IT技术互动交流平台

使用Squid构建WEB代理服务器

作者:yun5277  发布日期:2013-08-09 08:46:26

Squid:俗称代理服务器,由Squid软件包提供服务,在RHEL5的系统上默认是安装好的,只需要开启即可。Squid代理服务器工作在应用层,通过缓存提供服务,主要用于WEB代理。下面介绍一下Squid代理服务器的工作机制。

Squid服务器的工作原理

   当客户机通过代理来请求WEB页面时,指定的代理服务器会先检查自己的缓存,如果缓存中已经有客户机需要请求的页面,则直接将缓存中的页面内容反馈给客户机;如果缓存中没有客户机要访问的页面,则由代理服务器向Internet或WEB服务器发送访问请求,当或得返回的WEB页面以后,将页面数据保存到缓存中并发送给客户机。如下图:

代理服务器的基本类型

传统代理:也就是普通的代理服务器,在客户机的浏览器,QQ聊天工具,下载软件等程序中,必须手动设置代理服务器的地址和端口,然后才能使用代理来访问网络。

透明代理:提供与传统代理相同的功能和服务,区别在于:客户机不需要制定代理服务器的地址和端口,而是通过默认路由,防火墙策略将WEB访问重定向,实际仍然交给代理服务器来处理。重定向的过程对客户机来说是“透明”的,用户甚至并不知道自己是在使用代理服务器,所以称“透明代理”。

 

Squid的配置文件及常见配置项

  Squid服务的配置文件位于“/etc/squid/squid.conf”其中包含大量的注释内容,为相关的配置项提供详细的解释说明。

下面解释几个常见的配置项

http_port 3128:主要用来指定Squid监听的地址和端口(默认3128)。

cache_mem 64 MB:指定缓存功能所使用的内存空间大小,便于保持访问较频繁的WEB对象,容量最好为4的倍数,单位为MB,建议设为物理内存的1/4.

maximum_onject_size 4096 KB:允许保存到缓存空间的最大对象大小,以KB为单位,超过大小限制的文件将不被缓存,而是直接转发给用户。

reply_body_max_size 10240000 allow all:允许用户下载的最大文件大小,以字节为单位。默认设置0表示不进行限制。

cache_dir ufs /var/spool/squid 100 16 256:指定缓存数据所使用的目录,容量,子目录个数等相关参数。(ufs:Squid缓存文件的格式,/var/spool/squid:缓存数据默认存放的目录,100:缓存目录分配的空间大小,以MB为单位,16:一级目录数量,即/var/spool/squid目录下有16个一级目录,256:二级,目录数量,即每个一级目录下有256个二级目录)

access_log /var/log/squid/access.log squid:指定代理服务器的日志文件位置及记录格式,以便记录那些用户使用个代理服务器。

visible_hostname localhost.localdomain:指定代理服务器本机的可见主机名,建议使用完整主机名及FQDN的格式。

 

构建传统Squid代理服务器

   配置Squid实现传统代理服务器时,需要注意两个地方:其一、设置好可见的主机名,其二、将默认的http_access deny all改为http_access allow all,默认deny all只允许给本机使用代理服务器,这里设置allow all表示允许所有客户机都可以使用Squid代理服务器。如果需要限制用户下载的文件大小还需要修改reply_body_max_size项。修改如下:

[root@localhost /]#vim /etc/suqid/squid.conf

reply_body_max_size 10240000 allow all   //允许下载最大文件为10MB

http_access allow all

......//省略部分内容

现在主需要启动Squid服务,然后再客户端浏览器中指定Squid服务器的地址和端口即可使用代理服务器了。

[root@localhost /]#service suqid start

 

构建透明Squid代理服务器

   透明代理提供的功能与传统代理是一致的,但是其“透明”的实现依赖于默认路由和防火墙的重定向策略,因此更适用于为局域网提供代理服务,而不不适合为Internet中的客户机提供服务。

透明代理一般是配置在Linux网关服务器上的,在Linux网关服务器上配置好Squid服务后,客户机只需要配置好自己的网关和IP地址即可使用代理服务器,而不需要手动指定。

在Linux网关上配置Squid服务操作如下:

1、配置Squid支持透明代理

   Squid服务的默认配置并不支持透明代理,因此需要调整相关设置,需要在http_port配置行后面加上“transparent”(透明)选项,就可以支持透明代理了。

[root@localhost /]#vim /etc/suqid/squid.conf

http_port 192.168.1.254:3128 transparent

......//省略部分内容

[root@localhost /]#service suqid reload

2、设置iptables的重定向策略

   透明代理中Squid服务实际上是构建在Linux网关主机上的,因此只需要正确设置防火墙策略,就可以将局域网主机访问Internet的数据包转交给Squid进行处理。这需要用到iptables的“REDIRECT”(重定向)策略,其作用是实现本机端口的重新定向,将访问网站协议HHTP、HHTPS的外发数据包转交本机的squid服务(3128端口)。

