Squid 代理服务器

Posted 奋斗的蜗牛灬

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Squid 代理服务器相关的知识,希望对你有一定的参考价值。

目录

前言

Squid 代理服务器的功能:

  • 缓存加速
  • web服务隐藏真实IP(安全性)

一、Squid 代理服务器介绍

Squid 主要定位是缓存加速:缓存从后端的web服务器获取到,加速是为了客户端访问的。

1、代理的工作机制

  • 代替客户机向网站服务器请求数据,从而隐藏真实用户的IP地址(安全性)。
  • 将获得的网页数据(静态 Web 元素)发送给客户机,并保存到缓存中,在下次请求相同的数据时通过缓存快速响应(缓存加速)。

客户端:访问加速
Squid服务器端:缓解后端服务器压力

2、Squid 代理的类型

  • **传统代理:**适用于Internet(如浏览器),需要 在客户机中指定代理服务器的地址和端口
  • **透明代理(常用):**客户机不需指定代理服务器的地址和端口,而是通过 默认路由、ACL防火墙策略 将Web访问重定向给代理服务器处理。需要跨网段。
    • 即 客户端无需指定 Squid 的 IP:端口,直接去访问 Web服务器。其实中间经过了 Squid 代理服务器的加速。
  • **反向代理:**如果 Squid 反向代理服务器中缓存了该请求的资源,则将该请求的资源直接返回给客户端;否则反向代理服务器将向后台的 WEB 服务器请求资源,然后将请求的应答返回给客户端,同时也将该应答缓存在本地,供下一个请求者使用。

二、安装 Squid 服务

环境准备 Squid 机器 :192.168.10.101

首先需要关闭防火墙

systemctl stop firewalld
systemctl disable firewalld
setenforce 0

2.1 编译安装 Squid

yum -y install gcc gcc-c++ make

cd /opt
tar zxvf squid-3.5.28.tar.gz

#进入 squid 安装目录
cd /opt/squid-3.5.28

./configure --prefix=/usr/local/squid \\
--sysconfdir=/etc \\
--enable-arp-acl \\
--enable-linux-netfilter \\
--enable-linux-tproxy \\
--enable-async-io=100 \\
--enable-err-language="Simplify_Chinese" \\
--enable-underscore \\
--disable-poll \\
--enable-epoll \\
--enable-gnuregex

#--------配置模块注释----------
--prefix=/usr/local/squid                  #指定安装目录路径
--sysconfdir=/etc                          #指定配置文件路径
--enable-arp-acl                           #MAC地址管控,防止客户端使用ip欺骗
--enable-linux-netfilter                   #使用内核过滤
--enable-linux-tproxy                      #支持透明模式(如果用透明代理,必须有这个配置)
--enable-async-io=100                      #异步1o,提升存储性能
--enable-err-language="Simplify_Chinese"   #错误信息的显示语言
--enable-underscore                        #允许URL中有下划线
--disable-poll \\                           #关闭默认使用的poll 模式
--enable-epoll \\                           #开启epoll模式,提升性能
--enable-gnuregex                          #使用GNU正则表达式

#---------------------------------------------------#

#编译并安装
make -j2 && make install

在这里插入图片描述

#将 squid 添加到环境变量
ln -s /usr/local/squid/sbin/* /usr/local/sbin/

#创建squid 用户
useradd -M -s /sbin/nologin squid

#修改数组属主为 squid
chown -R squid:squid /usr/local/squid/var/
#/usr/local/squid/var/ 此目录是用于存放缓存文件

在这里插入图片描述

2.2 修改 Squid 的配置文件

vim /etc/squid.conf
......
#----56,插入------
http_access allow all   #一定要放在 http_access deny all 之前,允许任意客户机使用代理服务
						#因为控制规则是自上而下匹配的,先匹配允许所有
http_access deny all
http_port 3128          #用来指定代理服务监听的地址和端口(默认的端口号为 3128)

