Squid是Linux系统中最为流行的一款高性能代理服务软件,通常用作Web网站的前置缓存服务,能够代替用户向网站服务器请求页面数据并进行缓存.简单来说,Squid服务程序会按照收到的用户请求向网站源服务器请求页面,图片等所需的数据,并将服务器返回的数据存储在运行Squid服务程序的服务器上.当有用户再请求相同的数据时,则可以直接将存储服务器本地的数据交付给用户,这样不仅减少了用户的等待时间,还缓解了网站服务器的负载压力.
配置透明代理
透明二字指的是让用户在没有感知的情况下使用代理服务,这样的好处是一方面不需要用户手动配置代理服务器的信息,进而降低了代理服务的使用门槛,另一方面也可以更隐秘地监督员工的上网行为. 在透明代理模式中,用户无须在浏览器或其他软件中配置代理服务器地址、端口号等信息,而是由DHCP服务器将网络配置信息分配给客户端主机.这样只要用户打开浏览器便会自动使用代理服务了.
以下实验,将配置一个Squid透明代理服务,我们使用10.10.10.20模拟外网,使用win10模拟内网主机.
[主机类型] [IP地址] [网卡编号] [网卡模式] [作用]
Windows 10 192.168.1.8 eth0 桥接模式 模拟内网
Squid 192.168.1.10 eth0 桥接模式 内网网关
10.10.10.10 eth1 仅主机模式 模拟外网网口
Apache 10.10.10.20 eth0 仅主机模式 模拟web服务器
配置Squid网关
1.通过Yum仓库安装Squid代理服务
[root@localhost ~]# yum install -y squid
Loaded plugins: product-id, search-disabled-repos, subscription-manager
This system is not registered with an entitlement server. You can use subscription-manager.
Package 7:squid-3.5.20-12.el7.x86_64 already installed and latest version
Nothing to do
2.编辑Squid的住配置文件,在合适的位置写入一下参数,开启透明代理服务
[root@localhost ~]# vim /etc/squid/squid.conf
55 # And finally deny all other access to this proxy
56 http_access deny all
57
58 # Squid normally listens to port 3128
59 http_port 192.168.1.10:3128 transparent #IP地址为网关(Squid)内网IP
60 visible_hostname #自定义主机名,随意
61
62
63 # Uncomment and adjust the following to add a disk cache directory.
64 #cache_dir ufs /var/spool/squid 100 16 256
3.开启Linux的路由转发功能,并使用sysctl强制刷新内核参数
[root@localhost ~]# echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
[root@localhost ~]# sysctl -p
[root@localhost ~]# echo "1" > /proc/sys/net/ipv4/ip_forward
4.添加一条SNAT防火墙规则,将所有192.168.1.0/24(内网)的请求全部转发到eth1口的3128端口上.
iptables -t nat -A PREROUTING -i eth0(内网网卡) \
-s 192.168.1.0/24 -p tcp --dport 80 \
-j REDIRECT --to-ports 3128
5.启动Squid服务,并设置为开机自启动
[root@localhost ~]# systemctl restart squid
[root@localhost ~]# systemctl enable squid
配置内网客户机
route add default gw 192.168.1.10 #添加一条路由记录(指向网关机eth1)
外网Web配置
1.安装并启动Apache,并启动此处用来模拟外网
yum install -y httpd
systemctl restart httpd
<br>
配置反向代理
反向代理服务位于本地web服务器和Internet之间,处理所有对web服务器的请求,组织web服务器和internet的直接通信,这种方式通过降低向web服务器的请求数降低了web服务器的负载.
以下实验,将配置一个Squid反向代理,由于Squid具有静态页面缓存功能,常用作反向代理,减小后端Web主机的压力
[主机类型] [IP地址] [网卡编号] [网卡模式] [作用]
Windows 10 192.168.1.8 eth0 桥接模式 模拟外网
Squid 192.168.1.10 eth0 桥接模式 外网网口
10.10.10.10 eth1 仅主机模式 内网网口
Apache 10.10.10.20 eth0 仅主机模式 模拟web_1
Apache 10.10.10.30 eth0 仅主机模式 模拟web_2
配置两台Web
1.配置两台内网服务器Apache并启动,设置开机自启动
[root@localhost ~]# yum install -y httpd
[root@localhost ~]# echo "web *" >/var/www/html/index.html
[root@localhost ~]# systemctl restart httpd
2.两台Apache添加网关,指向网关IP的eth1(10.10.10.10)口,指定网关就是,告诉数据包从哪里可以出去.
