前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >使用Squid部署代理服务

使用Squid部署代理服务

作者头像
微软技术分享
发布2022-12-28 13:49:00
1.3K0
发布2022-12-28 13:49:00
举报
文章被收录于专栏:Linux 系统运维技术实践

Squid是Linux系统中最为流行的一款高性能代理服务软件,通常用作Web网站的前置缓存服务,能够代替用户向网站服务器请求页面数据并进行缓存.简单来说,Squid服务程序会按照收到的用户请求向网站源服务器请求页面,图片等所需的数据,并将服务器返回的数据存储在运行Squid服务程序的服务器上.当有用户再请求相同的数据时,则可以直接将存储服务器本地的数据交付给用户,这样不仅减少了用户的等待时间,还缓解了网站服务器的负载压力.

配置透明代理

透明二字指的是让用户在没有感知的情况下使用代理服务,这样的好处是一方面不需要用户手动配置代理服务器的信息,进而降低了代理服务的使用门槛,另一方面也可以更隐秘地监督员工的上网行为. 在透明代理模式中,用户无须在浏览器或其他软件中配置代理服务器地址、端口号等信息,而是由DHCP服务器将网络配置信息分配给客户端主机.这样只要用户打开浏览器便会自动使用代理服务了.

以下实验,将配置一个Squid透明代理服务,我们使用10.10.10.20模拟外网,使用win10模拟内网主机.

代码语言:javascript
复制
[主机类型]           [IP地址]             [网卡编号]           [网卡模式]         [作用]

Windows 10           192.168.1.8          eth0                桥接模式           模拟内网

Squid                192.168.1.10         eth0                桥接模式           内网网关
                     10.10.10.10          eth1                仅主机模式         模拟外网网口

Apache               10.10.10.20          eth0                仅主机模式         模拟web服务器

配置Squid网关

1.通过Yum仓库安装Squid代理服务

代码语言:javascript
复制
[root@localhost ~]# yum install -y squid
Loaded plugins: product-id, search-disabled-repos, subscription-manager
This system is not registered with an entitlement server. You can use subscription-manager.
Package 7:squid-3.5.20-12.el7.x86_64 already installed and latest version
Nothing to do

2.编辑Squid的住配置文件,在合适的位置写入一下参数,开启透明代理服务

代码语言:javascript
复制
[root@localhost ~]# vim /etc/squid/squid.conf

 55 # And finally deny all other access to this proxy
 56 http_access deny all
 57 
 58 # Squid normally listens to port 3128
 59 http_port 192.168.1.10:3128 transparent           #IP地址为网关(Squid)内网IP
 60 visible_hostname www.mkdirs.com                   #自定义主机名,随意
 61 
 62 
 63 # Uncomment and adjust the following to add a disk cache directory.
 64 #cache_dir ufs /var/spool/squid 100 16 256

3.开启Linux的路由转发功能,并使用sysctl强制刷新内核参数

代码语言:javascript
复制
[root@localhost ~]# echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
[root@localhost ~]# sysctl -p
[root@localhost ~]# echo "1" > /proc/sys/net/ipv4/ip_forward

4.添加一条SNAT防火墙规则,将所有192.168.1.0/24(内网)的请求全部转发到eth1口的3128端口上.

代码语言:javascript
复制
iptables -t nat -A PREROUTING -i eth0(内网网卡) \
-s 192.168.1.0/24 -p tcp --dport 80 \
-j REDIRECT --to-ports 3128

5.启动Squid服务,并设置为开机自启动

代码语言:javascript
复制
[root@localhost ~]# systemctl restart squid
[root@localhost ~]# systemctl enable squid

配置内网客户机

代码语言:javascript
复制
route add default gw 192.168.1.10			#添加一条路由记录(指向网关机eth1)

外网Web配置

1.安装并启动Apache,并启动此处用来模拟外网

代码语言:javascript
复制
yum install -y httpd

systemctl restart httpd

配置反向代理

反向代理服务位于本地web服务器和Internet之间,处理所有对web服务器的请求,组织web服务器和internet的直接通信,这种方式通过降低向web服务器的请求数降低了web服务器的负载.

以下实验,将配置一个Squid反向代理,由于Squid具有静态页面缓存功能,常用作反向代理,减小后端Web主机的压力

代码语言:javascript
复制
[主机类型]           [IP地址]             [网卡编号]           [网卡模式]         [作用]

Windows 10           192.168.1.8          eth0                桥接模式           模拟外网

Squid                192.168.1.10         eth0                桥接模式           外网网口
                     10.10.10.10          eth1                仅主机模式         内网网口

Apache               10.10.10.20          eth0                仅主机模式         模拟web_1
Apache               10.10.10.30          eth0                仅主机模式         模拟web_2

配置两台Web

1.配置两台内网服务器Apache并启动,设置开机自启动

代码语言:javascript
复制
[root@localhost ~]# yum install -y httpd
[root@localhost ~]# echo "web *" >/var/www/html/index.html
[root@localhost ~]# systemctl restart httpd

2.两台Apache添加网关,指向网关IP的eth1(10.10.10.10)口,指定网关就是,告诉数据包从哪里可以出去.

