首页 > 代码库 > squid代理服务器

squid代理服务器

代理服务器分为传统代理和透明代理,传统代理适用于浏览internet,需要在浏览器上手工指定服务器地址和端口,不是很方便,但是可以隐藏本机真实的ip地址,而且为下载工具使用多个代理可以规避服务器的并发连接显示。透明代理适用于共享上网网关,不需要指定服务器地址和端口,无需额外的设置即可上网,在实际工作中透明代理较多。

 

一、搭建传统代理服务器

1、实验拓扑:

技术分享

 

1、实验步骤

1)在服务器B上安装Squid代理服务器软件(挂载光盘,解压缩)

 

技术分享

2)编译安装

技术分享

--prefix=/usr/local/squid   //安装目录

--sysconfdir=/etc   //单独将配置文件修改到其他目录

--enable-arp-acl   //可以在规则中设置直接通过客户端mac进行管理,防止客户端使用ip欺骗攻击

--enable-linux-netfilter   //使用内核过滤

--enable-linux-tproxy   //支持透明模式

--enable-async-io=   //异步i/o,提升存储性能

--enable-err-language=”Simplify_Chinese”   //错误信息的显示语言

--enable-poll   //使用Poll()模式,提升性能

--enable-underscore   //允许url中有下划线

--enable-gnuregex   //使用GNU正则表达式

技术分享

2)创建链接文件,创建用户和组

技术分享

2)使用squid服务脚本(为了能够方便启动停止服务)

Vim squid,内容如下:

技术分享

没有完,接着下面的写

技术分享

设置权限,并添加为系统服务。

 

技术分享

2)修改配置文件

Vi /etc/squid.conf

主要修改有以下几条配置项,有的配置项需要修改,而有的配置项需要添加。

    http_port 3128                      squid的默认监听端口tcp  修改   cache_effective_group squid         squid的运行组    添加

    cache_effective_user squid          squid的运行用户  添加

    visible_hostname centos1.lzg.com   当前系统的主机名  添加

    cache_dir ufs /usr/local/squid/var/cache/squid 100 16 256

技术分享

2)在防火墙上添加允许策略

技术分享

3)启动squid服务

执行:Squid  -k  parse检测语法是否正确,出现很多内容,一般不用理会,没有提示错误就可以。

执行squid  -z 初始化缓存目录,此步必须要做,执行完之后稍微等一会。

执行squid启动服务,也可以使用service  squid  start启动服务,第一次启动最好用squid启动。

 

技术分享

技术分享

技术分享

4)在服务器A上搭建网站

技术分享

5)在客户机上修改ie浏览器的代理服务器地址

 

技术分享

6)在客户机上访问网站

别忘记在网站服务器A上开启80端口

技术分享

 

技术分享

然后把代理服务器服务停止,再次访问网站,发现不能访问,说明客户机确实是通过代理服务器上网。

技术分享

技术分享

7)验证代理服务器

在客户机访问网站,然后查看web服务器的访问日志,发现客户机172.16.16.110访问网站172.16.16.172的记录,但是在web服务器中,查看网站日志文件,显示的访问者是代理服务器的地址172.16.16.22,不是客户端的地址。

技术分享

 

技术分享

 

二、搭建透明代理服务器

1、实验拓扑

技术分享

1、实验步骤(安装的步骤参考前面的传统代理,IP地址的配置省略)

1)配置squid支持透明代理

Vi /etc/squid.conf

技术分享

修改上面的一行就可以

 

修改完成时候别忘记重新加载squid服务

技术分享

1)在服务器B上开启路由转发

技术分享

1)配置防火墙重定向

 

Iptables -t nat -I PREROUTING -i eth1 -s192.168.4.0/24 -p tcp --dport 80 -j REDIRECT --to 3128

 

技术分享

Service iptables  save保存

 

1)在客户端上访问网站(必须配置网关)

 

技术分享

 

1)验证透明代理

如果在linux客户机上测试,需要提前清除HTTP_PROXYHTTPS_PROXY变量

Unset HTTP_PROXY  HTTPS_PROXY

我们就在windows上验证了,因为在实际工作中,员工很少使用LINUX访问网站。

验证方法和传统代理验证方法一样

技术分享

 

 

技术分享

在服务器A上查看的访问者是代理服务器172.16.16.1,说明实验正确。

上面的这个实验属于正向代理,还有一种反向代理,作用是外部访问内部的网站,云盘有文档,有兴趣可以做一下。

 

三、设置ACL访问控制

1、禁止下载扩展名为:.mp4,avi视频

2、超过4mb大小的文件不进行缓存,禁止下载超过10mb的文件

3、设置网站黑名单,禁止访问位于.qq.com,.lol.com的网站

4、允许在正常上班时间(周一到周五8:30-17:30)上网

5、默认策略设置为禁止任何客户机使用代理服务器。

 

Vim /etc/squid.conf

 

技术分享

技术分享

技术分享

在客户端上测试下载文件,超过10mb就禁止下载

(在服务器A的网站目录下新建15mb的文件)

技术分享

技术分享

在客户端上分别下载5mb15mb的文件

技术分享

技术分享

 

四、squid日志分析

1、安装gd

 

技术分享

1、安装sarg

技术分享

1、配置

技术分享

 

修改以下内容,不用添加,修改即可

1)制定squid的访问日志文件

技术分享

 

网页标题

技术分享

sarg报告的输出目录

技术分享

使用用户名显示,根据连接次数,访问字节数,采用降序排序,升序将reverse换成normal。对于用户访问记录,连接次数按降序排列。

技术分享

当有日期报告存在,是否覆盖报告

技术分享

发送邮件报告

技术分享

制定不计入排序的站点列表文件

技术分享

使用的字符集为国际编码

 

技术分享

制定top排序的星期周期和时间周期,0位周日

技术分享

网页根目录

技术分享

 

1、运行

Touch /usr/local/sarg/noreport

技术分享

 

技术分享

 验证

技术分享

计划任务

技术分享

技术分享

Crontab -e

技术分享

 

 

每天0点运行统计昨天的内容

 

Chmod +x /usr/local/sarg/daily.sh

Chkconfig crond on

 

 

每天坚持给大家带来基础知识,一起成长一起拼搏。

详细技术请咨询我的QQ936172842,或者维信lc177zl,记得标注姓名+51cto

 

 

 

 

本文出自 “13110271” 博客,请务必保留此出处http://13120271.blog.51cto.com/13110271/1946124

squid代理服务器