Squid代理服务器(传统代理、透明代理)
- 一、Squid代理服务器
- 1、代理的工作机制
- 2、代理的类型
- 3、使用代理的好处
- 二、安装Squid服务
- 2、修改 Squid 的配置文件
- 3、Squid 的运行控制
- 4、编写 Squid 服务脚本
- 三、构建传统代理服务器
- 1、squid服务器
- 2、web1的配置
- 3、客户端配置(添加代理)
- 4、检测
- 四、构建透明代理服务器
- 1、Squid服务器配置
- 2、开启路由转发,实现本机中不同网段的地址转发
- 3、web1服务器(添加一条静态路由)
- 4、客户端关闭代理,修改win10地址为100网段
- 5、查看 Squid 访问日志的新增记录
- 总结
- 1、Squid代理服务器的作用
- 2、代理的类型
一、Squid代理服务器
- Squid主要提供缓存加速、应用层过滤控制、web服务隐藏真实IP(安全性)的功能。
1、代理的工作机制
- 代替客户机向网站请求数据,从而可以隐藏用户的真实IP地址。
- 将获得的网页数据(静态 Web 元素)保存到缓存中并发送给客户机,以便下次请求相同的数据时快速响应。
2、代理的类型
传统代理:
- 适用于Internet,需在客户机指定代理服务器的地址和端口。
透明代理:
- 客户机不需指定代理服务器的地址和端口,而是通过默认路由、防火墙策略将Web访问重定向给代理服务器处理。
反向代理:
- 如果 Squid 反向代理服务器中缓存了该请求的资源,则将该请求的资源直接返回给客户端;否则反向代理服务器将向后台的 WEB 服务器请求资源,然后将请求的应答返回给客户端,同时也将该应答缓存(静态)在本地,供下一个请求者使用。
3、使用代理的好处
- 提高web访问速度
- 隐藏客户机的真实IP地址
二、安装Squid服务
服务器 IP
Squid服务器 192.168.80.72
web服务器 192.168.80.73
客户机 169.254.204.97
1、编译安装Squid
systemctl stop firewalld
systemctl disable firewalld
setenforce 0
yum -y install gcc gcc-c++ make
cd /opt
#上传squid-3.5.28.tar.gz软件包到/opt目录下
tar zxvf squid-3.5.28.tar.gz
cd /opt/squid-3.5.28
./configure --prefix=/usr/local/squid \ #指定安装目录路径
--sysconfdir=/etc \ #指定配置文件路径
--enable-arp-acl \ #MAC地址管控,防止客户端使用IP欺骗
--enable-linux-netfilter \ #使用内核过滤
--enable-linux-tproxy \ #支持透明模式
--enable-async-io=100 \ #异步IO,提升存储性能
--enable-err-language="Simplify_ Chinese" \ #错误信息的显示语言
--enable-underscore \ #允许URL中有下划线
--disable-poll \ #关闭默认使用poll模式
--enable-gnuregex #使用GNU正则表达式
./configure --prefix=/usr/local/squid \
--sysconfdir=/etc \
--enable-arp-acl \
--enable-linux-netfilter \
--enable-linux-tproxy \
--enable-async-io=100 \
--enable-err-language="Simplify_Chinese" \
--enable-underscore \
--disable-poll \
--enable-epoll \
--enable-gnurege
make -j2 && make install
ln -s /usr/local/squid/sbin/* /usr/local/sbin
useradd -M -s /sbin/nologin squid
chown -R squid:squid /usr/local/squid/var/ #此目录用于存放缓存文件
2、修改 Squid 的配置文件
vim /etc/squid.conf
......
-----56行--插入------
http_access allow all #放在http_access deny all 之前,允许任意客户机使用代理服务,控制规则自上而下匹配
http_access deny all
http_port 3128 #用来指定代理服务监听的地址和端口(默认的端口号为3128)
-----61行--插入------
cache_effective_user squid #添加,指定程序用户,用来设置初始化、运行时缓存的账号,否则启动不成功
cache_effective_group squid #添加,指定账号基本组
coredump_dir /usr/local/squid/var/cache/squid #指定缓存文件目录
3、Squid 的运行控制
squid -k parse #检查配置文件语法是否正确
squid -k rec #重新加载配置文件
#启动Squid, 第一次启动Squid服务时,会自动初始化缓存目录
squid -zX #-z选项用来初始化缓存目录
squid #启动squid 服务
netstat -natp | grep squid
4、编写 Squid 服务脚本
vim /etc/init.d/squid
#!/bin/bash
#chkconfig: 2345 90 25
#2345是默认自启动级别,如是 - 代表任何级别都不自启动; 90是启动优先级,25是停止优先级,优先级范围是0一100,数字越大,优先级越低。
PID="/usr/local/squid/var/run/squid.pid"
CONF="/etc/squid.conf"
CMD="/usr/local/squid/sbin/squid"
case "$1" in
start)
netstat -natp | grep squid &> /dev/null
if [ $? -eq 0 ]
then
echo "squid is running"
else
echo "正在启动 squid..."
$CMD
fi
;;
stop)
$CMD -k kill &> /dev/null
rm -rf $PID &> /dev/null
;;
status)
[ -f $PID ] &> /dev/null
if [ $? -eq 0 ]
then
netstat -natp | grep squid
else
echo "squid is not running"
fi
;;
restart)
$0 stop &> /dev/null
echo "正在关闭 squid..."
