rh12409构建Squid代理服务器.pptVIP

* 根据已经定义的ACL列表进行控制，讲解组合其中各项列表使用时用途 之后可以提问学员思考“当配置文件中存在多条访问控制规则时，匹配时按照怎样的顺序？” （翻下一页） * 讲述当squid.conf文件中存在多条访问控制策略时的匹配顺序 若没有做过调整，默认的squid.conf文件中将会拒绝其他客户机使用代理服务，即存在“http_access deny all” * 由于在之前概述部分已经讲解过透明代理服务的含义，这里可以直接从配置开始讲 2个前提条件实际上对应了透明代理的典型应用环境，即作为局域网接入Internet互联网的网关，因客户机的Web访问数据必须通过网关，所以在网关主机中才有机会对这些数据进行处理 * 这里仍使用之前配置普通代理服务时网络环境 * ACL访问控制 访问控制规则的匹配顺序 没有设置任何规则时 —— 将拒绝所有客户端的访问请求 有规则但找不到相匹配的项时 —— 将采用与最后一条规则相反的权限，即如果最后一条规则是allow，那么就拒绝客户端的请求，否则允许该请求 第二十页，共三十四页。 * 配置透明代理 实现透明代理的基本条件 前提： 客户机的Web访问数据要能经过防火墙 代理服务构建在网关（防火墙）主机中 配置要求： 代理服务程序能够支持透明代理 设置防火墙规则，将客户机的Web访问数据自动重定向给代理服务程序处理 第二十一页，共三十四页。 * 配置透明代理 透明代理服务的典型应用环境 Internet 透明代理服务器 局域网PC机 00/24 eth1: /24 eth0: 1/30 9/30 第二十二页，共三十四页。 * 配置透明代理 基本实现步骤 修改squid.conf配置文件，并重新加载该配置 http_port :3128 transparent 添加iptables规则 iptables -t nat -I PREROUTING -i eth1 -s /24 -p tcp --dport 80 -j REDIRECT --to-ports 3128 客户机浏览器 不需要在浏览器中指定代理服务器的地址、端口 验证透明代理的实施效果 第二十三页，共三十四页。 * 配置反向代理 Internet 反向代理服务器 Internet中的客户机 9/30 eth1: /24 eth0: 1/30 1/24 4/24 网站服务器群 第二十四页，共三十四页。 * 配置反向代理 基本实现步骤 修改squid.conf文件，并重新加载该配置 cache_peer Web服务器地址 服务器类型 http端口 icp端口 [可选项] http_port 1:80 vhost cache_peer 1 parent 80 0 originserver weight=5 max-conn=30 cache_peer 2 parent 80 0 originserver weight=5 max-conn=30 cache_peer 3 parent 80 0 originserver weight=5 max-conn=30 cache_peer 4 parent 80 0 originserver weight=1 max-conn=8 第二十五页，共三十四页。 * 配置反向代理 验证反向代理的实施效果 在上游Web服务器（1～4）中开启httpd服务 在Internet中的客户机（9）中访问反向代理服务器主机（1），应能够看到实际由上游Web服务器提供的网页内容 查看反向代理服务器的访问日志信息 [root@localhost ~]# tail -1 /var/log/squid/access.log 1231256531.038 35 9 TCP_MISS/200 2869 GET 1/index.php? - FIRST_UP_PARENT/1 image/gif 第1台上游Web服务器的地址 反向代理服务器的地址 客户机地址 第二十六页，共三十四页。 * 本章总结 缓存代理概述 构建Squid代理服务器 Squid基本配置 配置透明代理 主配置文件squid.conf ACL访问控制 配置反向代理 配置squid实现基本代理功能 第二十七页，共三十四页。 * 实验案例1：搭建透明代理网关服务器 第二十八页，共三十四页。 * Internet Squid透明代理服务器 局域网PC机 0/24 eth1: /24 eth0: /24 Internet中的测试服务器 /24 实验案例1：搭建透明代理网关服务器 第二十九页，共三十四页。 * 实验案例1：搭建透明代理网关服务器 实现思路 准备好客户机及Internet测试服务器 正确配置各主机的网络参