1.キャッシングプロキシの概要
1.Webプロキシの動作メカニズム
Webページオブジェクトをキャッシュして、繰り返されるリクエストを減らします
2.エージェントの基本的なタイプ
従来のプロキシ:インターネットに適用可能で、サーバーを明確に指定する必要があります
透過プロキシ:クライアントはプロキシサーバーのアドレスとポートを指定する必要はありませんが、デフォルトのルートとファイアウォールポリシーを介してWebアクセスをプロキシサーバーにリダイレクトします
3.プロキシを使用する利点
Webアクセス速度を向上させる
クライアントの実際のIPアドレスを非表示にする
2.伝統的な代理店を構築する方法
ホスト | IPアドレス | メインソフトウェア |
---|---|---|
イカプロキシサーバー | 192.168.100.11 | いか |
Webサイトサービス | 192.168.100.12 | httpd |
win10 | 192.168.100.13 | ブラウザ |
1.依存関係をインストールします
yum install gcc gcc-c++ -y
2.Squidサービスをコンパイルしてインストールします
tar xf squid-3.5.23.tar.gz
cd squid-3.5.23/
./configure \
--prefix=/usr/local/squid \
--sysconfdir=/etc \ #指定配置文件位置
--enable-arp-acl \ #支持acl访问控制列表
--enable-linux-netfilter \ #打开网络筛选
--enable-linux-tproxy \ #支持透明代理
--enable-async-io=100 \ #io优化
--enable-err-language="Simplify_Chinese" \ #报错显示简体中文
--enable-underscore \ #支持下划线
--enable-poll \ #默认使用poll模式,开启epoll模式时提升性能
--enable-gnuregex #支持正则表达式
make && make install
ln -s /usr/local/squid/sbin/* /usr/local/sbin/
useradd -M -s /sbin/nologin squid
chown -R squid.squid /usr/local/squid/var/
3.構成ファイルを変更して、起動項目を最適化します
vim /etc/squid.conf
http_access allow all #56行添加此项,表示允许所有IP访问
#http_access deny all #注释原有的
http_port 3128
cache_effective_user squid #添加指定用户squid
cache_effective_group squid #添加指定组squid
coredump_dir /usr/local/squid/var/cache/squid
squid -k parse //检查配置文件语法
squid -z //初始化缓存目录
squid //启动服务
netstat -ntap |grep 3128 #检测是否启动成功
4.サービス管理にサービスを追加します
cd /etc/init.d/
vim squid
#!/bin/bash
#chkconfig: 2345 90 25
PID="/usr/local/squid/var/run/squid.pid"
CONF="/etc/squid.conf"
CMD="/usr/local/squid/sbin/squid"
case "$1" in
start)
netstat -natp | grep squid &> /dev/null
if [ $? -eq 0 ]
then
echo "squid is running"
else
echo "正在启动 squid..."
$CMD
fi
;;
stop)
$CMD -k kill &> /dev/null
rm -rf $PID &> /dev/null
;;
status)
[ -f $PID ] &> /dev/null
if [ $? -eq 0 ]
then
netstat -natp | grep squid
else
echo "squid is not running"
fi
;;
restart)
$0 stop &> /dev/null
echo "正在关闭 squid..."
$0 start &> /dev/null
echo "正在启动 squid..."
