Squid（Proxy）----代理服务器

原创

mb5c89a5f66503d 2019-03-28 09:48:38 ©著作权

©著作权归作者所有：来自51CTO博客作者mb5c89a5f66503d的原创作品，请联系作者获取转载授权，否则将追究法律责任

Squid（Proxy）----代理服务器 proxy的意思就是代理软件或代理服务器，接受用户的请求后，在internet读取的网页数据保存在硬盘上，在将数据传给用户，当其他用户也需要同一份数据的时候，proxy server就可以直接从硬盘将数据传给用户，减少数据的获取

默认端口为3128，建议修改，尽量较少人使用的端口，这样扫描到的几率低，降低使用效率和带宽
vim /etc/squid/squid.conf

配置防火墙： -A INPUT -m state --state NEW -m tcp -p tcp --dport 3128 -j ACCEPT 
重启生效
配置squid缓存目录：
	cache缓存目录可以等价与squid的硬盘：用户访问同一个页面，如果squid代理服务器发现网页有更新
		会自动下载新的数据，在给用户
	开启squid缓存目录，cache_dir 默认不启动被注释掉，
						cache_dir ufs /var/spool/squid 100 16 256    
						默认 100M  第一层子目录最多16个，第一层子目录下最多256个子目录
	
	清除cache缓存目录：		停止squid服务。
							删除cache缓存目录，/var/spool/squid 
							新建cache缓存目录。mkdir /var/spool/squid 
							修改文件属性。其他人也能写chown  squid  /var/spool/squid 
							mysql -z 重新加载

	配置squid链接限制：	有效的管理链接限制，使squid代理服务器的效率及带宽达到有效利用
		限制某一网段：
					按照配置文件/etc/squid/squid.conf 里面的ACL语法配置
					acl  quanwindow src 192.168.31.100-192.168.31.200/24
					http_access deny quanwindow
							注意： quanwindow是自定义的，上下一定要一致
					重启生效 
					
		限制某ip地址无法链接：
					acl  quanip src 192.168.31.71/24
					http_access deny quanip 
					
		限制读取指定网址：	限制用户不可访问的特定网站，其他网站都可以正常链接
					acl baidu dstdomain .baidu.com 
					http_access deny baidu 
					
		配置禁止网站清单：
					用文件清单去限制用户不可访问的网络清单
					acl wwwdeny url_regex "/etc/squid/deny.txt"
					http_access deny wwwdeny 
					建立限制清单：echo ".baidu.comm " >/etc/squid/deny.txt 
								  echo ".bsblog.com " >>/etc/squid/deny.txt 
								
		限制用户链接时间：,在规定的时间范围内链接不到的特定网址，其他时间正常链接
							特定的网zhi
					acl timedeny time  W  22:00-23:00
					http_access deny timedeny 
					
					其中星期的代码为1-7   ：  M T W H F A S 
	
	使用ncsa-auth认证： 网络上有很多的proxy list网站，专门收集对外服务的proxy服务器。每天都会更新
						都是扫描3128端口或80，一旦proxy服务器被公开，会拖慢网络速度，容易当成跳板
						所以建议加一层帐户认证和密码保护
								一种是LDAP认证
								一种是使用htpasswd 建立认证账号和密码
									htpasswd -c /etc/squid/passwd quan
									chmod o+r /etc/squid/passwd  配置为所有人都可读
									查看nsca_auth认证服务：
									rpm -ql squid |grep ncsa_auth  //检查nsca_auth 目录位置
								配置squid认证使用nsca_auth 
（认证方式及账号密码位置）auth_param basic program /usr/lib64/squid/ncsa_auth /etc/squid/passwd 
						auth_param basic children 5		//5个程序来验证
						auth_param basic realm  Welcom to quan  //登录时的欢迎词
						
						acl squid_user proxy_auth REQUIRED
						http_access allow squid_user
						
						
						注意：auth_param 必须在acl前面添加且在最前面
							要安装apache服务
	SARG监控squid代理服务器：squid Analysis Report Generator
				产生报表可以让我们轻松的掌握squid代理服务器使用寂记录
				注意：安装sarg软件之前，要安装apache网页服务器。因为sarg是以网页的形式呈现
						需要GD软件
		编辑配置文件/etc/httpd/conf.d下的sarg.conf
			其中的意思为 Deny from all 限制所有网段不可连
						 Allow from all
						 Allow from 127.0.0.1  //只允许本机ipv4连接
						 Allow from  ：：1  允许本机ipv6连接  
						重启Apache服务生效 
		根据sarg可根据日，周，月报表手机squid代理服务器的数据，建议自行加入计划任务以便
			每天完成：
				一次：sarg -o /var/www/sarg/ONE-SHOT
			日：sarg -o /var/www/sarg/daily
			周：sarg -o /var/www/sarg/weekly
			月：sarg -o /var/www/sarg/monthly
			
	Dansguardian过滤网站：免费的proxy filter，限制Client端不应该访问的网页
							可以过滤指定的URL和IP ，指定那些文件不可以下载，
		安装完成之后必须做一些proxy服务器之间的配置
		vim /etc/dansguardian/dansguardian.conf
		languagedir = '/etc/dansguardian/languages'

		# language to use from languagedir.
		language = 'chinesegb2312' 修改为简体中文。chinesegb2312
		filterport=8080  Dansguardian默认的端口为8080
		注意：如果Dansguardian和proxy服务器是在同一天主机则无需修改proxyip
				如果在另一台主机上则必须配置该主机IP
				如果使用简体中文，必须修改forcequicksearch设置为on 默认为off
		配置防火墙： -A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
		启动dansguardian即可 service dansguardian start
		
		
		配置客户端，将原本使用的squid代理服务器的端口给为8080即可
		
		加入禁止网址：bannedsitelist 禁止网站清单
			vim /etc/dansguardian/bannedsitelist 
			加入baidu.com
		加入禁止的关键字： bannedphraselist
			vim /etc/dansguardian/bannedphraselist
			加入 <xxxxo>
		禁止下载的文件类型：bannedextensionlist
			vim /etc/dansguardian/bannedphraselist
			加入 .exe