[系统运维]Squid私房菜————Squid 代理服务器|ACL访问控制|Squid 日志分析|Squid 反向代理|详细图解

1.ACL访问控制

在配置文件 squid.conf 中，ACL 访问控制通过以下两个步骤来实现：

• 使用 acl 配置项定义需要控制的条件；
• 通过 http_access 配置项对已定义的列表做“允许”或“拒绝”访问的控制。

1.1 访问控制列表格式

格式：acl 列表名称 列表类型 列表内容 …

例如：

vim /etc/squid.conf
......
acl localhost src 192.168.148.12/32     #源地址为 192.168.148.13
acl MYLAN src 192.168.148.0/24          #客户机网段
acl destionhost dst 192.168.148.13/32   #目标地址为 192.168.148.13
acl MC20 maxconn 20                     #最大并发连接 20
acl PORT port 21                        #目标端口 21
acl DMBLOCK dstdomain .qq.com           #目标域，匹配域内所有站点
acl BURL url_regex -i ^rtsp:// ^emule://  #以 rtsp://、emule:// 开头的 URL，-i表示忽略大小写
acl PURL urlpath_regex -i \.mp3$ \.mp4$ \.rmvb$  #以 .mp3、.mp4、.rmvb 结尾的 URL 路径
acl WORKTIME time MTWHF 09:00-18:00     #时间为周一至周五 9:00~18:00，“MTWHF”为每个星期的英文首字母

1.2 测试部署

环境配置（直接使用之前实验的实例即可）

客户机 Windows10 12.0.0.12

Squid-Server（192.168.148.12）

vim /etc/squid.conf
......
acl localhost src 12.0.0.12/24
acl mylan src 12.0.0.0/24

......
http_access deny localhosttest				#注意，如果是拒绝列表，需要放在http_access allow all前面


systemctl restart squid
netstat -natp |grep squid
#或netstat -natp |grep 3128

Web-Server(192.168.148.13)
之前已经安装好了，这里就不安装了

systemctl stop firewalld.service 
setenforce 0
yum -y install httpd
systemctl start httpd

浏览器(192.168.148.13)访问Web服务器

2.Squid 日志分析

2.1 安装图像处理软件包

• 出现报错，将网卡配置文件中的dns和网关修改回原样
• 安装在线源

yum install -y pcre-devel gd gd-devel

mkdir /usr/local/sarg
tar zxvf sarg-2.3.7.tar.gz -C /opt/

cd /opt/sarg-2.3.7

./configure --prefix=/usr/local/sarg --sysconfdir=/etc/sarg --enable-extraprotection

make && make install

#---------./configure中模块解释---------------------------------------
--prefix=/usr/local/sarg 
--sysconfdir=/etc/sarg   #配置文件目录，默认是/usr/local/etc
--enable-extraprotection #额外安全防护
#------------------------------------------------------------------

vim /etc/sarg/sarg.conf
#---------7行，取消注释---------------------------------------------
access_log /usr/local/squid/var/logs/access.log		#指定访问日志文件
#---------25行，取消注释--------------------------------------------
title "Squid User Access Reports"					#网页标题
#---------120行，取消注释-------------------------------------------
output_dir /var/www/html/squid-reports				#报告输出目录
#---------178行，取消注释-------------------------------------------
user_ip no											#使用用户名显示
#---------184行，取消注释，修改--------------------------------------
topuser_sort_field connect reverse					#top排序中，指定连接次数采用降序排列，升序是normal
#---------190行，取消注释，修改--------------------------------------
user_sort_field connect reverse						#对于用户访问记录，连接次数按降序排序
#---------206行，取消注释，修改--------------------------------------
exclude_hosts /usr/local/sarg/noreport				#指定不计入排序的站点列表的文件
#---------257行，取消注释-------------------------------------------
overwrite_report no									#同名同日期的日志是否覆盖
#---------289行，取消注释，修改--------------------------------------
mail_utility mailq.postfix							#发送邮件报告命令
#---------434行取消注释，修改---------------------------------------
charset UTF-8										#指定字符集UTF-8
#---------518行，取消注释-------------------------------------------
weekdays 0-6										#top排行的星期周期
#---------525行，取消注释-------------------------------------------
hours 0-23											#top排行的时间周期
#---------633行,取消注释--------------------------------------------
www_document_root /var/www/html						#指定网页根目录