;;
reload)
$CMD -k reconfigure
;;
check)
$CMD -k parse
;;
*)
echo "用法:$0{start|stop|status|reload|check|restart}"
;;
esac
chmod +x /etc/init.d/squid
chkconfig --add squid
chkconfig --level 35 squid on
5.従来のプロキシを構成します
vim /etc/squid.conf
http_port 3128
cache_effective_user squid
cache_effective_group squid
cache_mem 64 MB #缓存空间大小定义为64 MB
reply_body_max_size 10 MB #允许下载的最大文件大小,默认0表示不进行限制
maximum_object_size 4096 KB #允许保存到缓存空间的最大对象的大小,以KB为单位,超过限制不会缓存,直接转到web端
[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -F -t nat
[root@localhost ~]# setenforce 0
[root@localhost ~]# iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
[root@localhost ~]# systemctl restart squid
6.Webサーバーにhttpdサービスをインストールします
systemctl stop firewalld.service
yum -y install httpd
systemctl start httpd
#クライアントのWebサイトにアクセスして、通常アクセスされているかどうかを確認します
#ログファイルの内容を確認します。現時点では、訪問先のIPは引き続きクライアント自身のIPです。
[root @ localhost〜] #cat / var / log / httpd / access_log
7. squidプロキシを設定し、ログファイルで訪問IPの変更を確認します
注:(1)最初にクライアントのブラウザーキャッシュをクリアします
(2)プロキシを手動で設定します-プロキシサーバーの使用を有効にします-プロキシアドレスとポートを設定します-保存します
(3)再度apacheサーバーにアクセスして、ログファイルの変更を確認します。このときに表示されるアクセスIPがSquidプロキシサーバーアドレスになります。
3.透過プロキシ
在搭建的传统代理基础上做如下修改:
Squid 配置双网卡内网ens33 外网ens36
ホスト | IPアドレス |
---|---|
イカプロキシサーバー | 192.168.50.11(内部ネットワーク)、192.168.100.11(外部ネットワーク) |
Webサイトサービス | 192.168.100.12(外部ネットワーク) |
試験機 | 192.168.50.13(イントラネット) |
テストマシンがプロキシをハングしてWebサイトにアクセスする
Webサーバー
route add -net 192.168.50.0/24 gw 192.168.100.11
イカプロキシサーバー
vi /etc/sysctl.conf
net.ipv4.ip_forward=1 #开启路由功能
vim /etc/squid.conf
http_port 192.168.50.11:3128 transparent
service squid reload
iptables -t nat -I PREROUTING -i ens37 -s 192.168.50.0/24 -p tcp --dport 80 -j REDIRECT --to 3128
iptables -t nat -I PREROUTING -i ens37 -s 192.168.50.0/24 -p tcp --dport 443 -j REDIRECT --to 3128
iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
プロキシなしでWebにアクセスする
4.ACL制御
Squidは、強力なプロキシ制御メカニズムを提供します。ACL(アクセス制御リスト、アクセス制御リスト)を合理的に設定して制限することにより、送信元アドレス、宛先アドレス、アクセスURLパス、アクセス時間などのさまざまな条件に基づいてフィルタリングできます。
1.構成ファイルを変更します
vim /etc/squid.conf
acl localhost src 192.168.50.13/32
http_access deny localhost
重启服务
systemctl restart squid
もう一度アクセスすると、次のインターフェイスが表示されます
その他の制限
vi /etc/squid.conf
acl localhost src 192.168.100.13/32 #针对固定源IP地址
acl MYLAN src 192.168.100.0/24 #针对某一网段
acl destionhost dst 192.168.175.130/32 #针对具体的目标IP地址
acl MC20 maxconn 20 #访问的最大并发连接数量
acl BURL url_regex -i ^rtsp:// ^emule:// #正则表达式的访问协议
acl PURL urlpath_regex -i \.mp3$ \.mp4$ \.rmvb$ #访问的文件资源末尾
acl work time MTWHFAC 08:30-17:30 #访问时间
http_access deny destionhost #拒绝列表(注意置顶)
オブジェクトリスト管理を有効にする
mkdir /etc/squid #启用对象列表管理
vim dest.list
192.168.175.150
192.168.175.140
192.168.175.130 #目标web
vim /etc/squid.conf
acl destionhost dst "/etc/squid/dest.list"
http_access deny destionhost #拒绝列表(注意置顶)
5.イカログ分析
1.sargソフトウェアをコンパイルしてインストールします
[root@server1 ~]# yum install -y gd gd-devel
mkdir /usr/local/sarg
