Squid访问控制实例

最新推荐文章于 2023-02-18 10:15:51 发布
最新推荐文章于 2023-02-18 10:15:51 发布
阅读量1.1k 收藏 3
点赞数 1

 

转载自---51CTO博客作者wzlinux

 

Squid访问控制实例

wzlinux关注0人评论3356人阅读2015-09-01 15:26:22

一、Squid及ACL简介  

    代理服务器是介于浏览器和Web服务器之间的另一台服务器。有了该服务器之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,信息会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给客户的浏览器。

   现代企业应用代理服务器,除了提高访问速度外,同时,它在实际的应用过程中又通常被企业作为“安全网关”,可以根据企业设定的代理规则来过滤和屏蔽一些用户的非法请求和信息,从而达到保护企业网的目的。在企业开源系统的代理服务中,可以通过设置安全访问控制规则、配置带认证的代理服务以及反向代理服务来确保企业网络安全,本文将详细对这些防护手段进行介绍。

    开源代理服务器Squid简介

    Squid可以工作在很多的操作系统中,如AIX、Digital、UNIX、FreeBSD、HP-UX、Irix、Linux、NetBSD、Nextstep、SCO、Solaris、OS/2等。对于Web用户来说,Squid是一个高性能的代理缓存服务器,和一般的代理缓存软件不同、Squid用一个单独的、非模块化的、I/O驱动的进程来处理所有的客户端请求。Squid由一个主要的服务程序Squid,一个DNS查询程序DNS server,几个重写请求和执行认证的程序,以及几个管理工具组成。当Squid启动以后,它可以派生出预先指定数目的DNS server进程,而每一个DNS server进程都可以执行单独的DNS查询,这样就大大减少了服务器等待DNS查询的时间。

   用户可以从Red Hat Enterprise Linux发行套件中获取该软件的RPM包进行安装并使用#/etc/rc.d/init.d/squid start或者使用#service squid start命令进行服务开启。

    使用安全访问控制限制企业用户上网行为

    使用访问控制特性,可以控制在访问时根据特定的时间间隔进行缓存、访问特定站点或一组站点等等。Squid访问控制有两个要素:ACL元素和访问列表。访问列表可以允许或拒绝某些用户对此服务的访问。下面分别介绍ACL元素以及访问列表的使用方法。

   ACL元素

该元素定义的语法如下:

