Linux从入门到提高-第11章--Proxy服务器配置

第11章Proxy服务器配置,Proxy服务器原理简介Squid简介安装和启动Squid服务器在客户端使用Squid服务器配置Squid服务器配置基于Squid的透明代理配置多级缓存改善Proxy服务器的性能日志管理使用Webalizer对Squid进行流量分析本章小结,大部分代理服务器都具有缓存的功能，就好像一个大的cache，有很大的存储空间，它不断将新取得数据储存到本机的存储器上。如果浏览器所请求的数据在本机的存储器上已经存在而且是最新的，那么就不必重新从Web服务器获取数据，而是直接将存储器上的数据传送给用户的浏览器，这样可以显著地提高浏览速度和效率。,11.1Proxy服务器原理简介,代理服务器的工作原理,11.1Proxy服务器原理简介,代理服务器的作用：提高访问速度起到防火墙的作用访问一些不能直接访问的网站提高安全性能,11.1Proxy服务器原理简介,Squid由一个主要的服务程序Squid，一个DNS查询程序dnsserver，几个重写请求和执行认证的程序，以及几个管理工具组成。当Squid服务启动之后，它可以派生出指定数目的dnsserver进程，每一个dnsserver进程都可以执行单独的DNS查询，这样一来就大大减少了服务器等待DNS查询的时间。,11.2Squid简介,使用Squid服务器的首要工作是对其进行安装，然后进行简单的启动和关闭测试。,11.3安装和启动Squid服务器,通常说来，安装Squid有两种方法：从安装光盘中获取RPM包进行安装，或者从Squid的官方站点下载软件的源代码，编译后安装。,11.3.1安装Squid服务器,启动Squid服务器：#/etc/rc.d/init.d/squidstart#servicesquidstart停止Squid服务器：#/etc/rc.d/init.d/squidstop#servicesquidstop,11.3.2启动和关闭Squid服务器,上面主要介绍如何启动Squid服务器，本节将详细介绍如何对客户端的浏览器进行配置，从而使得用户能正常地使用代理服务。浏览器主要包括Microsoft公司的IE浏览器以及Linux下自带的Mozilla浏览器。,11.4在客户端使用Squid服务器,以Microsoft的IE浏览器为例，介绍Squid代理服务器客户端的配置方法。,11.4.1在IE浏览器设置,11.4.2在Linux浏览器中设置,以Mozilla浏览器为例，介绍Squid代理服务器客户端的配置方法。,Squid服务器的功能非常强大，对其进行全面、合理的配置能够提高该服务器的性能，进而更为有效地对其进行使用，本节将从配置Squid服务器的基本参数、访问控制、以及配置实例等几个方面来介绍Squid的详细配置。,11.5配置Squid服务器,ACCESSCONTROLS：访问控制选项NETWORKOPTIONS：网络相关选项MEMORYCACHEOPTIONS：内存cache选项DISKCACHEOPTIONS：磁盘cache选项LOGFILEOPTIONS：日志文件选项OPTIONSFOREXTERNALSUPPORTPROGRAMS：外部支持程序选项OPTIONSFORTUNINGTHECACHE：调整cache的选项HTTPOPTIONS：HTTP选项TIMEOUTS：超时定义选项ADMINISTRATIVEPARAMETERS：参数管理选项OPTIONSFORTHECACHEREGISTRATIONSERVICE：cache注册服务选项SNMPOPTIONS：SNMP选项ICPOPTIONS：ICP选项DNSOPTIONS：DNS选项,11.5.1配置Squid服务器的基本参数,常用选项：http_portcache_mem（bytes）In-TransitObjects：传入的对象。HotObjects：用户经常访问的对象。Negative-CachedObjects：消极存储的对象。cache_dirDirectory-NameMbytesLevel1Level2,11.5.1配置Squid服务器的基本参数,使用访问控制特性，可以控制在访问时根据特定的时间间隔进行缓存、访问特定站点或一组站点等。Squid访问控制有两个要素：ACL元素和访问列表。,11.5.2配置Squid服务器的访问控制,ACL（AccessControlLists）元素是Squid访问控制的基础，定义的语法如下：aclaclnameacltypestring.aclaclnameacltypefile.其中，acltype：src、dst、srcdomain、dstdomain、url_regex、urlpath_regex、time、port、proto、method,11.5.2配置Squid服务器的访问控制,src：指定源地址，具体形式为：aclaclnamesrcip-address/netmask.aclaclnamesrcaddr1-addr2/netmask.dst：指定目标地址，即客户请求的服务器的IP地址，具体形式为：aclaclnamedstip-address/netmask.srcdomain：指定客户所属的域，Squid将根据客户IP反向查询DNS，具体形式为：.dstdomain：指定请求服务器所属的域，由客户请求的URL决定，具体形式为：.time：指定访问时间，具体形式为：aclaclnametimeday-abbrevsh1:m1-h2:m2hh:mm-hh:mm,11.5.2配置Squid服务器的访问控制,port：指定访问端口，可以为多个端口，例如：to：指定使用协议，可以指定多个协议，例如：aclaclnameprotoHTTPFTP.method：指定请求的方法，例如：aclaclnamemethodGETPOST.url_regex：URL规则表达式匹配，具体形式为：aclaclnameurl_regex-ipatternurlpath_regex：URL-path规则表达式匹配，略去协议和主机名，具体形式为：aclaclnameurlpath_regex-ipattern,11.5.2配置Squid服务器的访问控制,访问列表可以用来控制（允许或拒绝）某些用户的访问。