站点图标 IDC铺

在CentOS或RHEL上搭建Squid透明Web代理系统

使用透明代理有几个好处首先,对最终用户来说,透明代理可以改善上网浏览体验,因为缓存了经常访问的网站内容,同时给他们带来的配置开销最小对管理员来说,透明代理可用于执行各种管理政策,比如内容/URL/IP过滤和速率限制等。

代理服务器充当客户端和目的地服务器之间的中介客户端将请求发送到代理服务器,随后代理服务器评估请求,并采取必要的动作在本教程中,我们将使用Squid搭建一个Web代理服务器,而Squid是一种健壮的、可定制的、稳定的代理服务器。

就个人而言,大概一年来我管理着一台拖有400多个客户端工作站的Squid服务器虽然平均而言我大概一个月就要重启一次服务,但处理器和存储使用率、吞吐量以及客户端响应时间都表现不错 我们将配置Squid以获得下列拓扑结构。

CentOS/RHEL设备有一块网卡(eth0)连接到专有局域网,另一块网卡(eth1)则连接到互联网

Squid的安装 想使用Squid搭建透明代理系统,我们首先要添加必要的iptables规则这些规则应该会帮助你开始上手,不过务必要确保它们与任何的现有配置没有冲突 1、# iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE  。

2、# iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j REDIRECT –to-port 3128  第一条规则将引起来自eth1(广域网接口)的所有出站数据包都有eth1的源IP地址(也就是启用NAT)。

第二条规则将把来自eth0(局域网接口)的所有入站HTTP数据包(发往TCP 80)重定向至Squid侦听端口(TCP 3128),而不是直接将其转发到广域网接口 我们使用yum,开始安装Squid。

1、# yum install squid  现在,我们将改动Squid配置,将其变成透明代理系统我们将局域网子网(比如10.10.10.0/24)定义为有效的客户端网络不是来自该局域网子网的任何流量将被拒绝访问。

1、# vim /etc/squid/squid.conf  2、visible_hostname proxy.example.tst  3、http_port 3128 transparent  4、## 定义我们的网络## acl our_network src 10.10.10.0/24

5、## 确保我们的网络允许访问## http_access allow our_network  6、## 最后拒绝其他的所有流量## http_access deny all  现在我们开启Squid服务,确保它已被添加到启动项。

1、# service squid start  2、# chkconfig squid on  鉴于Squid已搭建并运行起来,我们可以测试其功能了,为此只需监测Squid日志从连接至该局域网的计算机访问任何URL,你应该会在日志中看到类似以下的内容。

1、# tailf /var/log/squid/access.log  1402987348.816 1048 10.10.10.10 TCP_MISS/302 752  GET http://www.google.com/ – DIRECT/173.194.39.178

text/html  1402987349.416 445 10.10.10.10 TCP_MISS/302 762  GET http://www.google.com.bd/? – DIRECT/173.194.78.

94 text/html 据日志文件显示,IP地址为10.10.10.10的机器试图访问google.com,Squid处理了这个请求 一种最基本的Squid代理服务器现已准备就绪在本教程的余下部分,我们将调整Squid的一些参数,以控制出站流量。

请注意:这仅仅为了演示实际的政策应加以定制,以满足你的具体要求 准备工作 在开始配置之前,我们先明确几个要点 Squid配置解析 在阅读配置文件时,Squid以一种自上而下的方式来解析文件自上而下地解析规则,直到发现匹配为止。

一旦发现匹配,该规则就被执行;其下面的其他任何规则将被忽视所以,添加过滤规则的最佳实践就是,按下列顺序指定规则 explicit allow explicit deny allow entire LAN

deny all Squid重启与Squid重新配置 一旦Squid配置经过改动,Squid服务就需要重启重启服务可能需要一段时间,有时要几分钟,长短取决于活动连接的数量在这个期间,局域网用户无法访问互联网。

想避免这种服务中断,我们可以使用下面这个命令,而不是使用“service squid restart” 1、# squid -k reconfigure  该命令将允许Squid使用更新后的参数来运行,而不需要重启本身。

按照IP地址过滤局域网主机 在这个演示中,我们想要搭建这样的Squid:禁止拥有IP地址10.10.10.24的主机和IP地址10.10.10.25的主机访问互联网为此,我们创建了一个文本文件“denied-ip-file”,里面含有所有被拒绝访问的主机的IP地址,然后将该文件添加到Squid配置中。

1、# vim /etc/squid/denied-ip-file  2、10.10.10.24  3、10.10.10.25  4、# vim /etc/squid/squid.conf  5、## 首先我们创建访问控制列表(ACL),隔离被拒绝访问的IP地址##acl denied-ip-list src “/etc/squid/denied-ip-file”

