曰皮的美女视频,19 韩国美女主播视频vip在线,暴操白丝美女视频

在此，我們要配置一個(gè)只對(duì)內(nèi)部網(wǎng)絡(luò)提供代理服務(wù)的Proxy Server。它將用戶(hù)分為高級(jí)用戶(hù)和普通用戶(hù)兩種，對(duì)高級(jí)用戶(hù)采用網(wǎng)卡物理地址識(shí)別的方法，普通用戶(hù)則需要輸入用戶(hù)名和口令才能正常使用。高級(jí)用戶(hù)沒(méi)有訪問(wèn)時(shí)間和文件類(lèi)型的限制，而普通用戶(hù)只在上班時(shí)可以訪問(wèn)以及一些其它的限制。

　　安裝

　　可以從Squid站點(diǎn)[url]www.squid-cache.org[/url]獲取該軟件的源代碼安裝包，包括gz和bz2兩種壓縮方式。也可以使用Linux的發(fā)行版，如Red Hat提供的RPM包。

　　RPM方式安裝很簡(jiǎn)單，命令如下：

　　$ rpm -ivh Squid-2.x.STALBx.i386.rpm

　　不過(guò)筆者認(rèn)為，即便是系統(tǒng)中已經(jīng)默認(rèn)安裝了Squid，也應(yīng)當(dāng)先刪掉然后安裝最新的源代碼包。因?yàn)殚_(kāi)源軟件會(huì)不斷修正問(wèn)題、提供更新的功能，使用最新版本可以保證最高的性能及安全，而且源代碼方式可以完全定制系統(tǒng)。不過(guò)STABLE穩(wěn)定版、DEVEL版通常是提供給開(kāi)發(fā)人員測(cè)試程序的，假定下載了最新的穩(wěn)定版squid-2.5.STABLE2.tar.gz，用以下命令解開(kāi)壓縮包：

$ tar xvfz squid-2.5.STABLE.tar.gz

　　用bz2方式壓縮的包可能體積更小，相應(yīng)的命令是：

$ tar xvfj squid-2.5.STABLE.tar.bz2

　　然后，進(jìn)入相應(yīng)目錄對(duì)源代碼進(jìn)行配置和編譯，命令如下：

$ cd squid-2.5.STABLE2

　　配置命令configure有很多選項(xiàng)，如果不清楚可先用“-help”查看。通常情況下，用到的選項(xiàng)有以下幾個(gè)：

--prefix=/web/squid
#指定Squid的安裝位置，如果只指定這一選項(xiàng)，那么該目錄下會(huì)有bin、sbin、man、conf等目錄，而主要的配置文件此時(shí)在conf子目錄中。為便于管理，最好用參數(shù)--sysconfdir=/etc把這個(gè)文件位置配置為/etc。
--enable-storeio=ufs,null
#使用的文件系統(tǒng)通常是默認(rèn)的ufs，不過(guò)如果想要做一個(gè)不緩存任何文件的代理服
務(wù)器，就需要加上null文件系統(tǒng)。
--enable-arp-acl
#這樣可以在規(guī)則設(shè)置中直接通過(guò)客戶(hù)端的MAC地址進(jìn)行管理，防止客戶(hù)使用IP欺騙。
--enable-err-languages="Simplify_Chinese"
--enable-default-err-languages="Simplify_Chinese"
#上面兩個(gè)選項(xiàng)告訴Squid編入并使用簡(jiǎn)體中文錯(cuò)誤信息。
--enable-linux-netfilter
#允許使用Linux的透明代理功能。
--enable-underscore
#允許解析的URL中出現(xiàn)下劃線，因?yàn)槟J(rèn)情況下Squid會(huì)認(rèn)為帶下劃線的URL是
非法的，并拒絕訪問(wèn)該地址。

　　整個(gè)配置編譯過(guò)程如下：

./configure --prefix=/var/squid
--sysconfdir=/etc
--enable-arp-acl
--enable-linux-netfilter
--enable-pthreads
--enable-err-language="Simplify_Chinese"
--enable-storeio=ufs,null
--enable-default-err-language="Simplify_Chinese"
--enable-auth="basic"
--enable-baisc-auth-helpers="NCSA"
--enable-underscore

　　其中一些選項(xiàng)有特殊作用，將在下面介紹它們。

　　最后執(zhí)行make和make install兩條命令，將源代碼編譯為可執(zhí)行文件，并拷貝到指定位置。

　　基本配置

　　安裝完成后，接下來(lái)要對(duì)Squid的運(yùn)行進(jìn)行配置（不是前面安裝時(shí)的配置）。所有項(xiàng)目都在squid.conf中完成。Squid自帶的squid.conf包括非常詳盡的說(shuō)明，相當(dāng)于一篇用戶(hù)手冊(cè)，對(duì)配置有任何疑問(wèn)都可以參照解決。

