- 1、本文档共4页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
Linux环境中代理服务器的配置与应用.doc
Linux环境中代理服务器的配置与应用
摘要:该文Linux中代理服务器squid为研究对象,分析代理服务器工作原理,阐述squid代理服务器的具体工作过程,给出了基于Linux iptables防火墙和squid代理服务器的透明代理的搭建方法,说明了squid的日志管理的具体步骤。
关键词:代理服务器;透明代理;squid iptables SARG
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)22-0013-03
1 概述
代理服务器(Proxy)是一种主流的网络服务器,其工作主要是代理内部网络用户去取得外部数据。当客户端有因特网数据请求时,代理服务器会帮助用户去向目的地取得用户所需要的数据,客户端向外部要求的数据事实上都是代理服务器帮用户取得的,除此之外代理服务器还有防火墙功能。一般来说代理服务器搭建在整个内部网络的对外的防火墙上
当内网客户端指定了代理为服务器后,客户端想要取得外部数据主要包括以下步骤:1)客户端向代理服务器发送一个数据需求数据包;2)代理服务器收到请求后,先比对这个数据包的来源与预计要前往的目标网站是否可接受,如果目标合法,代理服务器为该请求执行代理服务;3)代理服务器首先检查自己缓存,如果有,直接将数据取出,如果代理服务器没有客户端需要的数据时,代理服务器访问外网去的相关数据;4)最后,由代理服务器将从缓存或外网中取得的数据回送给客户端。
由于所有的内网请求都会经过代理服务器,因此代理服务器经常会用于大型的企业内部,可以对工作时间内员工开展的网络活动进行限制,还可以监测用户的资料要求流向和流量。搭建代理服务器主要有以下优点:1)节省单点对外的网络带宽,降低网络负载;2)以较短的路径取得网络数据,有网络加速的感觉;3)通过上层代理服务器的辅助,达到自动数据分流的效果;4)提供防火墙内部的计算机连上因特网。
2 squid代理服务器
http_access是按规则在配置文件中的先后顺序处理的,并且找到第一个匹配项后,就按照到的规则处理,后继规则就忽略不作对比。如上例中的三条http_access规则,当前locallan的位置是放在最后一位,对于内网的代理请求,squid将先对比dropshopping和dropviolence这两条规则,禁止内网访问购物网站和浏览暴力图片,如果将locallan放在dropshopping和dropviolence这两条规则前面,那么对于内网的请求,squid将根据locallan执行放行动作,后两天规则得到不到执行,因此网络管理员在确定http_access顺序时,须十分谨慎。
3)客户端设置
内网用户在浏览器中设置代理服务器地址,指定端口,以Firefox为例,设置的路径为Preferences-Advanced-Network-Connection Settings-Manual Proxy Configuration,此后用户的访问将转发给代理服务器,代理服务器也需在防火墙中开放相应的端口(默认3128)来提供代理服务。
3 透明代理
为了对内网用户对外网的访问进行全面的控制和代理,可以强制用户使用代理服务器,这也就是透明代理。透明代理是在对外的防火墙服务器NAT上安装squid服务器,在squid中开启transparent功能,在防火墙中做配置,将内网中所有目的端口为80的请求重定向到防火墙上squid的监听端口3128,由此用户不需要再浏览器内做任何设置,代理工作由防火墙上的squid服务器自动完成。
以内网地址为/24,防火墙双网卡,内网地址54/24,外网地址/24为例,访问对象外网的WEB服务器地址为0/24,防火墙使用Linux自带防火墙iptables,搭建透明代理主要包括以下步骤:
2)防火墙的透明代理配置
防火墙作为内网和外网之间的安全组件,所有经过防火墙的数据都接受检查,只有符合安全策略的数据,才能放行。Linux自带防火墙iptables是基于内核内建的Netfilter机制,提供一系列配置命令,可提供高效的包过滤处理。作为内外网之间防火墙,防火墙的filter表的INPUT、OUTPUT、FORWARD三链的默认规则均为阻断DROP,需要放行的数据,另行规定,本文将放行透明代理的iptables配置写成可执行脚本,以便批处理和重复利用,脚本语言中以#作为注释符号,具体如下:
4 squid和SAG日志管理
squid的日志文件目录为/var/log/squid,日志文件包括access.log和cache.log。access.log最为重要,记录HTTP的代理记录,该文件是基于行的,
文档评论(0)