第一章:Squid代理服务器

防伪码:只有顽强,明日路纵会更彷徨!

理论概述:

1.缓存代理概述:squid主要提供缓存加速,应用层过滤控制的功能。

2.代理的基本类型

1)传统代理:普通的代理服务器,首先必须在客户机的浏览器、qq聊天工具、下载软件等程序中手动设置代理服务器的地址和端口,然后才能使用代理来访问网络。

2)透明代理:提供与传统代理相同的功能和服务,其区别在于客户机不需要指定代理服务器的地址和端口,而是通过默认路由、防火墙策略将Web访问重定向,实际仍然交给代理服务器来处理。

 实际应用中,传统代理多见于internet环境,如为qq程序使用代理可以隐藏本机的真是ip地址、为下载工具使用多个代理可以规避服务器的并发连接限制。而透明代理多见于局域网环境,如在Linux网关中启用透明代理后,局域网主机无需进行额外设置就可以享受更好的上网速度。


实验部分:

一、搭建传统代理服务器

1、实验拓扑:

wKioL1gF78DyVXUBAAA0UyKVmb0255.png-wh_50

2、实验步骤

1)在服务器B上安装squid代理服务器软件(挂载光盘,解压缩,编译安装)

wKiom1gGdeCSw6YRAABVvJosnY0767.png-wh_50


--prefix=/usr/local/squid   //安装目录

 

--sysconfdir=/etc   //单独将配置文件修改到其他目录

--enable-arp-acl   //可以在规则中设置直接通过客户端mac进行管理,防止客户端使用ip欺骗***

--enable-linux-netfilter   //使用内核过滤

--enable-linux-tproxy   //支持透明模式

--enable-async-io=   //异步i/o,提升存储性能

--enable-err-language=”Simplify_Chinese”   //错误信息的显示语言

--enable-poll   //使用Poll()模式,提升性能

--enable-underscore   //允许url中有下划线

--enable-gnuregex   //使用GNU正则表达式

wKioL1gGdryRGWwFAAAid5rRfwA639.png-wh_50

2)创建连接文件,创建用户和组

wKiom1gGdxOwv4wWAAAsWiRXe-I484.png-wh_50

3)使用squid服务脚本(为了可以方便启动停止服务)

wKioL1gGd2OiiIHyAABhrqwgTkg521.png-wh_50

没有完,下面续写

wKiom1gGd46iAeRMAAA8v1xBUiQ511.png-wh_50

4)设置权限,并添加为系统服务

wKioL1gGd8yxovWDAAAmEsAM2mE717.png-wh_50

5)修改配置文件

  Vi /etc/squid.conf

  主要修改有以下几条配置项,有的配置项需要修改,而有的配置项需要添加。

http_port 3128               squid的默认监听端口tcp    修改    cache_effective_group squid       squid的运行组          添加

cache_effective_user squid        squid的运行用户         添加

visible_hostname  localhost.localdomain 当前系统的主机名        添加

cache_dir ufs /usr/local/squid/var/cache/squid 100 16 256

wKiom1gJjLvxc3t0AAAIb1NcM14065.png-wh_50

wKiom1gGedXBnKlNAACMSEDkJUw615.png-wh_50

6)在防火墙上添加允许策略

wKioL1gGei7QB7QTAAAy7eAb8tM565.png-wh_50


7)启动squid服务

执行:Squid -k parse检测语法是否正确,出现很多内容,一般不用理会,没有提示错误就可以。

执行squid -z 初始化缓存目录,此步必须要做,执行完之后稍微等一会。

执行squid启动服务,也可以使用service squid start启动服务,第一次启动最好用squid启动。

wKioL1gGepTz2qcVAABL9TF1M60017.png-wh_50

wKioL1gGe3LR1iigAAC3h39d0Ak285.png-wh_50

squid

service squid start

wKiom1gGfDTyqSWRAAApS2X_ypc767.png-wh_50

8)在服务器A搭建网站

wKioL1gGfJOSx2KiAAAmrSXTdcU324.png-wh_50

9)在客户机上修改IE浏览器的代理服务器地址

wKiom1gGfN2SJ6CvAABgeXE0qEs866.png-wh_50

10)在客户机上访问网站

*注意要在网站服务器A上开启80端口

wKioL1gGfUfQl1gwAAAiBmSC0Ng906.png-wh_50

wKiom1gGfWOi5jfLAABFiMzXNMw122.png-wh_50

然后停止代理服务器,再次访问发现不能上网,说明客户机是通过代理服务器来上网的。

wKioL1gGfgbg1A5zAAAevYDQqwE903.png-wh_50

wKioL1gGflXiTTBQAABazxaD-4Y180.png-wh_50

11)

