一、代理緩存服務(wù)

? ??????Squid 是 Linux 系統(tǒng)中最為流行的一款高性能代理服務(wù)軟件，通常用作 Web 網(wǎng)站的前置緩存服務(wù)，能夠代替用戶向網(wǎng)站服務(wù)器請(qǐng)求頁面數(shù)據(jù)并進(jìn)行緩存。簡單來說，Squid 服務(wù)程序會(huì)按照收到的用戶請(qǐng)求向網(wǎng)站源服務(wù)器請(qǐng)求頁面、圖片等所需的數(shù)據(jù)，并將服務(wù)器返回的數(shù)據(jù)存儲(chǔ)在運(yùn)行 Squid 服務(wù)程序的服務(wù)器上。當(dāng)有用戶再請(qǐng)求相同的數(shù)據(jù)時(shí)，則可以直接將存儲(chǔ)服務(wù)器本地的數(shù)據(jù)交付給用戶，這樣不僅減少了用戶的等待時(shí)間，還緩解了網(wǎng)站服務(wù)器的負(fù)載壓力。

? ??????Squid 服務(wù)程序具有配置簡單、效率高、功能豐富等特點(diǎn)，它能支持 HTTP、FTP、SSL等多種協(xié)議的數(shù)據(jù)緩存，可以基于訪問控制列表（ACL）和訪問權(quán)限列表（ARL）執(zhí)行內(nèi)容過濾與權(quán)限管理功能，還可以基于多種條件禁止用戶訪問存在威脅或不適宜的網(wǎng)站資源，因此可以保護(hù)企業(yè)內(nèi)網(wǎng)的安全，提升用戶的網(wǎng)絡(luò)體驗(yàn)，幫助節(jié)省網(wǎng)絡(luò)帶寬。

? ??????由于緩存代理服務(wù)不但會(huì)消耗服務(wù)器較多的 CPU 計(jì)算性能、內(nèi)存以及硬盤等硬件資源，同時(shí)還需要較大的網(wǎng)絡(luò)帶寬來保障數(shù)據(jù)的傳輸效率，由此會(huì)造成較大的網(wǎng)絡(luò)帶寬開銷。因此國內(nèi)很多 IDC 或 CDN 服務(wù)提供商會(huì)將緩存代理節(jié)點(diǎn)服務(wù)器放置在二三線城市以降低運(yùn)營成本。

? ??????在使用 Squid 服務(wù)程序?yàn)橛脩籼峁┚彺娲矸?wù)時(shí)，具有正向代理模式和反向代理模式之分。

? ??????所謂正向代理模式，是指讓用戶通過 Squid 服務(wù)程序獲取網(wǎng)站頁面等資源，以及基于訪問控制列表（ACL）功能對(duì)用戶訪問網(wǎng)站行為進(jìn)行限制，在具體的服務(wù)方式上又分為標(biāo)準(zhǔn)代理模式與透明代理模式。標(biāo)準(zhǔn)正向代理模式是把網(wǎng)站數(shù)據(jù)緩存到服務(wù)器本地，提高數(shù)據(jù)資源被再次訪問時(shí)的效率，但是用戶在上網(wǎng)時(shí)必須在瀏覽器等軟件中填寫代理服務(wù)器的 IP 地址與端口號(hào)信息，否則默認(rèn)不使用代理服務(wù)。而透明正向代理模式的作用與標(biāo)準(zhǔn)正向代理模式基本相同，區(qū)別是用戶不需要手動(dòng)指定代理服務(wù)器的 IP 地址與端口號(hào)，所以這種代理服務(wù)對(duì)于用戶來講是相對(duì)透明的。

? ??????使用 Squid 服務(wù)程序提供正向代理服務(wù)的拓?fù)淙鐖D所示。局域網(wǎng)內(nèi)的主機(jī)如果想要訪問外網(wǎng)， 則必須要通過 Squid 服務(wù)器提供的代理才行，這樣當(dāng) Squid 服務(wù)器接收到用戶的指令后會(huì)向外部發(fā)出請(qǐng)求，然后將接收到的數(shù)據(jù)交還給發(fā)出指令的那個(gè)用戶，從而實(shí)現(xiàn)了用戶的代理上網(wǎng)需求。另外，從拓?fù)鋱D中也不難看出，企業(yè)中的主機(jī)要想上網(wǎng)，就必須要經(jīng)過公司的網(wǎng)關(guān)服務(wù)器，既然這是一條流量的必經(jīng)之路，因此企業(yè)一般還會(huì)把 Squid 服務(wù)程序部署到公司服務(wù)器位置，并通過稍后講到的 ACL（訪問控制列表）功能對(duì)企業(yè)內(nèi)員工進(jìn)行上網(wǎng)審計(jì)及限制。

Squid 服務(wù)程序提供正向代理服務(wù)