6、##然后,我们应用ACL ## http_access deny denied-ip-list ## 明确拒绝## http_access allow our_network  7、## 允许局域网## http_access deny all ## 拒绝所有deny all ##

现在我们需要重启Squid服务Squid将不再认可来自这些IP地址的请求如果我们检查squid日志,就会发现来自这些主机的请求处于“TCP_DENIED”状态 过滤黑名单中的网站 这个方法将只适用于HTTP。

假设我们想阻止badsite.com和denysite.com,就可以将这两个网址添加到文件,并且将引用添加到squid.conf 1、# vim /etc/squid/badsite-file  2、badsite

3、denysite  4、# vim /etc/squid/squid.conf  5、## ACL定义##acl badsite-list url_regex “/etc/squid/badsite-file”

6、## ACL 应用## http_access deny badsite-list  7、http_access deny denied-ip-list ## 之前设置,但这里不起作用## http_access allow our_network

8、http_access deny all  请注意:我们使用了ACL类型“url_regex”,这将与所请求的URL中的“badsite”和“denysite”这两个词相匹配也就是说,凡是在URL中含有“badsite”或“denysite”(比如badsite.org、newdenysite.com或otherbadsite.net)的请求一律被阻止。

合并多个ACL 我们将创建一个访问列表,阻止IP地址为10.10.10.200的客户端和IP地址为10.10.10.201的客户端访问custom-block-site.com其他任何客户端都能够访问该网站。

为此,我们将首先创建一个访问列表以隔离这两个IP地址,然后创建另一个访问列表以隔离所需的网站最后,我们将同时使用这两个访问列表,以满足要求 1、# vim /etc/squid/custom-denied-list-file

2、10.10.10.200  3、10.10.10.201  4、# vim /etc/squid/custom-block-website-file  5、custom-block-site  6、# vim /etc/squid/squid.conf

7、acl custom-denied-list src “/etc/squid/custom-denied-list-file”  8、acl custom-block-site url_regex “/etc/squid/custom-block-website-file”

9、## ACL应用 ## http_access deny custom-denied-list custom-block-site  10、http_access deny badsite-list ## 之前设置,但这里不起作用## http_access deny denied-ip-list ## 之前设置,但这里不起作用

11、# http_access allow our_network  12、http_access deny all  13、# squid -k reconfigure  被阻止的主机现在应该无法访问上述网站了。

日志文件/var/log/squid/access.log应该含有相应请求的“TCP_DENIED” 设定最大下载文件大小 Squid可以用来控制最大的可下载文件大小我们想把IP地址为10.10.10.200的主机和IP地址为10.10.10.201的主机的最大下载大小限制在50MB。

我们之前已经创建了ACL“custom-denied-list”,以隔离来自这些源地址的流量现在,我们将使用同一个访问列表来限制下载文件大小 1、# vim /etc/squid/squid.conf

2、reply_body_max_size 50 MB custom-denied-list  3、# squid -k reconfigure 建立Squid缓存层次体系 Squid支持缓存的方式是,将经常访问的文件存储在本地存储系统中。

设想一下:你的局域网上有100个用户在访问google.com要是没有缓存功能,就要为每一个请求单独获取Google标识或涂鸦Squid可以将标识或涂鸦存储在缓存中,以便从缓存来提供这不仅改善了用户感觉得到的性能,还减少了带宽使用量。

这可以说是一举两得 想启用缓存功能,我们可以改动配置文件squid.conf 1、# vim /etc/squid/squid.conf  2、cache_dir ufs /var/spool/squid 100 16 256 。

数字100、16和256 有下列含义 •为Squid缓存分配100 MB存储空间如果你愿意,也可以加大所分配的空间 •16个目录(每个目录里面含有256个子目录)将用于存储缓存文件这个参数不应该改动。

我们可以通过日志文件/var/log/squid/access.log来证实Squid缓存是否被启用如果缓存成功命中,我们应该会看到标有“TCP_HIT”的项 总而言之,Squid是一种功能强大的、基于行业标准的Web代理服务器,被全球各地的系统管理员们广泛使用。

Squid提供了简易的访问控制功能,可用于管理来自局域网的流量它既可以部署到大企业网络中,也可以部署到小公司网络中本教程只介绍了Squid所有功能的一小部分想了解完整的功能,请参阅其官方说明文档(http://wiki.squid-cache.org/Features)。

但愿本文对各位有所帮助。

退出移动版