Linux環(huán)境中代理服務(wù)器的配置與應(yīng)用

周莉+譚方勇

摘要：該文Linux中代理服務(wù)器squid為研究對象，分析代理服務(wù)器工作原理，闡述squid代理服務(wù)器的具體工作過程，給出了基于Linux iptables防火墻和squid代理服務(wù)器的透明代理的搭建方法，說明了squid的日志管理的具體步驟。

關(guān)鍵詞：代理服務(wù)器；透明代理；squid iptables SARG

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）22-0013-03

1 概述

代理服務(wù)器（Proxy）是一種主流的網(wǎng)絡(luò)服務(wù)器，其工作主要是代理內(nèi)部網(wǎng)絡(luò)用戶去取得外部數(shù)據(jù)。當客戶端有因特網(wǎng)數(shù)據(jù)請求時，代理服務(wù)器會幫助用戶去向目的地取得用戶所需要的數(shù)據(jù)，客戶端向外部要求的數(shù)據(jù)事實上都是代理服務(wù)器幫用戶取得的，除此之外代理服務(wù)器還有防火墻功能。一般來說代理服務(wù)器搭建在整個內(nèi)部網(wǎng)絡(luò)的對外的防火墻上

當內(nèi)網(wǎng)客戶端指定了代理為服務(wù)器后，客戶端想要取得外部數(shù)據(jù)主要包括以下步驟：1）客戶端向代理服務(wù)器發(fā)送一個數(shù)據(jù)需求數(shù)據(jù)包；2）代理服務(wù)器收到請求后，先比對這個數(shù)據(jù)包的來源與預(yù)計要前往的目標網(wǎng)站是否可接受，如果目標合法，代理服務(wù)器為該請求執(zhí)行代理服務(wù)；3）代理服務(wù)器首先檢查自己緩存，如果有，直接將數(shù)據(jù)取出，如果代理服務(wù)器沒有客戶端需要的數(shù)據(jù)時，代理服務(wù)器訪問外網(wǎng)去的相關(guān)數(shù)據(jù)；4）最后，由代理服務(wù)器將從緩存或外網(wǎng)中取得的數(shù)據(jù)回送給客戶端。

由于所有的內(nèi)網(wǎng)請求都會經(jīng)過代理服務(wù)器，因此代理服務(wù)器經(jīng)常會用于大型的企業(yè)內(nèi)部，可以對工作時間內(nèi)員工開展的網(wǎng)絡(luò)活動進行限制，還可以監(jiān)測用戶的資料要求流向和流量。搭建代理服務(wù)器主要有以下優(yōu)點：1）節(jié)省單點對外的網(wǎng)絡(luò)帶寬，降低網(wǎng)絡(luò)負載；2）以較短的路徑取得網(wǎng)絡(luò)數(shù)據(jù)，有網(wǎng)絡(luò)加速的感覺；3）通過上層代理服務(wù)器的輔助，達到自動數(shù)據(jù)分流的效果；4）提供防火墻內(nèi)部的計算機連上因特網(wǎng)。

2 squid代理服務(wù)器

http_access是按規(guī)則在配置文件中的先后順序處理的，并且找到第一個匹配項后，就按照到的規(guī)則處理，后繼規(guī)則就忽略不作對比。如上例中的三條http_access規(guī)則，當前l(fā)ocallan的位置是放在最后一位，對于內(nèi)網(wǎng)的代理請求，squid將先對比dropshopping和dropviolence這兩條規(guī)則，禁止內(nèi)網(wǎng)訪問購物網(wǎng)站和瀏覽暴力圖片，如果將locallan放在dropshopping和dropviolence這兩條規(guī)則前面，那么對于內(nèi)網(wǎng)的請求，squid將根據(jù)locallan執(zhí)行放行動作，后兩天規(guī)則得到不到執(zhí)行，因此網(wǎng)絡(luò)管理員在確定http_access順序時，須十分謹慎。

