CentOS 5.6 下Squid 安装[服务器安全]

cache_log /var/log/squid/cache.log

cache_store_log /var/log/squid/store.log

pid_filename /var/run/squid.pid

 

#关闭认证机制,有些版本的　squid 会自动的加入代理认证机制,而普通情形下是不需求的,故找到包含auth_param的行,给它们加上注释

#auth_param basic children 5

#auth_param basic realm Squid proxy-caching web server

#auth_param basic credentialsttl 2 hours

 

#设置squid用户及用户组、管理员账号

cache_effective_user squid

cache_effective_group squid 

cache_mgr youraccount@your.e.mail

 

# 与内存有关的配置:因为我的系统内存很小,所以只给 8 MB!假如您的物理内存很大的情形下,比方 512 MB,可以考虑加大到 64 或 128 MB.

cache_mem 128 MB

 

# 与磁盘容量有关的配置(注:下列的 90 与 95 是百分比 ),假如您的 cache_dir 所在磁盘很大时,可以考虑将 4096 改成 32768 KB

cache_swap_low 90

cache_swap_high 95

maximum_object_size 4096 KB

 

# 与内存保存资料有关的配置

maximum_object_size_in_memory 8 KB

 

#定义acl(拜候掌握列表), 语法为:acl<acl> <acl名称> <acl范例> <配置的内容>

#黑体为用户自定义部份

 

acl All src 0/0 

acl Manager proto cache_object 

acl Localhost src 127.0.0.1/32 

acl Safe_ports port 80 21 443 563 70 210 280 488 591 777 1025-65535 

acl SSL_ports 443 563 

acl CONNECT method CONNECT 

acl MyNetwork src 192.168.0.0/16

 

#操纵前面定义的acl,定义拜候掌握法则

http_access allow Manager Localhost

http_access deny Manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow MyNetwork 

http_access deny All

 

#定义与别的代理服务器的关系,语法: <cache_peer> <主机名称> <类别> <http_port> <icp_port> <别的参数>

cache_peer 192.168.60.6 parent 4480 7 no-query default

 

#设置与别的代理服务器的关系:

# <cache_peer_access> <上层 Proxy > <allow|deny> <acl名称>

#cache_peer_access 192.168.60.6 allow aclxxx 

#cache_peer_access 192.168.60.6 deny !aclxxx

 

coredump_dir /var/spool/squid

 

2. 激活squid

1). 在开启squid之前,你应当考证其配置文件能否精确.运行以下号令便可:

 

# squid -k parse

 

假定你看不到输出,配置文件有效,你能持续背面的步骤.但是,假如配置文件包含错误,squid会奉告你:

 

2). 初始化cache目录.即成立缓存目录的存储格局

 

只需在第一次启动squid服务之前履行(在初次运行squid之前,大概无论什么时刻你增添了新的cache_dir,你必须初始化cache目录.)

 

# squid -z

 

cache目录初始化大概耗费一些时间,依靠于cache目录的大小和数目,以及磁盘驱动器的速度.假定你想察看这个历程,请利用-X选项:

 

# squid -zX

 

3). 启动squid服务

 

# service squid start

 

假定squid安装在/usr/local/squid目录下,也可以

 

# /usr/local/squid/sbin/squid -sD

 

4). 终止squid

 

最安全的终止squid的办法是利用squid -k shutdown号令:

 

# squid -k shutdown

 

5). 重配置运行中的squid进程

 

在你理解了更多关于squid的知识后,你会发现对squid.conf文件做了很多窜改.为了让新设置见效,你可以关闭和重启squid,大概在squid运行时,重配置它.

 

重配置运行中的squid最好的办法是利用squid -k reconfigure号令:

 

# squid -k reconfigure

 

6). 转动日记文件

 

除非你在squid.conf里禁止,squid会写大量的日记文件.你必须周期性的转动日记文件,以禁止它们变得太大.squid将大量的重要信息写入日记,假定写不进去了,squid会发生错误并退出.为了公道掌握磁盘空间损耗,在cron里利用以下号令:

 

%squid -k rotate

 

比方,以下任务接口在每天的早上4点转动日记:

 

0 4 * * * /usr/local/squid/sbin/squid -k rotate

 

该号令做两件事.首先,它关闭当前翻开的日记文件.然后,通过在文件名后加数字扩大名,它重命名cache.log,store.log,和 access.log.比方,cache.log变成cache.log.0,cache.log.0变成cache.log.1,如此持续,转动到 logfile_rotate选项指定的值.

 

squid仅仅保存每个日记文件的最后logfile_rotate版本.更老的版本在重命名历程中被删除.假定你想保存更多的拷贝,你需求增 加logfile_rotate限制,大概编写脚本用于将日记文件移动到其他位置. 请见13.7章关于转动日记的其他信息.3. 拜候掌握示例

1) 禁止拜候某个网站

 

在squid配置文件中增添以下acl名称及拜候法则,并重新加载配置文件

acl sina dstdomain .sina.com.cn .sina.com

http_access deny sina

 

或

 

acl sina dst 58.63.236.26 58.63.236.27 58.63.236.28 58.63.236.29 58.63.236.30 58.63.236.31 58.63.236.32 58.63.236.33 58.63.236.34 58.63.236.35 58.63.236.36 58.63.236.37 58.63.236.38 58.63.236.39 58.63.236.49 58.63.236.50

 

http_access deny sina

或

 

acl sina dst www.sina.com.cn

http_access deny sina

 

