第13章Linux網(wǎng)絡(luò)服務(wù)器配置、管理與實(shí)踐教程(第2版)

第13章代理服務(wù)器搭建與測試第13章代理服務(wù)器搭建與測試1. 教學(xué)目標(biāo)與要求 大量擁有內(nèi)部地址的機(jī)器組成了企業(yè)內(nèi)部網(wǎng)，那么如何連接內(nèi)部網(wǎng)和Internet？代理服務(wù)器將是很好的選擇，它能夠解決內(nèi)部網(wǎng)訪問Internet的問題并提供訪問的優(yōu)化和控制功能。本章將講解代理服務(wù)的原理，以及Squid代理軟件的使用方法。通過本章的學(xué)習(xí)，讀者應(yīng)該掌握以下內(nèi)容：·安裝、配置Squid代理的使用?！ふ莆沾矸?wù)的常規(guī)配置?！ふ莆沾淼母呒?jí)配置。2. 教學(xué)重點(diǎn)與難點(diǎn)。

安裝Squid及使用方法，代現(xiàn)服務(wù)的實(shí)際應(yīng)用。13.1代理服務(wù)原理13.1.1什么是代理服務(wù)器13.1.2代理服務(wù)器的工作原理13.1代理服務(wù)原理13.1.3代理服務(wù)器的作用1．提高訪問速度2．用戶訪問限制3．安全性得到提高13.2安裝Squid13.2.1Squid簡介Squid的主要功能有：（1）代理和緩存HTTP、FTP和其他的URL請(qǐng)求。（2）代理SSL請(qǐng)求。（3）支持多級(jí)緩存。（4）支持透明代理。（5）支持ICP、HTCP、CARP等緩存摘要。（6）支持多種方式的訪問控制和全部請(qǐng)求的日志記錄。（7）提供HTTP服務(wù)器加速。（8）能夠緩存DNS查詢。Squid的官方網(wǎng)站是。13.2安裝Squid13.2.2安裝Squid1．Squid所需軟件（1）Squid-2.6.STABLE6-3.el5.i386.rpm2．安裝Squid安裝之前可以使用rpm-qa命令查看是否已經(jīng)Squid安裝，如下所示。[root@zhou～]#rpm-qa|grepsquidsquid-2.6.STABLE6-3.el5如果系統(tǒng)還未安裝Squid軟件或者不慎將其刪除了的話，請(qǐng)插入第二張RedHatEnterpriseLinux5系統(tǒng)安裝光盤進(jìn)行安裝。13.2安裝Squid13.2.3Squid啟動(dòng)和停止1．初始化Squid[root@zhou～]#squid–z2014/03/0312:21:05|CreatingSwapDirectories注意：cache目錄初始化可能花費(fèi)一些時(shí)間，依賴于cache目錄的大小和數(shù)量，以及磁盤驅(qū)動(dòng)的速度。如想查看這個(gè)過程，可以使用-X參數(shù)：[root@zhou～]#squid–zX在cache目錄激活后，永遠(yuǎn)不要改變L1和L2值。13.2安裝Squid2．Squid服務(wù)的啟動(dòng)[root@zhou～]#servicesquidstartStartingsquid:.[OK]3．Squid服務(wù)的停止[root@zhou～]#servicesquidstopStoppingsquid:[OK]4．Squid服務(wù)的重新啟動(dòng)[root@zhou～]#servicesquidrestartStoppingsquid:[OK]Startingsquid:.[OK]5．Squid服務(wù)配置重新加載Servicesquidreload或/etc/rc.d/init.d/squidreload注意：Linux中的服務(wù)，在更改配置文件后，一定要記得使用重啟服務(wù)，讓服務(wù)器重新加載配置文件。這樣新的配置才可以生效。13.2安裝Squid6．自動(dòng)加載squid服務(wù)（1）chkconfig使用chkconfig命令自動(dòng)加載Squid，如下所示。[root@zhou～]#chkconfig--level3squidon#運(yùn)行級(jí)別3自動(dòng)加載[root@zhou～]#chkconfig--level3squidoff#運(yùn)行級(jí)別3不自動(dòng)加載（2）ntsysv使用ntsysv命令，利用文本圖形界面對(duì)Squid自動(dòng)加載進(jìn)行配置，如圖13.2所示。13.3Squid服務(wù)器常規(guī)配置13.3.1Squid主配置文件squid.conf1．概述2．設(shè)置（1）NETWORKOPTIONS是用來設(shè)置與網(wǎng)絡(luò)相關(guān)的一些選項(xiàng)。如設(shè)置監(jiān)聽哪些IP地址的葉些端口。（2）OPTIONSWHICHAFFECTTHENEIGHBORSELECTIONALGORITHM是用來設(shè)置與鄰居選擇算法有關(guān)的選項(xiàng)。（3）OPTIONSWHICHAFFECTTHECACHESIZE這部份用于設(shè)置cache（緩存）大小相關(guān)的選項(xiàng)。如設(shè)置內(nèi)存緩沖區(qū)大小。（4）LOGFILEPATHNAMESANDCACHEDIRECTORIES用于設(shè)置日志文件路徑及cache的目錄。（5）OPTIONSFOREXTERNALSUPPORTPROGRAMS用于設(shè)置與外部支持程序相關(guān)的選項(xiàng)。（6）OPTIONSFORTUNINGTHECACHE用于調(diào)整cache選項(xiàng)。（7）TIMEOUTS用于設(shè)置和超時(shí)相關(guān)的選項(xiàng)。（8）ACCESSCONTROLS用于設(shè)置和訪問控制相關(guān)的選項(xiàng)。（9）ADMINISTRATIVEPARAMETERS用于設(shè)置管理參數(shù)。（10）OPTIONSFORTHECACHEREGISTRATIONSERVICE用于設(shè)置與cache注冊(cè)服務(wù)相關(guān)的選項(xiàng)。（11）HTTPD-ACCELERATOROPTIONS用于設(shè)置HTTPD加速選項(xiàng)。（12）MISCELLANEOUS雜項(xiàng)（13）DELAYPOOLPARAMETERS13.3Squid服務(wù)器常規(guī)配置使用http_port字段進(jìn)行設(shè)置，如下所示。http_port808013.3.3內(nèi)存緩沖設(shè)置cache_mem512MB13.3.4Squid磁盤緩存cache_dir存儲(chǔ)機(jī)制目錄目錄大小L1L2【例13.1】設(shè)置/var/spool/squid為硬盤緩存目錄，目錄大小設(shè)置為4096MB，L1為16，L2為256。cache_dirufs/var/spool/squid409616256

