rh124-09-构建Squid代理服务器

1、构建Squid代理效力器.本章构造缓存代理概述构建Squid代理效力器Squid根本配置配置透明代理主配置文件squid.conf ACL访问控制配置反向代理配置squid实现根本代理功能 .缓存代理概述代理效力器的作用经过缓存的方式为用户提供Web访问加速对用户的Web访问进展过滤控制InternetSquid代理效力器Cache12356客户端PC机1634.缓存代理概述普通代理效力即规范的、传统的代理效力需求客户机在阅读器中指定代理效力器的地址、端口透明代理效力适用于企业的网关主机共享接入Internet中客户机不需求指定代理效力器地址、端口等信息需求设置防火墙战略将客户机的Web访问数

2、据转交给代理效力程序处置.缓存代理概述反向代理效力为Internet用户访问企业Web站点提供缓存加速Internet反向代理效力器Web效力器 NWeb用户 1Web用户 2Web用户 NWeb效力器 2Web效力器 1.Squid根本配置squid软件包软件包名：squid-2.6.STABLE6-3.el5效力名：squid主程序：/usr/sbin/squid配置目录：/etc/squid/主配置文件：/etc/squid/squid.conf默许监听端口：TCP 3128默许访问日志文件：/var/log/squid/access.log.主配置文件squid.conf常用配置项ht

3、tp_port 3128 cache_mem 64 MB maximum_object_size 4096 KB reply_body_max_size 10240000 allow allaccess_log /var/log/squid/access.log squidvisible_hostname proxy.testdns_testnames google 163cache_dir ufs /var/spool/squid 100 16 256.配置squid实现根本的代理功能普通代理效力的典型运用环境InternetSquid代理效力器局域网PC机00/24eth1: /24eth

4、0: 1/301639/30.配置squid实现根本的代理功能设置squid效力器端修正squid.conf主配置文件http_port 3128visible_hostname proxy.testreply_body_max_size 10240000 allow allhttp_access allow all初始化squid缓存目录squid -z启动squid效力squid -D-z 初始化缓存目录构造-D 不做DNS解析测试-k reconfigure 重新加载配置.配置squid实现根本的代理功能设置客户机00的阅读器指定效力器的地址、端口3128.配置squid实现根本的代理功

5、能验证代理效力器功能当外网测试机9中启用Web效力程序后，在局域网客户机00的IE阅读器中应可以访问该站点：9网页访问胜利后，检查代理效力器的日志文件，应发现客户机的HTTP访问记录rootlocalhost # tail -1 /var/log/squid/access.log1244386040.208 62 00 TCP_MISS/200 2828 GET 9/icons/apache_pb2.gif - DIRECT/9 image/gif.rootgw1 # tail -1 /var/log/httpd/access_log1 - - 16/May/2021:12:39:39 +08

6、00 GET /icons/apache_pb2.gif /1.0 200 2414 9 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 1.0.3705; aff-kingsoft-ciba)配置squid实现根本的代理功能验证代理效力器功能检查外网测试机的Web访问日志，应发现进展访问的是代理效力器主机1，而不是客户机.配置squid实现根本的代理功能验证代理效力器功能在阅读器中下载超越10M大小的文件时应被回绝.小结请思索：squid效力的主配置文件、访问日志文件各是什

7、么？什么配置项用于设置代理效力器的监听端口？什么配置项可用于限制为客户端缓存的最大文件？什么配置项可用于限制客户端下载的最大文件大小？cache_mem、visible_hostname配置的作用是什么?哪些方式可以对squid效力的缓存目录进展初始化？.ACL访问控制ACLAccess Control List，访问控制列表可以从客户机的IP地址、恳求访问的URL/域名/文件类型、访问时间、并发恳求数等各方面进展控制运用访问控制的方式定义acl列表 acl 列表称号 列表类型 列表内容 针对acl列表进展限制 http_access allow或deny 列表名 .ACL访问控制最根本的AC

8、L访问控制例如制止任何客户机运用代理效力acl all src /http_access deny all.ACL访问控制常用的acl列表类型srcdstportsrcdomaindstdomaintimemaxconnurl_regexurlpath_regex.ACL访问控制ACL列表定义例如acl LAN1 src /24acl PC1 src 6/32acl Blk_Domain dstdomain . .kaixin001acl Work_Hours time MTWHF 08:30-17:30acl Max20_Conn maxconn 20acl Blk_URL url_rege

