目录
一,了解Squid代理服务器
注:实验环境 :
1.配置Squid服务器初始化框架
2.配置客户端初始化框架
3.配置web服务器初始化框架
二,搭建传统代理服务器
1.安装Squid服务(可以直接复制安装)
2.创建squid用户和优化路径
3.修改配置文件
4.初始化缓存目录和开启服务
三,搭建透明代理服务器
1.编辑配置文件/etc/文件在http_port后面加上transparent
2.重启配置文件
3.开启路由转发添加字段
4.设置防火墙策略,将网站协议HTTP,HTTPS(80,443)请求转发到3128创建两个区域,将ens33加入到external区域,ens36(7)加入internal区域
5.客户机取消手工代理,改为不使用代理
6.在web服务器上查看访问日志(都是来自代理服务器的访问)
四,代理服务器访问策略配置
1.创建网站黑名单文件
2.编辑squid配置文件
3.重启squid服务
4.在web服务器上创建一个大于10MB的文件
5.在客户机验证是否成功
五,squid日志分析
1.在squid本地安装httpd服务
2.安装GD库
3.安装SARG(可以直接复制)
4.配置(直接在sarg配置文件尾部添加内容)
5.运行
6.验证(squid服务器登录本机地址查看)
7.编写脚本(SARG计划任务,定期执行)
一,了解Squid代理服务器
什么是squid?
squid是一款代理的软件,通过缓存的方式为用户提供Web访问加速对用户的Web访问进行过滤控制,可以很好地实现HTTP和FTP,以及DNS查询、SSL等应用的缓存代理,功能十分强大
squid代理作用:缓存加速、隐藏IP地址、应用层过滤ACL
Squid主要组成部分(默认情况)
服务名:squid
主程序:/usr/sbin/squid
主配置文件位置:/etc/squid/
监听tcp端口号:3128
默认访问日志文件:/var/log/squid/
传统代理、反向代理以及透明代理的区别和特点:
传统代理:1.通过另一台主机去访问目的地址,提供一个更加有效的访问路径
2.可以起到一个缓冲的作用,提高网络的使用效率
3.对外有着隐藏作用
反向代理:1.保证内网的安全,通常将反向代理作为公网访问地址
2.负载均衡,通过反向代理服务器来优化网站的负载
透明代理:1.客户端根本不需要知道代理服务器的存在,多用于NAT转发中
2.不用设置代理就可以通过代理服务器转发到其他地址进行访问,多用于网关防火墙服务器中
注:实验环境 :
三台虚拟机为Squid服务器添加第二块网卡,使用同一块网卡类型,关闭防火墙和是Slinux
1.配置Squid服务器初始化框架
重点:记得为虚拟机添加第二块网卡,进入系统之后ifconfig查看第二块网卡的名称(ens36{7})在复制网卡的时候名为查看到的网卡名称,因为系统的不同,会出现不同名称
注:多网卡要把(UUID=047db67f-6d8c-4894-9ad1-affe5cb13ba6)这行删除!!!
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# setenforce 0
[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
TYPE=Ethernet
BOOTPROTO=static
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.1.1
[root@localhost ~]# cd /etc/sysconfig/network-scripts/
[root@localhost network-scripts]# cp -f ifcfg-ens33 ifcfg-ens36
[root@localhost network-scripts]# vim ifcfg-ens36
TYPE=Ethernet
BOOTPROTO=static
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens36
DEVICE=ens36
ONBOOT=yes
IPADDR=192.168.2.1
[root@localhost network-scripts]# systemctl restart network
[root@localhost network-scripts]# ifconfig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.1 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 fe80::6cbe:29cb:63d:b7c5 prefixlen 64 scopeid 0x20<link>
ether 00:0c:29:f1:3c:af txqueuelen 1000 (Ethernet)
RX packets 337 bytes 35070 (34.2 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 30 bytes 4097 (4.0 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
ens36: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.2.1 netmask 255.255.255.0 broadcast 192.168.2.255
inet6 fe80::9020:f047:8271:982e prefixlen 64 scopeid 0x20<link>
ether 00:0c:29:f1:3c:b9 txqueuelen 1000 (Ethernet)
RX packets 214 bytes 15323 (14.9 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 149 bytes 25012 (24.4 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
2.配置客户端初始化框架
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# setenforce 0
[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
TYPE=Ethernet
BOOTPROTO=static
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens33
UUID=a7543d64-2e33-4269-b873-df6c9a2463ef
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.1.2
GATEWAY=192.168.1.1
[root@localhost ~]# systemctl restart network
[root@localhost ~]# ifconfig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.2 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 fe80::df43:cabd:bd1f:b519 prefixlen 64 scopeid 0x20<link>
