如何搭建squid反向代理?如何配置ACL访问控制与sarg日志?

文章目录

  • 前言
  • 一:环境
      • 1.1:环境
      • 1.2:实验目的
  • 二:ACL访问控制
      • 2.1:概述
      • 2.2:典型的访问规则配置
  • 三:sarg日志
      • 3.1:在squid服务器上部署sarg
      • 3.2:修改sarg配置文件
      • 3.3:使用client客户端访问sarg日志
  • 四:squid反向代理
      • 4.1:添加一台web服务器,并设置主页内容
      • 4.2:squid服务器设置
      • 4.3:client客户端设置域名解析和squid代理并测试

前言

一:环境

1.1:环境

  • 继承上一个试验的环境:squid传统代理和透明代理
  • https://blog.csdn.net/CN_TangZheng/article/details/104226442
  • VMware软件
  • 一台centos7虚拟机作为squid服务器,添加一个网卡,IP地址为:192.168.79.133和192.168.10.1(仅主机模式)
  • 一台centos7虚拟机作为web服务器,IP地址为:192.168.79.134
  • 一台win10虚拟机作为client测试机,IP地址为:192.168.10.10(仅主机模式)

1.2:实验目的

  • 通过ACL访问控制实现对主机允许和拒绝访问
  • 通过sarg部署,每天生成日志文件,方便访问
  • 实现squid的反向代理

二:ACL访问控制

2.1:概述

  • ACL(Access Control List,访问控制列表),可以针对源地址、目标地址、访问的URL路径、访问的时间等各种条件进行过滤

  • ACL访问控制的步骤

    • 使用acl配置项定义需要控制的条件
    • 通过http_access配置项对已定义的列表做允许或拒绝的访问控制
  • ACL一些解释

    src          源地址
    dst              目标地址
    port            目标地址
    dstdomain       目标域
    time            访问时间
    maxconn       最大并发连接
    url_regex   目标URL地址 
    urlpath_regex  整个目标URL路径 
    

2.2:典型的访问规则配置

  • 设置ACL访问规则

  • [root@squid ~]# vim /etc/squid.conf	'//编辑squid配置文件'
    # should be allowed
    acl hostlocal src 192.168.10.10/32  '//监控client客户端的主机(192.168.10.10/32)取名为hostlocal'
    # Deny requests to certain unsafe ports
    http_access deny hostlocal  '//调用hostlocal,设置拒绝访问'
    [root@squid ~]# service squid restart
    
  • client客户端尝试访问web端,client客户端先清除浏览器数据

  • 如何搭建squid反向代理?如何配置ACL访问控制与sarg日志?_第1张图片

  • ACL策略设置成功,已拒绝192.168.10.10主机访问

  • 因为我们接下来还需要使用client客户端做测试,所以删除刚刚设置的ACL规则,并重启squid服务

三:sarg日志

3.1:在squid服务器上部署sarg

  • [root@squid ~]# cd /mnt/company/
    [root@squid company]# tar zxvf sarg-2.3.7.tar.gz -C /opt	'//解压源码包'
    [root@squid company]# cd /opt/sarg-2.3.7/
    [root@squid sarg-2.3.7]# yum install gd gd-devel -y	'//安装gd库,gcc gcc-c++之前装过了'
    [root@squid sarg-2.3.7]# mkdir /usr/local/sarg	'//创建sarg目录'
    [root@squid sarg-2.3.7]# ./configure --prefix=/usr/local/sarg \		'//指定sarg目录'
    > --sysconfdir=/etc/sarg \	'//配置文件'
    > --enable-extraprotection	'//开启安全防护'
    [root@squid sarg-2.3.7]# make && make install
    

3.2:修改sarg配置文件

  • [root@squid sarg-2.3.7]# vim /etc/sarg/sarg.conf 
        '//配置文件中所有的都被注释了,我们需要取消注释一下内容'
    access_log /usr/local/squid/var/logs/access.log  '//指定访问日志文件'
    title "Squid User Access Reports"  '//网页标题'
    output_dir /var/www/html/squid-reports  '//报告输出目录'
    user_ip no  '//使用用户名显示'
    exclude_hosts /usr/local/sarg/noreport  '//不计入排序的站点列表文件'
    topuser_sort_field connect reverse  
    '//top排序中有连接次数,访问字节,降序排列,升序是normal'
    overwrite_report no  '//同名日志是否覆盖'
    mail_utility mailq.postfix  '//发送邮件报告命令'
    charset UTF-8  '//使用字符集'
    weekdays 0-6  '//top排行的时间周期'
    hours 0-23  '//top排行的时间周期'
    www_document_root /var/www/html  '//网页根目录'
    [root@squid sarg-2.3.7]# touch /usr/local/sarg/noreport	'//添加不计入站点文件,添加的域名将不被显示'
    [root@squid sarg-2.3.7]# ln -s /usr/local/sarg/bin/sarg /usr/local/bin/	'//创建sarg命令的软连接'
    [root@squid sarg-2.3.7]# sarg	'//生成报告'
    SARG: 纪录在文件: 123, reading: 100.00%
    SARG: 成功的生成报告在 /var/www/html/squid-reports/2020Feb08-2020Feb08	'//提示报告生成在这个目录,我们进入这个目录查看一下'
    [root@squid sarg-2.3.7]# cd /var/www/html/squid-reports/	'//进入目录'
    [root@squid squid-reports]# ls
    2020Feb08-2020Feb08  images  index.html
    [root@squid squid-reports]# yum install httpd -y	'//安装httpd'
    [root@squid squid-reports]# systemctl start httpd	'//开启httpd'
    [root@squid squid-reports]# systemctl stop firewalld.service 	'//关闭防火墙'
    [root@squid squid-reports]# setenforce 0
    
