squid代理服务器:
搭建代理服务器可以提高上网打开网页的速度,可以对非法网站进行屏蔽,限制文件下载,以及查看员工访问internet的情况,包括上网的地址,用户,时间等,是企业网络管理的常用手段。
代理服务器分为传统代理和透明代理,传统代理适用于浏览internet,需要在浏览器上手工指定服务器地址和端口,不是很方便,但是可以隐藏本机真实的ip地址,而且为下载工具使用多个代理可以规避服务器的并发连接显示。透明代理适用于共享上网网关,不需要指定服务器地址和端口,无需额外的设置即可上网,在实际工作中透明代理较多。
- 搭建传统代理服务器
- 实验拓扑:
实验步骤
1)在服务器B上安装Squid代理服务器软件(挂载光盘,解压缩)
编译安装
使用squid服务脚本(为了能够方便启动停止服务)
Vim squid,内容如下:
没有完,接着下面的写
设置权限,并添加为系统服务。
修改配置文件
Vi /etc/squid.conf
主要修改有以下几条配置项,有的配置项需要修改,而有的配置项需要添加。
http_port 3128 squid的默认监听端口tcp 修改 cache_effective_group squid squid的运行组 添加
cache_effective_user squid squid的运行用户 添加
visible_hostname centos1.lzg.com 当前系统的主机名 添加
cache_dir ufs /usr/local/squid/var/cache/squid 100 16 256
在防火墙上添加允许策略
启动squid服务
执行:Squid -k parse检测语法是否正确,出现很多内容,一般不用理会,没有提示错误就可以。
执行squid -z 初始化缓存目录,此步必须要做,执行完之后稍微等一会。
执行squid启动服务,也可以使用service squid start启动服务,第一次启动最好用squid启动。
在服务器A上搭建网站
在客户机上修改ie浏览器的代理服务器地址
在客户机上访问网站,别忘记在网站服务器A上开启80端口
然后把代理服务器服务停止,再次访问网站,发现不能访问,说明客户机确实是通过代理服务器上网。
验证代理服务器
在客户机访问网站,然后查看web服务器的访问日志,发现客户机172.16.16.110访问网站172.16.16.172的记录,但是在web服务器中,查看网站日志文件,显示的访问者是代理服务器的地址172.16.16.22,不是客户端的地址。
- 搭建透明代理服务器
- 实验拓扑:
实验步骤(安装的步骤参考前面的传统代理,IP地址的配置省略)
- 配置squid支持透明代理
Vi /etc/squid.conf
修改完成时候别忘记重新加载squid服务
在服务器B上开启路由转发
配置防火墙重定向
- 配置防火墙重定向
Iptables -t nat -I PREROUTING -i eth1 -s 192.168.4.0/24 -p tcp --dport 80 -j REDIRECT --to 3128
Service iptables save保存
在客户端上访问网站(必须配置网关)
验证透明代理
如果在linux客户机上测试,需要提前清除HTTP_PROXY、HTTPS_PROXY变量
我们就在windows上验证了,因为在实际工作中,员工很少使用LINUX访问网站。
验证方法和传统代理验证方法一样
在服务器A上查看的访问者是代理服务器172.16.16.1,说明实验正确。
上面的这个实验属于正向代理,还有一种反向代理,作用是外部访问内部的网站,云盘有文档,有兴趣可以做一下。
- 设置ACL访问控制
- 禁止下载扩展名为:.mp4,avi视频
- 超过4mb大小的文件不进行缓存,禁止下载超过10mb的文件
- 设置网站黑名单,禁止访问位于.qq.com,.lol.com的网站
- 允许在正常上班时间(周一到周五8:30-17:30)上网
- 默认策略设置为禁止任何客户机使用代理服务器。
Vim /etc/squid.conf
在客户端上测试下载文件,超过10mb就禁止下载
(在服务器A的网站目录下新建15mb的文件)
在客户端上分别下载5mb和15mb的文件
- squid日志分析
- 安装gd库
安装sarg
配置
修改以下内容,不用添加,修改即可
运行
Touch /usr/local/sarg/noreport
验证
计划任务
Crontab -e
每天0点运行统计昨天的内容
Chmod +x /usr/local/sarg/daily.sh
Chkconfig crond on
761
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
