文章目录
- 一: ACL访问控制
-
- 1.1: ACL访问控制概述
- 1.2: ACL访问控制实验
- 二: Squid日志分析
- 三: 反向代理
-
- 3.1: 反向代理详解
- 3.2: 实验分析以及结构图
- 3.3: 具体操作分析
一: ACL访问控制
1.1: ACL访问控制概述
-
ACL访问控制方式
根据源地址、目标URL、文件类型等定义列表acl 列表名称 列表类型列表内容...
-
针对已定义的acl列表进行限制
http_access allow或deny 列表名称...
-
ACL规则优先级
一个用户访问代理服务器时,Squid会顺序匹配Squid中定义的所有规则列表,一旦匹配成功,立即停止匹配
所有规则都不匹配时,Squid会使用与最后一条相反的规则 -
常用的ACL列表类型
src --> 源地址 dst --> 目标地址 port端口 odstdomain -->目标域 time -->访问时间 maxconn -->最大并发连接 url_regex -->目标URL地址 Urlpath_regex -->整个目标URL路径
-
最简单的ACL控制
禁止任何客户机使用此代理服务
[root@localhost~]# viletclsquid.conf acl all src 0.0.0.0/0.0.0.0 http_access deny all 定义一条名为all的列表,匹配来自任意 源地址的代理访问;然后拒绝此列表
-
ACL综合应用1
允许多个局域网段在工作时间上网[root@localhost~]# vi letclsquid.conf ...... acl all src 0.0.0.0/0.0.0.0 acl MYLAN src 192.168.1.0/24 192.168.4.0/24 acl WORKTIMEtime MTWHF 08:30-17:30 http_access allow MYLAN WORKTIME http_access deny all
1.2: ACL访问控制实验
-
做传统代理,也可以基于透明代理)
1.解压squid软件包 monut.cifs //192.168.1.150/qq-Download /mnt cd /mnt tar xzvf squid-3.4.6.tar.gz -C /opt 2.安装相关软件包 yum install gcc gcc-c++ make -y 3.配置服务模块,编译安装 cd /opt/squid-3.4.6/ ./configure \ --prefix=/usr/local/squid \ --sysconfdir=/etc --enable-arp-acl \ --enable-linux-netfilter \ --enable-linux-tproxy \ --enable-async-io=100 \ --enable-err-language="Simplify_Chinese" \ --enable-underscore \ --enable-poll \ --enable-gnuregexmake && make install 4.创建软链接,优化服务控制方式 ln -s /usr/local/squid/sbin/squid /usr/local/sbin/ 5.创建squid用户 useradd -M -s /sbin/nologin squid 6.修改squid中的var的属性 chown -R squid.squid /usr/local/squid/var/ 7.编辑squid的配置文件 vim /etc/squid.conf55 # And finally deny all other access to this proxy56 http_access allow all57 http_access deny all //允许所有用户访问58 59 # Squid normally listens to port 312860 http_port 3128 61 cache_mem 64 MB //指定缓存功能所使用的内存空间大小62 reply_body_max_size 10 MB //允许用户下载的最大文件大小63 maximum_object_size 4096 KB //允许保存到缓存空间的最大对象大小64 cache_effective_user squid //添加指定程序用户65 cache_effective_group squid //添加指定账户基本组66 67 # Uncomment and adjust the following to add a disk cache directory.68 #cache_dir ufs /usr/local/squid/var/cache/squid 100 16 2568.编辑防火墙规则 iptables -F //清除所有规则 iptables -I INPUT -p tcp --dport 3128 -j ACCEPT //允许目标端口3128做转发9.检查语法并且开启服务 squid -k parse //检查配置文件语法 squid -z //初始化缓存目录 squid //启动服务 [root@squid ~]# netstat -natp | grep squid tcp6 0 0 :::3128 :::* LISTEN 36414/squid-1) [root@squid ~]# 10.编辑脚本,优化服务控制方式(service 工具) vim /etc/init.d/squid #!/bin/bash #chkconfig: 2345 90 25 PID="/usr/local/squid/var/run/squid.pid" CONF="/etc/squid.conf" CMD="/usr/local/squid/sbin/squid"case "$1" in start)netstat -natp | grep squid &> /dev/nullif [ $? -eq 0 ]thenecho "squid is running"elseecho "正在启动 squid...."echo "成功启动"$CMDfi;; stop)$CMD -k kill &> /dev/nullrm -rf $PID &> /dev/null;; status)[ -f $PID ] &> /dev/nullif [ $? -eq 0 ]thennetstat -natp | grep squidelseecho "squid is not running"fi;; restart)$0 stop &> /dev/nullecho "正在关闭 squid..."echo "关闭成功"$0 start &> /dev/nullecho "正在启动 squid..."echo "启动成功";; reload)$CMD -k reconfigure;; check)$CMD -k parse;;*)echo "用法:$0{start|stop|status|reload|check|restart}";; esacchmod +x /etc/init.d/squid //添加服务执行权限 chkconfig --add squid //添加到service的服务列表 chkconfig --level 35 squid on //开机自启 [root@localhost ~]# service squid restart 正在关闭 squid... 关闭成功 正在启动 squid... 启动成功
