17.2 Proxy 服务器的基础设定
虽然在我们小型的网络环境中,架设 Proxy 真的没有什么用,不过,考虑到大家未来可能会高升嘛!所以企业常用的 Proxy 也需要了解一下比较好。 在这个小节中,我们主要介绍一个比较简单的 Proxy 环境,就是单纯可以跑而已的代理服务器。比较高阶的设定请参考后续小节的介绍啰。
17.2.1 Proxy 所需的 squid 软件及其软件结构
达成代理服务器功能的软件很多,例如效能不是很好的 Apache 以及我们这个章节要介绍的八爪章鱼 squid 这一套。 目前代理服务器在 Unix Like 的环境下,大多就是使用 squid ,因此我们这里以 squid 为准来介绍啦。同样的, 请使用 rpm 来检查,如果尚未安装,请用『 yum install squid 』来安装吧!安装好 squid 之后,它主要的提供的配置文件有:
/etc/squid/squid.conf这个是主要的配置文件,所有 squid 所需要的设定都是放置在这个档案当中的! 鸟哥底下提到的种种设定方法几乎都是这个档案里面的说明喔!
/etc/squid/mime.conf这个档案则是在设定 squid 所支持的 Internet 上面的文件格式,就是所谓的 mime 格式啰! 一般来说,这个档案的预设内容已经能够符合我们的需求了,所以不需要更动他,除非你很清楚的知道你所需要额外支持的 mime 文件格式。
其他重要的目录与档案有:
- /usr/sbin/squid:提供 squid 的主程序啊!
- /var/spool/squid:就是默认的 squid 快取放置的目录。
- /usr/lib64/squid/:提供 squid 额外的控制模块,尤其是影响认证密码方面的程序,都是放在这个目录下的;
17.2.2 CentOS 预设的 squid 设定
在预设的情况下,CentOS 的 squid 具有底下几个特色:
- 仅有本机 (localhost, 127.0.0.1) 来源可以使用这个 squid 功能
- squid 所监听的 Proxy 服务埠口在 port 3128
- 快取目录所在的位置在 /var/spool/squid/ ,且仅有 100MB 的磁盘高速缓存量
- 除了 squid 程序所需要的基本内存之外,尚提供 8MB 的内存来给热门档案快取在内存中 (因为内存速度比硬盘还快)
- 默认启动 squid 程序的用户为 squid 这个账号 (与磁盘高速缓存目录权限有关)
其实, CentOS 预设的 squid 设定,是仅针对本机 (localhost) 开放的情况,而一大堆设定的默认值, 都是仅针对小型网络环境所指定的数值,同时,很多比较特殊的参数都没有启动。所以,我们就得要来了解一下各设定值的意义, 这样才能够进行修改嘛!这些参数都是在 squid.conf 里头指定的,所以,就让我们来看看这个档案的内容与较重要的参数吧:
Tips: CentOS 6.x 已经将 squid.conf 里面不相干的设定值通通拿掉了,所以这个档案就变的非常的精简!这样其实有好有坏啦! 好处是,你不用去看一些你用不到的参数值,坏处是,如果你想要其他的设定,就得额外参考外部文件了!伤脑筋~
[root@www ~]# vim /etc/squid/squid.conf
# 1\. 信任用户与目标控制,透过 acl 定义出 localhost 等相关用户
acl manager proto cache_object <==定义 manager 为管理功能
acl localhost src 127.0.0.1/32 <==定义 localhost 为本机来源
acl localhost src ::1/128
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 <==定义 to_localhost 可联机到本机
acl to_localhost dst ::1/128
# 2\. 信任用户与目标控制,定义可能使用这部 proxy 的外部用户(内网)
acl localnet src 10.0.0.0/8 <==可发现底下都是 private IP 的设定
acl localnet src 172.16.0.0/12
acl localnet src 192.168.0.0/16
acl localnet src fc00::/7
acl localnet src fe80::/10
# 上述数据设定两个用户 (localhost, localnet) 与一个可取得目标 (to_localhost)
# 3\. 定义可取得的数据端口所在!
acl SSL_ports port 443 <==联机加密的埠口设定
acl Safe_ports port 80 # http <==公认标准的协议使用埠口
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
# 定义出 SSL_ports 及标准的常用埠口 Safe_ports 两个名称
# 4\. 定义这些名称是否可放行的标准依据(有顺序喔!)
http_access allow manager localhost <==放行管理本机的功能
http_access deny manager <==其他管理来源都予以拒绝
http_access deny !Safe_ports <==拒绝非正规的埠口联机要求
http_access deny CONNECT !SSL_ports <==拒绝非正规的加密埠口联机要求
<==这个位置为你可以写入自己的规则的位置喔!不要写错了!有顺序之分的!