<span style="color:#333333"><span style="color:#333333"><span style="color:black"><code class="language-php">acl aclname acltype string1…
acl aclname acltype “file”…
当使用文件时,该文件的格式为每行包含一个条目。
其中,acltype可以是src、dst、srcdomain、dstdomain、url_regex、urlpath_regex、time、port、proto、method中的一任意一种。
src:指明源地址。可以用以下的方法指定:
acl aclname src ip<span style="color:#9a6e3a">-</span>address<span style="color:#9a6e3a">/</span>netmask <span style="color:#999999">.</span><span style="color:#999999">.</span><span style="color:#999999">.</span> 客户ip地址
acl aclname src addr1<span style="color:#9a6e3a">-</span>addr2<span style="color:#9a6e3a">/</span>netmask <span style="color:#999999">.</span><span style="color:#999999">.</span><span style="color:#999999">.</span> 地址范围
dst:指明目标地址,即客户请求的服务器的<span style="color:#990055">IP</span>地址。语法为:
acl aclname dst ip<span style="color:#9a6e3a">-</span>address<span style="color:#9a6e3a">/</span>netmask <span style="color:#999999">.</span><span style="color:#999999">.</span><span style="color:#999999">.</span>
srcdomain:指明客户所属的域,Squid将根据客户<span style="color:#990055">IP</span>反向查询<span style="color:#990055">DNS</span>。语法为:
acl aclname srcdomain foo<span style="color:#999999">.</span>com <span style="color:#999999">.</span><span style="color:#999999">.</span><span style="color:#999999">.</span>
dstdomain:指明请求服务器所属的域,由客户请求的<span style="color:#990055">URL</span>决定。语法为:
acl aclname dstdomain foo<span style="color:#999999">.</span>com <span style="color:#999999">.</span><span style="color:#999999">.</span><span style="color:#999999">.</span>
time:指明访问时间。语法如下:
acl aclname time <span style="color:#999999">[</span>day<span style="color:#9a6e3a">-</span>abbrevs<span style="color:#999999">]</span> <span style="color:#999999">[</span>h1<span style="color:#999999">:</span>m1<span style="color:#9a6e3a">-</span>h2<span style="color:#999999">:</span>m2<span style="color:#999999">]</span><span style="color:#999999">[</span>hh<span style="color:#999999">:</span>mm<span style="color:#9a6e3a">-</span>hh<span style="color:#999999">:</span>mm<span style="color:#999999">]</span>
日期的缩写指代关系如下:
S:指代Sunday
M:指代Monday
T:指代Tuesday
W:指代Wednesday
H:指代Thursday
F:指代Friday
A:指代Saturday
另外,h1:m1必须小于h2:m2,表达式为<span style="color:#999999">[</span>hh:mm<span style="color:#9a6e3a">-</span>hh:mm<span style="color:#999999">]</span>。
port:指定访问端口。可以指定多个端口,比如:
acl aclname port <span style="color:#990055">80</span> <span style="color:#990055">70</span> <span style="color:#990055">21</span> <span style="color:#999999">.</span><span style="color:#999999">.</span><span style="color:#999999">.</span>
acl aclname port <span style="color:#990055">0</span><span style="color:#9a6e3a">-</span><span style="color:#990055">1024</span> <span style="color:#999999">.</span><span style="color:#999999">.</span><span style="color:#999999">.</span> 指定一个端口范围
proto:指定使用协议。可以指定多个协议:
acl aclname proto <span style="color:#990055">HTTP</span> <span style="color:#990055">FTP</span> <span style="color:#999999">.</span><span style="color:#999999">.</span><span style="color:#999999">.</span>
method:指定请求方法。比如:
acl aclname method <span style="color:#990055">GET</span> <span style="color:#990055">POST</span> <span style="color:#999999">.</span><span style="color:#999999">.</span><span style="color:#999999">.</span>
url_regex:<span style="color:#990055">URL</span>规则表达式匹配,语法为:
acl aclname url_regex<span style="color:#999999">[</span><span style="color:#9a6e3a">-</span>i<span style="color:#999999">]</span> pattern
urlpath_regex:<span style="color:#990055">URL</span><span style="color:#9a6e3a">-</span>path规则表达式匹配,略去协议和主机名。其语法为:
acl aclname urlpath_regex<span style="color:#999999">[</span><span style="color:#9a6e3a">-</span>i<span style="color:#999999">]</span> pattern</code></span></span></span>

    在使用上述ACL元素的过程中,要注意如下几点:

    acltype可以是任一个在ACL中定义的名称。

    任何两个ACL元素不能用相同的名字。

    每个ACL由列表值组成。当进行匹配检测的时候,多个值由逻辑或运算连接;换句话说,任一ACL元素的值被匹配,则这个ACL元素即被匹配。

    并不是所有的ACL元素都能使用访问列表中的全部类型。

    不同的ACL元素写在不同行中,Squid将这些元素组合在一个列表中。

    http_access访问控制列表

    根据访问控制列表允许或禁止某一类用户访问。如果某个访问没有相符合的项目,则默认为应用最后一条项目的“非”。比如最后一条为允许,则默认就是禁止。通常应该把最后的条目设为“deny all”或“allow all”来避免安全性隐患。

    使用该访问控制列表要注意如下问题:

    这些规则按照它们的排列顺序进行匹配检测,一旦检测到匹配的规则,匹配检测就立即结束。

    访问列表可以由多条规则组成。

    如果没有任何规则与访问请求匹配,默认动作将与列表中最后一条规则对应。

    一个访问条目中的所有元素将用逻辑与运算连接(如下所示):

    http_access Action声明1 AND 声明2 AND

    多个http_access声明间用或运算连接,但每个访问条目的元素间用与运算连接。

    列表中的规则总是遵循由上而下的顺序。

 

