一、缓存代理概述
1.1Web代理的工作机制
缓存网页对象,减少重复请求
注意:Squid代理服务器和源站服务器之间跑的就是BGP。
1.2代理的基本类型
●传统代理:需明确指定服务端
●透明代理:客户机不需指定代理服务器的地址和端口,而是通过默认路由、防火墙策略将Web访问重定向给代理服务器处理
(区别在于需不需要客户端自己在浏览器上指定服务端)
1.3使用代理的优势
●提高Web访问速度
●隐藏客户机的真实IP地址
二、如何搭建传统代理
1.安装依赖包
[root@localhost ~]# yum install gcc gcc-c++ -y
2.编译安装Squid服务
[root@localhost ~]# tar zxvf squid-3.4.6.tar.gz
[root@localhost ~]# cd squid-3.4.6/
[root@localhost squid-3.4.6]# ./configure \
--prefix=/usr/local/squid \
--sysconfdir=/etc \ #指定配置文件位置
--enable-arp-acl \ #支持acl访问控制列表
--enable-linux-netfilter \ #打开网络筛选
--enable-linux-tproxy \ #支持透明代理
--enable-async-io=100 \ #io优化
--enable-err-language="Simplify_Chinese" \ #报错显示简体中文
--enable-underscore \ #支持下划线
--enable-poll \ #默认使用poll模式,开启epoll模式时提升性能
--enable-gnuregex #支持正则表达式
[root@localhost squid-3.4.6]# make && make install
[root@localhost squid-3.4.6]# ln -s /usr/local/squid/sbin/* /usr/local/sbin/
[root@localhost squid-3.4.6]# useradd -M -s /sbin/nologin squid #创建程序型用户
[root@localhost squid-3.4.6]# chown -R squid.squid /usr/local/squid/var/
3.修改配置文件,优化启动项
[root@localhost ~]# vim /etc/squid.conf
http_access allow all #56行添加此项,表示允许所有IP访问
#http_access deny all #注释原有的
http_port 3128
cache_effective_user squid #添加指定用户squid
cache_effective_group squid #添加指定组squid
[root@localhost ~]# squid -k parse #检查配置文件语法
[root@localhost ~]# squid -z #初始化缓存目录
[root@localhost ~]# squid #启动服务
[root@localhost ~]# netstat -ntap |grep 3128 #检测是否启动成功
4.添加服务到service管理
[root@localhost ~]# vim /etc/init.d/squid
#!/bin/bash
#chkconfig: 2345 90 25
PID="/usr/local/squid/var/run/squid.pid"
CONF="/etc/squid.conf"
CMD="/usr/local/squid/sbin/squid"
case "$1" in
start)
netstat -ntap | grep squid &> /dev/null
if [ $? -eq 0 ]
then
echo "squid is running"
else
echo "正在启动 squid...."
$CMD
fi
;;
stop)
$CMD -k kill &> /dev/null
rm -rf $PID &> /dev/null
;;
status)
[ -f $PID ] &> /dev/null
if [ $? -eq 0 ]
then
netstat -ntap | grep squid
else
echo "squid is not running"
fi
;;
restart)
$0 stop &> /dev/null
echo "正在关闭 squid..."
$0 start &> /dev/null
echo "正在启动 squid..."
;;
reload)
$CMD -k reconfigure
;;
check)
$CMD -k parse
;;
*)
echo "用法:$0{start|stop|reload|status|check|restart}"
;;
esac
[root@localhost ~]# chmod +x /etc/init.d/squid
[root@localhost ~]# chkconfig --add squid
[root@localhost ~]# chkconfig --level 35 squid on
5.配置传统代理服务
[root@localhost ~]# vim /etc/squid.conf
http_port 3128
cache_effective_user squid
cache_effective_group squid
cache_mem 64 MB #缓存空间大小定义为64 MB
reply_body_max_size 10 MB #允许下载的最大文件大小,默认0表示不进行限制
maximum_object_size 4096 KB #允许保存到缓存空间的最大对象的大小,以KB为单位,超过限制不会缓存,直接转到web端
[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -F -t nat
[root@localhost ~]# setenforce 0
[root@localhost ~]# iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
[root@localhost ~]# service squid reload
6.在web服务器上安装httpd服务
[root@localhost ~]# systemctl stop firewalld.service
[root@localhost ~]# yum -y install httpd
[root@localhost ~]# systemctl start httpd.service
#在客户端上访问网站,查看是否正常访问
#查看日志文件内容,这时来访IP还是客户端自己的IP
[root@localhost ~]# cat /var/log/httpd/access_log
7.设置squid代理,查看日志文件中来访IP变化
注意:先清除客户端的浏览器缓存
(1)设置代理:打开谷歌浏览器–设置–高级–系统–打开您计算机的代理设置
(2)手动设置代理–开启使用代理服务器–设置代理地址和端口–保存
(3)再次访问apache服务器,查看日志文件的变化;这时显示的来访IP变成了squid代理服务器地址
三、如何搭建透明代理
在搭建的传统代理基础上做如下修改:
(1)所有网卡都换成仅主机模式;
(2)squid服务器添加一块网卡:192.168.10.1(仅主机模式);开启路由转发功能
开启透明代理;配置防火墙规则;
(3)web服务器不变;
(4)客户端IP地址修改为192.168.10.88,且浏览器关闭手动代理设置
squid服务器配置:
1.给添加的ifcfg-ens36配置IP地址和子网掩码
[root@squid init.d]# cd /etc/sysconfig/network-scripts/
[root@squid network-scripts]# cp -p ifcfg-ens33 ifcfg-ens36
...省略内容
NAME=ens36 #改为36
#删除原本ens33的UUID
DEVICE=ens36 #改为36
ONBOOT=yes
IPADDR=192.168.10.1 #添加IP地址
NETMASK=255.255.255.0 #添加子网掩码
[root@squid network-scripts]# systemctl restart network #重启网卡服务
[root@squid network-scripts]# ifconfig #查看网卡是否修改成功
2.开启路由转发功能
[root@localhost network-scripts]# vim /etc/sysctl.conf
在最后加入:
net.ipv4.ip_forward = 1
[root@localhost network-scripts]# sysctl -p
net.ipv4.ip_forward = 1
3.开启透明代理
[root@squid network-scripts]# vim /etc/squid.conf
http_port 192.168.10.1:3128 transparent #仅修改此行,开启透明代理
cache_effective_user squid
cache_effective_group squid
4.设置防火墙规则
[root@squid network-scripts]# iptables -F
[root@squid network-scripts]# iptables -t nat -F
[root@squid network-scripts]# iptables -t nat -I PREROUTING -i ens36 -s 192.168.10.0/24 -p tcp --dport 80 -j REDIRECT --to 3128 #定义规则:进入ens36网卡,tcp协议80端口重定向到3128端口
[root@squid network-scripts]# iptables -t nat -I PREROUTING -i ens36 -s 192.168.10.0/24 -p tcp --dport 443 -j REDIRECT --to 3128 #定义规则:进入ens36网卡,tcp协议443端口重定向到3128端口
[root@squid network-scripts]# iptables -I INPUT -p tcp --dport 3128 -j ACCEPT #新增规则,允许3128端口通过
5.再次使用客户端访问网站地址14.0.0.20,查看网站日志文件,是通过代理访问的,实验成功