? ??????反向代理模式是指讓多臺(tái)節(jié)點(diǎn)主機(jī)反向緩存網(wǎng)站數(shù)據(jù)，從而加快用戶訪問速度。因?yàn)橐话銇碇v，網(wǎng)站中會(huì)普遍加載大量的文字、圖片等靜態(tài)資源，而且它們相對(duì)來說都是比較穩(wěn)定的數(shù)據(jù)信息，當(dāng)用戶發(fā)起網(wǎng)站頁面中這些靜態(tài)資源的訪問請(qǐng)求時(shí)，我們可以使用 Squid 服務(wù)程序提供的反向代理模式來進(jìn)行響應(yīng)。而且，如果反向代理服務(wù)器中恰巧已經(jīng)有了用戶要訪問的靜態(tài)資源，則直接將緩存的這些靜態(tài)資源發(fā)送給用戶，這不僅可以加快用戶的網(wǎng)站訪問速度，還在一定程度上降低了網(wǎng)站服務(wù)器的負(fù)載壓力。

? ??????使用 Squid 服務(wù)程序提供反向代理服務(wù)的拓?fù)淙鐖D所示。當(dāng)外網(wǎng)用戶嘗試訪問某個(gè)網(wǎng)站時(shí)，實(shí)際請(qǐng)求是被 Squid 服務(wù)器所處理的。反向代理服務(wù)器會(huì)將緩存好的靜態(tài)資源更快地交付給外網(wǎng)用戶，從而加快了網(wǎng)站頁面被用戶訪問的速度。并且由于網(wǎng)站頁面數(shù)據(jù)中的靜態(tài)資源請(qǐng)求已被 Squid 服務(wù)器處理，因此網(wǎng)站服務(wù)器負(fù)責(zé)動(dòng)態(tài)數(shù)據(jù)查詢就可以了，也進(jìn)而降低了服務(wù)器機(jī)房中網(wǎng)站服務(wù)器的負(fù)載壓力。

Squid 服務(wù)程序提供的反向代理模式

? ? ? ? ? ? ? ? 總結(jié)來說，正向代理模式一般用于企業(yè)局域網(wǎng)之中，讓企業(yè)用戶統(tǒng)一地通過 Squid 服務(wù)訪問互聯(lián)網(wǎng)資源，這樣不僅可以在一定程度上減少公網(wǎng)帶寬的開銷，而且還能對(duì)用戶訪問的網(wǎng)站內(nèi)容進(jìn)行監(jiān)管限制，一旦內(nèi)網(wǎng)用戶訪問的網(wǎng)站內(nèi)容與禁止規(guī)則相匹配，就會(huì)自動(dòng)屏蔽網(wǎng)站。反向代理模式一般是為大中型網(wǎng)站提供緩存服務(wù)的，它把網(wǎng)站中的靜態(tài)資源保存在國內(nèi)多個(gè)節(jié)點(diǎn)機(jī)房中，當(dāng)有用戶發(fā)起靜態(tài)資源的訪問請(qǐng)求時(shí)，可以就近為用戶分配節(jié)點(diǎn)并傳輸資源，因此在大中型網(wǎng)站中得到了普遍應(yīng)用。

二、配置 Squid 服務(wù)程序

? ??????Squid 服務(wù)程序的配置步驟雖然十分簡單，但依然需要為大家交代一下實(shí)驗(yàn)所需的設(shè)備以及相應(yīng)的設(shè)置。首先需要準(zhǔn)備兩臺(tái)虛擬機(jī)，一臺(tái)用作 Squid 服務(wù)器，另外一臺(tái)用作 Squid 客戶端，后者無論是 Windows 系統(tǒng)還是 Linux 系統(tǒng)皆可（本實(shí)驗(yàn)中使用的是 Windows 7 操作系統(tǒng)） 。為了能夠相互通信，需要將這兩臺(tái)虛擬機(jī)都設(shè)置為僅主機(jī)模式（Hostonly） ，然后關(guān)閉其中一臺(tái)虛擬機(jī)的電源，在添加一塊新的網(wǎng)卡后開啟電源，如圖所示。

在其中一臺(tái)虛擬機(jī)中添加一塊新網(wǎng)卡

? ??????需要注意的是，這塊新添加的網(wǎng)卡設(shè)備必須選擇為橋接模式，否則這兩臺(tái)虛擬機(jī)都無法訪問外網(wǎng)。按照表配置這兩臺(tái)虛擬機(jī)的 IP 地址。

? ??????主機(jī)名稱? ? ? ? ? ? ? ? ? ? 操作系統(tǒng)? ? ? ? ? ? ? ? ? ? ? ? IP地址

????????Squid 服務(wù)器 ???????????? RHEL 7????????????????????????????外網(wǎng)卡：橋接 DHCP 模式

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ????????內(nèi)網(wǎng)卡：192.168.10.10

????????Squid 客戶端? ????????????Windows 7? ????????????????????192.168.10.20

? ??????這樣一來，我們就有了一臺(tái)既能訪問內(nèi)網(wǎng)，又能訪問外網(wǎng)的虛擬機(jī)了。一會(huì)兒需要把 Squid 服務(wù)程序部署在這臺(tái)虛擬機(jī)上， 然后讓另外一臺(tái)原本只能訪問內(nèi)網(wǎng)的虛擬機(jī) （即Squid 客戶端）通過 Squid 服務(wù)器進(jìn)行代理上網(wǎng)，從而使得 Squid 客戶端也能訪問外部網(wǎng)站。

? ??????另外，我們還需要檢查 Squid 服務(wù)器是否已經(jīng)可以成功訪問外部網(wǎng)絡(luò)?？梢?ping 一個(gè)外網(wǎng)域名進(jìn)行測試（手動(dòng)按下 Ctrl+c 鍵停止） 。

# ping www.linuxprobe.com

PING www.linuxprobe.com (162.159.211.33) 56(84) bytes of data.

