代理服务是一种特殊的服务,允许客户端通过它与另一个网络服务进行非直接的连接,也称网络代理。提供代理服务的计算机或其他类型的网络节点称为代理服务器,代理服务器中实现网络代理的软件称为代理软件。Linux中用到的代理软件是squid。
本实验平台为CentOS 6.2,环境为:
Squid服务器暨Apache服务器
主机名:itpro IP地址:192.168.56.53
客户端测试机
主机名:station IP地址:192.168.56.123
准备工作:
Httpd方面,
[root@itpro ~]# yum install httpd
[root@itpro ~]# chkconfig httpd on
[root@itpro ~]# service httpd start
同时,在/var/www/html/下创建一个index.html文件,内容随意,用于测试网页访问。
Squid方面,
[root@itpro ~]# yum install squid
[root@itpro ~]# chkconfig squid on
[root@itpro ~]# service squid start
[root@itpro ~]# ls /var/spool/squid/
(注:此时的缓存目录为空目录)
一、缓存设置
Squid主配文件/etc/squid/squid.conf中,有一行是用于指定缓存目录设置的,如下
cache_dir ufs /var/spool/squid 100 16 256
默认情况下被注释掉了,要将其前面的“#”删除,才能生效。
其中ufs表示缓存数据的存储格式;
/var/spool/squid 指缓存目录;
100 : 缓存目录占磁盘空间大小(M);
16 :缓存空间一级子目录个数;
256 :缓存空间二级子目录个数。
修改配置文件,将cache_dir ufs /var/spool/squid 100 16 256前面的#去掉,再重启服务,可以看到/var/spool/squid/下多了16个目录,每个目录里又有256个子目录。
[root@itpro ~]# service squid restart
init_cache_dir /var/spool/squid… Starting squid: …… [ OK ]
[root@itpro ~]# ls /var/spool/squid/
00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F swap.state
在客户端station,打开firefox浏览器,将其代理服务设置为192.168.53.56:3128,
然后访问http://192.168.53.56,能看到先前在服务器上创建的index.html的内容,
表明客户机station通过squid服务器itpro成功访问httpd服务器(也是itpro)。
刷新页面两次。
在服务器上查看squid访问日志,内容如下:
[root@itpro ~]# tail /var/log/squid/access.log
1368574347.237 23 192.168.56.123 TCP_MEM_HIT/200 427 GET http://192.168.56.53/ – NONE/- text/html
1368574350.174 23 192.168.56.123 TCP_IMS_HIT/304 291 GET http://192.168.56.53/ – NONE/- text/html
1368574354.157 23 192.168.56.123 TCP_IMS_HIT/304 291 GET http://192.168.56.53/ – NONE/- text/html
其中第一条记录的状态码为200,表示这是squid服务器第一次访问http服务器,由http服务器提供请求的页面。
第二、三条记录的状态码为304,表示网页内容未修改过,http服务器只返回响应,不返回页面内容,亦即客户端浏览器上看到的是squid里的缓存。
二、访问控制
A、设置1
1.修改记主配文件
[root@itpro ~]# vim/etc/squid/squid.conf
……省略部分内容……
acl rhca src 192.168.56.123/32 #定义来源主机的acl
#acl rhca dst 192.168.56.53/32
……省略部分内容……
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
http_access deny rhca #注,这条记录要在http_access allow localnet记录的上面,否则不生效,或者把http_access allow localnet记录注释掉
http_access allow localnet #注,允许本地网络访问,即同一网段的主机都可以访问
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all # squid.conf中,最后一条规则永远是http_access deny all
……省略部分内容……
2.修改完成后重启服务
[root@itpro ~]# service squid reload
2013/05/15 09:16:09| WARNING cache_mem is larger than total disk cache space!
3.在客户端使用浏览器访问网站主页
4.在服务器上查看squid访问日志报错
[root@itpro ~]# tail /var/log/squid/access.log
…………
1368580343.071 0 192.168.56.123 TCP_DENIED/403 3841 GET http://192.168.56.53/ – NONE/- text/html
1368580343.096 0 192.168.56.123 TCP_DENIED/403 3919 GET http://www.squid-cache.org/Artwork/SN.png – NONE/- text/html
1368580345.106 0 192.168.56.123 TCP_DENIED/403 3841 GET http://192.168.56.53/ – NONE/- text/html
1368580345.127 0 192.168.56.123 TCP_DENIED/403 3919 GET http://www.squid-cache.org/Artwork/SN.png – NONE/- text/html
B、设置2
1.修改主配文件
[root@itpro ~]# vim/etc/squid/squid.conf
……省略部分内容……
#acl rhca src 192.168.56.123/32
acl rhca dst 192.168.56.53/32 #定义目的主机的acl
……省略部分内容……
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
http_access deny rhca
http_access allow localnet
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all
……省略部分内容……
2.修改完成后重启服务
[root@itpro ~]# service squid reload
2013/05/15 09:16:09| WARNING cache_mem is larger than total disk cache space!