#-----61行插入-----
cache_effective_user squid	   #添加,指定程序用户,用来设置初始化、运行时缓存的账号,否则启动不成功
cache_effective_group squid	   #添加,指定账号基本组

coredump_dir /usr/local/squid/var/cache/squid	#指定缓存文件目录

在这里插入图片描述

2.3 启动 Squid 服务

#检查配置文件语法是否正确,就是读取一边配置验证是否正确
squid -k parse

#启动 Squid,第一次启动squid服务时,会自动初始化缓存目录
squid -z 					#-z 选项用来初始化缓存目录
squid						#启动 squid 服务

#查看squid 服务进程
netstat -anpt | grep "squid"

在这里插入图片描述

2.4 创建 Squid 服务脚本

vim /etc/init.d/squid

#!/bin/bash
#chkconfig: 35 90 25
PID="/usr/local/squid/var/run/squid.pid"
CONF="/etc/squid.conf"
CMD="/usr/local/squid/sbin/squid"

case "$1" in
   start)
     netstat -natp | grep squid &> /dev/null
     if [ $? -eq 0 ]
     then
       echo "squid is running"
       else
       echo "正在启动 squid..."
       $CMD
     fi
   ;;
   stop)
     $CMD -k kill &> /dev/null
     rm -rf $PID &> /dev/null
   ;;
   status)
     [ -f $PID ] &> /dev/null
        if [ $? -eq 0 ]
          then
            netstat -natp | grep squid
          else
            echo "squid is not running"
        fi
   ;;
   restart)
      $0 stop &> /dev/null
      echo "正在关闭 squid..."
         $0 start &> /dev/null
      echo "正在启动 squid..."
   ;;
   reload)
      $CMD -k reconfigure
   ;;
   check)
      $CMD -k parse
   ;;
   *)
      echo "用法:$0{start|stop|status|reload|check|restart}"
   ;;
esac

35是默认自启动级别,如是-代表任何级别都不自启动;90是启动优先级,25是停止优先级,优先级范围是0100,数字越大,优先级越低。

#授予脚本文件执行权限
chmod +x /etc/init.d/squid

#添加squid启动脚本为chkconfig管理的一个服务
chkconfig --add squid

#在等级35为开机运行服务
chkconfig --level 35 squid on

#查看squid服务在哪些级别中自启
chkconfig --list squid

在这里插入图片描述

也可以在 /usr/lib/systemd/system/ 目录下添加一个 squid.service 的文件,来做系统启动服务。

添加好后就可以控制 squid 服务
systemctl start squid

在这里插入图片描述

三、构建传统代理服务器

部署环境准备

主机操作系统IP地址软件、安装包、工具
Squid-ServerCentOS7192.168.10.101squid-3.5.28.tar.gz
Web-ServerCentOS7192.168.10.111httpd
客户机Windows 10192.168.10.100

3.1 编译安装Squid,修改配置文件

192.168.10.101
在第二章安装好Squid 服务的代理服务器的基础上进行修改配置文件:

vim /etc/squid.conf

#在第二章已经添加过的
http_access allow all
http_access deny all
http_port 3128
cache_effective_user squid
cache_effective_group squid

#-------63行插入---------
cache_mem 64 MB
reply_body_max_size 10 MB
maximum_object_size 4096 KB

#---------注释------
cache_mem 64 MB				 #指定缓存功能所使用的内存空间大小,便于保持访问较频繁的WEB对象,容量最好为4的倍数,单位为MB,建议设为物理内存的1/4
reply_body_max_size 10 MB	 #允许用户下载的最大文件大小,以字节为单位,当下载超过指定大小的Web对象时,浏览器的报错页面中会出现“请求或访问太大”的提示默认设置0表示不进行限制
maximum_object_size 4096 KB	 #允许保存到缓存空间的最大对象大小,以KB为单位,超过大小限制的文件将不被缓存,而是直接转发给用户
#-----------------


#保存配置文件,重启Squid服务
service squid restart

#或systemctl restart squid

在这里插入图片描述
重启使配置生效:service squid restart

3.2 修改防火墙规则

在 192.168.10.101 Squid服务器上添加规则

iptables -F      #清空防火墙规则
#允许所有目标端口是3128的tcp协议的入站数据包通过
iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
iptables -L INPUT   #查看所有入站规则

