可以配置單網卡代理伺服器。
安裝squid代理伺服器之後,需要設置Linux的主機名為FQDN的格式,並且要保證能夠解析出來。
首先運行squid -z進行初始化,然後要修改squid的配置文件:/etc/squid/squid.conf
加入如下條目:
acl mynet 192.168.1.0/24
http_access allow mynet
啟動服務:service squid start
圖形化的工具可以嘗試webmin
Ⅱ linux高手進,squid配置時兩個問題,200分
重新編譯squid. 才能支持這個功能.
# This option is only available if Squid is rebuilt with the
# -DUSE_SQUID_ESI define
Ⅲ 如何在linux上用squid搭建代理伺服器
squid是所有服務裡面最簡單的我覺得
以RHEL7為例,它分成了正向代理和反向代理,正向代理里又分「標准正向代理」,「ACL訪問控制」以及「透明正向代理」。下面是標准正向代理
16.3 正向代理
16.3.1 標准正向代理
Squid服務程序軟體包在正確安裝並啟動後默認就已經可以為用戶提供標准正向代理模式服務了,而不需要單獨再去修改配置文件或者其他操作,咱們可以立即在Windows7系統的客戶端主機上面打開任意一款瀏覽器,然後點擊Internet選項標簽,如圖16-4所示:
[root@linuxprobe ~]# systemctl restart squid
[root@linuxprobe ~]# systemctl enable squid
ln -s '/usr/lib/systemd/system/squid.service' '/etc/systemd/system/multi-user.target.wants/squid.service'
用戶要想使用Squid服務程序提供的標准正向代理模式服務就必須在瀏覽器中填寫伺服器的IP地址以及埠號信息,因此咱們還需要依次點擊連接標簽後點擊區域網設置選項,如圖16-5與圖16-6所示填寫伺服器信息後保存退出配置向導。
圖16-5 點擊連接標簽中的區域網設置按鈕
圖16-6 正確填寫代理伺服器的IP地址與埠號信息
用戶只需要在瀏覽器中簡單的填寫配置信息就可以開始享用Squid服務程序提供的代理服務了,此時作為一個網卡為僅主機模式(Hostonly)的虛擬機,開始也奇跡般的能夠上網瀏覽了,這一切都是托代理伺服器轉發的功勞哦~如圖16-7所示:
圖16-7 正常瀏覽在線書籍學習站點
如此公開而沒有密碼驗證的代理服務終歸覺得不放心,萬一有其他人也來「蹭網」咱們的代理服務怎麼辦呢?Squid服務程序默認的會佔用3128、3401與4827等埠號,咱們可以將默認佔用的埠號修改成其他值,這樣應該能起到一定的保護作用吧~同學們都知道在Linux系統配置服務程序就是在修改該服務的配置文件,因此直接在/etc目錄中找到和squid服務程序同名目錄中的配置文件,把其中http_port參數後面原有3128修改為10000,這樣即是將Squid服務程序的代理服務埠修改成了新值,當然最後不要忘記再重啟下服務程序哦~:
[root@linuxprobe ~]# vim /etc/squid/squid.conf
………………省略部分輸出信息………………
45 #
46 # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
47 #
48
49 # Example rule allowing access from your local networks.