2.2 添加不计入站点文件，添加的域名将不被显示在排序中

touch /usr/local/sarg/noreport

ln -s /usr/local/sarg/bin/sarg /usr/local/bin/
sarg --help

2.3 运行

sarg				#启动一次记录

2.4 验证

yum install httpd -y
systemctl start httpd

浏览器访问 http://192.168.148.12/squid-reports ，查看sarg报告网页

2.5 添加计划任务，执行每天生成报告

vim /usr/local/sarg/report.sh
#/bin/bash
#Get current date
TODAY=$(date +%d/%m/%Y)
#Get one week ago today
YESTERDAY=$(date -d "1 day ago" +%d/%m/%Y)
/usr/local/sarg/bin/sarg -l /usr/local/squid/var/logs/access.log -o /var/www/html/squid-reports -z -d $YESTERDAY-$TODAY &> /dev/null
exit 0

chmod +x /usr/local/sarg/report.sh

crontab -e
0 0 * * * /usr/local/sarg/report.sh

3.Squid 反向代理

??如果 Squid 反向代理服务器中缓存了该请求的资源，则将该请求的资源直接返回给客户端；否则反向代理服务器将向后台的 Web 服务器请求资源，然后将请求的应答返回给客户端，同时也将该应答缓存在本地，供下一个请求者使用。

工作机制：

• 缓存网页对象，减少重复请求
• 将互联网请求轮训或按权重分配到内网Web服务器
• 代理用户请求，避免用户直接访问Web服务器，提高安全

环境配置

Squid-Server（192.168.148.12）

vim /etc/squid.conf
......
#---------60行,修改,插入-------------------------------------------
http_port 192.168.148.12:80 accel vhost vport
cache_peer 192.168.148.13 parent 80 0 no-query originserver round-robin max_conn=30 weight=1 name=web1
cache_peer 192.168.148.138 parent 80 0 no-query originserver round-robin max_conn=30 weight=1 name=web2
cache_peer_domain web1 web2 www.test.com


systemctl stop httpd
systemctl restart squid

#---------解释-----------------------------------------------------
http_port 80 accel vhost vport 
#squid从一个缓存变成了一个Web服务器使用加速模式，这个时候squid在80端口监听请求，同时和web server的请求端口(vhost vport)绑定，这个时候请求到了squid，squid是不用转发请求的，而是直接要么从缓存中拿数据要么向绑定的端口直接请求数据。

• accel：反向代理加速模式
• vhost：支持域名或主机名来表示代理节点
• vport：支持ip和端口来表示代理节点
• parent：代表为父节点
• 80：HTTP_PORT
• 0：ICP_PORT
• no-query：不做查询操作，直接获取数据
• originserver：指定是源服务器
• round-robin：指定 squid 通过轮询方式将请求分发到其中一台父节点
• max_conn：指定最大连接数
• weight：指定权重
• name：设置别名

web1、web2

systemctl stop firewalld.service 
setenforce 0
yum install -y httpd
systemctl start httpd

Web1 (192.168.148.13)

echo "this is web1" >> /var/www/html/index.html

Web2 (192.168.148.136)

echo "this is web2" >> /var/www/html/index.html

客户机（192.168.148.5）

3.1 修改客户端的域名映射

如果提示权限不够，需要修改hosts文件权限
右击hosts文件，属性–>安全–>编辑–>组或用户名中的（Users）–>选择允许权限–>确定，图示在下面

#修改 C:\Windows\System32\drivers\etc\hosts 文件
192.168.148.12 www.test.com

3.2 客户机的代理配置

3.3 浏览器访问 http://www.test.com

说明代理成功！

总结

1.Squid的配置文件squid.conf更改后必须重新运行squid;
2.Squid服务器的hosts文件更改后必须重新运行squid；
3.不要忘记关闭防火墙和安全系数设为0
4.在测试代理时，记得要浏览器开启代理服务，并设置相应的IP和端口。最好再清除历史记录