　　在這個(gè)例子中，代理服務(wù)器同時(shí)也是網(wǎng)關(guān)，內(nèi)部網(wǎng)絡(luò)接口eth0的IP地址為192.168.0.1，外部網(wǎng)絡(luò)接口eth1的IP地址為202.103.x.x。下面是一個(gè)基本的代理所需要配置選項(xiàng)：

　　http_port 192.168.0.1:3128

　　默認(rèn)端口是3128，當(dāng)然也可以是任何其它端口，只要不與其它服務(wù)發(fā)生沖突即可。為了安全起見(jiàn)，在前面加上IP地址，Squid就不會(huì)監(jiān)聽(tīng)外部的網(wǎng)絡(luò)接口。

　　下面的配置選項(xiàng)是服務(wù)器管理者的電子郵件，當(dāng)錯(cuò)誤發(fā)生時(shí)，該地址會(huì)顯示在錯(cuò)誤頁(yè)面上，便于用戶(hù)聯(lián)系：

cache_mgr start@soocol.com

　　以下這些參數(shù)告訴Squid緩存的文件系統(tǒng)、位置和緩存策略：

cache_dir ufs /var/squid
cache_mem 32MB
cache_swap_low 90
cache_swap_high 95

　　在這里，Squid會(huì)將/var/squid目錄作為保存緩存數(shù)據(jù)的目錄，每次處理的緩存大小是32兆字節(jié)，當(dāng)緩存空間使用達(dá)到95%時(shí)，新的內(nèi)容將取代舊的而不直接添加到目錄中，直到空間又下降到90%才停止這一活動(dòng)。如果不想Squid緩存任何文件，如某些存儲(chǔ)空間有限的專(zhuān)有系統(tǒng)，可以使用null文件系統(tǒng)（這樣不需要那些緩存策略）：

cache_dir null /tmp

　　下面的幾個(gè)關(guān)于緩存的策略配置中，較主要的是第一行，即用戶(hù)的訪問(wèn)記錄，可以通過(guò)分析它來(lái)了解所有用戶(hù)訪問(wèn)的詳盡地址：

cache_access_log /var/squid/access.log
cache_log /var/squid/cache.log
cache_store_log /var/squid/store.log

　　下面這行配置是在較新版本中出現(xiàn)的參數(shù)，告訴Squid在錯(cuò)誤頁(yè)面中顯示的服務(wù)器名稱(chēng)：

visible_hostname No1.proxy

　　以下配置告訴Squid如何處理用戶(hù)，對(duì)每個(gè)請(qǐng)求的IP地址作為單獨(dú)地址處理：

client_mask 255.255.255.255

　　如果是普通代理服務(wù)器，以上的配置已經(jīng)足夠。但是很多Squid都被用來(lái)做透明代理。所謂透明代理，就是客戶(hù)端不知道有代理服務(wù)器的存在，當(dāng)然也不需要進(jìn)行任何與代理有關(guān)的設(shè)置，從而大大方便了系統(tǒng)管理員。相關(guān)的選項(xiàng)有以下幾個(gè)：

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_user_host_header on

　　在Linux上，可以用iptables/ipchains直接將對(duì)Web端口80的請(qǐng)求直接轉(zhuǎn)發(fā)到Squid端口3128，由Squid接手，而用戶(hù)瀏覽器仍然認(rèn)為它訪問(wèn)的是對(duì)方的80端口。例如以下這條命令：

iptables -t nat -A PREROUTING -s 192.168.0.200/32 -p tcp --dport 80 -j REDIRECT 3128

　　就是將192.168.0.200的所有針對(duì)80端口的訪問(wèn)重定向到3128端口。

　　所有設(shè)置完成后，關(guān)鍵且重要的任務(wù)是訪問(wèn)控制。Squid支持的管理方式很多，使用起來(lái)也非常簡(jiǎn)單（這也是有人寧愿使用不做任何緩存的Squid，也不愿意單獨(dú)使用iptables的原因）。Squid可以通過(guò)IP地址、主機(jī)名、MAC地址、用戶(hù)/密碼認(rèn)證等識(shí)別用戶(hù)，也可以通過(guò)域名、域后綴、文件類(lèi)型、IP地址、端口、URL匹配等控制用戶(hù)的訪問(wèn)，還可以使用時(shí)間區(qū)間對(duì)用戶(hù)進(jìn)行管理，所以訪問(wèn)控制是Squid配置中的重點(diǎn)。Squid用ACL（Access Control List，訪問(wèn)控制列表）對(duì)訪問(wèn)類(lèi)型進(jìn)行劃分，用http_access deny 或allow進(jìn)行控制。根據(jù)需求首先定義兩組用戶(hù)advance和normal，還有代表所有未指明的用戶(hù)組all及不允許上網(wǎng)的baduser，配置代碼如下：

