项目4 配置与管理代理服务器

项目4

配置与管理代理服务器能力要求CAPACITY了解代理服务器的基本知识。0103了解文件权限设置内容。02掌握squid代理服务器的配置方法。思政导入IDEOLOGY了解中国国家顶级域名“CN”，了解中国互联网发展中的大事和大师，激发学生的自豪感。思政目标IDEOLOGY“古之立大事者，不惟有超世之才，亦必有坚忍不拔之志”，鞭策学生努力学习。思政内容IDEOLOGY你知道我国是哪一年真正拥有了Internet吗？中国国家顶级域名“CN”服务器是哪一年完成设置的呢？1994年4月20日，一条64kbit/s的国际专线从中国科学院计算机网络信息中心通过美国Sprint公司连入Internet，实现了中国与Internet的全功能连接。从此我国被国际上正式承认为真正拥有全功能互联网的国家。此事被我国新闻界评为1994年我国十大科技新闻之一，被国家统计，公报列为我国1994年重大科技成就之一。项目知识准备项目设计与准备项目实施项目实录：配置与管理代理服务器内容导航CONTENTS一、项目知识准备代理服务器的工作原理当客户端在浏览器中设置好代理服务器后，所有使用浏览器访问Internet站点的请求都不会被直接发给目的主机，而是首先被发送至代理服务器，代理服务器接收到客户端的请求以后，由代理服务器向目的主机发出请求，并接收目的主机返回的数据，将其存放在代理服务器的硬盘，然后由代理服务器将客户端请求的数据转发给客户端。代理服务器的工作原理如图所示。一、项目知识准备代理服务器的工作原理①当客户端A对Web服务器提出请求时，此请求会首先被发送到代理服务器。②代理服务器接收到客户端A的请求后，检查缓存中是否存有客户端A需要的数据。③如果代理服务器没有客户端A请求的数据，则它将向Web服务器提交请求。④Web服务器响应请求的数据。⑤代理服务器从Web服务器获取数据后，将其保存至本地的缓存，以备以后查询使用。⑥代理服务器向客户端A转发Web服务器的数据。⑦客户端B访问Web服务器，向代理服务器发出请求。⑧代理服务器查找缓存记录，确认已经存在Web服务器的相关数据。⑨代理服务器直接回应查询到的信息，而不需要再去Web服务器查询，从而节约网络流量，提高访问速度。一、项目知识准备代理服务器的作用（1）提高访问速度。因为用户请求的数据被存于代理服务器的硬盘中，所以下次这个用户或其他用户再请求相同目的站点的数据时，会直接从代理服务器的硬盘中读取，代理服务器起到了缓存的作用，提高了访问速度。当热门站点有很多用户访问时，代理服务器的优势更为明显。（2）限制用户访问。因为所有使用代理服务器的用户都必须通过代理服务器访问远程站点，所以在代理服务器上可以设置相应的限制，以过滤或屏蔽某些信息。这是局域网网关限制局域网用户访问范围常用的办法，也是局域网用户不能浏览某些网站的原因。拨号用户如果使用代理服务器，则同样必须服从代理服务器的访问限制。（3） 提高安全性。无论是聊天还是浏览网站，目的网站只能知道使用的代理服务器的相关信息，而无法得知客户端的真实IP地址，从而提高了用户的安全性。项目知识准备项目设计与准备项目实施项目实录：配置与管理代理服务器内容导航CONTENTS二、项目设计与准备项目设计与准备部署squid代理服务器应满足下列需求。（1）安装好企业版Linux网络操作系统，并且必须保证常用服务正常工作。客户端使用Linux或Windows网络操作系统。服务器和客户端能够通过网络进行通信。（2）或者利用虚拟机设置网络环境。模拟互联网的真实情况，需要3台虚拟机，Linux服务器和客户端的配置信息如表所示。主机名操作系统IP

