拒绝通过路由器的条件
利用ACL可以对经过路由器的数据包按照设定的规则进行过滤,使数据包有选择的通过路由器,起到防火墙的作用。
ACL一般只在以下路由器上配置:
内部网和外部网的边界路由器。
两个功能网络交界的路由器。
在配置文件squid.conf中,ACL访问控制的步骤
通过以下两个步骤来实现:
- 使用acl配置项定义需要控制的条件
- 通过http_access配 置项对已定义的列表做“允许"或“拒绝”访问的控制
定义访问控制列表
格式: acl 列表名称 列表类型 列表内容
• 列表名称: 名称自定义,相当于给acl起个名字
• 列表类型: 必须使用squid预定义的值,对应不同类别的控制条件
• 列表内容: 是要控制的具体对象,不同类型的列表所对应的内容也不一样,可以有多个值(以空格为分
隔,为“或"的关系)
ACL访问控制方式
根据源地址、目标URL、文件类型等定义列表
acl 列表名称 列表类型 列表内容…
针对已定义的acl列表进行限制
http_access allow或deny列表名称…
ACL规则优先级
一个用户访问代理服务器时,Squid会顺序匹配Squid中定义的所有规则列表,一旦匹配成功,立即停止匹配
所有规则都不匹配时,Squid会使用与最后一条相反的规则
常用的ACL列表类型
src →>源地址
dst >自标地址
port→>端口
dstdomain>目标域
time →>访问时间
maxconn →最大并发连接
ourl_regex→目标URL地址
Urlpath_regex→整个目标URL路径
设置ACL访问控制的步骤
环境准备工作: