沃爾康國(guó)際認(rèn)證中心Linux服務(wù)器配置與管理代理服務(wù)器的配置與管理2025/4/190:232第八章代理服務(wù)器的配置與管理2025/4/190:233目標(biāo)配置squid為局域網(wǎng)用戶代理上網(wǎng)使用PHProxy搭建WEB在線代理平臺(tái)對(duì)于代理服務(wù)器，廣大的用戶一定不會(huì)陌生。因?yàn)槲覀兘?jīng)常都會(huì)使用代理。比如想在youtube上面看視頻，想訪問fackbook等都需要代理服務(wù)器。因?yàn)檫@些網(wǎng)站我們不能直接訪問。上面的例子說明最終用戶買產(chǎn)品是從經(jīng)銷商處夠買，而經(jīng)銷商從廠家進(jìn)貨，經(jīng)銷商在這里充當(dāng)一個(gè)代理。為什么用戶不直接從產(chǎn)品買呢？到不了產(chǎn)品廠商路程太遠(yuǎn)...2025/4/190:2341.1、代理服務(wù)介紹1.1、代理服務(wù)介紹2025/4/190:235/5代理服務(wù)器和上面的例子幾乎一樣，下面是一些代列服務(wù)器的作用共享網(wǎng)絡(luò)：使用一個(gè)共網(wǎng)IP就可以滿足局域網(wǎng)絡(luò)用戶上網(wǎng)的需求訪問代理：翻墻。另外，直接讀取服務(wù)器上已有的信息，還可以大大加快訪問速度、節(jié)約網(wǎng)絡(luò)帶寬防止攻擊：一般的外部掃描、刺探等在到達(dá)代理服務(wù)器就停止了。這就很好的保護(hù)內(nèi)網(wǎng)用戶的真實(shí)信息。...1.1、代理服務(wù)介紹代理服務(wù)器工作原理2025/4/190:236/61.1、代理服務(wù)介紹啟動(dòng)代理服務(wù)器，此時(shí)代理服務(wù)器的主進(jìn)程將監(jiān)聽某個(gè)綁定的端口并初始化緩存客戶端A向代理服務(wù)器發(fā)關(guān)訪問請(qǐng)求代理服務(wù)器在收到請(qǐng)求后創(chuàng)建一個(gè)子進(jìn)程以應(yīng)對(duì)該請(qǐng)求代理服務(wù)器與客戶端A建立連接，然后解析客戶端發(fā)出的請(qǐng)求并按照預(yù)設(shè)的訪問規(guī)則難證該請(qǐng)求子進(jìn)程開始查詢緩存，根據(jù)查詢結(jié)果進(jìn)行不同的處理目標(biāo)Web服務(wù)器內(nèi)代理服務(wù)器子進(jìn)程發(fā)來的請(qǐng)求，同時(shí)代理服務(wù)器子進(jìn)程依據(jù)具體的緩存更新算法更新代理服務(wù)器緩存代理服務(wù)器子進(jìn)程將目標(biāo)Web服務(wù)器回應(yīng)轉(zhuǎn)送給客戶端A2025/4/190:237/71.1、代理服務(wù)介紹代理服務(wù)器分為三類正向代理：接收局域網(wǎng)中用戶的請(qǐng)求，接收互聯(lián)網(wǎng)上的數(shù)據(jù)反向代理：和正向代理相反透明代理：用戶不需要設(shè)置代理2025/4/190:238/81.1、代理服務(wù)介紹2025/4/190:239/9常用的代理服務(wù)器軟件有以下幾種：squidsygatewingateccproxy本次課主要講解在Linux使用squid來搭建代理服務(wù)器squid是一款優(yōu)秀的代理服務(wù)器軟件，被廣泛應(yīng)用于Linux和UNIX系統(tǒng)1.1、代理服務(wù)介紹2025/4/190:2310/101.1、代理服務(wù)介紹安裝squid軟件包配置/etc/squid/squid.conf文件啟動(dòng)并初始化緩存目錄2025/4/190:2311/11squid安裝配置步驟1.2、squid安裝使用YUM安裝以下軟件包[root@localhost~]#yum-yinstallsquid2025/4/190:2312/121.3、squid配置squid的服務(wù)名稱為squid。主要文件/etc/squid/squid.conf\\主要配置文件監(jiān)聽端口和IP地址設(shè)置http_port3128或http_port54:3128代理服務(wù)器的一個(gè)很重要的功能是緩沖和儲(chǔ)存數(shù)據(jù)。在Squid服務(wù)器中，主要使用cache_mem、cache_dir、cache_swap_low和cache_swap_high這4個(gè)參數(shù)來設(shè)置緩沖容量的大小。cache_mem用于設(shè)定額外提供多少內(nèi)存容量供squid使用。cache_dir用于設(shè)置緩存文件的存儲(chǔ)方式和在硬盤中的存儲(chǔ)位置2025/4/190:2313/131.3、squid配置cache_dirschemedirectorysizeL1L2[options]scheme：用于設(shè)置squid的存儲(chǔ)機(jī)制，默認(rèn)為ufsdirectory：緩存文件存放的位置size：指定cache目錄的大小L1和L2對(duì)于ufs、aufs和diskd機(jī)制。options：squid提供了兩個(gè)不同存儲(chǔ)機(jī)制的cache_dir選項(xiàng)，分別是read-only標(biāo)簽和max-sizeread-only選項(xiàng)用于指示squid繼續(xù)從cache_dir中讀取文件，但不往里面寫新目標(biāo)max-size值用于指定存儲(chǔ)在cache的最大目標(biāo)的容量大小cache_swap_low和cache_swap_highcache_swap_low和cache_swap_high指令控制了對(duì)象占用最大cache體積的百分比。cache_swap_low是一個(gè)下限值，當(dāng)在這個(gè)值以下時(shí)，squid不會(huì)刪除cache目標(biāo)。如果cache體積增加，squid會(huì)逐漸刪除目標(biāo)。在穩(wěn)定情況下，你會(huì)發(fā)現(xiàn)磁盤使用總是相對(duì)接近c(diǎn)ache_swap_low值。cache_swap_high在現(xiàn)在的版本中沒有多大用處2025/4/190:2314/141.3、squid配置訪問控制在默認(rèn)情況下，squid會(huì)拒絕所有客戶的請(qǐng)求。在使用之前需要在squid.conf文件里加入附加的訪問控制規(guī)則，也就是定義一個(gè)針對(duì)客戶端IP地址的訪問控制列表和一系列訪問規(guī)則，告訴服務(wù)器自哪些IP地址的HTTP請(qǐng)求。ACL參數(shù)宣言的語法格式如下：acl列表名稱列表類型列表值1列表值2如定義一個(gè)叫LAN和ACL，匹配源地址為/24這個(gè)網(wǎng)段aclLANsrc/24定義了ACL之后還需要放到相應(yīng)的訪問規(guī)則才會(huì)生效通常我們會(huì)使用http_access來設(shè)置，格式如下：http_accessallow|deny列表名稱1列表名稱22025/4/190:2315/151.4、squid配置實(shí)例在這臺(tái)主機(jī)上安裝squid。并配置只監(jiān)聽54這個(gè)IP上的3128和8080兩個(gè)端口。周一到周五上午9點(diǎn)到下午18點(diǎn)，不允許機(jī)器訪問以net結(jié)尾的域名，不能下載.mp3結(jié)尾的文件。并只允許通過代理服務(wù)器的3128端口訪問外網(wǎng)。只能訪問http服務(wù)，訪問的路徑中不能有h關(guān)鍵字。并只允許通過代理服務(wù)器的8080端口訪問外網(wǎng)。2025/4/190:2316/161.4、squid配置實(shí)例http_port20:8080cache_mem128MBcache_dirufs/var/spool/squid100016256cache_swap_low90cache_swap_high95aclclient1-ipsrc33aclclient1-myportmyport3128aclclient1-domaindstdom_regex-inet$aclclient1-downloadurl_regex-i\.mp3$aclclient1-timetimeD09:00-18:00aclallsrc/2025/4/190:2317/171.4、squid配置實(shí)例http_accessdenyclient1-domainclient1-timeclient1-iphttp_accessdenyclient1-ipclient1-downloadhttp_accessallowclient1-ipclient1-myportaclclient2-ipsrc34aclclient2-myportmyport8080aclclient2-protocolprotoHTTPaclclient2-URLPATHurlpath_regex-ihhttp_accessdenyclient2-URLPATHclient2-iphttp_accessdeny!client2-protocolclient2-iphttp_accessallowclient2-ipclient2-myport2025/4/190:2318/181.4、squid配置實(shí)例dns_nameservers7cache_mgrhuyangyang50201@163.comaccess_log/var/log/squid/access.logcache_effective_usersquidcache_effective_groupsquid[root@localhost~]#/usr/sbin/squid-z[root@localhost~]#servicesquidstart[root@localhost~]#chkconfigsquidon配置修改后可以使用以下命令重新加載配置[root@localhost~]#servicesquidreload2025/4/190:2319/191.4、squid配置實(shí)例2025/4/190:2320/201.4、squid配置實(shí)例2025/4/190:2321/211.4、squid配置實(shí)例2025/4/190:2322/221.5、ACL匹配規(guī)則ACL元素的匹配規(guī)則當(dāng)ACL元素有多個(gè)值時(shí)，任何單個(gè)值能導(dǎo)致匹配。換句話說，squid在檢查ACL元素值時(shí)使用OR邏輯。當(dāng)squid找到第一個(gè)值匹配時(shí)，它停止搜索。這意味著把最可能匹配的值

放在列表開頭處，能減少延時(shí)。訪問規(guī)則的匹配規(guī)則訪問規(guī)則和ACL元素匹配恰好相反。對(duì)http_acceess訪問規(guī)則設(shè)置，squid使用“與”邏輯。規(guī)則中任何一個(gè)不匹配請(qǐng)求，squid停止搜索該規(guī)則，并繼續(xù)下一條。對(duì)某個(gè)規(guī)則來說，將最少匹配的ACL放在首位，能使效率最佳。ACL列表的匹配規(guī)則對(duì)某個(gè)ACL值的匹配算法是，squid在訪問列表里找到匹配規(guī)則時(shí)，搜索終止。假如沒有訪問規(guī)則導(dǎo)致匹配，默認(rèn)動(dòng)作是列表里最后一條規(guī)則的取反。2025/4/190:2323/231.6、使用LDAP為Squid提供身份驗(yàn)證http_port20:3128http_port20:8080cache_mem128MBcache_dirufs/var/spool/squid100016256cache_swap_low90cache_swap_high95auth_parambasicprogram/usr/lib/squid/squid_ldap_auth-b"dc=wolk-tech,dc=com"-h20-f"uid=%s"aclauthuserproxy_authREQUIREDaclclient1-ipsrc332025/4/190:2324/241.6、使用LDAP為Squid提供身份驗(yàn)證aclclient1-myportmyport3128aclclient1-domaindstdom_regex-inet$aclclient1-downloadurl_regex-i\.mp3$aclclient1-timetimeD09:00-18:00aclallsrc/http_accessdenyclient1-domainclient1-timeclient1-iphttp_accessdenyclient1-ipclient1-downloadhttp_accessallowauthuserclient1-iphttp_accessallowclient1-ipclient1-myportaclclient2-ipsrc34aclclient2-myportmyport80802025/4/190:2325/251.6、使用LDAP為Squid提供身份驗(yàn)證aclclient2-protocolprotoHTTPaclclient2-URLPATHurlpath_regex-i^/h/$http_accessdenyclient2-URLPATHclient2-iphttp_accessdeny!client2-protocolclient2-iphttp_accessallowauthuserclient2-iphttp_accessallowclient2-ipclient2-myportdns_nameservers7cache_mgrhuyangyang50201@163.comvisible_hostname20access_log/var/log/squid/access.logcache_effective_usersquidcache_effective_groupsquid2025