服务代理
1,服务代理原理
代替客户机向网站请求数据,从而可以隐藏用户的真实IP地址。
将获得网页数据(静态Web元素)保存到缓存中并发送给客户机,以便下次请求相同的数据时快速响应。
2,代理的类型
(1)传统代理
使用与Internet,需要客户机指定代理服务器的地址和端口。
(2)透明代理
客户机不需要指定代理服务器的地址和端口,而是通过默认路由,防火墙策略将Web访问重定向给代理服务处理。
(3)反向代理
如果Squid反向代理服务器中缓存了该请求的资源,则将该请求的资源直接返回给客户端;否则代理服务器将向后台的WEB服务器请求资源,然后将请求的应答返回给客户端,同时也将该应答缓存(静态)在本地,供下一个请求者使用。
Squid代理服务器的安装
1.编译安装Squid
安装依赖环境
yum -y install gcc gcc-c++ make
cd /opt
tar zxvf squid-3.5.27.tar.gz
cd squid-3.5.27/
./configure \
--prefix=/usr/local/squid \
--sysconfdir=/etc/ \
--enable-arp-acl \
--enable-linux-netfilter \
--enable-linux-tproxy \
--enable-async-io=100 \
--enable-err-language="Simplify_Chinese" \
--enable-underscore \
--enable-poll \
--enable-gnuregex
编译安装
make && make install
#创建链接文件,优化路径
ln -s /usr/local/squid/sbin/* /usr/local/sbin#创建链接文件,优化路径
#创建程序用户、组
useradd -M -s /sbin/nologin squid
#改变目录属主
chown -R squid:squid /usr/local/squid/var/
2.修改Squid的配置文件
vim /etc/squid.conf
----56行--插入------
http_access allow all
http_access deny all
http_port 3128
----61行--插入------
cache_effective_user squid
cache_effective_group squid
coredump_dir /usr/local/squid/var/cache/squid
#检查配置文件
squid -k parse
#初始化缓存目录
squid -zX
#启动squid服务
squid
#确认squid服务处于正常监听状态
netstat -anpt | grep squid
3.编写Squid服务脚本
优化启动方式
vim /etc/init.d/squid
#!/bin/bash
#chkconfig: 2345 90 25
PID="/usr/local/squid/var/run/squid.pid"
CONF="/etc/squid.conf"
CMD="/usr/local/squid/sbin/squid"
case "$1" in
start)
netstat -natp | grep squid &> /dev/null
if [ $? -eq 0 ]
then
echo "squid is running"
else
echo "正在启动 squid..."
$CMD
fi
;;
stop)
$CMD -k kill &> /dev/null
rm -rf $PID &> /dev/null
;;
status)
[ -f $PID ] &> /dev/null
if [ $? -eq 0 ]
then
netstat -natp | grep squid
else
echo "squid is not running"
fi
;;
restart)
$0 stop &> /dev/null
echo "正在关闭 squid..."
$0 start &> /dev/null
echo "正在启动 squid..."
;;
reload)
$CMD -k reconfigure
;;
check)
$CMD -k parse
;;
*)
echo "用法:$0{start|stop|status|reload|check|restart}"
;;
esac
chmod +x /etc/init.d/squid
chkconfig --add squid
chkconfig --level 35 squid on
service squid restart
搭建传统代理
实验
服务器需求:
Squid服务器 192.168.226.90
web1服务器 192.168.226.70
web2服务器 192.168.226.80
win10 192.168.226.120
1、squid服务器
修改squid配置文件
vim /etc/squid.conf
http_access allow all
http_access deny all
http_port 3128
cache_effective_user squid
cache_effective_group squid
#63行插入
cache mem 64 MB
reply_body_max_size 10 MB
maximum_object_size 4096 KB
#修改防火墙规则
iptables -F
iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
2、Web1和Web2配置
systemctl stop firewalld.service
setenforce 0
yum -y install httpd
systemctl start httpd
netstat -natp | grep 80
3、客户端配置(添加代理)
IE浏览器
打开代理服务,代理IP为squid的IP地址,端口为3128
#使用win10访问web2 IP
#动态查看访问日志,观察来访IP
tail -f /var/ log/httpd/access_log
搭建透明代理
1、Squid服务器配置
首先要先加一个网卡,作为外网连接用
cd /etc/ sysconfig/network-scripts/
cp ifcfg-ens33 ifcfg-ens36
vim ifcfg-ens36
systemctl restart network
修改squid.conf 配置文件
#60行修改添加提供内网服务的IP地址,和支持透明代理选项transparent
vim /etc/ squid.conf
http_access allow all
http_access deny all
http_port 192.168.100.1:3128 transparent
systemctl restart squid
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -P
配置防火墙规则
iptables -F
iptables -t nat - F
#添加防火墙规则(将来源为100网段:80/443端口的流量重定向到3128端口)
iptables -t nat -I PREROUTING -i ens36 -s 192.168.100.0/24 -p tcp --dport 80 -j REDIRECT --to 3128
iptables -t nat -I PREROUTING -i ens36 -s 192.168.100.0/25 -p tcp --dport 443 -j REDIRECT --to 3128
#若进行重启,则需要配置以下规则
iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
2、web2服务器添加一-条静态路由
route add -net 192.168.100.0/24 gw 192.168.226.90
3、客户端关闭代理,修改win10地址为100网段,网卡指向squid代理服务器上的外网卡IP
#访问web1服务器
实时查看日志文件的记录情况
tail -f /var/log/httpd/access_log
由代理服务器90主机发出,不是有192.168.226.120win10主机发出。而且已经关闭了代理服务。
ACL访问控制列表
1,定义访问控制列表
格式:
acl 列表名称 列表类型 列表内容
列表名称:名称自定义,acl的名字
列表类型:必须使用squid预定义的值,对应不同类别的控制条件
列表内容:是要控制的具体对象
vim /etc/squid.cinf
acl localhost src 192.168.220.120
http_access deny localhost
在下面应用这个localshost名称
将所匹配这个名称的网段全都拦截掉
注意:要放在最前面,acl遵循由上往下依次执行
注意acl中的网址是来访问的网址,不是web上的网址
在web2,80主机验证访问,拦截成功
总结
代理服务能够起到给客户端加速,给服务端增加缓存且隐藏IP增强安全性的作用。传统代理虽然能起到加速的作用,但是客户端需要指定代理服务器的地址和端口,对客户而言,有些许麻烦。透明代理则可以解决这个问题。通过防火墙规则和路由的搭配可以将对web的访问,重定向到代理服务器,再发送到服务端。不需要客户端再指定端口和地址。acl访问规则是对后端的优化,将一些请求进行黑白名单的处理。避免了大规模的恶意骚扰,增加了安全性。