REDIRECT 也是一种数据包控制类型,只能在nat表的PREROUTING或OUTPUT链使用,通过“--to-ports 端口号”的形式来指定映射的目标端口。

本列中可以将来自局域网段192.168.1.0/24并且访问HTTP、HTTPS协议的数据包,转交给运行在本机3128端口上的Squid服务器处理。

[root@localhost /]#iptables -t nat -A PREROUTOING -i eth1 -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 3128

[root@localhost /]#iptables -t nat -A PREROUTOING -i eth1 -s 192.168.1.0/24 -p tcp --dport 445 -j REDIRECT --to-ports 3128

此时Squid服务已经配置好了,现在只需要在客户端指定正确的网关即可使用代理服务器了。

 

Squid代理控制机制(ACL)

   Squid提供了强大的代理控制机制,通过合理设置ACL并进行限制,可以针对源地址,目标地址,访问的URL路径,访问的时间等各种条件进行过滤。

   在配置文件squid.conf中,ACL访问控制通过一下两个步骤来实现:其一、使用acl配置项定义需要控制的条件,即定义acl列表;其二、通过http_access配置项对已定义的列表做“允许”或“拒绝”访问的控制。

1、定义acl列表

每一行acl配置可以定义一条访问控制列表,格式如下;

acl    列表名称    列表类型    列表内容...

列表名称:有管理员自行制定,用来识别控制条件。

类表类型:必须使用Squid预定义的值,对应不同类表的控制条件。

列表内容:值定控制的具体对象,不同类型的列表所对应的内容也不一样,可以有多个值,以空格隔开,也可以为文件,即将很多个值放在一个文件中。

定义acl列表时,关键在于选择“列表类型”并设置具体的条件对象。Squid预定义的列表类型有很多种,常用的包括源地址,目标地址,访问时间,访问端口。如下表所示:

列表类型 列表内容示例 含义/用途
src

192.168.1.168

192.168.1.0/24

192.168.1.0-192.168.3.0/24

源IP地址、网段、IP地址范围
dst

216.168.137.3

61.138.167.0/24

www.cshbk.com

目标IP地址、网段、主机名
port 80 443 20 21 目标端口
dstdomain .qq.com .msn.com 目标域,匹配域内所有站点
time MTWHFAS 8:30-17:30 使用代理的时间周一至周日早8:30至晚17:30
maxconn 20 每个客户机的并发连接
url_regex

url_regex -i ^rtsp://

url_regex -i ^emule://

目标资源的URL地址,-i表示忽略大小写
urlpath_regex

urlpath_regex -i sex adult

urlpath_regex -i \.mp3$

目标资源的整个URL路径,-i表示忽略大小写

在定义访问控制列表时,应结合当前网络环境正确分析用户的访问需求,准确定义使用代理服务的控制条件。例如:针对不同的客户机地址,需要限制访问目标网站,特定的时间段,分别定义的列表。

[root@localhost /]#vim /etc/suqid/squid.conf

......//省略部分内容

acl MYLAN src 192.168.10.0/24             //源地址网段    

acl MC20 maxconn 20                       //最大并发连接

acl DOMAIN dstdomain .qq.com .msn.com     //目标为.qq.com .msn.com的域名

acl FILE urlpath_regex -i \.mp3$ \.mp4$   //以.mp3 .mp4结尾的URL路径

acl TIME time MTWHF 08:30-17:30           //时间为周一至周五早8:30至晚17:30

 

2、设置acl访问权限

   定义好各种访问控制列表以后,需要使用http_access配置项来 控制。注意:http_access配置项必须放在acl列表之后,而且每一行http_access配置至少有一条访问控制规则。格式如下:

http_access    allow或dent    acl列表名

   每一条http_access规则中,可以同时包含多个acl列表名,各个表之间以空格分隔,为“与”关系,表示足所有acl列表时对应的条件才会生效。需要使用取反时,可以在acl列表名前加上“!”号。

[root@localhost /]#vim /etc/suqid/squid.conf

......//省略部分内容

http_access deny MYLAN FILE         //禁止客户机下载MP3 MP4文件

http_access deny MYLAN DOMAIN       //禁止客户机访问acl列表中的网站

http_access deny MYLAN MC20         //客户机的并发连接超过20时将被阻止

http_access allow MYLAN TIME        //允许客户机在工作时间访问互联网

http_access deny all                //默认禁止所有主机

 

   执行访问控制时,Squid将按照各条规则的顺序依次进行检查,如果匹配则停止向后检查,所以我们一般将默认策略设为拒绝,并放在最后。还需要注意的是将常用的规则放在前面,这样可以减少Squid的负载。


Tag标签: Squid   WEB代理服务器  
  • 专题推荐

About IT165 - 广告服务 - 隐私声明 - 版权申明 - 免责条款 - 网站地图 - 网友投稿 - 联系方式
本站内容来自于互联网,仅供用于网络技术学习,学习中请遵循相关法律法规