前言: 本文主要介紹了在 linux 使用squid和squidGuard配置代理 服務器 ,以www代理服務為例介紹如何過濾有害站點和限制用戶對internet的訪問。 一.??介紹 Squid是 Linux 下最為流行的代理服務器軟件,它功能強大,支持對HTTP,FTP,Gopher,SSL和WAIS等協議
前言:
本文主要介紹了在
linux使用squid和squidGuard配置代理
服務器,以www代理服務為例介紹如何過濾有害站點和限制用戶對internet的訪問。
一.??介紹
Squid是
Linux下最為流行的代理服務器軟件,它功能強大,支持對HTTP,FTP,Gopher,SSL和WAIS等協議的代理;設置簡單,只需對配置文件中稍稍改動就可使代理服務器運轉起來。而且Squid具有頁面緩存功能,它接收用戶的下載申請,並自動處理所下載的數據。也就是說,當一個用戶象要下載一個主頁時,它向Squid發出一個申請,要Squid替它下載,然後Squid連接所申請網站並請求該主頁,接著把該主頁傳給用戶同時保留一個備份,當別的用戶申請同樣的頁面時,Squid把保存的備份立即傳給用戶,使用戶覺得速度相當快。
squidGuard則是作為squid的輔助軟件,完成過濾、重定向和訪問控制的功能。它是一個自由軟件,功能強,便於安裝、易於配置、而且處理速度快。功能主要包括:根據web服務器或URLs列表限制一些用戶的訪問;阻塞某些用戶對黑名單上的web服務器和URLs的訪問;阻塞某些用戶對正則表達式匹配的URLs的訪問;在URL路徑加強了使用域名訪問而禁止用IP訪問;重定向阻塞的URLs到一個智能CGI的信息頁;重定向非授權用戶到一個注冊頁面;具有基於日期、每周、每天具體時間的訪問規則;對不同用戶組有不同的規則。但是不能過濾、檢查文檔中的文本以及HTML中的
JavaScript或Vbscript
腳本語言。
二.??安裝
1。安裝squid:
從www.squid-cache.org下載squid-2.4.STABLE2-src.tar.gz存在本地/usr/local/squid/src下。
在編譯Squid之前,建立一個專門運行Squid的用戶和組,這裡建立了名為squid的組和用戶,用戶目錄設為/usr/local/squid
#su squid
?$cd /usr/local/squid/src
?$tar xvzf squid-2.4.STABLE2-src.tar.gz
?$ cd squid-2.4.STABLE2
?$./configure
?$make
?$make install
(默認安裝到/usr/local/squid目錄下)
2。安裝Berkeley DB 2.x:
從http://www.sleepycat.com 下載db-2.7.7.tar.gz並存在/usr/local/squidGuard/src/目錄下
?$su
#cd /usr/local/squidGuard/src/
#tar xvzf db-2.7.7.tar.gz
#cd db-2.7.7
#cd build_
unix #../dist/configure
#make
#make install
(默認安裝到/usr/local/BerkeleyDB目錄下)
注意:squidGuard不支持Berkeley DB 3.x版本
3。安裝squidGuard
從http://ftp.ost.eltele.no/pub/www/proxy/squidGuard/squidGuard-1.1.4.tar.gz下載軟件包並存於本地/usr/local/squidGuard/src/
#cd /usr/local/squidGuard/src/
#tar xvzf squidGuard-1.1.4.tar.gz
#cd squidGuard-1.1.4
#./configure --with-sg-config=/usr/local/squidGuard/squidGuard.conf
???? --with-sg-logdir=/usr/local/squidGuard/logs
???? --with-sg-dbhome=/usr/local/squidGuard/db
#make
#make test????????????//
測試ok,即可進行下一步安裝
#make install
三.??配置
1.配置squid:
?修改squid的配置文件/usr/local/squid/etc/squid.conf:
?http_port 8080??
