第11章Proxy服務器配置

第11章

Proxy服務器配置本章介紹了代理服務器的基本概念和工作原理squid代理服務器的安裝配置方法，以及利用squid代理服務器實現透明代理以及實現安全訪問控制的方法。

學完本章后，你將能夠：描述代理服務器的基本概念和工作原理利用squid代理服務器實現透明代理利用squid代理服務器進行安全訪問設置安裝配置squid安裝配置squid

1代理服務器概述2squid代理服務器的安裝和配置3squid代理服務器的訪問控制設置4squid代理服務器日志管理11.1什么是代理服務器

所謂代理服務器，就是代表內部私有網絡中的客戶，去請求Internet網中的資源，并將響應的數據返回給客戶機的服務器。它能夠讓多臺沒有公有IP地址的主機使用其代理功能訪問互聯(lián)網資源。當代理服務器客戶端發(fā)出一個對外的資源訪問請求，該請求先被代理服務器識別并由代理服務器代為向外請求資源并保存在本機緩存中，客戶端通過訪問代理服務器的緩存實現訪問請求。代理服務器是內部網絡和ISP（Internet服務商）之間的中介，它可以提供文件緩存、地址過濾、網絡監(jiān)控等功能，并且可以轉發(fā)網絡信息，對轉發(fā)信息進行控制。11.2代理服務器的主要作用代理服務器的作用主要有以下幾方面： 共享訪問網絡資源提高訪問速度隱藏主機的真實IP地址，提高系統(tǒng)的安全性控制用戶訪問權限通過代理服務器訪問一些不能直接訪問的站點。11.3代理服務器的工作原理1代理服務器概述2squid代理服務器的安裝和配置3squid代理服務器的訪問控制設置4squid代理服務器日志管理

squid代理服務器簡介

squid是Linux平臺下一個高性能的具有網頁緩存功能的代理服務器軟件，它支持HTTP、FTP和gopher等協(xié)議，在緩存數據的同時，也緩存DNS查詢結果并支持SSL和訪問控制。squid用一個單獨的、非模塊化的、I/O驅動的進程來處理所有的客戶端請求。squid可以工作在FreeBSD、HP-UX、Linux、OS/2等很多操作系統(tǒng)平臺中。squid服務器的安裝啟動squid服務器在RHEL4系統(tǒng)中已經默認安裝#rpm-qsquidsquid-2.5.STABLE6-3

squid服務的啟動狀態(tài)squid服務程序在RHEL4中默認不自動啟動需要用chkconfig命令設置squid服務在運行級別3和5中自動啟動#chkconfig--level35squidon9squid服務的啟動與停止啟動腳本squid服務的啟動腳本名稱是“squid”/etc/init.d/squid

啟動與停止squid服務啟動squid服務#servicesquidstart

停止squid服務#servicesquidstop服務端口squid服務器的缺省服務端口為3128103.1Squid的基本配置選頂11．squid主配置文件squid服務器的主配置文件為squid.conf，位于/etc/squid目錄下，用戶可以通過修改該配置文件來實現所需的功能。Squid的基本配置選頂12．初始化squid建立置換目錄在第一次啟動squid前，應該先建立高速緩存的置換目錄，然后再啟動squid服務。命令如下：[root@rhel5~]#squid–z默認情況下，squid代理服務器返回的錯誤信息都是英文，如果需要將錯誤信息的語言改為中文，可以使用下面的方法：[root@rhel5~]#mv/etc/squid/errors/etc/squid/errors.bak[root@rhel5~]#ln-s/usr/share/squid/errors/Simlify_Chinese/etc/squid/errors

Squid的基本配置選頂1http_port

3128網頁瀏覽器連接到本臺代理服務器時所使用的端口號，默認為3128，也可更改其他端口號，如8080，不同端口之間用空格隔開cache_mem8MB設置Squid可利用多少內存（默認8MB）當作高速緩存，一般為1/3實際物理內存cache_dirufs

