歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> Linux資訊 >> 更多Linux

Squid配置詳解+認證完全版

  在此,我們要配置一個只對內部網絡提供代理服務的Proxy Server。它將用戶分為高級用戶和普通用戶兩種,對高級用戶采用網卡物理地址識別的方法,普通用戶則需要輸入用戶名和口令才能正常使用。高級用戶沒有訪問時間和文件類型的限制,而普通用戶只在上班時可以訪問以及一些其它的限制。    安裝  可以從Squid站點www.squid-cache.org獲取該軟件的源代...的發行版,如Red Hat提供的RPM包。    RPM方式安裝很簡單,命令如下:    $ rpm -ivh Squid-2.x.STALBx.i386.rpm    不過筆者認為,即便是系統中已經默認安裝了Squid,也應當先刪掉然後安裝最新的源代碼包。因為開源軟件會不斷修正問題、提供更新的功能,使用最新版本可以保證最高的性能及安全,而且源代碼方式可以完全定制系統。不過STABLE穩定版、DEVEL版通常是提供給開發人員測試程序的,假定下載了最新的穩定版squid-2.5.STABLE2.tar.gz,用以下命令解開壓縮包:    $ tar xvfz squid-2.5.STABLE.tar.gz    用bz2方式壓縮的包可能體積更小,相應的命令是:    $ tar xvfj squid-2.5.STABLE.tar.bz2    然後,進入相應目錄對源代碼進行配置和編譯,命令如下:    $ cd squid-2.5.STABLE2    配置命令configure有很多選項,如果不清楚可先用“-help”查看。通常情況下,用到的選項有以下幾個:    --prefix=/web/squid  #指定Squid的安裝位置,如果只指定這一選項,那麼該目錄下會有bin、sbin、man、conf等目錄,而主要的配置文件此時在conf子目錄中。為便於管理,最好用參數--sysconfdir=/etc把這個文件位置配置為/etc。  --enable-storeio=ufs,null  #使用的文件系統通常是默認的ufs,不過如果想要做一個不緩存任何文件的代理服務器,就需要加上null文件系統。  --enable-arp-acl  #這樣可以在規則設置中直接通過客戶端的MAC地址進行管理,防止客戶使用IP欺騙。  --enable-err-languages="Simplify_Chinese"  --enable-default-err-languages="Simplify_Chinese"  #上面兩個選項告訴Squid編入並使用簡體中文錯誤信息。  --enable-Linux-netfilter  #允許使用Linux的透明代理功能。  --enable-underscore  #允許解析的URL中出現下劃線,因為默認情況下Squid會認為帶下劃線的URL是非法的,並拒絕訪問該地址。    整個配置編譯過程如下:    ./configure --prefix=/var/squid  --sysconfdir=/etc  --enable-arp-acl  --enable-linux-netfilter  --enable-pthreads  --enable-err-language="Simplify_Chinese"  --enable-storeio=ufs,null  --enable-default-err-language="Simplify_Chinese"  --enable-auth="basic"  --enable-baisc-auth-helpers="NCSA"  --enable-underscore  其中一些選項有特殊作用,將在下面介紹它們。    最後執行make和make install兩條命令,將源代碼編譯為可執行文件,並拷貝到指定位置。    基本配置  安裝完成後,接下來要對Squid的運行進行配置(不是前面安裝時的配置)。所有項目都在squid.conf中完成。Squid自帶的squid.conf包括非常詳盡的說明,相當於一篇用戶手冊,對配置有任何疑問都可以參照解決。    在這個例子中,代理服務器同時也是網關,內部網絡接口eth0的IP地址為192.168.0.1,外部網絡接口eth1的IP地址為202.103.x.x。下面是一個基本的代理所需要配置選項:    http_port 192.168.0.1:3128    默認端口是3128,當然也可以是任何其它端口,只要不與其它服務發生沖突即可。為了安全起見,在前面加上IP地址,Squid就不會監聽外部的網絡接口。    下面的配置選項是服務器管理者的電子郵件,當錯誤發生時,該地址會顯示在錯誤頁面上,便於用戶聯系:    cache_mgr [email protected]    以下這些參數告訴Squid緩存的文件系統、位置和緩存策略:    cache_dir ufs /var/squid  cache_mem 32MB  cache_swap_low 90  cache_swap_high 95    在這裡,Squid會將/var/squid目錄作為保存緩存數據的目錄,每次處理的緩存大小是32兆字節,當緩存空間使用達到95%時,新的內容將取代舊的而不直接添加到目錄中,直到空間又下降到90%才停止這一活動。