测试web过滤的功能

Server：
IP 192.168.88.39 ，DNSSERVER 218.106.182.69

操作系统 rh9 内核 2.4.20-8

测试时，运行其自带的apache web server

访问控制其实只是squid的功能之一，别的用不上的功能可以在编译的时候屏蔽掉。在本次测试中屏蔽了其缓存功能。 在squid中，用access control list(acl)来管理规则，主要包括ACL elements 和Access List。   其中ACL element 包括src, dst, myip, srcdomain, dstdoman, method等等，参照附件1，是squid规定的acl类别（acltype），主要用来设置aclname，设置格式如下： acl aclname acltype string1 ... acl aclname acltype "file" 其中aclname是该list的名称，可由用户自由定义，acltype也就是ACL element 定义string 为用户的设置，也可以通过file从外部调用。Squid不允许一个aclname对应不同的acltype。   Access List是squid规定的规则列表，如http_access等等，参照附件1，设置规则时，每个access list后面跟一个关键字allow或者是deny，然后再是一串 aclname。如果一条规则中含有多个aclname，那么它们之间是逻辑与的关系，也就是说，只有当该规则中的所有aclname都匹配的时候，该规则才匹配。可以用以下描述来表示同一条规则中各个acl之间的关系以及每条规则之间的关系。 acl all src 0.0.0.0/0.0.0.0 http_access deny all

1、  下载squid http://www.squid-cache.org/Versions/v2/2.5/, configure(指定安装路径和其他参数), make, make install   2、  安装成功后，在安装目录下应该有以下目录：bin, etc, libexec, man, sbin, share, var 其中sbin下有squid执行程序，share 路径下是文挡等辅助资料，var目录下是运行日志，etc下是配置文件，以下所有的测试用例都是通过修改etc下的squid.conf中的相关规则来实现的。     3、  基本的规则设置：（squid.conf） #defaults     acl all src 0.0.0.0/0.0.0.0 http_access deny all 以上的两条规则保证，当请求未能匹配任何一条用户定义的规则时，http access deny all 规则将被应用，于是该http请求被拒绝。     4、  以root登陆，运行./squid –z 在本测试中，由于未用到其缓存功能，在配置中将： cache_dir null /tmp， 且编译时带参数 --enable-storeio=ufs,null   5、web过滤测试   测试用例a： 规则描述： 1)允许http和FTP协议 2)允许对80端口和21端口的连接 3）允许192.168.88.0/24网段的IP 4）屏蔽192.168.89.0/24网段的IP 则在squid.conf文件中添加规则如下，然后重新启动squid. #acl manager proto HTTP FTP  acl allowedIP src 192.168.88.0.24 acl safeports port 80 21 443  acl connect method CONNECT  http_access deny !safeports   http_access allow allowedIP   此时将客户端IP设置为192.168.88.30 在IE中输入http://192.168.88.31，能正常弹出apache默认页面。FTP能正常连接。 若将客户端IP改为192.168.89.30，则http和FTP请求都失败。 结论： http_access allow allowedIP和http_access deny all 规则生效 可以利用squid对客户端IP地址（段）进行过滤。   测试用例b： 将测试用例a中 acl safeports port 80 21 443 规则改为 acl safeports port 80  443  此时将可户端IP设置为192.168.88.30，http请求成功，ftp请求失败 结论：可以利用squid进行端口访问控制。   测试用例c: 在squid.conf中加入以下规则： acl badip dst "/usr/local/squid/etc/somebadip"  http_access deny badip    则文件/usr/local/squid/etc/somebadip中列出的目标地址被屏蔽。 NOTE： 在此例中，文件中保存的是一些站点的IP地址，如果要用域名代替，则应用dstdomain代替规则中的dst。 结论： 可以用squid进行目标地址过滤

以上只是简单地测试了squid的源地址过滤，目标地址过滤，端口过滤等功能。 在实际的应用中，可以实现更加复杂的功能，比如在将测试用例a中增加 acl allowedusers proxy_auth REQUIRED http_access allow allowedusers 即变88网段的IP可以直接通过，而其余的用户则需要认证才能通过。   结论：通过不同的逻辑组合，以及access list不同的顺序对其进行灵活的设置，可以利用squid满足web过滤的需求。

1、  squid在启动时会检查DNS，所以要保证DNS的设置是正确的。 2、  第一次运行squid前，要先运行squid –z ，用来创建缓存，即使象本例中将其路径设成NULL，也要保证cache路径存在。（squid在运行后将chdir到该路径，好象当coredump_dir被打开的话，cachedir路径可以不存在。未尝试。） 3、  若不能启动squid，通常是因为权限不对（特别是以非root用户运行时），请重点检查 …/squid/var/logs …/squid/var/cache等路径的权限。查看syslog，cache.log。 4、  要保证规则设置的书写和逻辑都是合法的。 5、  前台运行：squid -NCd1