構建Squid代理服務器

    Squid(Squid cache,簡稱Squid)是Linux系統中最經常使用的一款開源代理服務軟件,能夠很好地實現HTTP和FTP,以及DNS查詢、SSL等應用的緩存代理,功能十分強大,本篇博客詳細介紹了傳統代理、透明代理,squid日誌分析的配置。squid的官方網站爲http://www.squid-cache.orghtml


Squid代理的工做機制linux

    Squid是一個緩存Internet數據的一個軟件,它接收用戶的下載申請,並自動處理所下載的數據。也就是說,當一個用戶想要下載一個主頁時,它向Squid發出一個申請,要Squid替它下載,而後Squid 鏈接所申請網站並請求該主頁,接着把該主頁傳給用戶同時保留一個備份,當別的用戶申請一樣的頁面時,Squid把保存的備份當即傳給用戶,減小了向Internet提交重複的Web請求的過程,提升了用戶下載網頁的速度,隱藏了客戶機的真實IP,以下圖所示:web

楊書凡00.png

安裝Squid軟件正則表達式

    下面以Squid 3.4.6版爲例,介紹其安裝和運行控制vim

1. 編譯安裝Squid瀏覽器

[root@localhost ~]# tar zxf squid-3.4.6.tar.gz -C /usr/src/
[root@localhost ~]# cd /usr/src/squid-3.4.6/      //配置前可參考"./configure --help"給出的說明
[root@localhost squid-3.4.6]# ./configure --prefix=/usr/local/squid     //安裝目錄
--sysconfdir=/etc/                              //單獨將配置文件修改到/etc目錄下
--enable-arp-acl                                //可在ACL中設置經過MAC地址進行管理,防止IP欺騙
--enable-linux-netfilter                        //使用內核過濾
--enable-linux-tproxy                           //支持透明模式
--enable-async-io=100                           //異步I/O,提高儲存性能,值可修改
--enable-err-language="Simplify_Chinese"        //錯誤信息的顯示語言
--enable-underscore                             //容許URL中有下劃線
--enable-poll                                   //使用Poll()模式,提高性能
--enable-gnuregex                               //使用GNU正則表達式

[root@localhost squid-3.4.6]# make && make install     //編譯安裝
[root@localhost squid-3.4.6]# cd ~                      
[root@localhost ~]# ln -s /usr/local/squid/sbin/* /usr/local/sbin/  //建立連接文件,優化路徑
[root@localhost ~]# useradd -M -s /sbin/nologin squid               //建立程序用戶、組
[root@localhost ~]# chown -R squid:squid /usr/local/squid/var/


2. 修改Squid的配置文件
緩存

[root@localhost ~]# vim /etc/squid.conf
http_port 3128                     //指定監聽地址和端口,默認端口3128
cache_effective_user squid         //用來設置初始化、運行時緩存的帳號,不然啓動不成功
cache_effective_group squid        //默認爲指定帳號的基本組
cache_dir ufs /usr/local/squid/var/cache/squid 100 16 256  //此行去掉註釋,最大緩存100MB文件,16個一級文件目錄,256個二級文件目錄

[root@localhost ~]# squid -k parse                    //檢查語法是否正確
[root@localhost ~]# squid -z                          //初始化緩存目錄
[root@localhost ~]# squid                             //啓動squid服務
[root@localhost ~]# netstat -anpt | grep squid        //確認squid服務處於正常監聽狀態
tcp        0      0 :::3128            :::*               LISTEN      40936/(squid-1)


3. 編寫Squid服務腳本安全

    爲了使Squid服務的啓動、中止、重載等操做更加方便,能夠編寫Squid服務腳本,並使用chkconfig和service工具來進行管理bash

[root@localhost ~]# vim /etc/init.d/squid 
#!/bin/bash
# chkconfig: 2345 90 25
# config: /etc/squid.conf
# pidfile: /usr/local/squid/var/run/squid.pid
# Description: Squid - internet object cache.
PID="/usr/local/squid/var/run/squid.pid"
CONF="/etc/squid.conf"
CMD="/usr/local/squid/sbin/squid"
case "$1" in
start)
  netstat -anpt | grep squid &> /dev/null
  if [ $? -eq 0 ]
  then
    echo "squid is running"
  else
    echo "正在啓動squid..."
    $CMD
  fi
;;
stop)
 $CMD -k kill &> /dev/null
  rm -fr $PID &> /dev/null
;;
status)
  [ -f $PID ] &> /dev/null
  if [ $? -eq 0 ]
  then
    netstat -anpt | grep squid
  else
    echo "squid is not running."
  fi
;;
restart)
  $0 stop &> /dev/null
  echo "正在關閉squid..."
  $0 start &> /dev/null
  echo "正在啓動squid..."
;;
reload)
  $CMD -k reconfigure
;;
check)
  $CMD -k parse
;;
*)
  echo "用法:$0 {start | stop | restart | reload | check | status}"
;;
esac

