第16章配置与管理代理服务器课件.ppt

LinuxLinux操作系统与实训操作系统与实训( (第四版第四版）杨云杨云 编著编著中国铁道出版社中国铁道出版社国家精品课程国家精品课程/国家精品资源共享课程国家精品资源共享课程配套教材配套教材第16章 配置与管理代理服务器第16章 配置与管理代理服务器代理服务器(Proxy Server)等同于内网与Internet的桥梁。本章重点介绍squid代理服务器的配置。学习要点：l 防火墙的分类及工作原理。l 了解NATl 掌握firewall防火墙的配置l 掌握利用iptables实现NATSQUID代理服务器的配置。16.1 代理服务器概述 16.3 安装与配置安装与配置squid代理服务器代理服务器16.5 项目实录第16章 配置与管理代理服务器16.2 项目实施与准备16.4 企业实战与应用16.1代理服务器概述 代理服务器(Proxy Server)等同于内网与Internet的桥梁。普通的Internet访问是一个典型的客户机与服务器结构：用户利用计算机上的客户端程序，如浏览器发出请求，远端www服务器程序响应请求并提供相应的数据。而Proxy处于客户机与服务器之间，对于服务器来说，Proxy是客户机，Proxy提出请求，服务器响应；对于客户机来说，Proxy是服务器，它接受客户机的请求，并将服务器上传来的数据转给客户机。16.1.1 代理服务器的工作原理 当客户端在浏览器中设置好Proxy服务器后，所有使用浏览器访问Internet站点的请求都不会直接发给目的主机，而是首先发送至代理服务器，代理服务器接收到客户端的请求以后，由代理服务器向目的主机发出请求，并接收目的主机返回的数据，存放在代理服务器的硬盘，然后再由代理服务器将客户端请求的数据转发给客户端。具体流程如图16-1所示。16.1.2 代理服务器的作用提高访问速度。2. 用户访问限制。3. 安全性得到提高。16.2 项目设计及准备1. 项目设计 代理服务器将是很好的选择，它能够解决内部网访问Internet的问题并提供访问的优化和控制功能。本项目设计在安装有企业版Linux网络操作系统的服务器上安装squid代理服务器。2. 项目准备 部署squid代理服务器应满足下列需求。（1）安装好的企业版Linux网络操作系统，并且必须保证常用服务正常工作。客户端使用Linux或Windows网络操作系统。服务器和客户端能够通过网络进行通信。16.2 项目设计及准备（2）或者利用虚拟机进行网络环境的设置。如果模拟互联网的真实情况，则需要3台虚拟机。如表16-1所示。主机名称操作系统IP地址角色内网服务器：RHEL7-1RHEL 7192.168.10.1（VMnet1）Web服务器、iptabless q u i d 代 理 服 务 器 ：RHEL7-2RHEL 7IP1:192.168.10.20（VMnet1）I P 2 : 2 0 2 . 11 2 . 11 3 . 11 2（VMnet8）iptables、squid外 网 L i n u x 客 户 端 ：Client2RHEL 7202.112.113.113（VMnet8）Web、firewall16.3 安装与配置安装与配置squid代理服务器代理服务器16.3.1 安装squid服务器 squid将数据元缓存在内存中，同时也缓存DNS查寻的结果，除此之外，它还支持非模块化的DNS查询，对失败的请求进行消极缓存。squid支持SSL，支持访问控制。由于使用了ICP，squid能够实现重叠的代理阵列，从而最大限度的节约带宽。 squid由一个主要的服务程序squid，一个DNS查询程序dnsserver，几个重写请求和执行认证的程序，以及几个管理工具组成。 squid的另一个优越性在于它使用访问控制清单（ACL）和访问权限清单（ARL）。16.3 安装与配置安装与配置squid代理服务器代理服务器16.3.1 安装squid服务器 squid将数据元缓存在内存中，同时也缓存DNS查寻的结果，除此之外，它还支持非模块化的DNS查询，对失败的请求进行消极缓存。squid支持SSL，支持访问控制。由于使用了ICP，squid能够实现重叠的代理阵列，从而最大限度的节约带宽。 squid由一个主要的服务程序squid，一个DNS查询程序dnsserver，几个重写请求和执行认证的程序，以及几个管理工具组成。 squid的另一个优越性在于它使用访问控制清单（ACL）和访问权限清单（ARL）。13.2.1 iptables简介 1. squid软件包与常用配置项2安装、启动、停止squid服务squid服务（在RHEL7-2上安装）rootRHEL7-2 # rpm -qa |grep squidrootRHEL7-2 # mount /dev/cdrom /iso rootRHEL7-2 # yum clean all /安装前先清除缓存安装前先清除缓存rootRHEL7-2 # yum install squid -y rootRHEL7-2 # systemctl start squid/启动squid服务rootRHEL7-2 # systemctl enable squid/开机自动自动启动13.2 iptables 16.3.2 配置squid服务器squid服务的主配置文件是/etc/squid/squid.conf，用户可以根据自己的实际情况修改相应的选项。