    

3.3:使用client客户端访问sarg日志

  • 查看192.168.79.133/squid-reports或者192.168.10.1/squid-reports

  • 如何搭建squid反向代理?如何配置ACL访问控制与sarg日志?_第2张图片

  • 执行周期性计划任务,每天生成报告

    [root@squid squid-reports]# sarg -l /usr/local/squid/var/logs/access.log -o /var/www/html/squid-reports/ -z -d $(date -d "1 day ago" +%d/%m/%Y)-$(date +%d/%m/%Y)
    
    
  • 再次查看sarg

  • 如何搭建squid反向代理?如何配置ACL访问控制与sarg日志?_第3张图片

四:squid反向代理

4.1:添加一台web服务器,并设置主页内容

  • 添加一台web2服务器,IP地址为192.168.79.135

  • '//原本的web服务器修改一下主页内容用来和新添加的web2服务器区分'
    [root@web ~]# cd /var/www/html
    [root@web html]# vim index.html	'//修改首页内容'
    

    this is erbao web!

    '//web2服务器设置' [root@web2 ~]# yum install httpd -y '//安装httpd服务' [root@web2 ~]# vim /var/www/html/index.html '//修改首页内容'

    this is sanbao web!

    [root@web2 ~]# systemctl stop firewalld.service '//关闭防火墙' [root@web2 ~]# setenforce 0 [root@web2 ~]# systemctl start httpd '//开启httpd服务' [root@web2 ~]# route add -net 192.168.10.0/24 gw 192.168.79.133 '//添加一条静态路由,下一条指向squid服务器(因为squid服务器上有两个网卡)'
  • web和web2访问测试

  • 如何搭建squid反向代理?如何配置ACL访问控制与sarg日志?_第4张图片

  • 如何搭建squid反向代理?如何配置ACL访问控制与sarg日志?_第5张图片

4.2:squid服务器设置

  • 关闭httpd服务并设置防火墙规则

  • [root@squid squid-reports]# systemctl stop httpd	'//关闭httpd服务,因为会占用80端口,后面设置代理需要用到80端口'
    [root@squid squid-reports]# systemctl start firewalld.service 
    [root@squid squid-reports]# iptables -F
    [root@squid squid-reports]# iptables -t nat -F
    [root@squid squid-reports]# iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
    
    
  • 设置反向代理

  • [root@squid squid-reports]# vim /etc/squid.conf
    http_port 192.168.79.133:80 accel vhost vport	'//监控本机80端口'
    cache_peer 192.168.79.134 parent 80 0 no-query originserver round-robin max_conn=30 weight=1 name=web1	'//节点服务器1最大访问30,权重1,别名web1'
    cache_peer 192.168.79.135 parent 80 0 no-query originserver round-robin max_conn=30 weight=1 name=web2	'//节点服务器2最大访问30,权重1,别名web2'
    cache_peer_domain web1 web2 www.yun.com  '//访问www.yun.com匹配web1,web2节点'
    [root@squid squid-reports]# service squid restart	'//重启服务'
    正在关闭 squid...
    正在启动 squid...
    [root@squid squid-reports]# netstat -ntap |grep 80	'//查看80端口是否被squid使用'
    tcp        0      0 192.168.79.133:80       0.0.0.0:*               LISTEN      5197/(squid-1)  
    

4.3:client客户端设置域名解析和squid代理并测试

  • 设置域名解析(以administrator用户登录)

  • C盘-Windows-system32-drivers-etc-hosts

  • 如何搭建squid反向代理?如何配置ACL访问控制与sarg日志?_第6张图片

  • 设置浏览器代理:因为使用的是谷歌浏览器,以谷歌浏览器为例

  • 如何搭建squid反向代理?如何配置ACL访问控制与sarg日志?_第7张图片

  • 如何搭建squid反向代理?如何配置ACL访问控制与sarg日志?_第8张图片

  • client客户端访问www.yun.com查看是否代理成功

  • 如何搭建squid反向代理?如何配置ACL访问控制与sarg日志?_第9张图片

  • 如何搭建squid反向代理?如何配置ACL访问控制与sarg日志?_第10张图片

  • 反向代理成功,实验结束

你可能感兴趣的:(企业平台架构)