http_access allow localnet <==放行内部网络的用户来源
http_access allow localhost <==放行本机的使用
http_access deny all <==全部都予以拒绝啦!
# 5\. 网络相关参数,最重要的是那个定义 Proxy 协议埠口的 http_port
http_port 3128 <==Proxy 预设的监听客户端要求的埠口,是可以改的
# 其实,如果想让 proxy server/client 之间的联机加密,可以改用 https_port (923)
# 6\. 快取与内存相关参数的设定值,尤其注意内存的计算方式
hierarchy_stoplist cgi-bin ? <==hierarchy_stoplist 后面的关键词 (此例为 cgi-bin)
# 若发现在客户端所需要的网址列,则不快取 (避免经常变动的数据库或程序讯息)
cache_mem 8 MB <==给proxy额外的内存,用来处理最热门的快取数据(需自己加)
# 7\. 磁盘高速缓存,亦即放置快取数据的目录所在与相关设定
cache_dir ufs /var/spool/squid 100 16 256 <==默认使用 100MB 的容量放置快取
coredump_dir /var/spool/squid
# 底下的四个参数得要自己加上来喔!旧版才有这样的默认值!
minimum_object_size 0 KB <==小于多少 KB 的数据不要放快取,0 为不限制
maximum_object_size 4096 KB <==与上头相反,大于 4 MB 的数据就不快取到磁盘
cache_swap_low 90 <==与下一行有关,减低到剩下 90% 的磁盘高速缓存为止
cache_swap_high 95 <==当磁盘使用量超过 95% 就开始删除磁盘中的旧快取
# 8\. 其他可能会用到的默认值!参考参考即可,并不会出现在配置文件中。
access_log /var/log/squid/access.log squid <==曾经使用过 squid 的用户记录
ftp_user Squid@ <==当以 Proxy 进行 FTP 代理匿名登录时,使用的账号名称
ftp_passive on <==若有代理 FTP 服务,使用被动式联机
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
# 上面这四行与快取的存在时间有关,底下内文会予以说明
cache_mgr root <==预设的 proxy 管理员的 email
cache_effective_user squid <==启动 squid PID 的拥有者
cache_effective_group squid <==启动 squid PID 的群组
# visible_hostname <==有时由于 DNS 的问题,找不到主机名会出错,就得加上此设定
ipcache_size 1024 <==以下三个为指定 IP 进行快取的设定值
ipcache_low 90
ipcache_high 95
光是了解上述的一些基础设定值,可能就要头昏昏了,更别说 squid.conf 里面的其他设定值,看到头好昏… 无论如何,上述这些设定已经是很基础的设定了,你最好了解一下!除了 cache_dir 那一行取消批注,其他的保持不动! 让我们以默认值来直接启动 squid 看看有什么特别的地方再说。
- 使用默认值来启动 squid 并观察相关信息
要启动 squid 真是简单,让我们来启动 squid 并且观察有没有相关的埠口吧!
[root@www ~]# /etc/init.d/squid start
init_cache_dir /var/spool/squid... 正在激活 squid: . [ 确定 ]
# 第一次启动会初始化快取目录,因此会出现上述左边的数据,未来这个讯息不会再出现
[root@www ~]# netstat -tulnp | grep squid
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 :::3128 :::* LISTEN 2370/(squid)
udp 0 0 :::45470 :::* 2370/(squid)
[root@www ~]# chkconfig squid on
如果你有设定 icp_port 时,squid 预设会启动 3128 及 3130 两个埠口,其中要注意的是, 实际帮用户进行监听与传送数据的是 port 3128 (TCP),3130 (UDP) 仅是负责与邻近 Proxy 互相沟通彼此的快取数据库的功能,与实际的用户要求无关。因此,如果你的 proxy 是单纯的单一主机,或者是单纯的作为防火墙功能,那么这个 port 3130 是可以关闭的。就因如此,所以 CentOS 6.x 预设将这个设定值批注不使用啰!
