服务器之家:专注于服务器技术及软件下载分享
分类导航

Linux|Centos|Ubuntu|系统进程|Fedora|注册表|Bios|Solaris|Windows7|Windows10|Windows11|windows server|

服务器之家 - 服务器系统 - Linux - Linux下Squid配置详解 Squid代理服务器配置

Linux下Squid配置详解 Squid代理服务器配置

2021-08-27 17:57Linux教程网 Linux

本文介绍Linux下非常著名、常用的Squid代理服务器的使用,并着重讲述如何使用其提供的访问控制策略,来保证代理服务器的合法使用。

代理服务器的功能是代理网络用户取得网络信息,它是网络信息的中转站。随着代理服务器的广泛使用,随之而来的是一系列的安全问题。由于没有对代理服务器的访问控制策略作全面细致的配置,导致用户可以随意地通过代理服务器访问许多色情、反动的非法站点,而这些行为往往又很难追踪,给管理工作带来极大的不便。

  Squid是Linux下一个缓存Internet数据的代理服务器软件,其接收用户的下载申请,并自动处理所下载的数据。也就是说,当一个用户想要下载一个主页时,可以向Squid发出一个申请,要Squid代替其进行下载,然后Squid连接所申请网站并请求该主页,接着把该主页传给用户同时保留一个备份。当别的用户申请同样的页面时,Squid把保存的备份立即传给用户,使用户觉得速度相当快。目前,Squid可以代理HTTP、FTP、GOPHER、SSL和WAIS协议,暂不能代理POP3、NNTP等协议。Squid可以工作在很多操作系统中,如AIX、Digital、Unix、FreeBSD、HP-UX、Irix、Linux、NetBSD、Nextstep、SCO、Solaris、OS/2等。

  安装和配置Squid Server

  通常说来,安装Squid有两种方法:一是从Red Hat Linux 9中获取该软件的RPM包进行;二是安装从Squid的官方站点http://www.squid-cache.org/ 下载该软件的源码进行编译后安装。目前网上最新的稳定版本为squid-2.5.STABLE10,下面以此版本为例对两种安装方法进行介绍。

Linux下Squid配置详解 Squid代理服务器配置

  Squid服务器工作原理示意图

  1. RPM包的安装

  首先,查看是否已经安装了squid:

  #rpm -qa | grep squid

  Red Hat Linux9自带了Squid安装软件包,将第一张安装光盘放入光驱后挂装光盘分区:

  #mount /mnt/cdrom

  然后,进入/mnt/cdrom/Red Hat/RPMS目录:

  #cd /mnt/cdrom/Red Hat/RPMS

  最后,执行安装:

  #rpm -ivh squid-2.5.STABLE1-2.i386.rpm

  当然,我们也可以在开始安装系统的过程中安装该软件。

  2. 源代码包的安装

  从http://www.squid-cache.org/下载squid软件的最新源代码包squid-2.5.STABLE10.tar.gz,然后,按照如下步骤进行安装。

  首先,将该文件拷贝到/tmp目录:

  #cp squid-2.5.STABLE10.tar.gz /tmp

  然后,解开该文件:

  #tar xzvf squid-2.5.STABLE10.tar.gz

  解开后,在/tmp生成一个新的目录squid-2.5.STABLE10,为了方便使用mv命令,将该目录重命名为squid:

  #mv squid-2.5.STABLE10 squid

  切换进入squid目录:

  #cd squid

  接着,执行/configure,可以用./configure --prefix=/directory/you/want指定安装目录,系统默认安装目录为/tmp/squid:

  #./configure

  最后,分别执行make all、make install:

  #make all

  #make install

  安装结束后,Squid的可执行文件在安装目录的bin子目录下,配置文件在etc子目录下。

Squid软件向用户提供了许多与配置、应用程序和库、日志等相关的文档进行配置和管理,Squid有一个主要的配置文件squid.conf。同时,在Red Hat环境下所有Squid的配置文件都位于/etc/squid子目录下。在该目录当中,系统同时提供了一个默认的配置文件,其名称为squid.conf.default,然而,在实际的应用当中,该默认的配置文件存在某些问题,所以在使用Squid之前,必须首先对该配置文件的有关内容进行修改。

