Squid在企业中的应用
? ???Squid在企業(yè)中的應(yīng)用
???Squid是一個(gè)很好的代理軟件,與NAT是不同的技術(shù),具有很強(qiáng)的控制力度,是應(yīng)用層的,能基于應(yīng)用層參數(shù)【協(xié)議】、網(wǎng)絡(luò)層參數(shù)【地址】、傳輸層參數(shù)【協(xié)議?端口號等】進(jìn)行控制,唯一的缺點(diǎn)是支持的應(yīng)用少。而NAT支持的應(yīng)用比較多。如ipsec、AH等。
Windows上的代理有:wingate?sygate?winroute?proxy等等
Linux上的代理有:squid?等。
代理服務(wù)器的原理、作用及緩存加速機(jī)制這里就不提了,不懂的可以百度一下,代理一般走的端口號是8080或者是3128,squid的就是3128,下面是具體配置
CDN?內(nèi)容分發(fā)網(wǎng)絡(luò)
1、Squid的安裝與簡單配置
?????????????????????????(圖一)
以上是我的局域網(wǎng)拓?fù)鋱D?要求pc1通過squid代理服務(wù)器訪問到外網(wǎng)
(1)、首先配置eth0和eth1網(wǎng)卡及dns指向確保squid代理服務(wù)器能與外網(wǎng)通信
(2)、?安裝squid服務(wù)器
???yum?-y?install?squid??yum?安裝
???Rpm?-ivh???squid-2.6.STABLE21-3.el5.i386.rpm??rpm安裝
配置目錄?/etc/squid/
默認(rèn)訪問日志文件?/lvar/log/squid/access.log
監(jiān)聽端口?http_port?3128
cache_mem?64M??用多少內(nèi)存來進(jìn)行緩存默認(rèn)為64M
maxinum_object_size?4086KB?最大緩存對象4M
reply_body_max_size?10240000?allow?all?最大訪問的對象10M
visible_hostname??proxy.test.com?這個(gè)地方一定要配置一下,可以任意寫一些內(nèi)容,不配置squid服務(wù)器啟動(dòng)不起來,主要是在客戶端訪問出錯(cuò)時(shí)要顯示的字符
cache_dir?ufs?/var/spool/squid?100?16?256?
Ufs??是緩存數(shù)據(jù)的存儲格式
/var/spool/squid/??存放緩存存放的磁盤目錄?(在第一次啟動(dòng)squid是初始化)
100?為緩存目錄分配的磁盤空間(默認(rèn)100M)?
16?緩存空間的一級子目錄?(16個(gè))
256?緩存空間的二級子目錄?(265個(gè))
由于squid.conf配置文件很大,有4千多行,可以先用如下命令看一下沒用注釋的行,即要配置的內(nèi)容。
grep?-v?"^#"?squid.conf?|grep?-v?"^$"?
acl?all?src?0.0.0.0/0.0.0.0????????????用acl定義某些元素名稱,即策略元素?
acl?manager?proto?cache_object
acl?localhost?src?127.0.0.1/255.255.255.255
acl?to_localhost?dst?127.0.0.0/8
acl?SSL_ports?port?443
acl?Safe_ports?port?80?#?http
acl?Safe_ports?port?21?#?ftp
acl?Safe_ports?port?443?#?https
acl?Safe_ports?port?70?#?gopher
acl?Safe_ports?port?210?#?wais
acl?Safe_ports?port?1025-65535?#?unregistered?ports
acl?Safe_ports?port?280?#?http-mgmt
acl?Safe_ports?port?488?#?gss-http
acl?Safe_ports?port?591?#?filemaker
acl?Safe_ports?port?777?#?multiling?http
acl?CONNECT?method?CONNECT
http_access?allow?manager?localhost???用http_access來定義策略
http_access?deny?manager
http_access?deny?!Safe_ports
http_access?deny?CONNECT?!SSL_ports
http_access?allow?localhost
http_access?deny?all??默認(rèn)拒絕全部
icp_access?allow?all???
http_port?3128????監(jiān)聽的端口,為了安全期間3128前面最好加一個(gè)地址,即eth1的地址,這樣只允許內(nèi)網(wǎng)的用戶使用squid服務(wù)器。
hierarchy_stoplist?cgi-bin??
access_log?/var/log/squid/access.log?squid
acl?QUERY?urlpath_regex?cgi-bin?\?
cache?deny?QUERY
refresh_pattern?^ftp:?1440?20%?10080
refresh_pattern?^gopher:?1440?0%?1440
refresh_pattern?.?0?20%?4320
acl?apache?rep_header?Server?^Apache
broken_vary_encoding?allow?apache
coredump_dir?/var/spool/squid
(3)、編輯squid.conf配置文件(/et/c/squid/squid.conf)
?添加如下二行
visible_hostname?192.168.2.100
http_port?192.168.2.100:3128
(4)、啟動(dòng)squid服務(wù)器
重啟之前先檢查一下語法?squid?-k?parse
上面提到的16X256個(gè)目錄在/var/spool/squid/下已建立??
