如何搭建squid反向代理？如何配置ACL访问控制与sarg日志？

前言

一：环境

1.1：环境

• 继承上一个试验的环境：squid传统代理和透明代理
• https://blog.csdn.net/CN_TangZheng/article/details/104226442
• VMware软件
• 一台centos7虚拟机作为squid服务器，添加一个网卡，IP地址为：192.168.79.133和192.168.10.1（仅主机模式）
• 一台centos7虚拟机作为web服务器，IP地址为：192.168.79.134
• 一台win10虚拟机作为client测试机，IP地址为：192.168.10.10（仅主机模式）

1.2：实验目的

• 通过ACL访问控制实现对主机允许和拒绝访问
• 通过sarg部署，每天生成日志文件，方便访问
• 实现squid的反向代理

二：ACL访问控制

2.1：概述

• ACL（Access Control List，访问控制列表），可以针对源地址、目标地址、访问的URL路径、访问的时间等各种条件进行过滤

• ACL访问控制的步骤

  • 使用acl配置项定义需要控制的条件
  • 通过http_access配置项对已定义的列表做允许或拒绝的访问控制

• ACL一些解释

  src　　　　　    　源地址
  dst　　　     　     目标地址
  port　　　   　     目标地址
  dstdomain　     　目标域
  time　　　        　访问时间
  maxconn　　    　最大并发连接
  url_regex　  目标URL地址 
  urlpath_regex　　整个目标URL路径 
  

2.2：典型的访问规则配置

• 设置ACL访问规则

• [root@squid ~]# vim /etc/squid.conf	'//编辑squid配置文件'
  # should be allowed
  acl hostlocal src 192.168.10.10/32  '//监控client客户端的主机（192.168.10.10/32）取名为hostlocal'
  # Deny requests to certain unsafe ports
  http_access deny hostlocal  '//调用hostlocal，设置拒绝访问'
  [root@squid ~]# service squid restart
  

• client客户端尝试访问web端，client客户端先清除浏览器数据

• 

• ACL策略设置成功，已拒绝192.168.10.10主机访问

• 因为我们接下来还需要使用client客户端做测试，所以删除刚刚设置的ACL规则，并重启squid服务

三：sarg日志

3.1：在squid服务器上部署sarg

• [root@squid ~]# cd /mnt/company/
  [root@squid company]# tar zxvf sarg-2.3.7.tar.gz -C /opt	'//解压源码包'
  [root@squid company]# cd /opt/sarg-2.3.7/
  [root@squid sarg-2.3.7]# yum install gd gd-devel -y	'//安装gd库，gcc gcc-c++之前装过了'
  [root@squid sarg-2.3.7]# mkdir /usr/local/sarg	'//创建sarg目录'
  [root@squid sarg-2.3.7]# ./configure --prefix=/usr/local/sarg \		'//指定sarg目录'
  > --sysconfdir=/etc/sarg \	'//配置文件'
  > --enable-extraprotection	'//开启安全防护'
  [root@squid sarg-2.3.7]# make && make install
  

3.2：修改sarg配置文件

• [root@squid sarg-2.3.7]# vim /etc/sarg/sarg.conf 
      '//配置文件中所有的都被注释了，我们需要取消注释一下内容'
  access_log /usr/local/squid/var/logs/access.log  '//指定访问日志文件'
  title "Squid User Access Reports"  '//网页标题'
  output_dir /var/www/html/squid-reports  '//报告输出目录'
  user_ip no  '//使用用户名显示'
  exclude_hosts /usr/local/sarg/noreport  '//不计入排序的站点列表文件'
  topuser_sort_field connect reverse  
  '//top排序中有连接次数，访问字节，降序排列，升序是normal'
  overwrite_report no  '//同名日志是否覆盖'
  mail_utility mailq.postfix  '//发送邮件报告命令'
  charset UTF-8  '//使用字符集'
  weekdays 0-6  '//top排行的时间周期'
  hours 0-23  '//top排行的时间周期'
  www_document_root /var/www/html  '//网页根目录'
  [root@squid sarg-2.3.7]# touch /usr/local/sarg/noreport	'//添加不计入站点文件，添加的域名将不被显示'
  [root@squid sarg-2.3.7]# ln -s /usr/local/sarg/bin/sarg /usr/local/bin/	'//创建sarg命令的软连接'
  [root@squid sarg-2.3.7]# sarg	'//生成报告'
  SARG: 纪录在文件: 123, reading: 100.00%
  SARG: 成功的生成报告在 /var/www/html/squid-reports/2020Feb08-2020Feb08	'//提示报告生成在这个目录，我们进入这个目录查看一下'
  [root@squid sarg-2.3.7]# cd /var/www/html/squid-reports/	'//进入目录'
  [root@squid squid-reports]# ls
  2020Feb08-2020Feb08  images  index.html
  [root@squid squid-reports]# yum install httpd -y	'//安装httpd'
  [root@squid squid-reports]# systemctl start httpd	'//开启httpd'
  [root@squid squid-reports]# systemctl stop firewalld.service 	'//关闭防火墙'
  [root@squid squid-reports]# setenforce 0
  
