squid透明代理
構建透明代理
透明代理:客戶不需要指定代理服務器的地址和端口,而是通過網關,由防火墻的重定向策略將用戶的請求交給代理服務器處理;域名解析有客戶機完成
代理服務器兩個網卡vmnet1 vmnet8
1.基本設置
(1)先在客戶機瀏覽器中去掉代理設置
(2)在squid上開啟路由功能(默認關閉)
#vim /etc/sysctl.conf
(3)客戶機和web服務器都填寫好網關
(4)如果是在源拓撲圖上改的,註意更改dns中的記錄設置,並清除客戶機的dns緩存
2.配置squid支持透明代理
[[email protected] ~]# vim /etc/squid.conf
http_port 3128 ---->http_port 192.168.1.1: 3128 transparent
3.設置iptables的重定向策略,將來自局域網內192.168.1.0/24網段且訪問http,https等協議的數據包交給運行在本機3128端口上的squid服務處理
[[email protected] ~]# iptables -t nat -I PREROUTING -i eth0 -s 192.168.1.0/24 -p tcp -m multiport --dport 80,443 -j REDIRECT --to 3128
4.驗證透明代理,同上(傳統代理)
(三)、ACL訪問控制,加上禁止192.168.1.10訪問www.benet.com用於測試
ACL的作用:對代理訪問進行訪問控制,可以針對源地址、目標地址、訪問的url路徑、訪問的時間等條件進行過濾
ACL配置的步驟:
l 使用acl配置項定義需要控制的條件
l 通過使用http_access配置項對已經定義的列表做"允許"或拒絕訪問的控制
ACL訪問控制列表的定義方法:
acl 列表名稱 列表類型 列表內容(可以為多個內容,以空格分隔,為或的關系
訪問權限定義方法
http-access allow或deny 列表名
說明:
l 每一條http_access規則中,可以同時包含多個控制列表,空格分隔,為與的關系
l 取反條件時,用!符號
l http_access必須放在acl之後
關於規則的執行過程:
l 找到一條規則即不再向後搜索
l 沒有配置任何規則時,squid服務將拒絕客戶端的請求
l 有規則但找不到相匹配的項:squid將采用與最後一條規則相反的權限
1.首先,創建一個存放域名內名單的目錄
#mkdir /etc/squid
#vim /etc/squid/dmblock.list
.qq.com
.msn.com.
....
2.修改squid配置文件
[[email protected] ~]# vim /etc/squid.conf
acl MYLAN src 192.168.1.0/24
acl MEDIAFILE urlpath_regex -i \.3gp$ \.mp4$ \.f4v$ \.mkv$ \.rmvb$ \.avi$
acl DMBLOCK dstdomain "/etc/squid/dmblock.list"
acl deny10 src 192.168.1.10
acl WORKTIME time MWTHF 08:30-17:30
http_access deny deny10
http_access allow MYLAN WORKTIME Safe_ports !MEDIAFILE !DMBLOCK
http_access deny all
[[email protected] ~]# squid -k reconfigure
3.將客戶機ip改為192.168.1.10再訪問測試,不能訪問了
(1)測試不能訪問網頁
(2)測試能訪問網頁,但是不能下載超過10MB的文件
①在web服務器網頁根目錄下創建一個大於10M的文件
#dd if=/dev/zero of=/var/www/html/dltest.data bs=1M count=15
②在客戶機上測試
(四)squid日誌分析
1.先在squid本地掛載centos光盤並配置yum
2.安裝GD庫
3安裝sarg軟件,掛載sarg光盤
[[email protected] sarg-2.3.7]# tar zxf /mnt/sarg-2.3.7.tar.gz -C /usr/src
[[email protected] sarg-2.3.7]# cd /usr/src/sarg
[[email protected] sarg-2.3.7]# ./configure --prefix=/usr/local/sarg -sysconfdir=/etc/sarg --enable-extraprotection
4.配置 (找到如下行修改就可以)
#vim /etc/sarg/sarg.conf
access_log /usr/local/squid/var/logs/access.log
Especify the title for html page.
title "Squid User Access Reports"
output_dir /var/www/html/sarg
user_ip no
topuser_sort_field connect reverse BYTES reverse
user_sort_field connect reverse
exclude_hosts /usr/local/sarg/noreport
overwrite_report no
mail_utility mailq.postfix
charset UTF-8
weekdays 0-6
The hours to take into account
hours 9-12,14-16,18-20
www_document_root /var/www/html
4.運行
上述配置中,添加了不計入排序的站點,需要存在下面這個文件
# touch /usr/local/sarg/noreport
建議建立符號鏈接
#ln -s /usr/local/sarg/bin/sarg /usr/local/bin
直接執行sarg
#sarg
5.驗證,在客戶機訪問
本文出自 “12179708” 博客,謝絕轉載!
squid透明代理