实训-基于Squid的代理防火墙的构建.doc

实训二 基于Squid的代理防火墙的构建 一、实训目的： ·了解包过滤防火墙的工作原理。 ·掌握利用Squid构建代理型防火墙。 二、实训环境： 安装有VMWare虚拟机的计算机，Red Hat(代理服务器操作系统)，CD-Linux(客户端操作系统)光盘镜像文件。 图2-1实验拓扑 三、实训内容 1、建立虚拟机。 2、配置Squid。 3、配置客户段。 4、结果测试。 四、实训过程 1、建立客户机虚拟机 新建虚拟机 改变虚拟机设置，点击【编辑虚拟机设置】按钮，如图2-2所示。 图2-2 移除软驱、USB、声卡等设备，如图2-3所示。 图2-3 设置网卡和宿主主机网络之间的关系，选择【Host-only】，如图2-4所示。 图2-4设置虚拟机网卡和宿主主机网络之间的关系 设置CD-ROM中ISO镜像文件的位置，如图2-5所示。 图2-5 设置ISO镜像文件 2、建立代理服务器虚拟机 解压下载的文件到当前文件夹。 打开文件夹内的Red Hat Linux.vmx文件，如图2-6所示。 图2-6 打开虚拟机的配置文件 添加网卡，点击图2-5中的【Add】按钮，出现如图2-6所示窗口，点击【Next】按钮。 图2-6硬件类型窗口 设置网卡和宿主主机网络之间的关系，第一块网卡选择桥接，第二块网卡选择【Host-only】，如图2-7所示。 图2-7 设置网络连接类型 设置第一块网卡和宿主主机网络之间的关系，选择【Bridge】启动虚拟机 在命令提示符后输入如下命令 ifconfig –a|more 查看网卡IP地址配置。记录下eth1网络接口卡的IP地址，一般为192.168.133.x。 3、配置客户机虚拟机Linux操作系统的网络地址 启动虚拟机 在命令提示符后输入如下命令 route add netmask gw 192.168.133.x(这个Ip地址为服务器eth1网络接口卡的IP地址)。 4、配置Squid 在命令提示符后输入 vi /etc/squid/squid.conf 注意：vi是linux下的文本编辑器，在你打开文件后，按键盘上的字母键I，就可以输入和修改文件内容了，如果想保存修改过的内容，先按键盘上的ESC键，退出编辑环境，然后输入“:”，就是冒号，在冒号后输入w,就可以保存了。如果要保存退出，在冒号后输入wq,如果不想保存内容，在冒号后输入q!。 修改Squid主配置文件是/etc/squid/squid.conf ，最基本的设置如下。 http_port :8080 cache_mem 64 MB cache_dir ufs /var/spool/squid 4096 16 256 cache_effective_user squid cache_effective_group squid dns_nameservers 01 cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log cache_store_log /var/log/squid/store.log visible_hostname cache_mgr lindenstar@163.com acl all src / http_access allow all 创建Squid使用硬盘缓冲区的目录结构 /usr/sbin/squid –z 修改Squid主配置文件是/etc/squid/squid.conf，按照下面要求在后面添加相应规则 【例1】禁止用户访问域名为的网站。 acl baddomain1 dstdomain -i http_access deny baddomain1 【例2】禁止用户访问域名包含有163.com的网站。 acl badurl1 url_regex -i 163.com http_access deny badurl1 【例3】禁止用户访问域名包含有sex关键字的URL。 acl badurl2 url_regex -i sex http_access deny badurl2 【例4】禁止这个子网里所有的客户机在周一到周五的9:00到18:00上网。 acl clientnet1 src / acl worktime time MTWHF 9:00-18:00 http_access deny clientnet1 worktime 【例5】禁止客户机下载*.mp3、*.exe、*.zip和*.rar类型的文件。 acl badfile1 urlpath_regex -i \.mp3$ \.exe$ \.zip$ \.rar$ http_access deny badfile1 【例6】禁止QQ通过