Squid 理解
因工作中需要用到squid,为此开始学习squid。这只能说明一点,学习是被逼出来的。费话不多说,开始了!Squid的代理模式有:
1.代理服务器
理解:web直接将80请求发给代理服务器3128端口)
2.透明代理
理解:web的80请求被防火墙直接重定向到3128,因此透时代理对用户而言是不可见的。
3.反向代理
一、代理服务器 这是SQUID的最基本功能;通过在squid.conf文件里添加一系列访问及控制规则,用户在客户端设置服务器地址和端口,即可通过SQUID访问INTERNET,在下面的规则里,squid实现局域网用户代理和高速缓存功能。
http_port 3128 #监听内外网端口
cache_dir ufs /var/squid
#定义内容缓存的目录
cache_mem 32MB
#定义内存缓冲的大小
cache_swap_low 90
cache_swap_high 95
cache_dir /var/squid 1000 16 32
dns_nameservers 202.96.128.86
#设置硬盘缓冲的大小
cache_access_log /var/log/squid/access.log
#设置访问日志
cache_log /var/log/squid/cache.log
#设置缓存日志
acl all src 0.0.0.0/0.0.0.0
#允许所有人可以上网
acl head src 192.168.0.2/255.255.255.255 192.168.0.3/255.255.255.255
#定义可上网的网段
acl denysite dstdomain tw net
#定义阻止的网站
acl denyip dst 202.96.134.133/255.255.255.255
#定义阻止的目标IP
acl dnsport port 53
#定义DNS传输端口
http_access allow head
http_access deny denysite
#执行定义的阻止访问站点
http_access deny denyip
#执行定义的阻止的目标IP
http_access deny dnsport
执行阻止的DNS请求
visible_hostname 192.168.0.1
#配置代理服务器的主机名
cache_mgr ×××@redhat.com
#配置管理员的邮址
客户端在IE设置里填写代理服务器IP地址及端口,即刻实现高速上网。
二、透明代理
所谓透明代理,是相对于代理服务器而言,客户端不需要做任何和代理服务器相关的设置和操作,对用户而言,更本感觉不到代理服务器的存在,所以称之为透明代理
▲用户A发送一个访问请求到防火墙,由防火墙将该用户的访问请求转发到SQUID,SQUID在先检查自身缓存中有无该用户请求的访问内容,如果没有,则请求远端目的服务器,获取该用户的访问内容,在返回给用户的同时,在自身缓存保留一份记录以备下次调用;当用户B发送一个和用户A相同的访问请求时,由防火墙将转发该用户请求到SQUID,SQUID检查自身缓存发现有同样内容后,直接将该内容返回给用户。
▲注:在实际使用中,通常将SQUID和防火墙放在同一台机器上,为了更清楚的象浏览者描述其工作流程,在以下的流程图中将防火墙和SQUID分开显示。
http://myhat.blog.运维网.com/attachment/201004/1/391263_1270087239n1a7.png
要实现透明代理,需要在代理服务器的配置文件基础上加一些东西。
http_port 3128 #监听内外网端口
cache_dir ufs /var/squid
#定义内容缓存的目录
cache_mem 32MB
#定义内存缓冲的大小
cache_swap_low 90
cache_swap_high 95
cache_dir /var/squid 1000 16 32
dns_nameservers 202.96.128.86
#设置硬盘缓冲的大小
cache_access_log /var/log/squid/access.log
#设置访问日志
cache_log /var/log/squid/cache.log
#设置缓存日志
acl all src 0.0.0.0/0.0.0.0
#允许所有人可以上网
acl head src 192.168.0.2/255.255.255.255 192.168.0.3/255.255.255.255
#定义可上网的网段
acl denysite dstdomain tw net
#定义阻止的网站
acl denyip dst 202.96.134.133/255.255.255.255
#定义阻止的目标IP
acl dnsport port 53
#定义DNS传输端口
http_access allow head
http_access deny denysite
#执行定义的阻止访问站点
http_access deny denyip
#执行定义的阻止的目标IP
http_access deny dnsport
执行阻止的DNS请求
visible_hostname 192.168.0.1
#配置代理服务器的主机名
cache_mgr ×××@redhat.com
#配置管理员的邮址
++++++++++++++++以下为实现透明代理不可缺少的主句
httpd_accel_host virtual
#虚拟主机模式
httpd_accel_with_proxy on
#此项设置为ON后,Squid即是WEB请求的加速器,又是缓存代理服务器。
httpd_accel_users_host_header on
#此项设置ON后,在透时代理模式下,代理服务器的缓存功能才能正常工作。
+++++++++++
开启Linux 路由功能:
方法1:ech0 "1">/proc/sys/net/ipv4/ip_forward
#打开Linux中的包转发功能
方法2:#改变此文件(sysctl.conf)让包转发功能在系统启动以后自动生效;
vi /etc/sysctl.conf
#找到下面语句:
# Controls IP packet forwarding
net.ipv4.ip_forward = 0
#把0改为1,改后如下:
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
++++++++++++
开启iptables的NAT及端口重定向
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
#打开iptables的NAT功能(eth1是连接外网或者连接Internet的网卡);
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
#端口重定向(eth0是内网的网卡);
service iptables save
#保存iptables的规则;
service iptables restart
#重启iptables
++++++++++++++++++++
互联网的访问控制:
acl 2 src 192.168.0.2
http_access allow 2
#允许192.168.0.2这个ip地址的请求全部通过代理服务器;
acl qq url_regex -i qq.com
http_access deny qq
acl tencent url_regex -i tencent.com
http_access deny tencent
#禁止用户上qq
acl jzxz urlpath_regex -i \.exe$ \.rar$ \.zip$ \.mp3$ \.mp4$ \.rm$ \.wma$ \.rmvb$ \.avi$
http_access deny jzxz
#禁止用户下载以'.exe、.rar、mp3、mp4、.rm'等结尾的文件(注意空格啊!没有空格便失效)
acl all src 192.168.0.1/255.255.255.0
http_access allow all
#设置访问控制列表,让代理服务器接受来自192.168.0这个网段的请求。
博文若有问题,请大家拍砖!
2010-4-1 深圳地王
页:
[1]