例题:由于我的 Proxy 仅是部简单的单一代理服务器,并没有架设成为公开的邻近代理服务器 (peer proxy 或 neighbor proxy), 因此想要关闭 port 3130 ,该如何处理?答:旧版的 CentOS 5.x 以前的版本才需要进行,很简单,直接修改 icp_port 即可!方法为:
[root@www ~]# vim /etc/squid/squid.conf
#Default: VBird 2011/04/06 modified,将下列数据从 3130 改为 0 即可
icp_port 0
[root@www ~]# /etc/init.d/squid restart
事实上,如果你的客户端与 proxy 之间的沟通想要使用加密机制的 SSL 功能,以保障客户端的信息避免被窃取时, 那么还有个 https_port 可以取代 http_port !不过,充其量我们的 proxy 并非公开也仅是架设在内部区网, 因此还不需要使用到这个 https_port 啦!
- 观察与修改快取目录 (cache_dir):权限与 SELinux
从前面的说明我们知道磁盘高速缓存是影响 proxy 效能的一个相当重要的参数,那么 squid 是如何将快取存进磁盘的呢? squid 是将数据分成一小块一小块,然后分别放置到个别的目录中。由于较多的目录可以节省在同一个目录内找好多档案的时间 (想一想,分门别类的放置书籍在不同的书柜内,总比将所有书籍杂乱无章的放置到一个大书柜要好的多吧!), 因此,在默认的 /var/spool/squid/ 目录下, squid 又会将它分成两层子目录来存放相关的快取数据,所以观察该目录就会是:
[root@www ~]# ls /var/spool/squid
00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F swap.state
# 算一下,你会发现共有 16 个子目录!那么我们来看看第一个子目录的内容:
[root@www ~]# ls /var/spool/squid/00
00 08 10 18 20 28 ... 98 A0 A8 B0 B8 C0 C8 D0 D8 E0 E8 F0 F8
01 09 11 19 21 29 ... 99 A1 A9 B1 B9 C1 C9 D1 D9 E1 E9 F1 F9
....(中间省略)....
06 0E 16 1E 26 2E ... 9E A6 AE B6 BE C6 CE D6 DE E6 EE F6 FE
07 0F 17 1F 27 2F ... 9F A7 AF B7 BF C7 CF D7 DF E7 EF F7 FF
# 看见了吗?总共有 256 个子目录出现啰!
现在我们知道了较多的目录是为了将数据分门别类放置,但是第一层 16 个与第二层 256 个是怎么来的? 让我们来瞧一瞧 cache_dir 这个重要参数的设定是怎样:
cache_dir ufs /var/spool/squid 100 16 256
在 /var/spool/squid/ 后面的参数意义是:第一个 100 代表的是磁盘使用量仅用掉该文件系统的 100MB
- 第二个 16 代表第一层次目录共有 16 个
- 第三个 256 代表每层次目录内部再分为 256 个次目录
根据 squid 的说法与其他文献的说明,这两层快取目录较佳的配置就是 16 256 以及 64 64 这两种配置, 所以我们也不需要修改相关的数据啦!重点时还得要注意这个目录的档案拥有者与 SELinux 类型才成呦!
例题:看起来预设的 proxy 的磁盘高速缓存应该是不够用,而之前的磁盘规划又没有做好,因此 /var/ 最多还有 500MB 可以让我们做为磁盘高速缓存。 那么如果想要将预设的磁盘高速缓存改为 500MB 而且再加上 /srv/squid/ 目录给予 2GB 的容量做为磁盘高速缓存,该如何进行设定?答:这里都与 cache_dir 有关!这个设定值可以重复出现多次!因此,我们可以这样进行的,特别注意底下的目录权限与 SELinux 类型呦!
