實(shí)驗(yàn)環(huán)境
服務(wù)器角色 |
IP地址 |
squid服務(wù)器 | ens33:192.168.13.184 ens36:192.168.10.1 (僅主機(jī)模式) |
web服務(wù)器 | 192.168.13.151 |
client客戶端 | 192.168.10.10 (僅主機(jī)模式) |
ACL訪問控制
ACL訪問控制方式
●根據(jù)源地址、目標(biāo)URL、文件類型等定義列表
acl 列表名稱 列表類型 列表內(nèi)容...
●針對(duì)已定義的ac列表進(jìn)行限制
http_ access allow或deny 列表名稱...
ACL規(guī)則優(yōu)先級(jí)
當(dāng)一個(gè)用戶訪問代理服務(wù)器時(shí),Squid會(huì)順序匹配Squid中定義
的所有規(guī)則列表,一旦匹配成功,立即停止匹配。當(dāng)所有規(guī)則都
不匹配時(shí),Squid會(huì)使用與最后一條相反的規(guī)則
常用的ACL列表類型
src→源地址
dst→目標(biāo)地址
port→目標(biāo)地址
dstdomain→目標(biāo)域
time→訪問時(shí)間
maxconn→大并發(fā)連接
url_regex→目標(biāo)URL地址
Urlpath_regex→整個(gè)目標(biāo)URL路徑
實(shí)例
基于IP地址限制:
acl hostlocal src IP地址
#hostlocal表示是名稱
http_access deny hostlocal
#拒絕訪問
1.squid服務(wù)器上修改配置文件
[root@squid ~]# vim /etc/squid.conf ##修改配置文件
# should be allowed
acl hostlocal src 192.168.10.10/32 ##控制hostlocal的主機(jī)
# Deny requests to certain unsafe ports
http_access deny hostlocal ##拒絕訪問
[root@squid ~]# service squid reload ##重啟squid服務(wù)
2.在測(cè)試機(jī)上訪問web網(wǎng)頁
從事
成都溫江機(jī)房,服務(wù)器租用,云主機(jī),網(wǎng)頁空間,空間域名,CDN,網(wǎng)絡(luò)代維等服務(wù)。
基于時(shí)間限制:
acl work time WTHMFAS 8:00-12:00
#時(shí)間設(shè)置在工作日 8:30-17:00
http_access deny work
#拒絕訪問
基于目標(biāo)地址(就是web服務(wù)器地址)
#先創(chuàng)建一個(gè)目錄,將拒絕的目標(biāo)地址添加到一個(gè)文件中
mkdir /etc/squid
vim dest.list
#將拒絕的ip地址添加到文件中
192.168.10.111
192.168.10.123
192.168.10.136
#編輯配置文件
vim /etc/squid.conf
#指定先前的地址文件路徑為目標(biāo)
acl destion dst "/etc/squid/dest.list"
#拒絕目標(biāo)訪問
http_access deny destion
Sarg日志分析配置
1,在squid服務(wù)器上安裝sarg
[root@squid ~]# mount.cifs //192.168.100.3/LNMP-C7 /mnt/ ##掛載
Password for root@//192.168.100.3/LNMP-C7:
[root@squid ~]# cd /mnt/
[root@squid mnt]# tar zxvf sarg-2.3.7.tar.gz -C /opt/ ##解壓
[root@squid mnt]# cd /opt/sarg-2.3.7/
[root@squid sarg-2.3.7]# yum install gd gd-devel -y ##安裝gd庫
[root@squid sarg-2.3.7]# ./configure --prefix=/usr/local/sarg \ ##安裝路徑
> --sysconfdir=/etc/sarg \ ##配置文件
> --enable-extraprotection ##開啟安全防護(hù)
[root@squid sarg-2.3.7]# make && make install ##編譯安裝
2,修改sarg配置文件
[root@squid sarg-2.3.7]# vim /etc/sarg/sarg.conf ##修改sarg配置文件
##將下面的模塊修改開啟
access_log /usr/local/squid/var/logs/access.log ##指定訪問日志文件
title "Squid User Access Reports" ##網(wǎng)頁標(biāo)題
output_dir /var/www/html/squid-reports ##報(bào)告輸出目錄
user_ip no ##使用用戶名顯示
exclude_hosts /usr/local/sarg/noreport ##不計(jì)入排序的站點(diǎn)列表文件
topuser_sort_field connect reverse
##top排序中有連接次數(shù),訪問字節(jié),降序排列,升序是normal
overwrite_report no ##同名日志是否覆蓋
mail_utility mailq.postfix ##發(fā)送郵件報(bào)告命令
