感谢支持
我们一直在努力

Linux基本知识点总结——Squid

代理服务是一种特殊的服务,允许客户端通过它与另一个网络服务进行非直接的连接,也称网络代理。提供代理服务的计算机或其他类型的网络节点称为代理服务器,代理服务器中实现网络代理的软件称为代理软件。Linux中用到的代理软件是squid。

本实验平台为CentOS 6.2,环境为:

Squid服务器暨Apache服务器

主机名:itpro    IP地址:192.168.56.53

客户端测试机

主机名:station    IP地址:192.168.56.123

准备工作:

Httpd方面,

[root@itpro ~]# yum install httpd

[root@itpro ~]# chkconfig httpd on

[root@itpro ~]# service httpd start

同时,在/var/www/html/下创建一个index.html文件,内容随意,用于测试网页访问。

Squid方面,

[root@itpro ~]# yum install squid

[root@itpro ~]# chkconfig squid on

[root@itpro ~]# service squid start

[root@itpro ~]# ls /var/spool/squid/

(注:此时的缓存目录为空目录)

一、缓存设置

Squid主配文件/etc/squid/squid.conf中,有一行是用于指定缓存目录设置的,如下

cache_dir ufs /var/spool/squid 100 16 256

默认情况下被注释掉了,要将其前面的“#”删除,才能生效。

其中ufs表示缓存数据的存储格式;

/var/spool/squid 指缓存目录;

100 : 缓存目录占磁盘空间大小(M);

16 :缓存空间一级子目录个数;

256 :缓存空间二级子目录个数。

修改配置文件,将cache_dir ufs /var/spool/squid 100 16 256前面的#去掉,再重启服务,可以看到/var/spool/squid/下多了16个目录,每个目录里又有256个子目录。

[root@itpro ~]# service squid restart

init_cache_dir /var/spool/squid… Starting squid: ……  [  OK  ]

[root@itpro ~]# ls /var/spool/squid/

00  01  02  03  04  05  06  07  08  09  0A  0B  0C  0D  0E  0F  swap.state

 

在客户端station,打开firefox浏览器,将其代理服务设置为192.168.53.56:3128,

然后访问http://192.168.53.56,能看到先前在服务器上创建的index.html的内容,

表明客户机station通过squid服务器itpro成功访问httpd服务器(也是itpro)。

刷新页面两次。

 

在服务器上查看squid访问日志,内容如下:

[root@itpro ~]# tail /var/log/squid/access.log

1368574347.237    23 192.168.56.123 TCP_MEM_HIT/200 427 GET http://192.168.56.53/ – NONE/- text/html

1368574350.174    23 192.168.56.123 TCP_IMS_HIT/304 291 GET http://192.168.56.53/ – NONE/- text/html

1368574354.157    23 192.168.56.123 TCP_IMS_HIT/304 291 GET http://192.168.56.53/ – NONE/- text/html

 

其中第一条记录的状态码为200,表示这是squid服务器第一次访问http服务器,由http服务器提供请求的页面。

第二、三条记录的状态码为304,表示网页内容未修改过,http服务器只返回响应,不返回页面内容,亦即客户端浏览器上看到的是squid里的缓存。

二、访问控制

A、设置1

1.修改记主配文件

[root@itpro ~]# vim/etc/squid/squid.conf

 

……省略部分内容……

acl rhca src  192.168.56.123/32  #定义来源主机的acl

#acl rhca dst 192.168.56.53/32

……省略部分内容……

#

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

#

http_access deny rhca  #注,这条记录要在http_access allow localnet记录的上面,否则不生效,或者把http_access allow localnet记录注释掉

http_access allow localnet #注,允许本地网络访问,即同一网段的主机都可以访问

http_access allow localhost

# And finally deny all other access to this proxy

http_access deny all # squid.conf中,最后一条规则永远是http_access deny all

……省略部分内容……

2.修改完成后重启服务

[root@itpro ~]# service squid reload

2013/05/15 09:16:09| WARNING cache_mem is larger than total disk cache space!

3.在客户端使用浏览器访问网站主页

4.在服务器上查看squid访问日志报错

[root@itpro ~]# tail /var/log/squid/access.log

…………

1368580343.071      0 192.168.56.123 TCP_DENIED/403 3841 GET http://192.168.56.53/ – NONE/- text/html

1368580343.096      0 192.168.56.123 TCP_DENIED/403 3919 GET http://www.squid-cache.org/Artwork/SN.png – NONE/- text/html

1368580345.106      0 192.168.56.123 TCP_DENIED/403 3841 GET http://192.168.56.53/ – NONE/- text/html

1368580345.127      0 192.168.56.123 TCP_DENIED/403 3919 GET http://www.squid-cache.org/Artwork/SN.png – NONE/- text/html

B、设置2

1.修改主配文件

[root@itpro ~]# vim/etc/squid/squid.conf

……省略部分内容……

#acl rhca src  192.168.56.123/32

acl rhca dst 192.168.56.53/32 #定义目的主机的acl

……省略部分内容……

#

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

#

http_access deny rhca

http_access allow localnet

http_access allow localhost

# And finally deny all other access to this proxy

http_access deny all

……省略部分内容……

2.修改完成后重启服务

[root@itpro ~]# service squid reload

2013/05/15 09:16:09| WARNING cache_mem is larger than total disk cache space!