3）客戶端設(shè)置

內(nèi)網(wǎng)用戶在瀏覽器中設(shè)置代理服務(wù)器地址，指定端口，以Firefox為例，設(shè)置的路徑為Preferences->Advanced->Network->Connection Settings->Manual Proxy Configuration，此后用戶的訪問將轉(zhuǎn)發(fā)給代理服務(wù)器，代理服務(wù)器也需在防火墻中開放相應(yīng)的端口（默認3128）來提供代理服務(wù)。

3 透明代理

為了對內(nèi)網(wǎng)用戶對外網(wǎng)的訪問進行全面的控制和代理，可以強制用戶使用代理服務(wù)器，這也就是透明代理。透明代理是在對外的防火墻服務(wù)器NAT上安裝squid服務(wù)器，在squid中開啟transparent功能，在防火墻中做配置，將內(nèi)網(wǎng)中所有目的端口為80的請求重定向到防火墻上squid的監(jiān)聽端口3128，由此用戶不需要再瀏覽器內(nèi)做任何設(shè)置，代理工作由防火墻上的squid服務(wù)器自動完成。

以內(nèi)網(wǎng)地址為192.168.0.0/24，防火墻雙網(wǎng)卡，內(nèi)網(wǎng)地址192.168.0.254/24，外網(wǎng)地址120.5.6.7/24為例，訪問對象外網(wǎng)的WEB服務(wù)器地址為120.5.6.10/24，防火墻使用Linux自帶防火墻iptables，搭建透明代理主要包括以下步驟：

2）防火墻的透明代理配置

防火墻作為內(nèi)網(wǎng)和外網(wǎng)之間的安全組件，所有經(jīng)過防火墻的數(shù)據(jù)都接受檢查，只有符合安全策略的數(shù)據(jù)，才能放行。Linux自帶防火墻iptables是基于內(nèi)核內(nèi)建的Netfilter機制，提供一系列配置命令，可提供高效的包過濾處理。作為內(nèi)外網(wǎng)之間防火墻，防火墻的filter表的INPUT、OUTPUT、FORWARD三鏈的默認規(guī)則均為阻斷DROP，需要放行的數(shù)據(jù)，另行規(guī)定，本文將放行透明代理的iptables配置寫成可執(zhí)行腳本，以便批處理和重復(fù)利用，腳本語言中以#作為注釋符號，具體如下：

4 squid和SAG日志管理

squid的日志文件目錄為/var/log/squid，日志文件包括access.log和cache.log。access.log最為重要，記錄HTTP的代理記錄，該文件是基于行的，每行對應(yīng)一個客戶端請求，包含客戶端IP（或主機名）、請求URL、響應(yīng)size等信息；cache.log記錄緩存的啟動以及各類狀態(tài)；squid日志數(shù)據(jù)往往比較龐大，純文本日志文件往往閱讀理解不便，也缺少必要的分析，因此圖形化的日志分析工具更利于squid服務(wù)器的日志管理，如SARG（Squid Analysis Report Generator，分析報告制造者）。SARG讀取squid的日志進行解析，可以根據(jù)時間、網(wǎng)站等進行輸出。SARG依賴于Web服務(wù)器，SAG將統(tǒng)計結(jié)果輸出到/var/www/sarg，以下是SARG的使用方法：

5 結(jié)束語

本文闡述Linux中主流代理服務(wù)器squid的配置和使用方法，重點講解透明代理和squid日志管理，對Linux網(wǎng)絡(luò)管理員的日常運維工作具有一定的實踐參考價值和指導(dǎo)意義。

參考文獻：

[1] 鳥哥.鳥哥的Linux私房菜——服務(wù)器架設(shè)篇[M].北京：機械工業(yè)出版社，2012，7（422）.

[2] 王小杰.基于Linux系統(tǒng)的DHCP服務(wù)器架構(gòu)[J].電腦編程技巧與維護，2013，10（83-84）.