二、ACL实战案例

声明:以下所有的访问控制配置必须添加在acl all src 0.0.0.0/0.0.0.0和http_acess deny all或http_access allow all 的前面。因为进程squid是按顺序读取配置文件的。

(1)允许网段61.0.3.188/24以及172.190.96.33/24内的所有客户机访问代理服务器,并且允许在文件/etc/squid/guest列出的客户机访问代理服务器,除此之外的客户机将拒绝访问本地代理服务器:

<span style="color:#333333"><span style="color:#333333"><span style="color:black"><code class="language-bash">acl clients src 61.0.3.188/24 172.190.96.33/24
acl guests src “/etc/squid/guest”
acl all src 0.0.0.0/0.0.0.0
http_access allow clients
http_access allow guests
http_access deny all</code></span></span></span>

其中,文件“/etc/squid/guest”中的内容为:

<span style="color:#333333"><span style="color:#333333"><span style="color:black"><code class="language-bash">172.168.10.3/24
210.113.24.8/16
10.0.1.24/25</code></span></span></span>

(2)允许域名为job.net、gdfq.edu.cn的两个域访问本地代理服务器,其他的域都将拒绝访问本地代理服务器:

<span style="color:#333333"><span style="color:#333333"><span style="color:black"><code class="language-bash">acl permitted_domain src job.net gdfq.edu.cn
acl all src 0.0.0.0/0.0.0.0
http_access allow permitted_domain
http_access deny all</code></span></span></span>

(3)使用正则表达式,拒绝客户机通过代理服务器访问包含有诸如“sexy”等关键字的网站:

<span style="color:#333333"><span style="color:#333333"><span style="color:black"><code class="language-bash">acl deny_url url_regex –i sexy
http_access deny deny_url</code></span></span></span>

(4)拒绝客户机通过代理服务器访问文件中指定IP或者域名的网站,其中文件/etc/squid/ deny_ip中存放有拒绝访问的IP地址,文件/etc/squid/deny_dns中存放有拒绝访问的域名:

<span style="color:#333333"><span style="color:#333333"><span style="color:black"><code class="language-bash">acl deny_ip dst “etc/squid/deny_ip”
acl deny_dns dst “etc/squid/deny_dns”
http_access deny deny_ip
http_access deny deny_dns</code></span></span></span>

(5)允许和拒绝指定的用户访问指定的网站,其中,允许客户1访问网站http://www.sina. com.cn,而拒绝客户2访问网站http://www.163.com:

<span style="color:#333333"><span style="color:#333333"><span style="color:black"><code class="language-bash">acl client1 src 192.168.0.118
acl client1_url url_regex ^http://www.sina.com.cn
acl client2 src 192.168.0.119
acl client2_url url_regex ^http://www.163.com
http_access allow client1 client1_url
http_access deny client2 client2_url</code></span></span></span>

(6)允许所有的用户在规定的时间内(周一至周四的8:30到20:30)访问代理服务器,只允许特定的用户(系统管理员,其网段为:192.168.10.0/24)在周五下午访问代理服务器,其他的在周五下午一点至六点一律拒绝访问代理服务器:

<span style="color:#333333"><span style="color:#333333"><span style="color:black"><code class="language-bash">acl allclient src 0.0.0.0/0.0.0.0
acl administrator 192.168.10.0/24
acl common_time <span style="color:#dd4a68">time</span> MTWH 8:30-20:30
acl manage_time <span style="color:#dd4a68">time</span> F 13:00-18:00
http_access allow allclient common_time
http_access allow administrator manage_time
http_access deny manage_time</code></span></span></span>

