防伪码：仰天大笑出门去，我辈岂是蓬蒿人

     第一章 Squid透明代理+ACL访问控制+日志分析

前言：搭建代理服务器可以提高上网打开网页的速度，可以对非法网站进行屏蔽，限制文件下载，以及查看员工访问internet的情况，包括上网的地址，用户，时间等，是企业网络管理的常用手段。

代理服务器分为传统代理和透明代理，传统代理适用于浏览internet，需要在浏览器上手工指定服务器地址和端口，不是很方便，但是可以隐藏本机真实的ip地址，而且为下载工具使用多个代理可以规避服务器的并发连接显示。透明代理适用于共享上网网关，不需要指定服务器地址和端口，无需额外的设置即可上网，在实际工作中透明代理较多。

一、构建透明代理服务器

1、实验拓扑：

2、 实验步骤

1）在服务器A上安装Squid代理服务器软件（挂载光盘，解压缩）

2） 编译安装

--prefix=/usr/local/squid   //安装目录

--sysconfdir=/etc   //单独将配置文件修改到其他目录

--enable-arp-acl   //可以在规则中设置直接通过客户端mac进行管理，防止客户端使用ip欺骗攻击

--enable-linux-netfilter   //使用内核过滤

--enable-linux-tproxy   //支持透明模式

--enable-async-io=值   //异步i/o，提升存储性能

--enable-err-language=”Simplify_Chinese”   //错误信息的显示语言

--enable-poll   //使用Poll（）模式，提升性能

--enable-underscore   //允许url中有下划线

--enable-gnuregex   //使用GNU正则表达式

3） 创建链接文件，创建用户和组

4） 使用squid服务脚本（为了能够方便启动停止服务）

Vim  squid，内容如下：

；；

asac（补充）

设置权限，并添加为系统服务。

5） 修改配置文件

Vi  /etc/squid.conf

主要修改有以下几条配置项，有的配置项需要修改，而有的配置项需要添加。

        http_port 192.168.1.1:3128 transparent                                    squid的默认监听端口tcp 修改  

       cache_effective_group squid                    squid的运行组    添加

        cache_effective_user squid                      squid的运行用户 添加

        visible_hostname yangwen                      当前系统的主机名  添加

        cache_dir ufs /usr/local/squid/var/cache/squid 100 16 256          去掉“#”

6） 在防火墙上添加允许策略

7） 启动squid服务

执行：Squid  -k  parse检测语法是否正确，出现很多内容，一般不用理会，没有提示错误就可以。

执行squid  -z 初始化缓存目录，此步必须要做，执行完之后稍微等一会。

执行squid启动服务，也可以使用service  squid  start启动服务，第一次启动最好用squid启动。

8） 在服务器B上搭建网站，并开启入站规则

9）在服务器A上开启路由转发

临时：echo "1" > /proc/sys/net/ipv4/ip_forward

永久：vim /etc/sysctl.conf 

修改net.ipv4.ip_forward = 1

然后sysctl  -p激活

10）配置防火墙重定向，并service iptables save保存

11）在客户端上访问网站（配置网关）

12）验证透明代理

在服务器B上查看的访问者是代理服务器172.16.16.1，说明实验正确。

上面的这个实验属于正向代理

二、 设置ACL访问控制

1、 禁止下载扩展名为:.mp4,avi视频

2、 超过4mb大小的文件不进行缓存，禁止下载超过10mb的文件

3、 设置网站黑名单，禁止访问位于.qq.com,.lol.com的网站

4、 允许在正常上班时间（周一到周五8:30-17:30）上网

5、 默认策略设置为禁止任何客户机使用代理服务器。

 Vim  /etc/squid.conf

acl safeport port 80 443

acl mylan src 192.168.1.0/24

acl mediafile urlpath regex -i \.mp4$ \.avi$

acl dmblock dstdomain "/etc/dmbokck.list"

acl working time MWTHF 08:30-17:30

http_access allow mylan working safeport !mediafile !dmblock

http_access deny all

reply_body_max_size 10 MB

maximum_object_size 4096 KB

在客户端上测试下载文件，超过10mb就禁止下载

（在服务器B的网站目录下新建a.data（15mb）和b.data（5mb）

查看如图：

在客户端上分别下载

三、 squid日志分析

1、 安装gd库

2、 安装sarg

--enable-extraprotection  添加额外的安全保护

3、 配置

修改以下内容，不用添加，修改即可

1）制定squid的访问日志文件

2）网页标题

3）sarg报告的输出目录

4）使用用户名显示，根据连接次数，访问字节数，采用降序排序，升序将reverse换成normal。

于用户访问记录，连接次数按降序排列。

5）当有日期报告存在，是否覆盖报告

6）发送邮件报告

7）制定不计入排序的站点列表文件

8）使用的字符集为国际编码

9）制定top排序的星期周期和时间周期，0位周日

10)网页根目录

4、 运行Touch  /usr/local/sarg/noreport（别忘了service httpd start）

5、 验证

6、 计划任务

vim /usr/local/sarg/daiy.sh

crontab -e

每天0点运行统计昨天的内容

Chmod  +x /usr/local/sarg/daily.sh

Chkconfig crond on

谢谢观看，真心的希望能帮到您！

本文出自 “一盏烛光” 博客，谢绝转载！

Squid透明代理+ACL访问控制+日志分析