/var/spool/squid10016256設置緩存目錄和緩存可以使用的磁盤空間，100表示最大可使用100MB；16表示第一層子目錄最多可以有16個；256表示每個第一層子目錄下的第2層子目錄最多可以有256個cache_access_log

/var/log/squid/access.log設置緩存儲存記錄文件的名稱和所在的目錄，它記錄了所有緩存的行為如果不需要可設為：cache_access_log

noneSquid的基本配置選頂2maximum_object_size

4096KB設置Squid的最大存儲對象的大小，默認為4Mcache_mgrroot設置電子郵件的地址，如果服務器出現問題，將向這個地址發(fā)送相關的錯誤信息cach_effective_user

squid設置運行Squid的有效用戶cach_effective_group

squid設置運行Squid的有效組http_access

用來設置訪問控制：allowall表示允許所有用戶使用代理服務器

denyall表示拒絕所有用戶使用代理服務器Squid.conf配置舉例#

vi/etc/squid/squid.confhttp_port

8080cache_dirufs

/var/spool/squid/10016256cache_mem

43MBmaximum_object_size4096KBcache_effective_user

squidcache_effective_groupsquidcache_mgr

rootvisible_hostname

http_access

allowall#cd/var/spool/squid#squid–z#servicesquidstartsquid代理服務器ACL類型選項

16訪問控制

訪問控制是squid配置中的重點,Squid用ACL(AccessControlList）訪問控制列表對訪問類型進行劃分，用選項http_access來控制允許訪問（allow）還是禁止訪問（deny）acl選項http_access選項acl選項

為了使用訪問控制列表功能，首先要用acl選項進行定義訪問控制列表。該選項的基本格式為：acl

列表名稱列表類型[-i]列表的值列表名稱：可以由用戶任意定義，但任何兩個ACL不能用相同的名稱列表類型：列表類型說明ACL操作的對象類型，選項src:源地址（客戶機IP地址）dst:目的地址（服務器IP地址）srcdomain:源名稱（客戶機所在的域）dstdomain:目的名稱（服務器所在的域）url_regex:指定的URL規(guī)則表達式字符串urlpath_regex:指定的URL目錄路徑規(guī)則表達式，不包括協(xié)議和站點的域名和IPmaxconn:客戶機同一個IP最大的連接數訪問控制配置squid訪問控制設置示例禁止內網部分IP使用代理服務器aclbadipsrc/24http_accessdenybadip禁止內網部分MAC地址使用代理服務器

aclbadmacarp00:d0:f8:d9:0e:05http_accessdenybadmac禁止內網用戶訪問某些網站

aclbadwebsitedstdomainhttp_accessdenybadwebsite20訪問控制配置禁止內網用戶訪問某些格式文件

aclbadfileurlpath_regex\.mp3$\.avi$\.exe$\.rmvb$http_accessdenybadfile禁止內網用戶瀏覽網頁

aclbadnetsrc0aclbadnetprotoHTTPhttp_accessdenybadnet21訪問控制配置限制客戶端主機上網的時間aclworktimeMTWHF9:00~17:00http_accessdeny!worktime如果需要限制特定的用戶，可以采用下面的配置方法aclbadclientsrc0aclworktimeM12:00~17:00http_accessdenybadclient!worktime22squid服務的配置文件（Cont.）squid.conf文件中的配置選項訪問控制設置“http_access”用于設置允許或拒絕訪問控制對象http_accessallowlocalhosthttp_accessdenyall訪問控制列表（ACL）的定義“acl”配置項用于設置訪問控制列表的內容aclallsrc/acllocalhostsrc/55重新啟動squid服務對squid.conf文件修改后需要重新啟動服務程序#servicesquidrestart

23配置透明代理服務器配置squid服務器修改squid.conf配置文件中的設置#vi/etc/squid/squid.conf//在配置文件中添加以下的配置行httpd_accel_hostvirtualhttpd_accel_port80ht