企业squid代理服务器的应用

专业计算机网络技术班级计网10341姓名龙志平指导教师冯德勇squid代理服务器的意义vSquid是一个缓存internet数据的一个软件,通过缓存的方式为用户提供Web访问加速,它接收用户的下载申请,并自动处理所下载的数据.
也就是说,当一个用户象要下载一个主页时,它向Squid发出一个申请,要Squid替它下载,然后Squid连接所申请网站并请求该主页,接着把该主页传给用户同时保留一个备份,当别的用户申请同样的页面时,Squid把保存的备份立即传给用户,使用户觉得速度相当快squid代理服务器简介v1.
普通代理服务即标准的、传统的代理服务需要客户机在浏览器中指定代理服务器的地址、端口v2.
透明代理服务适用于企业的网关主机(共享接入Internet)中客户机不需要指定代理服务器地址、端口等信息需要设置防火墙策略将客户机的Web访问数据转交给代理服务程序处理v3.
反向代理服务为Internet用户访问企业Web站点提供缓存加速普通代理服务、透明代理服务(示意图)反向代理服务器Linux防火墙概述vLinux系统的防火墙功能是由内核实现的2.
0版内核中,包过滤机制是ipfw,管理工具是ipfwadm2.
2版内核中,包过滤机制是ipchain,管理工具是ipchains2.
4版及以后的内核中,包过滤机制是netfilter,管理工具是iptablesvnetfilter位于Linux内核中的包过滤防火墙功能体系称为Linux防火墙的"内核态"viptables位于/sbin/iptables,是用来管理防火墙的命令工具为防火墙体系提供过滤规则/策略,决定如何过滤或处理到达防火墙主机的数据包称为Linux防火墙的"用户态"——习惯上,上述2种称呼都可以代表Linux防火墙iptables的规则表、链结构v规则链规则的作用在于对数据包进行过滤或处理,根据处理时机的不同,各种规则被组织在不同的"链"中规则链是防火墙规则/策略的集合v默认的5种规则链INPUT:处理入站数据包OUTPUT:处理出站数据包FORWARD:处理转发数据包POSTROUTING链:在进行路由选择后处理数据包PREROUTING链:在进行路由选择前处理数据包iptables的规则表、链结构v规则表具有某一类相似用途的防火墙规则,按照不同处理时机区分到不同的规则链以后,被归置到不同的"表"中规则表是规则链的集合v默认的4个规则表raw表:确定是否对该数据包进行状态跟踪mangle表:为数据包设置标记nat表:修改数据包中的源、目标IP地址或端口filter表:确定是否放行该数据包(过滤)数据包过滤匹配流程v规则表间的优先顺序依次为:raw、mangle、nat、filterv规则链间的匹配顺序入站数据:PREROUTING、INPUT出站数据:OUTPUT、POSTROUTING转发数据:PREROUTING、FORWARD、POSTROUTINGv规则链内的匹配顺序按顺序依次进行检查,找到相匹配的规则即停止(LOG策略会有例外)若在该链内找不到相匹配的规则,则按该链的默认策略处理管理和设置iptables规则viptables命令的语法格式iptables[t表名]管理选项[链名][条件匹配][j目标动作或跳转]v几个注意事项不指定表名时,默认表示filter表不指定链名时,默认表示该表内所有链除非设置规则链的缺省策略,否则需要指定匹配条件数据包控制v常见的数据包处理方式ACCEPT:放行数据包DROP:丢弃数据包REJECT:拒绝数据包LOG:记录日志信息,并传递给下一条规则处理用户自定义链名:传递给自定义链内的规则进行处理SNAT:修改数据包的源地址信息DNAT:修改数据包的目标地址信息网关使用动态公网IP地址的情况vMASQUERADE(地址伪装)策略只需将"jSNATtosource218.
29.
30.
31"的形式改为"jMASQUERADE"即可如果是通过ADSL拨号方式连接Internet,则外网接口名称通常为ppp0、ppp1等vMASQUERADE策略应用示例v[root@localhost~]#iptablestnatAPOSTROUTINGs192.
168.
1.
0/24voeth0jMASQUERADE普通代理服务器的配置v1,安装前的准备;v*yumgroupinstall开发工具//安装开发工具包v*yuminstallgcc*//安装好编译环境v2、安装源码包的squid服务器软件:v*tarxfsquid3.
1.
14.
tar.
gzC/usr/src/v[root@serversquid3.
1.
14]#.
/configureprefix=/usr/local/squidenablearpaclvenablelinuxnetfilterenablesnmpenabledelaypoolsenablecahcedigestsvenablelargecachefileenableauth=basic,digest,ntlm,negotiatevenablecachemgrhostname=localhostvmake&&makeinstall//编译安装v4、配置文件v####复制默认的配置文件#####v*cp/usr/local/squid/etc/squid.
conf.
documentedv/usr/local/squid/etc/squid.
confv###创建相应的链接,方便管理配置####vlns/usr/local/squid/sbin/squid/sbin/squidvlns/usr/local/squid/etc/squid.
conf/etc/squid.
confv####配置配置文件/etc/squid.
conf###vaclmynetsrc10.