50 # Adapt localnet in the ACL section to list your (internal) IP networks
51 # from where browsing should be allowed
52 http_access allow localnet
53 http_access allow localhost
54
55 # And finally deny all other access to this proxy
56 http_access deny all
57
58 # Squid normally listens to port 3128
59 http_port 10000
60
http_port 10000
………………省略部分輸出信息………………
[root@linuxprobe ~]# systemctl restart squid
[root@linuxprobe ~]# systemctl enable squid
ln -s '/usr/lib/systemd/system/squid.service' '/etc/systemd/system/multi-user.target.wants/squid.service'
同學們有沒有突然覺得這一幕似曾相識?在前面的第十章10.5.3小節咱們學習過基於埠號來部署httpd服務程序的虛擬主機功能,當時在編輯完配置文件後重啟服務程序時被直接提示報錯了,雖然現在重啟服務程序並沒有直接報錯,但其實客戶並不能使用代理服務呢,SElinux安全子系統認為Squid服務程序使用3128埠號是理所應當的,默認策略規則中也是允許的,但現在卻在嘗試使用新的10000埠號,這是原本並不屬於Squid服務程序應該使用的系統資源,因此咱們需要手動把新的埠號添加到squid服務程序在SElinux域的允許列表中即可:
[root@linuxprobe ~]# semanage port -l | grep -w -i squid_port_t
squid_port_t tcp 3128, 3401, 4827
squid_port_t udp 3401, 4827
[root@linuxprobe ~]# semanage port -a -t squid_port_t -p tcp 10000
[root@linuxprobe ~]# semanage port -l | grep -w -i squid_port_t
squid_port_t tcp 10000, 3128, 3401, 4827
squid_port_t udp 3401, 4827
更多的圖文信息以及其他的代理方式你可以看下http://www.linuxprobe.com/chapter-16.html#161這篇,講的非常詳細,相信能解決你的問題
Ⅳ 如何在Linux上用Squid搭建代理伺服器
squid是所有服務裡面最簡單的我覺得
以RHEL7為例,它分成了正向代理和反向代理,正向代理里又分「標准正向代理」,「ACL訪問控制」以及「透明正向代理」。下面是標准正向代理
16.3 正向代理
16.3.1 標准正向代理
Squid服務程序軟體包在正確安裝並啟動後默認就已經可以為用戶提供標准正向代理模式服務了,而不需要單獨再去修改配置文件或者其他操作,咱們可以立即在Windows7系統的客戶端主機上面打開任意一款瀏覽器,然後點擊Internet選項標簽,如圖16-4所示:
[root@linuxprobe ~]# systemctl restart squid
[root@linuxprobe ~]# systemctl enable squid
ln -s '/usr/lib/systemd/system/squid.service' '/etc/systemd/system/multi-user.target.wants/squid.service'
用戶要想使用Squid服務程序提供的標准正向代理模式服務就必須在瀏覽器中填寫伺服器的IP地址以及埠號信息,因此咱們還需要依次點擊連接標簽後點擊區域網設置選項,如圖16-5與圖16-6所示填寫伺服器信息後保存退出配置向導。
用戶只需要在瀏覽器中簡單的填寫配置信息就可以開始享用Squid服務程序提供的代理服務了,此時作為一個網卡為僅主機模式(Hostonly)的虛擬機,開始也奇跡般的能夠上網瀏覽了,這一切都是托代理伺服器轉發的功勞哦~
如此公開而沒有密碼驗證的代理服務終歸覺得不放心,萬一有其他人也來「蹭網」咱們的代理服務怎麼辦呢?Squid服務程序默認的會佔用3128、3401與4827等埠號,咱們可以將默認佔用的埠號修改成其他值,這樣應該能起到一定的保護作用吧~同學們都知道在Linux系統配置服務程序就是在修改該服務的配置文件,因此直接在/etc目錄中找到和squid服務程序同名目錄中的配置文件,把其中http_port參數後面原有3128修改為10000,這樣即是將Squid服務程序的代理服務埠修改成了新值,當然最後不要忘記再重啟下服務程序哦~:
[root@linuxprobe ~]# vim /etc/squid/squid.conf
………………省略部分輸出信息………………
45 #
46 # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
47 #
48
49 # Example rule allowing access from your local networks.
