項目12-2 squid代理服務器

項目12-2：squid服務器的配置與管理第三篇linux系統(tǒng)安全管理與應用項目描述：學校組建了自己的網(wǎng)絡實驗平臺，所有的實驗室機器處于同一網(wǎng)段，內(nèi)部網(wǎng)絡采用/24網(wǎng)段的IP地址，所有的客戶端通過代理服務器接入互聯(lián)網(wǎng)。代理服務器配置兩塊網(wǎng)卡：eth0接內(nèi)網(wǎng)，IP地址為/24；eth1接外網(wǎng)，IP地址為5/24?，F(xiàn)在采用一臺DELL510型服務器作為專用的代理服務器，內(nèi)存大小為4GB，硬盤容量為500GB，設置10GB為硬盤緩存，要求所有客戶端都可以上網(wǎng)。項目導入任務分解：任務1：squid服務的原理及安裝方法任務2：squid服務器的基本配置任務3：squid服務器的訪問控制及透明代理配置項目分析學習目標

技能目標知識目標

能力目標Squid的工作工程Squid的服務器配置過程配置Squid服務器Squid服務器的配置過程與訪問控制、透明代理的設置過程培養(yǎng)學生認真負責的學習態(tài)度培養(yǎng)學生團結協(xié)作的能力學生分析問題解決問題的能力學習目標任務1：squid服務的工作原理及安裝和啟動

一、代理服務器的概念代理服務器（proxyserver），其功能就是代理網(wǎng)絡用戶去取得網(wǎng)絡信息。在一般情況下，用戶使用瀏覽器訪問某個網(wǎng)站時，直接向目的站點WEB服務器發(fā)出請求，然后由目的站點WEB服務器把信息直接傳送給最終用戶。項目實施項目實施二、代理服務器的功能：1、設置用戶驗證和記賬功能2、對用戶進行分級管理3、增加緩沖存儲器，提高訪問速度4、連接內(nèi)網(wǎng)與internet，充當防火墻5、節(jié)省IP開銷項目實施三、常用的代理服務器軟件1、ISAServer服務器。

ISA是建立在Windows操作系統(tǒng)上的一種可擴展的企業(yè)級防火墻和Web緩存服務器。ISA多層防火墻可以保護網(wǎng)絡資源免受病毒、黑客的入侵和未經(jīng)授權的訪問，而且通過本地而不是internet為對象提供服務，其web緩存服務器允許組織能夠為用戶提供更快的web訪問。2、Squid服務器。

squid是一種在linux系統(tǒng)下使用的優(yōu)秀的代理服務器軟件。對于web用戶而言，squid是一個高性能的代理緩存服務器?？梢约涌靸?nèi)部網(wǎng)絡瀏覽internet的瀏覽速度，提高客戶機的訪問命中率。四、squid服務安裝安裝squid服務操作如下：1、RPM安裝[root@rhel5~]#rpm–ivh/mnt/cdrom/server/squid-2.6.STABLE6-4.el5.i386.rpm2、啟動服務

[root@rhel5~]#servicesquidstart3、停止服務

[root@rhel5~]#servicesquidstop項目實施項目實施任務2：squid服務器的基本配置一、配置文件1、主配置文件（/etc/squid/squid.conf）

squid主配置文件是/etc/squid/squid，該文件只包括squid的基本配置，可分為31個部分，該配置文件包含了大量的配置說明，所以很龐大，規(guī)模達到了3000多行，配置選項達到200多個。項目實施#ifconfigeth0netmask

#ifconfigeth15netmask

#echo“1”>/proc/sys/net/ipv4/ip_forward……1、配置內(nèi)外網(wǎng)卡IP并開啟路由功能2、添加squid用戶和組#groupaddsquid#useradd–gsquidsquid項目實施http_port5:3128dns_nameservers8cache_mem512MBcache_dir

ufs/var/spool/squid1024016256cache_access_log/var/log/squid/access.logcache_log/var/log/squid/cache.logcache_store_log/var/log/squid/store.logcache_mgr

squid@cache_effective_usersquidvisble_hostname

aclallsrc/http_accessallowall……3、修改配置文件squid.conf項目實施#servicesquidrestart4、重新啟動squid5、停止squid#servicesquidstop項目實施任務3：squid服務器的訪問控制及透明代理配置一、配置訪問控制cache_access_log/var/squid/access.logcache_log/var/squid/cache.logcache_store_log/var/squid/store.logaclsubnet1src/Aclsubnet2src/acl

baddomain

dstdomain-iacl

badfile

urlpath_regex-i\.doc\.xls\.ppt\.exe\.raraclallsrc/http_accessallowsubnet1http_accessdenysubnet2http_accessdenybaddomainhttp_accessdenybadfilehttp_accessdenyall項目實施二、透明代理服務器1、配置iptables#iptables–tnat–APREROUTING–Ieth0–ptcp–dport80–jREDIRECT–to–ports3128#iptables–tnat–APOSTROUTING–oeth1–jMASQUERADE#serviceiptablessave2、修改selinux設置#setsebool–Psquid_disable_transon項目實施3、修改配置文件squid.confhttp_port3128transparentudp_incoming_address

emulate_httpd_logonpid_filename/usr/local/squid/var/logs/squid.pidhalf_closed_clientsoffcache_swap_low90cache_swap_high95maximum_object_size1024KBaclallsrc/aclsubnet1src/http_accessallowsubnet1http_accessdenyall項目總結總結

1.能了解代理服務器的工作過程2.能從事squid服務器的配置與管理3.能熟練配置開始和停止squid服務項目實踐【企業(yè)環(huán)境】

**企業(yè)由于計算機出口的問題，只配置了一個100M帶寬的靜態(tài)寬帶接口以達到訪問外網(wǎng)的目的，計劃采用代理服務器的配置方式使內(nèi)網(wǎng)的計算機能夠訪問互聯(lián)網(wǎng)，現(xiàn)使用一臺RHEL5主機搭建squid服務器，其IP地址為，要求這臺squid服務器能夠使所有員工按需要可以訪問外網(wǎng)地址?！酒髽I(yè)需求】根據(jù)企業(yè)需求及人員分配情況，分別對生產(chǎn)部、銷售部設置區(qū)域及IP地址范圍。生產(chǎn)部門共50臺生產(chǎn)用計算機，采用IP地址為-0。由于安全的原因，生產(chǎn)部門不允許上網(wǎng)，但是內(nèi)部網(wǎng)絡可以互相通信。銷售部門共10臺計算機，采用IP地址為-0。由于工作原因，要求此10臺計算機既可以和生產(chǎn)部門通信，又可以登錄互聯(lián)網(wǎng)。另外為了方便上網(wǎng)，配置了一個100M帶寬的靜態(tài)寬帶接口以達到訪問外網(wǎng)的目的。Ip地址為：01項目實踐操作環(huán)境：

Vmware中啟動Linux系統(tǒng)作squid服務器IP地址為：01，利用虛擬WindowsXP系統(tǒng)