10.
10.
0/24v//定义内网网段的ACL名称为mynetvhttp_accessallowmynetv//运行mynet访问,这条语句一定要配置在http_accessdenyall前面vhttp_port10.
10.
10.
1:3128v//只在内网的IP开放代理服务的3128端口,端口可以自定义vcache_mem256MBv//设定内存中缓存大小vcache_dirufs/usr/local/squid/var/cache51216256v//定义磁盘上的缓存目录和参数vminimum_object_size0KBvmaximum_object_size4096KBv//设定最小和最大的缓存对象,超过maximum_object_size的对象将不缓存vvisible_hostnameserver.
sxkj.
comv//宣告服务器的FQDNv5、初始化缓存目录v[root@server~]#squidzv赋权,使对var下的logs和cache目录有写入权限v[root@server~]#chmodRo+w/usr/local/squid/var/logs/v[root@server~]#chmodRo+w/usr/local/squid/var/cache/v启动squid前,建议检查一下配置文件的语法v[root@server~]#squidkparsev6、启动squi代理服务器:v[root@server~]#squidsv[root@server~]#netstatntpl|grepsquidv7、配置客户端v1)客户端需要配置内网段的IP地址v2)客户端不需要配置DNS.
v3)客户端不需要配置网关.
v4)客户端浏览器需要配置使用代理服务器的3128端口.
v打开浏览器的选项设置的连接设置,选中局域网设置即可v8、密码验证方式:v配置squid的身份验证功能,修改squid.
conf文件vauth_parambasicprogram/usr/local/squid/libexec/ncsa_auth/usr/local/squid/etc/passwdvaclpasswordproxy_authREQUIREDvhttp_accessallowmynetpasswordv//刷新配置文件squidkreconfigurev//创建访问用户vhtpasswdc/usr/local/squid/etc/passwdsxkjv注意:squid不支持在透明代理模式下启用用户身份认证功能.
透明代理服务器的配置v1、修改squid.
confvhttp_port192.
168.
1.
1:3128intercept//启用透明代理v2、iptables防火墙设置如下语句viptablestnatAPREROUTINGs192.
168.
1.
0/24ieth1ptcp—dport80jREDIRECT—toports3128viptablestnatAPOSTROUTINGs10.
10.
10.
0/24oeth0jMASQUERADEv3、启服务器的路由转发功能vVim/etc/sysctl.
confvnet.
ipv4.
ip_forward=15、服务器配置好设计要求的acl规则v2、squidACL访问控制应用实例v1)禁止IP地址为192.
168.
16.
200的客户机上网.
vaclbadclientip1src192.
168.
16.
200vhttp_accessdenybadclientip1v2)禁止192.
168.
1.
0这个子网里所有的客户机上网.
vaclbadclientnet1src192.
168.
1.
0/255.
255.
255.
0vhttp_accessdenybadclientnet1v3)禁止用户访问IP地址为210.
21.
118.
68的网站.
vaclbadsrvip1dst210.
21.
118.
68vhttp_accessdenybadsrvip1v4)禁止用户访问域名为www.
163.
com的网站.
vaclbaddomain1dstdomainiwww.
163.
comvhttp_accessdenybaddomain1v5)禁止用户访问域名包含有163.
com的网站.
vaclbadurl1url_regexi163.
comvhttp_accessdenybadurl1v6)禁止用户访问域名包含有sex关键字的URL.
vaclbadurl2url_regexisexvhttp_accessdenybadurl2v7)限制IP地址为192.
168.
16.
200的客户机并发最大连接数为5.
vaclclientip1src192.
168.
16.
200vaclconn5maxconn5vhttp_accessdenyclient1conn1v8)禁止192.
168.
2.
0这个子网里所有的客户机在周一到周五的9:00到18:00上网.
vaclclientnet1src192.
168.
2.
0/255.
255.
255.
0vaclworktimetimeMTWHF9:0018:00vhttp_accessdenyclientnet1worktimev9)禁止客户机下载*.
mp3、*.
exe、*.
zip和*.
rar类型的文件.
vaclbadfile1urlpath_regexi.
mp3$.
exe$.
zip$.
rar$vhttp_accessdenybadfile1v10)禁止QQ通过squid代理上网.
vaclqqurl_regexitencent.
comvhttp_accessdenyqq7、客户端配置:v客户端需要配置内网段的IP地址、DNS和网关v客户端浏览器不需要配置代理服务器地址v查看iptables的nat表viptablestnatvnLv查看squid的日志也可以看出v/usr/local/squid/var/logs/access.
log总结与建议v通过这次的项目实验不仅加强了我的自主排错能力,也使得自己在对代理服务器这一方面有了更多的了解也有了更深刻的体会,对squid代理服务器也有了更多的兴趣.
这次的项目实验基本上全面介绍了搭建和实现代理服务器的各种功能,了解其特点、适用、和配置,给出了很多的规划方案、应用实例和配置策略.
v代理服务在企业实际应用中非常广泛,多用在缓存加速和访问控制上,我们一定要搞清楚传统代理、透明代理和反向代理的区别和特点,还有客户机在这几种代理中的v