第13章Linux网络服务器配置、管理与实践教程(第2版)

第13章代理服务器搭建与测试第13章代理服务器搭建与测试1. 教学目标与要求 大量拥有内部地址的机器组成了企业内部网，那么如何连接内部网和Internet？代理服务器将是很好的选择，它能够解决内部网访问Internet的问题并提供访问的优化和控制功能。本章将讲解代理服务的原理，以及Squid代理软件的使用方法。通过本章的学习，读者应该掌握以下内容：·安装、配置Squid代理的使用。·掌握代理服务的常规配置。·掌握代理的高级配置。2. 教学重点与难点。

安装Squid及使用方法，代现服务的实际应用。13.1代理服务原理13.1.1什么是代理服务器13.1.2代理服务器的工作原理13.1代理服务原理13.1.3代理服务器的作用1．提高访问速度2．用户访问限制3．安全性得到提高13.2安装Squid13.2.1Squid简介Squid的主要功能有：（1）代理和缓存HTTP、FTP和其他的URL请求。（2）代理SSL请求。（3）支持多级缓存。（4）支持透明代理。（5）支持ICP、HTCP、CARP等缓存摘要。（6）支持多种方式的访问控制和全部请求的日志记录。（7）提供HTTP服务器加速。（8）能够缓存DNS查询。Squid的官方网站是。13.2安装Squid13.2.2安装Squid1．Squid所需软件（1）Squid-2.6.STABLE6-3.el5.i386.rpm2．安装Squid安装之前可以使用rpm-qa命令查看是否已经Squid安装，如下所示。[root@zhou～]#rpm-qa|grepsquidsquid-2.6.STABLE6-3.el5如果系统还未安装Squid软件或者不慎将其删除了的话，请插入第二张RedHatEnterpriseLinux5系统安装光盘进行安装。13.2安装Squid13.2.3Squid启动和停止1．初始化Squid[root@zhou～]#squid–z2014/03/0312:21:05|CreatingSwapDirectories注意：cache目录初始化可能花费一些时间，依赖于cache目录的大小和数量，以及磁盘驱动的速度。如想查看这个过程，可以使用-X参数：[root@zhou～]#squid–zX在cache目录激活后，永远不要改变L1和L2值。13.2安装Squid2．Squid服务的启动[root@zhou～]#servicesquidstartStartingsquid:.[OK]3．Squid服务的停止[root@zhou～]#servicesquidstopStoppingsquid:[OK]4．Squid服务的重新启动[root@zhou～]#servicesquidrestartStoppingsquid:[OK]Startingsquid:.[OK]5．Squid服务配置重新加载Servicesquidreload或/etc/rc.d/init.d/squidreload注意：Linux中的服务，在更改配置文件后，一定要记得使用重启服务，让服务器重新加载配置文件。这样新的配置才可以生效。13.2安装Squid6．自动加载squid服务（1）chkconfig使用chkconfig命令自动加载Squid，如下所示。[root@zhou～]#chkconfig--level3squidon#运行级别3自动加载[root@zhou～]#chkconfig--level3squidoff#运行级别3不自动加载（2）ntsysv使用ntsysv命令，利用文本图形界面对Squid自动加载进行配置，如图13.2所示。13.3Squid服务器常规配置13.3.1Squid主配置文件squid.conf1．概述2．设置（1）NETWORKOPTIONS是用来设置与网络相关的一些选项。如设置监听哪些IP地址的叶些端口。（2）OPTIONSWHICHAFFECTTHENEIGHBORSELECTIONALGORITHM是用来设置与邻居选择算法有关的选项。（3）OPTIONSWHICHAFFECTTHECACHESIZE这部份用于设置cache（缓存）大小相关的选项。如设置内存缓冲区大小。（4）LOGFILEPATHNAMESANDCACHEDIRECTORIES用于设置日志文件路径及cache的目录。（5）OPTIONSFOREXTERNALSUPPORTPROGRAMS用于设置与外部支持程序相关的选项。（6）OPTIONSFORTUNINGTHECACHE用于调整cache选项。（7）TIMEOUTS用于设置和超时相关的选项。（8）ACCESSCONTROLS用于设置和访问控制相关的选项。（9）ADMINISTRATIVEPARAMETERS用于设置管理参数。（10）OPTIONSFORTHECACHEREGISTRATIONSERVICE用于设置与cache注册服务相关的选项。（11）HTTPD-ACCELERATOROPTIONS用于设置HTTPD加速选项。（12）MISCELLANEOUS杂项（13）DELAYPOOLPARAMETERS13.3Squid服务器常规配置使用http_port字段进行设置，如下所示。http_port808013.3.3内存缓冲设置cache_mem512MB13.3.4Squid磁盘缓存cache_dir存储机制目录目录大小L1L2【例13.1】设置/var/spool/squid为硬盘缓存目录，目录大小设置为4096MB，L1为16，L2为256。cache_dirufs/var/spool/squid409616256