64 bytes from 162.159.211.33: icmp_seq=1 ttl=45 time=166 ms

64 bytes from 162.159.211.33: icmp_seq=2 ttl=45 time=168 ms

64 bytes from 162.159.211.33: icmp_seq=3 ttl=45 time=167 ms

64 bytes from 162.159.211.33: icmp_seq=4 ttl=45 time=166 ms

^C

--- www.linuxprobe.com ping statistics ---

4 packets transmitted, 4 received, 0% packet loss, time 3006ms

rtt min/avg/max/mdev = 166.361/167.039/168.109/0.836 ms

? ??????當(dāng)配置好 Yum 軟件倉庫并掛載好設(shè)備鏡像后，就可以安裝 Squid 服務(wù)程序了。

# yum install squid

Loaded plugins: langpacks, product-id, subscription-manager

This system is not registered to Red Hat Subscription Management. You can use

subscription-manager to register.

rhel | 4.1 kB 00:00

Resolving Dependencies

--> Running transaction check

………………省略部分輸出信息………………

Installed:

squid.x86_64 7:3.3.8-11.el7

Dependency Installed:

libecap.x86_64 0:0.2.0-8.el7

perl-Compress-Raw-Bzip2.x86_64 0:2.061-3.el7

perl-Compress-Raw-Zlib.x86_64 1:2.061-4.el7

perl-DBI.x86_64 0:1.627-4.el7

perl-Data-Dumper.x86_64 0:2.145-3.el7

perl-Digest.noarch 0:1.17-245.el7

perl-Digest-MD5.x86_64 0:2.52-3.el7

perl-IO-Compress.noarch 0:2.061-2.el7

perl-Net-Daemon.noarch 0:0.48-5.el7

perl-PlRPC.noarch 0:0.2020-14.el7

Complete!

? ??????與之前配置過的服務(wù)程序大致類似， Squid 服務(wù)程序的配置文件也是存放在/etct 目錄下一個(gè)以服務(wù)名稱命名的目錄中。表羅列了一些常用的 Squid 服務(wù)程序配置參數(shù)，大家可以預(yù)先瀏覽一下。

? ??????參數(shù)? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?作用

http_port 3128? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 監(jiān)聽的端口號(hào)

cache_mem 64M? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 內(nèi)存緩沖區(qū)的大小

cache_dir ufs /var/spool/squid 2000 16????256????????????硬盤緩沖區(qū)的大小

cache_effective_user squid? ????????????????????????????????????????????設(shè)置緩存的有效用戶

cache_effective_group squid? ????????????????????????????????????????設(shè)置緩存的有效用戶組

dns_nameservers [IP 地址]? ????????????????????????????????????????一般不設(shè)置， 而是用服務(wù)器默認(rèn)的DNS 地址

cache_access_log /var/log/squid/access.log? ? ? ?????訪問日志文件的保存路徑

cache_log /var/log/squid/cache.log? ????????????????????????緩存日志文件的保存路徑

visible_hostname linuxprobe.com? ????????????????????????????設(shè)置 Squid 服務(wù)器的名稱

三、正向代理

? ? ? ? 1.標(biāo)準(zhǔn)正向代理

? ??????Squid 服務(wù)程序軟件包在正確安裝并啟動(dòng)后，默認(rèn)就已經(jīng)可以為用戶提供標(biāo)準(zhǔn)正向代理模式服務(wù)了，而不再需要單獨(dú)修改配置文件或者進(jìn)行其他操作。接下來在運(yùn)行 Windows7 系統(tǒng)的客戶端上面打開任意一款瀏覽器，然后單擊“Internet 選項(xiàng)”命令，如圖所示。

# systemctl restart squid

# systemctl enable squid

ln -s '/usr/lib/systemd/system/squid.service' '/etc/systemd/system/multi-user.

target.wants/squid.service'

單擊瀏覽器中的“Internet 選項(xiàng)”命令

? ??????要想使用 Squid 服務(wù)程序提供的標(biāo)準(zhǔn)正向代理模式服務(wù)，就必須在瀏覽器中填寫服務(wù)器的 IP 地址以及端口號(hào)信息。因此還需要在“連接”選項(xiàng)卡下單擊“局域網(wǎng)設(shè)置”按鈕（見左圖） ，并按照右圖所示填寫代理服務(wù)器的信息，然后保存并退出配置向?qū)А?/p>

在“連接”選項(xiàng)卡中單擊“局域網(wǎng)設(shè)置”按鈕

填寫代理服務(wù)器的IP 地址與端口號(hào)

