Squid代理服務器

時間 2019-11-11

標籤 squid 代理服務器简体版

原文原文鏈接

一、squid代理：html

緩存網頁，減小重複請求，加快訪問速度，隱藏真實iplinux

代理的分類：web

傳統代理：使用Internet和內網，客戶端需明確指定代理服務器。正則表達式

透明代理：使用於內網訪問外網，指定代理服務器，但必須指定網關，網管配置iptables策略，將端口重定向到代理服務器端口。vim

二、squid和nat的區別：瀏覽器

NAT：工做在網絡層，經過轉換地址轉發數據包，實現內外網之間通訊。緩存

應用代理：工做在應用層，經過緩存提供服務，不進行數據包轉發，主要實現web緩存服務。服務器

三、squid的安裝微信

./configure --prefix=/usr/local/squid(安裝目錄) --sysconfdir=/etc(配置文件位置) --enable-linux-netfilter（支持內核過濾） --enable-linux-tproxy（支持透明模式） --enable-async-io=100 --enable-err-language=」Simplify_Chinese」（錯誤信息顯示語言） --enable-underscore（容許URL中有下劃線） --enable-poll（使用Poll()模式，提高性能） --enable-gnuregex（使用GNU正則表達式）網絡

四、主配置文件/etc/squid.con的配置項：

http_port 3128 默認端口號：3128

cache_effective_user squid 指定squid的程序用戶

cache_effective_group squid 指定帳號的基本組

repy_body_max_size 10 MB 容許下載最大文件大小

maximum_object_size 4096 KB 容許緩存的最大對象

visible_hostname a.benet.com 指定主機名（名稱隨意）

五、squid的管理命令：

squid -k parse 檢測語法

squd -z 初始化緩存目錄

squid 啓動squid

squid -k reconfigure 從新加載配置

關閉squid： kill 進程號（查看進程號命令：netstat -anpt | grep 「squid」）

六、透明代理配置:

1）在/etc/squid.conf配置文件添加支持透明代理

http_port 192.168.1.1:3128 transparent

(192.168.1.1是內網網關)

2）添加iptables策略，將80號端口（HTTP）和443端口（HTTPS）重定向到3128

Iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to 3128

Iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to 3128

七、squid的控制

由ACL和http_access兩條命令實施，ACL定義規則，http_access應用規則。

格式： acl 名稱控制類型控制內容

http_access allow|deny 名稱1 名稱2

控制類型：src 源地址 dst 目標地址

port 端口號 time 訪問時間

dstdomain 目標域 maxconn 鏈接數url_grgex 目標URL地址 urlpath_regex URL路徑（文件類型）

能夠設置黑白明單以控制容許或拒絕訪問的主機

例：創建針對目標地址的黑名單文件

mkdir /etc/squid

cd /etc/squid

vim ipblock.list --寫入地址（61.135.167.36 125.39.127.25 60.28.14.0/24）

調用指定文件中的列表內容：

acl IPBLOCK dst 「etc/squid/ipblock.list」

八、sarg是一款squid日誌分析工具，採用html格式，詳細列出站點信息時間、排名、鏈接次數、訪問量，主配置文件爲sarg.conf可設置字體大小、背景、顏色等。

Squid代理服務器應用示例

實驗拓撲圖：

實驗要求：

（1）如上圖要求配置網絡，內部主機須要配置默認網關，外部linux不須要配置默認網關。

（2）在squid服務器上安裝squid，並作相關的配置，啓動squid服務，查看端口。

（3）搭建傳統代理服務器，要求在內部linux服務器可以使用傳統代理訪問外部的web服務器。內部客戶端最大容許下載的文件不能超過10MB，squid最大緩存的文件爲4MB。內部客戶端驗證文件下載。

（4）修改squid的主配置文件，搭建一臺透明代理服務器，結合iptables的重定向策略，開啓路由轉發。驗證內部客戶端可否使用透明代理訪問外部的web服務器。

（5）修改squid的主配置文件，設置ACL訪問控制，要求內部客戶端192.168.1.0網段在週一至週五的9:00—17:00才能使用代理服務器上網，其餘時間不容許上網，而且禁止下載.mp3，.avi，.rmvb的視頻文件。針對某些目標地址創建黑名單，如61.135.167.36，125.39.127.25

修改squid服務器的時間，客戶端驗證是否能上網。

客戶端驗證mp3視頻文件可否下載。

（6）在squid服務器上安裝Squid日誌分析軟件sarg，進行相關的配置，並在客戶端訪問日誌分析的網站。

步驟：

一、按要求配置網絡，內部主機須要配置默認網關，外部linux不須要配置默認網關。（以下圖）

二、在squid服務器上安裝squid，並作相關的配置，啓動squid服務，查看端口。

（1）解包並編譯安裝squid

（2）安裝完成後建立連接文件，建立用戶和組。

（3）修改squid的主配置文件（/etc/squid.conf）

（4）啓動服務並查看端口號（依次輸入如下命令）

squid -k parse 檢查配置文件語法是否正確

squid -z 初始化緩存目錄

squid 啓動squid服務

而後查看端口號，服務是否啓動

三、搭建傳統代理服務器，要求在內部linux服務器可以使用傳統代理訪問外部的web服務器。內部客戶端最大容許下載的文件不能超過10MB，squid最大緩存的文件爲4MB。內部客戶端驗證文件下載。

（1）修改主配置文件/etc/squid.conf ，添加配置項（內部客戶端最大容許下載的文件不能超過10MB，squid最大緩存的文件爲4MB）

（2）從新加載服務

squid -k reconfigure

（3）開啓網站服務器的httpd服務

（4）修改內部主機瀏覽器的設置，可以使用傳統代理訪問外部的web服務器。（注：本實驗關閉了squid服務器的防火牆，如開啓了防火牆請添加規則 iptables -I INPUT -p tcp --dport 3128 -j ACCEPT）

（5）在網站服務器上的httpd服務網頁目錄上新建一個文件（大於10 MB）

在內部主機測試

四、修改squid的主配置文件，搭建一臺透明代理服務器，結合iptables的重定向策略，開啓路由轉發。驗證內部客戶端可否使用透明代理訪問外部的web服務器。

（1）修改squid的主配置文件/etc/squid.conf ，使其能支持透明代理。

（2）從新加載服務

squid -k reconfigure

（3）設置iptables的重定向策略

（4）開啓路由轉發功能，（/etc/sysctl.conf）

（5）關閉內部主機IE瀏覽器的局域網設置，並測試。

五、修改squid的主配置文件，設置ACL訪問控制，要求內部客戶端192.168.1.0網段在週一至週五的9:00—17:00才能使用代理服務器上網，其餘時間不容許上網，而且禁止下載.mp3，.avi，.rmvb的視頻文件。針對某些目標地址創建黑名單，如 61.135.167.36 125.39.127.25

修改squid服務器的時間，客戶端驗證是否能上網。

（1）修改squid主配置文件/etc/squid.conf

（2）創建相應的ip地址名單

mkdir /etc/squid

cd /etc/squid

vim ipblock.list

（3）從新加載服務

squid -k reconfigure

（4）在內部主機上驗證（由於squid服務器的時間知足要求，因此能訪問）

能夠修改squid服務器的時間，再次測試（注:若是刪除了瀏覽器的數據仍是能訪問，就殺死squid進程再打開。）

六、在squid服務器上安裝Squid日誌分析軟件sarg，進行相關的配置，並在客戶端訪問日誌分析的網站。

（1）在squid服務器上創建yum倉庫，使用yum方式安裝