50 # Adapt localnet in the ACL section to list your (internal) IP networks
51 # from where browsing should be allowed
52 http_access allow localnet
53 http_access allow localhost
54
55 # And finally deny all other access to this proxy
56 http_access deny all
57
58 # Squid normally listens to port 3128
59 http_port 10000
60
http_port 10000
………………省略部分輸出信息………………
[root@linuxprobe ~]# systemctl restart squid
[root@linuxprobe ~]# systemctl enable squid
ln -s '/usr/lib/systemd/system/squid.service' '/etc/systemd/system/multi-user.target.wants/squid.service'
同學們有沒有突然覺得這一幕似曾相識?在前面的第十章10.5.3小節咱們學習過基於埠號來部署httpd服務程序的虛擬主機功能,當時在編輯完配置文件後重啟服務程序時被直接提示報錯了,雖然現在重啟服務程序並沒有直接報錯,但其實客戶並不能使用代理服務呢,SElinux安全子系統認為Squid服務程序使用3128埠號是理所應當的,默認策略規則中也是允許的,但現在卻在嘗試使用新的10000埠號,這是原本並不屬於Squid服務程序應該使用的系統資源,因此咱們需要手動把新的埠號添加到squid服務程序在SElinux域的允許列表中即可:
[root@linuxprobe ~]# semanage port -l | grep -w -i squid_port_t
squid_port_t tcp 3128, 3401, 4827
squid_port_t udp 3401, 4827
[root@linuxprobe ~]# semanage port -a -t squid_port_t -p tcp 10000
[root@linuxprobe ~]# semanage port -l | grep -w -i squid_port_t
squid_port_t tcp 10000, 3128, 3401, 4827
squid_port_t udp 3401, 4827
更多的圖文信息以及其他的代理方式你可以看下http://www.linuxprobe.com/chapter-16.html#161這篇,講的非常詳細,相信能解決你的問題
Ⅳ linux squid.conf 配置 綁定ip的數量
我在linux環境下裝好squid後,然後配置了squid.conf文件,但在我執行usr/目錄許可權不對,一般情況下squid啟動是root,但輸出日誌的用戶是squid.conf中 ,bfbhlh
Ⅵ 請教關於linux代理伺服器設置的問題
squid代理和nginx代理(相關配置http://www.360doc.com/content/13/1114/12/7694408_329125489.shtml),這里主要講squid ,因為現在用的比較多
第一步:安裝SQUID軟體
從www.squid-cache.org下載SQUID軟體,以squid-2.4.STABLE1-src.tar.gz為例。
運行「tar zxf squid-2.4.STABLE1-src.tar.gz」,生成「squid-2.4.STABLE1」目錄。因為SQUID的運行需要nobody用戶和nobody組,所以先運行Linuxconf命令查看是否有這個用戶和組,沒有就需要建立。
切換到「squid-2.4.STABLE1」目錄,運行「./configure --prefix=/usr/local/squid」,然後運行「make all」,然後運行「make install」安裝軟體。squid將會被安裝到/usr/local/squid目錄下。
第二步:配置SQUID
1、「chmod 777 /usr/local/squid/logs」,設置logs許可權。這樣才能在logs目錄才產生access.log、cache.log等文件。
2、「/usr/local/squid/bin/squid -z」,手工建立squid的緩存目錄/usr/local/squid/cache。
3、修改SQUID的配置文件squid.conf。SQUID的配置文件,編輯 vi /usr/local/squid/etc/squid.conf文件,找到「http_access deny all」並改為「http_access allow all」。然後SQUID服務就可以啟動了。
4、運行 squid -z 初始化
5、netstat -ntl 查看開放端