? ??????現(xiàn)在，用戶可以使用 Squid 服務(wù)程序提供的代理服務(wù)了。托代理服務(wù)器轉(zhuǎn)發(fā)的福，網(wǎng)卡被設(shè)置為僅主機(jī)模式（Hostonly）的虛擬機(jī)也能奇跡般地上網(wǎng)瀏覽了，如圖所示。

虛擬機(jī)可以正常網(wǎng)絡(luò)外網(wǎng)

? ??????如此公開而沒有密碼驗(yàn)證的代理服務(wù)終歸讓人覺得不放心，萬一有人也來“蹭網(wǎng)”該怎么辦呢？Squid 服務(wù)程序默認(rèn)使用 3128、3401 與 4827 等端口號(hào)，因此可以把默認(rèn)使用的端口號(hào)修改為其他值，以便起到一定的保護(hù)作用?，F(xiàn)在大家應(yīng)該都知道，在 Linux 系統(tǒng)配置服務(wù)程序其實(shí)就是修改該服務(wù)的配置文件， 因此直接在/etc 目錄下的 Squid 服務(wù)程序同名目錄中找到配置文件，把 http_port 參數(shù)后面原有的 3128 修改為 10000，即把 Squid 服務(wù)程序的代理服務(wù)端口修改成了新值。最后一定不要忘記重啟服務(wù)程序。

# vim /etc/squid/squid.conf

………………省略部分輸出信息………………

45 #

46 # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

47 #

48

49 # Example rule allowing access from your local networks.

50 # Adapt localnet in the ACL section to list your (internal) IP networks

51 # from where browsing should be allowed

52 http_access allow localnet

53 http_access allow localhost

54

55 # And finally deny all other access to this proxy

56 http_access deny all

57

58 # Squid normally listens to port 3128

59 http_ _port 10000

………………省略部分輸出信息………………

# systemctl restart squid

# systemctl enable squid

ln -s '/usr/lib/systemd/system/squid.service' '/etc/systemd/system/multi-user.

target.wants/squid.service'

? ??????有沒有突然覺得這一幕似曾相識(shí)？在講解基于端口號(hào)來部署 httpd 服務(wù)程序的虛擬主機(jī)功能時(shí)，我們?cè)诰庉嬐?httpd 服務(wù)程序的配置文件并重啟服務(wù)程序后，被系統(tǒng)提示報(bào)錯(cuò)。盡管現(xiàn)在重啟 Squid 服務(wù)程序后系統(tǒng)沒有報(bào)錯(cuò)，但是用戶還不能使用代理服務(wù)。SElinux安全子系統(tǒng)認(rèn)為 Squid 服務(wù)程序使用 3128 端口號(hào)是理所當(dāng)然的，因此在默認(rèn)策略規(guī)則中也是允許的， 但是現(xiàn)在 Squid 服務(wù)程序卻嘗試使用新的 10000 端口號(hào)， 而該端口原本并不屬于 Squid服務(wù)程序應(yīng)該使用的系統(tǒng)資源，因此還需要手動(dòng)把新的端口號(hào)添加到 Squid 服務(wù)程序在SElinux 域的允許列表中。

# semanage port -l | grep squid_port_t

squid_port_t tcp 3128, 3401, 4827

squid_port_t udp 3401, 4827

# semanage port -a -t squid_port_t -p tcp 10000

# semanage port -l | grep squid_port_t

squid_port_t tcp 10000, 3128, 3401, 4827

squid_port_t udp 3401, 4827

? ? ? ? 2.ACL 訪問控制

? ??????在日常工作中， 企業(yè)員工一般是通過公司內(nèi)部的網(wǎng)關(guān)服務(wù)器來訪問互聯(lián)網(wǎng)， 當(dāng)將 Squid服務(wù)程序部署為公司網(wǎng)絡(luò)的網(wǎng)關(guān)服務(wù)器后，Squid 服務(wù)程序的訪問控制列表（ACL）功能將發(fā)揮它的用武之地。它可以根據(jù)指定的策略條件來緩存數(shù)據(jù)或限制用戶的訪問。比如很多公司會(huì)分時(shí)段地禁止員工逛淘寶、打網(wǎng)頁游戲，這些禁止行為都可以通過 Squid 服務(wù)程序的 ACL 功能來實(shí)現(xiàn)。大家如果日后在人員流動(dòng)較大的公司中從事運(yùn)維工作，可以牢記本節(jié)內(nèi)容，在公司網(wǎng)關(guān)服務(wù)器上部署的 Squid 服務(wù)程序中添加某些策略條件，禁止員工訪問某些招聘網(wǎng)站或競爭對(duì)手的網(wǎng)站，沒準(zhǔn)還能有效降低員工的流失率。

? ??????Squid 服務(wù)程序的 ACL 是由多個(gè)策略規(guī)則組成的，它可以根據(jù)指定的策略規(guī)則來允許或限制訪問請(qǐng)求，而且策略規(guī)則的匹配順序與防火墻策略規(guī)則一樣都是由上至下；在一旦形成匹配之后，則立即執(zhí)行相應(yīng)操作并結(jié)束匹配過程。為了避免 ACL 將所有流量全部禁止或全部放行，起不到預(yù)期的訪問控制效果，運(yùn)維人員通常會(huì)在 ACL 的最下面寫上 deny all 或者 allowall 語句，以避免安全隱患。

