Squid访问控制方法的实例

日期: 2012-09-17 作者:羽扇纶巾 来源:TechTarget中国

《Squid访问控制:ACL元素以及访问列表》详细讲述了ACL元素以及http_access访问控制列表的语法以及使用过程中需要注意的问题,下面给出使用这些访问控制方法的实例:   (1)允许网段61.0.3.188/24以及172.190.96.33/24内的所有客户机访问代理服务器,并且允许在文件/etc/squid/guest列出的客户机访问代理服务器,除此之外的客户机将拒绝访问本地代理服务器:   acl clients src 61.0.3.188/24 172.190.96.33/24  acl guests src “/etc/squid/guest”  acl all src ……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

《Squid访问控制:ACL元素以及访问列表》详细讲述了ACL元素以及http_access访问控制列表的语法以及使用过程中需要注意的问题,下面给出使用这些访问控制方法的实例:

  (1)允许网段61.0.3.188/24以及172.190.96.33/24内的所有客户机访问代理服务器,并且允许在文件/etc/squid/guest列出的客户机访问代理服务器,除此之外的客户机将拒绝访问本地代理服务器:

  acl clients src 61.0.3.188/24 172.190.96.33/24
  acl guests src “/etc/squid/guest”
  acl all src 0.0.0.0/0.0.0.0
  http_access allow clients
  http_access allow guests
  http_access deny all

  其中,文件“/etc/squid/guest”中的内容为:
  172.168.10.3/24
  210.113.24.8/16
  10.0.1.24/25

  (2)允许域名为job.net、gdfq.edu.cn的两个域访问本地代理服务器,其他的域都将拒绝访问本地代理服务器:

  acl permitted_domain src job.net gdfq.edu.cn
  acl all src 0.0.0.0/0.0.0.0
  http_access allow permitted_domain
  http_access deny all

  (3)使用正则表达式,拒绝客户机通过代理服务器访问包含有诸如“sexy”等关键字的网站:

  acl deny_url url_regex –i sexy
  http_access deny deny_url

  (4)拒绝客户机通过代理服务器访问文件中指定IP或者域名的网站,其中文件/etc/squid/ deny_ip中存放有拒绝访问的IP地址,文件/etc/squid/deny_dns中存放有拒绝访问的域名:

  acl deny_ip dst “etc/squid/deny_ip”
  acl deny_dns dst “etc/squid/deny_dns”
  http_access deny deny_ip
  http_access deny deny_dns

  (5)允许和拒绝指定的用户访问指定的网站,其中,允许客户1访问网站http://www.sina. com.cn,而拒绝客户2访问网站http://www.163.com

  acl client1 src 192.168.0.118
  acl client1_url url_regex ^http://www.sina.com.cn
  acl client2 src 192.168.0.119
  acl client2_url url_regex ^http://www.163.com
  http_access allow client1 client1_url
  http_access deny client2 client2_url

  (6)允许所有的用户在规定的时间内(周一至周四的8:30到20:30)访问代理服务器,只允许特定的用户(系统管理员,其网段为:  192.168.10.0/24)在周五下午访问代理服务器,其他的在周五下午一点至六点一律拒绝访问代理服务器:

  acl allclient src 0.0.0.0/0.0.0.0
  acl administrator 192.168.10.0/24
  acl common_time time MTWH 8:30-20:30
  acl manage_time time F 13:00-18:00
  http_access allow allclient common_time
  http_access allow administrator manage_time
  http_access deny manage_time

  (7)/etc/squid.conf,系统软件包提供、推荐的最小化配置如下,用户可以根据实际情况来进行定制

  acl all src 0.0.0.0/0.0.0.0
  acl manager proto cache_object
  acl localhost src 192.168.10.3/255.255.255.255
  acl SSL_ports port 443 563
  acl Safe_ports port 80          # http
  acl Safe_ports port 21          # ftp
  acl Safe_ports port 443 563    # https, snews
  acl Safe_ports port 70          # gopher
  acl Safe_ports port 210         # wais
  acl Safe_ports port 1025-65535 # unregistered ports
  acl Safe_ports port 280         # http-mgmt
  acl Safe_ports port 488         # gss-http
  acl Safe_ports port 591         # filemaker
  acl Safe_ports port 777         # multiling http
  acl Safe_ports port 901         # SWAT
  acl purge method PURGE
  acl CONNECT method CONNECT
  (...)
  # Only allow cachemgr access from localhost
  http_access allow manager localhost
  http_access deny manager
  # Only allow purge requests from localhost
  http_access allow purge localhost
  http_access deny purge
  # Deny requests to unknown ports
  http_access deny !Safe_ports
  # Deny CONNECT to other than SSL ports
  http_access deny CONNECT !SSL_ports
  #
  # INSERT YOUR OWN RULE(S)HERE TO ALLOW ACCESS FROM YOUR CLIENTS
  #
  http_access allow localhost
  # And finally deny all other access to this proxy
  http_access deny all
  #Default:
  # icp_access deny all
  #
  #Allow ICP queries from eveyone
  icp_access allow all

  配置带认证的代理服务抑制非法用户使用代理服务

  默认时,Squid本身不带任何认证程序,但是可以通过外部认证程序来实现用户认证。一般有以下的认证程序:LDAP认证、SMB认证、基于mysql的认证、基于sock5的密码认证和基于Radius的认证。

  下面介绍常用的ncsa实现的认证,ncsa是Squid源代码包自带的认证程序之一,从squid 2.5开始都包含了ncsa的模块。在Red Hat Enterprise Linux 发行套件的/usr/lib/squid目录下可以找到ncsa_auth文件。

  要使用该认证服务,首先需要创建认证用户和密码:

  #htpasswd -c /usr/local/squid/etc/ps_file guest

  如果是以后添加用户的话就把-c的参数去掉。

  然后,再更改/etc/squid/squid.conf主配置文件,添加如下:

  //配置认证文件和用户文件
  auth_param basic program /usr/lib/squid/ncsa_auth /usr/local/squid/etc/ ps_file

  //指定认证程序的进程数
  auth_param basic children 5

  //代理服务器的名称
  auth_param basic realm Squid proxy-caching web server

  //认证有效时间为2小时
  auth_param basic credentialsttl 2 hours

  //只有认证用户才能访问
  acl normal proxy_auth REQUIRED
  http_Access allow normal

  最后,重启squid服务即可。在浏览器里配上这个代理,打开任意网站,如果弹出了输入用户名和密码的对话框,就证明配置成功了。

作者

羽扇纶巾
羽扇纶巾

自由撰稿人。

相关推荐