文章目錄
- 1.快取代理概述
- 2.如何搭建傳統代理
- 3.透明代理
- 4.ACL控制
- 5.squid日志分析
- 6.squid代理
1.快取代理概述
1.Web代理的作業機制
快取網頁物件,減少重復請求
2.代理的基本型別
傳統代理:適用于Internet,需明確指定服務器
透明代理:客戶機不需要指定代理服務器的地址和埠,而是通過默認路由、防火墻策略將Web訪問重定向給代理服務器
3.使用代理的好處
提高Web訪問速度
隱藏客戶機的真實IP地址
2.如何搭建傳統代理
| 主機 | IP地址 | 主要軟體 |
|---|---|---|
| Squid代理服務器 | 192.168.100.11 | squid |
| Web網站服務 | 192.168.100.12 | httpd |
| win10 | 192.168.100.13 | 瀏覽器 |
1.安裝依賴包
yum install gcc gcc-c++ -y
2.編譯安裝Squid服務
tar xf squid-3.5.23.tar.gz
cd squid-3.5.23/
./configure \
--prefix=/usr/local/squid \
--sysconfdir=/etc \ #指定組態檔位置
--enable-arp-acl \ #支持acl訪問控制串列
--enable-linux-netfilter \ #打開網路篩選
--enable-linux-tproxy \ #支持透明代理
--enable-async-io=100 \ #io優化
--enable-err-language="Simplify_Chinese" \ #報錯顯示簡體中文
--enable-underscore \ #支持下劃線
--enable-poll \ #默認使用poll模式,開啟epoll模式時提升性能
--enable-gnuregex #支持正則運算式
make && make install
ln -s /usr/local/squid/sbin/* /usr/local/sbin/
useradd -M -s /sbin/nologin squid
chown -R squid.squid /usr/local/squid/var/
3.修改組態檔,優化啟動項
vim /etc/squid.conf
http_access allow all #56行添加此項,表示允許所有IP訪問
#http_access deny all #注釋原有的
http_port 3128
cache_effective_user squid #添加指定用戶squid
cache_effective_group squid #添加指定組squid
coredump_dir /usr/local/squid/var/cache/squid
squid -k parse //檢查組態檔語法
squid -z //初始化快取目錄
squid //啟動服務
netstat -ntap |grep 3128 #檢測是否啟動成功
4.添加服務到service管理
cd /etc/init.d/
vim squid
#!/bin/bash
#chkconfig: 2345 90 25
PID="/usr/local/squid/var/run/squid.pid"
CONF="/etc/squid.conf"
CMD="/usr/local/squid/sbin/squid"
case "$1" in
start)
netstat -natp | grep squid &> /dev/null
if [ $? -eq 0 ]
then
echo "squid is running"
else
echo "正在啟動 squid..."
$CMD
fi
;;
stop)
$CMD -k kill &> /dev/null
rm -rf $PID &> /dev/null
;;
status)
[ -f $PID ] &> /dev/null
if [ $? -eq 0 ]
then
netstat -natp | grep squid
else
echo "squid is not running"
fi
;;
restart)
$0 stop &> /dev/null
echo "正在關閉 squid..."
$0 start &> /dev/null
echo "正在啟動 squid..."