? ? ? ? 實(shí)驗(yàn)1：允許IP地址為192.168.1.146的客戶端使用服務(wù)器上的Squid服務(wù)程序提借的代理服務(wù)，禁止其余的所有主機(jī)請(qǐng)求。

? ??????下面的配置文件依然是 Squid 服務(wù)程序的配置文件，但是需要留心配置參數(shù)的填寫位置。如果寫的太靠前，則有些 Squid 服務(wù)程序自身的語句都沒有加載完，也會(huì)導(dǎo)致策略無效。當(dāng)然也不用太靠后，大約在 26~32 行的位置就可以，而且采用分行填寫的方式也便于日后的修改。

# vim /etc/squid/squid.conf

1 #

2 # Recommended minimum configuration:

3 #

4

5 # Example rule allowing access from your local networks.

6 # Adapt to list your (internal) IP networks from where browsing

7 # should be allowed

8 acl localnet src 10.0.0.0/8 # RFC1918 possible internal network

9 acl localnet src 172.16.0.0/12 # RFC1918 possible internal network

10 acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

11 acl localnet src fc00::/7 # RFC 4193 local private network range

12 acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) mac hines

13

14 acl SSL_ports port 443

15 acl Safe_ports port 80 # http

16 acl Safe_ports port 21 # ftp

17 acl Safe_ports port 443 # https

18 acl Safe_ports port 70 # gopher

19 acl Safe_ports port 210 # wais

20 acl Safe_ports port 1025-65535 # unregistered ports

21 acl Safe_ports port 280 # http-mgmt

22 acl Safe_ports port 488 # gss-http

23 acl Safe_ports port 591 # filemaker

24 acl Safe_ports port 777 # multiling http

25 acl CONNECT method CONNECT

26 acl client src 192.168.1.145

27 #

28 # Recommended minimum Access Permission configuration:

29 #

30 # Deny requests to certain unsafe ports

31 http_ _access allow client

32 http_ _access deny all

33 http_access deny !Safe_ports

34

………………省略部分輸出信息………………

# systemctl restart squid

? ??????上面的配置參數(shù)其實(shí)很容易理解。首先定義了一個(gè)名為 client 的別名。這其實(shí)類似于DNS 分離解析技術(shù)，當(dāng)時(shí)我們分別定義了兩個(gè)名為 china 與 american 的別名變量，這樣當(dāng)再遇到這個(gè)別名時(shí)也就意味著與之定義的 IP 地址了。保存配置文件后重啟Squid 服務(wù)程序，這時(shí)由于客戶端主機(jī)的 IP 地址不符合我們的允許策略而被禁止使用代理服務(wù)，如圖所示。

使用代理服務(wù)瀏覽網(wǎng)頁失敗

? ? ? ? 實(shí)驗(yàn)2：禁止所有客戶端訪問網(wǎng)址中包含linux關(guān)鍵詞的網(wǎng)站。

? ??????Squid 服務(wù)程序的這種 ACL 功能模式是比較粗獷暴力的，客戶端訪問的任何網(wǎng)址中只要包含了某個(gè)關(guān)鍵詞就會(huì)被立即禁止訪問，但是這并不影響訪問其他網(wǎng)站。

# vim /etc/squid/squid.conf

24 acl Safe_ports port 777 # multiling http

25 acl CONNECT method CONNECT

26 acl deny_ _keyword url_ _regex -i linux

27 #

28 # Recommended minimum Access Permission configuration:

29 #

30 # Deny requests to certain unsafe ports

31 http_ _access deny deny_ _keyword

33 http_access deny !Safe_ports

34

# systemctl restart squid

? ??????建議大家在進(jìn)行實(shí)驗(yàn)之前，一定要先把前面實(shí)驗(yàn)中的代碼清理干凈，以免不同的實(shí)驗(yàn)之間產(chǎn)生沖突。在當(dāng)前的實(shí)驗(yàn)中，我們直接定義了一個(gè)名為 deny_keyword 的別名，然后把所有網(wǎng)址帶有 linux 關(guān)鍵詞的網(wǎng)站請(qǐng)求統(tǒng)統(tǒng)拒絕掉。當(dāng)客戶端分別訪問帶有 linux 關(guān)鍵詞和不帶有 linux 關(guān)鍵詞的網(wǎng)站時(shí)，其結(jié)果如圖所示。

當(dāng)客戶端分別訪問帶有 linux 關(guān)鍵詞和不帶 linux 關(guān)鍵詞的網(wǎng)站時(shí)，所呈現(xiàn)的結(jié)果

? ? ? ? 實(shí)驗(yàn)3：禁止所有客戶端訪問某個(gè)特定的網(wǎng)站。

? ??????在實(shí)驗(yàn) 2 中， 由于我們禁止所有客戶端訪問網(wǎng)址中包含 linux 關(guān)鍵詞的網(wǎng)站， 這將造成一大批網(wǎng)站被誤封，從而影響同事們的正常工作。其實(shí)通過禁止客戶端訪問某個(gè)特定的網(wǎng)址，也就避免了誤封的行為。下面按照如下所示的參數(shù)配置 Squid 服務(wù)程序并重啟，然后進(jìn)行測試，其測試結(jié)果如圖所示。