3.在客户端使用浏览器访问网站主页

4.在服务器上查看squid访问日志报错

[root@itpro ~]# tail /var/log/squid/access.log

……省略部分内容……

1368580731.245      0 192.168.56.123 TCP_MISS/503 4231 GET http://www.squid-cache.org/Artwork/SN.png – DIRECT/www.squid-cache.org text/html

1368580731.870      0 192.168.56.123 TCP_DENIED/403 3841 GET http://192.168.56.53/ – NONE/- text/html

1368580731.877      0 192.168.56.123 TCP_MISS/503 4231 GET http://www.squid-cache.org/Artwork/SN.png – DIRECT/www.squid-cache.org text/html

以上两种情况,客户端浏览器上显示的结果都是“Access Denied”页面,不过,squid服务器的访问日志,收到的httpd服务器返回的状态码是不一样的。404表示的是请求出错,即客户端出错;504表示服务器在处理请求时发生错误,即服务器端的错。

C、其他设置

以下是摘抄的资料,只有第一点实验验证了。

1. 假如不想让用户访问某个网站应该怎么做呢?可以分为两种情况:一种是不允许用户访问某个站点的某个主机,比如新浪linuxidc的www主机,即www.linuxidc.com,而其它的新浪资源却是允许访问的,那么ACL可以这样写:

  acl  linuxidc-www dstdomain linuxidcpage4.linuxidc.com

  ……

  http_access deny linuxidcpage

  ……

由此可以看到,除了www,其它如 news.linuxidc.com、bbs.linuxidc.com.cn都可以正常访问。

另一种情况是整个网站都不许访问,只需要写出这个网站共有的域名即可,配置如下:

  acl linuxidc dstdomain .linuxidc.com

  ……

  http_access deny linuxidc

  ……

注意,linuxidc前面的“.”,正是它指出以此域名结尾的所有主机都不可访问,否则就只有tencent.com.cn这一台主机不能访问。

2. 通过IP地址来识别用户不可靠,比IP地址更好的是网卡的MAC物理地址。要在Squid中使用MAC地址识别,必须在编译时加上 “–enable-arp-acl”选项,然后可以通过以下的语句来识别用户:

  acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b …

它直接使用用户的MAC地址,而MAC地址一般是不易修改的,即使有普通用户将自己的IP地址改为高级用户也无法通过,所以这种方式比IP地址可靠得多。

3.还有一种比较广泛的控制是文件类型。如果不希望普通用户通过代理服务器下载MP3、AVI等文件,完全可以对他们进行限制,代码如下:

  acl mmxfile urlpath_regex \.mp3$ \.avi$ \.exe$

  http_access deny mmxfile

看到regex,很多读者应该心领神会,因为这条语句使用了标准的规则表达式(又叫正则表达式)。它将匹配所有以.mp3、.avi等结尾的URL请求,还可以用-i参数忽略大小写,例如以下代码:

  acl mmxfile urlpath_regex -i \.mp3$

这样,无论是.mp3还是.MP3都会被拒绝。当然,-i参数适用于任何可能需要区分大小写的地方,如前面的域名控制。

4.如果想让普通用户只在上班时间可以上网,而且是每周的工作日,用 Squid应当如何处理呢?看看下面的ACL定义:

  acl worktime time MTWHF 8:30-12:00 14:00-18:00

  http_access deny !worktime

首先定义允许上网的时间是每周工作日(星期一至星期五)的上午和下午的固定时段,然后用http_access 定义所有不在这个时间段内的请求都是不允许的。

5.或者为了保证高级用户的带宽,希望每个用户的并发连接不能太多,以免影响他人,也可以通过Squid控制,代码如下:

  acl conncount maxconn 3

  http_access deny conncount normal

  http_access allow normal

这样,普通用户在某个固定时刻只能同时发起三个连接,从第四个开始,连接将被拒绝。

总之,Squid的ACL配置非常灵活、强大,更多的控制方式可以参考squid.conf.default。

另,反向代理比较难,未研究实验。

赞(0) 打赏
转载请注明出处:服务器评测 » Linux基本知识点总结——Squid
分享到: 更多 (0)

听说打赏我的人,都进福布斯排行榜啦!

支付宝扫一扫打赏

微信扫一扫打赏