13.3Squid服務(wù)器常規(guī)配置13.3.5設(shè)置緩存日cache_log/var/log/squid/cache.log13.3.6設(shè)置訪問日志文件cache_access_log/var/log/squid/access.log13.3.7設(shè)置網(wǎng)頁緩存日志cache_store_log/var/log/squid/store.log13.3.8設(shè)置Squid的擁有者cache_effective_usernobady13.3.9設(shè)置Squid所屬組cache_effective_groupnobady13.3.10設(shè)置DNS服務(wù)器地址dns_nameservers513.3.11設(shè)置Squid可見主機(jī)名visible_hostname013.3.12設(shè)置管理員E-mail地址cache_mgrroot@13.3Squid服務(wù)器常規(guī)配置13.3.13設(shè)置訪問控制列表1．ACLacl字段用來定義一張列表，使用方法如下。acl列表名列表類型列表值表13.1常用Squid列表類型13.3Squid服務(wù)器常規(guī)配置2．http_accesshttp_accessallowd|deny列表名aclallsrc/http_accessallowall注意：如使用多個(gè)http_access字段需要注意先后順序的問題。Squid是按照順序讀取訪問控制列表的。所以若順序放置不合理，則可能導(dǎo)致出現(xiàn)問題。13.3Squid服務(wù)器常規(guī)配置13.3.14Squid代理服務(wù)應(yīng)用案例【例13．2】如圖13.4所示，公司內(nèi)部網(wǎng)絡(luò)采用/24網(wǎng)段的IP地址，所有的主機(jī)通過代理服務(wù)器接入互聯(lián)網(wǎng)(Internet)。代理服務(wù)器配有兩塊以太網(wǎng)卡，其中eth0用于連接內(nèi)網(wǎng)，IP地址為54。eth1接外網(wǎng)，IP地址為自動(dòng)獲得。代理服務(wù)器僅用于代理服務(wù)，并不作其他服務(wù)器用，內(nèi)存大小為1GB，硬盤采用SCSI硬盤，容量為200GB。由于目前公司規(guī)模不大，客戶端數(shù)量并不多，管理員決定采用使用10GB作為硬盤緩存。除此之外，要求所有主機(jī)都可以上網(wǎng)。13.3Squid服務(wù)器常規(guī)配置分析：這是一個(gè)最為基本的Squid配置案例，對(duì)于小型企業(yè)而言，類似這種接入互聯(lián)網(wǎng)(Internet)的方法經(jīng)常用到，通過這種方法可以在一定程度上加速瀏覽網(wǎng)頁的速度，而且可以很好地監(jiān)控員工上網(wǎng)的情況。對(duì)于本案例，首先要做的是配置好Squid服務(wù)器上的兩塊網(wǎng)卡，并且開啟路由功能，其次是對(duì)主配置文件squid.conf進(jìn)行修改，設(shè)置內(nèi)存、硬盤緩存、日志以及訪問控制列表等字段。然后重新啟動(dòng)Squid服務(wù)器。在此，僅對(duì)服務(wù)器端配置做介紹，客戶端配置請(qǐng)參考后面13.5節(jié)。13.4Squid服務(wù)器高級(jí)配置13.4.1代理服器用戶訪問控制1.訪問控制配置方法（1）設(shè)置acl名稱acl名稱類型IP或者端口（2）設(shè)定http_access字段http_accessallow/denyacl名稱2.配置實(shí)例【13.4】禁止地址的客戶端上網(wǎng)ac1client01srchttp_accessdenyclient01【13.5】禁止/8網(wǎng)段客戶端上網(wǎng)aclclient02src/8http_accessdenyclient02【13.6】禁止來自.域的客戶端上網(wǎng)。aclbaddomainsrcdomain.http_accessdenybaddomain【13.7】限制所有員工只能在周一到周五的8-5點(diǎn)上網(wǎng)。aclallsrc/aclmanagetimetimeMTWHF8:00-17:00http_accessallowclient02managetime13.4Squid服務(wù)器高級(jí)配置time列表類型允許控制基于時(shí)間的訪問，可以設(shè)置星期和每天的具體時(shí)間，星期用大寫字母表示，如表13.2所示。