charset UTF-8 ##使用字符集
weekdays 0-6 ##top排行的時(shí)間周期
hours 0-23 ##top排行的時(shí)間周期
www_document_root /var/www/html ##網(wǎng)頁根目錄
[root@squid ~]# sarg ##生成報(bào)告
SARG: 紀(jì)錄在文件: 91, reading: 100.00%
SARG: 成功的生成報(bào)告在 /var/www/html/squid-reports/2019Dec11-2019Dec12
[root@squid sarg-2.3.7]# cd /var/www/html/squid-reports/ ##切換到html目錄下
[root@squid squid-reports]# ls
2019Dec11-2019Dec12 images index.html
[root@squid squid-reports]# yum install httpd -y ##安裝httpd服務(wù)
[root@squid squid-reports]# systemctl start httpd.service ##開啟服務(wù)
[root@squid squid-reports]# systemctl stop firewalld.service ##關(guān)閉防火墻
[root@squid squid-reports]# setenforce 0
3,用測(cè)試機(jī)訪問網(wǎng)頁查看訪問記錄
##周期性計(jì)劃任務(wù)執(zhí)行每天生成報(bào)告crontab
sarg -l /usr/local/squid/var/logs/access.log -o /var/www/html/squid-reports/ -z -d $(date -d "1 day ago" +%d/%m/%Y)-$(date +%d/%m/%Y)
squid反向代理配置
服務(wù)器角色 |
IP地址 |
squid服務(wù)器 | ens33:192.168.13.184 ens36:192.168.10.1 (僅主機(jī)模式) |
web1服務(wù)器 | 192.168.13.151 |
web2服務(wù)器 | 192.168.13.185 |
client客戶端 | 192.168.10.10 (僅主機(jī)模式) |
1,在web1服務(wù)器上編輯一個(gè)網(wǎng)頁內(nèi)容
[root@web ~]# cd /var/www/html/
[root@web html]# vim index.html ##編輯網(wǎng)頁內(nèi)容
this is test web!
2,在測(cè)試機(jī)上訪問網(wǎng)頁
3,在web2服務(wù)器上編輯一個(gè)網(wǎng)頁內(nèi)容
[root@web2 ~]# systemctl stop firewalld.service ##關(guān)閉防火墻
[root@web2 ~]# setenforce 0
[root@web2 ~]# yum install httpd -y ##安裝httpd服務(wù)
[root@web2 ~]# cd /var/www/html/ ##創(chuàng)建網(wǎng)頁內(nèi)容
[root@web2 html]# vim index.html
this is test2 web!
[root@web2 html]# systemctl start httpd.service
4,在squid服務(wù)上配置反向代理
[root@localhost squid]# vim /etc/squid.conf
# Squid normally listens to port 3128
http_port 192.168.13.184:80 accel vhost vport ##監(jiān)控本機(jī)80端口
cache_peer 192.168.13.151 parent 80 0 no-query originserver round-robin max_conn=30 weight=1 name=web1
##節(jié)點(diǎn)服務(wù)器1大訪問30,權(quán)重1,別名web1
cache_peer 192.168.13.185 parent 80 0 no-query originserver round-robin max_conn=30 weight=1 name=web1
cache_peer_domain web1 web2 www.yun.com ##訪問yun.com匹配web1,web2節(jié)點(diǎn)
[root@localhost squid]# service squid restart ##重啟squid服務(wù)
5,在測(cè)試機(jī)的admin用戶下配置解析域名地址,并設(shè)置代理
謝謝閱讀!!!
另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn,海內(nèi)外云服務(wù)器15元起步,三天無理由+7*72小時(shí)售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì),專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。
本文題目:Squid-ACL訪問控制,Sarg日志分析以及反向代理-創(chuàng)新互聯(lián)
網(wǎng)頁路徑:
http://weahome.cn/article/gspii.html