|
代理提供兩個(gè)方面的服務(wù):一是讓不能直接訪問(wèn)Internet的用戶訪問(wèn)Internet����,因?yàn)樵试S一臺(tái)權(quán)限較大的計(jì)算機(jī)直接連接網(wǎng)絡(luò)更安全也更易于管理��;二是讓那些已經(jīng)能夠訪問(wèn)Internet的用戶可以更快或更廣泛地訪問(wèn)�����,因?yàn)榇矸⻊?wù)器可以將訪問(wèn)較為頻繁的網(wǎng)頁(yè)緩存到本地����,當(dāng)有人再次訪問(wèn)同一頁(yè)面時(shí),代理可以直接發(fā)送本地頁(yè)面而無(wú)需浪費(fèi)網(wǎng)絡(luò)帶寬�����。當(dāng)然也可以二者兼而有之�。
我們以應(yīng)用最廣泛的Squid為例,討論Linux下的代理服務(wù)器��。這里所指的僅僅是服務(wù)器端應(yīng)用���,不包括客戶端配置。Squid的優(yōu)點(diǎn)是功能強(qiáng)大�、配置簡(jiǎn)單、文檔豐富�;缺點(diǎn)是目前支持的協(xié)議尚不夠廣泛,對(duì)超大型應(yīng)用略感吃力�,不過(guò)這些不足都在慢慢完善之中�����。對(duì)于初學(xué)者和普通的應(yīng)用而言�����,Squid仍是最佳選擇��。
在此���,我們要配置一個(gè)只對(duì)內(nèi)部網(wǎng)絡(luò)提供代理服務(wù)的Proxy Server。它將用戶分為高級(jí)用戶和普通用戶兩種���,對(duì)高級(jí)用戶采用網(wǎng)卡物理地址識(shí)別的方法���,普通用戶則需要輸入用戶名和口令才能正常使用。高級(jí)用戶沒(méi)有訪問(wèn)時(shí)間和文件類型的限制�,而普通用戶只在上班時(shí)可以訪問(wèn)以及一些其它的限制。
安裝
可以從Squid站點(diǎn)www.squid-cache.org獲取該軟件的源代碼安裝包���,包括gz和bz2兩種壓縮方式�����。也可以使用Linux的發(fā)行版����,如Red
Hat提供的RPM包。
RPM方式安裝很簡(jiǎn)單���,命令如下:
$ rpm -ivh Squid-2.x.STALBx.i386.rpm
不過(guò)筆者認(rèn)為�����,即便是系統(tǒng)中已經(jīng)默認(rèn)安裝了Squid�,也應(yīng)當(dāng)先刪掉然后安裝最新的源代碼包���。因?yàn)殚_(kāi)源軟件會(huì)不斷修正問(wèn)題�����、提供更新的功能,使用最新版本可以保證最高的性能及安全�����,而且源代碼方式可以完全定制系統(tǒng)�����。不過(guò)STABLE穩(wěn)定版、DEVEL版通常是提供給開(kāi)發(fā)人員測(cè)試程序的����,假定下載了最新的穩(wěn)定版squid-2.5.STABLE2.tar.gz,用以下命令解開(kāi)壓縮包:
$ tar xvfz squid-2.5.STABLE.tar.gz
用bz2方式壓縮的包可能體積更小���,相應(yīng)的命令是:
$ tar xvfj squid-2.5.STABLE.tar.bz2
然后�����,進(jìn)入相應(yīng)目錄對(duì)源代碼進(jìn)行配置和編譯�����,命令如下:
$ cd squid-2.5.STABLE2
配置命令configure有很多選項(xiàng)����,如果不清楚可先用“-help”查看��。通常情況下��,用到的選項(xiàng)有以下幾個(gè):
--prefix=/web/squid #指定Squid的安裝位置,如果只指定這一選項(xiàng)����,那么該目錄下會(huì)有bin、sbin��、man��、conf等目錄�,而主要的配置文件此時(shí)在conf子目錄中。為便于管理���,最好用參數(shù)--sysconfdir=/etc把這個(gè)文件位置配置為/etc�����。
--enable-storeio=ufs,null #使用的文件系統(tǒng)通常是默認(rèn)的ufs�,不過(guò)如果想要做一個(gè)不緩存任何文件的代理服務(wù)器�����,就需要加上null文件系統(tǒng)�。
--enable-arp-acl #這樣可以在規(guī)則設(shè)置中直接通過(guò)客戶端的MAC地址進(jìn)行管理,防止客戶使用IP欺騙��。
--enable-err-languages="Simplify_Chinese" --enable-default-err-languages="Simplify_Chinese" #上面兩個(gè)選項(xiàng)告訴Squid編入并使用簡(jiǎn)體中文錯(cuò)誤信息���。
--enable-linux-netfilter #允許使用Linux的透明代理功能���。
--enable-underscore #允許解析的URL中出現(xiàn)下劃線,因?yàn)槟J(rèn)情況下Squid會(huì)認(rèn)為帶下劃線的URL是非法的����,并拒絕訪問(wèn)該地址。
整個(gè)配置編譯過(guò)程如下:
./configure --prefix=/var/squid --sysconfdir=/etc --enable-arp-acl --enable-linux-netfilter --enable-pthreads --enable-err-language="Simplify_Chinese" --enable-storeio=ufs,null --enable-default-err-language="Simplify_Chinese" --enable-auth="basic" --enable-baisc-auth-helpers="NCSA" --enable-underscore
其中一些選項(xiàng)有特殊作用�����,將在下面介紹它們��。
最后執(zhí)行make和make install兩條命令��,將源代碼編譯為可執(zhí)行文件�,并拷貝到指定位置。
基本配置
安裝完成后��,接下來(lái)要對(duì)Squid的運(yùn)行進(jìn)行配置(不是前面安裝時(shí)的配置)����。所有項(xiàng)目都在squid.conf中完成。Squid自帶的squid.conf
包括非常詳盡的說(shuō)明,相當(dāng)于一篇用戶手冊(cè)����,對(duì)配置有任何疑問(wèn)都可以參照解決。
在這個(gè)例子中��,代理服務(wù)器同時(shí)也是網(wǎng)關(guān)����,內(nèi)部網(wǎng)絡(luò)接口eth0的IP地址為192.168.0.1,外部網(wǎng)絡(luò)接口eth1的IP地址為202.103.x.x��。
下面是一個(gè)基本的代理所需要配置選項(xiàng): http_port 192.168.0.1:3128
默認(rèn)端口是3128�,當(dāng)然也可以是任何其它端口,只要不與其它服務(wù)發(fā)生沖突即可�。為了安全起見(jiàn),在前面加上IP地址����,Squid就不會(huì)監(jiān)聽(tīng)外部的網(wǎng)絡(luò)接口。
下面的配置選項(xiàng)是服務(wù)器管理者的電子郵件����,當(dāng)錯(cuò)誤發(fā)生時(shí),該地址會(huì)顯示在錯(cuò)誤頁(yè)面上�����,便于用戶聯(lián)系:
cache_mgr netsnake@963.net
以下這些參數(shù)告訴Squid緩存的文件系統(tǒng)、位置和緩存策略:
cache_dir ufs /var/squid cache_mem 32MB cache_swap_low 90 cache_swap_high 95
在這里�,Squid會(huì)將/var/squid目錄作為保存緩存數(shù)據(jù)的目錄�,每次處理的緩存大小是32兆字節(jié),當(dāng)緩存空間使用達(dá)到95%時(shí)�����,新的內(nèi)容將取代舊的而不直接添加到目錄中����,直到空間又下降到90%才停止這一活動(dòng)。如果不想Squid緩存任何文件���,如某些存儲(chǔ)空間有限的專有系統(tǒng)����,可以使用null文件系統(tǒng)(這樣不需要那些緩存策略): cache_dir null /tmp
下面的幾個(gè)關(guān)于緩存的策略配置中�����,較主要的是第一行�����,即用戶的訪問(wèn)記錄,可以通過(guò)分析它來(lái)了解所有用戶訪問(wèn)的詳盡地址:
cache_access_log /var/squid/access.log cache_log /var/squid/cache.log cache_store_log /var/squid/store.log
下面這行配置是在較新版本中出現(xiàn)的參數(shù)�����,告訴Squid在錯(cuò)誤頁(yè)面中顯示的服務(wù)器名稱:
visible_hostname No1.proxy
以下配置告訴Squid如何處理用戶��,對(duì)每個(gè)請(qǐng)求的IP地址作為單獨(dú)地址處理: client_mask 255.255.255.255
如果是普通代理服務(wù)器���,以上的配置已經(jīng)足夠�。但是很多Squid都被用來(lái)做透明代理�。所謂透明代理,就是客戶端不知道有代理服務(wù)器的存在�����,當(dāng)然也不需要進(jìn)行任何與代理有關(guān)的設(shè)置�,從而大大方便了系統(tǒng)管理員。相關(guān)的選項(xiàng)有以下幾個(gè):
httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_user_host_header on
在Linux上��,可以用iptables/ipchains直接將對(duì)Web端口80的請(qǐng)求直接轉(zhuǎn)發(fā)到Squid端口3128��,由Squid接手�����,而用戶瀏覽器仍然認(rèn)為它訪問(wèn)的是對(duì)方的80端口。例如以下這條命令:
iptables -t nat -A PREROUTING -s 192.168.0.200/32 -p tcp --dport 80 -j REDIRECT 3128