Squid已經(jīng)啟動(dòng)了
(5)、在pc1上使用代理測試一下
在pc1上設(shè)置代理為,依次單擊IE瀏覽器上的"工具">"Internet選項(xiàng)">"連接">選擇"局域網(wǎng)設(shè)置"》如圖:
訪問一下百度看看
?
用上面的出錯(cuò)信息可以看到,別拒絕了,因?yàn)槟J(rèn)是拒絕所有的http_access?deny?all?,所以為了我們測試在squid.conf配置文件http_access?deny?all?前面再加上一句?http_access?allow?all????重啟squid服務(wù)
(6)、再次測試并查看squid日志
打開了百度網(wǎng)頁?,好了可以上網(wǎng)了
其中日志中帶有的?TCP_HIT?表示緩存命中,可以提高訪問速度,對應(yīng)TCP_MISS表示緩存丟失
下面是實(shí)例
2、Squid實(shí)現(xiàn)正向代理
拓?fù)鋱D同圖一
1、禁止ip為192.168.2.2的內(nèi)網(wǎng)訪問外網(wǎng)
在squid中寫入下策略(在上述的基礎(chǔ)上)
重啟squid服務(wù)并測試和查看日志
2、禁止ip在192.168.2.2---2.10的內(nèi)網(wǎng)訪問外網(wǎng)
重啟squid服務(wù)并測試和查看日志如下:(時(shí)刻要觀察日志)
3、只允許192.168.2.10的內(nèi)網(wǎng)訪問192.168.1.1進(jìn)行路由管理
4、綜合,禁止在上班時(shí)間08:00--18:00內(nèi)訪問網(wǎng)址中帶有"qq"的網(wǎng)址,禁止訪問域名是.sina.com.cn的所有站點(diǎn),禁止瀏覽網(wǎng)站中的.jpg圖片
?好了,1、2、3、4后都有http_access?allow?all?這一項(xiàng),測試我就不截圖了,是沒問題的。
3、squid的透明代理
本實(shí)驗(yàn)的內(nèi)網(wǎng)網(wǎng)段為192.168.2.0/24?代理服務(wù)器的eth0網(wǎng)卡的ip地址為192.168.2.20?用于模擬連接內(nèi)網(wǎng)???eht1的網(wǎng)卡ip地址為192.168.3.1用于模擬連接外網(wǎng),內(nèi)網(wǎng)用戶不需要配置使用代理的設(shè)置,就可以通過squid代理訪問外網(wǎng),即透明代理,,
內(nèi)網(wǎng)的測試機(jī)的ip地址為192.168.2.10,外網(wǎng)web服務(wù)器及DNS服務(wù)器的ip地址都為192.168.3.100?
按照以上拓?fù)鋱D,要求pc1通外網(wǎng)的DNS解析訪問外網(wǎng)的web頁面
試驗(yàn)配置如下:
(1)首先你必須先確保能啟動(dòng)squid,如何啟動(dòng)請看上面的配置
(2)打開數(shù)據(jù)包轉(zhuǎn)發(fā)功能
vim?/etc/sysctl.conf?
net.ipv4.ip_forward?=?1??1為開啟?0?為關(guān)閉
sysctl?-p??加載系統(tǒng)
(3)實(shí)現(xiàn)DNS解析通過
如果是靜態(tài)IP用下條命令
iptables?-t?nat?-A?POSTROUTING?-s?192.168.2.0/24?-p?udp?--dport?53?-j?SNAT?--to?192.168.3.1
如果是動(dòng)態(tài)的IP用下面的命令
iptables?-t?nat?-R?POSTROUTING?1?-s?192.168.2.0/24?-p?udp?--dport?53?-j?MASQUERADE
??(4)設(shè)置端口重定向
iptables?-t?nat?-A?PREROUTING?-p?tcp?--dport?80?-j?REDIRECT?--to-port?3128
??(5)編輯squid.conf
?http_port?192.168.2.20:3128?transparent???
?http_access?allow?all?
5、測試結(jié)果及squid日志
?
4、squid之反向代理
上述拓?fù)鋱D,某公司內(nèi)網(wǎng)用一臺web服務(wù)器,要求internet的用戶通過訪問本公司的合法ip即192.168.3.100的80端口即可訪問內(nèi)網(wǎng)的web服務(wù)器。
我們用squid緩存服務(wù)器的反向代理來實(shí)現(xiàn)
配置如下:
(1)首先你必須先確保能啟動(dòng)squid,如何啟動(dòng)請看上面的配置
(2)修改squid.conf配置文件?如下:
http_port?192.168.3.100:80?vhost?
cache_peer??192.168.2.10?????????parent?????80????0????originserver
http_access?allow?all?
上面的一句話的意思是指明web服務(wù)器的地址,在squid沒用查到用戶請求的數(shù)據(jù)后,會(huì)向自己的父級即內(nèi)網(wǎng)web服務(wù)器,去幫客戶去查詢。。
?(3)重啟squid?,在pc上訪問192.168.3.100測試
可以了,不懂的可以留言
本文轉(zhuǎn)自 abc16810 51CTO博客,原文鏈接:http://blog.51cto.com/abc16810/1052097
總結(jié)
以上是生活随笔為你收集整理的Squid在企业中的应用的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 用CORS 解决vue.js djang
- 下一篇: pg 10 wal 归档同步配置