文档章节

Squid 理解

s
 start0cheng
发布于 2015/02/09 23:07
字数 1374
阅读 65
收藏 2

因工作中需要用到squid,为此开始学习squid。这只能说明一点,学习是被逼出来的。费话不多说,开始了!

Squid的代理模式有:

1.代理服务器

理解:web直接将80请求发给代理服务器3128端口)

2.透明代理

理解:web的80请求被防火墙直接重定向到3128,因此透时代理对用户而言是不可见的。

3.反向代理

一、代理服务器

这是SQUID的最基本功能;通过在squid.conf文件里添加一系列访问及控制规则,用户在客户端设置服务器地址和端口,即可通过SQUID访问INTERNET,在下面的规则里,squid实现局域网用户代理和高速缓存功能。

http_port 3128 #监听内外网端口

cache_dir ufs /var/squid 

#定义内容缓存的目录  
cache_mem 32MB

#定义内存缓冲的大小 
cache_swap_low 90 
cache_swap_high 95

cache_dir /var/squid 1000 16 32

dns_nameservers 202.96.128.86

#设置硬盘缓冲的大小
cache_access_log /var/log/squid/access.log

#设置访问日志
cache_log /var/log/squid/cache.log

#设置缓存日志
acl all src 0.0.0.0/0.0.0.0

#允许所有人可以上网

acl head src 192.168.0.2/255.255.255.255 192.168.0.3/255.255.255.255

#定义可上网的网段
acl denysite dstdomain tw net

#定义阻止的网站
acl denyip dst 202.96.134.133/255.255.255.255

#定义阻止的目标IP
acl dnsport port 53

#定义DNS传输端口
http_access allow head
http_access deny denysite

#执行定义的阻止访问站点
http_
access deny denyip
#执行定义的阻止的目标IP

http_access deny dnsport

执行阻止的DNS请求

visible_hostname 192.168.0.1

#配置代理服务器的主机名

cache_mgr ×××@redhat.com

#配置管理员的邮址

客户端在IE设置里填写代理服务器IP地址及端口,即刻实现高速上网。

二、透明代理

所谓透明代理,是相对于代理服务器而言,客户端不需要做任何和代理服务器相关的设置和操作,对用户而言,更本感觉不到代理服务器的存在,所以称之为透明代理

▲用户A发送一个访问请求到防火墙,由防火墙将该用户的访问请求转发到SQUID,SQUID在先检查自身缓存中有无该用户请求的访问内容,如果没有,则请求远端目的服务器,获取该用户的访问内容,在返回给用户的同时,在自身缓存保留一份记录以备下次调用;当用户B发送一个和用户A相同的访问请求时,由防火墙将转发该用户请求到SQUID,SQUID检查自身缓存发现有同样内容后,直接将该内容返回给用户。

▲注:在实际使用中,通常将SQUID和防火墙放在同一台机器上,为了更清楚的象浏览者描述其工作流程,在以下的流程图中将防火墙和SQUID分开显示

image

要实现透明代理,需要在代理服务器的配置文件基础上加一些东西。

http_port 3128 #监听内外网端口

cache_dir ufs /var/squid 

#定义内容缓存的目录  
cache_mem 32MB

#定义内存缓冲的大小 
cache_swap_low 90 
cache_swap_high 95

cache_dir /var/squid 1000 16 32

dns_nameservers 202.96.128.86

#设置硬盘缓冲的大小
cache_access_log /var/log/squid/access.log

#设置访问日志
cache_log /var/log/squid/cache.log

#设置缓存日志
acl all src 0.0.0.0/0.0.0.0

#允许所有人可以上网

acl head src 192.168.0.2/255.255.255.255 192.168.0.3/255.255.255.255

#定义可上网的网段
acl denysite dstdomain tw net

#定义阻止的网站
acl denyip dst 202.96.134.133/255.255.255.255

#定义阻止的目标IP
acl dnsport port 53

#定义DNS传输端口
http_access allow head
http_access deny denysite

#执行定义的阻止访问站点
http_
access deny denyip
#执行定义的阻止的目标IP

http_access deny dnsport

执行阻止的DNS请求

visible_hostname 192.168.0.1

#配置代理服务器的主机名

cache_mgr ×××@redhat.com

#配置管理员的邮址

++++++++++++++++以下为实现透明代理不可缺少的主句

httpd_accel_host virtual

#虚拟主机模式

httpd_accel_with_proxy on

#此项设置为ON后,Squid即是WEB请求的加速器,又是缓存代理服务器。

httpd_accel_users_host_header on

#此项设置ON后,在透时代理模式下,代理服务器的缓存功能才能正常工作。

+++++++++++

开启Linux 路由功能:

方法1:ech0 "1">/proc/sys/net/ipv4/ip_forward
#打开Linux中的包转发功能

方法2:#改变此文件(sysctl.conf)让包转发功能在系统启动以后自动生效;
vi /etc/sysctl.conf
#找到下面语句:
# Controls IP packet forwarding
net.ipv4.ip_forward = 0
#把0改为1,改后如下:
# Controls IP packet forwarding
net.ipv4.ip_forward = 1

