Squid代理服務器
一、Squid服務基礎
1、代理的基本類型
傳統代理:也就是普通的代理服務,首先必須在客戶機的程序中手動設置代理服務器的地址和端口,然後才能使用代理來訪問網絡。對於網頁瀏覽器,訪問網站時的域名解析請求也會發給指定的代理服務器。
透明代理:提供與傳統代理相同的功能和服務,其區別在於客戶機不需要指定代理服務器的地址和端口,而是通過默認路由、防火牆策略將Web訪問重定向,實際仍然交給代理服務器來處理。重定向的過程對客戶機來說是"透明"的,用戶甚至並不知道自己在使用代理服務,所以稱爲透明代理。使用透明代理時,網頁瀏覽器訪問網站時的域名解析請求將優 先發給DNS服務器。
2、安裝及運行控制
1、編譯安裝Squid
—prefix=/usr/local/squid:安裝目錄
—sysconfdir=/etc:單獨將配置文件修改到其他目錄。
—enable-linux-netfilter:使用內核過濾。
—enable-async-io=值:異步I/O,提升存儲性能
—enable-default-err-Ianguage=Simplify_Chinese:錯誤信息的顯示語言。
—disable-poll與—enable-epoll:關閉默認使用poll模式,開啓epoll模式提升性能。
—enable-gnuregex:使用 GNU 正則表達式。
創建鏈接文件、創建用戶和組
2、Squid的運行控制
檢查配置文件語法是否正確
啓動Squid(-z選項用來初始化緩存目錄)
確認Squid服務處於正常監聽狀態
3、使用Squid服務腳本
二、構建代理服務器
1、傳統代理
1、Squid服務器的配置
允許下載的最大文件大小(10MB), http_access allow all放在 http_access deny all 之前,允許所有客戶機使用代理服務
這一項指定squid的程序用戶,用來設置初始化、運行時緩存的賬號,否則啓動不成功
重載squid服務
2、客戶機的代理配置
或者命令行界面中通過環境變量來指定代理服務器的地址、端口等信息
3、代理服務的驗證方法
查看Squid訪問日誌的新增記錄
查看Web訪問日誌的新增記錄
2、透明代理
1、配置Squid支持透明代理
2、設置firewalld的重定向策略
3、驗證透明代理的使用
去除手動指定的代理服務器設置
或者通過Unset命令清除HTTP_PROXY、HTTPS_PROXY等變量
3、ACL訪問控制
規則
執行訪問控制時:Squid將按照各條規則的順序依次進行檢查,如果找到一條相匹配的規則就不再向後搜索
沒有設置任何規則時:Squid服務將拒絕客戶端的請求。
有規則但找不到相匹配的項:Squid將採用與最後一條規則相反的動作,即如果最後一條規則是allow,就拒絕客戶端的請求,否則允許該請求。
1、定義訪問控制列表
要求內部客戶端192.168.1.0網段在,其他時間不允許上網,並且禁止下載.mp3,.avi,.rmvb的視頻文件
禁止客戶機下載MP3、MP4等文件
允許網段爲192.168.1.0和192.168.4.0的客戶機在週一至週五的9:00-17:00才能使用代理服務器上網
默認禁止所有客戶機使用代理
針對目標地址建立黑名單文件
三、Squid日誌分析
1、安裝GD庫
沒有gd-devel安裝包亦可
2、安裝SARG
–sysconfdir=/etc/sarg:配置文件目錄,默認是/usr/loca/etc
–enable-extraprotection:添加額外的安全保護
配置
建立站點列表文件
設置符號鏈接,然後執行sarg,會看到提示信息
在客戶端上訪問sarg/目錄,可看到SARG報告
將SARG做成計劃任務,定期執行
添加任務計劃,每天 00 : 00 執行
