squid代理ACL的配置
所谓ACL(Access Control List)就是在服务器端设定特定的上网策略,哪些用户能上网,能访问什么网站,能下载什么文件等等对用户的上网行为进行约束和管理,这个企业一般都会进行ACL上网控制,对员工的上网行为进行控制,从而提高工作效率。这里要说的就是基于redhat代理服务程序squid的ACL控制。
Squid 服务程序的 ACL 是由多个策略规则组成的,它可以根据指定的策略规则来允许或限制访问请求,而且策略规则的匹配顺序与防火墙策略规则一样都是由上至下;在一旦形成匹配之后,则立即执行相应操作并结束匹配过程。
准备一台Windows用来测试,一台redhat用来配置规则。
下面进行访问控制的配置
1.允许指定ip上网:比如我指定192.168.10.1到192.168.10.50这个ip段的人可以上网,其他ip的都不能上网。
vim /etc/squid/squid.conf进入配置文件后用 set nu 显示行号,方便寻找,在25行和30行后分别加入如下语句,注意:一定要将acl和http_access分开
acl allow_user src 192.168.10.1-192.168.10.50
http_access allow allow_user
http_access deny all
意思就是通过acl 命名一个为allow_user的变量,这个变量的地址范围为1-50,然后允许allow_user这段ip进行http访问,拒绝其他链接的访问。
保存退出后重启服务:systemctl restart squid
然后回到Windows机测试:用ip为192.168.10.51测试,效果如下:
2.对关键字屏蔽,比如不能登录baidu.com/qq.comgoogle.com等网站
vim /etc/squid/squid.conf,在上个实验的配置后面继续添加规则,将新的规则加在哪里尤为重要,关乎到ACL访问能否起到作用
acl deny_word url_regex -i baidu qq google
http_access deny deny_word记得是空格隔开关键字,过滤网站的话将 -i 参数去掉后面加上网址就行,但是关键字比较高效,所以建议直接过过滤关键字。
这里的配置信息是浏览一行执行一行,当系统浏览完acl列表时就会开始执行http_access,哪些是允许访问,哪些是拒绝。关键字过滤在我们的思维角度中是:让能上网的用户禁止访问含有关键字的网站。
对服务器来说是:先过滤掉含有关键字的网站,再允许用户上网。而不是让用户先上网,再对关键字进行过滤。allow的优先级高,所以要先让deny语句执行,再执行allow,也就是先进行关键字的过滤,再允许上网。这样我们的ACL设定才能起到作用,如果你将32和33行颠倒一下,那么关键字过滤并不会起到作用。所以allow和deny的顺序尤为重要。
重启服务后进行测试如下:baidu,qq,google这些都上不了
3.禁止下载某些类型的文件
vim /etc/squid/squid.conf
acl deny_file urlpath_regex -i \.rar$ \.exe$ \.zip$
http_access deny deny_file
注意deny的顺序,考虑优先级,原理和第2个一样。
然后重启服务测试:zip文件无法下载
以上的所有操作都是基于RedHat7.6,环境是局域网环境,希望能帮到大家。
一步一步来,多加思考,杜绝细小的错误,是成功的关键