[root@www ~]# vim /etc/squid/squid.conf
#Default: VBird 2011/04/06 modified,底下的设定除了拿掉 # 之外还得修改!
cache_dir ufs /var/spool/squid 500 16 256
cache_dir ufs /srv/squid 2000 16 256
[root@www ~]# mkdir /srv/squid
[root@www ~]# chmod 750 /srv/squid
[root@www ~]# chown squid:squid /srv/squid
[root@www ~]# chcon --reference /var/spool/squid /srv/squid
[root@www ~]# ll -Zd /srv/squid
drwxr-x---. squid squid system_u:object_r:squid_cache_t:s0 /srv/squid/
[root@www ~]# /etc/init.d/squid restart
之所以要改成 squid 拥有,是因为上头的 squid.conf 中,预设的启动 PID 的账号就是 squid 这个人物嘛!所以当然要变更!至于 SELinux 的类型方面,参考预设的 /var/spool/squid 就能够知道了。不过要注意,某些特定的目录 (例如 /home) 是不允许建立快取目录的, 因此我们使用服务资料可以放置的 /srv 作为测试范例啰!
想一想,既然快取是放在磁盘上面的,那么快取的数据会不会塞满整个快取磁盘呢?当然会啊!而且当塞满磁盘之后, 你的 proxy 恐怕就无法继续运作了!所以,我们当然得要好好的注意磁盘使用量是否已经饱和了。在上述的例题中, 若 /var/spool/squid 塞满 500MB 而 /srv/squid 塞满 2GB 那么你的 proxy 就挂了。为了避免这个问题,因此 squid 有底下两个重要设定:
- cache_swap_low 90
cache_swap_high 95
代表当磁盘使用量达 95% 时,比较旧的快取数据将会被删除,当删除到剩下磁盘使用量达 90% 时,就停止持续删除的动作。 以本案例中,总共 2.5GB 的容量,当用到 2.5_0.95=2.375G 时,旧的数据会开始被删除,删到剩下 2.5_0.9=2.25GB 时,就停止删除的意思。所以会被删除掉 125MB 的旧数据就是了。通常这个设定值已经足够了,不需要变动他, 除了你的快取太大或太小时,才会调整这个设定值。squid 使用的内存计算方式
事实上,除了磁盘容量之外,内存可能是另一个相当重要的影响 proxy 效能的因子!怎么说呢?因为 proxy 会将数据存一份在磁盘高速缓存中,但是同时也会将数据暂存在内存当中啊,以加快未来使用者存取同一份数据的速度! 但是这个内存快取是需要花费额外的服务器物理内存的量,所以就得要以额外的设定值来指定啰。那就是 cache_mem 这个设定值的功能了。
很多人 (包括鸟哥) 都会误会 cache_mem 的用途!其实 cache_mem 是额外的指定一些内存来进行比较『热门』的数据存取! cache_mem 并不是指我要使用多少内存给 squid 使用,而是指 "我还要额外提供多少内存给 squid 使用" 的意思』!由于预设 1GB 的磁盘高速缓存会占用约 10M 的内存,而 squid 本身也会占用约 15MB 的内存, 因此,上个例题中 squid 使用掉的内存就有:
- 2.5 * 10 + 15 + "cache_mem 设定值 (8)"
squid 官方网站建议你的物理内存最好是上面数值的两倍,也就是说,上述的内存使用量已经是 48MB, 则我的物理内存最好至少要有 100 MB 以上,才会有比较好的效能!当然,这个单指 Proxy 部分而已,如果你的该部主机还有负责其他的工作,呵呵!那么内存就得在累加上去啦!一般来说,如果你的 Proxy 很多人使用时,这个值越大越好,但是最好也要符合上面的需求喔!
例题:由于我的内存够大,而 proxy 确实是我重要的服务,因此想要增加额外的 32MB 作为热门数据快取,该如何修改?答:直接做了啦!就是修改 cache_mem 而已!
