当前位置：网站首页>重量级代理缓存服务器Squid

重量级代理缓存服务器Squid

2022-06-12 10:34:00 【星哥玩云】

Squid简介：

Squidcache（简称为Squid）是一个流行的自由软件（GNU通用公共许可证）的代理服务器和Web缓存服务器。Squid有广泛的用途，从作为网页服务器的前置cache服务器缓存相关请求来提高Web服务器的速度，到为一组人共享网络资源而缓存万维网，域名系统和其他网络搜索，到通过过滤流量帮助网络安全，到局域网通过代理上网。Squid主要设计用于在Linux一类系统运行。

正向代理：局域网访问外网

1、snat模式

网络层次：网络层

如果局域网的用户访问外网走snat模式，同一个数据包，改变数据包头部的来源地址，再把数据包发到internet。

安全控制：基于网络层传输层

网络层安全：来源地址目标地址

传输层安全：协议：tcp、udp端口号：来源端口、目标端口标志位：syn、ack、finrst

2、代理服务器模式

不改变数据包头信息，把数据包代理给internet的服务器

网络层次：应用层

基于应用层的过滤：微软开发的软件防火墙ISAinternetsecurityaccelerate

Linux系统的squid服务器

安全控制：网络层传输层应用层

网络层安全：来源地址目标地址

传输层安全：协议：tcp、udp端口号：来源端口、目标端口标志位：syn、ack、finrst

应用层安全：协议：http、ftp、pop、smtp、p2p内容过滤url过滤、域名过滤

代理服务器的缺陷：基于少量的应用协议，支持的应用少。

反向代理：internet用户访问局域网服务器

Squid做反向代理服务器，把用户的请求转发到后方的真实的服务器，可以做到负载均衡的效果。

squid正向代理拓扑图：

Squid的应用一：实现正向代理

二：安全控制

三：透明代理

四：反向代理

一：实现正向代理

准备工作：

1、设置内网接口eth0接口，和外网接口eth1的ip地址

安装squid服务器的rpm包

rpm-ivhsquid-2.6.STABLE21-3.el5.i386.rpm

打开squid的配置文件

919http_port3128

2994visible_hostname192.168.2.100#当访问出错时，squid将会返回一个出错页面，这个出错页面是由192,。168.2.100（这里可以是任意名称）提示产生的。

启动squid服务

切换到/var/spool/squid目录将会看到16个一级子目录

每一个子目录下面将会形成256个二级子目录，切换到00目录下

做简单的测试：内网访问外网

设置局域网中的一台主机的浏览器属性--连接--局域网设置--代理服务器，添加代理服务器的ip地址和端口

访问失败得到一个出错页面是由192.168.2.100产生的

因为squid的默认策略是除了他自己可以访问外网外，其他拒绝所有

打开squid的配置文件，定义允许内网用户上网的元素，添加策略

重启squid服务

打开浏览器再次测试上网成功

第一次访问页面返回类型是TCP_MISS,说明还没有被缓存

再次访问将是：TCP_IMS_HIT说明数据已经被缓存，是从squid的缓存目录中得到的数据

二：安全控制

1，拒绝192.168.2.200这台主机上网，定义策略，创建访问控制列表。

aclbadpcsrc192.168.2.200/255.255.255.255

http_accessallowlocalhost

http_accessdenybadpc

http_accessallowall

测试访问http://www.sina.com,将不能访问到出现错误。

2，控制一个地址段，拒绝192.168.2.200-192.168.2.210这台主机上网，定义策略，创建访问控制列表。

测试访问http://www.sina.com,将不能访问到出现错误

换一个地址比如说192.168.2.220，测试一下，就可以上网了

3，定义基于时间控制的策略，初试时间要小于结束时间，被拒绝的主机上班时间不能上网，下班可以

aclworktimetime06:00-20:00

http_accessdenybadpcworktime

Ip地址改为192.168.2.200，现在的时间为

[email protected]~]#date102509252013

FriOct2509:25:00PDT2013

上班时间

测试访问http://www.sina.com，将是拒绝的

修改时间为下班时间再次访问

[[email protected]~]#date102521252013

FriOct2521:25:00PDT2013

用！取反也可以

http_accessallowlocalhost

http_accessallowbadpc!worktime

http_accessdenyall

下班时间允许访问

4，基于URL的安全控制，定义访问策略元素，基于url的控制元素是url_regex。

aclbadsiteurl_regex-ihttp://www.sina.com.cn

http_accessdenybadsite

http_accessallowall

http_accessdenyall

访问新浪网测试，被拒绝

结合通配符*号使用，在url中任何以.sina.com.cn为结尾的网站都是被拒绝的

aclbadsiteurl_regex-ihttp://.*.sina.com.cn

http_accessdenybadsite

http_accessallowall

http_accessdenyall

5,基于url的控制，任何中间出现.sina，两边是任意字符的网站都是被拒绝的

aclbadsiteurl_regex-ihttp://.*.sina.*

http_accessdenybadsite

http_accessallowall

http_accessdenyall

6，基于网页内容图片的过滤，策略元素类型是urlpath_regex，

aclbadcontenturlpath_regex-i\.jpg$

aclbadcontenturlpath_regex-i\.png$

aclbadcontenturlpath_regex-i\.gif$

http_accessdenybadcontent

7、基于域名的控制，策略元素类型是dstdomian,禁止发往sina.com.cn与baidu.com这两个域的任何主机的任何请求。 aclsinadstdomain.sina.com.cn

aclbaidudstdomain.baidu.com

http_accessdenysina

http_accessdenybaidu

http_accessallowall

http_accessdenyall

三：squid做透明代理

透明代理的原理：

当内网的用户，不知道代理服务器的代理端口和ip地址时，要想上网就不能走正向代理。

用户的网管指向代理服务器的内卡地址192.168.2.100，当发送一个数据包到达代理服务器的内卡地址时，在系统内部，代理服务器会把原数据包端口80替换为代理服务器的端口3128端口，然后数据包到达代理服务器，代理服务器有缓存就直接发给用户，如果没有，把数据包发往外网，端口的替换需要靠iptables的nat表的PREROTING链路由判断之前来实现的。

但是，代理服务器的代理功能有限仅限于httpftp等协议，而数据包头部的目标ip地址的解析需要靠dns协议，dns是不能被代理服务器代理的，所以nds的解析需要靠SNAT技术，而snat的实现，需要linux的软件防火墙netfilter的iptables架构。

要做nat转换，打开linux的数据包转发功能/etc/sysctl.conf

net.ipv4.ip_forward=1

Sant的实现是靠iptables框架中的nat表中的POSTROUTING链

iptables-tnat-APOSTROUTING-s192.168.2.0/24-pudp--dport53-oeth1-jSNAT--to192.168.1.4

端口实现是重定向靠iptables的nat表的路由判断之前PREROUTING链

[[email protected]~]#iptables-tnat-APREROUTING-s192.168.2.0/24-ptcp--dport80-jREDIRECT--to-port3128

告诉squid要实现透明代理打开配置文件

931http_port3128transparent

打开内网用户在浏览器取消代理功能，测试dns请求，以及上网

四：squid做反向代理服务器

反向代理服务器的原理：