Squid初級配置

liuyangxky

Squid初級配置
       在局域網(wǎng)中，常常需要對訪問外部資源進(jìn)行控制。通常的做法是用防火墻(例如iptables)對某些IP或者端口進(jìn)行管理，但這樣不夠靈活。
    在RHEL5中使用Squid作為代理服務(wù)軟件，不僅可以實(shí)現(xiàn)訪問控制，也可以對訪問內(nèi)容進(jìn)行控制。同時可以作為Cache提高訪問速度。
一、Squid訪問控制——ACL
ACL的語法格式如下：
acl aclname acltype string1 ...
acl aclname acltype "file" ...
       當(dāng)使用”file”時，”file”中的每一行只能包含一個item。
幾種ACL類型簡介：
默認(rèn)情況下，正則表達(dá)式是大小寫敏感的，加-i參數(shù)可以取消大小寫敏感。
       acl aclname src      ip-address/netmask ... (客戶端IP地址)
acl aclname src      addr1-addr2/netmask ... (地址范圍)
acl aclname dst      ip-address/netmask ... (URL host's IP address)
acl aclname myip     ip-address/netmask ... (本地IP)
acl aclname arp      mac-address ... (xx:xx:xx:xx:xx:xx notation)
         # arp ACL 需要特殊選項(xiàng) --enable-arp-acl.
                # /etc/init.d/squid restart --enable-arp-acl
acl aclname srcdomain   .foo.com ...    # 反解client IP
acl aclname dstdomain   .foo.com ...   
acl aclname srcdom_regex [-i] xxx ...   # 正則表達(dá)式匹配客戶端的主機(jī)名
acl aclname dstdom_regex [-i] xxx ...   
       #如果匹配不成功，可以使用”none”這個字來匹配。
acl aclname time     [day-abbrevs]  [h1:m1-h2:m2]
day-abbrevs:
               S - Sunday
               M - Monday
               T - Tuesday
               W - Wednesday
               H - Thursday
               F - Friday
               A - Saturday
# h1:m1 必須小于 h2:m2
acl aclname port     80 70 21 ...               #定義端口
acl aclname port     0-1024 ...         #定義端口的范圍
acl aclname myport   3128 ...           # (local socket TCP port)
acl aclname proto    HTTP FTP ...
acl aclname method   GET POST ...
acl aclname browser  [-i] regexp ...           #過濾瀏覽器類型
         # 這個選項(xiàng)會檢查HTTP報頭中的User-Agent選項(xiàng)
acl aclname referer_regex  [-i] regexp ...
         #正則表達(dá)式匹配HTTP報頭中的Referer選項(xiàng)
acl aclname maxconn number
         #每個IP的最大鏈接數(shù)
二、基于ACL網(wǎng)頁內(nèi)容過濾
acl aclname url_regex [-i] ^http:// ...         # 匹配整個url地址
acl aclname urlpath_regex [-i] \.gif$ ...              #匹配url中的路徑
acl　sexpath　urlpath_regex "/usr/local/squid/etc/sex_path.txt"
acl　sex　url_regex　"/usr/local/squid/etc/sex_tab.txt"
至於sex_path.txt的內(nèi)容列舉如下：
sex
fuck
而sex_tab.txt的內(nèi)容列舉如下：(注意在網(wǎng)址之前須使用^)
^
http://069.cc
^
http://0sex.com
^
http://www.playboy.com
http_access allow manager localhost
#設(shè)定色情防治
http_access deny sexpath
http_access deny sex
#設(shè)定中可存取proxy
http_access allow school
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
….
http_access deny all
三、透明代理
要在一個網(wǎng)段的每一臺計(jì)算機(jī)上都設(shè)置代理很不方便，所以可以利用NAT和Squid來實(shí)現(xiàn)透明代理功能。
實(shí)驗(yàn)要求：
       Client1訪問Server1的HTTP服務(wù)，默認(rèn)訪問80端口，在服務(wù)器端通過iptables將訪問到80端口的包重定向到3128端口（Squid服務(wù)監(jiān)聽的端口）。這樣對于客戶端來說就完全意識不到有代理服務(wù)器的存在。
實(shí)驗(yàn)環(huán)境：
Client1 ：
              OS：Red Hat Enterprise Linux 5 update 4
              Network：eth0 192.168.242.2/24
              Gateway：192.168.242.3
Server1（Squid Server，HTTP Server）：
              OS：Red Hat Enterprise Linux 5 update 4
Network：eth0 10.66.5.144/24；eth1 192.168.242.3/24
實(shí)驗(yàn)步驟：
客戶端：
1.      配置客戶端的Gateway，設(shè)置為192.168.242.3，重啟network服務(wù)使之生效。
#vi /etc/sysconfig/network-scripts/ifconfig-eth0
       ...
GATEWAY=192.168.242.3
              ...
       #service network restart
2.      客戶端的DNS服務(wù)器一定要指向正確的地址。
#vi /etc/resolv.conf
generated by /sbin/dhclient-script
search redhat.com
nameserver 66.187.233.210
nameserver 209.132.183.2
       服務(wù)器：
1.      編輯squid.conf文件，配置合理的acl，使客戶端不能訪問。在http_port選項(xiàng)后加transparent參數(shù)，使squid支持透明代理。
#vi /etc/squid/squid.conf
       ...
acl localnet src 192.168.242.0/24
...
http_access deny localnet
...
http_port 3128 transparent
2.      配置防火墻規(guī)則，將訪問到80端口的包重定向到3128端口；為了能使內(nèi)網(wǎng)IP訪問互聯(lián)網(wǎng)，對私網(wǎng)IP做SNAT。
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 10.66.5.144
//對私網(wǎng)IP做SNAT
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
//DNAT
      
       測試
在客戶端訪問
http://g.cn
，若出現(xiàn)Access Deny，則說明實(shí)驗(yàn)成功；若出現(xiàn)其他問題，則實(shí)驗(yàn)失敗。
        #elinks
http://g.cn



實(shí)驗(yàn)成功！
更多信息，可以參考/etc/squid/squid.conf文件中的注釋

本文來自ChinaUnix博客，如果查看原文請點(diǎn)：http://blog.chinaunix.net/u3/104843/showart_2098261.html