当前位置: 开发笔记 > 后端 > 正文

Centos下Squid配置透明代理服务器

作者：艾你如斯i | 来源：互联网 | 2017-07-07 12:36

一、基本配置Squid代理服务器配置两个网卡WAN:eth0:10.10.10.200需要配置网关、DNS，允许上网LAN:eth1:172.168.1.254不用配置网关、DNSClinet:172.16.1.2/24需要配

一、基本配置

Squid代理服务器配置两个网卡

WAN:eth0:10.10.10.200 需要配置网关、DNS，允许上网

LAN:eth1:172.168.1.254 不用配置网关、DNS

Clinet:172.16.1.2/24 需要配置网关、DNS

squid（代理）端口：3128

系统	主机名	服务器IP	客户端IP
RedHat 5.4	proxy	Eth0:10.10.10.200	172.16.1.0
		Eth1:172.16.1.254

需求：

1. 禁止单IP上网

2. 禁止网段10-50上网

3. 禁止所有网段访问IP:172.16.1.200(MySQL)

4. 禁止访问：www.youku.com网站

5. 禁止访问包含关键字163网址

6. 禁止下载*.mp3$ *.exe$ *.zip$ *.rar$ 类型的文件

7. 禁止网段10-50客户端在周一到周五的09:00-18:00上班时间上网

8. 禁止端口号上网

9. 限制用户并发连接数为：5

1、配置IP

WAN配置：

[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE="eth0"

BOOTPROTO="static"

IPADDR=10.10.10.200

NETWASK=255.255.255.0

GATEWAY=10.10.10.1

:wq 保存

LAN配置：

[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth1

DEVICE="eth1"

BOOTPROTO="static"

IPADDR=172.16.1.254

NETWASK=255.255.255.0

:wq 保存

[root@localhost ~]# service network restart

2、配置DNS文件

[root@localhost ~]# vim /etc/resolv.conf

nameserver 202.96.134.133

nameserver 202.96.128.166

:wq 保存

3、配置主机名：proxy

[root@localhost ~]# vim /etc/sysconfig/network

NETWORKING=yes

HOSTNAME=proxy

:wq 保存

[root@localhost ~]# hostname proxy

断开终端，再次连接，这样就需要重新启动系统：ctrl+d

[root@proxy ~]# hostname

proxy

4、SELinux关闭

SELinux关闭

永久方法 ? 需要重启服务器

修改/etc/selinux/config文件中设置SELINUX=disabled ，然后重启服务器。

临时方法 ? 设置系统参数

使用命令setenforce 0

5、查看路由表、测试是否能上网

[root@proxy ~]# route -n

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

172.16.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1

10.10.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1

0.0.0.0 10.10.10.1 0.0.0.0 UG 0 0 0 eth0

[root@proxy ~]# ping www.baidu.com

PING www.a.shifen.com (220.181.111.148) 56(84) bytes of data.

64 bytes from 220.181.111.148: icmp_seq=1 ttl=53 time=42.0 ms

64 bytes from 220.181.111.148: icmp_seq=2 ttl=53 time=39.6 ms

二、安装squid

[root@proxy ~]# yum install squid -y

[root@proxy ~]# rpm -ql squid |less #查看安装路径

/etc/rc.d/init.d/squid

[root@proxy ~]# grep -v "^#" /etc/squid/squid.conf |grep -v "^$" #查看squid配置文件需要修改重要部分

[root@proxy ~]# ll /var/spool/squid/

total 0

[root@proxy ~]# cp /etc/squid/squid.conf /etc/squid/squid.confbak #备份

1、编辑squid配置文件

[root@proxy ~]# vim /etc/squid/squid.conf

在http_access deny all上面一行插入http_access allow all

637 http_access allow all #设置允许所有客户端访问

638 http_access deny all

2995 # TAG: visible_hostname

修改为

2995 visible_hostname 172.16.1.254 #设置squid可见主机名

:wq

[root@proxy ~]# service squid start #启动

init_cache_dir /var/spool/squid... Starting squid: . [ OK ]