$0 start &> /dev/null
echo "正在启动 squid..."
;;
reload)
$CMD -k reconfigure
;;
check)
$CMD -k parse
;;
*)
echo "用法:$0{start|stop|status|reload|check|restart}"
;;
esac
chmod +x /etc/init.d/squid
chkconfig --add squid
chkconfig squid on
service squid restart
三、构建传统代理服务器
环境配置
主机 操作系统 IP地址 软件、安装包、工具
Squid-Server CentOS7 192.168.92.13 squid-3.5.28.tar.gz
Web1 CentOS7 192.168.92,14 httpd
客户机 Windows 169.254.204.97 ——
1、squid服务器
vim /etc/squid.conf
......
http_access allow all
http_access deny all
http_port 3128
cache_effective_user squid
cache_effective_group squid
#63行插入
cache_mem 64 MB #指定缓存功能所使用的内存空间大小,便于保持访问较频繁的WEB对象,容量最好为4的倍数,单位为MB,建议设为物理内存的1/4
reply_body_max_size 10 MB #允许用户下载的最大文件大小,以字节为单位,当下载超过指定大小的Web对象时,浏览器的报错页面中会出现“请求或访问太大”的提示默认设置0表示不进行限制
maximum_object_size 4096 KB #允许保存到缓存空间的最大对象大小,以KB为单位,超过大小限制的文件将不被缓存,而是直接转发给用户
systemctl start squid
netstat -natp | grep squid
service squid restart或
systemctl restart squid
#修改防火墙规则
iptables -F
iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
iptables -L INPUT
2、web1的配置
Web1(192.168.92.14)
systemctl stop firewalld.service
setenforce 0
yum -y install httpd
systemctl start httpd
netstat -natp | grep 80
3、客户端配置(添加代理)
谷歌浏览器:
设置--》高级--》系统--》打开代理设置--》设置代理
4、检测
在浏览器输入Web服务器IP地址访问,查看Web服务器访问日志,显示的是由代理服务器替客户机在访问。
http://192.168.92.14
查看Web1访问日志的新增记录
tail -f /var/log/httpd/access_log
四、构建透明代理服务器
环境配置
主机 操作系统 IP地址 服务、安装包、工具
Squid-Server CentOS7 ens32:192.168.92.13 squid-3.5.28.tar.gz
ens37:12.0.0.10
Web1 CentOS7 12.0.0.12 httpd
客户端 Windows 192.168.92.100 ——
添加网卡
ens32\ens35
1、Squid服务器配置
cd /etc/sysconfig/network-scripts/
cp ifcfg-ens33 ifcfg-ens37
vim ifcfg-ens37
systemctl restart network
ifconfig
#60行修改添加提供内网服务的IP地址,和支持透明代理选项 transparent
vim /etc/squid.conf
......
http_access allow all
http_access deny all
http_port 192.168.91.13:3128 transparent
systemctl restart squid
netstat -natp | grep 3128
2、开启路由转发,实现本机中不同网段的地址转发
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p
修改防火墙规则
iptables -F
iptables -t nat -F #添加防火墙规则(将来源为100网段:80/443端口的流量重定向到3128端口)
iptables -t nat -I PREROUTING -i ens32 -s 192.168.184.0/24 -p tcp --dport 80 -j REDIRECT --to 3128
iptables -t nat -I PREROUTING -i ens32 -s 192.168.184.0/24 -p tcp --dport 443 -j REDIRECT --to 3128 #若进行重启,则需要配置以下规则
iptables -I INPUT -p tcp --dport 3128 -j ACCEPT #开启路由转发
3、web1服务器(添加一条静态路由)
systemctl stop firewalld.service
setenforce 0
vim /etc/sysconfig/network-scripts/ifcfg-ens33
systemctl restart network
ifconfig
4、客户端关闭代理,修改win10地址为100网段
客户机测试(192.168.80.100)
关闭客户机的浏览器之前设置的代理服务器的功能后访问 http://12.0.0.12
访问web1服务器
5、查看 Squid 访问日志的新增记录
tail -f /usr/local/squid/var/logs/access.log
Squid代理服务器则是检测到客户机访问目标网站
查看 Web 访问日志的新增记录,显示的是由代理服务器的外网口代替客户机在访问
tail -f /var/log/httpd/access_log
可以看到是代理服务器外网口12.0.0.100访问的12.0.0.12
总结
1、Squid代理服务器的作用
- Squid主要提供缓存加速,提高web访问速度
- 应用层过滤控制
- 代替客户机向网站请求数据,从而可以隐藏用户的真实IP地址
2、代理的类型
传统代理:
- 适用于Internet,需在客户机指定代理服务器的地址和端口。
透明代理:
- 客户机不需指定代理服务器的地址和端口,而是通过默认路由、防火墙策略将Web访问重定向给代理服务器处理。
反向代理:
- 如果 Squid 反向代理服务器中缓存了该请求的资源,则将该请求的资源直接返回给客户端;
- 否则反向代理服务器将向后台的 WEB 服务器请求资源,然后将请求的应答返回给客户端,同时也将该应答缓存(静态)在本地,供下一个请求者使用。
