《linux代理服務(wù)器》由會員分享，可在線閱讀，更多相關(guān)《linux代理服務(wù)器（27頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、*,*,單擊此處編輯母版標(biāo)題樣式,*,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,代理服務(wù)器,本章目標(biāo),代理服務(wù)器的作用,代理服務(wù)器的工作流程,代理服務(wù)器的類型,配置代理服務(wù)器,概述,代理服務(wù)器可以代表其它計算機傳送數(shù)據(jù)包或信息,.,作用,共享網(wǎng)絡(luò),不受公有,IP,的限制,加快訪速度,防止內(nèi)部主機受到攻擊,限制用戶訪問,完善網(wǎng)絡(luò)管理,ACL,訪問控制列表,ARL,訪問權(quán)限列表,什么時候使用代理,SQUID,Squid,是,Linux,下一個緩存,Internet,數(shù)據(jù)的代理服務(wù)器軟件，其接收用戶的下載申請，并自動處理所下載的數(shù)據(jù)。,Squid,可以代理,HTTP,、,FTP,、,

2、GOPHER,、,SSL,和,WAIS,協(xié)議，暫不能代理,POP3,、,NNTP,等協(xié)議。,Squid,可以工作在很多操作系統(tǒng)中，如,AIX,、,Unix,、,FreeBSD,、,HP-UX,、,Irix,、,Linux,、,NetBSD,、,Nextstep,、,SCO,、,Solaris,、,O,S/2,等。,Squid,能夠緩存任何數(shù)據(jù)嗎？不是的。象緩存信用卡帳號、可以遠方執(zhí)行的,scripts,、經(jīng)常變換的主頁等是不合適的也是不安全的。,工作流程,配置,SQUID,安裝包,/etc/squid/squid.conf,squid,配置文件,http_port 192.168.0.11:3

3、128,cache_mem 300MB,cache_dir ufs/var/spool/squid 1000 16 255,cache_effective_user squid,cache_access_log /var/log/squid/access.log,cache_log/var/log/squid/cache.log,visible_hostname,cache_mgr ,ACL,語法,:,acl aclname acltype string,acltype,src/dst srcdomain/dstdomain,time url_regex urlpath_regex,portp

4、roto,proxy_authmaxconn,ACL,規(guī)則,acltype,可以是任一個在,ACL,中定義的名稱；,任何兩個,ACL,條目不能用相同的名字；,每個,ACL,由列表值組成，當(dāng)進行匹配檢測的時候，多個值由邏輯或運算連接，換句話說，任一,ACL,元素的值被匹配，則這個,ACL,元素即被匹配；,并不是所有的,ACL,元素都能使用訪問列表中的全部類型；,不同的,ACL,元素寫在不同行中，,Squid,將這些元素組合在一個列表中。,ARL,http_access,語法,http_access allow/deny !aclname,ARL,規(guī)則,根據(jù)訪問控制列表允許或禁止某一類用戶訪問。如

5、果某個訪問沒有相符合的項目，則默認為應(yīng)用最后一條項目的“非”。比如最后一條為允許，則默認就是禁止。通常應(yīng)該把最后的條目設(shè)為“,deny all”,或“,allow all”,來避免安全性隱患。,ARL,規(guī)則,這些規(guī)則按照它們的排列順序進行匹配檢測，一旦檢測到匹配的規(guī)則，匹配檢測就立即結(jié)束；,訪問列表可以由多條規(guī)則組成；,如果沒有任何規(guī)則與訪問請求匹配，默認動作將與列表中最后一條規(guī)則對應(yīng)；,一個訪問條目中的所有元素將用邏輯與運算連接，如下所示：,http_access Action,聲明,1 AND,聲明,2 AND,聲明,OR,http_access Action,聲明,3,多個,http_a

6、ccess,聲明間用或運算連接，但每個訪問條目的元素間用與運算連接；,表中的規(guī)則總是遵循由上而下的順序。,禁止緩存,acl QUERY urlpath_regex-i cgi-bin?.asp.php.jsp.cgi,acl denyssl urlpath_regex-i https:,cache deny QUERY,cache deny denyssl,高級控制,acl advance arp 00:01:02:1f:2c:3e,acl sina dstdomain ,acl qq dstdomain ,acl conn5 maxconn 5,驗證,控制所有登錄并檢查訪問用戶的合法性,.,