代码语言:javascript
复制
[root@localhost ~]# route add default gw 10.10.10.10

配置Squid代理

1.通过Yum仓库安装Squid代理服务

代码语言:javascript
复制
[root@localhost ~]# yum install -y squid
Loaded plugins: product-id, search-disabled-repos, subscription-manager
This system is not registered with an entitlement server. You can use subscription-manager.
Package 7:squid-3.5.20-12.el7.x86_64 already installed and latest version
Nothing to do

2.开启Linux的路由转发功能,并使用sysctl强制刷新内核参数

代码语言:javascript
复制
[root@localhost ~]# echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
[root@localhost ~]# sysctl -p
[root@localhost ~]# echo "1" > /proc/sys/net/ipv4/ip_forward

3.编辑Squid主配置文件,在相应的区域中加入以下语句

代码语言:javascript
复制
[root@localhost ~]# vim /etc/squid/squid.conf

 58 # Squid normally listens to port 3128
 59 
 60 http_access allow all                                                   #允许所有
 61 
 62 http_port 192.168.1.10:80 vhost                                         #声明外网口地址
 63 
 64 cache_peer 10.10.10.20 parent 80 0 originserver round-robin weight=1    #内网的服务器节点1
 65 cache_peer 10.10.10.30 parent 80 0 originserver round-robin weight=1    #内网的服务器节点2
 66 
 67 # Uncomment and adjust the following to add a disk cache directory.
 68 #cache_dir ufs /var/spool/squid 100 16 256
 69 
 70 # Leave coredumps in the first cache dir

4.启动Squid服务,并设置为开机自启动

代码语言:javascript
复制
[root@localhost ~]# systemctl restart squid
[root@localhost ~]# systemctl enable squid

常用ACL控制参数

代码语言:javascript
复制
#--------------------------------------------------------
# Squid配置文件常用参数

http_port 3128
http_port 192.168.1.1:80                           #80端口只监听内网接口上的请求

cache_mem 512MB                                    #指定非陪多少存储
cache_dir ufs /var/spool/squid 4096 16 256         #指定硬盘缓冲区大小
cache_effective_user squid                         #指定属主squid
cache_effective_group squid                        #指定数组squid
dns_nameservers 8.8.8.8                            #设置有效DNS服务器地址
visible_hostname www.lyshark.com                   #设置主机名,必须设置
cache_access_log /var/log/squid/access.log         #指定访问记录的日志文件
cache_log /var/log/squid/cache.log                 #设置缓存日志文件
cache_store_log /var/log/squid/store.log           #设置网页缓存日志文件
cache_mgr master@smile.com                         #管理员邮件
http_access [ allow|deny ]                         #访问控制列表名称

#--------------------------------------------------------
#拒绝所有客户端请求,例子中的all是用户自定义的

acl all src 0.0.0.0/0.0.0.0
http_access deny all

#--------------------------------------------------------
#禁止192.168.1.0/24 网段的客户机上网

acl client src 192.168.1.0/255.255.255.0
http_access deny client

#--------------------------------------------------------
#禁止访问域名www.baidu.com的网站

acl baidu dstdomain www.baidu.com
http_access deny baidu

#--------------------------------------------------------
#禁止192.168.1.0/24网络的用户在周一到周五的9:00 -13:00 上网

acl client src 192.168.1.0/255.255.255.0
acl badtime time MTWHF 9:00-13:00
http_access deny client badtime	

#--------------------------------------------------------
#禁止用户下载 *.mp3 *.exe *.zip *.rar 类型的文件

acl badfile urlpath_reregex -i \.mp3$ \.exe$ \.zip$ \.rar$
http_access deny badfile

#--------------------------------------------------------
#屏蔽www.baidu.com站点

acl badsite dstdomain -i www.baidu.com
http_access deny badsite

#--------------------------------------------------------
#屏蔽包含SEX的URL路径

acl sex url_regex -i SEX
http_access deny sex

#--------------------------------------------------------
#禁止访问22,23,25,53,110,119这些危险端口

acl deny_port port 22 23 25 53 110 119
http_access deny deny_port
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2018-11-12,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 配置透明代理
    • 配置Squid网关
      • 配置内网客户机
        • 外网Web配置
        • 配置反向代理
          • 配置两台Web
            • 配置Squid代理
            • 常用ACL控制参数
            相关产品与服务
            云服务器
            云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。
            领券
            问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档