acl advance 192.168.0.2-192.168.0.10/32
acl normal src 192.168.0.11-192.168.0.200/32
acl baduser src 192.168.0.100/32
acl baddst dst [url]www.soocol.com[/url]
acl all src 0.0.0.0/0

http_access deny baduser
http_access allow advance
http_access allow normal

　　可以看出，ACL的基本格式如下：

　　acl 列表名稱(chēng) 控制方式控制目標(biāo)

　　比如acl all src 0.0.0.0/0，其名稱(chēng)是all，控制方式是src源IP地址，控制目標(biāo)是0.0.0.0/0的IP地址，即所有未定義的用戶(hù)。出于安全考慮，總是在最后禁止這個(gè)列表。

　　下面這個(gè)列表代表高級(jí)用戶(hù)，包括IP地址從192.168.0.2到192.168.0.10的所有計(jì)算機(jī)：

acl advance 192.168.0.2-192.168.0.20/32

　　下面這個(gè)baduser列表只包含一臺(tái)計(jì)算機(jī)，其IP地址是192.168.0.100：

acl baduser 192.168.0.100/32

　　ACL寫(xiě)完后，接下來(lái)要對(duì)它們分別進(jìn)行管理，代碼如下：

http_access deny baduser
http_access allow advance
http_access allow normal

　　上面幾行代碼告訴Squid不允許baduser組訪問(wèn)Internet，但advance、normal組允許（此時(shí)還沒(méi)有指定詳細(xì)的權(quán)限）。由于Squid是按照順序讀取規(guī)則，會(huì)首先禁止baduser，然后允許normal。如果將兩條規(guī)則順序顛倒，由于baduser在normal范圍中，Squid先允許了所有的normal，那么再禁止baduser就不會(huì)起作用。

　　特別要注意的是，Squid將使用allow-deny-allow-deny……這樣的順序套用規(guī)則。例如，當(dāng)一個(gè)用戶(hù)訪問(wèn)代理服務(wù)器時(shí)，Squid會(huì)順序測(cè)試Squid中定義的所有規(guī)則列表，當(dāng)所有規(guī)則都不匹配時(shí)，Squid會(huì)使用與最后一條相反的規(guī)則。就像上面這個(gè)例子，假設(shè)有一個(gè)用戶(hù)的IP地址是192.168.0.201，他試圖通過(guò)這臺(tái)代理服務(wù)器訪問(wèn)Internet，會(huì)發(fā)生什么情況呢？我們會(huì)發(fā)現(xiàn)，他能夠正常訪問(wèn)，因?yàn)镾quid找遍所有訪問(wèn)列表也沒(méi)有和192.168.0.201有關(guān)的定義，便開(kāi)始應(yīng)用規(guī)則，而最后一條是deny，那么Squid默認(rèn)的下一條處理規(guī)則是allow，所以192.168.0.201反而能夠訪問(wèn)Internet了，這顯然不是我們希望的。所以在所有squid.conf中，最后一條規(guī)則永遠(yuǎn)是http_access deny all，而all就是前面定義的“src 0.0.0.0”。

　　高級(jí)控制

　　前面說(shuō)過(guò)，Squid的控制功能非常強(qiáng)大，只要理解Squid的行為方式，基本上就能夠滿(mǎn)足所有的控制要求。下面就一步一步來(lái)了解Squid是如何進(jìn)行控制管理的。

　　通過(guò)IP地址來(lái)識(shí)別用戶(hù)很不可靠，比IP地址更好的是網(wǎng)卡的MAC物理地址。要在Squid中使用MAC地址識(shí)別，必須在編譯時(shí)加上“--enable-arp-acl”選項(xiàng)，然后可以通過(guò)以下的語(yǔ)句來(lái)識(shí)別用戶(hù)：

acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b ...