;;
reload)
$CMD -k reconfigure
;;
check)
$CMD -k parse
;;
*)
echo "用法:$0{start|stop|status|reload|check|restart}"
;;
esac
chmod +x /etc/init.d/squid
chkconfig --add squid
chkconfig --level 35 squid on
5.配置傳統代理
vim /etc/squid.conf
http_port 3128
cache_effective_user squid
cache_effective_group squid
cache_mem 64 MB #快取空間大小定義為64 MB
reply_body_max_size 10 MB #允許下載的最大檔案大小,默認0表示不進行限制
maximum_object_size 4096 KB #允許保存到快取空間的最大物件的大小,以KB為單位,超過限制不會快取,直接轉到web端
[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -F -t nat
[root@localhost ~]# setenforce 0
[root@localhost ~]# iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
[root@localhost ~]# systemctl restart squid
6.在web服務器上安裝httpd服務
systemctl stop firewalld.service
yum -y install httpd
systemctl start httpd
#在客戶端上訪問網站,查看是否正常訪問
#查看日志檔案內容,這時來訪IP還是客戶端自己的IP
[root@localhost ~]# cat /var/log/httpd/access_log
7.設定squid代理,查看日志檔案中來訪IP變化
注意:(1)先清除客戶端的瀏覽器快取
(2)手動設定代理–開啟使用代理服務器–設定代理地址和埠–保存
(3)再次訪問apache服務器,查看日志檔案的變化;這時顯示的來訪IP變成了squid代理服務器地址
3.透明代理
在搭建的傳統代理基礎上做如下修改:
Squid 配置雙網卡內網ens33 外網ens36
| 主機 | IP地址 |
|---|---|
| Squid代理服務器 | 192.168.50.11(內網),192.168.100.11(外網) |
| Web網站服務 | 192.168.100.12(外網) |
| 測驗機 | 192.168.50.13(內網) |
測驗機掛代理訪問Web網站
web服務器
route add -net 192.168.50.0/24 gw 192.168.100.11
Squid代理服務器
vi /etc/sysctl.conf
net.ipv4.ip_forward=1 #開啟路由功能
vim /etc/squid.conf
http_port 192.168.50.11:3128 transparent
service squid reload
iptables -t nat -I PREROUTING -i ens37 -s 192.168.50.0/24 -p tcp --dport 80 -j REDIRECT --to 3128
iptables -t nat -I PREROUTING -i ens37 -s 192.168.50.0/24 -p tcp --dport 443 -j REDIRECT --to 3128
iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
不使用代理訪問web
4.ACL控制
Squid提供了強大的代理控制機制,通過合理設定ACL(Access Control List,訪問控制串列)并進行限制,可以針對源地址、目標地址、訪問的URL路徑、訪問的時間等各種條件進行過濾,
1.在組態檔中修改
vim /etc/squid.conf
acl localhost src 192.168.50.13/32
http_access deny localhost
重啟服務
systemctl restart squid
再次訪問,出現以下界面
其他的一些限制
vi /etc/squid.conf
acl localhost src 192.168.100.13/32 #針對固定源IP地址
acl MYLAN src 192.168.100.0/24 #針對某一網段
acl destionhost dst 192.168.175.130/32 #針對具體的目標IP地址
acl MC20 maxconn 20 #訪問的最大并發連接數量
acl BURL url_regex -i ^rtsp:// ^emule:// #正則運算式的訪問協議
acl PURL urlpath_regex -i \.mp3$ \.mp4$ \.rmvb$ #訪問的檔案資源末尾
acl work time MTWHFAC 08:30-17:30 #訪問時間
http_access deny destionhost #拒絕串列(注意置頂)
啟用物件串列管理
mkdir /etc/squid #啟用物件串列管理
vim dest.list
192.168.175.150
192.168.175.140
192.168.175.130 #目標web
vim /etc/squid.conf
acl destionhost dst "/etc/squid/dest.list"
http_access deny destionhost #拒絕串列(注意置頂)
5.squid日志分析
1.編譯安裝sarg軟體
[root@server1 ~]# yum install -y gd gd-devel
mkdir /usr/local/sarg
tar zxvf sarg-2.3.7.tar.gz -C /opt/
cd /opt/sarg-2.3.7
./configure --prefix=/usr/local/sarg \