如果某一个访问没有相符合的项目，则默认为应用最后一个条目的“非”。假设最后一条为允许，则默认就是禁止。通常应该把最后的条目设为“denyall”或“allowall”。,11.5.2配置Squid服务器的访问控制,aclclientssrc24/245/24aclguestssrc/etc/squid/guestaclallsrc/http_accessallowclientshttp_accessallowguestshttp_accessdenyall其中，/etc/squid/guest：/24/164/25,11.5.2配置Squid服务器的访问控制,#squid.conf-averybasicconfigfileforsquid#Turnloggingtoitslowestleveldebug_optionsALL,1#definesagroup（orAccessControlList）thatincludesallIPaddressesaclallsrc/#defineRAMusedcache_mem64M#definesthecachesizecache_dir/usr/local/squid/cache10016256#allowallsitestouseconnecttousviaHTTPhttp_accessallowall#allowallsitestouseusasasiblingicp_accessallowall#testthefollowingsitestocheckthatweareconnecteddns_#runasthesquidusercache_effective_usersquidsquid,11.5.3配置Squid服务器的简单实例,所谓透明代理，是相对传统代理而言的，指用户可以在安装了Squid软件的路由主机上进行配置，而内网主机不需要逐一设置浏览器代理配置就可以上网的一种代理形式。配置了这种透明代理之后，客户端用户使用浏览器浏览网页时，就像是在直接上网，但实际上是通过路由主机上的代理服务器获得网页内容的，这个过程对于客户来说是透明的。内网的客户机只要将默认网关设为代理服务器的IP地址，并设置DNS客户即可。,11.6配置基于Squid的透明代理,透明代理的实现需要Linux内核版本在2.0.29以上，但是2.0.30并不支持该功能，我们目前使用的Linux发行版的内核通常都在2.4.X以上，所以一般情况下不需要考虑这个问题。,11.6.1Linux内核的相关配置,对透明代理进行设置，还要使用squid.conf文件中的相关选项，如下所示：http_port3218httpd_accel_hostvirtualhttpd_accel_port80httpd_accel_with_proxyonhttpd_accel_uses_host_headeron,11.6.2Squid的相关配置选项,11.6.3iptables的相关配置,使用下列语句实现将目标端口为80的TCP包重定向到3128端口：#echo1/proc/sys/net/ipv4/ip_forward#iptablestnatAPREROUTINGIeth0ptcpdport80jREDIRECT-to-port3128,在实际的应用过程中，提高和改善服务器的性能有着非常重要的意义。,11.7配置多级缓存改善Proxy服务器的性能,所谓多级缓存就是将一组在逻辑上为父子或同级关系的代理服务器（也称为peer）组合在一起，通过特定的缓存协议通信，从而在逻辑上构成一个具有更大缓存，更强处理能力的代理服务器，这个概念有点类似于并行计算中经常使用的机群（cluster）。充当多级缓存的代理服务器组合具有以下三种结构：两个代理服务器组成同级结构。多个代理服务器组成层次结构。多个代理服务器组成网状结构。,11.7.1多级缓存（cache）简介,用户通过squid.conf配置文件中的cache_peer选项来配置代理服务器的多级缓存，通过其它的选项来控制选择代理伙伴的方法。cache_peerhostnametypehttp_porticp_portoptions选项：hostname：被请求的代理服务器的主机名或IP地址。type：用来指定代理服务器的类型，即同级子代理服务器（sibling）或父代理服务器（parent）。http_port：主机HTTP端口。icp_port：主机ICP端口，如果不支持ICP协议，可以设为7。options：可以包含一个或多个关键字（proxy-only、weight、no-query、no-digest、default、login等）。,11.7.2配置多级缓存,在配置多级缓存的过程中，可以使用特定的规则来选择不同的父代理服务器，从而达到均衡代理服务器负载的目的，常用的选择规则有：通过目的域进行选择cache_peer_cache_peer_!通过访问控制列表进行选择aclcomputersrc92/aclallsrc/cache_parent31283130cache_peer_allowcomputercache_peer_denyall,11.7.2配置多级缓存,通过URL进行选择aclurlurl_regexaclallsrc/cache_parent31283130cache_parent31283130cache_peer_allowurlcache_peer_allow!url,11.7.2配置多级缓存,Squid日志管理的功能比较强大，通过查看这些文件，用户可以实时、准确地了解代理服务器的访问记录、cache的存储状况、cache的访问记录等信息，从而高效地对代理服务器进行管理。,11.8Squid日志管理,cache_access_logcache_store_logcache_logcache_swap_logpid_filenamedebug_optionslog_fqdnon|off,11.8.1配置文件中有关日志的选项,timeeclapsedremotehostcode/statusbytesmethodURLrfc931peerstatus/peerhosttype#