squid代理服务器
定义:
代理服务器,简单的说就是代替客户向源站获取数据,缓存一份,然后再返还给客户(这里不包括反向代理)。
优点:
1.突破自身IP访问限制,访问国外站点。教育网、过去的169网等网络用户可以通过代理访问国外网站。
2.访问一些单位或团体内部资源,如某大学FTP(前提是该代理地址在该资源 的允许访问范围之内),使用教育网内地址段免费代理服务器,就可以用于对教育网开放的各类FTP下载上传,以及各类资料查询共享等服务。
3.突破中国电信的IP封锁:中国电信用户有很多网站是被限制访问的,这种限制是人为的,不同Serve对地址的封锁是不同的。所以不能访问时可以换一个国外的代理服务器试试。
4.提高访问速度:通常代理服务器都设置一个较大的硬盘缓冲区,当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息时, 则直接由缓冲区中取出信息,传给用户,以提高访问速度。
5.隐藏真实IP:上网者也可以通过这种方法隐藏自己的IP,免受攻击。
原理图:
代理服务器的类型:
1.正向代理:一个标准的代理缓冲服务被用于缓存静态的网页(例如:html文件和图片文件等)到本地网络上的一台主机上(即代理服务器)。当被缓存的页面被第二次访问的时候,浏览器将直接从本地代理服务器那里获取请求数据而不再向原web站点请求数据。这样就节省了宝贵的网络带宽,而且提高了访问速度。但是,要想实现这种方式,必须在每一个内部主机的浏览器上明确指明代理服务器的IP地址和端口号。客户端上网时,每次都把请求送给代理服务器处理,代理服务器根据请求确定是否连接到远程web服务器获取数据。如果在本地缓冲区有目标文件,则直接将文件传给用户即可。如果没有的话则先取回文件,先在本地保存一份缓冲,然后将文件发给客户端浏览器。
2.透明代理:透明代理缓冲服务和标准代理服务器的功能完全相同。但是,代理操作对客户端的浏览器是透明的(即不需指明代理服务器的IP和端口)。透明代理服务器阻断网络通信,并且过滤出访问外部的HTTP(80端口)流量。如果客户端的请求在本地有缓冲则将缓冲的数据直接发给用户,如果在本地没有缓冲则向远程web服务器发出请求,其余操作和标准的代理服务器完全相同。对于Linux操作系统来说,透明代理使用Iptables或者Ipchains实现。因为不需要对浏览器作任何设置,所以,透明代理对于ISP(Internet服务器提供商)特别有用。
3.反向代理:反向代理是和前两种代理完全不同的一种代理服务。使用它可以降低原始WEB服务器的负载。反向代理服务器承担了对原始WEB服务器的静态页面的请求,防止原始服务器过载。它位于本地WEB服务器和Internet之间,处理所有对WEB服务器的请求,组织了WEB服务器和Internet的直接通信。如果互联网用户请求的页面在代理服务器上有缓冲的话,代理服务器直接将缓冲内容发送给用户。如果没有缓冲则先向WEB服务器发出请求,取回数据,本地缓存后再发送给用户。这种方式通过降低了向WEB服务器的请求数从而降低了WEB服务器的负载。
三种类型代理服务器的配置方法:
1.正向代理:服务器只需要安装并启动squid服务,客户浏览器设置代理ip和端口,客户端不需要配置dns,需要配置默认路由。
2.透明代理:
a) 客户机配置好DNS服务器地址,网关以及去网关的路由即可。
dns 8.8.8.8
route add default gw 10.1.1.2
b) 网关能够连接外网,解析域名。配置防火墙策略,将源地址为10.1.1.0/24转化为网关eth1的地址,将所有目标地址转化为squid代理eth1的地址。
route add default gw 192.168.1.1
iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -j SNAT --to-source 192.168.1.67
iptables -t nat -A PREROUTING -i eth0 -d 0.0.0.0/0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.61
c) 安装squid,在配置文件/etc/squid/squid.conf指定端口的语句后面加transparent 支持透明代理,启动squid。配置防火墙,将所有目标端口为80的重定向到3128端口。
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
3.反向代理:
下面截取一张反向代理的配置图
squid.conf配置文件:
#定义服务器地址和端口(做Proxy时最好用lan的ip来设定绑定端口,transparent表示支持透明代理)
http_port 192.168.1.253:3128 transparent
#定义服务器的名字
visible_hostname squid-proxy-server
#定义管理员邮件地址(在访问发生错误时,visible_hostname和cache_mgr这两个选项的值显示在错误提示页面内的相关位置)
cache_mgr [email protected]
#定义缓存内存空间
cache_mem 32 MB
cache_swap_low 90
cache_swap_high 95
#定义缓冲最大值的内容
maximum_object_size 4096 KB
#定义缓存目录
cache_dir ufs /var/spool/squid 100 16 256
#定义不缓冲的内容
hierarchy_stoplist cgi-bin ?
hierarchy_stoplist -i ^https:\\ ?
acl QUERY urlpath_regex -i cgi-bin \? \.asp \.php \.jsp \.cgi
acl denyssl urlpath_regex -i ^https:\\
no_cache deny QUERY
no_cache deny denyssl
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
#日志
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
#cache_store_log /usr/local/squid/var/logs/store.log
cache_store_log none
#缓冲存取用户和组
cache_effective_user squid squid
#定义ACL
#sexurl.txt列出要过滤网站地址的关键字,每个关键字占一行,如www.sina.com(取sina)即可
#maclist.txt列出允许上网的主机的MAC地址,每个地址占一行,如00:50:56:C0:00:08
acl all src all #定义所有的地址
acl allow_lan src 192.168.1.0/24 #允许局域网lan访问的acl
acl sexurl url_regex "/tmp/forbidurl.txt" #定义过滤url
#acl allowedmac arp "/etc/squid/maclist.txt"
#定义访问策略
http_access deny virurl #拒绝文件内的url
http_access allow allow_lan #允许局域网ip访问
http_access deny all #拒绝其它未定义的规则
#http_access allow allowedmac