9、x -i rtsp mmsacl Blk_Words urlpath_regex -i sex adultacl RealFile urlpath_regex -i .rmvb$ .rm$.ACL访问控制根据曾经定义的部分ACL列表进展访问控制http_access deny LAN1 Blk_URLhttp_access deny LAN1 Blk_Wordshttp_access deny PC1 RealFilehttp_access deny PC1 Max20_Connhttp_access allow LAN1 Work_Hours.ACL访问控制访问控制规那么的匹配顺序没有设置任

10、何规那么时 将回绝一切客户端的访问恳求有规那么但找不到相匹配的项时 将采用与最后一条规那么相反的权限，即假设最后一条规那么是allow，那么就回绝客户端的恳求，否那么允许该恳求.配置透明代理实现透明代理的根本条件前提： 客户机的Web访问数据要能经过防火墙 代理效力构建在网关防火墙主机中配置要求： 代理效力程序可以支持透明代理 设置防火墙规那么，将客户机的Web访问数据自动重定向给代理效力程序处置.配置透明代理透明代理效力的典型运用环境Internet透明代理效力器局域网PC机00/24eth1: /24eth0: 1/301639/30.配置透明代理根本实现步骤修正squid.conf配置文

11、件，并重新加载该配置 http_port :3128 transparent 添加iptables规那么 iptables -t nat -I PREROUTING -i eth1 -s /24 -p tcp -dport 80 -j REDIRECT -to-ports 3128客户机阅读器 不需求在阅读器中指定代理效力器的地址、端口验证透明代理的实施效果.配置反向代理Internet反向代理效力器Internet中的客户机9/30eth1: /24testeth0: 1/301/244/24网站效力器群.配置反向代理根本实现步骤修正squid.conf文件，并重新加载该配置cache_pe

12、er Web效力器地址 效力器类型 http端口 icp端口 可选项http_port 1:80 vhost cache_peer 1 parent 80 0 originserver weight=5 max-conn=30cache_peer 2 parent 80 0 originserver weight=5 max-conn=30cache_peer 3 parent 80 0 originserver weight=5 max-conn=30cache_peer 4 parent 80 0 originserver weight=1 max-conn=8.配置反向代理验证反向代理的

13、实施效果在上游Web效力器14中开启httpd效力在Internet中的客户机9中访问反向代理效力器主机1，应可以看到实践由上游Web效力器提供的网页内容查看反向代理效力器的访问日志信息rootlocalhost # tail -1 /var/log/squid/access.log 1231256531.038 35 9 TCP_MISS/200 2869 GET 1/index.php? - FIRST_UP_PARENT/1 image/gif第1台上游Web效力器的地址反向代理效力器的地址客户机地址.本章总结缓存代理概述构建Squid代理效力器Squid根本配置配置透明代理主配置文件s

14、quid.conf ACL访问控制配置反向代理配置squid实现根本代理功能 .实验案例1：搭建透明代理网关效力器需求描画运用iptables设置SNAT战略 使/24网段的主机经过NAT方式共享上网配置squid代理效力 对HTTP访问进展缓存加速，并结合防火墙战略实现透明代理在代理效力中进展访问控制 制止局域网用户下载rmvb、mp3格式的文件 对超越3M大小的文件不做缓存，制止下载超越8M的文件 制止用户访问qq、tencent、xxxx等域的网站 启用网址过滤，制止访问包含“sex字样的链接.InternetSquid透明代理效力器局域网PC机0/24eth1: /24eth0: /2

15、4Internet中的测试效力器google/24实验案例1：搭建透明代理网关效力器.实验案例1：搭建透明代理网关效力器实现思绪预备好客户机及Internet测试效力器正确配置各主机的网络参数 局域网主机将默许网关设为 在测试效力器上启动httpd效力修正 squid.conf 文件， 配置透明代理支持、缓存和下载文件大小限制、网址过滤开启路由转发，添加实现透明代理的REDIRECT战略初始化并启动squid效力验证明验结果.实验案例2：搭建反向代理效力器需求描画公司的对外域名test解析为反向代理效力器的IP地址：当从Internet访问站点test时，实践看到的网页内容来源于局域网中的Web效力器群： 1、2 .实验案例2：搭建反向代