[root@localhost ~]# chmod +x /etc/init.d/squid   
[root@localhost ~]# chkconfig --add squid       //添加爲系統服務
[root@localhost ~]# chkconfig squid on



構建代理服務器服務器

    根據實現方式的不一樣,代理服務可分爲傳統代理和透明代理

傳統代理:適用於Internet,必需在客戶機手動設置代理服務器的地址和端口

透明代理:適用於局域網環境,客戶端不須要指定代理服務器的地址和端口


1. 傳統代理

    使用傳統代理的特定在於,客戶機的相關程序(如IE瀏覽器、QQ)必須指定代理服務器的地址、端口等信息,下面經過一個案例來配置和使用傳統代理

楊書凡02.png


案例:如上圖所示,在服務器B上構建Squid代理服務器,容許客戶機C指定服務器B做爲Web代理,訪問網站服務器,但禁止經過代理下載超過10MB的文件,超過4MB的文件不進行緩存

(1)配置服務器A(Web服務器)

[root@localhost ~]# yum -y install httpd              //安裝httpd服務
[root@localhost ~]# echo www.yangshufan.com > /var/www/html/index.html  //製做測試網頁
[root@localhost ~]# /etc/init.d/httpd start                             //開啓httpd服務
[root@localhost ~]# iptables -I INPUT -p tcp --dport 80 -j ACCEPT       //容許Web流量訪問


(2)配置服務器B(Squid服務器)

[root@localhost ~]# vim /etc/squid.conf     //修改squid配置文件
reply_body_max_size 10 MB                   //禁止下載的超過10MB的文件
maximum_object_size 4096 KB                 //超過4MB的文件不進行緩存
http_access deny all                        //前面兩行須要放在這行之上才生效

[root@localhost ~]# iptables -I INPUT  -p tcp --dport 3128 -j ACCEPT  
[root@localhost ~]# service iptables save                     //容許squid流量經過
iptables:將防火牆規則保存到 /etc/sysconfig/iptables:     [肯定]
[root@localhost ~]# service squid reload                      //重載squid服務


(3)配置客戶機C(代理配置)

    打開IE瀏覽器,依次選擇「工具」、「Internet選項」、「鏈接」「局域網設置」,以下圖所示:

楊書凡04.png

楊書凡05.png



(4)驗證代理服務是否發揮做用

1)查看Squid訪問日誌的新增記錄

[root@localhost ~]# tail /usr/local/squid/var/logs/access.log  //能夠看到客戶機C訪問Web服務器的記錄
1515630849.964     10 192.168.1.30 TCP_MISS/200 380 GET http://192.168.1.1/ - HIER_DIRECT/192.168.1.1 text/html
1515630850.113      1 192.168.1.30 TCP_MISS/404 561 GET http://192.168.1.1/favicon.ico - HIER_DIRECT/192.168.1.1 text/html


2)查看Web訪問日誌的新增記錄

[root@localhost ~]# tail /var/log/httpd/access_log //能夠看到來自Squid服務器的訪問記錄,Squid服務器代替客戶機C訪問Web服務器      
192.168.1.10 - - [11/Jan/2018:08:34:18 +0800] "GET /favicon.ico HTTP/1.1" 404 287 "-" "Mozilla/4.0 (compatible; MSIE 8.0;
Windows NT 6.1;WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)"

    

    當客戶機再次訪問同一頁面時,Squid訪問日誌會增長新的記錄,而Web訪問日誌的記錄不會變化(除非頁面變動或強制刷新等操做)。這說明當客戶機訪問同一靜態頁面時,其實是由代理服務器經過緩存提供的

    


2. 透明代理

    透明代理的提供的功能和傳統代理是一致的,但其依賴於默認路由和防火牆的重定向策略,所以更適用於局域網,而不適用於Internet中的客戶機,下面也經過一個案例來配置和使用透明代理

