項目4 配置與管理代理服務(wù)器

項目4

配置與管理代理服務(wù)器能力要求CAPACITY了解代理服務(wù)器的基本知識。0103了解文件權(quán)限設(shè)置內(nèi)容。02掌握squid代理服務(wù)器的配置方法。思政導入IDEOLOGY了解中國國家頂級域名“CN”，了解中國互聯(lián)網(wǎng)發(fā)展中的大事和大師，激發(fā)學生的自豪感。思政目標IDEOLOGY“古之立大事者，不惟有超世之才，亦必有堅忍不拔之志”，鞭策學生努力學習。思政內(nèi)容IDEOLOGY你知道我國是哪一年真正擁有了Internet嗎？中國國家頂級域名“CN”服務(wù)器是哪一年完成設(shè)置的呢？1994年4月20日，一條64kbit/s的國際專線從中國科學院計算機網(wǎng)絡(luò)信息中心通過美國Sprint公司連入Internet，實現(xiàn)了中國與Internet的全功能連接。從此我國被國際上正式承認為真正擁有全功能互聯(lián)網(wǎng)的國家。此事被我國新聞界評為1994年我國十大科技新聞之一，被國家統(tǒng)計，公報列為我國1994年重大科技成就之一。項目知識準備項目設(shè)計與準備項目實施項目實錄：配置與管理代理服務(wù)器內(nèi)容導航CONTENTS一、項目知識準備代理服務(wù)器的工作原理當客戶端在瀏覽器中設(shè)置好代理服務(wù)器后，所有使用瀏覽器訪問Internet站點的請求都不會被直接發(fā)給目的主機，而是首先被發(fā)送至代理服務(wù)器，代理服務(wù)器接收到客戶端的請求以后，由代理服務(wù)器向目的主機發(fā)出請求，并接收目的主機返回的數(shù)據(jù)，將其存放在代理服務(wù)器的硬盤，然后由代理服務(wù)器將客戶端請求的數(shù)據(jù)轉(zhuǎn)發(fā)給客戶端。代理服務(wù)器的工作原理如圖所示。一、項目知識準備代理服務(wù)器的工作原理①當客戶端A對Web服務(wù)器提出請求時，此請求會首先被發(fā)送到代理服務(wù)器。②代理服務(wù)器接收到客戶端A的請求后，檢查緩存中是否存有客戶端A需要的數(shù)據(jù)。③如果代理服務(wù)器沒有客戶端A請求的數(shù)據(jù)，則它將向Web服務(wù)器提交請求。④Web服務(wù)器響應(yīng)請求的數(shù)據(jù)。⑤代理服務(wù)器從Web服務(wù)器獲取數(shù)據(jù)后，將其保存至本地的緩存，以備以后查詢使用。⑥代理服務(wù)器向客戶端A轉(zhuǎn)發(fā)Web服務(wù)器的數(shù)據(jù)。⑦客戶端B訪問Web服務(wù)器，向代理服務(wù)器發(fā)出請求。⑧代理服務(wù)器查找緩存記錄，確認已經(jīng)存在Web服務(wù)器的相關(guān)數(shù)據(jù)。⑨代理服務(wù)器直接回應(yīng)查詢到的信息，而不需要再去Web服務(wù)器查詢，從而節(jié)約網(wǎng)絡(luò)流量，提高訪問速度。一、項目知識準備代理服務(wù)器的作用（1）提高訪問速度。因為用戶請求的數(shù)據(jù)被存于代理服務(wù)器的硬盤中，所以下次這個用戶或其他用戶再請求相同目的站點的數(shù)據(jù)時，會直接從代理服務(wù)器的硬盤中讀取，代理服務(wù)器起到了緩存的作用，提高了訪問速度。當熱門站點有很多用戶訪問時，代理服務(wù)器的優(yōu)勢更為明顯。（2）限制用戶訪問。因為所有使用代理服務(wù)器的用戶都必須通過代理服務(wù)器訪問遠程站點，所以在代理服務(wù)器上可以設(shè)置相應(yīng)的限制，以過濾或屏蔽某些信息。這是局域網(wǎng)網(wǎng)關(guān)限制局域網(wǎng)用戶訪問范圍常用的辦法，也是局域網(wǎng)用戶不能瀏覽某些網(wǎng)站的原因。撥號用戶如果使用代理服務(wù)器，則同樣必須服從代理服務(wù)器的訪問限制。（3） 提高安全性。無論是聊天還是瀏覽網(wǎng)站，目的網(wǎng)站只能知道使用的代理服務(wù)器的相關(guān)信息，而無法得知客戶端的真實IP地址，從而提高了用戶的安全性。項目知識準備項目設(shè)計與準備項目實施項目實錄：配置與管理代理服務(wù)器內(nèi)容導航CONTENTS二、項目設(shè)計與準備項目設(shè)計與準備部署squid代理服務(wù)器應(yīng)滿足下列需求。（1）安裝好企業(yè)版Linux網(wǎng)絡(luò)操作系統(tǒng)，并且必須保證常用服務(wù)正常工作。客戶端使用Linux或Windows網(wǎng)絡(luò)操作系統(tǒng)。服務(wù)器和客戶端能夠通過網(wǎng)絡(luò)進行通信。（2）或者利用虛擬機設(shè)置網(wǎng)絡(luò)環(huán)境。模擬互聯(lián)網(wǎng)的真實情況，需要3臺虛擬機，Linux服務(wù)器和客戶端的配置信息如表所示。主機名操作系統(tǒng)IP

