Squid 代理服务器
Posted 奋斗的蜗牛灬
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Squid 代理服务器相关的知识,希望对你有一定的参考价值。
前言
Squid 代理服务器的功能:
- 缓存加速
- web服务隐藏真实IP(安全性)
一、Squid 代理服务器介绍
Squid 主要定位是缓存加速:缓存从后端的web服务器获取到,加速是为了客户端访问的。
1、代理的工作机制
- 代替客户机向网站服务器请求数据,从而隐藏真实用户的IP地址(安全性)。
- 将获得的网页数据(静态 Web 元素)发送给客户机,并保存到缓存中,在下次请求相同的数据时通过缓存快速响应(缓存加速)。
客户端:访问加速
Squid服务器端:缓解后端服务器压力
2、Squid 代理的类型
- **传统代理:**适用于Internet(如浏览器),需要 在客户机中指定代理服务器的地址和端口。
- **透明代理(常用):**客户机不需指定代理服务器的地址和端口,而是通过 默认路由、ACL防火墙策略 将Web访问重定向给代理服务器处理。需要跨网段。
- 即 客户端无需指定 Squid 的
IP:端口
,直接去访问 Web服务器。其实中间经过了 Squid 代理服务器的加速。
- 即 客户端无需指定 Squid 的
- **反向代理:**如果 Squid 反向代理服务器中缓存了该请求的资源,则将该请求的资源直接返回给客户端;否则反向代理服务器将向后台的 WEB 服务器请求资源,然后将请求的应答返回给客户端,同时也将该应答缓存在本地,供下一个请求者使用。
二、安装 Squid 服务
环境准备 Squid 机器 :192.168.10.101
首先需要关闭防火墙
systemctl stop firewalld
systemctl disable firewalld
setenforce 0
2.1 编译安装 Squid
yum -y install gcc gcc-c++ make
cd /opt
tar zxvf squid-3.5.28.tar.gz
#进入 squid 安装目录
cd /opt/squid-3.5.28
./configure --prefix=/usr/local/squid \\
--sysconfdir=/etc \\
--enable-arp-acl \\
--enable-linux-netfilter \\
--enable-linux-tproxy \\
--enable-async-io=100 \\
--enable-err-language="Simplify_Chinese" \\
--enable-underscore \\
--disable-poll \\
--enable-epoll \\
--enable-gnuregex
#--------配置模块注释----------
--prefix=/usr/local/squid #指定安装目录路径
--sysconfdir=/etc #指定配置文件路径
--enable-arp-acl #MAC地址管控,防止客户端使用ip欺骗
--enable-linux-netfilter #使用内核过滤
--enable-linux-tproxy #支持透明模式(如果用透明代理,必须有这个配置)
--enable-async-io=100 #异步1o,提升存储性能
--enable-err-language="Simplify_Chinese" #错误信息的显示语言
--enable-underscore #允许URL中有下划线
--disable-poll \\ #关闭默认使用的poll 模式
--enable-epoll \\ #开启epoll模式,提升性能
--enable-gnuregex #使用GNU正则表达式
#---------------------------------------------------#
#编译并安装
make -j2 && make install
#将 squid 添加到环境变量
ln -s /usr/local/squid/sbin/* /usr/local/sbin/
#创建squid 用户
useradd -M -s /sbin/nologin squid
#修改数组属主为 squid
chown -R squid:squid /usr/local/squid/var/
#/usr/local/squid/var/ 此目录是用于存放缓存文件
2.2 修改 Squid 的配置文件
vim /etc/squid.conf
......
#----56行,插入------
http_access allow all #一定要放在 http_access deny all 之前,允许任意客户机使用代理服务
#因为控制规则是自上而下匹配的,先匹配允许所有
http_access deny all
http_port 3128 #用来指定代理服务监听的地址和端口(默认的端口号为 3128)
#-----61行插入-----
cache_effective_user squid #添加,指定程序用户,用来设置初始化、运行时缓存的账号,否则启动不成功
cache_effective_group squid #添加,指定账号基本组
coredump_dir /usr/local/squid/var/cache/squid #指定缓存文件目录
2.3 启动 Squid 服务
#检查配置文件语法是否正确,就是读取一边配置验证是否正确
squid -k parse
#启动 Squid,第一次启动squid服务时,会自动初始化缓存目录
squid -z #-z 选项用来初始化缓存目录
squid #启动 squid 服务
#查看squid 服务进程
netstat -anpt | grep "squid"
2.4 创建 Squid 服务脚本
vim /etc/init.d/squid
#!/bin/bash
#chkconfig: 35 90 25
PID="/usr/local/squid/var/run/squid.pid"
CONF="/etc/squid.conf"
CMD="/usr/local/squid/sbin/squid"
case "$1" in
start)
netstat -natp | grep squid &> /dev/null
if [ $? -eq 0 ]
then
echo "squid is running"
else
echo "正在启动 squid..."
$CMD
fi
;;
stop)
$CMD -k kill &> /dev/null
rm -rf $PID &> /dev/null
;;
status)
[ -f $PID ] &> /dev/null
if [ $? -eq 0 ]
then
netstat -natp | grep squid
else
echo "squid is not running"
fi
;;
restart)
$0 stop &> /dev/null
echo "正在关闭 squid..."
$0 start &> /dev/null
echo "正在启动 squid..."
;;
reload)
$CMD -k reconfigure
;;
check)
$CMD -k parse
;;
*)
echo "用法:$0{start|stop|status|reload|check|restart}"
;;
esac
35是默认自启动级别,如是-代表任何级别都不自启动;90是启动优先级,25是停止优先级,优先级范围是0-100,数字越大,优先级越低。
#授予脚本文件执行权限
chmod +x /etc/init.d/squid
#添加squid启动脚本为chkconfig管理的一个服务
chkconfig --add squid
#在等级3和5为开机运行服务
chkconfig --level 35 squid on
#查看squid服务在哪些级别中自启
chkconfig --list squid
也可以在 /usr/lib/systemd/system/
目录下添加一个 squid.service 的文件,来做系统启动服务。
添加好后就可以控制 squid 服务
systemctl start squid
三、构建传统代理服务器
部署环境准备
主机 | 操作系统 | IP地址 | 软件、安装包、工具 |
---|---|---|---|
Squid-Server | CentOS7 | 192.168.10.101 | squid-3.5.28.tar.gz |
Web-Server | CentOS7 | 192.168.10.111 | httpd |
客户机 | Windows 10 | 192.168.10.100 |
3.1 编译安装Squid,修改配置文件
192.168.10.101
在第二章安装好Squid 服务的代理服务器的基础上进行修改配置文件:
vim /etc/squid.conf
#在第二章已经添加过的
http_access allow all
http_access deny all
http_port 3128
cache_effective_user squid
cache_effective_group squid
#-------63行插入---------
cache_mem 64 MB
reply_body_max_size 10 MB
maximum_object_size 4096 KB
#---------注释------
cache_mem 64 MB #指定缓存功能所使用的内存空间大小,便于保持访问较频繁的WEB对象,容量最好为4的倍数,单位为MB,建议设为物理内存的1/4
reply_body_max_size 10 MB #允许用户下载的最大文件大小,以字节为单位,当下载超过指定大小的Web对象时,浏览器的报错页面中会出现“请求或访问太大”的提示默认设置0表示不进行限制
maximum_object_size 4096 KB #允许保存到缓存空间的最大对象大小,以KB为单位,超过大小限制的文件将不被缓存,而是直接转发给用户
#-----------------
#保存配置文件,重启Squid服务
service squid restart
#或systemctl restart squid
重启使配置生效:service squid restart
3.2 修改防火墙规则
在 192.168.10.101 Squid服务器上添加规则
iptables -F #清空防火墙规则
#允许所有目标端口是3128的tcp协议的入站数据包通过
iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
iptables -L INPUT #查看所有入站规则
3.3 Web 服务器开启服务
192.168.10.111
systemctl stop firewalld.service
setenforce 0
yum -y install httpd
systemctl start httpd
netstat -natp | grep 80
3.4 客户机验证
Windows 客户机 192.168.10.100
1、首先配置客户端IP地址
设置IP地址为 192.168.10.100 、子网掩码为255.255.255.0
因未跨网段,DNS不用设置
2、打开浏览器,配置代理功能
打开浏览器,工具 –> Internet选项 –> 连接 –> 局域网设置 –> 开启代理服务器(地址:Squid服务器IP地址,端口:3128)
3 . Squid 服务器(192.168.10.101)查看日志信息
tail -f /usr/local/squid/var/logs/access.log
4 . Web 服务器(192.168.10.111)查看日志信息
查看Web访问日志的新增记录
tail -f /var/log/httpd/access_log
5 . 客户端通过 http 协议 访问 web 服务器
在浏览器输入Web服务器IP地址访问,查看Web服务器访问日志,显示的是由代理服务器替客户机在访问。
查看 web 服务器的 http 日志
看不到客户端的IP ,只能看到代理服务器的IP
四、构建透明代理服务器
部署环境准备
主机 | 操作系统 | IP地址 | 软件、安装包、工具 |
---|---|---|---|
Squid-Server | CentOS7 | ens33: 192.168.10.101 ens36: 12.0.0.1 | squid-3.5.28.tar.gz |
Web-Server | CentOS7 | 12.0.0.12 | httpd |
客户机 | Windows 10 | 192.168.10.100 |
Squid 服务器配置(ens33:192.168.10.101 、ens36:12.0.0.1)
4.1 Squid 服务器关机,添加网卡ens36
两个网卡设置在不同的虚拟网卡上,因为模拟 的是客户机和web服务器不在同一个网段,所以代理服务器上需要两张网卡(相当于网关服务器)。
cp ifcfg-ens33 ifcfg-ens36
vim ifcfg-ens36
IPADDR=12.0.0.1
NETMASK=255.255.255.0
systemctl restart network
ifconfig
systemctl restart network
4.2 修改 Squid 代理服务器的配置文件
vim /etc/squid.conf
......