就是將192.168.0.200的所有針對(duì)80端口的訪問(wèn)重定向到3128端口��。
所有設(shè)置完成后�,關(guān)鍵且重要的任務(wù)是訪問(wèn)控制。Squid支持的管理方式很多�����,使用起來(lái)也非常簡(jiǎn)單(這也是有人寧愿使用不做任何緩存的Squid���,也不愿意單獨(dú)使用iptables的原因)。Squid可以通過(guò)IP地址����、主機(jī)名、MAC地址����、用戶/密碼認(rèn)證等識(shí)別用戶,也可以通過(guò)域名��、域后綴��、文件類型、IP地址����、端口、URL匹配等控制用戶的訪問(wèn)��,還可以使用時(shí)間區(qū)間對(duì)用戶進(jìn)行管理�����,所以訪問(wèn)控制是Squid配置中的重點(diǎn)����。Squid用ACL(Access Control List,訪問(wèn)控制列表)對(duì)訪問(wèn)類型進(jìn)行劃分����,用http_access deny 或allow進(jìn)行控制。根據(jù)需求首先定義兩組用戶advance和normal���,還有代表所有未指明的用戶組all及不允許上網(wǎng)的baduser���,配置代碼如下:
acl advance 192.168.0.2-192.168.0.10/32 acl normal src 192.168.0.11-192.168.0.200/32 acl baduser src 192.168.0.100/32 acl
baddst dst www.somebadsite.com acl all src 0.0.0.0/0 http_access deny baduser http_access allow advance http_access allow normal
可以看出,ACL的基本格式如下: acl 列表名稱 控制方式 控制目標(biāo)
比如acl all src 0.0.0.0/0��,其名稱是all,控制方式是src源IP地址�����,控制目標(biāo)是0.0.0.0/0的IP地址����,即所有未定義的用戶。出于安全考慮���,總是在最后禁止這個(gè)列表。
下面這個(gè)列表代表高級(jí)用戶�,包括IP地址從192.168.0.2到192.168.0.10的所有計(jì)算機(jī):
acl advance 192.168.0.2-192.168.0.20/32
下面這個(gè)baduser列表只包含一臺(tái)計(jì)算機(jī),其IP地址是192.168.0.100: acl baduser 192.168.0.100/32
ACL寫完后�,接下來(lái)要對(duì)它們分別進(jìn)行管理,代碼如下: http_access deny baduser http_access allow advance http_access allow normal
上面幾行代碼告訴Squid不允許baduser組訪問(wèn)Internet���,但advance����、normal組允許(此時(shí)還沒(méi)有指定詳細(xì)的權(quán)限)�。由于Squid是按照順序讀取規(guī)則,會(huì)首先禁止baduser�����,然后允許normal。如果將兩條規(guī)則順序顛倒�,由于baduser在normal范圍中,Squid先允許了所有的normal���,那么再禁止baduser就不會(huì)起作用����。
特別要注意的是��,Squid將使用allow-deny-allow-deny……這樣的順序套用規(guī)則�����。例如����,當(dāng)一個(gè)用戶訪問(wèn)代理服務(wù)器時(shí),Squid會(huì)順序測(cè)試Squid中定義的所有規(guī)則列表����,當(dāng)所有規(guī)則都不匹配時(shí),Squid會(huì)使用與最后一條相反的規(guī)則。就像上面這個(gè)例子�,假設(shè)有一個(gè)用戶的IP地址是192.168.0.201,他試圖通過(guò)這臺(tái)代理服務(wù)器訪問(wèn)Internet�,會(huì)發(fā)生什么情況呢?我們會(huì)發(fā)現(xiàn)�����,他能夠正常訪問(wèn)��,因?yàn)镾quid找遍所有訪問(wèn)列表也沒(méi)有和192.168.0.201有關(guān)的定義����,便開(kāi)始應(yīng)用規(guī)則,而最后一條是deny���,那么Squid默認(rèn)的下一條處理規(guī)則是allow���,所以192.168.0.201反而能夠訪問(wèn)Internet了���,這顯然不是我們希望的�����。所以在所有squid.conf中�,最后一條規(guī)則永遠(yuǎn)是http_access deny all,而all就是前面定義的“src 0.0.0.0”�����。
出處:
責(zé)任編輯:ImHow
上一頁(yè) 下一頁(yè) 高級(jí)應(yīng)用
|
第 1 頁(yè) 初級(jí)使用
第 2 頁(yè) 