#squid的代理端口,使用1024以下的端口,squid必須以root身份運行
?http_a
clearcase/" target="_blank" >ccess allow all?
?#允許所有的用戶通過代理進行http訪問??
?redirect_program /usr/local/squid/bin/squidGuard -c /usr/local/squidGuard/squidGuard.conf
#squid啟用squidGuard進行過濾和轉發
?其它參數:
?cache_mem:設置代理服務使用的內存大小,一般推薦為物理內存的三分之一
?cache_dir:指定cache目錄的路徑,默認為/usr/local/squid/cache。
maximum_object_size: 指定Squid可以接收的最大對象的大小。Squid缺省值為4M,可以根據自己的需要進行設定。
cache_dir:設定緩存的位置、大小。一般格式如下:
cache_dir /usr/local/squid/cache 100 16 256
/usr/local/squid/cache代表緩存的位置;100代表緩存最大為100M;16和256代表一級和二級目錄數。
cache_effective_user:設定使用緩存的有效用戶。缺省為用戶nobody,如果系統中沒有用戶nobody,最好建一個或以非root用戶運行Squid。這裡是以squid身份運行的
cache_effective_group:設定使用緩存的有效用戶組。缺省組為nogroup,如果系統中沒有組nogroup,最好建一個組。這裡是squid組。
(其余參數用默認值即可!)
?2.配置squidGuard:
?修改squidGuard的配置文件/usr/local/squidGuard/squidGuard.conf文件:
?logdir /usr/local/squidGuard/logs??????? #日志目錄定義
?dbhome /usr/local/squidGuard/db??????? #db目錄定義
?time testtime {???????????????#時間規則定義
??? weekly mtwhf 05:00 - 10:30
??? weekly as??08:00 - 19:00
??? date *-*-01? 08:00 - 16:30
??? date 2001.10.01 - 2001.10.09
?}
?src admin {???????????????? #源組定義
????ip?? 192.168.100.18
?}
?src client{
????ip?? 192.168.100.20 192.168.100.21 192.168.100.22
????ip?? 192.168.200.0/24
?}
?dest porn {?????????????????#目標組定義
????domainlist porn/domains
????urllist??porn/urls
????expressionlist porn/expressions
?}
?acl {??????????????????? #訪問規則定義
????admin within testtime {
??????pass !porn all
????} else {
??????pass all
????}
????client {
??????pass !in-addr !porn all
????}
????default {
??????pass none
??????redirect? http://admin.foo.com
(#也可以重定向到一個含有一些信息的cgi頁面,如下:
http://admin.foo.com/cgi/blocked?clientaddr=%a&clientname=%n&clientuser=%i&clientgroup=%s&targetgroup=%t&url=%u)
????}
?}
?# vi db/porn/domains????????????
(域列表文件:主要是阻塞一些定義的站點)
?co.za
?sex.com
(如上,可以阻塞如hack.co.za、sex.com、www.sex.com、whatever.sex.com,但是不同於.*[^.]sex.com,不匹配ssex.com)
?# vi db/porn/urls?????????????
(url列表文件,主要是阻塞一些站點及其一些欄目)
?qihui.com/sex
?valen.sohu.com/album
(如上可阻塞http://qihui.com/sex、http://qihui.com/sex/whatever、ftp://qihui.com/sex、http://www.qihui.com/sex等)
?# vi db/porn/expressions??????????
(表達式列表文件,主要是阻塞一些與表達式匹配的URL訪問)
?(^|[\?+=/])(.*)(girl)(.*)([\?+=/]|$)?
(上面的正則表達式可以阻塞URL中包括girl站點的訪問,如:www.girlzine.com、girl.huabao.net、www.huayu.net/girl、www.universiti.com/girl等 )
注意:squidGuard對配置文件的語法要求很嚴,如果配置文件語法有誤,squidGuard仍能運行,但是squidGuard已進入應急模式,此時代理服務不具有任何阻塞作用,所有通過該代理的訪問都可通過,可以查看logs/squidGuard的日志文件,即可發現錯誤,例如:
2001-12-20 17:08:44 [2430] parse error in configfile /usr/local/squidGuard/squidGuard.conf line 8
2001-12-20 17:08:44 [2430] going into emergency mode
…….
