商业源码 WINDOWS系统下怎样配置squid做CDN的简明图解
今天写这篇教程目的在于分享自己在WINDOWS主机下配置squid的方法。哪些地方写的不完善或是不完整或是需要修改的地方,大家可以提出。我会第一时间纠正。下面看正文部分。
先提条件,您预安装配置squid的这台计算机必须是联入网络的,系统版本是windows 2000/xp/2003/server 2003。
1)先下载Squid for Windows版本,下载地址如下(ZIP文件名称:squid-27STABLE4-binzip),可以把这个文件下载到桌面,这样好找好操作。
Squid是Linux/Unix下著名的代理服务器软件,很多商业版本的代理服务器都是基于Squid进行开发的
而最近才偶尔发现Squid原来也有For Windows的版本。虽然此版本不是Squid项目官方发布的For Windows版,但是从发布的版本记录可以看出,此版本的维护者还是很负责任的。希望在Windows平台下搭建代理服务器的同学不妨试用一下。
2) 这步是解压文件,将刚才下载下来的ZIP文件(squid-27STABLE4-binzip)复到到C盘的根目录,然后在这个文件上点击鼠标右 键,选择“解压到squid-27STABLE4-bin”命令,即可在C盘根目录生成一个squid文件夹。这样的话,Squid for Windows版本就被“安装”到您的计算机中了。注意:尽量不要修改路径和文件夹名,尽量放在C盘根目录,文件夹名不要改,就叫squid,因为 Squid for Windows默认安装位置就是C:\squid,这点大家要谨慎。如果您要修改路径和文件夹名的话那得修改squid里面很多配置的,相当麻烦。
3)开始-运行-cmd,打开窗口后,按下图在DOS命令行下输入命令。
4) 关闭DOS窗口,回到桌面。进入我的电脑-C盘,双击打开squid文件夹,双击打开squidconf文件,对这个文件进行配置编辑。按 Ctrl+F,输入acl Safe_ports port 777,回车。然后在# multilinghttp后面按回车,增加一个空格,写入内容如下图所示。
5)再按Ctrl+F输入http_accessdeny CONNECT,回车,找到查找内容。在SSL_ports后按回车增加2个空行,输入内容请看下图所示。
6)找到# cache_mem 8 MB这句删掉前面的#号将默认的8修改到需要的大小,这里的数值应视具体的机器可用内存而定,应在内存允许的情况下尽量地设置的大一些以提高代理服务器性能,但不能让代理服务器的缓存大小影响本机器的性能。如下图操作即可。
7)设置hostname,请按下图操作。
8)按Ctrl+S保存对squidconf文件的编辑,然后关闭即可。
9)开始-运行-cmd,输入如下3条命令。
cd c:\squid\sbinsquid -i
squid -z
squid
10)配置完毕。
到这里,squid部分就搭建成功了
下面开始做域名解析
打开目录C:\WINDOWS\system32\drivers\etc
用记事本打开hosts编辑并保存
611746374 cdnjb51net cdnjb51cn
(这个IP是指您的主服务器IP,不是CDN机器的IP)
搜狗高速浏览器是一款集高效、稳定于一身的现代化网络浏览工具。利用先进的渲染引擎和优化算法,搜狗高速浏览器确保了卓越的页面加载速度和流畅的多媒体体验。具备全方位的安全防护特性,能有效防御各类网络威胁,同时支持HTML5和CSS3,确保了与最新网络技术标准的完美兼容。欲了解更多或立即下载,请访问https://sogou37moyucom/
摘要:代理服务器是介于浏览器和Web服务器之间的一台服务器,当你通过代理服务器上网浏览时,浏览器不是直接到Web服务器去取回网页,而是向代理服务器发出请求,由代理服务器来取回浏览器所需要的信息,并传送给你的浏览器。
代理服务器代理服务器有哪几种 如何获取代理服务器