如果不想Squid緩存任何文件,如某些存儲空間有限的專有系統,可以使用null文件系統(這樣不需要那些緩存策略):    cache_dir null /tmp    下面的幾個關於緩存的策略配置中,較主要的是第一行,即用戶的訪問記錄,可以通過分析它來了解所有用戶訪問的詳盡地址:    cache_Access_log /var/squid/access.log  cache_log /var/squid/cache.log  cache_store_log /var/squid/store.log    下面這行配置是在較新版本中出現的參數,告訴Squid在錯誤頁面中顯示的服務器名稱:    visible_hostname No1.proxy    以下配置告訴Squid如何處理用戶,對每個請求的IP地址作為單獨地址處理:    client_mask 255.255.255.255    如果是普通代理服務器,以上的配置已經足夠。但是很多Squid都被用來做透明代理。所謂透明代理,就是客戶端不知道有代理服務器的存在,當然也不需要進行任何與代理有關的設置,從而大大方便了系統管理員。相關的選項有以下幾個:    httpd_accel_host virtual  httpd_accel_port 80  httpd_accel_with_proxy on  httpd_accel_user_host_header on    在Linux上,可以用iptables/ipchains直接將對Web端口80的請求直接轉發到Squid端口3128,由Squid接手,而用戶浏覽器仍然認為它訪問的是對方的80端口。例如以下這條命令:    iptables -t nat -A PREROUTING -s 192.168.0.200/32 -p tcp --dport 80 -j REDIRECT 3128    就是將192.168.0.200的所有針對80端口的訪問重定向到3128端口。    所有設置完成後,關鍵且重要的任務是訪問控制。Squid支持的管理方式很多,使用起來也非常簡單(這也是有人寧願使用不做任何緩存的Squid,也不願意單獨使用iptables的原因)。Squid可以通過IP地址、主機名、MAC地址、用戶/密碼認證等識別用戶,也可以通過域名、域後綴、文件類型、IP地址、端口、URL匹配等控制用戶的訪問,還可以使用時間區間對用戶進行管理,所以訪問控制是Squid配置中的重點。Squid用ACL(Access Control List,訪問控制列表)對訪問類型進行劃分,用http_access deny 或allow進行控制。根據需求首先定義兩組用戶advance和normal,還有代表所有未指明的用戶組all及不允許上網的baduser,配置代碼如下:  acl advance 192.168.0.2-192.168.0.10/32  acl normal src 192.168.0.11-192.168.0.200/32  acl baduser src 192.168.0.100/32  acl baddst dst www.soocol.com  acl all src 0.0.0.0/0    http_access deny baduser  http_access allow advance  http_access allow normal    可以看出,ACL的基本格式如下:    acl 列表名稱 控制方式 控制目標    比如acl all src 0.0.0.0/0,其名稱是all,控制方式是src源IP地址,控制目標是0.0.0.0/0的IP地址,即所有未定義的用戶。出於安全考慮,總是在最後禁止這個列表。    下面這個列表代表高級用戶,包括IP地址從192.168.0.2到192.168.0.10的所有計算機:    acl advance 192.168.0.2-192.168.0.20/32    下面這個baduser列表只包含一台計算機,其IP地址是192.168.0.100:    acl baduser 192.168.0.100/32    ACL寫完後,接下來要對它們分別進行管理,代碼如下:  http_access deny baduser  http_access allow advance  http_access allow normal  上面幾行代碼告訴Squid不允許baduser組訪問Internet,但advance、normal組允許(此時還沒有指定詳細的權限)。由於Squid是按照順序讀取規則,會首先禁止baduser,然後允許normal。如果將兩條規則順序顛倒,由於baduser在normal范圍中,Squid先允許了所有的normal,那麼再禁止baduser就不會起作用。    特別要注意的是,Squid將使用allow-deny-allow-deny……這樣的順序套用規則。例如,當一個用戶訪問代理服務器時,Squid會順序測試Squid中定義的所有規則列表,當所有規則都不匹配時,Squid會使用與最後一條相反的規則。就像上面這個例子,假設有一個用戶的IP地址是192.168.0.201,他試圖通過這台代理服務器訪問Internet,會發生什麼情況呢?我們會發現,他能夠正常訪問,因為Squid找遍所有訪問列表也沒有和192.168.0.201有關的定義,便開始應用規則,而最後一條是deny,那麼Squid默認的下一條處理規則是allow,所以192.168.0.201反而能夠訪問Internet了,這顯然不是我們希望的。所以在所有squid.conf中,最後一條規則永遠是http_access deny all,而all就是前面定義的“src 0.0.0.0”。    高級控制  前面說過,Squid的控制功能非常強大,只要理解Squid的行為方式,基本上就能夠滿足所有的控制要求。下面就一步一步來了解Squid是如何進行控制管理的。    通過IP地址來識別用戶很不可靠,比IP地址更好的是網卡的MAC物理地址。要在Squid中使用MAC地址識別,必須在編譯時加上“--enable-arp-acl”選項,然後可以通過以下的




Copyright © Linux教程網 All Rights Reserved