codecamp

Linux Squid透明代理+ACL访问控制+日志分析

防伪码:仰天大笑出门去,我辈岂是蓬蒿人

     第一章 Squid透明代理+ACL访问控制+日志分析

前言:搭建代理服务器可以提高上网打开网页的速度,可以对非法网站进行屏蔽,限制文件下载,以及查看员工访问internet的情况,包括上网的地址,用户,时间等,是企业网络管理的常用手段。

代理服务器分为传统代理和透明代理,传统代理适用于浏览internet,需要在浏览器上手工指定服务器地址和端口,不是很方便,但是可以隐藏本机真实的ip地址,而且为下载工具使用多个代理可以规避服务器的并发连接显示。透明代理适用于共享上网网关,不需要指定服务器地址和端口,无需额外的设置即可上网,在实际工作中透明代理较多。

一、构建透明代理服务器

1、实验拓扑:

2、 实验步骤

1)在服务器A上安装Squid代理服务器软件(挂载光盘,解压缩)

2) 编译安装

--prefix=/usr/local/squid   //安装目录

--sysconfdir=/etc   //单独将配置文件修改到其他目录

--enable-arp-acl   //可以在规则中设置直接通过客户端mac进行管理,防止客户端使用ip欺骗攻击

--enable-linux-netfilter   //使用内核过滤

--enable-linux-tproxy   //支持透明模式

--enable-async-io=值   //异步i/o,提升存储性能

--enable-err-language=”Simplify_Chinese”   //错误信息的显示语言

--enable-poll   //使用Poll()模式,提升性能

--enable-underscore   //允许url中有下划线

--enable-gnuregex   //使用GNU正则表达式

3) 创建链接文件,创建用户和组

4) 使用squid服务脚本(为了能够方便启动停止服务)

Vim  squid,内容如下:

;;

asac(补充)

设置权限,并添加为系统服务。

5) 修改配置文件

Vi  /etc/squid.conf

主要修改有以下几条配置项,有的配置项需要修改,而有的配置项需要添加。

        http_port 192.168.1.1:3128 transparent                                    squid的默认监听端口tcp 修改  

       cache_effective_group squid                    squid的运行组    添加

        cache_effective_user squid                      squid的运行用户 添加

        visible_hostname yangwen                      当前系统的主机名  添加

        cache_dir ufs /usr/local/squid/var/cache/squid 100 16 256          去掉“#”

6) 在防火墙上添加允许策略

7) 启动squid服务

执行:Squid  -k  parse检测语法是否正确出现很多内容,一般不用理会,没有提示错误就可以。

执行squid  -z 初始化缓存目录,此步必须要做,执行完之后稍微等一会。

执行squid启动服务也可以使用service  squid  start启动服务,第一次启动最好用squid启动。

8) 在服务器B上搭建网站,并开启入站规则

9)在服务器A上开启路由转发

临时:echo "1" > /proc/sys/net/ipv4/ip_forward

永久:vim /etc/sysctl.conf 

修改net.ipv4.ip_forward = 1

然后sysctl  -p激活

10)配置防火墙重定向,并service iptables save保存

11)在客户端上访问网站(配置网关)

12)验证透明代理

在服务器B上查看的访问者是代理服务器172.16.16.1,说明实验正确。

上面的这个实验属于正向代理

二、 设置ACL访问控制

1、 禁止下载扩展名为:.mp4,avi视频

2、 超过4mb大小的文件不进行缓存,禁止下载超过10mb的文件

3、 设置网站黑名单,禁止访问位于.qq.com,.lol.com的网站

4、 允许在正常上班时间(周一到周五8:30-17:30)上网

5、 默认策略设置为禁止任何客户机使用代理服务器。

 Vim  /etc/squid.conf

acl safeport port 80 443

acl mylan src 192.168.1.0/24

acl mediafile urlpath regex -i \.mp4$ \.avi$

acl dmblock dstdomain "/etc/dmbokck.list"

acl working time MWTHF 08:30-17:30

http_access allow mylan working safeport !mediafile !dmblock

http_access deny all

reply_body_max_size 10 MB

maximum_object_size 4096 KB

在客户端上测试下载文件,超过10mb就禁止下载

(在服务器B的网站目录下新建a.data(15mb)和b.data(5mb)

查看如图:

在客户端上分别下载

三、 squid日志分析

1、 安装gd库

2、 安装sarg

--enable-extraprotection  添加额外的安全保护

3、 配置

修改以下内容,不用添加,修改即可

1)制定squid的访问日志文件

2)网页标题

3)sarg报告的输出目录

4)使用用户名显示,根据连接次数,访问字节数,采用降序排序,升序将reverse换成normal。

于用户访问记录,连接次数按降序排列。

5)当有日期报告存在,是否覆盖报告

6)发送邮件报告

7)制定不计入排序的站点列表文件

8)使用的字符集为国际编码

9)制定top排序的星期周期和时间周期,0位周日

10)网页根目录

4、 运行Touch  /usr/local/sarg/noreport(别忘了service httpd start)

5、 验证

6、 计划任务

vim /usr/local/sarg/daiy.sh

crontab -e

每天0点运行统计昨天的内容

Chmod  +x /usr/local/sarg/daily.sh

Chkconfig crond on

谢谢观看,真心的希望能帮到您!


本文出自 “一盏烛光” 博客,谢绝转载!

Linux rsync远程同步
Linux Nginx网站服务
温馨提示
下载编程狮App,免费阅读超1000+编程语言教程
取消
确定
目录

关闭

MIP.setData({ 'pageTheme' : getCookie('pageTheme') || {'day':true, 'night':false}, 'pageFontSize' : getCookie('pageFontSize') || 20 }); MIP.watch('pageTheme', function(newValue){ setCookie('pageTheme', JSON.stringify(newValue)) }); MIP.watch('pageFontSize', function(newValue){ setCookie('pageFontSize', newValue) }); function setCookie(name, value){ var days = 1; var exp = new Date(); exp.setTime(exp.getTime() + days*24*60*60*1000); document.cookie = name + '=' + value + ';expires=' + exp.toUTCString(); } function getCookie(name){ var reg = new RegExp('(^| )' + name + '=([^;]*)(;|$)'); return document.cookie.match(reg) ? JSON.parse(document.cookie.match(reg)[2]) : null; }