代理,也称网络代理,是一种特殊的网络服务,允许一个网络终端(一般为客户端)通过这个服务与另一个网络终端(一般为服务器)进行非直接的连接。一些网关、路由器等网络设备具备网络代理功能。一般认为代理服务有利于保障网络终端的隐私或安全,防止攻击。
代理服务器的种类
HTTP代理
www对于每一个上网的人都再熟悉不过了,www连接请求就是采用的http协议,所以我们在浏览网页,下载数据(也可采用ftp协议)时就是用http代理。它通常绑定在代理服务器的80、3128、8080等端口上。
socks代理
相应的,采用socks协议的代理 服务器 就是SOCKS服务器,是一种通用的代理服务器。Socks是个电路级的底层网关,是DavidKoblas在1990年开发的,此后就一直作为Internet RFC标准的开放标准。Socks不要求应用程序遵循特定的操作系统平台,Socks代理与应用层代理、HTTP层代理不同,Socks代理只是简单地传递数据包,而不必关心是何种应用协议(比如FTP、HTTP和NNTP请求)。所以,Socks代理比其他应用层代理要快得多。它通常绑定在代理服务器的1080端口上。如果您在企业网或校园网上,需要透过防火墙或通过代理服务器访问Internet就可能需要使用SOCKS。一般情况下,对于拨号上网用户都不需要使用它。注意,浏览网页时常用的代理服务器通常是专门的http代理,它和SOCKS是不同的。因此,您能浏览网页不等于您一定可以通过SOCKS访问Internet。常用的防火墙,或代理软件都支持SOCKS,但需要其管理员打开这一功能。如果您不确信您是否需要SOCKS或是否有SOCKS可用,请与您的网络管理员联系。为了使用socks,您需要了解一下内容:
①SOCKS服务器的IP地址
②SOCKS服务所在的端口
③这个SOCKS服务是否需要用户认证?如果需要,您要向您的网络管理员申请一个用户和口令。
知道了上述信息,您就可以把这些信息填入“网络配置”中,或者在第一次登记时填入,您就可以使用socks代理了。
在实际应用中SOCKS代理可以用作为:电子邮件、新闻组软件、网络传呼ICQ、网络聊天MIRC和使用代理服务器上联众打游戏等等各种 游戏 应用软件当中。
***代理
指在共用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个***网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路,而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。用户的数据是通过ISP在公共网络(Internet)中建立的逻辑隧道(Tunnel),即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输,从而真正实现网络数据的专有性。
反向代理
反向代理服务器架设在服务器端,通过缓冲经常被请求的页面来缓解服务器的工作量。安装反向代理服务器有几个原因:加密和SSL加速,负载平衡,缓存静态内容,压缩减速上传,安全外网发布,大多使用开放源代代码的squid做反向代理
其他类型
FTP代理:能够代理客户机上的FTP软件访问FTP服务器
RTSP代理:代理客户机上的Realplayer访问Real流媒体服务器
POP3代理:代理客户机上的邮件软件用POP3方式收发邮件
如何获取代理服务器
有两种方法可以获取代理服务器,从上面的内容我们已经知道,要找代理服务器其实就是要找出该服务器的IP地址、服务类型及所用端口,我们可以使用“代理猎手Proxy Hunter”这个软件来搜索,也可以通过第三方代理发布网站获取。
第一种方法
简单介绍一下代理猎手使用方法:
1、启动代理猎手,在左上方的“IP地址范围”输入起止地址,比如你要查找2106200-->2106300这个IP段内的代理服务器,就在左栏输入:2106200,在右栏输入:2106300。然后点击〔添加地址〕按钮,这时该段地址就会加入搜索任务中。