[root@proxy ~]# chkconfig squid on #设置开机启动

[root@proxy ~]# ll /var/spool/squid/

[root@proxy ~]# netstat -anp |grep :3128 #查看squid端口号

tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 5967/(squid)

2、客户端配置网关和DNS

3、开启路由转发功能

[root@proxy ~]# vim /etc/sysctl.conf

7 net.ipv4.ip_forward = 0 #0为关闭

修改为

7 net.ipv4.ip_forward = 1 #1为开启路由

:wq 保存

[root@localhost ~]# sysctl -p #命令查看

net.ipv4.ip_forward = 1

net.ipv4.conf.default.rp_filter = 1

net.ipv4.conf.default.accept_source_route = 0

kernel.sysrq = 0

kernel.core_uses_pid = 1

net.ipv4.tcp_synCOOKIEs = 1

kernel.msgmnb = 65536

kernel.msgmax = 65536

kernel.shmmax = 4294967295

kernel.shmall = 268435456

4、配置Iptables防火墙

[root@proxy ~]# setup #进入图形界面，打开防火墙为：Enabled

[root@proxy ~]# service iptables start #开启

[root@proxy ~]# chkconfig iptables on #开机启动

[root@proxy ~]# iptables -L #列出规则

[root@proxy ~]# iptables -F #清空规则

[root@proxy ~]# iptables -t nat -L #用详细方式列出 nat 表所有链的所有规则

[root@proxy ~]# iptables -t filter -L #用详细方式列出 filter 表所有链的所有规则

编辑iptables配置文件，开启防火墙3128端口(后面配置squid的端口号3128)

[root@proxy ~]# vim /etc/sysconfig/iptables

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3128 -j ACCEPT

[root@proxy ~]# service iptables restart #重启

开启外网eth0，DNS的NAT网络地址转换功能

[root@proxy ~]# iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -p udp --dport 53 -o eth0 -j MASQUERADE

[root@proxy ~]# iptables -t nat ?Lvn #用详细方式列出 nat 表所有链的所有规则，只显示IP地址和端口号

设置端口转发功能，把内网eth1的80端口转发到外网eth0的3128端口

[root@proxy ~]# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128

[root@proxy ~]# iptables -t nat -Lvn

Chain PREROUTING (policy ACCEPT 104 packets, 12110 bytes)

pkts bytes target prot opt in out source destination

2 96 REDIRECT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT 10 packets, 752 bytes)

pkts bytes target prot opt in out source destination

5 307 MASQUERADE udp -- * eth0 172.16.1.0/24 0.0.0.0/0 udp dpt:53

Chain OUTPUT (policy ACCEPT 1 packets, 284 bytes)

pkts bytes target prot opt in out source destination

[root@proxy ~]# service iptables save #保存规则

Saving firewall rules to /etc/sysconfig/iptables: [ OK ]

5、客户端IE浏览访问：http://www.baidu.com

6、编辑squid配置文件

[root@proxy ~]# vim /etc/squid/squid.conf

924 http_port 3128

修改为

924 http_port 3128 transparent #监听3128端口接收到的http请求

1576 # cache_mem 8 MB

修改为

1576 cache_mem 256 MB #高速缓存

1783 # cache_dir ufs /var/spool/squid 100 16 256

修改为

1783 cache_dir ufs /var/spool/squid 10240 16 256 #设置硬盘缓存大小为10G，目录为/var/spool/squid,一级子目录16个，二级子目录256个

1945 access_log /var/log/squid/access.log squid #设置访问日志

1961 cache_log /var/log/squid/cache.log #设置缓存日志

1971 cache_store_log /var/log/squid/store.log #设置网页缓存日志

2941 # cache_mgr root

修改为

2941 cache_mgr yanghw85@163.com #设置管理员邮箱地址

:wq 保存

[root@proxy ~]# service squid restart

Stopping squid: [ OK ]