[root@www ~]# vim /etc/squid/squid.conf
#Default: VBird 2011/04/06 modified,将原本的 8 改为 32 啰!
cache_mem 32 MB
[root@www ~]# /etc/init.d/squid restart
17.2.3 管控信任来源 (如区网) 与目标 (如恶意网站): acl 与 http_access 的使用
在上面的基础设定中,其实仅有 proxy 服务器本身可以向自己的 proxy 要求网页代理~那有个屁用啊? 我们的重点是想要开放给区网来使用这个 proxy 的嘛!所以当然得要修改信任用户的管控参数啰。 此时,那个重要到不行的 acl 就得要来瞧一瞧啦!这个 acl 的基本语法为:
acl <自定义的 acl 名称> <要控制的 acl 类型> <设定的内容>
由于 squid 并不会直接使用 IP 或网域来管控信任目标,而是透过 acl 名称来管理,这个 <acl 名称> 就必须要设定管理的是来源还是目标 (acl 类型) ,以及实际的 IP 或网域 (设定的内容) 啦!这个 acl 名称可以想成是一个昵称就是了。那么有哪些重要的 acl 类型呢?基本上有这些:
管理是否能使用 proxy 的信任客户端方式:
由于因特网主要有使用 IP 或主机名来作为联机方式的,因此信任用户的来源至少就有底下几种:src ip-address/netmask:主要控制『来源的 IP 地址』。举例来说,鸟哥的内网有两个,分别是 192.168.1.0/24 以及 192.168.100.0/24 , 那么假设我想要制订一个 vbirdlan 的 acl 名称,那就可以在配置文件内写成:acl vbirdlan src 192.168.1.0/24 192.168.100.0/24
src addr1-addr2/netmask:主要控制『一段范围来源的 IP 地址』。假设我只想要让 192.168.1.100-192.168.1.200 使用这部 proxy ,那么就用:acl vbirdlan2 src 192.168.1.100-192.168.1.200/24
srcdomain .domain.name:如果来源用户的 IP 一直变,所以使用的是 DDNS 的方式来更新主机名与 IP 的对应,此时我们可以使用主机名来开放! 例如来源是 .ksu.edu.tw 的来源用户就开放使用权,那就是:acl vbirdksu srcdomain .ksu.edu.tw
管理是否让 proxy 帮忙代理到该目标去获取数据:
除了管理来源用户之外,我们还能够管理是否让 proxy 服务器到某些目标去获取数据喔!在预设的设定中, 我们的 proxy 仅管理可以向外取得 port 21, 80, 440… 等端口的目标网站,不是这些端口就无法帮忙代理取得。 至于 IP 或网域则没有管理。基本的管理有这些方式:
dst ip-addr/netmask:控制不能去的目标网站的 IP ,举例来说,我们不许 proxy 去捉取 120.114.150.21 这部主机的 IP 时,可以写成是:acl dropip dst 120.114.150.21/32
dstdomain .domain.name:控制不能去的目标网站的主机名。举例来说,如果你在上课时不允许学生跑去种田还是小小战争,那就得要把 .facebook.com 给关闭!那就需要写成:acl dropfb dstdomain .facebook.com
urlregex [-i] ^http://url:使用正规表示法来处理网址列的一种方式!这种方式的网址列必须要完整的输入正规表示法的开始到结尾才行。 举例来说,昆山科大的中文网页写法为 (并非部分比对,所以最结尾的 . 记得要加上去!):acl ksuurl urlregex ^http://www.ksu.edu.tw/cht/.
urlpath_regex [-i] .gif$:与上一个 acl 非常类似,只是上一个需要填写完整的网址数据,这里则是根据网址列的部分比对来处置。以上述的预设案例来说, 只要网址列结尾是 gif (图片文件) 就符合这个项目了。万一我要找出有问题的色情网站,有出现 /sexy 名称并以 jpg 结尾的, 就予以抵挡,那就是使用:acl sexurl urlpath_regex /sexy.*.jpg$
除了上述的功能之外,我们还能够使用外部的档案来提供相对应的 acl 内容设定值喔! 举例来说,假设我们想要抵挡的外部主机名常常会变动,那么我们可以使用 /etc/squid/dropdomain.txt 来设定主机名, 然后透过底下的方式来处理
acl dropdomain dstdomain "/etc/squid/dropdomain.txt"
然后在 dropdomain.txt 当中,一行一个待管理的主机名,这样也能够减少持续修改 squid.conf 的困扰! 好了!了解了 acl 之后,接下来得要谈谈 http_access 这个实际放行或拒绝的参数了!