2、选择端口范围。代理猎手支持搜索HTTP代理和SOCKS代理,你可以把上面列出的这两种代理常用的端口加入。加入方法:在“端口范围”的第一个空白栏输入“8080”,第二栏也输入“8080”,类型选择“HTTP”,然后点击〔添加端口〕按钮,你就会发现端口列表中出现“8080|8080|HTTP”。按此方法再加入下列端口:“80|80|HTTP”、“3128|3128|HTTP”、“8081|8081|HTTP”、“9080|9080|HTTP”、“1080|1080|SOCKS”。
3、点击〔参数设定〕按钮,把{搜索验证设置}的“连接超时时间”改为6,“验证超时时间”改为30,“并发连接数目”改为100;{验证设置}的“连接超时时间”改为45,“验证超时时间”改为90。这些数值设置太小会导致代理地址找不全,太大又会浪费时间=金钱。确定后返回。
4、点击〔开始搜索〕按钮,一找到代理服务器就会显示在左下方的列表中,只有验证状态显示为“Free x秒”的是可以使用的免费代理服务器。
验证
代理猎手的右下方有8个按钮,第一个是“检验”、第二个是“检验全部”,我们可以按〔检验全部〕来验证列表中的所有代理是否可以使用,也可以在列表中选中一个或多个代理地址后,点击〔检验〕,只验证这几个代理是否可以使用。验证完毕后,点击列表的标题“验证状态”,可以把可用的代理服务器集中排列在列表的前面,方便查找。
导出导入
如果你找到了许多代理服务器,想送给朋友,你就可以点击〔导出结果〕按钮,把所选的或全部的代理地址保存在一个扩展名为txt的文本文件中(使用代理猎手30版的要注意,导出时至少应把“内容设定”下的“类型”也选中,一起导出),然后把这个文件传给你的朋友就行了。你的朋友得到这个文件后,可以用〔导入结果〕按钮,将这些地址引入到他的《代理猎手》列表中(使用代理猎手30版本的要注意,在使用导入结果时,当弹出选择文件对话框时要把最下面的“避免导入重复项”选中,才不会使列表中出现重复的地址)。
如果你在网上找到网友公布的代理地址,如何将这些地址导入《代理猎手》中呢?方法如下:
1、打开一个文本编辑器(如Windows自带的记事本)。
2、按此格式“地址:端口@类型”输入地址,每个地址独占一行。注意:其中的“:”和“@”都是英文的标点,不能使用中文标点。对于类型是@HTTP的可以省略为“地址:端口”而不必写后面的@HTTP。如:
7712590:1080@SOCKS5
77125146:21@FTP
17365126:3128
782635:80
3、把这个文件取任意名保存起来,如proxytxt。
4、启动代理猎手,选择“导入结果”,找到刚才编辑的proxytxt文件,导入即可(记住要选中“避免导入重复项”)。
5、选中刚才导入的结果,点击〔检验〕,能不能用就清楚了。
代理技巧
在搜索代理服务器时,输入的IP范围非常重要,一般来说,设置代理服务器比较多的地方是一些经济比较发达的地区,你可以找到全国各省市的IP地址,然后有针对性地进行搜索。
代理服务器新手应用指南
首先我要说明,我们这里要谈的代理,是代理服务器,英文名叫Proxy Server。一般来讲,对于我们这些普通的网民它的作用有二个(撇开一些高深的用处不谈,因为我们未必会用到):
一是通过它,我们可以访问到一些平时不能去的网站。不信你可以马上打开你的浏览器和输入这个网址。怎样?不用看着浏览器在这里空等了,并不是你的网络速度慢,也不是没有这个网站,而是你访问不到它(网络上还有很多这些类型的网站哦)。为什么访问不到?这个问题嘛……说法有很多种,大部分都说是国内的网络被限制了访问,所以某些网站是不能去的。至于如何可以访问到这些网站?看完本文你就知道了!
二是通过它来加快我们浏览某些网站的速度。有时候我们访问一些国外或者港台网站,速度慢得像蜗牛一样。但只要你正确的选用代理服务器,速度就可以得到提升,有时候这些速度的提升可是很明显的哦!