地址角色內(nèi)網(wǎng)服務(wù)器：Server01Kylin

V10/24（VMnet1）Web

服務(wù)器、firewalld

squid

代理服務(wù)器：Server02

Kylin

V10IP

地址1

：0/24（VMnet1）IP

地址2：12/24（VMnet8）

firewalld、squid外網(wǎng)Linux

客戶端：Client1Kylin

V1013/24（VMnet8）Web

服務(wù)器、firewalld項目知識準備項目設(shè)計與準備項目實施項目實錄：配置與管理代理服務(wù)器內(nèi)容導航CONTENTS三、項目實施任務(wù)4-1安裝、啟動、停止與隨系統(tǒng)啟動squid服務(wù)1. squid軟件包與常用配置項（1） squid軟件包①軟件包名：squid。②服務(wù)名：squid。③主程序：/usr/sbin/squid。④配置目錄：/etc/squid/。⑤主配置文件：/etc/squid/squid.conf。⑥默認監(jiān)聽端口：TCP3128。⑦默認訪問日志文件：/var/log/squid/access.log。（2） 常用配置項①http_port3128。②cache_access_log/var/log/squid/access.log。③visible_hostname。三、項目實施任務(wù)4-1安裝、啟動、停止與隨系統(tǒng)啟動squid服務(wù)(2)安裝、啟動、停止squid服務(wù)（在Server02上安裝[root@Server02~]#rpm-qa|grepsquid[root@Server02~]#mount/dev/cdrom/media[root@Server02~]#dnfcleanall#安裝前先清除緩存[root@Server02~]#dnfinstallsquid-y[root@Server02~]#systemctlstartsquid#啟動squid服務(wù)[root@Server02~]#systemctlenablesquid#開機自動啟動三、項目實施任務(wù)4-2配置squid服務(wù)1．幾個常用的參數(shù)參數(shù)作用http_port