楊書凡06.png


案例:在Linux網關上構建Squid爲客戶機訪問Internet提供代理服務,在客戶機上設置IP地址、默認網關,不須要指定代理服務器的地址、端口等信息

(1)配置網站服務器

    前面的案例配置同樣,就不在贅述了


(2)配置Squid服務器

[root@localhost ~]# vim /etc/squid.conf          //啓用透明代理,後面加一個transparent,但3.x版本後改成intercept
http_port 192.168.1.1:3128 transparent           //修改此項,只在這個IP地址提供代理服務
[root@localhost ~]# service squid reload         //重載服務

[root@localhost ~]# vim /etc/sysctl.conf         //啓用路由轉發功能
net.ipv4.ip_forward = 1
[root@localhost ~]# sysctl -p                    //當即生效
[root@localhost ~]# iptables -t nat -I PREROUTING -i eth1 -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to 3128
[root@localhost ~]# service iptables save                          //將80端口轉到3128端口,有透明代理訪問網站服務器     
iptables:將防火牆規則保存到 /etc/sysconfig/iptables:     [肯定]


(3)在客戶機上驗證

    在IE瀏覽器設置中,不要勾選使用代理服務器,直接訪問訪問http://172.16.16.172,而後觀察Squid服務器、Web服務器的訪問日誌,驗證透明代理是否發生做用,和前面案例的方法同樣,就不在贅述了

    因爲FTP協議涉及多個端口,多個鏈接,使用透明代理不便實現,所以最佳作法是採用傳統代理的方式實現



ACL訪問控制

    Squid提供了強大的代理控制機制,經過合理設置ACL並進行控制,能夠針對源地址、目標地址、URL路徑、訪問時間等各類條件進行設置

    ACL訪問控制經過如下兩個步驟來實現:

(1)使用acl配置項定義須要控制的條件

(2)經過http_access配置項對已定義的條件作限制,如「容許」或「拒絕」


1. 定義acl配置項

   每一行acl配置能夠定義一條訪問控制列表,格式以下:

acl  列表名稱   列表類型   列表內容

    其中,

列表名稱:由管理員自行指定,用來識別控制條件

列表類型:必須使用Squid預約義的值,對應不一樣類別的控制條件

列表內容:具體控制的對象,不一樣的類型對應的內容也不同,能夠有多個值,用空格分隔


    下面是一些經常使用的訪問控制列表類型:

列表類型

含義/用途

列表內容示例

src

IP地址、網段、IP地址範圍(客戶機IP地址)

192.168.1.100

192.168.1.0/24

192.168.1.0-192.168.3.0/24

dst

目標IP地址、網段主機名(服務器IP地址)

216.182.154.9

216.182.154.0/24

www.ysf.com

port 目標端口 80 443 20 22

srcdomain

源名稱(客戶機所屬的域)

.yangshufan.com


dstdomain

目標名稱(服務器所屬的域)

.qq.com


time

字母表示一星期中各天的英文縮寫MTWHFAS

MTWHF 8:30-17:30(週一至週五的時刻)

12:30-13:30

AS(周6、日)

maxconn 每一個客戶機的併發鏈接數 20

url_regex

目標資源的URL地址,-i表示忽略大小寫

url_regex -i ^rtsp://

urlpath_regex

目標資源的整個URL路徑

urlpath_regex -i sex adult

urlpath_regex -i \.mp3$


例如:針對不一樣的客戶機地址、時間段等,分別定義列表

[root@localhost ~]# vi /etc/squid.conf
……
acl mylan src 192.168.1.0/24 192.168.4.0/24     //客戶機網段
acl worktime time MTWHF 08:30-17:30             //週一至週五的工做時間段
acl to_host dst 127.0.0.0/8                     //目標地址
acl mc20  maxconn  20                           //最大併發鏈接20
acl blackURL  url_regex -i ^rtsp://  ^ emo://    //以rtsp://等開頭的URL
acl fileURL  urlpath_regex -i \.mp3$ \.mp4$      //以.mp三、.mp4結尾的URL路徑