(7)/etc/squid.conf,系统软件包提供、推荐的最小化配置如下,用户可以根据实际情况来进行定制

<span style="color:#333333"><span style="color:#333333"><span style="color:black"><code class="language-bash">acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 192.168.10.3/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80          <span style="color:slategray"># http</span>
acl Safe_ports port 21          <span style="color:slategray"># ftp</span>
acl Safe_ports port 443 563    <span style="color:slategray"># https, snews</span>
acl Safe_ports port 70          <span style="color:slategray"># gopher</span>
acl Safe_ports port 210         <span style="color:slategray"># wais</span>
acl Safe_ports port 1025-65535 <span style="color:slategray"># unregistered ports</span>
acl Safe_ports port 280         <span style="color:slategray"># http-mgmt</span>
acl Safe_ports port 488         <span style="color:slategray"># gss-http</span>
acl Safe_ports port 591         <span style="color:slategray"># filemaker</span>
acl Safe_ports port 777         <span style="color:slategray"># multiling http</span>
acl Safe_ports port 901         <span style="color:slategray"># SWAT</span>
acl purge method PURGE
acl CONNECT method CONNECT
(<span style="color:#999999">..</span>.)
<span style="color:slategray"># Only allow cachemgr access from localhost</span>
http_access allow manager localhost
http_access deny manager
<span style="color:slategray"># Only allow purge requests from localhost</span>
http_access allow purge localhost
http_access deny purge
<span style="color:slategray"># Deny requests to unknown ports</span>
http_access deny <span style="color:#9a6e3a">!</span>Safe_ports
<span style="color:slategray"># Deny CONNECT to other than SSL ports</span>
http_access deny CONNECT <span style="color:#9a6e3a">!</span>SSL_ports
<span style="color:slategray">#</span>
<span style="color:slategray"># INSERT YOUR OWN RULE(S)HERE TO ALLOW ACCESS FROM YOUR CLIENTS</span>
<span style="color:slategray">#</span>
http_access allow localhost
<span style="color:slategray"># And finally deny all other access to this proxy</span>
http_access deny all
<span style="color:slategray">#Default:</span>
<span style="color:slategray"># icp_access deny all</span>
<span style="color:slategray">#</span>
<span style="color:slategray">#Allow ICP queries from eveyone</span>
icp_access allow all</code></span></span></span>

 

下面是对一些简单的访问控制,其中acl后面的名字可以自己随意定义

1:禁止局域网内ip 192.168.1.101访问Internet

  acl client_101 src 192.168.1.101

  http_access deny client_101

 

2:禁止局域网ip网段 192.168.1.0/24访问internet

  acl client_0/24 src 192.168.1.0/24

  http_access deny client_0/24

 

3:只允许访问baidu.com域名

  acl goodsite domain –i .baidu.com

  http_access allow goodsite

 

4:允许访问.com .net .org .cn 域名

  acl goodsite domain –i .com .cn .net .org

  http_access allow goodsite

 

5:禁止客户端下载包含.exe .mp3 .avi的文件类型。

  acl badfiletype urlpath_regex  .mp3 .exe .avi

  http_access deny badfiletype

 

6:只允许客户端192.168.1.101最大并发连接数位3个

  acl client_101 src 192.168.1.101

  acl maxconnect maxconn 3

  http_access deny client_101 maxconnect

 

配置带认证的代理服务抑制非法用户使用代理服务

默认时,Squid本身不带任何认证程序,但是可以通过外部认证程序来实现用户认证。一般有以下的认证程序:LDAP认证、SMB认证、基于mysql的认证、基于sock5的密码认证和基于Radius的认证。

下面介绍常用的ncsa实现的认证,ncsa是Squid源代码包自带的认证程序之一,从squid 2.5开始都包含了ncsa的模块。在Red Hat Enterprise Linux 发行套件的/usr/lib/squid目录下可以找到ncsa_auth文件。

要使用该认证服务,首先需要创建认证用户和密码:

#htpasswd -c /usr/local/squid/etc/ps_file guest

如果是以后添加用户的话就把-c的参数去掉。

然后,再更改/etc/squid/squid.conf主配置文件,添加如下:

//配置认证文件和用户文件

auth_param basic program /usr/lib/squid/ncsa_auth /usr/local/squid/etc/ ps_file

//指定认证程序的进程数

auth_param basic children 5

//代理服务器的名称

auth_param basic realm Squid proxy-caching web server

//认证有效时间为2小时

auth_param basic credentialsttl 2 hours

//只有认证用户才能访问

acl normal proxy_auth REQUIRED

http_Access allow normal

最后,重启squid服务即可。在浏览器里配上这个代理,打开任意网站,如果弹出了输入用户名和密码的对话框,就证明配置成功了。

©著作权归作者所有:来自51CTO博客作者wzlinux的原创作品,如需转载,请注明出处,否则将追究法律责任

wangyfde
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
squid 访问控制
Gengoo的专栏
01-08 1万+
访问控制访问控制元素ACL元素是Squid访问控制的基础。基本的ACL元素语法如下:acl name type value1 value2 ...例如:acl Workstations src 10.0.0.0/16    acl Http_ports port 80 8000 8080   基本的ACL类型IP地址使用对象:src,dst,myip 
squid安装及配置网络代理的流程
AwayIsBlue
12-06 2835
squid安装及配置网络代理的流程 网络代理可以使用多种软件,我使用过3proxy,及squid,3proxy的资料很难看,软件也不太好用。用squid资料就比较多,而且比较容易用。 squid入门教程可以参考:http://www.deckle.co.uk/squid-users-guide/index.html squid安装及配置 安装参考:https://www.linode.
Squid代理实现ACL访问控制、日志分析及反向代理配置
u014042047的博客
09-08 687
文章目录一、ACL访问控制二、实验一:使用ACL列表实现访问控制三、实验二:Squid日志分析工具——Sarg四、Squid反向代理 一、ACL访问控制 ACL访问控制方式:根据地址、目标URL、文件类型等定义列表 acl 列表名称 列表类型 列表内容... 针对已定义的acl列表进行限制 http_access allow或deny 列表名称... ACL规则优先级 一个用户访问代理服务器时,Squid会顺序匹配Squid中定义的所有规则列表,一旦匹配成功,立即停止匹配 所有规则都不匹配
Centos7 Squid访问控制列表
分享的都是纯自学心得
02-18 559
Centos7 Squid访问控制列表
Squid传统、透明代理服务配置、日志分析、反向代理、ACL访问控制(图文详解)
Xt991124的博客
02-23 1441
一、Squid代理服务器 Squid 主要提供缓存加速、应用层过滤控制的功能。 代理的工作机制 1、代替客户机向网站请求数据,从而可以隐藏用户的真实IP地址。 2、将获得的网页数据(静态 Web 元素)保存到缓存中并发送给客户机,以便下次请求相同的数据时快速响应。 ...
squid和nginx配置正向代理访问API接口.rar
04-20
squid和nginx配置正向代理访问API接口
python写的一个squid访问日志分析的小程序
12-24
昨天在群里,贴了一个需求,就是统计squid访问日志中ip 访问数和url的访问数并排序,不少同学都大体实现了相应的功能,我把我简单实现的贴出来,欢迎拍砖: 日志格式如下: 复制代码 代码如下: %ts.tu %6tr %{X-...
squid文件上传大小配置
12-23
squid文件上传大小配置
squid-windows:为Microsoft Windows构建的Squid代理
05-01
Squid具有广泛的访问控制,是一个出色的服务器加速器。 它可以在大多数可用的操作系统(包括Windows)上运行,并且已获得GNU GPL的许可。 该项目提供了用于Squid代理服务器的MSI Windows Installer。 只需单击几下...
Linux下用Squid实现局域网用户访问Internet的身份验证.pdf
09-07
"Linux下用Squid实现局域网用户访问Internet的身份验证.pdf" 该资源主要介绍了如何使用Squid在Linux操作系统下实现局域网用户访问Internet的身份验证。整个过程包括安装Squid代理服务器、安装验证程序、配置Squid...
