第八章代理服務器的配置與管理第八章代理服務器的配置與管理2025/1/27代理服務器的配置與管理第八章第八章代理服務器的配置與管理22025/1/27代理服務器的配置與管理目標配置squid為局域網用戶代理上網使用PHProxy搭建WEB在線代理平臺第八章代理服務器的配置與管理32025/1/27對于代理服務器，廣大的用戶一定不會陌生。因為我們經常都會使用代理。比如想在youtube上面看視頻，想訪問fackbook等都需要代理服務器。因為這些網站我們不能直接訪問。上面的例子說明最終用戶買產品是從經銷商處夠買，而經銷商從廠家進貨，經銷商在這里充當一個代理。為什么用戶不直接從產品買呢？到不了產品廠商路程太遠...1.1、代理服務介紹第八章代理服務器的配置與管理42025/1/271.1、代理服務介紹代理服務器和上面的例子幾乎一樣，下面是一些代列服務器的作用共享網絡：使用一個共網IP就可以滿足局域網絡用戶上網的需求訪問代理：翻墻。另外，直接讀取服務器上已有的信息，還可以大大加快訪問速度、節約網絡帶寬防止攻擊：一般的外部掃描、刺探等在到達代理服務器就停止了。這就很好的保護內網用戶的真實信息。...第八章代理服務器的配置與管理52025/1/271.1、代理服務介紹代理服務器工作原理第八章代理服務器的配置與管理62025/1/271.1、代理服務介紹啟動代理服務器，此時代理服務器的主進程將監聽某個綁定的端口并初始化緩存客戶端A向代理服務器發關訪問請求代理服務器在收到請求后創建一個子進程以應對該請求代理服務器與客戶端A建立連接，然后解析客戶端發出的請求并按照預設的訪問規則難證該請求子進程開始查詢緩存，根據查詢結果進行不同的處理目標Web服務器內代理服務器子進程發來的請求，同時代理服務器子進程依據具體的緩存更新算法更新代理服務器緩存代理服務器子進程將目標Web服務器回應轉送給客戶端A第八章代理服務器的配置與管理72025/1/271.1、代理服務介紹代理服務器分為三類正向代理：接收局域網中用戶的請求，接收互聯網上的數據反向代理：和正向代理相反透明代理：用戶不需要設置代理第八章代理服務器的配置與管理82025/1/271.1、代理服務介紹常用的代理服務器軟件有以下幾種：squidsygatewingateccproxy本次課主要講解在Linux使用squid來搭建代理服務器squid是一款優秀的代理服務器軟件，被廣泛應用于Linux和UNIX系統第八章代理服務器的配置與管理92025/1/271.1、代理服務介紹第八章代理服務器的配置與管理102025/1/271.1、代理服務介紹squid安裝配置步驟第八章代理服務器的配置與管理112025/1/271.2、squid安裝使用YUM安裝以下軟件包[root@localhost~]#yum-yinstallsquid第八章代理服務器的配置與管理122025/1/271.3、squid配置squid的服務名稱為squid。主要文件/etc/squid/squid.conf\\主要配置文件監聽端口和IP地址設置http_port3128或http_port54:3128代理服務器的一個很重要的功能是緩沖和儲存數據。在Squid服務器中，主要使用cache_mem、cache_dir、cache_swap_low和cache_swap_high這4個參數來設置緩沖容量的大小。cache_mem用于設定額外提供多少內存容量供squid使用。cache_dir用于設置緩存文件的存儲方式和在硬盤中的存儲位置第八章代理服務器的配置與管理132025/1/271.3、squid配置cache_dirschemedirectorysizeL1L2[options]scheme：用于設置squid的存儲機制，默認為ufsdirectory：緩存文件存放的位置size：指定cache目錄的大小L1和L2對于ufs、aufs和diskd機制。options：squid提供了兩個不同存儲機制的cache_dir選項，分別是read-only標簽和max-sizeread-only選項用于指示squid繼續從cache_dir中讀取文件，但不往里面寫新目標max-size值用于指定存儲在cache的最大目標的容量大小cache_swap_low和cache_swap_highcache_swap_low和cache_swap_high指令控制了對象占用最大cache體積的百分比。cache_swap_low是一個下限值，當在這個值以下時，squid不會刪除cache目標。如果cache體積增加，squid會逐漸刪除目標。在穩定情況下，你會發現磁盤使用總是相對接近cache_swap_low值。cache_swap_high在現在的版本中沒有多大用處第八章代理服務器的配置與管理142025/1/271.3、squid配置訪問控制在默認情況下，squid會拒絕所有客戶的請求。在使用之前需要在squid.conf文件里加入附加的訪問控制規則，也就是定義一個針對客戶端IP地址的訪問控制列表和一系列訪問規則，告訴服務器自哪些IP地址的HTTP請求。ACL參數宣言的語法格式如下：acl列表名稱列表類型列表值1列表值2如定義一個叫LAN和ACL，匹配源地址為/24這個網段aclLANsrc/24定義了ACL之后還需要放到相應的訪問規則才會生效通常我們會使用http_access來設置，格式如下：http_accessallow|deny列表名稱1列表名稱2第八章代理服務器的配置與管理152025/1/271.4、squid配置實例在這臺主機上安裝squid。并配置只監聽54這個IP上的3128和8080兩個端口。周一到周五上午9點到下午18點，不允許機器訪問以net結尾的域名，不能下載.mp3結尾的文件。并只允許通過代理服務器的3128端口訪問外網。只能訪問http服務，訪問的路徑中不能有h關鍵字。并只允許通過代理服務器的8080端口訪問外網。