Squid提供了强大的代理控制机制,通过结合设置ACL(Access Control List,访问控制列表)并进行限制,可以针对源地址、目标地址、访问的URL路径、访问时间等各种条件进行过滤。
在配置文件squid.conf中,ACL访问控制通过以下两个步骤实现:其一,使用acl配置项定义需要控制的条件;其二,通过http_access配置项对已定义的列表做“allow”或者“deny”访问控制。本文还是基于上篇博客的透明代理环境下完成。
每一行acl配置可以定义一条访问控制列表,格式如下:
acl 列表名称 列表类型 列表内容
“列表名称“可以自行指定,用来识别控制条件,见名知意;“列表类型”必须使用Squid预定义的值,对应不同类别的控制条件;“列表内容” 是要控制的具体对象,不同类型的列表所对应的内容也不一样,也可以有很多值(以空格分隔,都为“或”的关系)。下面是常用的访问控制列表类型:
src 源IP地址、网段、IP地址范围
dst 目标IP地址、网段、主机名
port 目标端口
dstdomain 目标域,匹配域内所有的站点
time 使用代理服务的时间段,使用英文缩写星期一到星期日为MTWHFAS
maxconn 每个客户机的并发连接数
url_regex 目标资源的URL地址,-i表示忽略大小写
urlpath_regex 目标资源的整个URL路径,-i表示忽略大小写
在执行访问控制的时候,Squid将按照各条规则由上而下依次访问,如果找到相匹配的规则就不在往后搜索。因此,规则的顺序安排非常重要。以下两种默认情况需要我们注意:
1、没有设置任何规则的时候,Squid服务将拒绝客户端请求
2、有规则但是找不到匹配项,Squid将才有与最后一条相反的权限,即如果最后一条规则是allow,就拒绝客户端请求,否则就允许该请求。
可以看到本来是可以访问到的,下面在配置文件中设置对192.168.100.130地址进行控制。修改完后,重启服务。
重新使用客户机再访问web服务器发现已经访问不了。
我们将上面基于src来源地址的语句注释掉,重新写对于访问时间的控制,今天是星期二,那我这里为了体现实验效果,就控制客户机星期二不能访问Web服务器。配置如下,重启服务。还有很多中控制方式,这里就不一一赘述了,可以自行尝试。
Sarg全名是Squid Analysis Report Generator,这是一款Squid日志分析工具,采用HTML格式,详细列出每一位用户访问Internet的站点信息,时间占用信息,排名,连接次数和访问量。Sarg部署如下:
GD库主要是负责图像处理的,在网站上GD库通常用来生成缩略图,或者用来对图片加水印,或者用来生成汉字验证码,或者对网站数据生成报表等。这里我要先将Squid代理服务器上一块网卡换成NAT在线用yum安装GD库(不容易啊!)这是我换完NAT模式的网卡信息。
[root@promote ~]# yum install -y gd gd-devel
额,提示已经安装过了,好吧,应该是上回已经做过了。继续把网卡配置换回来。
首先到网上找到Sarg的安装包,这里我提供一个网址,大家直接去下载就行了。
https://sourceforge.net/projects/sarg/
[root@promote ~]# mkdir /usr/local/sarg #为sarg创建安装目录
[root@promote ~]# tar zxvf sarg-2.3.11.tar.gz -C /opt/ #将sarg解压到指定目录
[root@promote ~]# cd /opt/sarg-2.3.11/ #到sarg目录中进行编译安装
[root@promote sarg-2.3.11]# ./configure --prefix=/usr/local/sarg \ #这里指定安装目录
> --sysconfdir=/etc/sarg \ #指定配置文件目录
> --enable-extraprotection #开启额外保护功能
配置完后,进行编译和安装
[root@promote sarg-2.3.11]# make && make install
到sarg配置文件中,一项一项的进行修改。
[root@promote /]# vim /etc/sarg/sarg.conf #开始修改配置文件
access_log /usr/local/squid/var/logs/access.log #指定访问日志文件
title "Squid User Access Reports" #网页标题
output_dir /var/www/html/squid-reports #报告输出目录
user_ip no #使用用户名显示
exclude_hosts /usr/local/sarg/noreport #不计入排序的站点列表文件
topuser_sort_field connect reverse #top排序中有连接次数、访问字节、降序排列升序是normal
user_sort_field connect reverse #用户访问记录 连接次数、访问字节按降序排序
overwrite_report no #同名日志是否覆盖