# vim /etc/squid/squid.conf

24 acl Safe_ports port 777 # multiling http

25 acl CONNECT method CONNECT

26 acl deny_ _url url_ _regex http://www.linuxcool.com

27 #

28 # Recommended minimum Access Permission configuration:

29 #

30 # Deny requests to certain unsafe ports

31 http_ _access deny deny_ _url

33 http_access deny !Safe_ports

34

# systemctl restart squid

無法使用代理服務(wù)訪問這個(gè)特定的網(wǎng)站

????????實(shí)驗(yàn)4：禁止員工在企業(yè)網(wǎng)內(nèi)下載帶有某些后綴的文件。

? ??????在企業(yè)網(wǎng)絡(luò)中，總會(huì)有一小部分人利用企業(yè)網(wǎng)絡(luò)的高速帶寬私自下載資源（比如游戲安裝文件、 電影文件等） ， 從而對(duì)其他同事的工作效率造成影響。 通過禁止所有用戶訪問.rar 或.avi等后綴文件的請(qǐng)求，可以防止他們繼續(xù)下載資源，讓他們知難而退。下面按照如下所示的參數(shù)配置 Squid 服務(wù)程序并重啟，然后進(jìn)行測試，其測試結(jié)果如圖所示。

無法使用代理服務(wù)下載具有指定后綴的文件

24 acl Safe_ports port 777 # multiling http

25 acl CONNECT method CONNECT

26 acl badfile urlpath_ _regex -i \.rar$ \.avi$

27 #

28 # Recommended minimum Access Permission configuration:

29 #

30 # Deny requests to certain unsafe ports

31 http_ _access deny badfile

33 http_access deny !Safe_ports

34

# systemctl restart squid

????????注意：如果這些員工使用迅雷等P2P下載軟件來下載資料的話，就只能使用專業(yè)級(jí)的防火墻來禁止了。

? ? ? ? 3.透明正向代理

? ??????正向代理服務(wù)一般是針對(duì)企業(yè)內(nèi)部的所有員工設(shè)置的，鑒于每位員工所掌握的計(jì)算機(jī)知識(shí)不盡相同，如果您所在的公司不是 IT 行業(yè)的公司，想教會(huì)大家如何使用代理服務(wù)也不是一件容易的事情。再者，無論是什么行業(yè)的公司，公司領(lǐng)導(dǎo)都希望能采取某些措施限制員工在公司內(nèi)的上網(wǎng)行為，這時(shí)就需要用到透明的正向代理模式了。

? ??????“透明”二字指的是讓用戶在沒有感知的情況下使用代理服務(wù)，這樣的好處是一方面不需要用戶手動(dòng)配置代理服務(wù)器的信息，進(jìn)而降低了代理服務(wù)的使用門檻；另一方面也可以更隱秘地監(jiān)督員工的上網(wǎng)行為。

? ??????在透明代理模式中，用戶無須在瀏覽器或其他軟件中配置代理服務(wù)器地址、端口號(hào)等信息，而是由 DHCP 服務(wù)器將網(wǎng)絡(luò)配置信息分配給客戶端主機(jī)。這樣只要用戶打開瀏覽器便會(huì)自動(dòng)使用代理服務(wù)了。如果大家此時(shí)并沒有配置 DHCP 服務(wù)器，可以像如圖所示來手動(dòng)配置客戶端主機(jī)的網(wǎng)卡參數(shù)。

配置 Windows 客戶端的網(wǎng)絡(luò)信息

? ? ? ? ?為了避免實(shí)驗(yàn)之間互相影響，更好地體驗(yàn)透明代理技術(shù)的效果，我們需要把客戶端瀏覽器的代理信息刪除 ，然后再刷新頁面，就會(huì)看到訪問任何網(wǎng)站都失敗了，如圖所示。

停止使用代理服務(wù)后無法成功訪問網(wǎng)站

? ??????既然要讓用戶在無需過多配置系統(tǒng)的情況下就能使用代理服務(wù)，作為運(yùn)維人員就必須提前將網(wǎng)絡(luò)配置信息與數(shù)據(jù)轉(zhuǎn)發(fā)功能配置好。前面已經(jīng)配置好的網(wǎng)絡(luò)參數(shù)，接下來要使用 SNAT 技術(shù)完成數(shù)據(jù)的轉(zhuǎn)發(fā)，讓客戶端主機(jī)將數(shù)據(jù)交給 Squid 代理服務(wù)器，再由后者轉(zhuǎn)發(fā)到外網(wǎng)中。簡單來說，就是讓 Squid 服務(wù)器作為一個(gè)中間人，實(shí)現(xiàn)內(nèi)網(wǎng)客戶端主機(jī)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸。

? ??????由于當(dāng)前還沒有部署 SNAT 功能，因此當(dāng)前內(nèi)網(wǎng)中的客戶端主機(jī)是不能訪問外網(wǎng)的：