-
修改squid配置文件
禁止源地址访问
[root@squid ~]# vim /etc/squid.conf ... # should be allowed acl netlocal src 192.168.100.30 '添加ACL规则' ... # Deny requests to certain unsafe ports http_access deny netlocal '拒绝netlocal列表访问' [root@squid ~]# service squid reload '重新加载如无'
-
禁止访问目的地址
[root@squid ~]# mkdir /etc/squid [root@squid ~]# vim /etc/squid/denyip.list '创建文件' 192.168.100.150 '添加目的地址,web服务器的地址' [root@squid ~]# vim /etc/squid.conf # should be allowed acl destionhost dst "/etc/squid/denyip.list" '添加绝对路径'# Deny requests to certain unsafe ports http_access deny destionhost '添加规则' [root@squid ~]# service squid reload
取消调用
取消调用后可以访问web
二: Squid日志分析
-
Sarg(Squid Analysis Report Generator),是一款squid日志分析工具,采用HTML的格式,详细列出每一位用户访问Internet的站点信息、时间占用信息、排名、连接次数、访问量等
-
在squid代理服务器上配置sarg服务
1.安装必要软件包 yum install -y gd gd-devel2.解压软件包 tar xzvf sarg-2.3.7.tar.gz -C /opt3.安装功能模块,编译安装 mkdir /usr/local/sarg //创建安装目录 cd /opt/sarg-2.3.7 ./configure \ --prefix=/usr/local/sarg \ --sysconfdir=/etc/sarg \ //配置文件存放位置 --enable-extraprotection //额外的安全防护 make && make install 4.编辑sarg的配置文件 [root@squid ~]# vim /etc/sarg/sarg.conf //开启以下功能 前面数字位行号 7 access_log /usr/local/squid/var/logs/access.log //指定访问日志文件 25 title "Squid User Access Reports" //网页标题 120 output_dir /var/www/html/squid-reports //输出网页的目录 178 user_ip no //是否使用用户名显示 184 topuser_sort_field connect reverse //top排序中有连接次数、访问字节、降序排列 降序为reverse,升序为normal 206 exclude_hosts /usr/local/sarg/noreport //不计入排序的站点列表文件,需要创建 257 overwrite_report no //不覆盖同名日志 289 mail_utility mailq.postfix //发送邮件报告,命令 434 charset UTF-8 //开启字符集 517 weekdays 0-6 //按星期周期排序 525 hours 0-23 //按小时周期排序 633 www_document_root /var/www/html //网页根目录5.添加不计入站点文件,添加的域名将不被显示在排序中 touch /usr/local/sarg/noreport6.创建软链接,优化服务控制方式 ln -s /usr/local/sarg/bin/sarg /usr/local/bin7.安装http服务 yum install httpd -y8.开启日志分析服务 [root@squid ~]# sarg SARG: 纪录在文件: 17, reading: 100.00% SARG: 成功的生成报告在 /var/www/html/squid-reports/2020Feb03-2020Feb04 [root@squid ~]# 9.开启httpd服务,关闭防火墙 [root@squid ~]# systemctl stop firewalld [root@squid ~]# setenforce 0 [root@squid ~]# systemctl start httpd [root@squid ~]# netstat -natp | grep 80 tcp6 0 0 :::80 :::* LISTEN 1631/httpd
-
计划性任务的sarg的日志分析
sarg命令常用选项: -l 指定输入日志来源 -o 指定输出目录 -z 处理信息 -d 指定日期
-
执行周期性计划任务,每天生成报告
[root@squid squid-reports]# sarg -l /usr/local/squid/var/logs/access.log -o /var/www/html/squid-reports/ -z -d $date -d "1 day ago" +%d/%m/%Y)-$date +%d/%m/%Y)
-
在客户机访问,日志报告网页
日志分割后
三: 反向代理
