实验环境准备:
本次实验用到三台虚拟机,在CentOS6.0启用squid做代理上网服务器,特意用windows server2003来做软路由,用redhat5.0来做客户端,最后的目的就是客户端通过软路由到达squid代理服务器,然后通过代理服务器可以上网,各网段的ip设定如图所示,这里不再描述说明.
主机间的软路由
1:先在win2k3上开启软件路由
当然你也可以用linux主机做软路由,开启的方法是把ip_forward值至为1即可.
2:在客户端添加一条默认路由,因为客户端想连接到外面的话,它都必须通过我们的软路由的eth0网卡走出去,所以我们需要添加一条这样的默认路由条目,凡是想出去的数据告诉它请走软路由的eth0网卡(请结合上面拓扑图来看就知道了)
ping192.168.10.1成功了,但此时发现ping192.168.10.2时,确一直没有反应,是什么原因导致的呢?我们的软路由转发了数据没?192.168.10.2到底有没有收到我们发出的ping的数据包?答案是软路由既转发了数据192.168.10.2也收到了数据包,那即然转发了数据包也收到了数据包,那为什么ping不通呢?
为了找到答案我们先来看代理服务器的路由表,两条直连路由和一条默认路由,它知不知道172.16.0.0/16网段怎么走?它不知道吧,因为路由表里面并没有它的路由条目,即便它收到来自172.16.0.0网段的数据包,它也不知该如何响应.(也许你可能要问,它不是有一条默认路由么?这条默认路由是外网的网关,它能知道内网某个网段的该如何走么?)
知道原因了我们在代理服务器端添加一条路由条目告诉它去172.16.0.0网段该怎么走
这时再返回到客户端来ping,立秆见影马上就通了.
此时我们试着再ping代理服务器的外网卡,注意这里显示是目的主机不可到达的提示,那这又是什么原因呢?
我们再来到软路由服务器上发现也有同样的问题,为什么呢?我们通过查看它的路由表就可以知道问题的原因何在了,它的路由表里面有没有去192.168.1.0网段的条目?没有吧,所以当然数据包到达不了目的地.
接下来就告诉它去192.168.1.0网段的路由该怎么走,我们在静态路由表里面新建一条路由条目,告诉它去192.168.1.0网段应该通过代理服务器的eth2网卡即192.168.10.2即可到达,因为在代理服务器的路由表里面它知道192.168.1.0就是它的直连网段.
加了路由条目以后我们再到客户端看看是不是全部的网段都可以进行通信了.ok,环境准备部分pass!
代理服务安装:
http://www.squid-cache.org/Versions/最新稳定版本是3.1
这里我直接用yum来安装了,装上去的版本为3.1.4
squid服务启动前的准备:
确认主机具有完整的域名,squid服务运行需要linux主机具有完整的域名
打开路由转发
vi /etc/squid/squid.conf 加入如下内容
acl our_network src 172.16.0.0/16 192.168.10.0/24 #定义一个可以通过的本地网段
http_access allow our_network #允许此网段的所有数据通行
# And finally deny all other access to this proxy
http_access deny all #最后一条默认拒绝所有
# Squid normally listens to port 3128
http_port 192.168.1.109:8080 #默认端口是3128,当然也可以是任何其它端口,只要不与其它服务发生冲突即可。为了安全起见,在前面加上IP地址,Squid就不会监听外部的网络接口。
#以下这些参数告诉Squid缓存的文件系统、位置和缓存策略:
cache_dir ufs /var/spool/squid 100 16 256 #(缓存的空间,第一个单位为M,建议使用一个大一点的分区,来区分开。16在cache下生成16个文件夹,在其他再建立256文件夹)
cache_mem 100 MB #若专门做代理服务器,没有其他服务,那么可以设置成内存的一半以上,如果有其他的服务,那么不要超过物理内存的1/3。
maximum_object_size 20 MB #超过此文件大小的对象将不缓存
maximum_object_size_in_memory 20 MB #内存中能缓存的最大文件大小
cache_swap_low 90
cache_swap_high 95 #在这里,Squid会将/var/spool/squid目录作为保存缓存数据的目录,每次处理的缓存大小是100兆字节,当缓存空间使用达到95% 时,新的内容将取代旧的而不直接添加到目录中,直到空间又下降到90%才停止这一活动。如果不想Squid缓存任何文件,如某些存储空间有限的专有系统, 可以使用null文件系统(这样不需要那些缓存策略):
下面的几个关于缓存的策略配置中,较主要的是第一行,即用户的访问记录,可以通过分析它来了解所有用户访问的详尽地址:
access_log /var/log/squid/access.log #(3.0以前的版本参数为cache_access_log,这个参数是指定存放记录客户端的访问记录的日志文件路径)
cache_store_log /var/log/squid/store.log #记录缓存了哪些网站
cache_log /var/log/squid/cache.log #缓存日志
visible_hostname CentOS6.0.allan.cn # 告诉Squid在错误页面中显示的服务器名称(主机名需写到/etc/hosts和/etc/sysconfig/network中,这样才可以确切定位)
如果只做普通代理服务器,以上的配置已经足够。
/etc/squid/squid -z 初始化,然后再确认缓存空间目录是否创建
然后检查一下squid.conf配置文件是否存在错误
配置文件没有问题,我们就可以启动squid服务了.