13.3Squid服务器常规配置13.3.5设置缓存日cache_log/var/log/squid/cache.log13.3.6设置访问日志文件cache_access_log/var/log/squid/access.log13.3.7设置网页缓存日志cache_store_log/var/log/squid/store.log13.3.8设置Squid的拥有者cache_effective_usernobady13.3.9设置Squid所属组cache_effective_groupnobady13.3.10设置DNS服务器地址dns_nameservers513.3.11设置Squid可见主机名visible_hostname013.3.12设置管理员E-mail地址cache_mgrroot@13.3Squid服务器常规配置13.3.13设置访问控制列表1．ACLacl字段用来定义一张列表，使用方法如下。acl列表名列表类型列表值表13.1常用Squid列表类型13.3Squid服务器常规配置2．http_accesshttp_accessallowd|deny列表名aclallsrc/http_accessallowall注意：如使用多个http_access字段需要注意先后顺序的问题。Squid是按照顺序读取访问控制列表的。所以若顺序放置不合理，则可能导致出现问题。13.3Squid服务器常规配置13.3.14Squid代理服务应用案例【例13．2】如图13.4所示，公司内部网络采用/24网段的IP地址，所有的主机通过代理服务器接入互联网(Internet)。代理服务器配有两块以太网卡，其中eth0用于连接内网，IP地址为54。eth1接外网，IP地址为自动获得。代理服务器仅用于代理服务，并不作其他服务器用，内存大小为1GB，硬盘采用SCSI硬盘，容量为200GB。由于目前公司规模不大，客户端数量并不多，管理员决定采用使用10GB作为硬盘缓存。除此之外，要求所有主机都可以上网。13.3Squid服务器常规配置分析：这是一个最为基本的Squid配置案例，对于小型企业而言，类似这种接入互联网(Internet)的方法经常用到，通过这种方法可以在一定程度上加速浏览网页的速度，而且可以很好地监控员工上网的情况。对于本案例，首先要做的是配置好Squid服务器上的两块网卡，并且开启路由功能，其次是对主配置文件squid.conf进行修改，设置内存、硬盘缓存、日志以及访问控制列表等字段。然后重新启动Squid服务器。在此，仅对服务器端配置做介绍，客户端配置请参考后面13.5节。13.4Squid服务器高级配置13.4.1代理服器用户访问控制1.访问控制配置方法（1）设置acl名称acl名称类型IP或者端口（2）设定http_access字段http_accessallow/denyacl名称2.配置实例【13.4】禁止地址的客户端上网ac1client01srchttp_accessdenyclient01【13.5】禁止/8网段客户端上网aclclient02src/8http_accessdenyclient02【13.6】禁止来自.域的客户端上网。aclbaddomainsrcdomain.http_accessdenybaddomain【13.7】限制所有员工只能在周一到周五的8-5点上网。aclallsrc/aclmanagetimetimeMTWHF8:00-17:00http_accessallowclient02managetime13.4Squid服务器高级配置time列表类型允许控制基于时间的访问，可以设置星期和每天的具体时间，星期用大写字母表示，如表13.2所示。

【13.8】屏蔽站点aclbadsitesrcdstdomain–ihttp_accessdenybadsite【13.9】屏蔽所有包含“sex”的URLaclsexsrcurl_regex–isexhttp_accessdenysex13.4Squid服务器高级配置【13.10】限制/24网段的客户端并发的最大连数为3aclclient03src/24aclmaxmaxconn3http_accessdenyclient03max【13.11】禁止用户访问22232553110119危险端口acldangerous_portport22232553110119http_accessdenydangerous_port或者acldangerous_portport22acldangerous_portport23acldangerous_portport25acldangerous_portport53acldangerous_portport110acldangerous_portport119http_accessdenydangerous_port13.4Squid服务器高级配置假如不确定哪些端口具有危险性，也可以采取更为保守的方法，只允许访问安全的端口。默认的squid.conf包含了以下的安全端口ACL，如下所示。aclsafe_portsport80#httpaclsafe_portsport21#ftpaclsafe_portsport443563#https、snewsaclsafe_portsport70#gopheraclsafe_portsport210#waisaclsafe_portsport1025-65535#unregisteredportsaclsafe_portsport280#http-mgmtaclsafe_portsport488#gss-httpaclsafe_portsport591#filemakeraclsafe_portsport777#multilinghttphttp_accessdeny!safe_portshttp_accessdeny!safe_ports表示拒绝所有的非safe_ports列表中的端口。这样设置系统的安全性得到了进一步保障。“！”表示取反。

13.4Squid服务器高级配置13.4.2实现透明代理1.路由及防火墙设置（1）启用IP转发[root@zhou～]#echo1>/proc/sys/net/ipv4/ip_forward（2）NAT[root@zhou～]#iptables–tnat–APOSTROUTING–s/16–oeth0–jSNAT--tox.x.x.x2.修改squid.conf[root@zhou～]#cd/etc/squid[root@zhouSquid]#visquid.conf字段修改如下：http_port80cache_mem80MBhttp_accessallowallhttpd_accel_hostvirtualhttpd_accel_port80httpd_accel_with_proxyonhttpd_accel_user_host_headeron3.运行squid[root@zhou～]#servicesquidrestart13.4Squid服务器高级配置13.4.3实现透明代理配置Squid的配置文件，使其支持httpd加速器工作方式。1.编辑squid.conf文件增加以下内容：http_port80①icp_port0aclQUERYurlpath_regexcgi–bin?no_cachedenyQUERYcache_mem16MBcache_dirufs/tmp25616256②log_icp_gqeriesoffbuffered_logs