设为首页 收藏本站

运维网

 找回密码
 立即注册
查看: 1342|回复: 0

[经验分享] Squid访问控制方法的实例

[复制链接]
玩龙天子
累计签到:2 天
连续签到:1 天
发表于 2018-12-28 07:49:56 | 显示全部楼层 |阅读模式
  《Squid访问控制:ACL元素以及访问列表》这篇文章为大家详细讲述了ACL元素以及http_access访问控制列表的语法以及使用过程中需要注意的问题,下面给出使用这些访问控制方法的实例:
  (1)允许网段61.0.3.188/24以及172.190.96.33/24内的所有客户机访问代理服务器,并且允许在文件/etc/squid/guest列出的客户机访问代理服务器,除此之外的客户机将拒绝访问本地代理服务器:
  acl clients src 61.0.3.188/24 172.190.96.33/24
  acl guests src “/etc/squid/guest”
  acl all src 0.0.0.0/0.0.0.0
  http_access allow clients
  http_access allow guests
  http_access deny all
  其中,文件“/etc/squid/guest”中的内容为:
  172.168.10.3/24
  210.113.24.8/16
  10.0.1.24/25
  (2)允许域名为job.net、gdfq.edu.cn的两个域访问本地代理服务器,其他的域都将拒绝访问本地代理服务器:
  acl permitted_domain src job.net gdfq.edu.cn
  acl all src 0.0.0.0/0.0.0.0
  http_access allow permitted_domain
  http_access deny all
  (3)使用正则表达式,拒绝客户机通过代理服务器访问包含有诸如“sexy”等关键字的网站:
  acl deny_url url_regex –i sexy
  http_access deny deny_url
  (4)拒绝客户机通过代理服务器访问文件中指定IP或者域名的网站,其中文件/etc/squid/ deny_ip中存放有拒绝访问的IP地址,文件/etc/squid/deny_dns中存放有拒绝访问的域名:
  acl deny_ip dst “etc/squid/deny_ip”
  acl deny_dns dst “etc/squid/deny_dns”
  http_access deny deny_ip
  http_access deny deny_dns
  (5)允许和拒绝指定的用户访问指定的网站,其中,允许客户1访问网站http://www.sina. com.cn,而拒绝客户2访问网站http://www.163.com:
  acl client1 src 192.168.0.118
  acl client1_url url_regex ^http://www.sina.com.cn
  acl client2 src 192.168.0.119
  acl client2_url url_regex ^http://www.163.com
  http_access allow client1 client1_url
  http_access deny client2 client2_url
  (6)允许所有的用户在规定的时间内(周一至周四的8:30到20:30)访问代理服务器,只允许特定的用户(系统管理员,其网段为:192.168.10.0/24)在周五下午访问代理服务器,其他的在周五下午一点至六点一律拒绝访问代理服务器:
  acl allclient src 0.0.0.0/0.0.0.0
  acl administrator 192.168.10.0/24
  acl common_time time MTWH 8:30-20:30
  acl manage_time time F 13:00-18:00
  http_access allow allclient common_time
  http_access allow administrator manage_time
  http_access deny manage_time
  (7)/etc/squid.conf,系统软件包提供、推荐的最小化配置如下,用户可以根据实际情况来进行定制
  acl all src 0.0.0.0/0.0.0.0
  acl manager proto cache_object
  acl localhost src 192.168.10.3/255.255.255.255
  acl SSL_ports port 443 563
  acl Safe_ports port 80 # http
  acl Safe_ports port 21 # ftp
  acl Safe_ports port 443 563 # https, snews
  acl Safe_ports port 70 # gopher
  acl Safe_ports port 210 # wais
  acl Safe_ports port 1025-65535 # unregistered ports
  acl Safe_ports port 280 # http-mgmt
  acl Safe_ports port 488 # gss-http
  acl Safe_ports port 591 # filemaker
  acl Safe_ports port 777 # multiling http
  acl Safe_ports port 901 # SWAT
  acl purge method PURGE
  acl CONNECT method CONNECT
  (...)
  # Only allow cachemgr access from localhost
  http_access allow manager localhost
  http_access deny manager
  # Only allow purge requests from localhost
  http_access allow purge localhost
  http_access deny purge
  # Deny requests to unknown ports
  http_access deny !Safe_ports
  # Deny CONNECT to other than SSL ports
  http_access deny CONNECT !SSL_ports
  #
  # INSERT YOUR OWN RULE(S)HERE TO ALLOW ACCESS FROM YOUR CLIENTS
  #
  http_access allow localhost
  # And finally deny all other access to this proxy
  http_access deny all
  #Default:
  # icp_access deny all
  #
  #Allow ICP queries from eveyone
  icp_access allow all
  配置带认证的代理服务抑制非法用户使用代理服务
  默认时,Squid本身不带任何认证程序,但是可以通过外部认证程序来实现用户认证。一般有以下的认证程序:LDAP认证、SMB认证、基于mysql的认证、基于sock5的密码认证和基于Radius的认证。
  下面介绍常用的ncsa实现的认证,ncsa是Squid源代码包自带的认证程序之一,从squid 2.5开始都包含了ncsa的模块。在Red Hat Enterprise Linux 发行套件的/usr/lib/squid目录下可以找到ncsa_auth文件。
  要使用该认证服务,首先需要创建认证用户和密码:
  #htpasswd -c /usr/local/squid/etc/ps_file guest
  如果是以后添加用户的话就把-c的参数去掉。
  然后,再更改/etc/squid/squid.conf主配置文件,添加如下:
  //配置认证文件和用户文件
  auth_param basic program /usr/lib/squid/ncsa_auth /usr/local/squid/etc/ ps_file
  //指定认证程序的进程数
  auth_param basic children 5
  //代理服务器的名称
  auth_param basic realm Squid proxy-caching web server
  //认证有效时间为2小时
  auth_param basic credentialsttl 2 hours
  //只有认证用户才能访问
  acl normal proxy_auth REQUIRED
  http_Access allow normal
  最后,重启squid服务即可。在浏览器里配上这个代理,打开任意网站,如果弹出了输入用户名和密码的对话框,就证明配置成功了


运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-656641-1-1.html 上篇帖子: SQUID配制案例详解 下篇帖子: Squid缓存命中率调整惨痛教训
回复

使用道具 举报

返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服 E-mail:iyunvcom@gmail.com

本站由青云提供云计算服务

运维网--中国最专业的运维工程师交流社区

豫ICP备20007574号-1 Copyright © 2012-2025

关于我们

发展历程

联系我们

关注我们

广告服务

广告案例

隐私条款

免责声明

用户登录

用户注册

版主守则

申请版主

手机版

金币获取

帮助中心

每日签到

Good Good

Study

Day Day

UP


客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表