[root@localhost ~]# route add default gw 10.10.10.10
配置Squid代理
1.通过Yum仓库安装Squid代理服务
[root@localhost ~]# yum install -y squid
Loaded plugins: product-id, search-disabled-repos, subscription-manager
This system is not registered with an entitlement server. You can use subscription-manager.
Package 7:squid-3.5.20-12.el7.x86_64 already installed and latest version
Nothing to do
2.开启Linux的路由转发功能,并使用sysctl强制刷新内核参数
[root@localhost ~]# echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
[root@localhost ~]# sysctl -p
[root@localhost ~]# echo "1" > /proc/sys/net/ipv4/ip_forward
3.编辑Squid主配置文件,在相应的区域中加入以下语句
[root@localhost ~]# vim /etc/squid/squid.conf
58 # Squid normally listens to port 3128
59
60 http_access allow all #允许所有
61
62 http_port 192.168.1.10:80 vhost #声明外网口地址
63
64 cache_peer 10.10.10.20 parent 80 0 originserver round-robin weight=1 #内网的服务器节点1
65 cache_peer 10.10.10.30 parent 80 0 originserver round-robin weight=1 #内网的服务器节点2
66
67 # Uncomment and adjust the following to add a disk cache directory.
68 #cache_dir ufs /var/spool/squid 100 16 256
69
70 # Leave coredumps in the first cache dir
4.启动Squid服务,并设置为开机自启动
[root@localhost ~]# systemctl restart squid
[root@localhost ~]# systemctl enable squid
<br>
常用ACL控制参数
#--------------------------------------------------------
# Squid配置文件常用参数
http_port 3128
http_port 192.168.1.1:80 #80端口只监听内网接口上的请求
cache_mem 512MB #指定非陪多少存储
cache_dir ufs /var/spool/squid 4096 16 256 #指定硬盘缓冲区大小
cache_effective_user squid #指定属主squid
cache_effective_group squid #指定数组squid
dns_nameservers 8.8.8.8 #设置有效DNS服务器地址
visible_hostname #设置主机名,必须设置
cache_access_log /var/log/squid/access.log #指定访问记录的日志文件
cache_log /var/log/squid/cache.log #设置缓存日志文件
cache_store_log /var/log/squid/store.log #设置网页缓存日志文件
cache_mgr master@ #管理员邮件
http_access [ allow|deny ] #访问控制列表名称
#--------------------------------------------------------
#拒绝所有客户端请求,例子中的all是用户自定义的
acl all src 0.0.0.0/0.0.0.0
http_access deny all
#--------------------------------------------------------
#禁止192.168.1.0/24 网段的客户机上网
acl client src 192.168.1.0/255.255.255.0
http_access deny client
#--------------------------------------------------------
#禁止访问域名的网站
acl baidu dstdomain
http_access deny baidu
#--------------------------------------------------------
#禁止192.168.1.0/24网络的用户在周一到周五的9:00 -13:00 上网
acl client src 192.168.1.0/255.255.255.0
acl badtime time MTWHF 9:00-13:00
http_access deny client badtime
#--------------------------------------------------------
#禁止用户下载 *.mp3 *.exe *.zip *.rar 类型的文件
acl badfile urlpath_reregex -i \.mp3$ \.exe$ \.zip$ \.rar$
http_access deny badfile
#--------------------------------------------------------
#屏蔽站点
acl badsite dstdomain -i
http_access deny badsite
#--------------------------------------------------------
#屏蔽包含SEX的URL路径
acl sex url_regex -i SEX
http_access deny sex
#--------------------------------------------------------
#禁止访问22,23,25,53,110,119这些危险端口
acl deny_port port 22 23 25 53 110 119
http_access deny deny_port
<br>