【13.8】屏蔽站點(diǎn)aclbadsitesrcdstdomain–ihttp_accessdenybadsite【13.9】屏蔽所有包含“sex”的URLaclsexsrcurl_regex–isexhttp_accessdenysex13.4Squid服務(wù)器高級(jí)配置【13.10】限制/24網(wǎng)段的客戶端并發(fā)的最大連數(shù)為3aclclient03src/24aclmaxmaxconn3http_accessdenyclient03max【13.11】禁止用戶訪問22232553110119危險(xiǎn)端口acldangerous_portport22232553110119http_accessdenydangerous_port或者acldangerous_portport22acldangerous_portport23acldangerous_portport25acldangerous_portport53acldangerous_portport110acldangerous_portport119http_accessdenydangerous_port13.4Squid服務(wù)器高級(jí)配置假如不確定哪些端口具有危險(xiǎn)性，也可以采取更為保守的方法，只允許訪問安全的端口。默認(rèn)的squid.conf包含了以下的安全端口ACL，如下所示。aclsafe_portsport80#httpaclsafe_portsport21#ftpaclsafe_portsport443563#https、snewsaclsafe_portsport70#gopheraclsafe_portsport210#waisaclsafe_portsport1025-65535#unregisteredportsaclsafe_portsport280#http-mgmtaclsafe_portsport488#gss-httpaclsafe_portsport591#filemakeraclsafe_portsport777#multilinghttphttp_accessdeny!safe_portshttp_accessdeny!safe_ports表示拒絕所有的非safe_ports列表中的端口。這樣設(shè)置系統(tǒng)的安全性得到了進(jìn)一步保障?！?！”表示取反。

13.4Squid服務(wù)器高級(jí)配置13.4.2實(shí)現(xiàn)透明代理1.路由及防火墻設(shè)置（1）啟用IP轉(zhuǎn)發(fā)[root@zhou～]#echo1>/proc/sys/net/ipv4/ip_forward（2）NAT[root@zhou～]#iptables–tnat–APOSTROUTING–s/16–oeth0–jSNAT--tox.x.x.x2.修改squid.conf[root@zhou～]#cd/etc/squid[root@zhouSquid]#visquid.conf字段修改如下：http_port80cache_mem80MBhttp_accessallowallhttpd_accel_hostvirtualhttpd_accel_port80httpd_accel_with_proxyonhttpd_accel_user_host_headeron3.運(yùn)行squid[root@zhou～]#servicesquidrestart13.4Squid服務(wù)器高級(jí)配置13.4.3實(shí)現(xiàn)透明代理配置Squid的配置文件，使其支持httpd加速器工作方式。1.編輯squid.conf文件增加以下內(nèi)容：http_port80①icp_port0aclQUERYurlpath_regexcgi–bin?no_cachedenyQUERYcache_mem16MBcache_dirufs/tmp25616256②log_icp_gqeriesoffbuffered_logs