Starting squid: . [ OK ]

7、测试正常上网：

8、查看日志：

[root@proxy ~]# tail -f /var/log/squid/access.log

9、手动添加访问控制策略（注意：策略要合理的配置应用，避免冲突）

[root@proxy ~]# vim /etc/squid/squid.conf

配置策略在590行开始

在下面添加以下策略内容：

#####################禁止单IP上网###############################

acl badip src 172.16.1.2/32

http_access deny badip

#####################禁止网段10-50上网##########################

acl badip src 172.16.1.10-172.16.1.50/32

http_access deny badip

#####################禁止所有网段访问IP:172.16.1.200(MySQL)#######

acl MySQL dst 172.16.2.100

http_access deny MySQL

#####################禁止访问：www.youku.com网站################

acl web dstdomain -i www.baidu.com

http_access deny web

#####################禁止访问包含关键字163网址##################

acl web163 url_regex -i 163

http_access deny web163

###########禁止下载*.mp3$ *.exe$ *.zip$ *.rar$ *.doc$类型的文件########

acl webxiazai urlpath_regex -i \.mp3$ \.exe$ \.zip$ \.rar$ \.doc$

http_access deny webxiazai

#####禁止网段10-50客户端在周一到周五的09:00-18:00上班时间上网######

acl badip src 172.16.1.10-172.16.1.50/32

acl worktime time MTWHF 09:00-18:00

http_access deny badip worktime

########################限制443端口上网 ############################

acl http port 443

http_access deny http

########################限制用户并发连接数为：5 ######################

acl client15 src 172.16.1.15

acl conn5 maxconn 5

http_access deny client15 conn5

:wq

[root@proxy ~]# service squid restart #重启

Stopping squid: [ OK ]

Starting squid: . [ OK ]

配置完成！现在内部网段172.16.1.0/24内客户机可以通过代理服务器172.16.1.254访问外网。

推荐阅读

python
Python高级之网络编程及TCP/IP协议簇的OSI七层模型介绍

本文介绍了Python高级网络编程及TCP/IP协议簇的OSI七层模型。首先简单介绍了七层模型的各层及其封装解封装过程。然后讨论了程序开发中涉及到的网络通信内容，主要包括TCP协议、UDP协议和IPV4协议。最后还介绍了socket编程、聊天socket实现、远程执行命令、上传文件、socketserver及其源码分析等相关内容。 ... [详细]

蜡笔小新 2023-12-14 18:16:27
server
rhel5.5搭建网关+LAMP+postfix+dhcp的步骤和配置方法

本文介绍了在rhel5.5操作系统下搭建网关+LAMP+postfix+dhcp的步骤和配置方法。通过配置dhcp自动分配ip、实现外网访问公司网站、内网收发邮件、内网上网以及SNAT转换等功能。详细介绍了安装dhcp和配置相关文件的步骤，并提供了相关的命令和配置示例。 ... [详细]

蜡笔小新 2023-12-14 17:13:20
server
Linux服务器密码过期策略、登录次数限制、私钥登录等配置方法

本文介绍了在Linux服务器上进行密码过期策略、登录次数限制、私钥登录等配置的方法。通过修改配置文件中的参数，可以设置密码的有效期、最小间隔时间、最小长度，并在密码过期前进行提示。同时还介绍了如何进行公钥登录和修改默认账户用户名的操作。详细步骤和注意事项可参考本文内容。 ... [详细]

蜡笔小新 2023-12-14 17:57:01
server
Hibernate配置lazy=false时无法加载数据的问题解决方法

本文介绍了在Hibernate配置lazy=false时无法加载数据的问题，通过采用OpenSessionInView模式和修改数据库服务器版本解决了该问题。详细描述了问题的出现和解决过程，包括运行环境和数据库的配置信息。 ... [详细]

