Squid 代理服务器
1.ACL访问控制
在配置文件 squid.conf 中,ACL 访问控制通过以下两个步骤来实现:
- 使用 acl 配置项定义需要控制的条件;
- 通过 http_access 配置项对已定义的列表做“允许”或“拒绝”访问的控制。
1.1 访问控制列表格式
格式:acl 列表名称 列表类型 列表内容 …
| 列表类型 | 定义的列表内容 |
|---|---|
| src | 源地址 |
| dst | 目标地址 |
| maxconn | 最大并发连接 |
| port | 目标地址 |
| dstdomain | 目标域 |
| url_regex | 匹配请求URL的任何部分 |
| urlpath_regex | 与url_regex非常相似(不包含传输协议和主机名) |
| time | 访问时间 |
例如:
vim /etc/squid.conf
......
acl localhost src 192.168.148.12/32 #源地址为 192.168.148.13
acl MYLAN src 192.168.148.0/24 #客户机网段
acl destionhost dst 192.168.148.13/32 #目标地址为 192.168.148.13
acl MC20 maxconn 20 #最大并发连接 20
acl PORT port 21 #目标端口 21
acl DMBLOCK dstdomain .qq.com #目标域,匹配域内所有站点
acl BURL url_regex -i ^rtsp:// ^emule:// #以 rtsp://、emule:// 开头的 URL,-i表示忽略大小写
acl PURL urlpath_regex -i \.mp3$ \.mp4$ \.rmvb$ #以 .mp3、.mp4、.rmvb 结尾的 URL 路径
acl WORKTIME time MTWHF 09:00-18:00 #时间为周一至周五 9:00~18:00,“MTWHF”为每个星期的英文首字母
1.2 测试部署
环境配置(直接使用之前实验的实例即可)
| 主机 | 操作系统 | IP地址 | 软件、安装包、工具 |
|---|---|---|---|
| Squid-Server | CentOS7 | ens33:192.168.148.12 ens36:12.0.0.1 | squid-3.5.28.tar.gz |
| Web-Server | CentOS7 | 192.168.148.13 | httpd |
| 客户机 | Windows10 | 192.168.163.100 |
客户机 Windows10 12.0.0.12
Squid-Server(192.168.148.12)
vim /etc/squid.conf
......
acl localhost src 12.0.0.12/24
acl mylan src 12.0.0.0/24
......
http_access deny localhosttest #注意,如果是拒绝列表,需要放在http_access allow all前面
systemctl restart squid
netstat -natp |grep squid
#或netstat -natp |grep 3128
Web-Server(192.168.148.13)
之前已经安装好了,这里就不安装了
systemctl stop firewalld.service
setenforce 0
yum -y install httpd
systemctl start httpd
浏览器(192.168.148.13)访问Web服务器
2.Squid 日志分析
2.1 安装图像处理软件包
- 出现报错,将网卡配置文件中的dns和网关修改回原样
- 安装在线源
yum install -y pcre-devel gd gd-devel
mkdir /usr/local/sarg
tar zxvf sarg-2.3.7.tar.gz -C /opt/
cd /opt/sarg-2.3.7
./configure --prefix=/usr/local/sarg --sysconfdir=/etc/sarg --enable-extraprotection
make && make install
#---------./configure中模块解释---------------------------------------
--prefix=/usr/local/sarg
--sysconfdir=/etc/sarg #配置文件目录,默认是/usr/local/etc
--enable-extraprotection #额外安全防护
#------------------------------------------------------------------
vim /etc/sarg/sarg.conf
#---------7行,取消注释---------------------------------------------
access_log /usr/local/squid/var/logs/access.log #指定访问日志文件
#---------25行,取消注释--------------------------------------------
title "Squid User Access Reports" #网页标题
#---------120行,取消注释-------------------------------------------
output_dir /var/www/html/squid-reports #报告输出目录
#---------178行,取消注释-------------------------------------------
user_ip no #使用用户名显示
#---------184行,取消注释,修改--------------------------------------
topuser_sort_field connect reverse #top排序中,指定连接次数采用降序排列,升序是normal
#---------190行,取消注释,修改--------------------------------------
user_sort_field connect reverse #对于用户访问记录,连接次数按降序排序
#---------206行,取消注释,修改--------------------------------------
exclude_hosts /usr/local/sarg/noreport #指定不计入排序的站点列表的文件
#---------257行,取消注释-------------------------------------------
overwrite_report no #同名同日期的日志是否覆盖
#---------289行,取消注释,修改--------------------------------------