tar zxvf sarg-2.3.7.tar.gz -C /opt/
cd /opt/sarg-2.3.7
./configure --prefix=/usr/local/sarg \
--sysconfdir=/etc/sarg \
--enable-extraprotection #额外安全防护
make && make install
2.構成ファイルを変更します
cd /etc/sarg/
vim sarg.conf
7/ access_log /usr/local/squid/var/logs/access.log //指定访问日志文件
25/ title "Squid User Access Reports" //网页标题
120/ output_dir /var/www/html/squid-reports //报告输出目录
178/ user_ip no //使用用户名显示
206/ exclude_hosts /usr/local/sarg/noreport //不计入排序的站点列表文件
184/ topuser_sort_field connect reverse //top排序中有连接次数、访问字节、降序排列 升序是normal
(注释掉)190/ user_sort_field reverse //用户访问记录 连接次数、访问字节按降序排序
257/ overwrite_report no //同名日志是否覆盖
289/ mail_utility mailq.postfix //发送邮件报告命令
434/ charset UTF-8 //使用字符集
518/ weekdays 0-6 //top排行的星期周期
525/ hours 0-23 //top排行的时间周期
633/ www_document_root /var/www/html //网页根目录
3.テストを変更します
#添加不计入站点文件,添加的域名将不被显示在排序中
touch /usr/local/sarg/noreport
ln -s /usr/local/sarg/bin/sarg /usr/local/bin/
[root@localhost sarg]# sarg
SARG: 纪录在文件: 242, reading: 100.00%
SARG: 成功的生成报告在 /var/www/html/squid-reports/2018Jul21-2018Jul21
yum install httpd -y
systemctl start httpd
systemctl stop firewalld
http://192.168.175.128/squid-reports
周期性计划
crontab -e
*/1 * * * * /usr/local/bin/sarg 每分钟生成一次,用于测试
#周期性计划任务执行每天生成报告crontab
sarg -l /usr/local/squid/var/logs/access.log -o /var/www/html/squid-reports/ -z -d $(date -d "1 day ago" +%d/%m/%Y)-$(date +%d/%m/%Y)
次に、クライアントを使用してhttp://192.168.100.11/squid-reportsにアクセスします
6.イカプロキシ
実際、リバースプロキシは、クライアントがプロキシを認識していません。クライアントは構成なしでアクセスできるため、リバースプロキシサーバーに要求を送信するだけで済み、リバースプロキシサーバーはターゲットサーバーを選択してデータを取得します。クライアントに戻るとき、リバースプロキシサーバーとターゲットサーバーは外部サーバーであり、プロキシサーバーのアドレスを公開し、実サーバーのIPアドレスを非表示にします。
httpdはポート80を占有するため、squidサーバーのhttpdサービスを閉じる必要があります
1はじめに
伝統と透明性はクライアントのためのものであり、Squidを使用してWebサービスへのアクセスを高速化するか、従業員のインターネット動作に対する社内の制限を設けています。リバースプロキシモードのSquidのサービスオブジェクトはWebサーバーです。Squidは実際のWebサーバーのIPを非表示にし、顧客アクセスを高速化し、負荷分散機能を備えています。
リバースプロキシの設定を完了するには、次の3つの手順が必要です。
- DNS解決
- SQUID構成
- ポート転送
2.プロジェクト計画
1つのイカサーバー
2つのWebサーバー、web1:192.168.100.12 web2:192.168.100.131
つのwin10クライアント
3.Webサーバーの展開
//安装httpd
yum install httpd -y
//设置网页内容
echo "this is test02 web" > /var/www/html/index.html #web1换一下数字
route add -net 192.168.50.0/24 gw 192.168.100.11 #静态路由
//开启web服务
systemctl start httpd
4.Squidプロキシ構成
//设置防火墙规则
systemctl start firewalld
iptables -L #查看防火墙规则
iptables -F
iptables -t nat -F
iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
vim /etc/squid.conf
#去掉透明代理设置反向代理
http_port 192.168.100.11:80 accel vhost vport
#节点服务器1最大访问30,权重1,别名web1
cache_peer 192.168.100.12 parent 80 0 no-query originserver round-robin max_conn=30 weight=1 name=web1
#节点服务器2最大访问30,权重1,别名web2
cache_peer 192.168.100.13 parent 80 0 no-query originserver round-robin max_conn=30 weight=1 name=web2
#访问yun.com匹配web1,web2节点
cache_peer_domain web1 web2 www.yun.com
service squid restart
5.クライアントにホストを設定します
vi / etc / hosts
192.168.100.11 www.yun.com
www.yun.comにアクセス
2ページが交互に