++++++++++++

开启iptables的NAT及端口重定向

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

#打开iptables的NAT功能(eth1是连接外网或者连接Internet的网卡);

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
#端口重定向(eth0是内网的网卡);

service iptables save
#保存iptables的规则;

service iptables restart
#重启iptables

++++++++++++++++++++

互联网的访问控制:

acl 2 src 192.168.0.2
http_access allow 2
#允许192.168.0.2这个ip地址的请求全部通过代理服务器;

acl qq url_regex -i qq.com
http_access deny qq
acl tencent url_regex -i tencent.com
http_access deny tencent
#禁止用户上qq

acl jzxz urlpath_regex -i \.exe$ \.rar$ \.zip$ \.mp3$ \.mp4$ \.rm$ \.wma$ \.rmvb$ \.avi$
http_access deny jzxz
#禁止用户下载以'.exe、.rar、mp3、mp4、.rm'等结尾的文件(注意空格啊!没有空格便失效)

acl all src 192.168.0.1/255.255.255.0
http_access allow all
#设置访问控制列表,让代理服务器接受来自192.168.0这个网段的请求。

博文若有问题,请大家拍砖!

2010-4-1 深圳地王

本文转载自:http://myhat.blog.51cto.com/391263/290286

s
粉丝 3
博文 260
码字总数 0
作品 0
广州
私信 提问
加载中

评论(0)

十一及后续一个月的学习安排

有两根主线:首先把服务器学精,squid->postfix->apache->mysql->流媒体->LDAP->VPN->Webmin->NAT->系统优化 其次是回头深入理解PHP高级编程,注重面向对象。 估计进度不会太慢,十一结束搞定...

五岳之巅
2009/09/30
0
0
squid access.log中Squid返回给客户端的结果编码

TCP_HIT Squid发现请求资源的貌似新鲜的拷贝,并将其立即发送到客户端。 TCP_MISS Squid没有请求资源的cache拷贝。 TCPREFERSHHIT Squid发现请求资源的貌似陈旧的拷贝,并发送确认请求到原始...

科技小能手
2017/11/12
0
0
系统原理分析架构-四-squid(简介及正向代理)

感谢朋友支持本博客,欢迎共同探讨交流,由于能力和时间有限,错误之处在所难免,欢迎指正! 如有转载,请保留源作者博客信息。 Better Me的博客:blog.csdn.net/tantexian 如需交流,欢迎大...

tantexian
2016/02/29
99
0
【转】squid-2.6 反向代理服务器(RHEL5)

Tool: squid-2.6.STABLE6-4.el5 拓扑图 如上图,有两个网络:公司内部私有网络:192.168.1.0/24;Internet外部网络:10.66.0.0/24。 公司内部网络有两个服务器: Server A提供两种服务,端口...

mj4738
2012/01/06
285
0
Squid学习笔记

1、部署 编译安装(以下编译安装参数适用Squid-3.0-stable20) ./configure --prefix=/usr/local/squid --enable-async-io=100 --with-pthreads --enable-storeio="ufs,aufs,diskd" --enable......

香胖
2015/12/04
1.2K
0

没有更多内容

加载失败,请刷新页面

加载更多

Java BigDecimal 如何去掉末尾多余的 0

Java BigDecimal 如何去掉末尾多余的 0 呢? /** * To StripTrailingZeros */ @Test public void bigDecimalStripTrailingZerosTest() { BigDecimal bi......

honeymoose
今天
43
0
齐齐哈尔哪里可以开发票-中国新闻网

齐齐哈尔哪里可以开发票【1.3.2 - 2.9.3.0 - 0.5.6.8.】李生,adb的全称为Android Debug Bridge,是Android手机通用的一个USB端口。百度CarLife的部分车机采用了该...

8315581
今天
79
0
衡水哪里可以开发票-中国新闻网

衡水哪里可以开发票【1.3.2 - 2.9.3.0 - 0.5.6.8.】李生,adb的全称为Android Debug Bridge,是Android手机通用的一个USB端口。百度CarLife的部分车机采用了该种连...

457192
今天
60
0
张家口哪里可以开发票-中国新闻网

张家口哪里可以开发票【1.3.2 - 2.9.3.0 - 0.5.6.8.】李生,adb的全称为Android Debug Bridge,是Android手机通用的一个USB端口。百度CarLife的部分车机采用了该种...

253878
今天
66
0
黑龙江哪里可以开发票-中国新闻网

黑龙江哪里可以开发票【1.3.2 - 2.9.3.0 - 0.5.6.8.】李生,adb的全称为Android Debug Bridge,是Android手机通用的一个USB端口。百度CarLife的部分车机采用了该种...

富大范
今天
39
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部