Posted on 2009-12-18 08:24
saobaolu 阅读(1132)
评论(0) 编辑 收藏 所属分类:
Linux操作系统
Linux下Squid代理服务器的配置(转)
启动squid时如果不在squid.conf中设置主机名将无法启动,必须要设置visible_hostname这个参数值,本文中,设置的主机名是服务器的真实机器名powersite,在squid.conf中找到该项并修改:
visible_hostname linuxserver
你想让所有员工仅在上班时可上网,而且不允许192.168.1.23这台主机上网,可以加入这样的配置:
# 将以下ACL添加到squid.conf的ACL配置部分
acl home_network src 192.168.1.0/24
acl business_hours time M T W H F 9:00-17:00
acl RestrictedHost src 192.168.1.23
# 将这些内容添加到squid.conf的http_access配置部分
http_access deny RestrictedHost
http_access allow home_network business_hours
你只想在早晨这段时间允许员工访问Internet:
# 将以下ACL添加到squid.conf的ACL配置部分
acl mornings time 08:00-12:00
# 将这些内容添加到squid.conf的http_access配置部分
http_access allow mornings
Squid支持从外部读取包含有web站点或域名的文件进行ACL限制。在下面的例子中创建了两个文件,/etc/squid/allowed-sites.squid和/etc/squid/restricted-sites.squid,很明显,一个是允许访问的站点文件,另一个是限制访问站点文件。
# vi /etc/squid/allowed-sites.squid
www.163.com
www.yahoo.cn
# vi /etc/squid/restricted-sites.squid
www.sex.com
sex.com
然后配置在工作时间允许或限制访问的目标站点,以下的ACL配置和前面的略微不同:
#
# 将以下ACL添加到squid.conf的ACL配置部分
#
acl home_network src 192.168.1.0/24
acl business_hours time M T W H F 9:00-17:00
acl GoodSites dstdomain "/etc/squid/allowed-sites.squid"
acl BadSites dstdomain "/etc/squid/restricted-sites.squid"
#
# 将这些内容添加到squid.conf的http_access配置部分
#
http_access deny BadSites
http_access allow home_network business_hours GoodSites
根据IP地址限制Web访问
这个ACL访问控制列表可以限制整个一个网段,功能还是很强的。
#
# 将以下ACL添加到squid.conf的ACL配置部分
#
acl home_network src 192.168.1.0/255.255.255.0
然后添加http_access允许这个ACL:
#
# 将这些内容添加到squid.conf的http_access配置部分
#
http_access allow home_network
设置Squid为透明代理
如果客户端连接网络,就需要在浏览器设置Squid代理服务器,这是件比较麻烦的工作,而且代理服务器的地址或端口更换,每台服务器都必须重新设置才能生效,想解决这个问题,可以使用透明代理的方法。透明代理就是使用iptables防火墙将squid的3128端口的请求全部转发到HTTP的80端口,从而实现透明代理。
2.6内核版本之上:新版本的squid只需要修改成如下的内容即可。默认是“http_port 3128”,要将其改为“http_port 3128 transparent”的形式:
另外还要配置iptables防火墙
在下面两个例子中,作为防火墙的服务器有两块网卡,连接Internet的eth0和连接内网的eth1,同时防火墙也是内网的网关。
如果Squid服务器和防火墙在一台服务器上,那么所有的HTTP80端口的请求将转发到Squid服务的配置端口3128上。
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED -i eth1 -p tcp --dport 3128
iptables -A OUTPUT -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED -o eth0 -p tcp --dport 80
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED -i eth0 -p tcp --sport 80
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED -o eth1 -p tcp --sport 80
如果Squid服务器和防火墙在不同的服务器上,iptables的规则将有所不同:
iptables -t nat -A PREROUTING -i eth1 -s ! 192.168.1.100 -p tcp --dport 80 -j DNAT --to 192.168.1.100:3128
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -d 192.168.1.100 -j SNAT --to 192.168.1.1
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.1.100 -i eth1 -o eth1 -m state
--state NEW,ESTABLISHED,RELATED -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -s 192.168.1.100 -i eth1 -o eth1 -m state --state ESTABLISHED,RELATED -p tcp --sport 3128 -j ACCEPT
Squid的密码验证
1) 创建密码文件。密码和用户名存放在/etc/squid/squid_passwd文件中,并需要将这个文件的权限设置为其它用户只读。
# touch /etc/squid/squid_passwd
# chmod o+r /etc/squid/squid_passwd
(2)使用htpasswd添加用户,并设置密码。添加用户不需要对squid进行重启操作,我创建的用户名是www
# htpasswd /etc/squid/squid_passwd www
New password:
Re-type password for user www
#
(3)找到ncsa_auth命令的具体位置,后面的配置需要用到绝对路径
# which ncsa_auth
/usr/sbin/ncsa_auth
(4) 然后我们就要在squid.conf文件中定义验证程序了,创建名为ncsa_users的ACL并加入关键字REQUIRED来强制让Squid使用NCSA验证方法。
#
# 在squid.conf的auth_param部分添加下列内容
#
auth_param basic program /usr/sbin/ncsa_auth /etc/squid/squid_passwd
#
# 将以下ACL添加到squid.conf的ACL配置部分
#
acl ncsa_users proxy_auth REQUIRED
#
# 将这些内容添加到squid.conf的http_access配置部分
#
http_access allow ncsa_users
没有所谓的命运,只有不同的选择!