#當須要限制的同一類型較多時,能夠用獨立的文件來存放

[root@localhost ~]# mkdir /etc/squid        //創建目標地址名單
[root@localhost ~]# cd /etc/squid
[root@localhost squid]# vim ipblock.list    //創建目標IP地址名單
89.23.12.34
191.12.37.112
171.23.65.0/24
[root@localhost squid]# vim dmblock.list    //創建目標域地址名單
.qq.com
.ysf.com
.yang.com
[root@localhost squid]# vim /etc/squid.conf            
acl ipblock dst "/etc/squid/ipblock.list"       //調用指定文件的列表內容
acl dmblock dstdomain "/etc/squid/dmblock.list"


2. 設置訪問權限

    定義好acl後,須要設置訪問權限,並必須防止對應的acl配置項以後,格式以下:

http_access   deny或allow   列表名


例如:對應上面的acl配置設置相應的訪問權限

[root@localhost ~]# vi /etc/squid.conf
……
http_access allow mylan !fileURL      //!取反值,表示禁止客戶機下載MP三、MP4文件
http_access allow mylan worktime safeport !ipblock !dmblock
              //容許客戶機在工做時間訪問80、443端口,拒絕訪問黑名單的IP地址、域
http_access deny all                 //默認禁止全部客戶機使用代理

[root@localhost squid]# service squid reload     //重載服務,使配置生效


3. 驗證訪問控制效果

(1)在網站服務器上添加一個以.MP3結尾的文件

[root@localhost squid]# echo yangshufan > /var/www/html/ysf.mp3 
[root@localhost squid]# cat /var/www/html/ysf.mp3 
yangshufan


(2)在客戶機上驗證是否能夠訪問這個文件

楊書凡08.png




Squid日誌分析

    Sarg全名是Squid Analysis Report Generator,是一款Squid日誌分析工具,採用HTML格式,詳細列出每一位用戶訪問Internet的站點信息、時間佔用信息、排名、鏈接次數、訪問量等

1. 配置過程以下:

[root@localhost ~]# yum -y install gd gd-devel
[root@localhost ~]# tar zxf sarg-2.3.7.tar.gz
[root@localhost sarg-2.3.7]# ./configure --prefix=/usr/local/sarg//安裝目錄
--sysconfdir=/etc/sarg                                       //配置文件目錄
--enable-extraprotection && make && make install       //添加額外的安全保護

[root@localhost sarg-2.3.7]# cd /etc/sarg/
[root@localhost sarg]# vim sarg.conf                    //修改配置文件,去掉#
access_log /usr/local/squid/var/logs/access.log   //指定Squid的訪問日誌文件        
title "Squid User Access Reports"                 //網頁標題
output_dir /var/www/html/sarg                     //sarg報告的輸出目錄
user_ip no                                        //使用用戶名顯示
topuser_sort_field BYTES reverse //降序排列指定鏈接次數、訪問字節數,升序換成normal
user_sort_field BYTES reverse    //降序排列用戶訪問記錄、鏈接次數
overwrite_report no                      //當那麼日期時間報告已存在,是否覆蓋報告
mail_utility mailq.postfix               //發送郵件報告的命令
exclude_hosts /usr/local/sarg/noreport   //指定不計入排列的站點目錄
charset UTF-8                            //使用字符集
weekdays 0-6                             //指定top排列的星期,0爲週日
hours 7-12,14,16,18-20                   //指定top排列的時間週期
www_document_root /var/www/html          //網頁根目錄

[root@localhost sarg]# touch /usr/local/sarg/noreport  //把不計入站點的文件添加到文件
[root@localhost sarg]# ln -s /usr/local/sarg/bin/sarg /usr/local/bin/      //優化路徑
[root@localhost sarg]# sarg                       //啓動一次記錄
SARG: 紀錄在文件: 171, reading: 100.00%
SARG: 成功的生成報告在 /var/www/html/squid-reports/2018Jan11-2018Jan11


2. 驗證

楊書凡09.png



3. 設置計劃任務,按期執行

[root@localhost ~]# vim /usr/local/sarg/ysf.sh         //編寫腳本,天天的報告
#/bin/bash                                  
today=$(date +%d/%M/%Y)
terday=$(date -d "1 day ago" +%d/%m/%Y)
/usr/local/sarg/bin/sarg -l /usr/local/squid/var/logs/access.log -o /var/www/html/sarg -z -d $terday-$today &> /dev/null
exit 0

[root@localhost ~]# chmod +x /usr/local/sarg/ysf.sh 
[root@localhost ~]# crontab -e              //天天00:00執行
00 00 * * * /usr/local/sarg/ysf.com
[root@localhost ~]# chkconfig crond on
相關文章
相關標籤/搜索