Squid 访问控制-ACL

最新推荐文章于 2019-06-26 16:47:00 发布
最新推荐文章于 2019-06-26 16:47:00 发布
阅读量512 收藏 1
点赞数 1
分类专栏: linux 文章标签: linux squid ACL
该元素定义的语法如下:

acl aclname acltype string1…

acl aclname acltype "file"…

当使用文件时,该文件的格式为每行包含一个条目。
 
其中,acltype可以是src、dst、srcdomain、dstdomain、url_regex、urlpath_regex、time、port、proto、method中的一任意一种。
 
src:指明源地址。可以用以下的方法指定:
 acl aclname src ip-address/netmask ... 客户ip地址
acl aclname src addr1-addr2/netmask ... 地址范围
dst:指明目标地址,即客户请求的服务器的IP地址。语法为:
 acl aclname dst ip-address/netmask ... 
srcdomain:指明客户所属的域,Squid将根据客户IP反向查询DNS。语法为:
 acl aclname srcdomain foo.com ... 
dstdomain:指明请求服务器所属的域,由客户请求的URL决定。语法为:
 
acl aclname dstdomain foo.com ...。此处需要注意的是:如果用户使用服务器IP而非完整的域名时,Squid将进行反向的DNS解析来确定其完整域名,如果失败,就记录为“none”。
 
time:指明访问时间。语法如下:
 acl aclname time [day-abbrevs] [h1:m1-h2:m2][hh:mm-hh:mm]
日期的缩写指代关系如下:
 S:指代Sunday
M:指代Monday
T:指代Tuesday
W:指代Wednesday
H:指代Thursday
F:指代Friday
A:指代Saturday
 
另外,h1:m1必须小于h2:m2,表达式为[hh:mm-hh:mm]。
 
port:指定访问端口。可以指定多个端口,比如:
 acl aclname port 80 70 21 ...
acl aclname port 0-1024 ... 指定一个端口范围
proto:指定使用协议。可以指定多个协议:
 acl aclname proto HTTP FTP ...
method:指定请求方法。比如:
 acl aclname method GET POST ...
url_regex:URL规则表达式匹配,语法为:
 acl aclname url_regex[-i] pattern
urlpath_regex:URL-path规则表达式匹配,略去协议和主机名。其语法为:
 acl aclname urlpath_regex[-i] pattern
在使用上述ACL元素的过程中,要注意如下几点:
 acltype可以是任一个在ACL中定义的名称。
任何两个ACL元素不能用相同的名字。
每个ACL由列表值组成。当进行匹配检测的时候,多个值由逻辑或运算连接;换句话说,任一ACL元素的值被匹配,则这个ACL元素即被匹配。
并不是所有的ACL元素都能使用访问列表中的全部类型。
不同的ACL元素写在不同行中,Squid将这些元素组合在一个列表中。
 
2.http_access访问控制列表
 
根据访问控制列表允许或禁止某一类用户访问。如果某个访问没有相符合的项目,则默认为应用最后一条项目的“非”。比如最后一条为允许,则默认就是禁止。通常应该把最后的条目设为“deny all”或“allow all”来避免安全性隐患。
 
使用该访问控制列表要注意如下问题:
 这些规则按照它们的排列顺序进行匹配检测,一旦检测到匹配的规则,匹配检测就立即结束。
访问列表可以由多条规则组成。
如果没有任何规则与访问请求匹配,默认动作将与列表中最后一条规则对应。
一个访问条目中的所有元素将用逻辑与运算连接(如下所示):
http_access Action声明1 AND 声明2 AND
多个http_access声明间用或运算连接,但每个访问条目的元素间用与运算连接。
列表中的规则总是遵循由上而下的顺序。
 
3.使用访问控制
 
上面详细讲述了ACL元素以及http_access访问控制列表的语法以及使用过程中需要注意的问题,下面给出使用这些访问控制方法的实例:
 