--sysconfdir=/etc/sarg \
--enable-extraprotection #額外安全防護
make && make install
2.修改組態檔
cd /etc/sarg/
vim sarg.conf
7/ access_log /usr/local/squid/var/logs/access.log //指定訪問日志檔案
25/ title "Squid User Access Reports" //網頁標題
120/ output_dir /var/www/html/squid-reports //報告輸出目錄
178/ user_ip no //使用用戶名顯示
206/ exclude_hosts /usr/local/sarg/noreport //不計入排序的站點串列檔案
184/ topuser_sort_field connect reverse //top排序中有連接次數、訪問位元組、降序排列 升序是normal
(注釋掉)190/ user_sort_field reverse //用戶訪問記錄 連接次數、訪問位元組按降序排序
257/ overwrite_report no //同名日志是否覆寫
289/ mail_utility mailq.postfix //發送郵件報告命令
434/ charset UTF-8 //使用字符集
518/ weekdays 0-6 //top排行的星期周期
525/ hours 0-23 //top排行的時間周期
633/ www_document_root /var/www/html //網頁根目錄
3.修改測驗
#添加不計入站點檔案,添加的域名將不被顯示在排序中
touch /usr/local/sarg/noreport
ln -s /usr/local/sarg/bin/sarg /usr/local/bin/
[root@localhost sarg]# sarg
SARG: 紀錄在檔案: 242, reading: 100.00%
SARG: 成功的生成報告在 /var/www/html/squid-reports/2018Jul21-2018Jul21
yum install httpd -y
systemctl start httpd
systemctl stop firewalld
http://192.168.175.128/squid-reports
周期性計劃
crontab -e
*/1 * * * * /usr/local/bin/sarg 每分鐘生成一次,用于測驗
#周期性計劃任務執行每天生成報告crontab
sarg -l /usr/local/squid/var/logs/access.log -o /var/www/html/squid-reports/ -z -d $(date -d "1 day ago" +%d/%m/%Y)-$(date +%d/%m/%Y)
然后用客戶機訪問http://192.168.100.11/squid-reports
6.squid代理
反向代理,其實客戶端對代理是無感知的,因為客戶端不需要任何配置就可以訪問,我們只需要將請求發送到反向代理服務器,由反向代理服務器去選擇目標服務器獲取資料后,在回傳給客戶端,此時反向代理服務器和目標服務器對外就是一個服務器,暴露的是代理服務器地址,隱藏了真實服務器 IP 地址,
因為httpd會占用80埠,所以必須關閉squid服務器中的httpd服務
1.介紹
傳統和透明是為客戶端服務的,借助squid加快訪問web服務的速度,或者是公司內部對員工上網行為做限制使用的,反向代理模式下的squid的服務物件是web服務器,通過squid來隱藏真實web服務器IP,加快客戶的訪問速度,還有負載均衡的功能,
反向代理的設定,需要通過三個步驟來完成:
- DNS決議
- SQUID配置
- 埠轉發
2.專案規劃
一臺squid服務器
兩臺web服務器,web1:192.168.100.12 web2:192.168.100.13
一臺win10客戶端
3.web服務器部署
//安裝httpd
yum install httpd -y
//設定網頁內容
echo "this is test02 web" > /var/www/html/index.html #web1換一下數字
route add -net 192.168.50.0/24 gw 192.168.100.11 #靜態路由
//開啟web服務
systemctl start httpd
4.squid代理配置
//設定防火墻規則
systemctl start firewalld
iptables -L #查看防火墻規則
iptables -F
iptables -t nat -F
iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
vim /etc/squid.conf
#去掉透明代理設定反向代理
http_port 192.168.100.11:80 accel vhost vport
#節點服務器1最大訪問30,權重1,別名web1
cache_peer 192.168.100.12 parent 80 0 no-query originserver round-robin max_conn=30 weight=1 name=web1
#節點服務器2最大訪問30,權重1,別名web2
cache_peer 192.168.100.13 parent 80 0 no-query originserver round-robin max_conn=30 weight=1 name=web2
#訪問yun.com匹配web1,web2節點
cache_peer_domain web1 web2 www.yun.com
service squid restart
5.在客戶端設定hosts
vi /etc/hosts
192.168.100.11 www.yun.com
訪問www.yun.com
兩個頁面交替
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/220130.html
標籤:其他