C:\Users\linuxprobe>ping www.linuxprobe.com

ping 請(qǐng)求找不到主機(jī) www.linuxprobe.com。請(qǐng)檢查該名稱，然后重試。

? ??????前面已經(jīng)介紹了 iptables 與 firewalld 防火墻理論知識(shí)以及策略規(guī)則的配置方法，大家可以任選其中一款完成接下來的實(shí)驗(yàn)。覺得 firewalld 防火墻實(shí)在太簡單了，因此決定使用純命令行的 iptables 防火墻管理工具來演示部署方法。

? ??????要想讓內(nèi)網(wǎng)中的客戶端主機(jī)能夠訪問外網(wǎng)， 客戶端主機(jī)首先要能獲取到 DNS 地址解析服務(wù)的數(shù)據(jù)，這樣才能在互聯(lián)網(wǎng)中找到對(duì)應(yīng)網(wǎng)站的 IP 地址。下面通過 iptables 命令實(shí)現(xiàn) DNS 地址解析服務(wù) 53 端口的數(shù)據(jù)轉(zhuǎn)發(fā)功能，并且允許 Squid 服務(wù)器轉(zhuǎn)發(fā) IPv4 數(shù)據(jù)包。sysctl -p 命令的作用是讓轉(zhuǎn)發(fā)參數(shù)立即生效：

# iptables -F

# iptables -t nat -A POSTROUTING -p udp --dport 53 -o

eno33554968 -j MASQUERADE

# echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf

# sysctl -p

net.ipv4.ip_forward = 1

? ??????現(xiàn)在回到客戶端主機(jī)，再次 ping 某個(gè)外網(wǎng)地址。此時(shí)可以發(fā)現(xiàn)，雖然不能連通網(wǎng)站，但是此時(shí)已經(jīng)能夠獲取到外網(wǎng) DNS 服務(wù)的域名解析數(shù)據(jù)。 這個(gè)步驟非常重要， 為接下來的 SNAT技術(shù)打下了扎實(shí)的基礎(chǔ)。

C:\Users\linuxprobe>ping www.linuxprobe.com

正在 ping www.linuxprobe.com [116.31.127.233] 具有 32 字節(jié)的數(shù)據(jù)：

請(qǐng)求超時(shí)。

請(qǐng)求超時(shí)。

請(qǐng)求超時(shí)。

請(qǐng)求超時(shí)。

116.31.127.233 的 ping 統(tǒng)計(jì)信息：

數(shù)據(jù)包: 已發(fā)送 = 4，已接收 = 0，丟失 = 4 (100% 丟失)，

? ??????與配置 DNS 和 SNAT 技術(shù)轉(zhuǎn)發(fā)相比，Squid 服務(wù)程序透明代理模式的配置過程就十分簡單了， 只需要在主配置文件中服務(wù)器端口號(hào)后面追加上 transparent 單詞 （意思為 “透明的” ） ，然后把第 62 行的井號(hào)（#）注釋符刪除，設(shè)置緩存的保存路徑就可以了。保存主配置文件并退出后再使用 squid -k parse 命令檢查主配置文件是否有錯(cuò)誤，以及使用 squid -z 命令對(duì) Squid服務(wù)程序的透明代理技術(shù)進(jìn)行初始化。

# vim /etc/squid/squid.conf

………………省略部分輸出信息………………

58 # Squid normally listens to port 3128

59 http_ _port 3128 transparent

60

61 # Uncomment and adjust the following to add a disk cache directory.

62 cache_ _dir ufs /var/spool/squid 100 16 256

63

………………省略部分輸出信息………………

# squid -k parse

2017/04/13 06:40:44| Startup: Initializing Authentication Schemes ...

2017/04/13 06:40:44| Startup: Initialized Authentication Scheme 'basic'

2017/04/13 06:40:44| Startup: Initialized Authentication Scheme 'digest'

2017/04/13 06:40:44| Startup: Initialized Authentication Scheme 'negotiate'

2017/04/13 06:40:44| Startup: Initialized Authentication Scheme 'ntlm'

2017/04/13 06:40:44| Startup: Initialized Authentication.

………………省略部分輸出信息………………

# squid -z

2017/04/13 06:41:26 kid1| Creating missing swap directories

2017/04/13 06:41:26 kid1| /var/spool/squid exists

2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/00

2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/01

2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/02

2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/03

2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/04

2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/05

2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/06

2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/07

2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/08

2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/09

2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/0A

2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/0B

2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/0C

2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/0D

2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/0E

2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/0F

# systemctl restart squid

? ??????在配置妥當(dāng)并重啟 Squid 服務(wù)程序且系統(tǒng)沒有提示報(bào)錯(cuò)信息后， 接下來就可以完成 SNAT數(shù)據(jù)轉(zhuǎn)發(fā)功能了。它的原理其實(shí)很簡單，就是使用 iptables 防火墻管理命令把所有客戶端主機(jī)對(duì)網(wǎng)站 80 端口的請(qǐng)求轉(zhuǎn)發(fā)至 Squid 服務(wù)器本地的 3128 端口上。 SNAT 數(shù)據(jù)轉(zhuǎn)發(fā)功能的具體配置參數(shù)如下。

# iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j

REDIRECT --to-ports 3128

# iptables -t nat -A POSTROUTING -s 192.168.10.0/24 –

o eno33554968 -j SNAT --to 您的橋接網(wǎng)卡 IP 地址

# service iptables save

iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]

? ??????這時(shí)客戶端主機(jī)再刷新一下瀏覽器，就又能訪問網(wǎng)絡(luò)了，如圖所示。

客戶端主機(jī)借助于透明代理技術(shù)成功訪問網(wǎng)絡(luò)

? ??????現(xiàn)在肯定有讀者在想，如果開啟了 SNAT 功能，數(shù)據(jù)不就直接被轉(zhuǎn)發(fā)到外網(wǎng)了么？內(nèi)網(wǎng)中的客戶端主機(jī)是否還依然使用 Squid 服務(wù)程序提供的代理服務(wù)呢？其實(shí)，只要仔細(xì)看一下iptables 防火墻命令就會(huì)發(fā)現(xiàn)，剛才并不是單純地開啟了 SNAT 功能，而是通過把客戶端主機(jī)訪問外網(wǎng) 80 端口的請(qǐng)求轉(zhuǎn)發(fā)到 Squid 服務(wù)器的 3128 端口號(hào)上，從而還是強(qiáng)制客戶端主機(jī)必須通過 Squid 服務(wù)程序來上網(wǎng)。 為了驗(yàn)證這個(gè)說法， 我們編輯 Squid 服務(wù)程序的配置文件，單獨(dú)禁止本書的配套站點(diǎn)（http://www.linuxprobe.com/） ，然后再次刷新客戶端主機(jī)的瀏覽器，發(fā)現(xiàn)網(wǎng)頁又被禁止顯示了，如圖所示。

客戶端主機(jī)再次無法訪問網(wǎng)絡(luò)

? ? ? ? 4.反向代理

? ??????網(wǎng)站頁面是由靜態(tài)資源和動(dòng)態(tài)資源一起組成的，其中靜態(tài)資源包括網(wǎng)站架構(gòu) CSS 文件、大量的圖片、 視頻等數(shù)據(jù)， 這些數(shù)據(jù)相對(duì)于動(dòng)態(tài)資源來說更加穩(wěn)定， 一般不會(huì)經(jīng)常發(fā)生改變。但是，隨著建站技術(shù)的更新?lián)Q代，外加人們不斷提升的審美能力，這些靜態(tài)資源占據(jù)的網(wǎng)站空間越來越多。如果能夠把這些靜態(tài)資源從網(wǎng)站頁面中抽離出去，然后在全國各地部署靜態(tài)資源的緩存節(jié)點(diǎn)，這樣不僅可以提升用戶訪問網(wǎng)站的速度，而且網(wǎng)站源服務(wù)器也會(huì)因?yàn)檫@些緩存節(jié)點(diǎn)的存在而降低負(fù)載。

? ??????反向代理是 Squid 服務(wù)程序的一種重要模式，其原理是把一部分原本向網(wǎng)站源服務(wù)器發(fā)起的用戶請(qǐng)求交給 Squid 服務(wù)器緩存節(jié)點(diǎn)來處理。但是這種技術(shù)的弊端也很明顯，如果有心懷不軌之徒將自己的域名和服務(wù)器反向代理到某個(gè)知名的網(wǎng)站上面，從理論上來講，當(dāng)用戶訪問到這個(gè)域名時(shí)，也會(huì)看到與那個(gè)知名網(wǎng)站一樣的內(nèi)容（有些詐騙網(wǎng)站就是這樣騙取用戶信任的） 。因此，當(dāng)前許多網(wǎng)站都默認(rèn)禁止了反向代理功能。開啟了 CDN（內(nèi)容分發(fā)網(wǎng)絡(luò)）服務(wù)的網(wǎng)站也可以避免這種竊取行為。如果訪問開啟了防護(hù)功能的網(wǎng)站，一般會(huì)看到如圖所示的報(bào)錯(cuò)信息。

訪問網(wǎng)站時(shí)提示報(bào)錯(cuò)信息

? ??????????????使用 Squid 服務(wù)程序來配置反向代理服務(wù)非常簡單。首先找到一個(gè)網(wǎng)站源服務(wù)器的 IP 地址，然后編輯 Squid 服務(wù)程序的主配置文件，把端口號(hào) 3128 修改為網(wǎng)站源服務(wù)器的地址和端口號(hào)，此時(shí)正向解析服務(wù)會(huì)被暫停（它不能與反向代理服務(wù)同時(shí)使用） 。然后按照下面的參數(shù)形式寫入需要反向代理的網(wǎng)站源服務(wù)器的 IP 地址信息，保存退出后重啟 Squid 服務(wù)程序。正常網(wǎng)站使用反向代理服務(wù)的效果如圖 所示。

使用反向代理模式訪問網(wǎng)站

# vim /etc/squid/squid.conf

………………省略部分輸出信息………………

57

58 # Squid normally listens to port 3128

59 http_ _port? :80 vhost

60 cache_ _peer? IP parent 80 0 originserver

61

………………省略部分輸出信息………………

# systemctl restart squid