标签:squid 虚拟机 Squid acl 网卡 Linux 我们 输入
小知识:
正确的使用Squid服务程序部署代理缓存服务可以有效提升访问静态资源的效率,降低原服务器的负载。
不仅如此,还为读者们添加了对指定IP地址、网页关键词、网址与文件后缀的ACL访问限制功能的实验,真的很实用哦~
简单说就是客户端A向代理服务器提出访问Internet的请求,代理服务器接受请求之后先去缓存里看有没有它所需要的,有就给它,没有就代替客户端向Internet上的主机发送请求,同时将资源缓存到本地
还有以个更重要的优点是,可以控制客户端能够访问哪些网页,不能够访问那些网页。
首先我们在虚拟机上通过yum仓库下载安装squid服务
输入命令:yum install squid -y
做代理服务器最好是双网卡,所有我们在我们的虚拟机上再加一块网卡,右键虚拟机选项卡,
两块网卡都设置成桥接模式
回到我们虚拟机我们看一下,发现已经有了两块网卡
设置一下第二块网卡的ip,我们那这个网卡模拟公网的ip,记得重启一下网卡
现在我们可以看到我们虚拟机已经有了两块网卡(在我虚拟机中ens33为内部局域网网关,ens36网卡为外部公网网关)
接下来我们来到第二台虚拟机下载一下httpd服务,之后再重启一下这个服务
我们在这个主页写一点信息 首先进入/var/www/html下
输入命令:echo"wo shi longshisan">index.html
已经可以看到我们写好主页了
我们接下来把第二台虚拟机的ip改成公网ip(记得重启一下网卡)
我们那我们的第一台虚拟机ping一下我们刚才配的第二台虚拟机
打开刚才我们在另外一台计算机上的网页也是可以的(记得在服务器上将防火墙关闭)
我们这个时候打开第三台虚拟机,使第三台虚拟机的ip和我们第一台也就是作为代理服务器的虚拟机中的非公网网段的IP一致
之后我们打开cmd命令行下,ping一下200.200.200.200这个公网IP是否可以ping通(当然啦不在一个网段肯定是ping不通,我们最后要做的是通过服务器转发使他可以ping通)
接下来我们来修改一下squid服务的配置文件,对应位置添加这样一行,把下一行注释掉
输入命令: vi /etc/squid/squid.conf
手动添加信息 (记得保存)
重启一下服务(可以设置开机启动)
接下来我们打开我们win2003虚拟机上的火狐浏览器(没有的话下载一个 ,没有必要必须是win2003虚拟机,win虚拟机都可以)
接下来打开火狐点击右上角,选择选项
进去之后选择高级,点击网络中的设置
我们使用代理模式,输入我们的代理ip(3128端口是我们在服务器上写的想改,可以把前面我们设置的改一下)
这个时候你在输入网址框输入http://200.200.200.200就可以访问我们在·第二台虚拟机上多建立的那个网页啦,即使不在一个网段、
在我们的服务器上我们可以看到谁访问了我们的使用了我们的代理
输入命令:cat /var/log/squid/access.log
透明传输
透明传输的意思就是你不需要在火狐浏览器里选择使用代理模式一样可以访问我们200的那个网页
在上面的基础上我们将火狐浏览器设置成不使用代理
每次实验前我们清空一下缓存,否则可能会影响实验效果
透明正向代理
我们在win2008虚拟机上设置网关为我们的squid服务器
首先打开我们的配置文件(在服务器上)改成这样
输入命令:vi /etc/squid/squid.conf
改完之后我们来重启一下服务
我们再重载一下服务
输入命令:service squid reload
接下来我们修改防火墙重定向策略,来自192.168.22.0的网络重定向到3128端口 一个是80端口的一个是443的
输入命令:iptables -t nat -I PREROUTING -i ens33 -s 192.168.22.0/24 -p tcp --dport 80 -j REDIRECT --to 3128
输入命令:iptables -t nat -I PREROUTING -i ens33 -s 192.168.22.0/24 -p tcp --dport 443 -j REDIRECT --to 3128
之后添加防火墙策略并应用允许3128端口通过 然后重启squid
输入命令:iptables -I INPUT -p tcp --dport 3218 -j ACCEPT
我们可以用检查错误的命令检查一下,检查我们的配置文件有没有错误(我的没有错误)
输入命令:squid -k parse
打开我们的火狐浏览器看看我们的网页吧 输入200.200.200.200
透明反向代理
编辑Squid服务程序的配置文件(正向代理与反向代理不能同时使用,请还原您前面修改过的参数)
输入命令:vi /etc/squid/squid.conf
//第59行,修改格式为:http_port Squid服务器地址:监听端口号 vhost
//第60行,添加格式为:cache_peer 原网站服务器地址 parent 服务器端口号 0 originserver
重启服务就可以了
访问网站 输入192.168.22.100
ACL是Access Control List(访问控制列表)
输入命令:vi /etc/squid/squid.conf 打开配置文件,我们可以看到ACL访问控制列表
Saquid服务的ACL访问控制是非常有用的功能,可以根据特定条件来进行数据缓存或限制用户的访问,ACL元素的定义语法为:
acl aclname acltype string
acl aclname acltype "file"
src定义来源地址(即用户的客户机IP地址):
acl aclname src ip-address/netmask
acl aclname src addr1-addr2/netmask
dst定义目标地址(即用户请求的网站IP地址):
acl aclname dst ip-address/netmask
port用于指定访问端口:
acl aclname port 80 1024
acl aclname port 0-1024
url_regex用于限制网址中的关键词:
acl aclname url_regex [-i] pattern
proto用于定义要代理的协议:
acl aclname proto HTTP FTP
method用于指定请求的方法:
acl aclname method GET POST
访问控制列表由多个规则条目组成的,根据指定的条件来允许或限制访问请求,匹配顺序会由上至下,一旦匹配则立即结束,通常会在控制列表的最下面写上“deny all”或者“allow all”来避免安全隐患。
例子:
仅允许192.168.10.20的主机使用本地Squid服务,拒绝其余主机:
acl client src 192.168.10.20
http_access allow client
http_access deny all
拒绝客户机使用代理服务器访问带有关键词“longshisan”的网站:
acl deny_keyword url_regex -i longshisan
http_access deny deny_keyword
拒绝客户机使用代理服务器访问百度网站:
acl deny_url url_regex http://www.baidu.com
http_access deny deny_url
禁止客户机使用代理服务器下载以mp3与rar为后缀的文件:
acl badfile urlpath_regex -i \.mp3$ \.rar$
http_access deny badfile
标签:squid,虚拟机,Squid,acl,网卡,Linux,我们,输入 来源: https://www.cnblogs.com/longshisan/p/11820811.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。