6、/usr/local/squid/bin/RunCache」,啟動squid代理服務。
7、service squid start 啟動服務
8、netstat -n |grep "192.168.1" 查看。
第三步、測試代理服務
運行IE瀏覽器,單擊「工具-》Internet選項-》連接-》區域網設置」;在代理伺服器下面的小窗口上面打上對勾,然後在地址窗口中填上SQUID伺服器的IP地址,在埠處填上「3218」(SQUID軟體默認代理埠),確定後退出。然後可以打開瀏覽器試試或者查看logs下的access.log和cache.log,看看是否代理運行正常。
Ⅶ linux下用squid實現代理伺服器的問題。
完全可以
在伺服器上設置FQDN,squid要求使用FQDN。例如server.linux.com,使用hostname命令即可:
hostname server.linux.com
在/etc/hosts文件中寫入上述FQDN的解析條目:
192.168.2.161 server.linux.com
然後運行命令squid -z完成初始化
修改/etc/squid/squid.conf配置文件。該文件絕大部分的配置都不需要修改,只要加入你的訪問控制即可。
可以加入兩行:
acl mynet src 192.168.2.0/255.255.255.0
http_access allow mynet
最後客戶端在瀏覽器上設置代理地址就可以了
Ⅷ linux squid怎樣修改3128埠
1.你先不要管客戶端,首先在本機看telnet
IP
8080,能否連接,如果可以,說明你的防火牆阻擋了8080埠,而3128埠沒有問題。如果不行,那麼說明你的配置更改有問題.可能與其他服務埠沖突,你可以再改其他埠。
http_port
192.168.0.1:3128
最好用作透明代理
httpd_accel_port
80
httpd_accel_wirh_proxy_on
httpd_accel_user_host_header_on
在linux防火牆,將對web的80埠訪問直接指向3128即可。
2。域名解析通常是在服務商提供的界面,將IP直接指向你的域名,過一段時間,同步以後,全球生效了。如果要在本地,直接將自己的DNS伺服器加入IP和域名的對應,所有客戶端DNS指向該DNS伺服器即可。
Ⅸ linux squid怎樣修改3128埠
安裝完成後,可根據以下配置Proxy:
1.基本配置
安裝完成後,接下來要對Squid的運行進行配置。所有項目都在squid.conf中完成。Squid自帶的squid.conf包括非常詳盡的說明,相當於一篇用戶手冊,對配置有任何疑問都可以參照解決。
在這個例子中,代理伺服器同時也是網關,內部網路介面eth0的IP地址為192.168.0.1,外部網路介面eth1的IP地址為202.103.x.x。下面是一個基本的代理所需要配置選項:
http_port 192.168.0.1:3128
默認埠是3128,當然也可以是任何其它埠,只要不與其它服務發生沖突即可。為了安全起見,在前面加上IP地址,Squid就不會監聽外部的網路介面。
下面的配置選項是伺服器管理者的電子郵件,當錯誤發生時,該地址會顯示在錯誤頁面上,便於用戶聯系:
cache_mgr [email protected]
以下這些參數告訴Squid緩存的文件系統、位置和緩存策略:
cache_dir ufs /var/squid
cache_mem 32MB
cache_swap_low 90
cache_swap_high 95
在這里,Squid會將/var/squid目錄作為保存緩存數據的目錄,每次處理的緩存大小是32兆位元組,當緩存空間使用達到95%時,新的內容將取代舊的而不直接添加到目錄中,直到空間又下降到90%才停止這一活動。如果不想Squid緩存任何文件,如某些存儲空間有限的專有系統,可以使用null文件系統(這樣不需要那些緩存策略):
cache_dir null /tmp
下面的幾個關於緩存的策略配置中,較主要的是第一行,即用戶的訪問記錄,可以通過分析它來了解所有用戶訪問的詳盡地址:
cache_access_log /var/squid/access.log
cache_log /var/squid/cache.log
cache_store_log /var/squid/store.log
下面這行配置是在較新版本中出現的參數,告訴Squid在錯誤頁面中顯示的伺服器名稱:
visible_hostname No1.proxy
以下配置告訴Squid如何處理用戶,對每個請求的IP地址作為單獨地址處理:
client_mask 255.255.255.255
如果是普通代理伺服器,以上的配置已經足夠。但是很多Squid都被用來做透明代理。所謂透明代理,就是客戶端不知道有代理伺服器的存在,當然也不需要進行任何與代理有關的設置,從而大大方便了系統管理員。相關的選項有以下幾個:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_user_host_header on
