1、Linux如何从一个网卡进入服务器 经过squid转发到另外一张网卡,就相当于做一个路由器。有什么好方案么、
。。。。。。直接squid中做NAT不就得了
iptables写策略啊
2、电信的80端口全部封了,现在用URL转发问题太多,有没有其他办法?SQUID反向代理可以么?
SQUID如果想在你这个环境下弄,不还得用SQUID的虚拟主机设置法么。。。
3、如何实现域名跳转到IP加端口但域名不变
如果是LAMP环境,可以修改Apache2的配置,使得不同的域名调用不同的文件夹下的网站,这个和IP及端口无关。具体可参见:基于Ubuntu搭建LAMP多站点Web服务器
4、squid 能反向代理多个SSL吗?(可根据情况加分)
官网说的“一个ssl”指的是 只能用一张数字证书,你可以在squid下建两个虚拟主机内 使用同一个证书,不过一容般一个证书对应一个域名,你的这种情况可以使用一个多域名数字证书,这样就可以用一个公网ip 一个squid来代理两个web服务啦!有什么不明白的可以继续问,我配置过这种应用。
5、squid 可以实现路由功能吗
Squid cache(简称为Squid)是一个流行的自由软件(GNU通用公共许可证)的代理服务器和Web缓存回服务器。Squid有广泛的用答途,从作为网页服务器的前置cache服务器缓存相关请求来提高Web服务器的速度,到为一组人共享网络资源而缓存万维网,域名系统和其他网络搜索,到通过过滤流量帮助网络安全,到局域网通过代理上网。Squid主要设计用于在Unix一类系统运行。
Squid的发展历史相当悠久,功能也相当完善。除了HTTP外,对于FTP与HTTPS的支援也相当好,在3.0 测试版中也支援了IPv6。
6、如何配置squid是他直接访问正式web服务器
代理服务器的功能是代理网络用户取得网络信息,它是网络信息的中转站。随着代理服务器的广泛使用,随之而来的是一系列的安全问题。由于没有对代理服务器的访问控制策略作全面细致的配置,导致用户可以随意地通过代理服务器访问许多色情、反动的非法站点,而这些行为往往又很难追踪,给管理工作带来极大的不便。
Squid是Linux下一个缓存Internet数据的代理服务器软件,其接收用户的下载申请,并自动处理所下载的数据。也就是说,当一个用户想要下载一个主页时,可以向Squid发出一个申请,要Squid代替其进行下载,然后Squid连接所申请网站并请求该主页,接着把该主页传给用户同时保留一个备份。当别的用户申请同样的页面时,Squid把保存的备份立即传给用户,使用户觉得速度相当快。目前,Squid可以代理HTTP、FTP、GOPHER、SSL和WAIS协议,暂不能代理POP3、NNTP等协议。Squid可以工作在很多操作系统中,如AIX、Digital、Unix、FreeBSD、HP-UX、Irix、Linux、NetBSD、Nextstep、SCO、Solaris、OS/2等。
安装和配置Squid Server
通常说来,安装Squid有两种方法:一是从Red Hat Linux 9中获取该软件的RPM包进行;二是安装从Squid的官方站点http://www.squid-cache.org/ 下载该软件的源码进行编译后安装。目前网上最新的稳定版本为squid-2.5.STABLE10,下面以此版本为例对两种安装方法进行介绍。
Squid服务器工作原理示意图
1. RPM包的安装
首先,查看是否已经安装了squid:
#rpm -qa | grep squid
Red Hat Linux9自带了Squid安装软件包,将第一张安装光盘放入光驱后挂装光盘分区:
#mount /mnt/cdrom
然后,进入/mnt/cdrom/Red Hat/RPMS目录:
#cd /mnt/cdrom/Red Hat/RPMS
最后,执行安装:
#rpm -ivh squid-2.5.STABLE1-2.i386.rpm
当然,我们也可以在开始安装系统的过程中安装该软件。
2. 源代码包的安装
从http://www.squid-cache.org/下载squid软件的最新源代码包squid-2.5.STABLE10.tar.gz,然后,按照如下步骤进行安装。
首先,将该文件拷贝到/tmp目录:
#cp squid-2.5.STABLE10.tar.gz /tmp
然后,解开该文件:
#tar xzvf squid-2.5.STABLE10.tar.gz
解开后,在/tmp生成一个新的目录squid-2.5.STABLE10,为了方便使用mv命令,将该目录重命名为squid:
#mv squid-2.5.STABLE10 squid
切换进入squid目录:
#cd squid
接着,执行/configure,可以用./configure --prefix=/directory/you/want指定安装目录,系统默认安装目录为/tmp/squid:
#./configure
最后,分别执行make all、make install:
#make all
#make install
安装结束后,Squid的可执行文件在安装目录的bin子目录下,配置文件在etc子目录下。
Squid软件向用户提供了许多与配置、应用程序和库、日志等相关的文档进行配置和管理,Squid有一个主要的配置文件squid.conf。同时,在Red Hat环境下所有Squid的配置文件都位于/etc/squid子目录下。在该目录当中,系统同时提供了一个默认的配置文件,其名称为squid.conf.default,然而,在实际的应用当中,该默认的配置文件存在某些问题,所以在使用Squid之前,必须首先对该配置文件的有关内容进行修改。
下面介绍squid.conf文件的结构以及一些常用的选项。squid.conf配置文件可以分为13个部分。虽然Squid的配置文件很庞大,该配置文件的规模达到了3000多行。然而,如果只是为一个中小型网络提供代理服务,并且只准备使用一台服务器,那么,配置问题将会变得相对简单,只需要修改配置文件中的几个选项即可满足应用需求。这些几个常用选项分别是:
1. http_port
该选项定义Squid监听HTTPD客户连接请求的端口。默认是3128,如果使用HTTPD加速模式,则为80。可以指定多个端口,但是所有指定的端口都必须在一条命令行上出现,程序才能正确地识别。
2. cache_mem(bytes)
该选项用于指定Squid可以使用的内存的理想值。这部分内存被用来存储以下对象:In-Transit objects(传入的对象)、Hot Objects(热对象,即用户常访问的对象)、Negative-Cached objects(消极存储的对象)。
3. cache_dir Directory-Name Mbytes Level1 Level2
该选项指定Squid用来存储对象的交换空间的大小及其目录结构。可以用多个cache_dir命令来定义多个交换空间,并且这些交换空间可以分布在不同的磁盘分区。“directory”指明了该交换空间的顶级目录。如果想用整个磁盘作为交换空间,那么可以将该目录作为装载点将整个磁盘挂装上去。默认值为/var/spool/squid。Mbytes定义了可用的空间总量。
配置访问控制
使用访问控制特性,可以控制在访问时根据特定的时间间隔进行缓存、访问特定站点或一组站点等。Squid访问控制有两个要素:ACL元素和访问列表。通过使用这些方法,系统管理员可以严格、清晰地定义代理服务器的访问控制策略。
1. ACL元素
该元素定义的语法如下:
acl aclname acltype string1…
acl aclname acltype “file”…
当使用文件时,该文件的格式为每行包含一个条目。其中,acltype可以是任一个在ACL中定义的名称;任何两个ACL元素不能用相同的名字;每个ACL由列表值组成,当进行匹配检测的时候,多个值由逻辑或运算连接,换句话说,任一ACL元素的值被匹配,则这个ACL元素即被匹配; 并不是所有的ACL元素都能使用访问列表中的全部类型;不同的ACL元素写在不同行中,Squid将这些元素组合在一个列表中。
2. http_access访问控制列表
根据访问控制列表允许或禁止某一类用户访问。如果某个访问没有相符合的项目,则默认为应用最后一条项目的“非”。比如最后一条为允许,则默认就是禁止。通常应该把最后的条目设为“deny all”或“allow all”来避免安全性隐患。使用该访问控制列表需要注意如下问题:
● 这些规则按照它们的排列顺序进行匹配检测,一旦检测到匹配的规则,匹配检测就立即结束;
● 访问列表可以由多条规则组成;
● 如果没有任何规则与访问请求匹配,默认动作将与列表中最后一条规则对应;
● 一个访问条目中的所有元素将用逻辑与运算连接,如下所示:
http_access Action 声明1 AND 声明2 AND 声明 OR
http_access Action 声明3
● 多个http_access声明间用或运算连接,但每个访问条目的元素间用与运算连接;
● 列表中的规则总是遵循由上而下的顺序。
3. 使用访问控制
上面详细讲述了ACL元素以及http_access访问控制列表的语法以及使用过程中需要注意的问题,下面给出使用这些访问控制方法的实例。
如果,允许网段10.0.0.124/24以及192.168.10.15/24内的所有客户机访问代理服务器,并且允许在文件/etc/squid/guest列出的客户机访问代理服务器,除此之外的客户机将拒绝访问本地代理服务器。那么具体操作如下:
acl clients src 10.0.0.124/24 192.168.10.15/24
acl guests src “/etc/squid/guest”
acl all src 0.0.0.0/0.0.0.0
http_access allow clients
http_access allow guests
http_access deny all
其中,文件“/etc/squid/guest”中的内容为:
172.168.10.3/24
210.113.24.8/16
10.0.1.24/25
……
如果,允许域名为job.net、gdfq.e.cn的两个域访问本地代理服务器,其他的域都将拒绝访问本地代理服务器。那么具体操作如下:
acl permitted_domain src job.net gdfq.e.cn
acl all src 0.0.0.0/0.0.0.0
http_access allow permitted_domain
http_access deny all
如果,使用正则表达式,拒绝客户机通过代理服务器访问包含有诸如“sexy”等关键字的网站。那么具体操作如下:
acl deny_url url_regex - sexy
http_access deny deny_url
如果,拒绝客户机通过代理服务器访问文件中指定IP或者域名的网站,其中文件/etc/squid/deny_ip中存放有拒绝访问的IP地址,文件/etc/squid/deny_dns中存放有拒绝访问的域名。那么具体操作如下:
acl deny_ip dst “etc/squid/deny_ip”
acl deny_dns dst “etc/squid/deny_dns”
http_access deny deny_ip
http_access deny deny_dns
7、如何让Squid代理完全匿名
squid是所有服务里面最简单的我觉得
以RHEL7为例,它分成了正向代理和反向代理,正向代理里又分“标准正向代理”,“ACL访问控制”以及“透明正向代理”。下面是标准正向代理
16.3 正向代理
16.3.1 标准正向代理
Squid服务程序软件包在正确安装并启动后默认就已经可以为用户提供标准正向代理模式服务了,而不需要单独再去修改配置文件或者其他操作,咱们可以立即在Windows7系统的客户端主机上面打开任意一款浏览器,然后点击Internet选项标签,如图16-4所示:
[root@linuxprobe ~]# systemctl restart squid
