第13章代理服務器搭建與測試第13章代理服務器搭建與測試1. 教學目標與要求 大量擁有內部地址的機器組成了企業內部網，那么如何連接內部網和Internet？代理服務器將是很好的選擇，它能夠解決內部網訪問Internet的問題并提供訪問的優化和控制功能。本章將講解代理服務的原理，以及Squid代理軟件的使用方法。通過本章的學習，讀者應該掌握以下內容：·安裝、配置Squid代理的使用。·掌握代理服務的常規配置。·掌握代理的高級配置。2. 教學重點與難點。

安裝Squid及使用方法，代現服務的實際應用。13.1代理服務原理13.1.1什么是代理服務器13.1.2代理服務器的工作原理13.1代理服務原理13.1.3代理服務器的作用1．提高訪問速度2．用戶訪問限制3．安全性得到提高13.2安裝Squid13.2.1Squid簡介Squid的主要功能有：（1）代理和緩存HTTP、FTP和其他的URL請求。（2）代理SSL請求。（3）支持多級緩存。（4）支持透明代理。（5）支持ICP、HTCP、CARP等緩存摘要。（6）支持多種方式的訪問控制和全部請求的日志記錄。（7）提供HTTP服務器加速。（8）能夠緩存DNS查詢。Squid的官方網站是。13.2安裝Squid13.2.2安裝Squid1．Squid所需軟件（1）Squid-2.6.STABLE6-3.el5.i386.rpm2．安裝Squid安裝之前可以使用rpm-qa命令查看是否已經Squid安裝，如下所示。[root@zhou～]#rpm-qa|grepsquidsquid-2.6.STABLE6-3.el5如果系統還未安裝Squid軟件或者不慎將其刪除了的話，請插入第二張RedHatEnterpriseLinux5系統安裝光盤進行安裝。13.2安裝Squid13.2.3Squid啟動和停止1．初始化Squid[root@zhou～]#squid–z2014/03/0312:21:05|CreatingSwapDirectories注意：cache目錄初始化可能花費一些時間，依賴于cache目錄的大小和數量，以及磁盤驅動的速度。如想查看這個過程，可以使用-X參數：[root@zhou～]#squid–zX在cache目錄激活后，永遠不要改變L1和L2值。13.2安裝Squid2．Squid服務的啟動[root@zhou～]#servicesquidstartStartingsquid:.[OK]3．Squid服務的停止[root@zhou～]#servicesquidstopStoppingsquid:[OK]4．Squid服務的重新啟動[root@zhou～]#servicesquidrestartStoppingsquid:[OK]Startingsquid:.[OK]5．Squid服務配置重新加載Servicesquidreload或/etc/rc.d/init.d/squidreload注意：Linux中的服務，在更改配置文件后，一定要記得使用重啟服務，讓服務器重新加載配置文件。這樣新的配置才可以生效。13.2安裝Squid6．自動加載squid服務（1）chkconfig使用chkconfig命令自動加載Squid，如下所示。[root@zhou～]#chkconfig--level3squidon#運行級別3自動加載[root@zhou～]#chkconfig--level3squidoff#運行級別3不自動加載（2）ntsysv使用ntsysv命令，利用文本圖形界面對Squid自動加載進行配置，如圖13.2所示。13.3Squid服務器常規配置13.3.1Squid主配置文件squid.conf1．概述2．設置（1）NETWORKOPTIONS是用來設置與網絡相關的一些選項。如設置監聽哪些IP地址的葉些端口。（2）OPTIONSWHICHAFFECTTHENEIGHBORSELECTIONALGORITHM是用來設置與鄰居選擇算法有關的選項。（3）OPTIONSWHICHAFFECTTHECACHESIZE這部份用于設置cache（緩存）大小相關的選項。如設置內存緩沖區大小。（4）LOGFILEPATHNAMESANDCACHEDIRECTORIES用于設置日志文件路徑及cache的目錄。（5）OPTIONSFOREXTERNALSUPPORTPROGRAMS用于設置與外部支持程序相關的選項。（6）OPTIONSFORTUNINGTHECACHE用于調整cache選項。（7）TIMEOUTS用于設置和超時相關的選項。（8）ACCESSCONTROLS用于設置和訪問控制相關的選項。（9）ADMINISTRATIVEPARAMETERS用于設置管理參數。（10）OPTIONSFORTHECACHEREGISTRATIONSERVICE用于設置與cache注冊服務相關的選項。（11）HTTPD-ACCELERATOROPTIONS用于設置HTTPD加速選項。（12）MISCELLANEOUS雜項（13）DELAYPOOLPARAMETERS13.3Squid服務器常規配置使用http_port字段進行設置，如下所示。http_port808013.3.3內存緩沖設置cache_mem512MB13.3.4Squid磁盤緩存cache_dir存儲機制目錄目錄大小L1L2【例13.1】設置/var/spool/squid為硬盤緩存目錄，目錄大小設置為4096MB，L1為16，L2為256。cache_dirufs/var/spool/squid409616256