如果你在以往浏览过程中出现过以上的情况,那么看来你有必要尝试一下使用代理服务器了。
为什么使用代理服务器可以使我们访问一些原本不能访问的网站呢?为什么使用它后浏览外国网站会比原来的快呢?形象的说:代理服务器是网络信息的中转站。在一般情况下,我们使用网络浏览器直接去连接其他Internet站点取得网络信息时,须送出Request信号来得到回答,然后对方再把信息以bit方式传送回来。
代理服务器是介于浏览器和Web服务器之间的一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,Request信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。而且,大部分代理服务器都具有缓冲的功能,就好像一个大的Cache,它有很大的存储空间,它不断将新取得数据储存到它本机的存储器上,如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的,那么它就不重新从Web服务器取数据,而直接将存储器上的数据传送给用户的浏览器,这样就能显著提高浏览速度和效率(速度会随着代理服务器地理位置的不同以及网络传输情况而改变),而且国外的网络大部分都是没有限制访问网站或者所限制的不同,所以我们有很大的机会通过代理服务器去访问那些原本不能够去的网站。
更重要的是:Proxy Server(代理服务器)是Internet链路级网关所提供的一种重要的安全功能,它的工作主要在开放系统互联(OSI)模型的对话层。
proxy对于我们这么有用,那么究竟怎样才可以在偌大的网络上找寻这些服务器呢?这就要靠一些专门找寻proxy的软件了,下面就是几款常用软件的介绍:
一Proxy Hunter
这是Proxy搜索软件的老大哥了,自从10推出以来,就倍受全国网友热爱,版本是30,这个Proxy Hunter有什么特点呢带有预测搜索任务完成时间的功能,除了教育网外,不限制搜索IP地址范围,同时支持HTTP与SOCKS类Proxy的搜索和验证,具备对已搜索得的Proxy地址进行管理,使用,自动调度,再验证等先进的功能。当有一大堆Proxy,不知用哪个好时,这时你需要自动调度功能,将网络软件的Proxy设置为本机IP(127001),端口8080,然后在Proxy Hunter搜索结果列表中将欲使用的Proxy按鼠标右键设为“使用”(Enable),这样Proxy Hunter就会根据当时各Proxy速度的快慢,选择一个或数个使用,很方便吧。
二Proxy NOW系列
这是由网站自动更新软件Update NOW的作者开发的,由HTTP Proxy NOW、SOCKS Proxy NOW、FTP Proxy NOW三部分组成,顾名思义,功能是分别搜索上述三类Proxy用的,若是能将其合一在一个软件里就好了,Proxy NOW系列的优点是绝对不限制搜索IP范围,但没注册进入时会有延时,不过只有几秒钟,没大碍,搜索速度还可以,算是中规中矩,缺点是功能分散单一,可设置项较少,验证不那么完善。
三SOCKS Cat
这是专门搜索SOCKS Proxy的,同样不限制搜索IP地址范围,速度也比较快,据作者称,其速度只比Proxy Hunter慢些,不过在验证SOCKS Proxy方面要做得好,同时支持SOCKS4、SOCKS5的Proxy的搜索和验证,支持设置供验证的网页,设置最高连接数等,经实际使用,效果不错,如果能加入对HTTP Proxy的搜索和验证功能可能会更好。
当然,有些搜索经验也应该掌握,搜索Proxy,如大海捞针,不掌握要领,可是要吃大亏的。大规模搜索,效果好,但成本高,耗时长,不值得推荐。经过实践,局部地区震荡IP搜索法较好。例如,你所在地有一大ISP或者是ICP,假设其IP地址为20296123123,这时请以总数1275(255×5)为震荡范围,计算出应尝试搜索的范围是202961210至20296125255,祝你好运!还有连接时间设长一点,以及注意加入以下端口8080(HTTP)3128(HTTP)80(HTTP)1080(SOCKS)这样才不会有漏网之鱼。
接下来将以ProxyHunter为例子,为大家讲解如何搜索proxy。
当你填加完任务后,返回到主界面,按蓝色的开始键,这样ProxyHunter就会开始搜索代理了。你需要做的事情就是盯住搜索结果栏和耐心地等待。
服务器地址:这里出现的就是你搜索到的代理服务器的IP。
端口:这个是它所用的端口。
类型:就是这个Proxy的类型。
验证状态:这个最重要,它的状态分几种,上图列出的就是其中几种状态,通常如果成功搜索到这个proxy的话,它会显示为“FREE”,那么你就可以直接使用这个proxy;如果显示为“要密码”的话,基本上你可以把这个proxy删除了,或将其密码破解;要是显示“连接超时”或“连接失败”等其他状态的话,那么可能你现在的网络正处于繁忙状态,也有可能是这个proxy暂时关闭了,你可以隔一段时间再去验证一次。
时间特性:这个数值影响到这个proxy的速度,它显示的是你的机器连接到proxy的时间,如果你有多个proxy供你选择话,那么就选一个相对数值小的一个吧,连接的时间越小就代表这个porxy越快。
