Squid代理服务器搭建培训.ppt

SQUID代理服务器搭建培训 主讲 刘文坚 Contents Squid的安装 1 在根目录下为squid建立文件夹 usr local squid 将squid 2 5 STABLE6 tar gz放在 usr local下 安装squid过程如下 tarzxfsquid 2 5 STABLE6 tar gz 产生squid 2 5 STABLE6文件夹 进入squid 2 5 STABLE6文件夹 运行 configure命令 对源代码进行配置和编译 Squid的安装 在本服务器的配置过程中 很多选项都采用默认设置 只更改了squid的安装位置 运行 configure prefix usr local squid 则 linux的安装目录变为 usr local squid make makeinstall安装完成后 会在您指定的安装路径里产生一个squid目录 squid目录下有三个目录 etc bin logs 其中etc里面是配置文件 bin里面是执行文件 logs里面是日志文件 Squid的基本配置 网卡设置 1 设定网关 如10 168 193 2532 添加静态路由 如10 168 192 197 0段的路由3 设置主机名4 设置DNS Squid的基本配置 以下是一些squid的基本配置参数解释http port808 设置监听的IP与端口号cache mem64MB 设置内存缓冲的大小cache dirufs spool squid200016256 设置硬盘缓冲大小cache effective usernobody 设置缓存的有效用户cache effective groupnobody 设置缓存的有效用户组cache access log var log squid access log 设置访问日志文件cache log var log squid cache log 设置缓存日志文件visible hostname10 168 193 250 设置squid主机名称 Squid的基本配置 squid conf配置文件分为13个部分 分别是 OPTIONSFOETUNINGTHECACHE 调整cache选项 TIMEOUTS 超时 ACCESSCONTROLS 访问控制 ADMINISTRATIVEPARAMETERS 管理参数 OPTIONSFORTHECACHEREGISTRATIONSERVICE cache注册服务选项 HTTPD ACCELERATOEOPTIONS HTTPD加速选项 MISCELLANEOUS 杂项 DELAYPOOLPARAMETERS 延时池选项 Squid的基本配置 squid conf配置文件分为13个部分 分别是 NETWORKOPTIONS 有关的网络选项 OPTIONSWHICHAFFECTTHENEIGHBORSELECTIONALGORITHM 作用于邻居选择算法的有关选项 OPTIONSWHICHAFFECTTHECACHESIZE 定义cache大小选项 LOGFILEPATHNAMESANDCACHEDIRECTORIES 定义日志文件的路径及cache的目录 OPTIONSFOREXTERNALSUPPORTPROGRAMS 外部支持程序选项 Squid的基本配置 1 NETWORKOPTIONS 有关的网络选项 http port定义 squid监听HTTP客户连接请求的端口 默认是3128 就是代理服务器的端口 本服务器设置为808 http port10 168 193 250 808 Squid的基本配置 2 OPTIONSWHICHAFFECTTHECACHESIZE 定义cache大小的选项 cache mem128MB指定squid可以使用的内存理想值 建议设为内存的1 3cache swap low90 最低缓存百分比cache swap high95 最高缓存百分比 就是上面那个额外内存的使用百分比maximum object size4096KB 单个文件最大缓存大小 超过这个大小将不缓存maximum object size in memory8KB 在内存中单个文件最大缓存大小 超过这个大小将不缓存到内存中 有DNS正反解所得到的IP存在缓存区的大小 这样可以加快解析速度ipcache size1024ipcache low90ipcache high95fqdncache size1024 Squid的基本配置 3 LOGFILEPATHNAMESANDCACHEDIRECTORIES 定义日志文件的路径及cache的目录 那个aufs只有在编译的时候加入 enable async io那个选项才有支持 至于目录所在地与所占用的磁盘大小则请视您的主机情况而定 而后面dir1 dir2则是两个次目录的大小 通常16256或6464皆可 一般来说 数字最好是16的倍数 据说性能会比较好 cache diraufs Cache110016256 日志存放位置cache access log var logs access logcache log var logs cache log Squid的基本配置 Squid可以通过IP地址 主机名 MAC地址 用户 密码认证等识别用户 也可以通过域名 域后缀 文件类型 IP地址 端口 URL匹配等控制用户的访问 还可以使用时间区间对用户进行管理 所以访问控制是Squid配置中的重点 Squid用ACL AccessControlList 访问控制列表 