现在回到客户端在IE浏览器设置通过代理上网
发现可以通过代理服务器上网了(测试的时候要注意防火墙)
注意linux下面firefox代理上网的设定在"编辑-首选项"而不是在工具里面哈.
梆定IP和MAC地址的方法,用一台机器举例(如果只允许相应的ip访问internet,那么这里有一个问题,在公司里只要谁知道这样的规则,那么他手动指定到这段地址任意一个ip他就可以上网了,所以为了更加保险起见,我们用IP加MAC地址的方法来做梆定)
acl mac_acl arp **** #指定一个mac
acl ip_acl src ***** #指定一个ip
http_access allow mac_acl ip_acl #同时满足ip 和Mac两个条件,不就等于绑定ip mac
不过对于多个机器,这个办法就比较麻烦了,当然为了更加安全这个方法还是值得去做的.记住acl应用也有顺序的,这里例子http_access allow single single_mac一定要放在http_access deny our_network前面,不然直接拒绝以后,下面就算你允许也是无效的.
squid命令应用总结:
1:对你的squid.conf 排错,即验证 squid.conf 的 语法和配置。
/etc/squid/squid -k parse
如果squid.conf 有语法或配置错误,这里会返回提示你,如果没有返回,恭喜,可以尝试启动squid。
2:在前台启动squid,并输出启动过程。
/etc/squid/squid -N -d1
3:启动squid在后台运行。
/etc/squid/squid -s
这时候可以 ps -A 来查看系统进程,可以看到俩个 squid 进程。
4:停止 squid
/etc/squid/squid -k shutdown
5:重引导修改过的 squid.conf
/etc/squid/squid -k reconfigure //载入新的配置文件,这个估计用的时候比较多,当你发现你的配置有不尽你意的时候,可以随时修改squid.conf,然后别忘记对你的 squid.conf排错,然后再执行此指令,即可让squid重新按照你的 squid.conf 来运行。
6:/usr/local/squid/sbin/squid -k rotate #轮循日志,对LOG文件做轮换;所谓的轮换就是在日志增长到太大的时候,重新命名一组新的文件开始使用
7:把squid添加到系统启动项
编辑 /etc/rc.d/rc.local
添加如下行: /etc/squid/squid -s
代理服务器的类型简单区别总结:
正向代理:为客户端提供代理服务,需要在客户端指定代理服务的地址(我们可以通过组策略来设定客户端的代理服务器)
透明代理:特殊的正向代理,不需要在客户端做任何设置,但需要工作在网关上面.(透明代理和正向代理设定大体是都差不多,只是有些地方有一点小小的区别,这里不做说明,想要了解可以去百度一下哈)
反向代理:为服务器提供代理缓存服务(什么情况需要用到反向代理呢?举一个简单的例子,比如新浪和网易这样的大型网站,它一般都会在各个省会城市租用反向代理服务为它工作,每个省都有,比如我们在广东的话当访问新浪或网易的时候解析出来的IP会是广东本地反向代理服务器的IP,所以不论我们在哪个省打开新浪或网易网站都会发现打开网页的速度都非常快,所以反向代理是用于减轻真实WEB服务器的负担而工作的,我们说这样的服务是反向代理服务器)
以下部分是我从网上摘录下来供有需要深入研究需求来做参考学习
进阶应用访问控制
所有设置完成后,关键且重要的任务是访问控制。Squid支持的管理方式很多,使用起来也非常简单,Squid可以通过IP地址、主机名、MAC地址、用户/密码认证等识别用户,也可以通过域名、 域后缀、文件类型、IP地址、端口、URL匹配等控制用户的访问,还可以使用时间区间对用户进行管理,所以访问控制是Squid配置中的重点。Squid 用ACL(Access Control List,访问控制列表)对访问类型进行划分,用http_access deny 或allow进行控制。根据需求首先定义两组用户manager和staff,还有代表所有未指明的用户组all及不允许上网的denyuser,的拒绝上的网站地址baddst,配置代 码如下:
acl manager src 192.168.10.1-192.168.10.20/24
acl staff src 192.168.10.20-192.168.10.254/24
acl denyuser src 192.168.10.100/24
acl baddst dst www.qq.com
acl all src 0.0.0.0/0
http_access deny denyuser
http_access allow manager
http_access allow staff
http_access deny baddst
http_access deny all