第八章代理服務器的配置與管理162025/1/271.4、squid配置實例http_port20:8080cache_mem128MBcache_dirufs/var/spool/squid100016256cache_swap_low90cache_swap_high95aclclient1-ipsrc33aclclient1-myportmyport3128aclclient1-domaindstdom_regex-inet$aclclient1-downloadurl_regex-i\.mp3$aclclient1-timetimeD09:00-18:00aclallsrc/第八章代理服務器的配置與管理172025/1/271.4、squid配置實例http_accessdenyclient1-domainclient1-timeclient1-iphttp_accessdenyclient1-ipclient1-downloadhttp_accessallowclient1-ipclient1-myportaclclient2-ipsrc34aclclient2-myportmyport8080aclclient2-protocolprotoHTTPaclclient2-URLPATHurlpath_regex-ihhttp_accessdenyclient2-URLPATHclient2-iphttp_accessdeny!client2-protocolclient2-iphttp_accessallowclient2-ipclient2-myport第八章代理服務器的配置與管理182025/1/271.4、squid配置實例dns_nameservers7cache_mgrhuyangyang50201@163.comaccess_log/var/log/squid/access.logcache_effective_usersquidcache_effective_groupsquid[root@localhost~]#/usr/sbin/squid-z[root@localhost~]#servicesquidstart[root@localhost~]#chkconfigsquidon配置修改后可以使用以下命令重新加載配置[root@localhost~]#servicesquidreload第八章代理服務器的配置與管理192025/1/271.4、squid配置實例第八章代理服務器的配置與管理202025/1/271.4、squid配置實例第八章代理服務器的配置與管理212025/1/271.4、squid配置實例第八章代理服務器的配置與管理222025/1/271.5、ACL匹配規則ACL元素的匹配規則當ACL元素有多個值時，任何單個值能導致匹配。換句話說，squid在檢查ACL元素值時使用OR邏輯。當squid找到第一個值匹配時，它停止搜索。這意味著把最可能匹配的值放在列表開頭處，能減少延時。訪問規則的匹配規則訪問規則和ACL元素匹配恰好相反。對http_acceess訪問規則設置，squid使用“與”邏輯。規則中任何一個不匹配請求，squid停止搜索該規則，并繼續下一條。對某個規則來說，將最少匹配的ACL放在首位，能使效率最佳。ACL列表的匹配規則對某個ACL值的匹配算法是，squid在訪問列表里找到匹配規則時，搜索終止。假如沒有訪問規則導致匹配，默認動作是列表里最后一條規則的取反。第八章代理服務器的配置與管理232025/1/271.6、使用LDAP為Squid提供身份驗證http_port20:3128http_port20:8080cache_mem128MBcache_dirufs/var/spool/squid100016256cache_swap_low90cache_swap_high95auth_parambasicprogram/usr/lib/squid/squid_ldap_auth-b"dc=wolk-tech,dc=com"-h20-f"uid=%s"aclauthuserproxy_authREQUIREDaclclient1-ipsrc33第八章代理服務器的配置與管理242025/1/271.6、使用LDAP為Squid提供身份驗證aclclient1-myportmyport3128aclclient1-domaindstdom_regex-inet$aclclient1-downloadurl_regex-i\.mp3$aclclient1-timetimeD09:00-18:00aclallsrc/http_accessdenyclient1-domainclient1-timeclient1-iphttp_accessdenyclient1-ipclient1-downloadhttp_accessallowauthuserclient1-iphttp_accessallowclient1-ipclient1-myportaclclient2-ipsrc34aclclient2-myportmyport8080第八章代理服務器的配置與管理252025/1/271.6、使用LDAP為Squid提供身份驗證aclclient2-protocolprotoHTTPaclclient2-URLPATHurlpath_regex-i^/h/$http_accessdenyclient2-URLPATHclient2-iphttp_accessdeny!client2-protocolclient2-iphttp_accessallowauthuserclient2-iphttp_accessallowclient2-ipclient2-myportdns_nameservers7cache_mgrhuyangyang50201@163.comvisible_hostname20access_log/var/log/squid/access.logcache_effective_usersquidcache_effective_groupsquid第八章代理服務器的配置與管理262025/1/271.6、使用LDAP