地址角色内网服务器：Server01Kylin

V10/24（VMnet1）Web

服务器、firewalld

squid

代理服务器：Server02

Kylin

V10IP

地址1

：0/24（VMnet1）IP

地址2：12/24（VMnet8）

firewalld、squid外网Linux

客户端：Client1Kylin

V1013/24（VMnet8）Web

服务器、firewalld项目知识准备项目设计与准备项目实施项目实录：配置与管理代理服务器内容导航CONTENTS三、项目实施任务4-1安装、启动、停止与随系统启动squid服务1. squid软件包与常用配置项（1） squid软件包①软件包名：squid。②服务名：squid。③主程序：/usr/sbin/squid。④配置目录：/etc/squid/。⑤主配置文件：/etc/squid/squid.conf。⑥默认监听端口：TCP3128。⑦默认访问日志文件：/var/log/squid/access.log。（2） 常用配置项①http_port3128。②cache_access_log/var/log/squid/access.log。③visible_hostname。三、项目实施任务4-1安装、启动、停止与随系统启动squid服务(2)安装、启动、停止squid服务（在Server02上安装[root@Server02~]#rpm-qa|grepsquid[root@Server02~]#mount/dev/cdrom/media[root@Server02~]#dnfcleanall#安装前先清除缓存[root@Server02~]#dnfinstallsquid-y[root@Server02~]#systemctlstartsquid#启动squid服务[root@Server02~]#systemctlenablesquid#开机自动启动三、项目实施任务4-2配置squid服务1．几个常用的参数参数作用http_port

3128设置监听的端口为3128cache_mem

64M设置内存缓冲区的大小为64MBcache_dir

ufs

/var/spool/squid

2000

16

256设置硬盘缓存大小为2000MB，缓存目录为/var/spool/squid，一级子目录16

个，二级子目录256

个cache_effective_user

squid设置缓存的有效用户cache_effective_group

squid设置缓存的有效用户组dns_nameservers

[IP

地址]一般不设置，而是用服务器默认的DNS

地址cache_access_log

/var/log/squid/access.log访问日志文件的保存路径cache_log

/var/log/squid/cache.log缓存日志文件的保存路径visible_hostname

设置squid

服务器的名称三、项目实施任务4-2配置squid服务2.设置访问控制列表squid代理服务器是客户端与Web服务器之间的中介，它实现访问控制，决定哪一台计算机可以访问Web服务器以及如何访问。Squid代理服务器通过检查具有控制信息的主机和域的访问控制列表（AccessControlList，ACL）来决定是否允许某计算机访问。ACL是控制用户的主机和域的列表。使用acl命令可以定义ACL，该命令能在控制项中创建标签。用户可以使用http_access等命令定义这些控制功能，可以基于多种acl选项，如源IP地址、域名，甚至日期和时间等来使用acl命令定义系统或者系统组。三、项目实施任务4-2配置squid服务（1） acl命令acl命令的格式如下。

aclACL名称 ACL类型[-i]ACL值 其中，ACL名称用于区分squid的各个ACL，任何两个ACL不能用相同的ACL名称。一般来说，为了便于区分ACL的含义，应尽量使用意义明确的名称。ACL类型用于定义可被squid识别的类别，如IP地址、主机名、域名、日期和时间等类别。ACL类型及说明如表所示。三、项目实施任务4-2配置squid服务ACL

类型说明src

ip-address/netmask客户端源IP

地址和子网掩码src

addr1-addr4/netmask客户端源IP

地址范围dst

ip-address/netmask客户端目标IP

地址和子网掩码myip

ip-address/netmask本地套接字IP

地址srcdomain

domain源域名（客户端所属的域）dstdomain

domain目的域名（Internet

中服务器所属的域）srcdom_regex

expression对源URL

进行正则表达式匹配dstdom_regex

expression对目的URL

进行正则表达式匹配

time指定时间。用法：acl

aclnametime[day-abbrevs][h1:m1-h2:m2]其中day-abbrevs

可以为S（Sunday）、M（Monday）、T（Tuesday）、W（Wednesday）、H（Thursday）、F（Friday）、A（Saturday）注意：h1:m1