(1)允许网段10.0.0.124/24以及192.168.10.15/24内的所有客户机访问代理服务器,并且允许在文件/etc/squid/guest列出的客户机访问代理服务器,除此之外的客户机将拒绝访问本地代理服务器:
 acl clients src 10.0.0.124/24 192.168.10.15/24
acl guests src “/etc/squid/guest”
acl all src 0.0.0.0/0.0.0.0
http_access allow clients
http_access allow guests
http_access deny all
其中,文件“/etc/squid/guest”中的内容为:
 172.168.10.3/24
210.113.24.8/16
10.0.1.24/25
(2)允许域名为job.net、gdfq.edu.cn的两个域访问本地代理服务器,其他的域都将拒绝访问本地代理服务器:
 acl permitted_domain src job.net gdfq.edu.cn
acl all src 0.0.0.0/0.0.0.0
http_access allow permitted_domain
http_access deny all
(3)使用正则表达式,拒绝客户机通过代理服务器访问包含有诸如“sexy”等关键字的网站:
 acl deny_url url_regex -i sexy
http_access deny deny_url
(4)拒绝客户机通过代理服务器访问文件中指定IP或者域名的网站,其中文件/etc/squid/ deny_ip中存放有拒绝访问的IP地址,文件/etc/squid/deny_dns中存放有拒绝访问的域名:
 acl deny_ip dst “etc/squid/deny_ip”
acl deny_dns dst “etc/squid/deny_dns”
http_access deny deny_ip
http_access deny deny_dns
(5)允许和拒绝指定的用户访问指定的网站,其中,允许客户1访问网站http://www.linuxidc.com,而拒绝客户2访问网站http://www.linuxidc.net:
 acl client1 src 192.168.0.118
acl client1_url url_regex ^http://www.linuxidc.com
acl client2 src 192.168.0.119
acl client2_url url_regex ^http://www.linuxidc.net
http_access allow client1 client1_url
http_access deny client2 client2_url
(6)允许所有的用户在规定的时间内(周一至周四的8:30到20:30)访问代理服务器,只允许特定的用户(系统管理员,其网段为:192.168.10.0/24)在周五下午访问代理服务器,其他的在周五下午一点至六点一律拒绝访问代理服务器:
 acl allclient src 0.0.0.0/0.0.0.0
acl administrator 192.168.10.0/24
acl common_time time MTWH 8:30-20:30
acl manage_time time F 13:00-18:00
http_access allow allclient common_time
http_access allow administrator manage_time