在Linux上,可以用iptables/ipchains直接將對Web埠80的請求直接轉發到Squid埠3128,由Squid接手,而用戶瀏覽器仍然認為它訪問的是對方的80埠。例如以下這條命令:
iptables -t nat -A PREROUTING -s 192.168.0.200/32 -p tcp --dport 80 -j REDIRECT 3128
就是將192.168.0.200的所有針對80埠的訪問重定向到3128埠。
所有設置完成後,關鍵且重要的任務是訪問控制。Squid支持的管理方式很多,使用起來也非常簡單(這也是有人寧願使用不做任何緩存的Squid,也不願意單獨使用iptables的原因)。Squid可以通過IP地址、主機名、MAC地址、用戶/密碼認證等識別用戶,也可以通過域名、域後綴、文件類型、IP地址、埠、URL匹配等控制用戶的訪問,還可以使用時間區間對用戶進行管理,所以訪問控制是Squid配置中的重點。Squid用ACL(Access Control List,訪問控制列表)對訪問類型進行劃分,用http_access deny 或allow進行控制。根據需求首先定義兩組用戶advance和normal,還有代表所有未指明的用戶組all及不允許上網的baser,配置代碼如下:
acl advance 192.168.0.2-192.168.0.10/32
acl normal src 192.168.0.11-192.168.0.200/32
acl baser src 192.168.0.100/32
acl baddst dst
acl all src 0.0.0.0/0
http_access deny baser
http_access allow advance
http_access allow normal
可以看出,ACL的基本格式如下:
acl 列表名稱 控制方式 控制目標
比如acl all src 0.0.0.0/0,其名稱是all,控制方式是src源IP地址,控制目標是0.0.0.0/0的IP地址,即所有未定義的用戶。出於安全考慮,總是在最後禁止這個列表。
下面這個列表代表高級用戶,包括IP地址從192.168.0.2到192.168.0.10的所有計算機:
acl advance 192.168.0.2-192.168.0.20/32
下面這個baser列表只包含一台計算機,其IP地址是192.168.0.100:
acl baser 192.168.0.100/32
ACL寫完後,接下來要對它們分別進行管理,代碼如下:
http_access deny baser
http_access allow advance
http_access allow normal
上面幾行代碼告訴Squid不允許baser組訪問Internet,但advance、normal組允許(此時還沒有指定詳細的許可權)。由於Squid是按照順序讀取規則,會首先禁止baser,然後允許normal。如果將兩條規則順序顛倒,由於baser在normal范圍中,Squid先允許了所有的normal,那麼再禁止baser就不會起作用。
特別要注意的是,Squid將使用allow-deny-allow-deny……這樣的順序套用規則。例如,當一個用戶訪問代理伺服器時,Squid會順序測試Squid中定義的所有規則列表,當所有規則都不匹配時,Squid會使用與最後一條相反的規則。就像上面這個例子,假設有一個用戶的IP地址是192.168.0.201,他試圖通過這台代理伺服器訪問Internet,會發生什麼情況呢?我們會發現,他能夠正常訪問,因為Squid找遍所有訪問列表也沒有和192.168.0.201有關的定義,便開始應用規則,而最後一條是deny,那麼Squid默認的下一條處理規則是allow,所以192.168.0.201反而能夠訪問Internet了,這顯然不是我們希望的。所以在所有squid.conf中,最後一條規則永遠是http_access deny all,而all就是前面定義的「src 0.0.0.0」。
2.高級控制
前面說過,Squid的控制功能非常強大,只要理解Squid的行為方式,基本上就能夠滿足所有的控制要求。下面就一步一步來了解Squid是如何進行控制管理的。
通過IP地址來識別用戶很不可靠,比IP地址更好的是網卡的MAC物理地址。要在Squid中使用MAC地址識別,必須在編譯時加上「--enable-arp-acl」選項,然後可以通過以下的語句來識別用戶:
acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b ...
它直接使用用戶的MAC地址,而MAC地址一般是不易修改的,即使有普通用戶將自己的IP地址改為高級用戶也無法通過,所以這種方式比IP地址可靠得多。
假如不想讓用戶訪問某個網站應該怎麼做呢?可以分為兩種情況:一種是不允許訪問某個站點的某個主機,比如ok的主機是ok.sina.com.cn,而其它的新浪資源卻是允許訪問的,那麼ACL可以這樣寫:
acl sinapage dstdomain ok.sina.com.cn
... ...
http_access deny ok
... ...