经过上一步的搜索,想必你已经搜索到几个“Free”属性的Proxy了吧?恭喜恭喜~
那么究竟怎样才可以用这些Proxy呢?其实很简单,大部分软件都有一些软件属性的选项,比如“Setting”和“Preferences”等等。而在这些选项里面通常会有“Proxy”这个选项,你只需要在“Proxy”选项里面填上你搜索出来的Proxy的IP的端口,那么就可以使用这个Proxy了。如果软件是中文的话那么就更加简单,只要在“设置代理服务器”里面填上就ok了。
以浏览器IE6为例:
1、打开“工具”里面的“Internet选项”。
2、点选“连接”框。
3、如果你使用拨号上网的话,那么选择“设置”。如果你是使用局域网的话,那么选择“局域网设置”。
4、在里面就有“代理服务器”这个设置。先点击“使用代理服务器”,然后在“地址”上填上Proxy的IP,在“端口”填上端口。
第二种方法
自己通过代理软件去搜索代理服务器对一般用户来说显然太过漫长,其实已有很多搜索出来的代理服务器分享到了第三方的网站,我们只要到这些网站去搜索和找到符合自己想要的代理服务器就可以了,这样的网站很多,在搜索引擎里搜索代理服务器网就能出来很多这样的网站,在这样的网站查找自己满意的代理服务器就可以了。
总结而言,搜狗高速浏览器是一款为满足现代网络需求而精心打造的浏览器。其专业的开发团队不仅注重提供一流的用户体验,还致力于不断优化网页执行速度,增强安全性,以及支持各类扩展插件,从而实现高度个性化的浏览体验。如果您在寻找一款可靠、高效和技术先进的浏览器,搜狗高速浏览器将是您的理想选择。请访问官方网站https://sogou37moyucom/ 下载并体验搜狗高速浏览器,感受由先进技术所驱动的非凡浏览体验。
500台机器上网,使用Rehl 4 +squid+iptables透明代理上网
http_port 3128
cache_mem 512 M
cache_swap_low 75
cache_swap_high 95
maximum_object_size 1024 KB
cache_dir ufs /usr/local/squid/cache 60000 16 256
cache_access_log /var/squid/logs/accesslog
cache_log /dev/null
cache_store_log none
acl net1 src 19216810/24
acl net2 src 19216820/24
acl net4 src 19216840/24
acl net5 src 19216850/24
acl net13 src 192168130/24
acl net16 src 192168160/24
# And finally deny all other access to this proxy
http_access allow localhost
http_access allow net1
http_access allow net2
http_access allow net4
http_access allow net5
http_access allow net13
http_access allow net16
http_access deny all
visible_hostname proxy
httpd_accel_port 80
httpd_accel_host virtual
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
#acl acl_type_deny urlpath_regex -i \rm$
#acl acl_type_deny urlpath_regex -i \mp3$
#acl acl_type_deny urlpath_regex -i \wma$
#acl acl_type_deny urlpath_regex -i \asf$
#acl acl_type_deny urlpath_regex -i \avi$
#acl acl_type_deny urlpath_regex -i \ram$
#acl acl_type_deny urlpath_regex -i \mpeg$
#acl acl_type_deny urlpath_regex -i \torrent$
#禁止下载以上类型文件IPtables配置:
QUOTE:
# /etc/sysconfig/iptables 文件
IPtables配置:
# /etc/sysconfig/iptables 文件
#
#======================= 开始 =======================
#
# mangle 段
mangle
REROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
#
#
# nat 段
nat
REROUTING ACCEPT [0:0]
OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#
# 为使用 SQUID 作“透明代理”而设定!
#开放DNS
#[0:0] -A FORWARD -p udp --dport 53 -j ACCEPT
#允许TELNET
#[0:0] -A INPUT -i eth0 -s 19216816254 -d 1921682253 -p tcp --dport 23 -j ACCEPT
# 没有指定 网卡、地址:
#[0:0] -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
# 指定 网卡、地址:
[0:0] -A PREROUTING -s 19216800/25525500 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
[0:0] -A POSTROUTING -s 19216800/25525500 -o eth0 -j SNAT --to 21157143190
[0:0] -A PREROUTING -i eth0 -p tcp -s 19216800/25525500 --sport 443 -j REDIRECT --to-port 3128
# 将 对于 80、443 端口的访问 重定向到 3128 端口。
#
# 这些机器可以走这个机器做网关上 Internet 网。
# 需要在 /etc/sysctlconf 文件里面修改成 netipv4ip_forward = 1
# 或者 echo 1 > /proc/sys/net/ipv4/ip_forward
# 由于利用 SQUID 实现了“透明代理”,Masq 取消相应的客户地址。
# 若你的 公网的 IP 地址是固定的,使用这个语句似乎更好些:
#[0:0] -A POSTROUTING -s 19216800/25525500 -j SNAT --to 21157143190
COMMIT
#
#
# filter 段
filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#
#
# 防止IP欺骗:
# 所谓的IP欺骗就是指在IP包中存在着不可能的IP源地址或目标地址。
# eth1是一个与外部Internet相连,而19216800则是内部网的网络号,
# 也就是说,如果有一个包从eth1进入主机,而说自己的源地址是属于
# 19216800网络,或者说它的目标地址是属于这个网络的,那么这显
# 然是一种IP欺骗,所以我们使用DROP将这个包丢弃。
#[0:0] -A INPUT -d 19216800/25525500 -i eth1 -j DROP
#[0:0] -A INPUT -s 19216800/25525500 -i eth1 -j DROP
#
# 同样的,如果有包要通过eth1向Internet,而且它的源地址或目标地址是属于
# 网络19216800,那么显然也是不可能的。我们仍然使用DROP将它丢弃。
[0:0] -A OUTPUT -d 19216800/25525500 -o eth1 -j DROP
[0:0] -A OUTPUT -s 19216800/25525500 -o eth1 -j DROP
#
# 防止广播包从IP代理服务器进入局域网:
[0:0] -A INPUT -s 255255255255 -i eth0 -j DROP
[0:0] -A INPUT -s 224000/224000 -i eth0 -j DROP
[0:0] -A INPUT -d 0000 -i eth0 -j DROP
# 当包的源地址是255255255255或目标地址是0000,则说明它是一个
# 广播包,当广播包想进入eth0时,我们就应该DENY,丢弃它。而240000/3
# 则是国际标准的多目广播地址,当有一个源地址是属于多目广播地址的包,
# 我们将用DROP策略,丢弃它。
#
# 屏蔽 windows xp 的 5000 端口(这个端口是莫名其妙的 !)
[0:0] -A INPUT -p tcp -m tcp --sport 5000 -j DROP
[0:0] -A INPUT -p udp -m udp --sport 5000 -j DROP
[0:0] -A OUTPUT -p tcp -m tcp --dport 5000 -j DROP
[0:0] -A OUTPUT -p udp -m udp --dport 5000 -j DROP
#
# 防止 Internet 网的用户访问 SAMBA 服务器:
[0:0] -A INPUT -s 21157143177 -i eth1 -p tcp -m tcp --dport 137:139 -j DROP
[0:0] -A INPUT -s 21157143177 -i eth1 -p udp -m udp --dport 137:139 -j DROP
[0:0] -A INPUT -s 211573177/255255255240 -i eth1 -p tcp -m tcp --dport 137:139 -j DROP
[0:0] -A INPUT -s 21157143177/255255255240 -i eth1 -p udp -m udp --dport 137:139 -j DROP
[0:0] -A INPUT -p tcp -m tcp --dport 137:139 -j DROP