1几个常用的选项13.2 iptables 参数作用http_port 3128监听的端口号cache_mem 64M内存缓冲区的大小cache_dir ufs /var/spool/squid 2000 16 256硬盘缓冲区的大小cache_effective_user squid设置缓存的有效用户cache_effective_group squid设置缓存的有效用户组dns_nameservers IP地址一般不设置，而是用服务器默认的DNS地址cache_access_log /var/log/squid/access.log访问日志文件的保存路径cache_log /var/log/squid/cache.log缓存日志文件的保存路径visible_hostname 设置Squid服务器的名称16.3.2 配置squid服务器2设置访问控制列表squid代理服务器是Web客户机与Web服务器之间的中介，它实现访问控制，决定哪一台客户机可以访问Web服务器以及如何访问。squid服务器通过检查具有控制信息的主机和域的访问控制列表（ACL）来决定是否允许某客户机进行访问。ACL是要控制客户的主机和域的列表。使用acl命令可以定义ACL，该命令在控制项中创建标签。用户可以使用http_access等命令定义这些控制功能，可以基于多种acl选项，如源IP地址、域名、甚至时间和日期等来使用acl命令定义系统或者系统组。13.2 iptables 16.3.2 配置squid服务器（1）acl。acl命令的格式如下。acl 列表名称列表名称 列表类型列表类型 -i 列表值列表值（2）http_access。设置允许或拒绝某个访问控制列表的访问请求。格式如下：http_access allow|deny 访问控制列表的名称访问控制列表的名称squid服务器在定义了访问控制列表后，会根据http_access选项的规则允许 或禁止满足一定条件的客户端的访问请求。13.2 iptables 利用squid和NAT功能可以实现透明代理。透明代理的意思是客户端根本不需要知道有代理服务器的存在，客户端不需要在浏览器或其他的客户端工作中做任何设置，只需要将默认网关设置为Linux服务器的IP地址即可（内网IP地址）。透明代理服务的典型应用环境如图16-2所示。16.4 企业实战与应用企业实战与应用 1、实例要求如上图16-2所示，要求如下： 客户端在设置代理服务器地址和端口的情况下能够访问互联网上的Web服务器。 客户端不需要设置代理服务器地址和端口就能够访问互联网上的Web服务器，即透明代理。 代理服务器仅配置代理服务，内存2GB，硬盘为SCSI硬盘，容量200GB，设置10GB空间为硬盘缓存，要求所有客户端都可以上网。16.4 企业实战与应用企业实战与应用 2、客户端需要配置代理服务器的解决方案（1）部署网络环境配置本实训由3台Linux虚拟机组成，一台是squid代理服务器（RHEL7-2），双网卡（IP1：，连接VMnet1，IP2：，连接VMnet8）； 1台是安装Linux操作系统的squid客户端（RHEL7-1，IP：，连接VMnet1）；还有1台是互联网上的Web服务器，也安装了Linux（IP：，连接VMnet8）。16.4 企业实战与应用企业实战与应用 2、客户端需要配置代理服务器的解决方案 在RHEL7-1上（使用ifconfig设置IP地址等信息，重启后会失效。也可以使用其他方法） 在client2上（不要设置网关，或者把网关设置成自己不要设置网关，或者把网关设置成自己） 在RHEL7-2代理服务器上，停止firewalld启用iptables。（2）在RHELRHEL7-2上安 装、配置squid服务（前面已安装）rootRHEL7-2 # vim /etc/squid/squid.confhttp_access allow localnethttp_access deny all16.4 企业实战与应用企业实战与应用 2、客户端需要配置代理服务器的解决方案（3）在Linux客户端客户端RHEL7-1上测试代理设置是否成功（4）在Linux服务器端RHEL7-2上查看日志文件rootRHEL7-2 # vim /var/log/squid/access.log16.4 企业实战与应用企业实战与应用 3. 客户端不需要配置代理服务器的解决方案（1）在RHEL7-2上配置squid服务 修改squid.conf配置文件，将“http_port 3128”改为如下内容并重新加载该配置rootRHEL7-2 # vim /etc/squid/squid.conf http_port 192.168.10.20:3128 transparent rootrhel7-2 # systemctl restart squid 清除iptables影响，并添加iptables规则。将源网络地址为、tcp端口为80的访问直接转向3128端口。rootrhel7-2 # systemctl stop firewalldrootrhel7-2 # systemctl restart iptablesrootrhel7-2 # iptables -FrootRHEL7-2 #16.4 企业实战与应用企业实战与应用 3. 