3.1: 反向代理详解
-
squid作为代理服务软件,其主要功能是使用代理上网可以节约紧缺的IP地址资源,而且可以阻断外部主机对内部主机的访问,有一定的安全性,但是如果想让互联上的主机访问内部网的主机资源(例如:web站点),又想使内部主机免受外部网主机攻击,一般的代理服务是不能实现的这就需要反向代理来实现
-
什么是反向代理呢?其实,反向代理也就是通常所说的web服务器加速,它是一种通过在繁忙的WEB服务器和internet之间增加一个高速的web缓冲服务器(即:web反向代理服务器)来降低实际的web服务器的负载
-
下面将对几种典型的代理服务作一个简单的比较。在网络上常见的代理服务器有三种:
1. 标准的代理缓冲服务器(传统代理)
一个标准的代理缓冲服务被用于缓存静态的网页(例如:html文件和图片文件等)到本地网络上的一台主机上(即代理服务器)。当被缓存的页面被第二次访问的时候,浏览器将直接从本地代理服务器那里获取请求数据而不再向原web站点请求数据。这样就节省了宝贵的网络带宽,而且提高了访问速度。但是,要想实现这种方式,必须在每一个内部主机的浏览器上明确指明代理服务器的IP地址和端口号。客户端上网时,每次都把请求送给代理服务器处理,代理服务器根据请求确定是否连接到远程web服务器获取数据。如果在本地缓冲区有目标文件,则直接将文件传给用户即可。如果没有的话则先取回文件,先在本地保存一份缓冲,然后将文件发给客户端浏览器。
2. 透明代理缓冲服务器
透明代理缓冲服务和标准代理服务器的功能完全相同。但是,代理操作对客户端的浏览器是透明的(即不需指明代理服务器的IP和端口)。透明代理服务器阻断网络通信,并且过滤出访问外部的HTTP(80端口)流量。如果客户端的请求在本地有缓冲则将缓冲的数据直接发给用户,如果在本地没有缓冲则向远程web服务器发出请求,其余操作和标准的代理服务器完全相同。对于Linux操作系统来说,透明代理使用Iptables或者Ipchains实现。因为不需要对浏览器作任何设置,所以,透明代理对于ISP(Internet服务器提供商)特别有用。
3. 反向代理缓冲服务器
反向代理是和前两种代理完全不同的一种代理服务。使用它可以降低原始WEB服务器的负载。反向代理服务器承担了对原始WEB服务器的静态页面的请求,防止原始服务器过载。它位于本地WEB服务器和Internet之间,处理所有对WEB服务器的请求,阻止了WEB服务器和Internet的直接通信。如果互联网用户请求的页面在代理服务器上有缓冲的话,代理服务器直接将缓冲内容发送给用户。如果没有缓冲则先向WEB服务器发出请求,取回数据,本地缓存后再发送给用户。这种方式通过降低了向WEB服务器的请求数从而降低了WEB服务器的负载。
- 反向代理工作原理
- 当用户浏览器发出一个HTTP请求时,通过域名解析将请求定向到反向代理服务器(如果要实现多个WEB服务器的反向代理,需要将多个WEB服务器的域名都指向反向代理服务器)。由反向代理服务器处理器请求。反向代理一般只缓存可缓冲的数据(比如html网页和图片等),而一些CGI脚本程序或者ASP之类的程序不缓存。它根据从WEB服务器返回的HTTP头标记来缓冲静态页面。有四个最重要HTTP头标记:
Last-Modified: 告诉反向代理页面什么时间被修改
Expires: 告诉反向代理页面什么时间应该从缓冲区中删除
Cache-Control: 告诉反向代理页面是否应该被缓冲
Pragma: 告诉反向代理页面是否应该被缓冲.
例如:在默认情况下,ASP页面返回” Cache-control: private.” ,所以ASP页面时不会在反向代理服务器缓存的
3.2: 实验分析以及结构图
-
类型 IP地址 系统 软件包 squid代理服务器 ens33:192.168.100.140/24 centos7 squid-3.4.6.tar.gz web服务器1 192.168.100.150/24 centos7 web服务器2 192.168.100.160/24 centos7 客户机 192.168.100.10/24 centos7
3.3: 具体操作分析
-
配置squid代理服务器
[root@squid squid-reports]# vim /etc/squid.conf http_port 192.168.100.140:80 accel vhost vport '//监控本机80端口' cache_peer 192.168.100.150 parent 80 0 no-query originserver round-robin max_conn=30 weight=1 name=web1 '//节点服务器1最大访问30,权重1,别名web1' cache_peer 192.168.100.160 parent 80 0 no-query originserver round-robin max_conn=30 weight=1 name=web2 '//节点服务器2最大访问30,权重1,别名web2' cache_peer_domain web1 web2 www.yun.com '//访问www.yun.com匹配web1,web2节点' [root@squid squid-reports]# service squid restart '//重启服务' 正在关闭 squid... 正在启动 squid... [root@squid squid-reports]# netstat -ntap |grep 80 '//查看80端口是否被squid使用' tcp 0 0 192.168.100.140:80 0.0.0.0:* LISTEN 5197/squid-1) //这里如果httpd的80端口在使用,把httpd停掉,这里用不掉,要先空闲80端口
-
配置web服务器两个节点相同
[root@web1 ~]# cd /var/www/html [root@web1 html]# vim index.html '//修改首页内容' <h1>this is web01!</h1> '//web2服务器设置' [root@web2 ~]# yum install httpd -y '//安装httpd服务' [root@web2 ~]# vim /var/www/html/index.html '//修改首页内容' <h1>this is web02 web!</h1> //另外一台Web修改为web01 systemctl stop firewalld.service setenforce 0 systemctl start httpd
客户机环境
-
测试访问