对访问类型进行划分 用http accessdeny或allow进行控制 根据需求首先定义两组用户advance和normal 还有代表所有未指明的用户组all及不允许上网的baduser 配置代码如下 Squid的基本配置 acladvance192 168 0 2 192 168 0 10 32aclnormalsrc192 168 0 11 192 168 0 200 32aclbadusersrc192 168 0 100 32aclallsrc0 0 0 0 0http accessdenybaduserhttp accessallowadvancehttp accessallownormal Squid的基本配置 acladvance192 168 0 2 192 168 0 10 32aclnormalsrc192 168 0 11 192 168 0 200 32aclbadusersrc192 168 0 100 32aclallsrc0 0 0 0 0http accessdenybaduserhttp accessallowadvancehttp accessallownormal可以看出 ACL的基本格式如下 acl列表名称控制方式控制目标比如aclallsrc0 0 0 0 0 其名称是all 控制方式是src源IP地址 控制目标是0 0 0 0 0的IP地址 即所有未定义的用户 出于安全考虑 总是在最后禁止这个列表 Squid的基本配置 下面这个列表代表高级用户 包括IP地址从192 168 0 2到192 168 0 10的所有计算机 acladvance192 168 0 2 192 168 0 10下面这个baduser列表只包含一台计算机 其IP地址是192 168 0 100 aclbaduser192 168 0 100ACL写完后 接下来要对它们分别进行管理 代码如下 http accessdenybaduserhttp accessallowadvancehttp accessallownormal上面几行代码告诉Squid不允许baduser组访问Internet 但advance normal组允许 此时还没有指定详细的权限 由于Squid是按照顺序读取规则 会首先禁止baduser 然后允许normal 如果将两条规则顺序颠倒 由于baduser在normal范围中 Squid先允许了所有的normal 那么再禁止baduser就不会起作用 Squid的基本配置 总结一下访问控制的配置 举例说明如下 用户分类acladvancearp00 01 02 1f 2c 3e00 01 02 3c 1a 8b aclnormalproxy authREQUIEDaclallsrc0 0 0 0 行为分类aclmmxfileurlpath regex mp3 avi exe aclconncountmaxconn3aclworktimetimeMTWHF8 30 12 0014 00 18 00 处理http accessallowadvancehttp accessdenyconncountnormalhttp accessdeny worktimehttp accessdenymmxfilehttp accessdenysinapagehttp accessdenyqqhttp accessallownormal配置后的状况是 advance组可以不受任何限制地访问Internet 而normal组则只能在工作时间上网 而且不能下载多媒体 不能访问某些特定的站点 而且发送请求不能超过3个 在webmin下配置squid代理 在运行squid之前要将系统的防火墙和selinux设置为禁用 不然会导致808端口被禁用的问题 在squid启动日志里可查看808端口启动失败的记录 在将squid安装成功以后 可以在网页形式下进入webmin对squid进行配置 其效果与配置squid conf一样 在webmin下配置squid代理 进入squid界面 先设置squid代理服务器的IP地址和端口号分别为10 168 193 250 808 再对squid的高速缓存进行初始化 然后启动squid服务器 在webmin下配置squid代理 访问控制配置 squid服务器启动成功以后 进入访问配置项在访问控制列表中新增加一个控制项为chen 对其定义为IP 10 168 193 12 10 168 193 14 10 168 193 15 这样本办公室里的三台电脑的IP就被写入控制对象中 点击添加代理约束规则 增加chen的规则为允许 这样chen中的所有IP就可以通过本代理服务器上网了 日常故障处理和维护 sarg工具分析上网日志1 安装sarg 放在 10 168 193 249 linux下 tar zxvfsarg 2 2 5 tar gz configure prefix usr local sarg make makeinstall 日常故障处理和维护 二 配置sarg工具进入SquidAnalysisReportGenerator选项 如下界面进入LogSourceandReportDestination选项 设置sarg分析squid代理日志路径为 var log squid access log 设置sarg生成报表文件存放在 var www html sarg中 生成的报表文件为html类型的 可在浏览器中查看 其他选项如果不想设置 可保持默认即可 日常故障处理和维护 然后进入Sche