http_access allow all
http_access deny all
#------60行修改添加提供内网服务的IP地址,和支持透明代理选项 transparent
http_port 192.168.10.101:3128 transparent
systemctl restart squid
netstat -natp | grep 3128
4.3 开启路由转发,实现本机中不同网段的地址转发
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p
4.4 修改防火墙规则
iptables -F
iptables -t nat -F
iptables -t nat -I PREROUTING -i ens33 -s 192.168.10.0/24 -p tcp --dport 80 -j REDIRECT --to 3128
iptables -t nat -I PREROUTING -i ens33 -s 192.168.10.0/24 -p tcp --dport 443 -j REDIRECT --to 3128
iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
在nat表PREROUTING链上创建规则:从ens33网卡入站且源地址为10.0网段的tcp协议且访问本机的80和443端口的请求会转发到3128端口
查看nat表的规则: iptables -L -t nat
4.5 配置 Web 服务器
Web1(12.0.0.12)
4.6 客户端配置 与 验证 透明代理
查看 Squid 访问日志的新增记录
tail -f /usr/local/squid/var/logs/access.log
#Squid代理服务器上的日志可以检测到客户机ip以及访问的目标网站ip
查看 Web 访问日志的新增记录,显示的是由代理服务器的外网口代替客户机在访问
tail -f /var/log/httpd/access_log
#从日志内容可以看出是代理服务器外网口12.0.0.1访问web服务器12.0.0.12
五、ACL 访问控制
在Squid 代理服务器的 配置文件 squid.conf 中,ACL 访问控制通过以下两个步骤来实现:
- 步骤一:使用
acl
配置项定义需要控制的条件; - 步骤二:通过
http_access
配置项对已定义的列表做“允许”或“拒绝”访问的控制。
1.访问控制列表格式
格式:acl 列表名称 列表类型 列表内容 …
列表类型 | 定义的列表内容 |
---|---|
src | 源地址 |
dst | 目标地址 |
maxconn | 最大并发连接 |
port | 目标地址 |
dstdomain | 目标域 |
url_regex | 匹配请求URL的任何部分 |
urlpath_regex | 与url_regex非常相似(不包含传输协议和主机名) |
time | 访问时间 |
vim /etc/squid.conf
......
acl localhost src 192.168.10.101/32 #源地址为 192.168.10.101
acl MYLAN src 192.168.10.0/24 #客户机网段
acl destionhost dst 192.168.10.111/32 #目标地址为 192.168.10.111
acl MC20 maxconn 20 #最大并发连接 20
acl PORT port 21 #目标端口 21
acl DMBLOCK dstdomain .qq.com #目标域,匹配域内所有站点
acl BURL url_regex -i ^rtsp:// ^emule:// #以 rtsp://、emule:// 开头的 URL,-i表示忽略大小写
acl PURL urlpath_regex -i \\.mp3$ \\.mp4$ \\.rmvb$ #以 .mp3、.mp4、.rmvb 结尾的 URL 路径
acl WORKTIME time MTWHF 08:30-17:30 #时间为周一至周五 8:30~17:30,“MTWHF”为每个星期的英文首字母
功能验证:
部署环境准备
主机 | 操作系统 | IP地址 | 软件、安装包、工具 |
---|---|---|---|
Squid-Server | CentOS7 | ens33: 192.168.10.101 ens36: 12.0.0.1 | squid-3.5.28.tar.gz |
Web-Server | CentOS7 | 12.0.0.12 | httpd |
客户机1 | Windows 10 | 192.168.10.100 | |
客户机2 | CentOS7 | 192.168.10.50 |
5.1 Squid 服务器设置
192.168.10.101
首先新增文件 local.list , 添加客户端的 IP 地址
vim /etc/squid.conf
......
acl myhostname src "/etc/local.list" #调用指定文件中的列表内容
......
http_access deny myhostname #注意,如果是拒绝列表,需要放在http_access allow all前面
#重启服务
systemctl restart squid
netstat -natp |grep squid
#或netstat -natp |grep 3128
ACL 规则见之前的博客
重启 Squid 使服务生效
5.2 客户端访问web服务验证
先用写在 local.list 文件中设置拒绝的机器 192.168.10.100 访问 web 服务器。
换一台客户端同网段的机器,能够访问,如果也添加到文件中,也无法访问。
六、Squid 日志分析
6.1 安装图像处理软件包
出现报错,将网卡配置文件中的dns和网关修改回原样
安装在线源
总结:
Squid 会有三种模式:
1、传统代理
需要客户端指向 Squid 代理服务器的 IP:端口,客户端能感知到Squid 代理服务器的存在
2、透明代理(常用)
客户端不需要配置,只要直接访问即可,服务端,借助了防火墙规则及静态路由的方式,完成透明代理
3、反向代理
做为类似与nginx服务器的反向代理功能,但自身不需要一个首页,基于IP:端口
,权重的方式完成反向代理
对于 Squid 自身的管理/功能
ACL:主要做的是 http_access(基于http协议,access访问)的允许和拒绝管理
sarg:日志分析功能,可以以天的方式指定将access_log中的内容输出到一个web页面中(借助了httpd)展示出来。|
以上是关于Squid 代理服务器的主要内容,如果未能解决你的问题,请参考以下文章