　　它直接使用用戶(hù)的MAC地址，而MAC地址一般是不易修改的，即使有普通用戶(hù)將自己的IP地址改為高級(jí)用戶(hù)也無(wú)法通過(guò)，所以這種方式比IP地址可靠得多。

　　假如不想讓用戶(hù)訪問(wèn)某個(gè)網(wǎng)站應(yīng)該怎么做呢？可以分為兩種情況：一種是不允許訪問(wèn)某個(gè)站點(diǎn)的某個(gè)主機(jī)，比如ok的主機(jī)是ok.sina.com.cn，而其它的新浪資源卻是允許訪問(wèn)的，那么ACL可以這樣寫(xiě)：

acl sinapage dstdomain ok.sina.com.cn
... ...
http_access deny ok
... ...

　　由此可以看到，除了ok，其它如[url]www.sina.com.cn[/url]、news.sina.com.cn都可以正常訪問(wèn)。

　　另一種情況是整個(gè)網(wǎng)站都不許訪問(wèn)，那么只需要寫(xiě)出這個(gè)網(wǎng)站共有的域名即可，配置如下：

acl qq dstdomain .tcccent.com.cn

　　注意tcccent前面的“.”，正是它指出以此域名結(jié)尾的所有主機(jī)都不可訪問(wèn)，否則就只有tcccent.com.cn這一臺(tái)主機(jī)不能訪問(wèn)。

　　如果想禁止對(duì)某個(gè)IP地址的訪問(wèn)，如202.118.2.182，可以用dst來(lái)控制，代碼如下：

acl badaddr dst 202.118.2.182

　　當(dāng)然，這個(gè)dst也可以是域名，由Squid查詢(xún)DNS服務(wù)器將其轉(zhuǎn)換為IP。

　　還有一種比較廣泛的控制是文件類(lèi)型。如果不希望普通用戶(hù)通過(guò)代理服務(wù)器下載MP3、AVI等文件，完全可以對(duì)他們進(jìn)行限制，代碼如下：

acl mmxfile urlpath_regex \.mp3$ \.avi$ \.exe$
http_access deny mmxfile

　　看到regex，很多讀者應(yīng)該心領(lǐng)神會(huì)，因?yàn)檫@條語(yǔ)句使用了標(biāo)準(zhǔn)的規(guī)則表達(dá)式（又叫正則表達(dá)式）。它將匹配所有以.mp3、.avi等結(jié)尾的URL請(qǐng)求，還可以用-i參數(shù)忽略大小寫(xiě)，例如以下代碼：

acl mmxfile urlpath_regex -i \.mp3$

　　這樣，無(wú)論是.mp3還是.MP3都會(huì)被拒絕。當(dāng)然，-i參數(shù)適用于任何可能需要區(qū)分大小寫(xiě)的地方，如前面的域名控制。

　　如果想讓普通用戶(hù)只在上班時(shí)間可以上網(wǎng)，而且是每周的工作日，用Squid應(yīng)當(dāng)如何處理呢？看看下面的ACL定義：

acl worktime time MTWHF 8:30-12:00 14:00-18:00
http_access deny !worktime

　　首先定義允許上網(wǎng)的時(shí)間是每周工作日（星期一至星期五）的上午和下午的固定時(shí)段，然后用http_access 定義所有不在這個(gè)時(shí)間段內(nèi)的請(qǐng)求都是不允許的。

　　或者為了保證高級(jí)用戶(hù)的帶寬，希望每個(gè)用戶(hù)的并發(fā)連接不能太多，以免影響他人，也可以通過(guò)Squid控制，代碼如下：

acl conncount maxconn 3
http_access deny conncount normal
http_access allow normal

　　這樣，普通用戶(hù)在某個(gè)固定時(shí)刻只能同時(shí)發(fā)起三個(gè)連接，從第四個(gè)開(kāi)始，連接將被拒絕。

　　總之，Squid的ACL配置非常靈活、強(qiáng)大，更多的控制方式可以參考squid.conf.default。

　　認(rèn)證

　　用戶(hù)/密碼認(rèn)證為Squid管理提供了更多便利，最常用的認(rèn)證方式是NCSA。從Squid 2.5版本開(kāi)始，NCSA認(rèn)證包含在了basic中，而非以前單獨(dú)的認(rèn)證模塊。下面來(lái)看看實(shí)現(xiàn)認(rèn)證的具體操作。

　　首先在編譯時(shí)配置選項(xiàng)應(yīng)包括以下配置：

--enable-auth="basic" --enable-basic-auth-helpers="NCSA"

