四、构建透明代理服务器(代理服务器作为网关服务器)
透明代理的要求:
- 要求代理服务器是网关服务器。
- 网关服务器至少双网卡,开启路由转发功能。
- 防火墙iptables/firewalld 设置重定向规则。
实验环境:
Squid服务器:内网ens33:192.168.72.70/24 ,外网ens36:12.0.0.254/24
Web 服务器:12.0.0.12/24
客户机:192.168.72.50/24
网络异常,图片无法展示
|
实验步骤:
-----1、Squid服务器配置----- [root@yuji ~]# vim /etc/squid.conf #编辑配置文件 ...... http_access allow all http_access deny all #--60行--修改添加提供内网服务的IP地址,和支持透明代理选项 transparent http_port 192.168.72.70:3128 transparent #填写对接客户端网段的网卡地址,即内网卡地址。监听自己内网网卡的地址,并支持透明代理选项 transparent [root@yuji ~]# systemctl restart squid #重启squid服务 #开启路由转发,实现本机中不同网段的地址转发 [root@yuji ~]# echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf [root@yuji ~]# sysctl -p #修改防火墙规则,设置重定向规则 [root@yuji ~]# iptables -F [root@yuji ~]# iptables -t nat -F #用于转发http协议。80端口重定向到3128端口,由代理服务器进行请求 [root@yuji ~]# iptables -t nat -A PREROUTING -i ens33 -s 192.168.72.0/24 -p tcp --dport 80 -j REDIRECT --to 3128 #用于转发https协议。443端口重定向到3128端口,由代理服务器进行请求 [root@yuji ~]# iptables -t nat -A PREROUTING -i ens33 -s 192.168.72.0/24 -p tcp --dport 443 -j REDIRECT --to 3128 #接受tcp协议的3128端口传入的数据 [root@yuji ~]# iptables -A INPUT -p tcp --dport 3128 -j ACCEPT -----2、Web服务器配置----- [root@web1 ~]# systemctl stop firewalld [root@web1 ~]# setenforce 0 [root@web1 ~]# yum install -y httpd [root@web1 ~]# systemctl start httpd [root@web1 ~]# echo "tt is a girl" > /var/www/html/index.html -----3、客户机配置,修改网关地址,浏览器不使用代理----- 网关地址修改为代理服务器的内网网卡地址:192.168.72.70 关闭客户机的浏览器之前设置的代理服务器的功能后,访问 http://12.0.0.12 #查看 Squid 访问日志的新增记录 [root@yuji ~]# tail -f /usr/local/squid/var/logs/access.log 1654584356.658 231 192.168.72.50 TCP_MISS/200 290 GET http://detec tportal.firefox.com/success.txt - ORIGINAL_DST/34.107.221.82 text/pla in #第一次访问未命中缓存 1654584383.003 0 192.168.72.50 TCP_MEM_HIT/200 341 GET http://12 .0.0.12/ - HIER_NONE/- text/html #第二次访问命中缓存 #查看 Web 访问日志的新增记录,显示的是由代理服务器的外网口代替客户机在访问 [root@web1 ~]# tail -f /var/log/httpd/access_log 复制代码
3.1 Squid服务器配置:
网络异常,图片无法展示
|
网络异常,图片无法展示
|
网络异常,图片无法展示
|
网络异常,图片无法展示
|
3.2 Web服务器安装apache:
网络异常,图片无法展示
|
网络异常,图片无法展示
|
3.3 客户机配置,修改网关地址,浏览器不使用代理:
网络异常,图片无法展示
|
关闭客户机的浏览器之前设置的代理服务器的功能后,访问 http://12.0.0.12。
网络异常,图片无法展示
|
网络异常,图片无法展示
|
3.4 查看 Squid 访问日志的新增记录:
网络异常,图片无法展示
|
3.5 查看 Web 访问日志的新增记录:
显示的是由代理服务器的外网口代替客户机在访问。
客户机命中缓存后,web服务器不生成访问记录,因为是由缓存服务器直接返回结果,不会向web服务器发送请求。
网络异常,图片无法展示
|
五、ACL访问控制
在配置文件 squid.conf 中,ACL 访问控制通过以下两个步骤来实现:
(1)使用 acl 配置项定义需要控制的条件;
(2)通过 http_access 配置项对已定义的列表做“允许”或“拒绝”访问的控制。
定义访问控制列表:
格式: acl 列表名称 列表类型 列表内容 … 复制代码
5.1 ACL配置说明
1、编辑配置文件,定义控制访问列表 [root@yuji ~]#vim /etc/squid.conf ...... acl localhost src 192.168.72.50/32 #客户机源地址为 192.168.72.50 acl MYLAN src 192.168.72.0/24 192.168.1.0/24 #客户机网段 acl destinationhost dst 192.168.72.60/32 #目标地址为 192.168.72.60 acl MC20 maxconn 20 #最大并发连接 20 acl PORT port 21 #目标端口 21 acl DMBLOCK dstdomain .qq.com #目标域,匹配域内所有站点 acl BURL url_regex -i ^rtsp:// ^emule:// #以 rtsp://、emule:// 开头的目标 URL地址,-i表示忽略大小写。匹配正则表达式 acl PURL urlpath_regex -i .mp3$ .mp4$ .rmvb$ #以 .mp3、.mp4、.rmvb 结尾的目标 URL 路径 acl WORKTIME time MTWHF 08:30-17:30 #时间为周一至周五 8:30~17:30,“MTWHF”为周一至周五的英文首字母 http_access deny(或allow) destinationhost #注意,如果是拒绝列表,需要放在http_access allow all前面 2、重启服务 [root@yuji ~]#systemctl restart squid 3、使用客户机192.168.72.50进行访问 浏览器访问Web服务器 http://192.168.72.60,显示被访问被拒绝。 ----------------- # 启动对象列表管理 #-------------- #如果需要管理的地址很多,可以将多个地址先写在一个文件里 #启动对象列表管理 mkdir /etc/squid vim /etc/squid/dest.list #写一个地址管理列表 192.168.72.50 192.168.1.0/24 #编辑配置文件 vim /etc/squid.conf ...... acl destinationhost dst "/etc/squid/dest.list" #调用指定文件中的列表内容 ...... http_access deny(或allow) destinationhost #注意,如果是拒绝列表,需要放在http_access allow all前面 复制代码
5.2 ACL访问控制操作实例
1、编辑配置文件,定义控制访问列表 [root@yuji ~]# vim /etc/squid.conf ...... 25 acl CONNECT method CONNECT 26 acl myhost src 192.168.72.50/32 #定义列表名称为myhost,源址为192.168.72.50 27 28 http_access deny myhost #拒绝myhost列表中的地址进行访问 #注意,拒绝列表需要放在http_access allow all前面 2、重启squid服务 [root@yuji ~]# systemctl restart squid 3、使用客户机192.168.72.50进行访问 浏览器访问Web服务器 http://12.0.0.12,显示被访问被拒绝。 复制代码
网络异常,图片无法展示
|
网络异常,图片无法展示
|
使用客户机192.168.72.50,浏览器访问Web服务器 http://12.0.0.12,显示被访问被拒绝。
网络异常,图片无法展示
|