3128設(shè)置監(jiān)聽的端口為3128cache_mem

64M設(shè)置內(nèi)存緩沖區(qū)的大小為64MBcache_dir

ufs

/var/spool/squid

2000

16

256設(shè)置硬盤緩存大小為2000MB，緩存目錄為/var/spool/squid，一級子目錄16

個，二級子目錄256

個cache_effective_user

squid設(shè)置緩存的有效用戶cache_effective_group

squid設(shè)置緩存的有效用戶組dns_nameservers

[IP

地址]一般不設(shè)置，而是用服務(wù)器默認的DNS

地址cache_access_log

/var/log/squid/access.log訪問日志文件的保存路徑cache_log

/var/log/squid/cache.log緩存日志文件的保存路徑visible_hostname

設(shè)置squid

服務(wù)器的名稱三、項目實施任務(wù)4-2配置squid服務(wù)2.設(shè)置訪問控制列表squid代理服務(wù)器是客戶端與Web服務(wù)器之間的中介，它實現(xiàn)訪問控制，決定哪一臺計算機可以訪問Web服務(wù)器以及如何訪問。Squid代理服務(wù)器通過檢查具有控制信息的主機和域的訪問控制列表（AccessControlList，ACL）來決定是否允許某計算機訪問。ACL是控制用戶的主機和域的列表。使用acl命令可以定義ACL，該命令能在控制項中創(chuàng)建標簽。用戶可以使用http_access等命令定義這些控制功能，可以基于多種acl選項，如源IP地址、域名，甚至日期和時間等來使用acl命令定義系統(tǒng)或者系統(tǒng)組。三、項目實施任務(wù)4-2配置squid服務(wù)（1） acl命令acl命令的格式如下。

aclACL名稱 ACL類型[-i]ACL值 其中，ACL名稱用于區(qū)分squid的各個ACL，任何兩個ACL不能用相同的ACL名稱。一般來說，為了便于區(qū)分ACL的含義，應(yīng)盡量使用意義明確的名稱。ACL類型用于定義可被squid識別的類別，如IP地址、主機名、域名、日期和時間等類別。ACL類型及說明如表所示。三、項目實施任務(wù)4-2配置squid服務(wù)ACL

類型說明src

ip-address/netmask客戶端源IP

地址和子網(wǎng)掩碼src

addr1-addr4/netmask客戶端源IP

地址范圍dst

ip-address/netmask客戶端目標IP

地址和子網(wǎng)掩碼myip

ip-address/netmask本地套接字IP

地址srcdomain

domain源域名（客戶端所屬的域）dstdomain

domain目的域名（Internet

中服務(wù)器所屬的域）srcdom_regex

expression對源URL

進行正則表達式匹配dstdom_regex

expression對目的URL

進行正則表達式匹配

time指定時間。用法：acl

aclnametime[day-abbrevs][h1:m1-h2:m2]其中day-abbrevs

可以為S（Sunday）、M（Monday）、T（Tuesday）、W（Wednesday）、H（Thursday）、F（Friday）、A（Saturday）注意：h1:m1

一定要比h2:m2

小port指定連接端口，如acl

SSL_ports

port

443proto指定使用的通信協(xié)議，如acl

allowprotolist

proto

HTTPurl_regex設(shè)置URL

規(guī)則匹配表達式urlpath_regex:URL-path設(shè)置略去協(xié)議和主機名的URL

規(guī)則匹配表達式三、項目實施任務(wù)4-2配置squid服務(wù)（2）http_access設(shè)置允許或拒絕某個ACL的訪問請求，格式如下。