由此可以看到,除了ok,其它如、news.sina.com.cn都可以正常訪問。
另一種情況是整個網站都不許訪問,那麼只需要寫出這個網站共有的域名即可,配置如下:
acl qq dstdomain .tcccent.com.cn
注意tcccent前面的「.」,正是它指出以此域名結尾的所有主機都不可訪問,否則就只有tcccent.com.cn這一台主機不能訪問。
如果想禁止對某個IP地址的訪問,如202.118.2.182,可以用dst來控制,代碼如下:
acl badaddr dst 202.118.2.182
當然,這個dst也可以是域名,由Squid查詢DNS伺服器將其轉換為IP。
還有一種比較廣泛的控制是文件類型。如果不希望普通用戶通過代理伺服器下載MP3、AVI等文件,完全可以對他們進行限制,代碼如下:
acl mmxfile urlpath_regex \.mp3$ \.avi$ \.exe$
http_access deny mmxfile
看到regex,很多讀者應該心領神會,因為這條語句使用了標準的規則表達式(又叫正則表達式)。它將匹配所有以.mp3、.avi等結尾的URL請求,還可以用-i參數忽略大小寫,例如以下代碼:
acl mmxfile urlpath_regex -i \.mp3$
這樣,無論是.mp3還是.MP3都會被拒絕。當然,-i參數適用於任何可能需要區分大小寫的地方,如前面的域名控制。
如果想讓普通用戶只在上班時間可以上網,而且是每周的工作日,用Squid應當如何處理呢?看看下面的ACL定義:
acl worktime time MTWHF 8:30-12:00 14:00-18:00
http_access deny !worktime
首先定義允許上網的時間是每周工作日(星期一至星期五)的上午和下午的固定時段,然後用http_access 定義所有不在這個時間段內的請求都是不允許的。
或者為了保證高級用戶的帶寬,希望每個用戶的並發連接不能太多,以免影響他人,也可以通過Squid控制,代碼如下:
acl conncount maxconn 3
http_access deny conncount normal
http_access allow normal
這樣,普通用戶在某個固定時刻只能同時發起三個連接,從第四個開始,連接將被拒絕。
總之,Squid的ACL配置非常靈活、強大,更多的控制方式可以參考squid.conf.default。
3.總結
下面把整個squid.conf總結一下:
# 伺服器配置
http_port 192.168.0.1:3128
cache_mgr [email protected]
cache_dir null /tmp
cache_access_log /var/squid/access.log
cache_log /var/squid/cache.log
cache_store_log /var/squid/store.log
visible_hostname No1.proxy
client_mask 255.255.255.255
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_user_host_header on
# 用戶分類
acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b ...
acl normal proxy_auth REQUIED
acl all src 0.0.0.0
# 行為分類
acl mmxfile urlpath_regex \.mp3$ \.avi$ \.exe$
acl conncount maxconn 3
acl worktime time MTWHF 8:30-12:00 14:00-18:00
acl sinapage dstdomain ok.sina.com.cn
acl qq dstdomain .tcccent.com.cn
# 處理
http_access allow advance
http_access deny conncount normal
http_access deny !worktime
http_access deny mmxfile
http_access deny sinapage
http_access deny qq
http_access allow normal
配置後的狀況是,advance組可以不受任何限制地訪問Internet,而normal組則只能在工作時間上網,而且不能下載多媒體文件,不能訪問某些特定的站點,而且發送請求不能超過3個。
通過本文的介紹,它可以了解Squid的基本能力。當然,它的能力遠不止此,可以建立強大的代理伺服器陣列,可以幫助本地的Web伺服器提高性能,可以提高本地網路的安全性等。要想發揮它的功效,還需要進一步控制。
參考資料:
如果對您有幫助,請記得採納為滿意答案,謝謝!祝您生活愉快!
vae la