　　“make install”以后，需要將“helpers/basic_auth/NCSA/ncsa_auth”拷貝到用戶(hù)可執(zhí)行目錄中，如/usr/bin（如果在該目錄中找不到這個(gè)執(zhí)行文件，在編譯時(shí)請(qǐng)使用make all而不是make，或者直接在該目錄中執(zhí)行make），然后需要借助Apache的密碼管理程序htpasswd來(lái)生成用戶(hù)名/密碼對(duì)應(yīng)的文件，就像下面這行代碼：

htpasswd -c /var/squid/etc/password guest

　　在輸入兩遍guest用戶(hù)的密碼后，一個(gè)guest用戶(hù)就生成了。如果以后需要添加用戶(hù)，把上面的命令去掉-c參數(shù)再運(yùn)行即可。

　　Squid 2.5在認(rèn)證處理上有了較大的改變，這里就只討論2.5版本的處理方法，2.4及以下版本請(qǐng)參考squid.conf.default。在2.5版的squid.conf中，包括以下幾個(gè)相關(guān)選項(xiàng)：

#該選項(xiàng)指出了認(rèn)證方式（basic)、需要的程序（ncsa_auth）和
對(duì)應(yīng)的密碼文件（password）
auth_param basic program /usr/bin/ncsa_auth /var/squid/etc/password
# 指定認(rèn)證程序的進(jìn)程數(shù)
auth_param basic children 5
# 瀏覽器顯示輸入用戶(hù)/密碼對(duì)話框時(shí)的領(lǐng)域內(nèi)容
auth_param basic realm My Proxy Caching Domain
# 基本的認(rèn)證有效時(shí)間
auth_param basic credentialsttl 2 hours
# 普通用戶(hù)需要通過(guò)認(rèn)證才能訪問(wèn)Internet
acl normal proxy_auth REQUIRED
http_access allow normal

　　通過(guò)以上的配置即可完成認(rèn)證工作。有的讀者可能要問(wèn)：認(rèn)證只針對(duì)普通用戶(hù)，而高級(jí)用戶(hù)是直接上網(wǎng)的，該怎么處理呢？其實(shí)，這兩種用戶(hù)是可以共存的。如前所述，Squid是順序處理http_access的，所以在http_access處理過(guò)程中，如果先處理normal用戶(hù)，那么當(dāng)前用戶(hù)無(wú)論是否屬于高級(jí)用戶(hù)，都會(huì)被要求進(jìn)行認(rèn)證；相反如果先處理高級(jí)用戶(hù)，剩下的就只有需要認(rèn)證的普通用戶(hù)了。例如以下配置代碼：

...
http_access allow normal (需要認(rèn)證)
http_access allow advance （不需要認(rèn)證）
...

　　不管是否為noauth用戶(hù)，都要求進(jìn)行用戶(hù)名/密碼驗(yàn)證。正確的方法是將二者位置交換，代碼如下：

...
http_access allow advance
http_access allow normal
...

　　這時(shí)，高級(jí)用戶(hù)不會(huì)受到任何影響。

　　總結(jié)

　　下面把整個(gè)squid.conf總結(jié)一下：

# 服務(wù)器配置
http_port 192.168.0.1:3128
cache_mgr start@soocol.com
cache_dir null /tmp
cache_access_log /var/squid/access.log
cache_log /var/squid/cache.log
cache_store_log /var/squid/store.log
visible_hostname No1.proxy
client_mask 255.255.255.255
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_user_host_header on

# 用戶(hù)分類(lèi)
acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b ...
acl normal proxy_auth REQUIED
acl all src 0.0.0.0

# 行為分類(lèi)
acl mmxfile urlpath_regex \.mp3$ \.avi$ \.exe$
acl conncount maxconn 3
acl worktime time MTWHF 8:30-12:00 14:00-18:00
acl sinapage dstdomain ok.sina.com.cn
acl qq dstdomain .tcccent.com.cn

# 處理
http_access allow advance
http_access deny conncount normal
http_access deny !worktime
http_access deny mmxfile
http_access deny sinapage
http_access deny qq
http_access allow normal

　　配置后的狀況是，advance組可以不受任何限制地訪問(wèn)Internet，而normal組則只能在工作時(shí)間上網(wǎng)，而且不能下載多媒體文件，不能訪問(wèn)某些特定的站點(diǎn)，而且發(fā)送請(qǐng)求不能超過(guò)3個(gè)。

　　通過(guò)本文的介紹，它可以了解Squid的基本能力。當(dāng)然，它的能力遠(yuǎn)不止此，可以建立強(qiáng)大的代理服務(wù)器陣列，可以幫助本地的Web服務(wù)器提高性能，可以提高本地網(wǎng)絡(luò)的安全性等。要想發(fā)揮它的功效，還需要進(jìn)一步控制。

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶(hù)發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊舉報(bào)。

国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看