http_access deny manage_time


primary_learner
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Squid代理实现ACL访问控制、日志分析及反向代理配置
u014042047的博客
09-08 714
文章目录一、ACL访问控制二、实验一:使用ACL列表实现访问控制三、实验二:Squid日志分析工具——Sarg四、Squid反向代理 一、ACL访问控制 ACL访问控制方式:根据地址、目标URL、文件类型等定义列表 acl 列表名称 列表类型 列表内容... 针对已定义的acl列表进行限制 http_access allow或deny 列表名称... ACL规则优先级 一个用户访问代理服务器时,Squid会顺序匹配Squid中定义的所有规则列表,一旦匹配成功,立即停止匹配 所有规则都不匹配
巧用SquidACL和访问列表实现高效访问控制
weixin_34116110的博客
09-19 131
Squid是一个缓存Internet数据的软件,其接收用户的下载申请,并自动处理所下载的数据。当一个用户想要下载一个主页时,可以向Squid发出一个申请,要Squid代替其进行下载,然后Squid连接所申请网站并请求该主页,接着把该主页传给用户同时保留一个备份,当别的用户申请同样的页面时,Squid把保存的备份立即传给用户,使用户觉得速度相当快。Squid可以代理HTTP、FTP、GOPHER、S...
新作:《Linux安全技术内幕》 试读1
weixin_34125592的博客
09-05 71
为了让各位更好了解该书的内容和深度,特奉上部分试读,请大家欣赏,谢谢!   15.5.2  配置Squid Server的安全访问控制 使用访问控制特性,可以控制在访问时根据特定的时间间隔进行缓存、访问特定站点或一组站点等等。Squid访问控制两个要素:ACL元素和访问列表。访问列表可以允许或拒绝某些用户对此服务的访问。下面分别介绍ACL元素以及访问列表的使用方法。 1.ACL元素 该...
squid之------常用配置及选项
weixin_30568591的博客
06-26 227
Squid常用命令1.初始化在squid.conf里配置的cache目录squid -z2.对squid.conf排错,即验证squid.conf的语法和配置squid -k parse3.定期清理swap.state内无效数据squid -k rotate -f /etc/squid/squid.conf当squid应用运行了一段时间之后,cache_dir对应的swap.state文件就会变得...
squid-3.1.23-24.el6.x86_64 linux安装及依赖包
11-10
5. **访问控制**:Squid访问控制通过`/etc/squid/squid.conf`中的ACL(Access Control List)实现,可以根据IP地址、子网或时间范围限制用户的访问权限。 6. **缓存策略**:Squid支持多种缓存策略,如基于内容...
Linux运维-6.集群-集群视频-5、Squid缓存、代理服务-20、Squid 反向代理、ACL访问控制.mp4
06-05
Linux运维-6.集群-集群视频-5、Squid缓存、代理服务-20、Squid 反向代理、ACL访问控
acl-helper:Squid代理服务器的外部ACL帮助器-开源
05-15
总的来说,acl-helper 提供了一个强大且灵活的解决方案,使Squid代理服务器能够处理更复杂的访问控制需求,是开源社区对网络管理领域的一大贡献。通过深入理解并熟练运用 acl-helper,IT管理员能够更好地保障网络...
Squid-cache 3.1.19
03-21
6. **访问控制**:通过ACL(Access Control Lists)机制,管理员可以精细地控制用户访问网络资源的权限,实现不同级别的访问策略。 7. **日志记录与分析**:Squid提供了详细的日志记录,方便管理员监控网络活动,...
squid-3.5.26.tar.gz
10-25
在某些复杂场景下,Squid的配置可能需要动态逻辑,如基于用户身份的访问控制。这时可以借助Perl编程语言,通过`external_acl_type`指令调用Perl脚本来实现。例如,一个简单的Perl ACL脚本可能如下: ```perl #!/usr/...
Squid访问控制列表语法
系统运维
10-26 274
Squid配置文件使用acl指令定义访问控制列表(access control list, acl),http_access指令定义访问规则(access rulers)。 acl指令的语法格式为: acl aclname type values http_access指令的语法格式为: http_access allow/deny aclname 1、IP地址:type的值可以...
squid代理服务器的ACL访问控制及日志分析
weixin_33790053的博客
06-07 423
配置传统代理及部署squid服务参考博文:https://blog.51cto.com/14154700/2406060配置squid透明代理参考博文:https://blog.51cto.com/14154700/2406121 squid服务的ACL访问控制squid提供了强大的代理控制机制,通过合理设置ACL并进行限制,可以针对源地址、目标地址、访问的URL路径、访问的时间等各种条件进行过...
squid代理ACL的配置
xk的博客
03-06 3381
所谓ACL(Access Control List)就是在服务器端设定特定的上网策略,哪些用户能上网,能访问什么网站,能下载什么文件等等对用户的上网行为进行约束和管理,这个企业一般都会进行ACL上网控制,对员工的上网行为进行控制,从而提高工作效率。这里要说的就是基于redhat代理服务程序squidACL控制。 Squid 服务程序的 ACL 是由多个策略规则组成的,它可以根据指定的策略规则来...
ACL访问控制
weixin_30580943的博客
10-24 215
/etc/squid/squid.conf 定义语法: acl aclname acltype string acl aclname acltype "file" src 定义来源地址 (即用户的客户机IP地址); acl aclname src ip-address/netmask acl aclname src addr1-addr2/netmask ds...
Haproxy: 利用ACL限制某IP访问特定url
七侠镇莫小贝的同福客栈
06-05 3282
# 仅允许目标IP访问特定地址 acl allow_host src 172.18.12.161 acl uag_api url_beg /uag/services/rest http-request allow if uag_api allow_host #只要不是特定地址,其他人可以随意访问 http-request allow if !uag_api http-request deny...
HTTP 错误 401.3 - Unauthorized 由于Web服务器上此资源的访问控制列表(ACL)配置或加密设置。
热门推荐
wyz670083956的博客
01-18 5万+
用IIS 发布网站,不能访问且出现错误:HTTP 错误 401.3 - Unauthorized  由于Web服务器上此资源的访问控制列表(ACL)配置或加密设置。您无权查看此目录或页面解决办法:1.打开IIS界面,选中发布的网站,右键—>编辑权限2.找到“安全” — “编辑” (注:此页面“组或用户名”下有个 Everyone 组名,正常情况下是没有的,这是我们下一步需要添加的组名)3.“添加”
Squid学习笔记
newyf_cun的专栏
10-19 1134
A. ACL访问控制介绍:     格式: acl 名字 类型 内容     httpd_access all或deny     名字:这里的名字ACL名字是一致的方能生效     在acl中类型有这几种:src ,dst, port ,srcdomain, dstdomain, time, maxcom, url_regex,urlpath_regex     在acl里内容就自己
路由器ACL访问控制列表)的类型及配置
看清所以看轻
05-23 5290
ACL是应用在路由器接口的指令列表,通过这些指令,来告诉路由器哪些数据包可以接收,哪些数据包需要拒绝,基本原理就是:ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。 ACL有三种类型: 标准ACL:根据数据包的源IP地址来允许或拒绝数据包,标准ACL的访问列表控制号是...
haproxy代理设置及配置文件详解
chengxuyuanyonghu的专栏
03-05 2万+
Haproxy是一款免费、稳定、高效的轻量级负载均衡软件,现将其配置文件参数作如下说明: global #全局配置参数         log 127.0.0.1 local3 info #日志级别         maxconn 4096         user haproxy         group haproxy         daemon #设置
Squid 如何配置用户访问权限
最新发布
06-02
Squid 可以通过访问控制列表(ACL)来控制用户访问权限。以下是在 Squid 中配置用户访问权限的步骤: 1. 定义 ACL:在 squid.conf 文件中定义 ACL,例如: ``` acl mynet src 192.168.0.0/16 acl myuser proxy_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值