http_access[allow|deny]ACL名稱 squid代理服務(wù)器在定義ACL后，會根據(jù)http_access的規(guī)則允許或拒絕滿足一定條件的客戶端的訪問請求?！纠?-1】拒絕所有客戶端的請求。aclallsrc/http_accessdenyall三、項目實施任務(wù)4-2配置squid服務(wù)【例4-2】禁止/24的用戶上網(wǎng)。aclclient1src/http_accessdenyclient1【例4-3】禁止用戶訪問域名為www.***.com的網(wǎng)站。aclbaddomaindstdomainwww.***.comhttp_accessdenybaddomain【例4-4】禁止/24的用戶在星期一到星期五的9:00～18:00上網(wǎng)。aclclient1src/aclbadtimetimeMTWHF9:00-18:00http_accessdenyclient1badtime【例4-5】禁止用戶下載.mp3、.exe、.zip和.rar文件。aclbadfileurlpath_regex-i\.mp3$\.exe$\.zip$\.rar$http_accessdenybadfile三、項目實施任務(wù)4-2配置squid服務(wù)【例4-6】屏蔽www.***.gov站點。aclbadsitedstdomain-iwww.***.govhttp_accessdenybadsite-i表示忽略字母大小寫，默認情況下squid是區(qū)分大小寫的。【例4-7】屏蔽所有包含“sex”的URL路徑。aclsexurl_regex-isexhttp_accessdenysex【例4-8】禁止訪問22、23、25、53、110、119這些危險端口。acldangerous_portport22232553110119http_accessdenydangerous_port三、項目實施企業(yè)實戰(zhàn)與應(yīng)用利用squid和NAT功能可以實現(xiàn)透明代理。透明代理是指客戶端根本不需要知道有代理服務(wù)存在，客戶端也不需要在瀏覽器或其他的客戶端中進行任何設(shè)置，只需要將默認網(wǎng)關(guān)設(shè)置為Linux服務(wù)器的IP地址（內(nèi)網(wǎng)IP地址）即可。企業(yè)環(huán)境和需求三、項目實施手動設(shè)置代理服務(wù)器的解決方案（1）在Server02上安裝雙網(wǎng)卡。具體方法參見3.4.2節(jié)的相關(guān)內(nèi)容。編者的計算機的第1塊網(wǎng)卡是ens160，系統(tǒng)自動命名第2塊網(wǎng)卡為ens36。（2）配置IP地址、網(wǎng)關(guān)等信息。①在Server01上設(shè)置IP地址等信息。②在Client1上安裝httpd服務(wù)，讓防火墻允許該服務(wù)通過，并測試默認網(wǎng)絡(luò)配置是否成功。[root@Client1~]#mount/dev/cdrom/media#掛載安裝光盤[root@Client1~]#dnfcleanall[root@Client1~]#dnfinstallhttpd-y#安裝Web服務(wù)器[root@Client1~]#systemctlstarthttpd三、項目實施手動設(shè)置代理服務(wù)器的解決方案續(xù)上[root@Client1~]#systemctlenablehttpd[root@Client1~]#systemctlstartfirewalld[root@Client1~]#firewall-cmd--permanent--add-service=http#讓防火墻放行httpd服務(wù)[root@Client1~]#firewall-cmd--reload[root@Client1~]#firefox13#測試Web服務(wù)器配置是否成功三、項目實施手動設(shè)置代理服務(wù)器的解決方案2．在Server02上安裝squid服務(wù)（前面已安裝），配置squid服務(wù)（行號為大致位置）[root@Server02~]#vim/etc/squid/squid.conf……55acllocalnetsrc/856http_accessallowlocalnet57http_accessdenyall#上面3行的意思是，定義