其中配置文件第8行有誤,squidGuard進入應急模式。
配置的具體說明詳見http://www.squidguard.org/
四.??運行:
?$ chmod 777 /usr/local/squid/logs
(設置logs對所有用戶為可寫。這樣,不特定的squid代理客戶才能正常訪問代理服務器,並能在logs目錄、產生access.log、cache.log等文件。)
?$ /usr/local/squid/bin/squid -z
?(手工建立squid的緩存目錄/usr/local/squid/cache。)
#/usr/local/squid/bin/squid
(後台執行squid。如果想前台執行squid:如果你想前台執行Squid執行命令:
$/usr/local/squid/bin/squid -NCd1
該命令正式啟動Squid。如果一切正常,你會看到一行輸出:
Ready to serve requests)
# ps ax|grep squid
20198 ?????S???0:00 /usr/local/squid/bin/squid
20200 ?????S???0:27 (squid)
20310 ?????S???0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
20311 ?????S???0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
20312 ?????S???0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
20313 ?????S???0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
20314 ?????S???0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
(此時squidGuard也已啟用,每次修改配置後squid -k reconfigure重新起用即可,要殺掉squid執行squid -k kill)
查看squidGuard日志文件:
init domainlist /usr/local/squidGuard/db/porn/domains
2001-12-20 16:14:43 [2270] init domainlist /usr/local/squidGuard/db/porn/domains
2001-12-20 16:14:43 [2270] init urllist /usr/local/squidGuard/db/porn/urls
2001-12-20 16:14:43 [2270] init expressionlist /usr/local/squidGuard/db/porn/expressions
2001-12-20 16:14:43 [2270] squidGuard 1.1.4 started (1008836083.022)
2001-12-20 16:14:43 [2270] recalculating alarm in 917 seconds
2001-12-20 16:14:43 [2270] squidGuard ready for requests (1008836083.044)
表示squidGuard已正常啟動
五.??測試:
配置客戶端,然後測試代理服務:
在另一台win2k上,(以Internet Explore5.0為例)運行IE,單擊"工具",接著單擊"Internet選項",再單擊"連接"選項卡,單擊"局域網設置";在"局域網設置"窗口中,在"地址"處填上squid服務器的IP地址192.168.100.16,在"端口"處填上"8080"(修改後squid代理使用的端口號,也就是squid.conf中的http_port,默認值為3128),確定後退出。
接下來,先把IP改成192.168.100.20,浏覽一些網站,如sohu,163等,然後再試試domains和urls中定義的,如hack.co.za、qihui.com/sex,會發現主頁被重定向到http://admin.foo.com。然後再試試浏覽有關girl的網站,去不了了:(;在sohu中搜girl也被重定向了;用IP試試(有些代理程序對IP不做限制,用IP可以繞過代理的限制訪問一些禁止的站點),可惜不行!(因為squidGuard配置文件中使用了!in_addr,所以可以強迫用戶使用域名訪問而不能使用ip訪問)
再下來,把IP改成192.168.100.18,然後時間改為testtime外的時間,浏覽網頁,試試結果,然後再將時間改為testtime內浏覽網頁!
最後,把IP改成192.168.100.30,浏覽網頁測試。
(可以查看logs下的access.log和cache.log,看看是否代理運行正常以及訪問的站點記錄)
總結:
由上可見,用squid和squidGuard建立的代理服務器,配置比較簡單,而且功能強大,可以有效的限制一些用戶對internet的訪問並過濾一些黑名單列出的站點(如色情站點等)。
這裡只簡單的介紹了關於http代理的例子,其它的應用和功能大家可以自己試試。