第8 代理服务器与防火墙.pptVIP

Page */47 squid服务器的功能 squid服务具有以下基本功能 提供对HTTP和FTP协议的代理服务 缓存代理的内容，提高客户端访问网站的速度，并能够节约出口网络流量 对客户端地址进行访问控制，限制允许访问squid服务器的客户机 对目标地址进行访问控制，限制客户端允许访问的网站 根据时间进行访问控制，限定客户端可以使用代理服务的时间 Page */47 squid服务器的代理工作机制 squid服务器具有代理和缓存的基本功能 代理服务器 Y 数据缓存 代理进程 远端服务器 客户端 ? N Page */47 squid服务器的安装 squid服务器在RHEL4系统中已经默认安装 # rpm -q squid squid-2.5.STABLE6-3 squid服务的启动状态 squid服务程序在RHEL4中默认不自动启动 需要用chkconfig命令设置squid服务在运行级别3和5中自动启动 # chkconfig --level 35 squid on Page */47 squid服务启动前的准备 确认主机具有完整的域名 squid服务运行需要Linux主机具有完整的域名 # grep `hostname` /etc/hosts squid服务器的初始化 在第一次使用squid服务器之前需要先对squid服务器进行初始化工作 # squid -z 初始的主要作用是在squid服务器的工作目录中建立需要的子目录 # ls /var/spool/squid/ 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F Page */47 squid服务的启动与停止 启动脚本 squid服务的启动脚本名称是“squid” /etc/init.d/squid 启动与停止squid服务 启动squid服务 # service squid start 停止squid服务 # service squid stop 服务端口 squid服务器的缺省服务端口为3128 Page */47 squid服务的配置文件3-1 配置目录 squid具有独立的目录保存配置文件 /etc/squid/ 主配置文件 主配置文件squid.conf保存在配置目录中 /etc/squid/squid.conf squid.conf文件中的配置选项 配置服务端口 http_port 3128 Page */47 squid服务的配置文件3-2 squid.conf文件中的配置选项 缓冲内存数量 cache_mem 8 MB “cache_mem”的值设置为服务器物理内存的三分之一比较合适 工作目录 cache_dir ufs /var/spool/squid 100 16 256 “cache_dir”设置项的缺省值为设置“/var/spool/squid”作为squid的工作路径，“100 16 256”分别表示，目录中最大的容量是100MB，目录中的一级子目录的数量为16个，二级子目录为“256”个 Page */47 squid服务的配置文件3-3 squid.conf文件中的配置选项 访问控制设置 “http_access”用于设置允许或拒绝访问控制对象 http_access allow localhost http_access deny all 访问控制列表（ACL）的定义 “acl”配置项用于设置访问控制列表的内容 acl all src / acl localhost src /55 重新启动squid服务 对squid.conf文件修改后需要重新启动服务程序 # service squid restart Page */47 配置透明代理服务器 配置squid服务器 修改squid.conf配置文件中的设置 # vi /etc/squid/squid.conf //在配置文件中添加以下的配置行 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on 重新启动squid服务器 # service squid reload 设置防火墙策略 # iptables -t nat -A PREROUTING -s /24 \ -p tcp --dport 80 -j REDIRECT --to-ports 3128 “-t nat -A PREROUTING ”表示在nat表的PREROUTING规则链中添加规则 “-s /24”表示数据包的源地址为“/24