  下面介绍squid.conf文件的结构以及一些常用的选项。squid.conf配置文件可以分为13个部分。虽然Squid的配置文件很庞大,该配置文件的规模达到了3000多行。然而,如果只是为一个中小型网络提供代理服务,并且只准备使用一台服务器,那么,配置问题将会变得相对简单,只需要修改配置文件中的几个选项即可满足应用需求。这些几个常用选项分别是:

  1. http_port

  该选项定义Squid监听HTTPD客户连接请求的端口。默认是3128,如果使用HTTPD加速模式,则为80。可以指定多个端口,但是所有指定的端口都必须在一条命令行上出现,程序才能正确地识别。

  2. cache_mem(bytes)

  该选项用于指定Squid可以使用的内存的理想值。这部分内存被用来存储以下对象:In-Transit objects(传入的对象)、Hot Objects(热对象,即用户常访问的对象)、Negative-Cached objects(消极存储的对象)。

  3. cache_dir Directory-Name Mbytes Level1 Level2

  该选项指定Squid用来存储对象的交换空间的大小及其目录结构。可以用多个cache_dir命令来定义多个交换空间,并且这些交换空间可以分布在不同的磁盘分区。“directory”指明了该交换空间的顶级目录。如果想用整个磁盘作为交换空间,那么可以将该目录作为装载点将整个磁盘挂装上去。默认值为/var/spool/squid。Mbytes定义了可用的空间总量。

  配置访问控制

  使用访问控制特性,可以控制在访问时根据特定的时间间隔进行缓存、访问特定站点或一组站点等。Squid访问控制有两个要素:ACL元素和访问列表。通过使用这些方法,系统管理员可以严格、清晰地定义代理服务器的访问控制策略。

  1. ACL元素

  该元素定义的语法如下:

  acl aclname acltype string1…

  acl aclname acltype “file”…

  当使用文件时,该文件的格式为每行包含一个条目。其中,acltype可以是任一个在ACL中定义的名称;任何两个ACL元素不能用相同的名字;每个ACL由列表值组成,当进行匹配检测的时候,多个值由逻辑或运算连接,换句话说,任一ACL元素的值被匹配,则这个ACL元素即被匹配; 并不是所有的ACL元素都能使用访问列表中的全部类型;不同的ACL元素写在不同行中,Squid将这些元素组合在一个列表中。

2. http_access访问控制列表

  根据访问控制列表允许或禁止某一类用户访问。如果某个访问没有相符合的项目,则默认为应用最后一条项目的“非”。比如最后一条为允许,则默认就是禁止。通常应该把最后的条目设为“deny all”或“allow all”来避免安全性隐患。使用该访问控制列表需要注意如下问题:

  ● 这些规则按照它们的排列顺序进行匹配检测,一旦检测到匹配的规则,匹配检测就立即结束;

  ● 访问列表可以由多条规则组成;

  ● 如果没有任何规则与访问请求匹配,默认动作将与列表中最后一条规则对应;

  ● 一个访问条目中的所有元素将用逻辑与运算连接,如下所示:

  http_access Action 声明1 AND 声明2 AND 声明 OR

  http_access Action 声明3

  ● 多个http_access声明间用或运算连接,但每个访问条目的元素间用与运算连接;

  ● 列表中的规则总是遵循由上而下的顺序。

  3. 使用访问控制

  上面详细讲述了ACL元素以及http_access访问控制列表的语法以及使用过程中需要注意的问题,下面给出使用这些访问控制方法的实例。

  如果,允许网段10.0.0.124/24以及192.168.10.15/24内的所有客户机访问代理服务器,并且允许在文件/etc/squid/guest列出的客户机访问代理服务器,除此之外的客户机将拒绝访问本地代理服务器。那么具体操作如下:

  acl clients src 10.0.0.124/24 192.168.10.15/24

  acl guests src “/etc/squid/guest”

  acl all src 0.0.0.0/0.0.0.0

  http_access allow clients

  http_access allow guests

  http_access deny all

  其中,文件“/etc/squid/guest”中的内容为:

  172.168.10.3/24

  210.113.24.8/16

  10.0.1.24/25

  ……

  如果,允许域名为job.net、gdfq.edu.cn的两个域访问本地代理服务器,其他的域都将拒绝访问本地代理服务器。那么具体操作如下:

  acl permitted_domain src job.net gdfq.edu.cn

  acl all src 0.0.0.0/0.0.0.0

  http_access allow permitted_domain

  http_access deny all

  如果,使用正则表达式,拒绝客户机通过代理服务器访问包含有诸如“sexy”等关键字的网站。那么具体操作如下:

  acl deny_url url_regex - sexy

  http_access deny deny_url

  如果,拒绝客户机通过代理服务器访问文件中指定IP或者域名的网站,其中文件/etc/squid/deny_ip中存放有拒绝访问的IP地址,文件/etc/squid/deny_dns中存放有拒绝访问的域名。那么具体操作如下:

  acl deny_ip dst “etc/squid/deny_ip”

  acl deny_dns dst “etc/squid/deny_dns”

  http_access deny deny_ip

  http_access deny deny_dns

  如果,允许和拒绝指定的用户访问指定的网站,其中,允许客户1访问网站http://www.sina.com.cn,而拒绝客户2访问网站http://www.163.com。那么具体操作如下:

  acl client1 src

延伸 · 阅读

精彩推荐
  • Linuxlinux驱动程序开发详细介绍

    linux驱动程序开发详细介绍

    前提,一般来说内核代码的错误可能会引起一个用户进程的死亡,或者整个系统的瘫痪,更严重的后果,可能导致磁盘损伤~因此建议最好有一台实验机进行...

    Linux教程网5392019-12-17
  • Linuxlinux top命令详解

    linux top命令详解

    这篇文章主要介绍了linux top命令详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧...

    sparkdev5622022-03-01
  • LinuxLinux系统下无法卸载挂载的目录怎么办?

    Linux系统下无法卸载挂载的目录怎么办?

    我们在日常运维中经常性会遇到需要进行磁盘的扩容、卸载、挂载等操作,但是有时候这个系统上跑的应用并没有停止或者有其他的运维同事在操作这个目...

    今日头条10302020-12-30
  • Linuxlinux设置tomcat自启动的方法

    linux设置tomcat自启动的方法

    这篇文章主要介绍了linux设置tomcat自启动的方法,需要的朋友可以参考下...

    Linux教程网8512021-10-10
  • Linux理解 Linux/Unix 登录脚本的技巧

    理解 Linux/Unix 登录脚本的技巧

    有一些常见的情况,例如从Debian的包管理程序到Iaas的管理中,很多任务需要设置环境变量才能正常运行。 有时,程序通常只需要在 登陆时运行一次,例如...

    未知1042023-05-12
  • Linuxssh 登录很慢该如何解决

    ssh 登录很慢该如何解决

    这篇文章主要介绍了ssh 登录很慢该如何解决的相关资料,这里提供了两种方法,DNS反向解析及关闭ssh的gssapi认证的解决办法,需要的朋友可以参考下...

    linuxeye9922021-12-16
  • Linux在Linux系统中创建新的亚马逊AWS访问密钥的方法

    在Linux系统中创建新的亚马逊AWS访问密钥的方法

    如何在Linux系统中创建新的亚马逊AWS访问密钥?我在配置一个需要访问我的亚马逊AWS帐号的应用时被要求提供AWS访问密钥ID和秘密访问密钥,我怎样创建一个...

    Linux教程网6182019-10-30
  • Linux将 Linux 终端与 Nautilus 文件管理器结合起来

    将 Linux 终端与 Nautilus 文件管理器结合起来

    Nautilus 是 GNOME 桌面环境中的图形化文件浏览器。你可以使用它来访问和管理系统中的文件和文件夹。 尽管并非所有人都喜欢使用终端来管理文件和目录,...

    未知812023-08-08