Squid代理非安全端口禁止规则

解释 http_access deny !Safe_ports 配置

这个配置是 Squid 代理服务器中的访问控制规则，用于限制用户可以访问的端口。让我详细解释它的含义和工作原理：

配置分解

• http_access: Squid 的访问控制指令，用于允许或拒绝 HTTP 请求
• deny: 表示拒绝匹配的请求
• !Safe_ports: 感叹号表示逻辑"非"，所以这个规则匹配"不在 Safe_ports 列表中的端口"

完整含义

这条规则的意思是：“拒绝所有访问非安全端口的 HTTP 请求”。

典型应用场景

这个配置通常与 acl Safe_ports 定义一起使用，例如：

acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # 非特权端口
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http

http_access deny !Safe_ports

工作示例

1. 允许的请求:

   • 用户访问 http://example.com (端口80) - 允许，因为80在Safe_ports中
   • 用户访问 https://example.com (端口443) - 允许，因为443在Safe_ports中

2. 拒绝的请求:

   • 用户尝试访问 http://example.com:25 (SMTP端口) - 拒绝，因为25不在Safe_ports列表中
   • 用户尝试访问 http://example.com:22 (SSH端口) - 拒绝

安全意义

这条规则的主要目的是：

• 防止用户通过代理访问可能有害的服务
• 限制代理只用于常见的Web服务
• 减少代理服务器被滥用的风险

这是Squid代理服务器中常见的安全配置之一，通常与其他访问控制规则结合使用来构建完整的访问策略。