2) 禁止来自某些IP地址的拜候

 

在squid配置文件中增添以下acl名称及拜候法则,并重新加载配置文件

 

acl zhang src 192.168.63.6/32

http_access deny zhang

 

3) 禁止在某些时段拜候

 

acl Working_hours MTWHF 08:00-17:00

http_access allow Working_hours

http_access deny !Working_hours

 

4) 禁止某个代理客户成立过量衔接

 

acl OverConnLimit maxconn 4 

http_access deny OverConnLimit

 

三. 透明代理

返回

 

让我们目前来想象一个联机状况,就是你有一整组内部网络,而这个内部网络都是透过 NAT 主机联机出去的.那么我们谈过,就是在一个内部网很大的情形下,利用 Proxy 是一个很不错的挑选,因为至少他可以减轻带宽负荷!不过,遗憾的是,架设 Proxy 的时刻,也要利用者在浏览器上面设置代理!那么有没有办法在『利用者不需求在浏览器上面举行任何配置,便可以实现以 Proxy 帮忙利用者联接Internet?当然有啦!那就是 Transparent Proxy 啦!也有人翻译成『透明代理服务器』,其原理是:

 

当利用者经过 NAT 服务器来联机进入 Internet 时,假定利用的 Internet 协议为 80 (也就是 WWW) ,那么就将这个要求交给 Proxy 来工作,以到达代理服务器的功效.

 

 

呵呵!也就是说,当利用者是经过 NAT 主机联机出去时,只要让 NAT 主机发现『咦!你是要去读取 www 的资料对吧!好!那么这个行动由 Proxy 主机帮你搞定!』如此一来,利用者根本就不需求在浏览器上面配置 Proxy 的相关资料,因为这个行动是『由 NAT 主机自己决意的』,所以只要在 NAT 主机上面配置妥立便可,利用者没必要配置任何资料呢!那么要怎么举行呢?只要两个步骤便可:

 

1. 配置 Proxy 主机: 

1) 假如是squid 2.5,需求更改squid配置文件中的下列指令:

 

[root@test root]# vi /etc/squid/squid.conf 

! 

httpd_accel_host virtual # 奉告web加快器,针对全部的URL

 

httpd_accel_port 80 # 奉告web加快器,要监听的端口是80!

 

httpd_accel_with_proxy on # 这个很重要!因为配置 httpd_accel_host 之后, cache 的配置会自动被终止,必必要加上这个配置为 on 之后,才能供应 cache 的功效!

httpd_accel_uses_host_header on

 

2) 假如是squid 2.6,则只需求更改squid配置文件中的一个指令:

 

http_port 192.168.63.50:3128 transparent #192.168.63.50 就是squid服务器的地址

 

[root@test root]# squid -k reconfigure

 

2. 配置 NAT 主机的 port map :

 

再来让我们到 NAT 主机上面看看先,因为需求将 80 这个 port 交给 Proxy 的 3128 来帮忙帮忙,所以你的防火墙 script 必必要加入这一段才行:　

 

#iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.62.0/24 --dport 80 -j REDIRECT --to-ports 3128

 

注意一下,那个 eth0 是『你的 NAT 对内的网卡』,至于 192.168.62.0/24 则是你的内部网域,请按照你的主机实际状况来配置!这样一来,您的 client 端完好不需求举行任何的配置,立即便可以利用 Proxy 的好处啰

 

3. 配置转发

#echo 1 > /proc/sys/net/ipv4/ip_forward

 

或:

 

#vi /etc/sysctl.conf

 

net_ipv4_forword=1

 

#vi /etc/sysconfig/network

 

FORWARD_IPV4=yes

 

#service network restart

 

4. 配置客户端

将别的一台计算机作为客户机举行测试,需求将网关、首选DNS服务器指向设置透明代理的服务器,排除客户端的浏览器代理设置.四. 反向代理

返回

 

代理服务器是利用非常广泛的一种将局域网主机联入互联网的一种方法,利用代理上网可以节俭紧缺的IP地址资源,并且可以阻断外部主机对内部主机 的拜候,使内部网主机免受外部网主机的攻击.但是,假如想让互联网上的主机拜候内部网的主机资源（比方:Web站点）,又想使内部网主机免受外部网主机攻 击,普通的代理服务是不能实现的,需求利用反向代理来实现.

 

什么是反向代理呢?其实,反向代理也就是普通所说的WEB服务器加快,它是一种通过在繁忙的WEB服务器和Internet之间增添一个高速的WEB缓冲服务器（即:WEB反向代理服务器）来降低实际的WEB服务器的负载.典型的构造以下图所示:

Web服务器加快（反向代理）是针对Web服务器供应加快功效的.它作为代理Cache,但并不针对浏览器用户,而针对一台或多台特定Web服 务器（这也是反向代理名称的由来）.实施反向代理（如上图所示）,只要将Reverse Proxy Cache设备安排在一台或多台Web服务器前端便可.当互联网用户拜候某个WEB服务器时,通过DNS服务器解析后的IP地址是Reverse Proxy Server的IP地址,而非原始Web服务器的IP地址,这时Reverse Proxy Server设备充当Web服务器,浏览器可以与它衔接,无需再直接与Web服务器相连.因此,大量Web服务工作量被卸载到反向代理服务上.不但可以防 止外部网主机直接和web服务器直接通信带来的安全隐患,并且可以很大程度上减轻web服务器的负担,提高拜候速度.