Squid 代理服务器.ppt

1、RHCE认证培训,网络服务(8),Copyright 2006, Superich Information System Co.Ltd.,第8章 Squid 代理服务器,主要内容： Squid 简介 安装和启动 Squid Squid 的基本配置 初始化 Squid 访问控制应用实例,Copyright 2006, Superich Information System Co.Ltd.,一、Squid 简介,Squid是Linux和Unix平台下最流行的高性能免费应用层代理服务器，具有权限管理灵活、性能高和速度快等特点 Squid使用访问控制列表（ACL）和访问权限列表（ARL）进行权限管理和

2、内容过滤 Squid对硬件要求不高，但是对内存和硬盘有一定的要求,Copyright 2006, Superich Information System Co.Ltd.,二、安装和启动 Squid,安装 Squid # rpm -ivh squid-2.5.STABLE6-3.i386.rpm 启动 Squid /etc/init.d/squid start 停止 Squid /etc/init.d/squid stop 重新启动 Squid /etc/init.d/squid restart 重新载入配置文件 /etc/init.d/squid reload,Copyright 2006,

3、Superich Information System Co.Ltd.,三、Squid 的基本配置（一）,主配置文件：/etc/squid/squid.conf 设置Squid监听的IP地址和端口号 http_port :8080 设置内存缓冲区的大小 cache_mem 64 MB 设置硬盘缓冲区的大小 cache_dir ufs /var/spool/squid 4096 16 256 本选项的意思： 硬盘缓冲区的目录为/var/spool/squid 缓冲区的存储类型类型为ufs 缓存空间为4096MB，硬盘缓冲区的目录下有16个 一级目录，每个一级目录下有256

4、个二级子目录,Copyright 2006, Superich Information System Co.Ltd.,Squid 的基本配置（二）,设置使用缓存的有效用户 cache_effective_user squid 设置使用缓存的有效用户组 cache_effective_group squid 定义DNS服务器的地址 dns_nameservers 01 设置访问日志 cache_access_log /var/log/squid/access.log 设置缓存日志文件 cache_log /var/log/squid/cache.log,Copyright

5、2006, Superich Information System Co.Ltd.,Squid 的基本配置（三）,设置网页缓存日志文件的名称 cache_store_log /var/log/squid/store.log 设置运行Squid主机的名称 visible_hostname 设置管理员的E-mail地址 cache_mgr 设置访问控制列表 acl all src /（所有的IP地址） 允许或拒绝某个访问控制列表的HTTP请求 http_access allow all,Copyright 2006, Superich Info

6、rmation System Co.Ltd.,四、初始化 Squid（一）,创建Squid使用硬盘缓冲区的目录结构 为了能让Squid在硬盘缓冲区中缓冲客户机访问Internet的内容，在初次启动Squid之前，应该使用如下命令来建立硬盘缓冲区的缓存目录结构 /usr/sbin/squid -z 命令执行完后，查看目录/var/spool/squid的内容时，可以看到Squid已经根据配置文件建立了目录结构,Copyright 2006, Superich Information System Co.Ltd.,初始化 Squid（二）,设置Squid错误提示信息为中文 在/usr/share/

7、squid/errors目录中有Squid的各种语言版本的错误提示信息 Squid的错误提示信息由/etc/squid/errors连接文件决定，默认指向/usr/share/squid/English目录 使用如下命令修改链接文件，使Squid显示中文提示信息 重新启动Squid /etc/init.d/squid restart,Copyright 2006, Superich Information System Co.Ltd.,五、访问控制应用实例（一）,例1：禁止IP地址为00的客户机上网 acl badclientip1 src 00

8、 http_access deny badclientip1 例2：禁止子网的所有客户机上网 acl badclientnet1 src /24 http_access deny badclientnet1 例3：禁止用户访问IP地址为8的网站 acl badsrvip1 dst 8 http_access deny badsrvip1,Copyright 2006, Superich Information System Co.Ltd.,访问控制应用实例（二）,例4：禁止用户访问域名为的网站 acl

9、baddomain1 dstdomain http_access deny baddomain1 例5：禁止用户访问域名含有的网站 acl badurl1 url_regex -i http_access deny badurl1 例6：禁止用户访问含有sex关键字的URL acl badurl2 url_regex -i sex http_access deny badurl2,Copyright 2006, Superich Information System Co.Ltd.,访问控制应用实例（三）,例7：限制IP地址为00客户机并发最大连接数为5 acl cli

10、entip1 src 00 acl conn5 maxconn 5 http_access deny clientip1 conn5 例8：禁止子网内的所有客户机在周一到周五的9:00到18:00上网 acl clientnet1 src / acl worktime time MTWHF 9:00-18:00 http_access deny clientnet1 worktime,Copyright 2006, Superich Information System Co.Ltd.,访问控制应用实例（四）,例9：禁止客户机下载*.mp3、*.exe、*.zip和*.rar类型的文件 acl badfile1 urlpath_regex -i .mp3$ .exe$ .zip$ .rar$ http_access deny badfile1 例10：禁止QQ通过Squid代理上网 acl qq url_regex -i http_access deny qq,Copyright 200