ether 00:0c:29:33:1e:a0 txqueuelen 1000 (Ethernet)
RX packets 269 bytes 29062 (28.3 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 30 bytes 3910 (3.8 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
3.配置web服务器初始化框架
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# setenforce 0
[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
TYPE=Ethernet
BOOTPROTO=static
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens33
UUID=047db67f-6d8c-4894-9ad1-affe5cb13ba6
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.2.2
GATEWAY=192.168.2.1
[root@localhost ~]# systemctl restart network
搭建yum安装httpd服务
[root@localhost ~]# rm -f /etc//*
[root@localhost ~]# vim /etc//
[local]
name=local
baseurl=file:///mnt
gpgcheck=0
[root@localhost ~]# yum -y install httpd
[root@localhost ~]# echo "" > /var/www/html/
[root@localhost ~]# systemctl start httpd
初始化配置完成
二,搭建传统代理服务器
1.安装Squid服务(可以直接复制安装)
注:虚拟机需要挂载打包好镜像光盘(官网下载:squid : Optimising Web Delivery)
tar zxf /mnt/squid-3.5. -C /usr/src/
cd /usr/src/squid-3.5.23/
./configure --prefix=/usr/local/squid --sysconfdir=/etc --enable-linux-netfilter --enable-async-io=240 --enable-default-err-language=Simplify__Chinese --disable-poll --enable-epoll --enable-gnuregex && make && make install
2.创建squid用户和优化路径
ln -s /usr/local/squid/sbin/* /usr/local/sbin/
useradd -M -s /sbin/nologin squid
chown -R 777 /usr/local/squid/var/
chown -R squid:squid /usr/local/squid/var/
3.修改配置文件
vim /etc/
http_port 3128
cache_effective_user squid #手工添加
cache_effective_group squid #手工添加
cache_dir ufs /usr/local/squid/var/cache/squid 100 16 256 #去掉注释(#)
squid -k parse #查看配置文件是否出现错误
4.初始化缓存目录和开启服务
squid -z
squid
netstat -anpt | grep 'squid'
扩充:
squid -k reconfigure #重启squid服务
killall -9 squid #关闭服务
验证:
进入客户端:
注:进入火狐浏览器--》找到首选项设置--》高级--》网络--》设置--》手动配置代理
测试成功:
三,搭建透明代理服务器
1.编辑配置文件/etc/文件在http_port后面加上transparent
[root@localhost ~]# vim /etc/
http_port 192.168.1.1:3128 transparent
2.重启配置文件
[root@localhost ~]# squid -k reconfigure
3.开启路由转发添加字段
[root@localhost ~]# vim /etc/
net.ipv4.ip_forward = 1
[root@localhost ~]# sysctl -p
net.ipv4.ip_forward = 1
4.设置防火墙策略,将网站协议HTTP,HTTPS(80,443)请求转发到3128创建两个区域,将ens33加入到external区域,ens36(7)加入internal区域
重:这里也要注意,如果网卡是ens37的同学记得更改网卡名称
systemctl start
firewall-cmd --zone=external --add-interface=ens33
firewall-cmd --zone=internal --add-interface=ens36
firewall-cmd --zone=external --add-service=http
firewall-cmd --zone=external --add-service=https
firewall-cmd --zone=external --add-port=3128/tcp
firewall-cmd --direct --add-rule ipv4 nat PREROUTING 0 -i ens33 -p tcp --dport 80 -j REDIRECT --to-ports 3128
firewall-cmd --direct --add-rule ipv4 nat PREROUTING 0 -i ens33 -p tcp --dport 443 -j REDIRECT --to-ports 3128
firewall-cmd --runtime-to-permanent
5.客户机取消手工代理,改为不使用代理
验证:
进入客户端:
注:进入火狐浏览器--》找到首选项设置--》高级--》网络--》设置--》不使用代理
6.在web服务器上查看访问日志(都是来自代理服务器的访问)
[root@localhost ~]# tail -f /var/log/httpd/access_log
192.168.2.1 - - [22/Jul/2022:10:06:48 +0800] "GET / HTTP/1.1" 304 - "-" "Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0"
::1 - - [22/Jul/2022:10:07:14 +0800] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) (internal dummy connection)"