mail_utility mailq.postfix #发送邮件报告命令
#---------434行取消注释,修改---------------------------------------
charset UTF-8 #指定字符集UTF-8
#---------518行,取消注释-------------------------------------------
weekdays 0-6 #top排行的星期周期
#---------525行,取消注释-------------------------------------------
hours 0-23 #top排行的时间周期
#---------633行,取消注释--------------------------------------------
www_document_root /var/www/html #指定网页根目录
2.2 添加不计入站点文件,添加的域名将不被显示在排序中
touch /usr/local/sarg/noreport
ln -s /usr/local/sarg/bin/sarg /usr/local/bin/
sarg --help
2.3 运行
sarg #启动一次记录
2.4 验证
yum install httpd -y
systemctl start httpd
浏览器访问 http://192.168.148.12/squid-reports ,查看sarg报告网页
2.5 添加计划任务,执行每天生成报告
vim /usr/local/sarg/report.sh
#/bin/bash
#Get current date
TODAY=$(date +%d/%m/%Y)
#Get one week ago today
YESTERDAY=$(date -d "1 day ago" +%d/%m/%Y)
/usr/local/sarg/bin/sarg -l /usr/local/squid/var/logs/access.log -o /var/www/html/squid-reports -z -d $YESTERDAY-$TODAY &> /dev/null
exit 0
chmod +x /usr/local/sarg/report.sh
crontab -e
0 0 * * * /usr/local/sarg/report.sh
3.Squid 反向代理
??如果 Squid 反向代理服务器中缓存了该请求的资源,则将该请求的资源直接返回给客户端;否则反向代理服务器将向后台的 Web 服务器请求资源,然后将请求的应答返回给客户端,同时也将该应答缓存在本地,供下一个请求者使用。
工作机制:
- 缓存网页对象,减少重复请求
- 将互联网请求轮训或按权重分配到内网Web服务器
- 代理用户请求,避免用户直接访问Web服务器,提高安全
环境配置
| 主机 | 操作系统 | IP地址 | 软件、安装包、工具 |
|---|---|---|---|
| Squid-Server | CentOS7 | 192.168.148.12 | squid-3.5.28.tar.gz |
| Web1-Server | CentOS7 | 192.168.148.13 | httpd |
| Web2-Server | CentOS7 | 192.168.148.136 | httpd |
| 客户机 | Windows10 | 192.168.148.5 |
Squid-Server(192.168.148.12)
vim /etc/squid.conf
......
#---------60行,修改,插入-------------------------------------------
http_port 192.168.148.12:80 accel vhost vport
cache_peer 192.168.148.13 parent 80 0 no-query originserver round-robin max_conn=30 weight=1 name=web1
cache_peer 192.168.148.138 parent 80 0 no-query originserver round-robin max_conn=30 weight=1 name=web2
cache_peer_domain web1 web2 www.test.com
systemctl stop httpd
systemctl restart squid
#---------解释-----------------------------------------------------
http_port 80 accel vhost vport
#squid从一个缓存变成了一个Web服务器使用加速模式,这个时候squid在80端口监听请求,同时和web server的请求端口(vhost vport)绑定,这个时候请求到了squid,squid是不用转发请求的,而是直接要么从缓存中拿数据要么向绑定的端口直接请求数据。
- accel:反向代理加速模式
- vhost:支持域名或主机名来表示代理节点
- vport:支持ip和端口来表示代理节点
- parent:代表为父节点
- 80:HTTP_PORT
- 0:ICP_PORT
- no-query:不做查询操作,直接获取数据
- originserver:指定是源服务器
- round-robin:指定 squid 通过轮询方式将请求分发到其中一台父节点
- max_conn:指定最大连接数
- weight:指定权重
- name:设置别名
web1、web2
systemctl stop firewalld.service
setenforce 0
yum install -y httpd
systemctl start httpd
Web1 (192.168.148.13)
echo "this is web1" >> /var/www/html/index.html
Web2 (192.168.148.136)
echo "this is web2" >> /var/www/html/index.html
客户机(192.168.148.5)
3.1 修改客户端的域名映射
如果提示权限不够,需要修改hosts文件权限
右击hosts文件,属性–>安全–>编辑–>组或用户名中的(Users)–>选择允许权限–>确定,图示在下面
#修改 C:\Windows\System32\drivers\etc\hosts 文件
192.168.148.12 www.test.com
3.2 客户机的代理配置
3.3 浏览器访问 http://www.test.com
说明代理成功!
总结
1.Squid的配置文件squid.conf更改后必须重新运行squid;
2.Squid服务器的hosts文件更改后必须重新运行squid;
3.不要忘记关闭防火墙和安全系数设为0
4.在测试代理时,记得要浏览器开启代理服务,并设置相应的IP和端口。最好再清除历史记录