squid代理

2021-09-06 09:16:20

概念
   高性能dialing服务软件，作为前置缓存服务，用于替代用户向网站服务器请求页面数据并进行缓存。
   默认占用端口3128、3401、4827

分类
   从作用分类
       正向代理
          用于局域网内
           标准正向代理模式：
               将网站的数据缓存在服务器本地，用户需要指定服务器的IP地址和端口号
           透明正向代理模式
               功能同上，但不需要用户指定代理服务器的IP地址和端口号

       反向代理
           降低网站服务器负载而设计的，反向代理服务器负责回应用户对原始网站服务器的静态页面请求
           用于网站架构中，缓存网站的静态数据

安装squid
   yum -y install squid

   主程序目录       /usr/sbin/squid
   配置文件目录   /etc/squid
       主配置文件   /etc/squid/squid.conf
       访问日志   /var/log/squid/access.log
       缓存日志   /var/log/squid/cache.log

   配置文件中的参数
       http_port 3128    监听的端口号。
       cache_mem 64M    内存缓冲区的大小。
       cache_dir ufs /var/spool/squid 2000 16 256    硬盘缓冲区的大小。缓存大小，一级目录数，二级目录数
       cache_effective_user squid    设置缓存的有效用户。
       cache_effective_group squid    设置缓存的有效用户组。
       dns_nameservers IP地址    一般不设置，用服务器默认的DNS地址。
       cache_access_log /var/log/squid/access.log    访问日志文件的保存路径。
       cache_log /var/log/squid/cache.log    缓存日志文件的保存路径。
       visible_hostname linuxprobe.com    设置Squid服务主机的名称

启动服务
   systemctl enable squid
   systemctl start squid
       #启动后默认可以标准正向代理模式

   放行squid或端口
       firewall-cmd --permanent --add-port=3128/tcp
       firewall-cmd --permanent --add-service=squid

自定义服务端口
   1、更改主配置文件
       vim /etc/squid/squid.conf
           http_port 10000

   2、修改squid的布尔值
       setsebool -P squid_connect_any 0

   3、修改SELinux对10000的端口策略
       semanage port -a -t squid_port_t -p tcp 10000

   4、重启服务
       systemctl restart squid

   透明正向代理
       squid不支持DNS解析，需要配置SNAT
           iptables -t nat -A POSTROUTING -p udp --dport 53 -o en016777736 -j MASQUERADE

           # firewall-cmd --permanent --add-masquerade

           开启IPv4 转发策略
               echo “net.ipv4.ip_forward=1” >> /etc/sysctl.conf
               sysctl -p

       配置透明代理
           vim /etc/squid/squid.conf

               http_port 3128 transparent

           判断文件是否有错误
               squid -k parse

       重启服务
           systemctl restart squid

       将用户对80端口的请求转发到3128端口
           iptables -t nat -A PEROUTING -p tcp --dport 80 -j REDIRECT --to-port 3218
           iptables -t nat -R PEROUTING 1 -i eno16777736 -p tcp --dport 80 REDIRECT --to-port 3218


   反向代理
       编辑配置文件
       格式:http_port squid服务器地址:端口号 vhost
       http_port 192.168.10.10:80 vhost

       添加原网站服务地址
           格式：
               cache_peer 原网站服务器地址 parent 服务器端口号 0 originserver
               cache_peer 106.184.1.125 parent 80 0 originserver

   ACL访问控制
       ACL语法：
           acl AclName AclType string
           acl ACLName AclType "file"

           AclType:
               src定义源地址
                   acl aclname src x.x.x.x/mask
                   acl aclname src addr1-addr2/mask

               dst目的地址
                   acl aclname dst x.x.x.x/mask

               port指定访问端口号
                   acl aclname port 80 1024
                   acl aclname port 0-1024

               url_regex限制网址中的关键词
                   acl aclname url_regex [-i] pattern

               proto定义要代理的协议
                   acl aclname proto HTTP FTP

               method指定请求的方法
                   acl aclname method GET POST

       例：仅允许192.168.10.20的主机使用本地squid服务，拒绝其他
           acl client src 192.168.10.20
           http_access allow client
           http_access deny all

           拒绝客户使用代理服务器访问带有关键词“linux”的网站
               acl deny_keyword url_regex -i linux
               http_access deny deny_keyword
               http_access allow all

           拒绝客户机使用代理服务访问www. i.cnblogs.com
               acl deny_url url_regex http://i.cnblogs.com
               http_access deny deny_url

           禁止客户机使用代理服务器下载mp3与rar为后缀的文件
               acl badfile urlpath_regex -i \.mp3$ \.rar$
               http_access deny badfile

码农公寓

相关文章