科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道搭建Linux下的Squid代理服务器(2)

搭建Linux下的Squid代理服务器(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文介绍Linux下非常著名、常用的Squid代理服务器的使用,并着重讲述如何使用其提供的访问控制策略,来保证代理服务器的合法使用。

作者:skid 来源:赛迪网 2007年9月2日

关键字: 代理服务器 SQUID Linux

  • 评论
  • 分享微博
  • 分享邮件
配置访问控制
  
  使用访问控制特性,可以控制在访问时根据特定的时间间隔进行缓存、访问特定站点或一组站点等。Squid访问控制有两个要素:ACL元素和访问列表。通过使用这些方法,系统管理员可以严格、清晰地定义代理服务器的访问控制策略。
  
  1. ACL元素
  
  该元素定义的语法如下:
  
  acl aclname acltype string1…
  
  acl aclname acltype “file”…
  
  当使用文件时,该文件的格式为每行包含一个条目。其中,acltype可以是任一个在ACL中定义的名称;任何两个ACL元素不能用相同的名字;每个ACL由列表值组成,当进行匹配检测的时候,多个值由逻辑或运算连接,换句话说,任一ACL元素的值被匹配,则这个ACL元素即被匹配; 并不是所有的ACL元素都能使用访问列表中的全部类型;不同的ACL元素写在不同行中,Squid将这些元素组合在一个列表中。
  
  2. http_access访问控制列表
  
  根据访问控制列表允许或禁止某一类用户访问。如果某个访问没有相符合的项目,则默认为应用最后一条项目的“非”。比如最后一条为允许,则默认就是禁止。通常应该把最后的条目设为“deny all”或“allow all”来避免安全性隐患。使用该访问控制列表需要注意如下问题:
  
  ● 这些规则按照它们的排列顺序进行匹配检测,一旦检测到匹配的规则,匹配检测就立即结束;
  
  ● 访问列表可以由多条规则组成;
  
  ● 如果没有任何规则与访问请求匹配,默认动作将与列表中最后一条规则对应;
  
  ● 一个访问条目中的所有元素将用逻辑与运算连接,如下所示:
  
  http_access Action 声明1 AND 声明2 AND 声明 OR
  
  http_access Action 声明3
  
  ● 多个http_access声明间用或运算连接,但每个访问条目的元素间用与运算连接;
  
  ● 列表中的规则总是遵循由上而下的顺序。
  
  3. 使用访问控制
  
  上面详细讲述了ACL元素以及http_access访问控制列表的语法以及使用过程中需要注意的问题,下面给出使用这些访问控制方法的实例。
  
  如果,允许网段10.0.0.124/24以及192.168.10.15/24内的所有客户机访问代理服务器,并且允许在文件/etc/squid/guest列出的客户机访问代理服务器,除此之外的客户机将拒绝访问本地代理服务器。那么具体操作如下:
  
  acl clients src 10.0.0.124/24 192.168.10.15/24
  
  acl guests src “/etc/squid/guest”
  
  acl all src 0.0.0.0/0.0.0.0
  
  http_access allow clients
  
  http_access allow guests
  
  http_access deny all
  
  其中,文件“/etc/squid/guest”中的内容为:
  
  172.168.10.3/24
  
  210.113.24.8/16
  
  10.0.1.24/25
  
  ……
  
  如果,允许域名为job.net、gdfq.edu.cn的两个域访问本地代理服务器,其他的域都将拒绝访问本地代理服务器。那么具体操作如下:
  
  acl permitted_domain src job.net gdfq.edu.cn
  
  acl all src 0.0.0.0/0.0.0.0
  
  http_access allow permitted_domain
  
  http_access deny all
  
  如果,使用正则表达式,拒绝客户机通过代理服务器访问包含有诸如“sexy”等关键字的网站。那么具体操作如下:
  
  acl deny_url url_regex - sexy
  
  http_access deny deny_url
  
  如果,拒绝客户机通过代理服务器访问文件中指定IP或者域名的网站,其中文件/etc/squid/deny_ip中存放有拒绝访问的IP地址,文件/etc/squid/deny_dns中存放有拒绝访问的域名。那么具体操作如下:
  
  acl deny_ip dst “etc/squid/deny_ip”
  
  acl deny_dns dst “etc/squid/deny_dns”
  
  http_access deny deny_ip
  
  http_access deny deny_dns
  
  如果,允许和拒绝指定的用户访问指定的网站,其中,允许客户1访问网站http://www.sina.com.cn,而拒绝客户2访问网站http://www.163.com。那么具体操作如下:
  acl client1 src
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章