上面几行代码告诉Squid不允许denyuser组访问Internet,但manager、staff组允许,由于 Squid是按照顺序读取规则,会首先禁止denyuser,然后允许manager和staff。如果将两条规则顺序颠倒,由于deny在staff 范围中,Squid先允许了所有的staff,那么再禁止denyuser就不会起作用。
特别要注意的是,Squid将使用allow-deny-allow-deny……这样的顺序套用规则。例如,当一个用户访问代理服务器时, Squid会顺序测试Squid中定义的所有规则列表,当所有规则都不匹配时,Squid会使用与最后一条相反的规则。所以在所有squid.conf中,最后一条规则永远是http_access deny all,而all就是前面定义的“src 0.0.0.0”。
高级控制
前面说过,Squid的控制功能非常强大,只要理解Squid的行为方式,基本上就能够满足所有的控制要求。下面就一步一步来了解Squid是如何进行控制管理的,通过IP地址来识别用户很不可靠,比IP地址更好的是网卡的MAC物理地址。要在Squid中使用MAC地址识别,必须在编译时加上“--enable-arp-acl”选项,然后可以通过以下的语句来识别用户:
acl manager arp 00:01:02:1f:2c:3e #定manager 用户组 通过MAC物理地址来它直接使用用户的MAC地址,而MAC地址一般是不易修改的,即使有普通用户将自己的IP地址改为高级用户也无法通过,所以这种方式比IP地址可靠得多。
假如不想让用户访问某个网站应该怎么做呢?可以分为两种情况:一种是不允许访问某个站点的某个主机,比如ok的主机是ok.sina.com.cn,而其它的新浪资源却是允许访问的,那么ACL可以这样写:
acl ok dstdomain ok.sina.com.cn
http_access deny ok
由此可以看到,除了ok,其它如www.sina.com.cn、news.sina.com.cn都可以正常访问。
另一种情况是整个网站都不许访问,那么只需要写出这个网站共有的域名即可,配置如下:
acl qq dstdomain .tcccent.com.cn
http_access deny qq
注意tcccent前面的“.”,正是它指出以此域名结尾的所有主机都不可访问,否则就只有tcccent.com.cn这一台主机不能访问。
如果想禁止对某个IP地址的访问,如202.118.2.182,可以用dst来控制,代码如下:
acl badaddr dst 202.118.2.182
http_access deny badaddr
当然,这个dst也可以是域名,由Squid查询DNS服务器将其转换为IP。
还有一种比较广泛的控制是文件类型。如果不希望普通用户通过代理服务器下载MP3、AVI等文件,完全可以对他们进行限制,代码如下:
acl mmxfile urlpath_regex \.mp3$ \.avi$ \.exe$
http_access deny mmxfile
看到regex,很多读者应该心领神会,因为这条语句使用了标准的规则表达式(又叫正则表达式)。它将匹配所有以.mp3、.avi等结尾的URL请求,还可以用-i参数忽略大小写,例如以下代码:
acl mmxfile urlpath_regex -i \.mp3$
这样,无论是.mp3还是.MP3都会被拒绝。当然,-i参数适用于任何可能需要区分大小写的地方,如前面的域名控制。
如果想让普通用户只在上班时间可以上网,而且是每周的工作日,用Squid应当如何处理呢?看看下面的ACL定义:
acl worktime time MTWHF 8:30-12:00 14:00-18:00
http_access deny !worktime
首先定义允许上网的时间是每周工作日(星期一至星期五)的上午和下午的固定时段,然后用http_access 定义所有不在这个时间段内的请求都是不允许的。
或者为了保证高级用户的带宽,希望每个用户的并发连接不能太多,以免影响他人,也可以通过Squid控制,代码如下:
acl conncount maxconn 3
http_access deny conncount normal
http_access allow normal
这样,普通用户在某个固定时刻只能同时发起三个连接,从第四个开始,连接将被拒绝。
总之,Squid的ACL配置非常灵活、强大,更多的控制方式可以参考squid.conf.default。
6.认证
用户/密码认证为Squid管理提供了更多便利,最常用的认证方式是NCSA。从Squid 2.5版本开始,NCSA认证包含在了basic中,而非以前单独的认证模块。下面来看看实现认证的具体操作。
首先在编译时配置选项应包括以下配置:
--enable-auth="basic" --enable-basic-auth-helpers="NCSA"
make install”以后,需要将“helpers/basic_auth/NCSA/ncsa_auth”拷贝到用户可执行目录中,如/usr/bin(如 果在该目录中找不到这个执行文件,在编译时请使用make all而不是make,或者直接在该目录中执行make),然后需要借助Apache的密码管理程序htpasswd来生成用户名/密码对应的文件,就像 下面这行代码:
htpasswd -c /var/squid/password guest
在输入两遍guest用户的密码后,一个guest用户就生成了。如果以后需要添加用户,把上面的命令去掉-c参数再运行即可。
Squid 2.5在认证处理上有了较大的改变,这里就只讨论2.5版本的处理方法,2.4及以下版本请参考squid.conf.default。在2.5版的squid.conf中,包括以下几个相关选项:
#该选项指出了认证方式(basic)、需要的程序(ncsa_auth)和
对应的密码文件(password)
auth_param basic program /usr/bin/ncsa_auth /var/squid/password 1092行
# 指定认证程序的进程数
auth_param basic children 5
# 浏览器显示输入用户/密码对话框时的领域内容
auth_param basic realm My Proxy Caching Domain
# 基本的认证有效时间
auth_param basic credentialsttl 2 hours
# 普通用户需要通过认证才能访问Internet
acl normal proxy_auth REQUIRED #不能放到advance组前面
http_access allow normal
通过以上的配置即可完成认证工作。有的读者可能要问:认证只针对普通用户,而高级用户是直接上网的,该怎么处理呢?其实,这两种用户是可以共存的。如 前所述,Squid是顺序处理http_access的,所以在http_access处理过程中,如果先处理normal用户,那么当前用户无论是否属 于高级用户,都会被要求进行认证;相反如果先处理高级用户,剩下的就只有需要认证的普通用户了。
例如以下配置代码:
...
http_access allow normal (需要认证)
http_access allow advance (不需要认证)
...
不管是否为noauth用户,都要求进行用户名/密码验证。
正确的方法是将二者位置交换,代码如下:
...
http_access allow advance
http_access allow normal
...
这时,高级用户不会受到任何影响。
7.下面把整个squid.conf总结一下:
# 服务器配置
http_port 192.168.0.1:3128
cache_mgr admin@gdlc.org
cache_dir null /tmp
cache_access_log /var/spool/squid/access.log
cache_log /var/spool/squid/cache.log
cache_store_log /var/spool/squid/store.log
visible_hostname 192.168.0.1
client_mask 255.255.255.255
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_user_host_header on
# 用户分类
acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b ...
acl normal proxy_auth REQUIED
acl all src 0.0.0.0
# 行为分类
acl mmxfile urlpath_regex \.mp3$ \.avi$ \.exe$
acl conncount maxconn 3
acl worktime time MTWHF 8:30-12:00 14:00-18:00
acl sinapage dstdomain ok.sina.com.cn
acl qq dstdomain .tcccent.com.cn
# 处理
http_access allow advance
http_access deny conncount normal
http_access deny !worktime
http_access deny mmxfile
http_access deny ok
http_access deny qq
http_access allow normal
配置后的状况是,advance组可以不受任何限制地访问Internet,而normal组则只能在工作时间上网,而且不能下载多媒体文件,不能访问某些特定的站点,而且发送请求不能超过3个。
通过本文的介绍,可以了解Squid的基本能力。当然,它的能力远不止此,可以建立强大的代理服务器阵列,可以帮助本地的Web服务器提高性能,可以提高本地网络的安全性等。要想发挥它的功效,还需要进一步控制。
本文转自allanhi 51CTO博客,原文链接:http://blog.51cto.com/allanfan/718398,如需转载请自行联系原作者