在客户机访问网站,然后查看web服务器的访问日志,发现客户机172.16.16.110访问网站172.16.16.172的记录,但是在web服务器中,查看网站日志文件,显示的访问者是代理服务器的地址172.16.16.22,不是客户端的地址。

wKiom1gGf47h0xjwAAA6UWLtbxw343.png-wh_50


wKiom1gGf6ODRm-SAAC0KU3zxog624.png-wh_50

二、搭建透明代理服务器

1、实验拓扑

wKioL1gGf_SBD5JnAABP1b9xbrA896.png-wh_50

2、实验步骤

1)配置squid支持透明代理

vim /etc/squid.conf

wKiom1gGgD7yQw-mAABf0dT8O0Y316.png-wh_50

修改第59行,修改完重载squid服务

wKioL1gGgJLyF1ZVAAAdcb0s9pM073.png-wh_50

2)在服务器B上开启路由转发(临时)

wKiom1gGgMzBpLxSAAAjIur82l0181.png-wh_50

3)配置防火墙重定向

wKioL1gGgP2yAN_mAABKO6GWON4519.png-wh_50

4)在客户机访问网站(必须配置网关)

wKiom1gGgT-TT8WBAABFRrJOmu4813.png-wh_50

5)

如果在linux客户机上测试,需要提前清除HTTP_PROXYHTTPS_PROXY变量

Unset HTTP_PROXY  HTTPS_PROXY

我们就在windows上验证了,因为在实际工作中,员工很少使用LINUX访问网站。

验证方法和传统代理验证方法一样


wKioL1gGgX-h6QAnAABiONF8OuI974.png-wh_50

wKioL1gGgb7xvEo0AADDh-X9m4I131.png-wh_50


在服务器A上查看的访问者是代理服务器172.16.16.22,说明实验正确。

三、设置ACL访问控制


1、禁止下载扩展名为:.mp4,avi视频

2、超过4mb大小的文件不进行缓存,禁止下载超过10mb的文件

3、设置网站黑名单,禁止访问位于.qq.com,.lol.com的网站

4、允许在正常上班时间(周一到周五8:30-17:30)上网

5、默认策略设置为禁止任何客户机使用代理服务器。

vim /etc/squid.conf

wKioL1gGgm2j3EGTAABPxQd72IM019.png-wh_50


wKioL1gGgo6S4HYkAAB4i34uchU840.png-wh_50

wKiom1gGgrHQZ8V4AAAjB8PsdFo960.png-wh_50

在客户端上测试下载文件,超过10mb就禁止下载

(在服务器A的网站目录下新建15mb的文件

wKioL1gGguSDigJQAAB5qQEUmac043.png-wh_50

wKiom1gGgv2hNIaLAACBe_HCRMc585.png-wh_50

四、squid日志分析

1、安装gd库

wKiom1gGgzuhqU82AAAeqgcBXfk224.png-wh_50

2、安装sarg

wKioL1gGg2mC-SD1AABR6jY5ogU568.png-wh_50

3.配置

wKioL1gGg57SoC_eAAAhGJx0900314.png-wh_50

修改以下内容,不同添加,修改即可

1)制定squid的访问日志文件

wKiom1gGhE3x1-gMAAAuRxEwxwY856.png-wh_50

2)网页标题

wKioL1gGhHei-1HhAAAvssymyz8438.png-wh_50

3)sarg报告的输出目录

wKiom1gGhKaSOc4jAAAzXvTWW7M778.png-wh_50

4)使用用户名显示,根据连接次数,访问字节数,采用降序排列,升序将reverse换成normal。

对于用户访问记录,连接次数按降序排列。

wKiom1gGhUnC-kcWAAAvOStZE2E168.png-wh_50

wKioL1gGhWXij6RaAABAfyzfrlg821.png-wh_50

wKiom1gGhYPhNgsqAAAvlNIsEf4893.png-wh_50

5)当有日期报告存在,是否覆盖报告

wKiom1gGhbqD3JvJAAAs_zGea_A689.png-wh_50

6)发送邮件报告

wKioL1gGhd6zdPN0AAAquBBZHJU274.png-wh_50

7)制定不计入排序的站点列表文件

wKioL1gGhi_jvybwAAAyPNKFz4U205.png-wh_50

8)使用的字符集为国际编码

wKiom1gGhhHwYZSmAAAoUwiULVM436.png-wh_50

9)制定top排序的星期周期和时间周期,0为周日

wKiom1gGhnSj4UrpAAA244bUmLE066.png-wh_50

10)网页根目录

wKioL1gGhnSjHTGMAAAwwrRk_RE391.png-wh_50

4、运行

wKiom1gGhnSgbDPvAAA3yNuEW64009.png-wh_50

5、验证

wKioL1gGhnWggrNSAABmSldAqVk582.png-wh_50

6、计划任务


wKiom1gGh0ni4RjZAAAhfapAG3o401.png-wh_50

wKiom1gGh0qTpGcsAAC89R0pl3Q606.jpg-wh_50

crontab -e

wKioL1gGhnXjVAQOAAAfTpi_0as125.png-wh_50

每天0点运行统计昨天的内容

chmod +x /usr/local/sarg/daily.sh

chkconfig crond on