在这里插入图片描述

3.3 Web 服务器开启服务

192.168.10.111

systemctl stop firewalld.service
setenforce 0

yum -y install httpd
systemctl start httpd
netstat -natp | grep 80

3.4 客户机验证

Windows 客户机 192.168.10.100

1、首先配置客户端IP地址
设置IP地址为 192.168.10.100 、子网掩码为255.255.255.0

因未跨网段,DNS不用设置
在这里插入图片描述

2、打开浏览器,配置代理功能
打开浏览器,工具 –> Internet选项 –> 连接 –> 局域网设置 –> 开启代理服务器(地址:Squid服务器IP地址,端口:3128)

在这里插入图片描述
3 . Squid 服务器(192.168.10.101)查看日志信息

tail -f /usr/local/squid/var/logs/access.log

4 . Web 服务器(192.168.10.111)查看日志信息

查看Web访问日志的新增记录

tail -f /var/log/httpd/access_log

在这里插入图片描述

5 . 客户端通过 http 协议 访问 web 服务器

在浏览器输入Web服务器IP地址访问,查看Web服务器访问日志,显示的是由代理服务器替客户机在访问。
在这里插入图片描述
在这里插入图片描述
查看 web 服务器的 http 日志
看不到客户端的IP ,只能看到代理服务器的IP
在这里插入图片描述

四、构建透明代理服务器

部署环境准备

主机操作系统IP地址软件、安装包、工具
Squid-ServerCentOS7ens33: 192.168.10.101 ens36: 12.0.0.1squid-3.5.28.tar.gz
Web-ServerCentOS712.0.0.12httpd
客户机Windows 10192.168.10.100

在这里插入图片描述
Squid 服务器配置(ens33:192.168.10.101 、ens36:12.0.0.1)

4.1 Squid 服务器关机,添加网卡ens36

两个网卡设置在不同的虚拟网卡上,因为模拟 的是客户机和web服务器不在同一个网段,所以代理服务器上需要两张网卡(相当于网关服务器)。

在这里插入图片描述

cp ifcfg-ens33 ifcfg-ens36
vim ifcfg-ens36
IPADDR=12.0.0.1
NETMASK=255.255.255.0

systemctl restart network
ifconfig

在这里插入图片描述
systemctl restart network
在这里插入图片描述

4.2 修改 Squid 代理服务器的配置文件

vim /etc/squid.conf

......
http_access allow all
http_access deny all
#------60行修改添加提供内网服务的IP地址,和支持透明代理选项 transparent
http_port 192.168.10.101:3128 transparent

systemctl restart squid
netstat -natp | grep 3128

在这里插入图片描述
在这里插入图片描述

4.3 开启路由转发,实现本机中不同网段的地址转发

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p

在这里插入图片描述

4.4 修改防火墙规则

iptables -F
iptables -t nat -F
iptables -t nat -I PREROUTING -i ens33 -s 192.168.10.0/24 -p tcp --dport 80 -j REDIRECT --to 3128
iptables -t nat -I PREROUTING -i ens33 -s 192.168.10.0/24 -p tcp --dport 443 -j REDIRECT --to 3128
iptables -I INPUT -p tcp --dport 3128 -j ACCEPT

在nat表PREROUTING链上创建规则:从ens33网卡入站且源地址为10.0网段的tcp协议且访问本机的80443端口的请求会转发到3128端口


查看nat表的规则: iptables -L -t nat

在这里插入图片描述

4.5 配置 Web 服务器

Web1(12.0.0.12)
在这里插入图片描述
在这里插入图片描述

4.6 客户端配置 与 验证 透明代理

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
查看 Squid 访问日志的新增记录

tail -f /usr/local/squid/var/logs/access.log

#Squid代理服务器上的日志可以检测到客户机ip以及访问的目标网站ip

在这里插入图片描述
查看 Web 访问日志的新增记录,显示的是由代理服务器的外网口代替客户机在访问

tail -f /var/log/httpd/access_log
#从日志内容可以看出是代理服务器外网口12.0.0.1访问web服务器12.0.0.12

在这里插入图片描述

五、ACL 访问控制

在Squid 代理服务器的 配置文件 squid.conf 中,ACL 访问控制通过以下两个步骤来实现:

  • 步骤一:使用 acl 配置项定义需要控制的条件;
  • 步骤二:通过 http_access 配置项对已定义的列表做“允许”或“拒绝”访问的控制。

1.访问控制列表格式

格式:acl 列表名称 列表类型 列表内容
列表类型定义的列表内容
src源地址
dst目标地址
maxconn最大并发连接
port目标地址
dstdomain目标域
url_regex匹配请求URL的任何部分
urlpath_regex与url_regex非常相似(不包含传输协议和主机名)
time访问时间
vim /etc/squid.conf
......
acl localhost src 192.168.10.101/32     #源地址为 192.168.10.101
acl MYLAN src 192.168.10.0/24          #客户机网段
acl destionhost dst 192.168.10.111/32   #目标地址为 192.168.10.111
acl MC20 maxconn 20                     #最大并发连接 20
acl PORT port 21                        #目标端口 21
acl DMBLOCK dstdomain .qq.com           #目标域,匹配域内所有站点
acl BURL url_regex -i ^rtsp:// ^emule://  # rtsp://、emule:// 开头的 URL,-i表示忽略大小写
acl PURL urlpath_regex -i \\.mp3$ \\.mp4$ \\.rmvb$  # .mp3、.mp4、.rmvb 结尾的 URL 路径
acl WORKTIME time MTWHF 08:30-17:30     #时间为周一至周五 8:30~17:30,“MTWHF”为每个星期的英文首字母

功能验证:

部署环境准备

主机操作系统IP地址软件、安装包、工具
Squid-ServerCentOS7ens33: 192.168.10.101 ens36: 12.0.0.1squid-3.5.28.tar.gz
Web-ServerCentOS712.0.0.12httpd
客户机1Windows 10192.168.10.100
客户机2CentOS7192.168.10.50

5.1 Squid 服务器设置

192.168.10.101

首先新增文件 local.list , 添加客户端的 IP 地址
在这里插入图片描述

vim /etc/squid.conf

......
acl myhostname src  "/etc/local.list"   #调用指定文件中的列表内容
......
http_access deny myhostname 		#注意,如果是拒绝列表,需要放在http_access allow all前面

#重启服务
systemctl restart squid
netstat -natp |grep squid
#或netstat -natp |grep 3128

在这里插入图片描述
ACL 规则见之前的博客
在这里插入图片描述
重启 Squid 使服务生效

5.2 客户端访问web服务验证

先用写在 local.list 文件中设置拒绝的机器 192.168.10.100 访问 web 服务器。
在这里插入图片描述
换一台客户端同网段的机器,能够访问,如果也添加到文件中,也无法访问。
在这里插入图片描述

六、Squid 日志分析

6.1 安装图像处理软件包

出现报错,将网卡配置文件中的dns和网关修改回原样
安装在线源

总结:

Squid 会有三种模式:

1、传统代理
需要客户端指向 Squid 代理服务器的 IP:端口,客户端能感知到Squid 代理服务器的存在

2、透明代理(常用)
客户端不需要配置,只要直接访问即可,服务端,借助了防火墙规则及静态路由的方式,完成透明代理

3、反向代理
做为类似与nginx服务器的反向代理功能,但自身不需要一个首页,基于IP:端口,权重的方式完成反向代理
对于 Squid 自身的管理/功能

ACL:主要做的是 http_access(基于http协议,access访问)的允许和拒绝管理

sarg:日志分析功能,可以以天的方式指定将access_log中的内容输出到一个web页面中(借助了httpd)展示出来。|

以上是关于Squid 代理服务器的主要内容,如果未能解决你的问题,请参考以下文章

squid代理服务器应用

squid代理服务器应用

Squid代理服务器(传统代理透明代理)(图文详解)

squid代理服务,搭建传统代理和透明代理案例

squid代理服务,搭建传统代理和透明代理案例

squid 代理