Squid及正向代理简介
Squid cache(简称为Squid)是一个流行的*软件,它符合GNU通用公共许可证。Squid作为网页服务器的前置cache服务器,可以代理用户向web服务器请求数据并进行缓存,也可以用在局域网中,使局域网用户通过代理上网。Squid主要设计用于在Linux一类系统运行。--摘自360百科
本篇博客将详细演示如何使用squid实现正向代理以及浏览内容过滤。
所谓正向代理模式,是指让用户通过Squid服务程序获取网站页面等资源,以及基于访问控制列表(ACL)功能对用户访问网站行为进行限制,在具体的服务方式上又分为标准代理模式与透明代理模式。标准正向代理模式是把网站数据缓存到服务器本地,提高数据资源被再次访问时的效率,但是用户在上网时必须在浏览器等软件中填写代理服务器的IP地址与端口号信息,否则默认不使用代理服务。
Squid正向代理访问流程
使用Squid服务程序提供正向代理服务的拓扑如下图所示。局域网内的主机如果想要访问外网,则必须要通过Squid服务器提供的代理才行,这样当Squid服务器接收到用户的指令后会向外部发出请求,然后将接收到的数据交还给发出指令的那个用户,从而实现了用户的代理上网需求。另外,从拓扑图中也不难看出,企业中的主机要想上网,就必须要经过公司的网关服务器,既然这是一条流量的必经之路,因此企业一般还会把Squid服务程序部署到公司服务器位置,并通过CL(访问控制列表)功能对企业内员工进行上网审计及限制。
Squid安装环境准备
这里我准备了两台虚拟机,鉴于工作中大部分都是Windows使用代理,所以我就使用windows来演示了。一台安装linux,另外一台安装windows,无论是windows还是linux都是一样的!
服务器端需要准备两块网卡,一块网卡负责对内通信,另外一张网卡负责对外通信。
服务器端linux: 外网IP: 172.20.10.2
内网IP: 192.168.11.2
客户端windows:内网IP: 192.168.11.137
linux服务器
第一步:代理服务器添加网卡
一个连接外网,一个连接内网
第二步:生成网卡配置文件
[root@ken network-scripts]# cp ifcfg-eth0 ifcfg-eth1
[root@ken network-scripts]# vim ifcfg-eth1
NAME="eth1"
DEVICE="eth1"
ONBOOT=yes
NETBOOT=yes
BOOTPROTO=static
TYPE=Ethernet
IPADDR=192.168.11.2
NETMASK=255.255.255.0
第三步:重启网络
至此linux网卡配置完成
[root@ken network-scripts]# ip a | grep eth1
: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu qdisc pfifo_fast state UNKNOWN group default qlen
inet 192.168.11.2/ brd 192.168.108.255 scope global noprefixroute eth1
windows客户端
只需要给客户端添加一个内网IP即可
现在可以使用仅主机模式下的windows访问外网,发现是访问不通的
Squid安装
第一步:关闭防火墙
[root@ken ~]# systemctl stop firewalld
[root@ken ~]# setenforce
第二步:下载squid服务程序
[root@ken ~]# yum install squid -y
第三步:启动squid
squid默认监听的是3128端口,安全起见,在公司内部布置的正向代理服务器建议修改监听的端口号。
[root@ken ~]# systemctl restart squid
[root@ken ~]# ss -tnl | grep
LISTEN ::: :::*
Squid实现正向代理
其实下载并启动完成之后,我们就可以使用squid代理服务了。
第一步:打开你的浏览器工具>Internet选项,看到如下界面
第二步:点击连接>局域网设置
可以看到如下的界面
第三步:填写服务器端内网IP及squid的端口号,点击确定即可。
填写的是内网代理端的内网IP,可以和客户端通信的IP网段
第四步:浏览器测试
刷新浏览器即可发现仅主机模式下的windows也可以上网了
Squid常用的访问控制列表
url_regex与urlpath_regex的区别
1. url_regex
url_regex ACL用于匹配请求URL的任何部分,包括传输协议和原始服务器主机名。例如,如下ACL匹配从FTP服务器的MP3文件请求:
acl FTPMP3 url_regex -i ^ftp://.*\.mp3$
2. urlpath_regex
urlpath_regex与url_regex非常相似,不过传输协议和主机名不包含在匹配条件里。这让某些类型的检测非常容易。例如,假设你必须拒绝URL里的"sex",但仍允许在主机名里含有"sex"的请求,那么这样做:
acl Sex urlpath_regex sex
另一个例子,假如你想特殊处理cgi-bin请求,你能这样捕获它们:
acl CGI1 urlpath_regex ^/cgi-bin
当然,CGI程序并非总在/cgi-bin/目录下,这样你应该编写其他的ACL来捕获它们。
总结
1. url_regex匹配整个URL部分,包含传输协议和主机名
2. urlpath_regex不包含传输协议和主机名
3. 可以单独使用url_regex完成百分之90以上的工作
4. url_regex和urlpath_regex都支持正则
5. URL中的.需要使用\进行转义
Squid正向代理之ACL访问控制
演示一:只允许192.168.43.1主机使用代理服务
第一步:修改配置文件
acl ken src 192.168.43.1/24 :定义了一个别名ken
http_access all ken :定义了允许来自ken的访问 http_access deny all :拒绝其他任何主机的访问
[root@ken ~]# vim /etc/squid/squid.conf
...
acl ken src 192.168.43.1/24 #
# Recommended minimum Access Permission configuration:
#
# Deny requests to certain unsafe ports
http_access all ken
http_access deny all
...
第二步:重启squid服务
[root@ken ~]# systemctl restart squid
第三步:window端刷新界面
发现已经上不去网了
演示二:禁止访问www.baidu.com网站
在做一个演示的时候把之前定义的规则都删掉
第一步:修改配置文件
acl ken url_regex www.baidu.com #定义url_regex规则
acl kenken src 192.168.11.137 #定义客户端地址 #
# Recommended minimum Access Permission configuration:
#
# Deny requests to certain unsafe ports
http_access deny ken #拒接url
http_access allow kenken #接受客户端地址的访问
第二步:重启服务
[root@ken ~]# systemctl restart squid
第三步:window端查看
现在我的博客又能访问了
现在访问下百度网站试试
现在访问被拒绝了,说明我们配置是生效的
演示三:禁止网址中包含redis的网站
第一步:修改配置文件
添加如下内容
.*表示任意长度的任意内容
acl ken url_regex .*redis.*
acl kenken src 192.168.11.137 #
# Recommended minimum Access Permission configuration:
#
# Deny requests to certain unsafe ports
http_access deny ken
http_access allow kenken
第二步:重启服务
[root@ken ~]# systemctl restart squid
第三步:windows端查看
现在我的博客还是能访问的
浏览一下redisdoc网站
可以发现只要带有redis的网站都会被拒绝访问
演示四:禁止访问网址中以mp3为结尾的网站
这个我就不演示了无非就是添加一条 acl ken url_regex .*mp3$
acl写来写去还是考验大家的正则表达式
大家有兴趣的可以找一个这样的网站来测试一下
演示五:基于时间段20:00-8:00
第一步:修改配置文件
定义一个时间段
拒绝该时间段的访问
acl ken time :-:50
acl kenken src 192.168.11.137 #
# Recommended minimum Access Permission configuration:
#
# Deny requests to certain unsafe ports
http_access deny ken
http_access allow kenken
第二步:重启服务
[root@ken ~]# systemctl restart squid
第三步:windows端查看
该时段下的上网服务会被拒绝