一定要比h2:m2

小port指定连接端口，如acl

SSL_ports

port

443proto指定使用的通信协议，如acl

allowprotolist

proto

HTTPurl_regex设置URL

规则匹配表达式urlpath_regex:URL-path设置略去协议和主机名的URL

规则匹配表达式三、项目实施任务4-2配置squid服务（2）http_access设置允许或拒绝某个ACL的访问请求，格式如下。

http_access[allow|deny]ACL名称 squid代理服务器在定义ACL后，会根据http_access的规则允许或拒绝满足一定条件的客户端的访问请求。【例4-1】拒绝所有客户端的请求。aclallsrc/http_accessdenyall三、项目实施任务4-2配置squid服务【例4-2】禁止/24的用户上网。aclclient1src/http_accessdenyclient1【例4-3】禁止用户访问域名为www.***.com的网站。aclbaddomaindstdomainwww.***.comhttp_accessdenybaddomain【例4-4】禁止/24的用户在星期一到星期五的9:00～18:00上网。aclclient1src/aclbadtimetimeMTWHF9:00-18:00http_accessdenyclient1badtime【例4-5】禁止用户下载.mp3、.exe、.zip和.rar文件。aclbadfileurlpath_regex-i\.mp3$\.exe$\.zip$\.rar$http_accessdenybadfile三、项目实施任务4-2配置squid服务【例4-6】屏蔽www.***.gov站点。aclbadsitedstdomain-iwww.***.govhttp_accessdenybadsite-i表示忽略字母大小写，默认情况下squid是区分大小写的。【例4-7】屏蔽所有包含“sex”的URL路径。aclsexurl_regex-isexhttp_accessdenysex【例4-8】禁止访问22、23、25、53、110、119这些危险端口。acldangerous_portport22232553110119http_accessdenydangerous_port三、项目实施企业实战与应用利用squid和NAT功能可以实现透明代理。透明代理是指客户端根本不需要知道有代理服务存在，客户端也不需要在浏览器或其他的客户端中进行任何设置，只需要将默认网关设置为Linux服务器的IP地址（内网IP地址）即可。企业环境和需求三、项目实施手动设置代理服务器的解决方案（1）在Server02上安装双网卡。具体方法参见3.4.2节的相关内容。编者的计算机的第1块网卡是ens160，系统自动命名第2块网卡为ens36。（2）配置IP地址、网关等信息。①在Server01上设置IP地址等信息。②在Client1上安装httpd服务，让防火墙允许该服务通过，并测试默认网络配置是否成功。[root@Client1~]#mount/dev/cdrom/media#挂载安装光盘[root@Client1~]#dnfcleanall[root@Client1~]#dnfinstallhttpd-y#安装Web服务器[root@Client1~]#systemctlstarthttpd三、项目实施手动设置代理服务器的解决方案续上[root@Client1~]#systemctlenablehttpd[root@Client1~]#systemctlstartfirewalld[root@Client1~]#firewall-cmd--permanent--add-service=http#让防火墙放行httpd服务[root@Client1~]#firewall-cmd--reload[root@Client1~]#firefox13#测试Web服务器配置是否成功三、项目实施手动设置代理服务器的解决方案2．在Server02上安装squid服务（前面已安装），配置squid服务（行号为大致位置）[root@Server02~]#vim/etc/squid/squid.conf……55acllocalnetsrc/856http_accessallowlocalnet57http_accessdenyall#上面3行的意思是，定义