[root@linuxprobe ~]# systemctl enable squid
ln -s '/usr/lib/systemd/system/squid.service' '/etc/systemd/system/multi-user.target.wants/squid.service'
用户要想使用Squid服务程序提供的标准正向代理模式服务就必须在浏览器中填写服务器的IP地址以及端口号信息,因此咱们还需要依次点击连接标签后点击局域网设置选项,如图16-5与图16-6所示填写服务器信息后保存退出配置向导。
用户只需要在浏览器中简单的填写配置信息就可以开始享用Squid服务程序提供的代理服务了,此时作为一个网卡为仅主机模式(Hostonly)的虚拟机,开始也奇迹般的能够上网浏览了,这一切都是托代理服务器转发的功劳哦~
如此公开而没有密码验证的代理服务终归觉得不放心,万一有其他人也来“蹭网”咱们的代理服务怎么办呢?Squid服务程序默认的会占用3128、3401与4827等端口号,咱们可以将默认占用的端口号修改成其他值,这样应该能起到一定的保护作用吧~同学们都知道在Linux系统配置服务程序就是在修改该服务的配置文件,因此直接在/etc目录中找到和squid服务程序同名目录中的配置文件,把其中http_port参数后面原有3128修改为10000,这样即是将Squid服务程序的代理服务端口修改成了新值,当然最后不要忘记再重启下服务程序哦~:
[root@linuxprobe ~]# vim /etc/squid/squid.conf
………………省略部分输出信息………………
45 #
46 # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
47 #
48
49 # Example rule allowing access from your local networks.
50 # Adapt localnet in the ACL section to list your (internal) IP networks
51 # from where browsing should be allowed
52 http_access allow localnet
53 http_access allow localhost
54
55 # And finally deny all other access to this proxy
56 http_access deny all
57
58 # Squid normally listens to port 3128
59 http_port 10000
60
http_port 10000
………………省略部分输出信息………………
[root@linuxprobe ~]# systemctl restart squid
[root@linuxprobe ~]# systemctl enable squid
ln -s '/usr/lib/systemd/system/squid.service' '/etc/systemd/system/multi-user.target.wants/squid.service'
同学们有没有突然觉得这一幕似曾相识?在前面的第十章10.5.3小节咱们学习过基于端口号来部署httpd服务程序的虚拟主机功能,当时在编辑完配置文件后重启服务程序时被直接提示报错了,虽然现在重启服务程序并没有直接报错,但其实客户并不能使用代理服务呢,SElinux安全子系统认为Squid服务程序使用3128端口号是理所应当的,默认策略规则中也是允许的,但现在却在尝试使用新的10000端口号,这是原本并不属于Squid服务程序应该使用的系统资源,因此咱们需要手动把新的端口号添加到squid服务程序在SElinux域的允许列表中即可:
[root@linuxprobe ~]# semanage port -l | grep -w -i squid_port_t
squid_port_t tcp 3128, 3401, 4827
squid_port_t udp 3401, 4827
[root@linuxprobe ~]# semanage port -a -t squid_port_t -p tcp 10000
[root@linuxprobe ~]# semanage port -l | grep -w -i squid_port_t
squid_port_t tcp 10000, 3128, 3401, 4827
squid_port_t udp 3401, 4827
更多的图文信息以及其他的代理方式你可以看下http://www.linuxprobe.com/chapter-16.html#161这篇,讲的非常详细,相信能解决你的问题
8、squid做反向代理同时支持Http和https请求,怎么配置
Squid反向代来理服务器位于本地源 WEB 服务器和 Internet 之间 , 组织架构如图 客户端请求访问 WEB 服务时,DNS 将访问的域名解析为 Squid 反向代理服务器的 IP 地址,这样客户端的 URL 请求将被发送到反向代理服务器。 如果 Squid 反向代理服务器中squid做反向代理同时支持Http和https请求,怎么配置
9、squid和iptables工具,架构代理服务器。服务器所有端口转发到3128,在从8080端口出去。
你可以通过iptables的DNAT方式实现。iptables中加一条rule就可实现你的用途。
10、squid透明代理问题 IE输入代理没问题 用iptables做端口转发想实现透明代理就不能上网
你的iptables规则是不是写错了,应版该是:权
iptables -t nat -A PREROUTING -i eth0 -s 192.168.10.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128