- 以 http_access 调整管理信任来源与管控目标的『顺序』:
设定好 acl 之后,接下来就是要看看到底要不要放行喔~放行与否跟 http_access 这个项目有关。基本上, http_access 就是拒绝 (deny) 与允许 (allow) 两个控件目,然后再加上 acl 名称就能够达到这样的功能了! 只是你得要特别注意的是:http_access 后面接的数据,是有顺序的!这个观念很重要喔! 我们用底下的案例来说明好了:
假设我要放行内部网络 192.168.1.0/24, 192.168.100.0/24 这两段网域,然后拒绝对外的色情相关图片, 以及 facebook.com 网站,那么就应该要这样做:
[root@www ~]# vim /etc/squid/squid.conf
# http_access 是有顺序的,因此建议你找到底下这个关键词行后,将你的资料加在后面
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
acl vbirdlan src 192.168.1.0/24 192.168.100.0/24
acl dropdomain dstdomain .facebook.com
acl dropsex urlpath_regex /sexy.*jpg$
http_access deny dropdomain <==这三行的『顺序』很重要!
http_access deny dropsex
http_access allow vbirdlan
[root@www ~]# /etc/init.d/squid restart
你得要注意,如果先放行了 vbirdlan 才抵挡 dropdomain 时,你的设定可能会失败!因为内网已经先放行, 因此后面的规则不会比对,那么 facebook.com 就无法被抵挡了!这点得要很注意才行! 通常的作法是,先将要拒绝的写上去,然后才写要放行的数据就好了。
17.2.4 其他额外的功能项目
- 不要进行某些网页的快取动作
从前面的说明我们知道 Proxy 的快取通常在记录比较少变动的数据,如果是讨论区或者是程控类的数据库型态网页, 那么恐怕就没有快取的需要,因为数据一直变动嘛!你总不希望你发了一帖留言,结果等一下再去浏览时,看到的还是旧留言吧! 所以啰,在预设的情况下,squid 已经拒绝某些数据的快取了,那就是底下的几个设定值:
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY <==重点就是这一行!可以拒绝,不要让后面的 URL 被快取!
我们知道通常 .php 结尾的网页大部分就是讨论区之类的变动性数据,那么能不能出现 .php 结尾的网页就不要快取呢? 当然可以啊!那该如何进行?我们以上面的数据来照样造句一下吧!
例题:只要网址列出现 .php 结尾的,就不予以快取!答:透过 acl 配合 cache 这两个参数来处理即可!
[root@www ~]# vim /etc/squid/squid.conf
acl denyphp urlpath_regex \.php$
cache deny denyphp
# 在此档案的最后新增这两行即可!
[root@www ~]# /etc/init.d/squid restart
- 磁盘中快取的存在时间
还记得底下的设定值吗?这个设定值的参数是这样设定的:
# refresh_pattern <regex> <最小时间> <百分比> <最大时间>
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
regex:使用的是正规表示法来分析网址列的资料,如上面第一行设定为网址列开头是 ftp 的意思。
最小时间:单位是分钟,当取得这个数据的时间超过这个设定值,则该数据会被判定为旧资料。如上面第一行, 表示当取得的资料超过 1440 分钟时,该资料会被判定为旧数据,若有人尝试读取同样的网址列,那么 squid 会重新抓取该数据,不会使用快取内的旧数据。至于第三行,则表示除了上述的两个开头数据外,其他的数据都是被定义为新的, 因此 squid 只会从快取内抓数据给客户端。
百分比:这个项目与『最大时间』有关,当该资料被抓取到快取后,经过最大时间的多少百分比时,该数据就会被重抓。
最大时间:与上一个设定有关,就是这个数据存在快取内的最长时间。如上面第一行,最大时间为 10080 分钟,但是当超过此时间的 20% (2016分钟) 时,这个数据也会被判定为旧资料。
例题:在网址列出现 .vbird. 字样时,该数据为暂时使用的,因此 2 小时后就算旧数据。而最长保留在快取给她一天的时间, 且经过 50% 的时间后,就被判定为旧数据吧!答:
[root@www ~]# vim /etc/squid/squid.conf
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern \.vbird\. 120 50% 1440
refresh_pattern . 0 20% 4320
[root@www ~]# /etc/init.d/squid restart
- 主机名与管理员的 email 指定
如果你的服务器主机名尚未决定,因此使用的主机名在因特网上面是找不到对应的 IP 的 (因为 DNS 未设定), 那么在预设的 squid 设定中,恐怕会无法顺利的启动。此时你可以手动的加入一个主机名,就是透过 visible_hostname 来指定。 同时,如果客户端使用 squid 出现任何错误时,屏幕上都会出现管理员的 email 让用户可以回报。现在假设主机名为 www.centos.vbird 且管理员的 email 为 dmtsai@www.centos.vbird ,此时我们可以这样修改:
[root@www ~]# vim /etc/squid/squid.conf
cache_mgr dmtsai@www.centos.vbird <==管理员的 email 呦!