3.在客户端使用浏览器访问网站主页
4.在服务器上查看squid访问日志报错
[root@itpro ~]# tail /var/log/squid/access.log
……省略部分内容……
1368580731.245 0 192.168.56.123 TCP_MISS/503 4231 GET http://www.squid-cache.org/Artwork/SN.png – DIRECT/www.squid-cache.org text/html
1368580731.870 0 192.168.56.123 TCP_DENIED/403 3841 GET http://192.168.56.53/ – NONE/- text/html
1368580731.877 0 192.168.56.123 TCP_MISS/503 4231 GET http://www.squid-cache.org/Artwork/SN.png – DIRECT/www.squid-cache.org text/html
以上两种情况,客户端浏览器上显示的结果都是“Access Denied”页面,不过,squid服务器的访问日志,收到的httpd服务器返回的状态码是不一样的。404表示的是请求出错,即客户端出错;504表示服务器在处理请求时发生错误,即服务器端的错。
C、其他设置
以下是摘抄的资料,只有第一点实验验证了。
1. 假如不想让用户访问某个网站应该怎么做呢?可以分为两种情况:一种是不允许用户访问某个站点的某个主机,比如新浪linuxidc的www主机,即www.linuxidc.com,而其它的新浪资源却是允许访问的,那么ACL可以这样写:
acl linuxidc-www dstdomain linuxidcpage4.linuxidc.com
……
http_access deny linuxidcpage
……
由此可以看到,除了www,其它如 news.linuxidc.com、bbs.linuxidc.com.cn都可以正常访问。
另一种情况是整个网站都不许访问,只需要写出这个网站共有的域名即可,配置如下:
acl linuxidc dstdomain .linuxidc.com
……
http_access deny linuxidc
……
注意,linuxidc前面的“.”,正是它指出以此域名结尾的所有主机都不可访问,否则就只有tencent.com.cn这一台主机不能访问。
2. 通过IP地址来识别用户不可靠,比IP地址更好的是网卡的MAC物理地址。要在Squid中使用MAC地址识别,必须在编译时加上 “–enable-arp-acl”选项,然后可以通过以下的语句来识别用户:
acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b …
它直接使用用户的MAC地址,而MAC地址一般是不易修改的,即使有普通用户将自己的IP地址改为高级用户也无法通过,所以这种方式比IP地址可靠得多。
3.还有一种比较广泛的控制是文件类型。如果不希望普通用户通过代理服务器下载MP3、AVI等文件,完全可以对他们进行限制,代码如下:
acl mmxfile urlpath_regex \.mp3$ \.avi$ \.exe$
http_access deny mmxfile
看到regex,很多读者应该心领神会,因为这条语句使用了标准的规则表达式(又叫正则表达式)。它将匹配所有以.mp3、.avi等结尾的URL请求,还可以用-i参数忽略大小写,例如以下代码:
acl mmxfile urlpath_regex -i \.mp3$
这样,无论是.mp3还是.MP3都会被拒绝。当然,-i参数适用于任何可能需要区分大小写的地方,如前面的域名控制。
4.如果想让普通用户只在上班时间可以上网,而且是每周的工作日,用 Squid应当如何处理呢?看看下面的ACL定义:
acl worktime time MTWHF 8:30-12:00 14:00-18:00
http_access deny !worktime
首先定义允许上网的时间是每周工作日(星期一至星期五)的上午和下午的固定时段,然后用http_access 定义所有不在这个时间段内的请求都是不允许的。
5.或者为了保证高级用户的带宽,希望每个用户的并发连接不能太多,以免影响他人,也可以通过Squid控制,代码如下:
acl conncount maxconn 3
http_access deny conncount normal
http_access allow normal
这样,普通用户在某个固定时刻只能同时发起三个连接,从第四个开始,连接将被拒绝。
总之,Squid的ACL配置非常灵活、强大,更多的控制方式可以参考squid.conf.default。
另,反向代理比较难,未研究实验。