mail_utility mailq.postfix #发送邮件报告命令
charset UTF-8 #使用字符集
weekdays 0-6 #top排行的星期周期
hours 0-23 #top排行的时间周期
www_document_root /var/www/html #网页根目录
[root@promote /]# touch /usr/local/sarg/noreport
#创建上述不计入站点文件,添加的域名将不被显示在排序中
[root@promote /]# ln -s /usr/local/sarg/bin/sarg /usr/local/bin/
#建立软链接,方便使用命令
[root@promote /]# systemctl start httpd.service
#因为我们要在网页里访问日志,需要我们开启httpd服务
直接执行sarg即可启动依次记录,会看到下面提示信息。然后我们去网页中访问,管理页面。我们也能周期性计划任务执行每天生成报告。
[root@promote /]# sarg -l /usr/local/squid/var/logs/access.log -o /var/www/html/squid-reports/ -z -d $(date -d "1 day ago" +%d/%m/%Y)-$(date +%d/%m/%Y)
#这个就是生成昨天到今天的日志报告
许多大型门户网站架构都采用反向代理加速,使用比较多的就是Nginx和squid。如下图所示,通过squid反向代理可以加速网站访问速度,可将不同的URL请求发送不同的Web服务器上,同时互联网只能看到反向代理服务器的地址,加强了网站的安全。
到这里肯定有很多同学和我一样困惑,什么叫反向代理,什么叫正向代理?这里我用两句话来概括下,多读几遍,大家就自然而然明白了。
这里我需要把试验环境调整以下,将代理服务器还是配置成单网卡的普通代理。
修改配置文件加入下面几行代码,很重要的就是一定要关防火墙!!由于之前做透明代理 ,防火墙还有策略在里面,导致访问不了:
[root@localhost run]# vim /etc/squid.conf
acl web1 dstdomain www.yun.com
acl web2 dstdomain www.yun.com
#定义两个个基于域名的控制列表,分别命名为web1,web2
http_access allow web1 web2
#允许以web1,web2为目标域名的访问
http_port 192.168.100.100:80 accel vhost vport
#将端口监听在 192.168.100.100的80端口上,accel 指启用加速模式,vhost,vport用于转发请求
cache_peer 192.168.100.130 parent 80 0 no-query originserver round-robin weight=1 name=web1
#cache_peer 指定后端服务器地址,80 为后端服务端口,0 为 ICP 端口号(多个 Squid 时用),originserver 指定资源服务器,round-robin指使用轮询方式,weight指的是权重,自由分配,name 指定一个别名
cache_peer 192.168.100.140 parent 80 0 no-query originserver round-robin weight=1 name=web2
#和上面的一样
实验结果成功,访问www.yun.com,真实服务器会使用轮询的方式,分别轮流访问两台web服务器。
Squid 4.1之前做做反向代理主要用下面几行代码:
http_port 192.168.100.100:80 accel vhost vport
cache_peer 192.168.100.130 parent 80 0 no-query originserver round-robin weight=1 name=web1
cache_peer 192.168.100.140 parent 80 0 no-query originserver round-robin weight=1 name=web2
cache_peer_domain web1 web2 www.yun.com
[root@localhost run]# squid -k parse #检查配置文件语法
2018/07/24 22:40:38| ERROR: Directive 'cache_peer_domain' is obsolete.
#cache_peer_domain指令已经废弃
2018/07/24 22:40:38| cache_peer_domain : Replace with dstdomain ACLs and cache_peer_access.
#cache_peer_domain可以用ACL域名控制和cache_peer_access代替
所以这里一定要注意,版本更换对于我们搭建服务影响还是挺大的,一定要与时俱进!!
转载于:https://blog.51cto.com/10693404/2149697