的网络为localnet，允许访问localnet，其他都被拒绝64http_port312867cache_dirufs/var/spool/squid1024016256#设置硬盘缓存大小为10GB，目录为/var/spool/squid，一级子目录16个，二级子目录256个68visible_hostnameServer02[root@Server02~]#systemctlstartsquid[root@Server02~]#systemctlenablesquid三、项目实施手动设置代理服务器的解决方案3．在Server01上测试代理设置是否成功（1）打开Firefox浏览器，配置代理服务器。在浏览器中，按“Alt”键调出菜单，单击“编辑”→“首选项”→“常规”→“网络设置”→“设置”，打开“连接设置”对话框，选中“手动代理配置”，将HTTP代理设为“0”，端口设为“3128”，如图所示。设置完成后单击“确定”按钮。三、项目实施手动设置代理服务器的解决方案3．在Server01上测试代理设置是否成功（2）在浏览器地址栏中输入13，按“Enter”键，出现图所示的不能正常连接界面。三、项目实施手动设置代理服务器的解决方案4．排除故障（1）解决方案：在Server02上设置防火墙，当然也可以停止全部防火墙。[root@Server02~]#firewall-cmd--permanent--add-service=squid[root@Server02~]#firewall-cmd--permanent--add-port=80/tcp[root@Server02~]#firewall-cmd--reload[root@Server02~]#netstat-an|grep:3128#3128端口正常监听tcp600:::3128:::*LISTEN三、项目实施手动设置代理服务器的解决方案4．排除故障（2）在Server01浏览器地址栏中输入13，按“Enter”键，出现如图所示。三、项目实施手动设置代理服务器的解决方案5．在Server02上查看日志文件[root@Server02~]#vim/var/log/squid/access.log1690613612.5655TCP_MISS/4034379GEThttp:#13/-HIER_DIRECT/13text/html三、项目实施客户端不需要配置代理服务器的解决方案（1）在Server02上配置squid服务，前文开放squid防火墙和端口的内容仍适用于本任务。①修改squid.conf配置文件，在“http_port3128”下面增加如下内容并重新加载该配置。[root@Server02~]#vim/etc/squid/squid.conf64http_port312864http_port3129transparent[root@Server02~]#systemctlrestartsquid[root@Server02~]#netstat-an|grep:3128#查看端口是否启动监听（很重要）tcp600:::3128:::*LISTEN[root@Server02~]#netstat-an|grep:3129#查看端口是否启动监听（很重要）tcp600:::3129:::*LISTEN三、项目实施客户端不需要配置代理服务器的解决方案②添加firewalld规则，将TCP端口为80的访问直接转向3129端口。重启防火墙和squid。[root@Server02~]#firewall-cmd--permanent--add-forward-port=port=80:proto=tcp:toport=3129success[root@Server02~]#firewall-cmd--reload[root@Server02~]#systemctlrestartsquid三、项目实施客户端不需要配置代理服务器的解决方案（2）在Server01上测试代理设置是否成功。①打开Firefox浏览器，配置代理服务器。在浏览器中，按“Alt”键调出菜单，单击“编辑”→“首选项”→“常规”→“网络设置”→“设置”，打开“连接设置”对话框，选中“不使用代理服务器”，将代理服务器设置清空。②设置Server01的网关为0。（删除网关是将add改为del。）[root@Server01~]#routeadddefaultgw0#网关一定要设置③在Server01浏览器地址栏中输入13，按“Enter”键，显示测试成功。（4）对于初学者，可以在firewalld的图形界面中设置前文的端口转发规则。[root@Server02~]#firewall-config#需要先用dnf命令安装该软件三、项目实施反向代理的解决方案1．使用反向代理客户端要访问内网Server01的Web服务器，可以使用反向代理。（1）在Server01上安装、启动http服务，并设置防火墙让该服务通过。[root@Server01~]#dnfinstallhttpd-y[root@Server01~]#systemctlstartfirewalld[root@Server01~]#firewall-cmd--permanent--add-service=http[root@Server01~]#firewall-cmd--reload[root@Server01~]#systemctlstarthttpd[root@Server01~]#systemctlenablehttpd三、项目实施反向代理的解决方案（2）在Server02上配置反向代理（特别注意acl等前3句，意思是先定义一个localnet，其网络ID是，后面再允许该网络访问，拒绝其他网络访问）。[root@Server02~]#firewall-cmd--permanent--add-service=squid[root@Server02~]#firewall-cmd--permanent--add-port=80/tcp[root@Server02~]#firewall-cmd--reload[root@Server02~]#vim/etc/squid/squid.conf55acllocalnetsrc/856http_accessall