7、讓合法用戶以合法的權(quán)限訪問網(wǎng)絡(luò)資源,外部認證程序,NCSA 2.5,版本開始，,NCSA,認證包含在了,basic,中，而非以前單獨的認證模塊,PAM,LDAP,SMB,SASL,配置驗證,squid.conf,auth_param basic program/usr/lib/squid/ncsa_auth/var/squid/etc/password,該選項指出了認證方式（,basic),、認證程序（,ncsa_auth,）和 密碼文件,auth_param basic children 5,指定認證程序的進程數(shù),auth_param basic realm My Proxy Caching

8、 Domain,瀏覽器顯示輸入用戶,/,密碼對話框時的領(lǐng)域內(nèi)容,auth_param basic credentialsttl 2 hours,基本的認證有效時間,acl normal proxy_auth REQUIRED,http_access normal auth_user,普通用戶需要通過認證才能訪問,Internet,建立帳號文件,htpasswd-C/var/lib/squid/ncsa_auth pg,測試驗證,squid restart,客戶端上配置瀏覽器,訪問任意網(wǎng)站,彈出驗證框,方案一,192.168.0.1-10,為高級用戶，上網(wǎng)沒有限制,192.168.0.11-19

9、2.168.0.200,為普通用戶,普通用戶要求上班時間,9,：,00-18,：,00,可以上網(wǎng)，其余時間不能上網(wǎng)，普通用戶不能下載,exe mp3 wma rm,等結(jié)尾的文件。,普通用戶要求通過身份驗證，高級不用驗證。,acl advance 192.168.0.2-192.168.0.10/32,acl normal src 192.168.0.11-192.168.0.200/32,acl baduser src 192.168.0.100/32,acl media_url urlpath_regex-i.mp3$.rm$.wma$.exe$,acl nettime time MTWHF

10、 9:00-12:00 13:30-18:00,acl all src 0.0.0.0/0,http_access deny baduser,http_access deny normal media_url,http_access deny nomal !netime,http_access allow advance,http_access allow normal,http_access allow all,透明代理,squid,主配文件：,/etc/squid/squid.conf,http_port 3128 transparent/,啟用透明模式,啟用,ipforward,vim/

11、etc/sysctl.conf,配置防火墻,iptables -t nat -A PREROUTING-s 192.168.0.0/24-p tcp -dport=80,-j REDIECT -to-ports 3128,service iptables save,客戶端要正確配置,DNS,網(wǎng)關(guān),SQUID,反向代理,Squid,反向代理單個后臺,WEB,服務(wù)器,WEB,服務(wù)器和反向代理服務(wù)器是兩臺單獨的機器（一般的反向代理應(yīng)該有兩塊網(wǎng)卡分別連接了內(nèi)外部網(wǎng)絡(luò)）,如果,WEB,服務(wù)器和反向代理服務(wù)器是同一臺機器,Squid,反向代理多個后臺,WEB,服務(wù)器,一臺,WEB&,一臺代理,配置代理監(jiān)聽

12、,80,httpd_port 80 vport vhost,配置,WEB,監(jiān)聽,httpd_accel_host ip WEB,的,IP,httpd_accel_port 80,加速服務(wù)的端口，如果后臺,apache,為,80,端口，這里就為,80,端口,cache_peer webip parent 80 0 no-query originserver,WEB,自緩沖加速,數(shù)據(jù)走向：訪問者,=192.168.1.1:80=127.0.0.1:80http_port 80 vport vhost,httpd_accel_host 127.0.0.1,httpd_accel_port 80,測試

13、,把,http,服務(wù)器給停了，通過,SQUID,緩存可以看到頁面,cache_peer 127.0.0.1 parent 80 0 no-query originserver,一臺代理,&,多,WEB,#cache_peer hostname type http-port icp-port options,cache_peer 192.168.1.2 parent 81 0 originserver weight=1 name=web1,cache_peer 192.168.1.3 parent 82 0 originserver weight=1 name=web2,cache_peer 1

14、92.168.1.4 parent 83 0 originserver weight=1 name=web3,-,#cache_peer_domain cache-host domain domain.,cache_peer_domain web1 ,cache_peer_domain web2 ,cache_peer_domain web3 ,-,cache_peer_access web1 allow ok,cache_peer_access web2 allow ok,cache_peer_access web3 allow ok,#cache_peer_access cache-host allow|deny!aclname.,總結(jié),代理原理,代理配置,