visible_hostname www.centos.vbird <==直接设定主机名喔!
[root@www ~]# /etc/init.d/squid restart
17.2.5 安全性设定:防火墙, SELinux 与黑名单档案
- 防火墙得要放行 tcp 的 port 3128
现在我们已经设定了让 192.168.100.0/24 及 192.168.1.0/24 这两段来源使用我们的 proxy server , 那么想当然尔,防火墙的设定就得要开放这两段使用 port 3128 才行啊!不过你得要特别注意,并不是开放防火墙就能使用 proxy server 的资源,还得要使用 acl 配合 http_access 才行呦!注意注意!假设你已经使用了 iptables.rule , 那么修改的方法就是这样:
[root@www ~]# vim /usr/local/virus/iptables/iptables.allow
iptables -A INPUT -i $EXTIF -p tcp -s 192.168.1.0/24 --dport 3128 -j ACCEPT
# 因为内网 192.168.100.0/24 本来就是全部都接受放行的!
[root@www ~]# /usr/local/virus/iptables/iptables.rule
SELinux 的注意事项
针对 proxy 来说,CentOS 6.x 倒是没有给予太多的规则限制,因此似乎不太需要修订规则。不过,SELinux 的安全本文在类型部分得注意。这包括配置文件 (/etc/squid/ 内的数据) 类型是 squid_conf_t 的样式, 而快取目录的类型则是 squid_cache_t 的类型,且上层类型 (/var/spool/) 应该是要成为 var_t 之类的才行。 修改的方法就是透过 chcon 来处理即可。建立黑名单配置文件
我们在 17.2.3 小节里面谈到,可以透过『 dstdomain .domain.name 』来抵挡不想联机的网站。 不过每次都得使用 root 身份来设定 squid.conf 才行。那有没有办法额外处理出一个档案,让想要拒绝联机的数据写入, 这样比较容易管理,不需要一直去修改 squid.conf 嘛!有没有办法可以达成呢?有的,就透过特定档案来处置即可。 看看底下这个例题来修订一下吧:
例题:建立一个名为 /etc/squid/dropdomain.txt 的档案,内容为拒绝联机的目标网站。答:我们之前设定过相关的网站,处理的方法是直接将主机名写入 squid.conf 中,现在我们可以这样修订:
[root@www ~]# vim /etc/squid/squid.conf
# 找到底下的数据,就是 dropdomain 那行,约在 629 行左右,并且修改一下
acl dropdomain dstdomain "/etc/squid/dropdomain.txt"
# 注意一下,如果是档名,请写绝对路径,且使用双引号或单引号圈起来!
[root@www ~]# vim /etc/squid/dropdomain.txt
.facebook.com
.yahoo.com
# 一行一个 domain 名称即可
[root@www ~]# /etc/init.d/squid reload
这个方法的好处是,你可以使用额外的控制方式去修改 /etc/squid/dropdomain.txt 这个档案的内容, 并且修改完毕后再使用 reload 去加载配置文件,不必要重新启动 (restart),因为 reload 的速度比较快速。 举例来说,鸟哥的专题生就用 PHP 写了一支控制该档案的网页接口,可以让老师在上课时直接透过网页输入要被控制的目标网站, 这样学生就无法在上课时联机到外面的某些网站去玩游戏啰~
原文: https://wizardforcel.gitbooks.io/vbird-linux-server-3e/content/124.html