Squid代理服务器
每天都要开心呀(#^.^#)
09-15 902
作为应用层的代理服务软件,Squid主要提供缓存加速、应用层过滤控制的功能。
Squid服务全攻略
每天积累一点,一年后你会发现,自己变化很大
01-05 1423
内容简介 代理服务概述 Squid简介 Squid代理服务的安装 Squid代理服务的基本配置 访问控制应用实例 Squid常用命令 案例详解(三种代理的实现) 代理服务器简介 代理服务器是目前网络中常见的服务器之一,它可以提供文件缓存、复制和地址过滤等服务,充分利用有限的出口带宽,加快内部主机的访问速度,也可以解决多用户需要同时访问外网但公有
squid介绍及其简单配置
weixin_30613727的博客
07-26 260
squid的简单介绍 squid的概念 squid是一种用来缓存Internet数据的软件。接受来自人们需要下载的目标(object)的请求并适当的处理这些请求。也就是说,如果一个人想下载一web界面,他请求squid为他取得这个页面。squid随之连接到远程服务器并向这个页面发出请求。然后,squid显式地聚集数据到客户端机器,而且同时复制一份。当下一次有人需要同一页面时, squi...
Squid配置参数
jt3056的专栏
09-07 1295
第一步:定义访问Squid的IP地址及其对应的名称 (1)Ctrl+F找到“TAG: acl”段, (2)Ctrl+F找到“acl Safe_ports port 777”,在“#multiling http”后面增加新行,写“alc 名称 src IP地址”, (3)示例:acl name1 src 192.168.100.0(解释:定义所有来自192.168.100.*的机器对应的名称为
Squid代理服务器应用
HB199753的博客
11-06 1244
目录 前言 一、Squid的脚本概念 1、Squid的作用 2、Web代理的工作机制 3、代理服务器的概念 4、代理服务器的作用 5、代理的基本类型 6、使用正向代理(传统代理、透明代理)的好处 7、反向代理的工作机制 二、Squid的安装及配置 1、各服务器的环境部署 2、安装Squid服务 2.1 编译安装Squid 2.2 修改Squid的配置文件 2.3 Squid的运行控制 2.4 创建Squid服务脚本 三、构建传统代理服务器 1、服务器配置 2...
Linux服务器---squid限制
cjju71217的博客
12-21 374
Squid 连接限制 Squid 可以有效的限制连接,指定哪些用户可以连接,指定哪些网站可以访问,这样就可以有效的利用服务器带宽。 1 、...
Centos7.6下使用Squid快速搭建带认证的HTTP代理服务器
f365420465的博客
09-03 2702
一、材料 1.腾讯云20IP服务器 2.CentOS 7.6 64位 二、准备工作 腾讯云上配置好两块网卡和20个弹性IP,这些网上很多,不再赘述。 三、安装Squid 1.安装 yum install squid -y yum install httpd-tools -y 2.生成密码文件 mkdir /etc/squid3/ # liangchen 是用户名 htpas...
关于squid止某些站点的访问的控制 (acl语句)
weixin_30435261的博客
07-09 618
利用squid的acl控制语句来控制某些站点的访问,前几天在网络改造时一直没有成功。在squid.conf中acl字段如下: acl web src 192.168.20.0/24http_access allow web acl badsite dstdomain 17lele.com acl badurl url_regex -i sexhttp_access deny badsitehtt...
squid 访问https
最新发布
06-06
Squid可以通过使用 SSL-Bump 功能来支持 HTTPS 访问,具体步骤如下: 1. 安装 Squid,并使其支持 SSL-Bump。 2. 生成和安装根证书和中间证书。这两个证书将用于 SSL-Bump 过程中进行 HTTPS 流量的拦截和解密。 3. 配置 Squid,将 SSL-Bump 功能应用于 HTTPS 流量。在配置文件中,需要指定 SSL-Bump 参数并创建 ACL,以便 Squid 可以识别要拦截和解密的 HTTPS 流量。 4. 配置客户端,以便其信任您生成的根证书。这样,客户端将能够通过 Squid 访问 HTTPS 网站,并且 SSL-Bump 过程将能够正常工作。 请注意,使用 SSL-Bump 功能可能会引起一些安全性和隐私性问题,因此需要谨慎使用,并根据您的实际情况进行配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值