蜡笔小新 2023-12-14 13:59:45
server
图解redis的持久化存储机制RDB和AOF的原理和优缺点

本文通过图解的方式介绍了redis的持久化存储机制RDB和AOF的原理和优缺点。RDB是将redis内存中的数据保存为快照文件，恢复速度较快但不支持拉链式快照。AOF是将操作日志保存到磁盘，实时存储数据但恢复速度较慢。文章详细分析了两种机制的优缺点，帮助读者更好地理解redis的持久化存储策略。 ... [详细]

蜡笔小新 2023-12-13 20:24:11
go
mac php错误日志配置方法及错误级别修改

本文介绍了在mac环境下配置php错误日志的方法，包括修改php.ini文件和httpd.conf文件的操作步骤。同时还介绍了如何修改错误级别，以及相应的错误级别参考链接。 ... [详细]

蜡笔小新 2023-12-12 11:59:08
server
Python项目实战10.2：MySQL读写分离性能优化

本文介绍了在Python项目实战中进行MySQL读写分离的性能优化，包括主从同步的配置和Django实现，以及在两台centos 7系统上安装和配置MySQL的步骤。同时还介绍了创建从数据库的用户和权限的方法。摘要长度为176字。 ... [详细]

蜡笔小新 2023-12-09 19:17:54
go
H323资料

概述H.323是由ITU制定的通信控制协议，用于在分组交换网中提供多媒体业务。呼叫控制是其中的重要组成部分，它可用来建立点到点的媒体会话和多点间媒体会议 ... [详细]

蜡笔小新 2023-10-17 19:16:37
dns
POCO C++ Libraies介绍及常见用法

POCOCLibraies属于功能广泛、轻量级别的开源框架库，它拥有媲美Boost库的功能以及较小的体积广泛应用在物联网平台、工业自动化等领域。POCOCLibrai ... [详细]

蜡笔小新 2023-10-17 18:56:35
nginx
Linux之进程数和句柄数：linux句柄数含义

本文主要介绍关于linux文件描述符设置,centos7设置文件句柄数,centos7查看进程数的知识点，对【Linux之进程数和句柄数】和【linux句柄数含义】有兴趣的朋友可以看下由【东城绝神】投 ... [详细]

蜡笔小新 2023-10-17 14:36:29
nginx
明明白白你的Linux服务器——网络篇(2)

三、寻找恶意IP并用iptables禁止掉找出恶意连接你的服务器80端口的IP，直接用iptables来drop掉它；这里建议写脚本来运行， ... [详细]

蜡笔小新 2023-10-17 13:01:54
nginx
Linux 服务器修改用户名

Linux服务器修改用户名1、编辑名称vimetchostname2、保存编辑并退出wq3、重 ... [详细]

蜡笔小新 2023-10-17 12:45:01
python
[linux] 远程服务器安装unrar（无root）

对于一般的扩展包，我们一般直接pipinstallxxx即可安装，但是unrar直接安装后，发现并不能通过Python程序实现解压的功能& ... [详细]

蜡笔小新 2023-10-17 11:55:50
server
在mac环境下使用nginx配置nodejs代理服务器的步骤

本文介绍了在mac环境下使用nginx配置nodejs代理服务器的步骤，包括安装nginx、创建目录和文件、配置代理的域名和日志记录等。 ... [详细]

蜡笔小新 2023-12-13 10:34:21
server
Vim编辑器的三种模式及切换方法详解

本文详细介绍了Vim编辑器中的三种模式（命令模式、末行模式和编辑模式）以及它们之间的操作区别和切换方法。Vim编辑器凭借其多种命令快捷键和高效率的操作方式，得到了广大厂商和用户的认可。对于想要高效操作文本的用户来说，了解这些模式的使用方法是必不可少的。 ... [详细]

蜡笔小新 2023-12-12 15:59:51

艾你如斯i

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章