  

3.3：使用client客户端访问sarg日志

• 查看192.168.79.133/squid-reports或者192.168.10.1/squid-reports

• 

• 执行周期性计划任务，每天生成报告

  [root@squid squid-reports]# sarg -l /usr/local/squid/var/logs/access.log -o /var/www/html/squid-reports/ -z -d $(date -d "1 day ago" +%d/%m/%Y)-$(date +%d/%m/%Y)
  
  

• 再次查看sarg

• 

四：squid反向代理

4.1：添加一台web服务器，并设置主页内容

• 添加一台web2服务器，IP地址为192.168.79.135

• '//原本的web服务器修改一下主页内容用来和新添加的web2服务器区分'
  [root@web ~]# cd /var/www/html
  [root@web html]# vim index.html	'//修改首页内容'
  <h1>this is erbao web!</h1>
  '//web2服务器设置'
  [root@web2 ~]# yum install httpd -y	'//安装httpd服务'
  [root@web2 ~]# vim /var/www/html/index.html	'//修改首页内容'
  <h1>this is sanbao web!</h1>
  [root@web2 ~]# systemctl stop firewalld.service '//关闭防火墙'	
  [root@web2 ~]# setenforce 0
  [root@web2 ~]# systemctl start httpd	'//开启httpd服务'
  [root@web2 ~]# route add -net 192.168.10.0/24 gw 192.168.79.133	'//添加一条静态路由，下一条指向squid服务器（因为squid服务器上有两个网卡）'
  
  

• web和web2访问测试

• 

• 

4.2：squid服务器设置

• 关闭httpd服务并设置防火墙规则

• [root@squid squid-reports]# systemctl stop httpd	'//关闭httpd服务，因为会占用80端口，后面设置代理需要用到80端口'
  [root@squid squid-reports]# systemctl start firewalld.service 
  [root@squid squid-reports]# iptables -F
  [root@squid squid-reports]# iptables -t nat -F
  [root@squid squid-reports]# iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
  
  

• 设置反向代理

• [root@squid squid-reports]# vim /etc/squid.conf
  http_port 192.168.79.133:80 accel vhost vport	'//监控本机80端口'
  cache_peer 192.168.79.134 parent 80 0 no-query originserver round-robin max_conn=30 weight=1 name=web1	'//节点服务器1最大访问30，权重1，别名web1'
  cache_peer 192.168.79.135 parent 80 0 no-query originserver round-robin max_conn=30 weight=1 name=web2	'//节点服务器2最大访问30，权重1，别名web2'
  cache_peer_domain web1 web2 www.yun.com  '//访问www.yun.com匹配web1，web2节点'
  [root@squid squid-reports]# service squid restart	'//重启服务'
  正在关闭 squid...
  正在启动 squid...
  [root@squid squid-reports]# netstat -ntap |grep 80	'//查看80端口是否被squid使用'
  tcp        0      0 192.168.79.133:80       0.0.0.0:*               LISTEN      5197/(squid-1)  
  

4.3：client客户端设置域名解析和squid代理并测试

• 设置域名解析（以administrator用户登录）

• C盘-Windows-system32-drivers-etc-hosts

• 

• 设置浏览器代理：因为使用的是谷歌浏览器，以谷歌浏览器为例

• 

• 

• client客户端访问www.yun.com查看是否代理成功

• 

• 

• 反向代理成功，实验结束