的網(wǎng)絡(luò)為localnet，允許訪問localnet，其他都被拒絕64http_port312867cache_dirufs/var/spool/squid1024016256#設(shè)置硬盤緩存大小為10GB，目錄為/var/spool/squid，一級子目錄16個，二級子目錄256個68visible_hostnameServer02[root@Server02~]#systemctlstartsquid[root@Server02~]#systemctlenablesquid三、項目實施手動設(shè)置代理服務(wù)器的解決方案3．在Server01上測試代理設(shè)置是否成功（1）打開Firefox瀏覽器，配置代理服務(wù)器。在瀏覽器中，按“Alt”鍵調(diào)出菜單，單擊“編輯”→“首選項”→“常規(guī)”→“網(wǎng)絡(luò)設(shè)置”→“設(shè)置”，打開“連接設(shè)置”對話框，選中“手動代理配置”，將HTTP代理設(shè)為“0”，端口設(shè)為“3128”，如圖所示。設(shè)置完成后單擊“確定”按鈕。三、項目實施手動設(shè)置代理服務(wù)器的解決方案3．在Server01上測試代理設(shè)置是否成功（2）在瀏覽器地址欄中輸入13，按“Enter”鍵，出現(xiàn)圖所示的不能正常連接界面。三、項目實施手動設(shè)置代理服務(wù)器的解決方案4．排除故障（1）解決方案：在Server02上設(shè)置防火墻，當然也可以停止全部防火墻。[root@Server02~]#firewall-cmd--permanent--add-service=squid[root@Server02~]#firewall-cmd--permanent--add-port=80/tcp[root@Server02~]#firewall-cmd--reload[root@Server02~]#netstat-an|grep:3128#3128端口正常監(jiān)聽tcp600:::3128:::*LISTEN三、項目實施手動設(shè)置代理服務(wù)器的解決方案4．排除故障（2）在Server01瀏覽器地址欄中輸入13，按“Enter”鍵，出現(xiàn)如圖所示。三、項目實施手動設(shè)置代理服務(wù)器的解決方案5．在Server02上查看日志文件[root@Server02~]#vim/var/log/squid/access.log1690613612.5655TCP_MISS/4034379GEThttp:#13/-HIER_DIRECT/13text/html三、項目實施客戶端不需要配置代理服務(wù)器的解決方案（1）在Server02上配置squid服務(wù)，前文開放squid防火墻和端口的內(nèi)容仍適用于本任務(wù)。①修改squid.conf配置文件，在“http_port3128”下面增加如下內(nèi)容并重新加載該配置。[root@Server02~]#vim/etc/squid/squid.conf64http_port312864http_port3129transparent[root@Server02~]#systemctlrestartsquid[root@Server02~]#netstat-an|grep:3128#查看端口是否啟動監(jiān)聽（很重要）tcp600:::3128:::*LISTEN[root@Server02~]#netstat-an|grep:3129#查看端口是否啟動監(jiān)聽（很重要）tcp600:::3129:::*LISTEN三、項目實施客戶端不需要配置代理服務(wù)器的解決方案②添加firewalld規(guī)則，將TCP端口為80的訪問直接轉(zhuǎn)向3129端口。重啟防火墻和squid。[root@Server02~]#firewall-cmd--permanent--add-forward-port=port=80:proto=tcp:toport=3129success[root@Server02~]#firewall-cmd--reload[root@Server02~]#systemctlrestartsquid三、項目實施客戶端不需要配置代理服務(wù)器的解決方案（2）在Server01上測試代理設(shè)置是否成功。①打開Firefox瀏覽器，配置代理服務(wù)器。在瀏覽器中，按“Alt”鍵調(diào)出菜單，單擊“編輯”→“首選項”→“常規(guī)”→“網(wǎng)絡(luò)設(shè)置”→“設(shè)置”，打開“連接設(shè)置”對話框，選中“不使用代理服務(wù)器”，將代理服務(wù)器設(shè)置清空。②設(shè)置Server01的網(wǎng)關(guān)為0。（刪除網(wǎng)關(guān)是將add改為del。）[root@Server01~]#routeadddefaultgw0#網(wǎng)關(guān)一定要設(shè)置③在Server01瀏覽器地址欄中輸入13，按“Enter”鍵，顯示測試成功。（4）對于初學者，可以在firewalld的圖形界面中設(shè)置前文的端口轉(zhuǎn)發(fā)規(guī)則。[root@Server02~]#firewall-config#需要先用dnf命令安裝該軟件三、項目實施反向代理的解決方案1．使用反向代理客戶端要訪問內(nèi)網(wǎng)Server01的Web服務(wù)器，可以使用反向代理。（1）在Server01上安裝、啟動http服務(wù)，并設(shè)置防火墻讓該服務(wù)通過。[root@Server01~]#dnfinstallhttpd-y[root@Server01~]#systemctlstartfirewalld[root@Server01~]#firewall-cmd--permanent--add-service=http[root@Server01~]#firewall-cmd--reload[root@Server01~]#systemctlstarthttpd[root@Server01~]#systemctlenablehttpd三、項目實施反向代理的解決方案（2）在Server02上配置反向代理（特別注意acl等前3句，意思是先定義一個localnet，其網(wǎng)絡(luò)ID是，后面再允許該網(wǎng)絡(luò)訪問，拒絕其他網(wǎng)絡(luò)訪問）。[root@Server02~]#firewall-cmd--permanent--add-service=squid[root@Server02~]#firewall-cmd--permanent--add-port=80/tcp[root@Server02~]#firewall-cmd--reload[root@Server02~]#vim/etc/squid/squid.conf55acllocalnetsrc/856http_accessall