13.3Squid服務器常規配置13.3.5設置緩存日cache_log/var/log/squid/cache.log13.3.6設置訪問日志文件cache_access_log/var/log/squid/access.log13.3.7設置網頁緩存日志cache_store_log/var/log/squid/store.log13.3.8設置Squid的擁有者cache_effective_usernobady13.3.9設置Squid所屬組cache_effective_groupnobady13.3.10設置DNS服務器地址dns_nameservers513.3.11設置Squid可見主機名visible_hostname013.3.12設置管理員E-mail地址cache_mgrroot@13.3Squid服務器常規配置13.3.13設置訪問控制列表1．ACLacl字段用來定義一張列表，使用方法如下。acl列表名列表類型列表值表13.1常用Squid列表類型13.3Squid服務器常規配置2．http_accesshttp_accessallowd|deny列表名aclallsrc/http_accessallowall注意：如使用多個http_access字段需要注意先后順序的問題。Squid是按照順序讀取訪問控制列表的。所以若順序放置不合理，則可能導致出現問題。13.3Squid服務器常規配置13.3.14Squid代理服務應用案例【例13．2】如圖13.4所示，公司內部網絡采用/24網段的IP地址，所有的主機通過代理服務器接入互聯網(Internet)。代理服務器配有兩塊以太網卡，其中eth0用于連接內網，IP地址為54。eth1接外網，IP地址為自動獲得。代理服務器僅用于代理服務，并不作其他服務器用，內存大小為1GB，硬盤采用SCSI硬盤，容量為200GB。由于目前公司規模不大，客戶端數量并不多，管理員決定采用使用10GB作為硬盤緩存。除此之外，要求所有主機都可以上網。13.3Squid服務器常規配置分析：這是一個最為基本的Squid配置案例，對于小型企業而言，類似這種接入互聯網(Internet)的方法經常用到，通過這種方法可以在一定程度上加速瀏覽網頁的速度，而且可以很好地監控員工上網的情況。對于本案例，首先要做的是配置好Squid服務器上的兩塊網卡，并且開啟路由功能，其次是對主配置文件squid.conf進行修改，設置內存、硬盤緩存、日志以及訪問控制列表等字段。然后重新啟動Squid服務器。在此，僅對服務器端配置做介紹，客戶端配置請參考后面13.5節。13.4Squid服務器高級配置13.4.1代理服器用戶訪問控制1.訪問控制配置方法（1）設置acl名稱acl名稱類型IP或者端口（2）設定http_access字段http_accessallow/denyacl名稱2.配置實例【13.4】禁止地址的客戶端上網ac1client01srchttp_accessdenyclient01【13.5】禁止/8網段客戶端上網aclclient02src/8http_accessdenyclient02【13.6】禁止來自.域的客戶端上網。aclbaddomainsrcdomain.http_accessdenybaddomain【13.7】限制所有員工只能在周一到周五的8-5點上網。aclallsrc/aclmanagetimetimeMTWHF8:00-17:00http_accessallowclient02managetime13.4Squid服務器高級配置time列表類型允許控制基于時間的訪問，可以設置星期和每天的具體時間，星期用大寫字母表示，如表13.2所示。

【13.8】屏蔽站點aclbadsitesrcdstdomain–ihttp_accessdenybadsite【13.9】屏蔽所有包含“sex”的URLaclsexsrcurl_regex–isexhttp_accessdenysex13.4Squid服務器高級配置【13.10】限制/24網段的客戶端并發的最大連數為3aclclient03src/24aclmaxmaxconn3http_accessdenyclient03max【13.11】禁止用戶訪問22232553110119危險端口acldangerous_portport22232553110119http_accessdenydangerous_port或者acldangerous_portport22acldangerous_portport23acldangerous_portport25acldangerous_portport53acldangerous_portport110acldangerous_portport119http_accessdenydangerous_port13.4Squid服務器高級配置假如不確定哪些端口具有危險性，也可以采取更為保守的方法，只允許訪問安全的端口。默認的squid.conf包含了以下的安全端口ACL，如下所示。aclsafe_portsport80#httpaclsafe_portsport21#ftpaclsafe_portsport443563#https、snewsaclsafe_portsport70#gopheraclsafe_portsport210#waisaclsafe_portsport1025-65535#unregisteredportsaclsafe_portsport280#http-mgmtaclsafe_portsport488#gss-httpaclsafe_portsport591#filemakeraclsafe_portsport777#multilinghttphttp_accessdeny!safe_portshttp_accessdeny!safe_ports表示拒絕所有的非safe_ports列表中的端口。這樣設置系統的安全性得到了進一步保障。“！”表示取反。

13.4Squid服務器高級配置13.4.2實現透明代理1.路由及防火墻設置（1）啟用IP轉發[root@zhou～]#echo1>/proc/sys/net/ipv4/ip_forward（2）NAT[root@zhou～]#iptables–tnat–APOSTROUTING–s/16–oeth0–jSNAT--tox.x.x.x2.修改squid.conf[root@zhou～]#cd/etc/squid[root@zhouSquid]#visquid.conf字段修改如下：http_port80cache_mem80MBhttp_accessallowallhttpd_accel_hostvirtualhttpd_accel_port80httpd_accel_with_proxyonhttpd_accel_user_host_headeron3.運行squid[root@zhou～]#servicesquidrestart13.4Squid服務器高級配置13.4.3實現透明代理配置Squid的配置文件，使其支持httpd加速器工作方式。1.編輯squid.conf文件增加以下內容：http_port80①icp_port0aclQUERYurlpath_regexcgi–bin?no_cachedenyQUERYcache_mem16MBcache_dirufs/tmp25616256②log_icp_gqeriesoffbuffered_logs