客户端不需要配置代理服务器的解决方案（2）在Linux客户端RHEL7-1上测试代理设置是否成功 打开Firefox浏览器，配置代理服务器。在浏览器中，按下Alt键调出菜单，依次单击“Edit（编辑）”“Perferences（首选项）” “Advanced（高级）”“Network（网络）”“Settings（设置）”命令，打开“连接设置”对话框，单击“No proxy（无代理）”，将代理服务器设置清空。 设置RHEL7-1的网关为。（删除网关命令是将add改为del）rootRHEL7-1 # route add default gw 192.168.10.20 /网关一定设置 在RHEL7-1浏览器地址栏输入，按回车。显示测试成功。16.4 企业实战与应用企业实战与应用 3. 客户端不需要配置代理服务器的解决方案（3）在Web服务器端Client2上查看日志文件rootClient2 # vim /var/log/httpd/access_log 202.112.113.112 - - 28/Jul/2018:23:17:15 +0800 GET /favicon.ico HTTP/1.1 404 209 - Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0 注意：RHEL7的Web服务器日志文件是/var/log/httpd/access_log，RHEL6中的Web服务器的日志文件是/var/log/httpd/access.log。16.4 企业实战与应用企业实战与应用 3. 客户端不需要配置代理服务器的解决方案（3）在Web服务器端Client2上查看日志文件rootClient2 # vim /var/log/httpd/access_log 202.112.113.112 - - 28/Jul/2018:23:17:15 +0800 GET /favicon.ico HTTP/1.1 404 209 - Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0 注意：RHEL7的Web服务器日志文件是/var/log/httpd/access_log，RHEL6中的Web服务器的日志文件是/var/log/httpd/access.log。16.4 企业实战与应用企业实战与应用 4. 反向代理的解决方案如果外网Client要访问内网RHEL7-1的Web服务器，这时可以使用反向代理。（1）在RHEL7-1上安装http服务、启动，并让防火墙通过。rootRHEL7-1 # yum install httpd -yrootRHEL7-1 # systemctl start firewalldrootRHEL7-1 # firewall-cmd -permanent -add-service=httprootRHEL7-1 # firewall-cmd -reloadrootRHEL7-1 # systemctl start httpdrootRHEL7-1 # systemctl enable httpd16.4 企业实战与应用企业实战与应用 （2）在RHEL7-2上配置反向代理。（特别注意acl等前3句，意思是先定义一个localnet网络，其网络ID是，后面再允许该网段访问，其他网段拒绝访问。）rootrhel7-2 # systemctl stop iptablesrootrhel7-2 # systemctl start firewalldrootrhel7-2 # firewall-cmd -permanent -add-service=squidrootrhel7-2 # firewall-cmd -permanent -add-port=80/tcprootrhel7-2 # firewall-cmd -reload rootRHEL7-2 # vim /etc/squid/squid.confhttp_access allow localnethttp_access deny allhttp_port 202.112.113.112:80 vhostcache_peer 192.168.10.1 parent 80 0 originserver weight=5 max_conn=30 rootrhel7-2 # systemctl restart squid16.4 企业实战与应用企业实战与应用 项目背景如图16-7所示。公司用squid作代理服务器（内网IP地址为），公司所用IP地址段为，并且想用8080作为代理端口。项目需求如下： 客户端在设置代理服务器地址和端口的情况下能够访问互联网上的Web服务器。 客户端不需要设置代理服务器地址和端口就能访问互联网上的Web服务器，即透明代理。 配置反向代理，并测试。16.5 项目实录其他需要说明的信息其他需要说明的信息本项目后的实训视频、其他文件请详见随书光盘。本教材电子教案、试卷等全套资源提供群： 414901724作者QQ：68433059教材教材ISBN：9787113-27064-3