[0:0] -A INPUT -p udp -m udp --dport 137:139 -j DROP
#
# 允许本地网的用户访问 SAMBA 服务器:
[0:0] -A INPUT -s 19216800/2552552550 -i eth0 -p tcp -m tcp --dport 137:139 -j ACCEPT
[0:0] -A INPUT -s 19216800/2552552550 -i eth0 -p udp -m udp --dport 137:139 -j ACCEPT
#
# 对于本局域网用户不拒绝访问:
[0:0] -A INPUT -s 19216800/25525500 -i eth0 -p tcp -j ACCEPT
[0:0] -A INPUT -s 19216800/25525500 -i eth0 -p udp -j ACCEPT
#
#
[0:0] -A INPUT -i eth1 -p udp -m udp --dport 3 -j DROP
[0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 3 -j DROP
[0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 111 -j DROP
[0:0] -A INPUT -i eth1 -p udp -m udp --dport 111 -j DROP
#
[0:0] -A INPUT -i eth1 -p udp -m udp --dport 587 -j DROP
[0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 587 -j DROP
#
# 防止 Internet 用户访问 SQUID 的 3128 端口:
[0:0] -A INPUT -s 21157143177 -i eth1 -p tcp -m tcp --dport 3128 -j DROP
[0:0] -A INPUT -s 19216800/25525500 -i eth0 -p tcp -m tcp --dport 3128 -j ACCEPT
[0:0] -A INPUT -s 21157143177/255255255240 -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 3128 -j DROP
#
# 让人家 ping 不通我 !
[0:0] -A INPUT -i eth1 -s 19216800/16 -p icmp -m icmp --icmp-type 8 -j ACCEPT
[0:0] -A INPUT -i eth1 -s 21157143177/28 -p icmp -m icmp --icmp-type 8 -j ACCEPT
[0:0] -A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j DROP
#
COMMIT
# ======================= 结束 =======================# ======================= 结束 =======================
代理服务器的功能是代理网络用户取得网络信息,它是网络信息的中转站。随着代理服务器的广泛使用,随之而来的是一系列的安全问题。由于没有对代理服务器的访问控制策略作全面细致的配置,导致用户可以随意地通过代理服务器访问许多色情、反动的非法站点,而这些行为往往又很难追踪,给管理工作带来极大的不便。Squid是Linux下一个缓存Internet数据的代理服务器软件,其接收用户的下载申请,并自动处理所下载的数据。也就是说,当一个用户想要下载一个主页时,可以向Squid发出一个申请,要Squid代替其进行下载,然后Squid连接所申请网站并请求该主页,接着把该主页传给用户同时保留一个备份。当别的用户申请同样的页面时,Squid把保存的备份立即传给用户,使用户觉得速度相当快。目前,Squid可以代理HTTP、FTP、GOPHER、SSL和WAIS协议,暂不能代理POP3、NNTP等协议。Squid可以工作在很多操作系统中,如AIX、Digital、Unix、FreeBSD、HP-UX、Irix、Linux、NetBSD、Nextstep、SCO、Solaris、OS/2等。安装和配置SquidServer通常说来,安装Squid有两种方法:一是从RedHatLinux9中获取该软件的RPM包进行;二是安装从Squid的官方站点aclallsrc0000/0000http_accessallowpermitted_domainhttp_accessdenyall如果,使用正则表达式,拒绝客户机通过代理服务器访问包含有诸如“sexy”等关键字的网站。那么具体操作如下:acldeny_urlurl_regex-sexyhttp_accessdenydeny_url如果,拒绝客户机通过代理服务器访问文件中指定IP或者域名的网站,其中文件/etc/squid/deny_ip中存放有拒绝访问的IP地址,文件/etc/squid/deny_dns中存放有拒绝访问的域名。那么具体操作如下:acldeny_ipdst“etc/squid/deny_ip”acldeny_dnsdst“etc/squid/deny_dns”http_accessdenydeny_iphttp_accessdenydeny_dns
0条评论