::1 - - [22/Jul/2022:10:07:14 +0800] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) (internal dummy connection)"
::1 - - [22/Jul/2022:10:07:14 +0800] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) (internal dummy connection)"
::1 - - [22/Jul/2022:10:07:14 +0800] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) (internal dummy connection)"
::1 - - [22/Jul/2022:10:07:14 +0800] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) (internal dummy connection)"
::1 - - [22/Jul/2022:10:07:14 +0800] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) (internal dummy connection)"
192.168.2.1 - - [22/Jul/2022:10:07:19 +0800] "GET / HTTP/1.1" 304 - "-" "Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0"
192.168.2.1 - - [22/Jul/2022:10:07:20 +0800] "GET / HTTP/1.1" 304 - "-" "Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0"
192.168.2.1 - - [22/Jul/2022:10:07:20 +0800] "GET / HTTP/1.1" 304 - "-" "Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0"
四,代理服务器访问策略配置
要求:
1.允许公司192.168.1.0/24网段使用代理服务器
2.禁止下载扩展名为 .3pg、.mp4、.f4v、rmvb、mkv、avi的视频文件
3.设置网站黑名单,禁止访问.、.区域下的web站点
4.允许在正常上班时间(周一到周五的8:30~17:30)使用代理服务器
5.默认策略是禁止任何客户机使用代理服务
6.禁止下载超过10MB的文件
1.创建网站黑名单文件
[root@localhost ~]# vim /
.
.
2.编辑squid配置文件
[root@localhost ~]# vim /etc/
acl aa src 192.168.1.0/24
acl bb url_regex -i \.mp3$ \.mp4$ \.f4v$ \.rmvb$ \.mkv$ \.avi$
acl cc dstdomain "/"
acl dd time MTWHF 08:30-17:30
http_access allow aa !bb !cc dd
reply_body_max_size 10 MB
3.重启squid服务
[root@localhost ~]# squid -k reconfigure
4.在web服务器上创建一个大于10MB的文件
dd if=/dev/zero of=/var/www/html/ bs=1M count=15
5.在客户机验证是否成功
五,squid日志分析
注:SARG全称是 Squid Analysis Report Generator.是一款 Squid日志分析工具,采用HTML格式,详细列出每位用户访问 Internet的站点信息、时间占用信息、排名、连接次数、访问量等。
1.在squid本地安装httpd服务
注:挂载Cent7系统光盘,搭建本地yun安装httpd服务(忘记可以看上面的安装httpd的教程)
yum -y install httpd
systemctl start httpd
systemctl enable httpd
2.安装GD库
[root@localhost ~]# yum -y install gd gd-devel
3.安装SARG(可以直接复制)
注:重新挂载sarg的源码光盘包(阿里源:/projects/sarg/)
tar zxf /mnt/sarg-2.3. -C /usr/src/
cd //usr/src/sarg-2.3.7/
./configure --prefix=/usr/local/sarg --sysconfdir=/etc/sarg --enable-extraprotection && make && make install
4.配置(直接在sarg配置文件尾部添加内容)
vim /etc/sarg/
access_log /usr/local/squid/var/logs/
title "Squid User Access Reports"
output_dir /var/www/html/sarg
user_ip no
exclude_hosts /usr/local/sarg/noreport
topuser_sort_field connect reverse
user_sort_field connect reverse
overwrite_report no
mail_utility
charset UTF-8
weekdays 0-6
hours 9-12,14-16,18-20
www_document_root /var/www/html
5.运行
[root@localhost sarg]# ln -s /usr/local/sarg/bin/sarg /usr/local/bin/
[root@localhost sarg]# touch /usr/local/sarg/noreport
[root@localhost sarg]# sarg
6.验证(squid服务器登录本机地址查看)
7.编写脚本(SARG计划任务,定期执行)
vim /usr/local/sarg/
#/bin/bash
#Get current date
TODAY=$(date +%d/%m/%Y)
#Get one week ago today
YESTERDAY=$(date -d "1 day ago" +%d/%m/%Y)
/usr/local/sarg/bin/sarg -l /usr/local/squid/var/logs/ -o /var/www/html/sarg -z -d $YESTERDAY-$TODAY &> /dev/null
exit 0
计划任务:
[root@localhost ~]# chmod +x /usr/local/sarg/
[root@localhost ~]# crontab –e
00 00 * * * /usr/local/sarg/
注:此章到此结束,如果大家遇到任何问题请留言,我看到会尽快解决