代理缓存服务-squid
一 Squid简介
三 代理缓存服务搭建
(内网192.168.10网段不能上网,外网192.168.1网段可以上网)
代理缓存服务器:接收到用户请求后,自动下载指定资源并存储到本地服务器,以后用户请求相同资源时,直接把存储在本地服务器的资源直接传给用户。
Squid服务程序支持HTTP、FTP、SSL等多种协议的数据缓存,支持ACL权限列表和ARL访问权限列表功能的内容过滤和权限管理功能。
Squid可以部署代理缓存服务,有效提高访问静态资源效率(用户),降低原服务器负载(服务器)。禁止用户访问存在威胁或不适宜网站资源,保证内网安全,整体提高客户机访问速度。
Squid作用分为正向代理和反向代理。
正向代理:标准代理模式与透明代理模式(用于企业局域网)
将网站数据缓存在服务器本地,提供数据资源在此被访问的效率,节省网络带宽资源,限制访问页面。
标准正向代理模式:用户必须在上网时指定代理服务器的IP地址与端口。
透明正向代理模式:用户不需要指定代理服务器,代理服务对用户透明。
反向代理:(用于大型网站结构中
)
降低对网站服务器的负载,用于回复用户对静态网站的请求,降低原始服务器的访问。
二 Squid的相关文件简介
(yum install squid 安装squid服务)
/user/bin/squid 主服务程序
/etc/squid/ 配置文件目录
/etc/squid/squid.conf 主配置文件
/var/log/squid/access.log 访问日志文件
/var/log/squid/cache.log 缓存日志文件
/etc/squid/squid.conf 主配置文件参数
| 参数(部分参默认隐藏,需自行添加) | 作用 |
| http_port 3128 | 监听端口 |
| cache_mem 64M | 内存缓存区大小 |
| cache_dir ufs /var/spool/squid 2000 16 256 | 硬盘缓存大小(2000M) |
| cache_effective_user squid | 设置缓存有效用户 |
| cache_effective_group squid | 设置缓存有效用户组 |
| dns_nameservers IP 地址 | 服务器默认DNS地址(一般不设) |
| cache_access_log /var/log/squid/access.log | 访问日至保存路径 |
| cache_log /var/log/squid/cache.log | 缓存日志文件保存路径 |
| visible_log msun.com | 设置Squid服务主机名称 |
1.正向代理
| 主机 | IP |
| 代理缓存服务器(linux) | 外网:192.168.1.168(桥接模式) 内网:192.168.10.66(主机模式) |
| 客户端(windose) | 192.168.10.88 |
1.标准正向代理
1.windose客户端
配置IP192.168.10.88,现在windose不能正常上网(电脑连接着网段为192.168.1能上网的路由器)
进入浏览器(搜狐),进入网络选项中选择代理如下
2.linux代理服务器
1.网络配置
2.防火墙设置
firewall-cmd --add-port=3128/tcp --perment
firewall-cmd --reload
3.重启并设置自启(默认squid配置文件可以直接用)
systemctl restart squid 重启
systemctl enable squid 自启
(OK!现在客户端就可以正常上网)。
2.透明正向代理
1.windose客户端
IP配置
(浏览器记得还原)
2.linux代理服务器
1.配置squid
vim /etc/squid/squid.conf(添加 transparent) (squid -k parse 判断配置文件正确性)
http_port 3128 transparent
systemctl restart squid 重启squid
2.防火墙配置(80端口要开启)
firewall-cmd --permanent --add-masquerade 允许伪装
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.0/24 masquerade'
firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toport=3128:toaddr=192.168.1.168 端口转发,使用squid服务
firewall-cmd --reload
(经测试,windose访问出现问题,可ping通192.168.10.66无法ping通192.168.1.168 后令开启一台虚拟机,环境设置同windose,访问成功 。。 (建议直接用俩个台linux虚拟机测试))
3.反向代理(取消正向代理的转发策略,并记得关闭http服务)
1.vim /etc/squid/squid.conf
(106.184.1.125 为要访问网站 )
2.客户端
用户要访问106.184.1.125 直接访问192.168.10.66就行。
4.ACl访问限制
定义语法:
acl aclname acltype string
acl aclname acltype "file"
具体定义:
来源地址
acl aclname src ip-address/netmask
acl aclname src addr1-addr2/netmask
目标地址
acl aclname dst ip-address/netmask
访问端口指定
acl aclname port 80 1024
acl aclname port 80-1024
访问网站关键字限制
acl aclname url_regex [-i] patter
定义代理服务协议
acl aclname proto HTTP FTP
指定请求方法
acl aclname method DET POST
acl匹配规则自上而下
eg1:(限制squid访问ip仅为192.168.1.188)
acl client src 192.168.1.188
http_access allow client
http_access deny all
eg2:(禁止访问带"linux"关键词网站)
acl deny_keyword url_regex -i linux
http_access deny deny_keyword
eg3:(禁止访问百度)
acl deny_url url_regex http://www.baidu.com
http_access deny deny_url
eg4:(禁止代理服务器下载mp3与rarh后缀文件)
acl deny_file urlpath_regex -i \.mp3$ \.rar$
http_access deny deny_file