鱿鱼代理服务的ACL访问控制,日志分析及反向代理
鱿鱼的ACL访问控制列表
鱿鱼提供了强大的代理控制机制,通过合理的设置ACL(访问控制列表,访问控制列表)并进行限制,可针对源地址,目标地址,访问的URL路径,访问的时间等各种控制条件进行过滤。
ACL访问控制通过以下两个步骤来实现:
①,使用acl配置项定义需要控制的条件;
②,通过http_access配置项对已定义的列表做“允许”或者“拒绝”访问的控制。
-
<李>定义访问控制列表
格式:acl列表名称列表类型列表内容···
李
常见的访问控制列表类型
列表类型 列表内容示例 含义,用途 src(源地址) 192.168.100.1,192.168.100.0/24 源IP地址,网段 dst(目标地址) 192.168.234.5,192.168.234.0/24,www.baidu.com 目标IP地址,网段,主机名 端口(目标端口) 80443年,8080年,20 目标端口 dstdomain(目标域) .qq.com 目标域,匹配域内的所有站点 时间(访问时间) 12:00-13:00, 使用代理服务器的时间段 maxconn(最大并发连接) 30. 每个客户机的最大并发连接数 url_regex(目标url地址) url_regex我^ rtsp://目标资源的URL地址,我表示忽略大小写 urlpath_regex(整个目标url路径) urlpath_regex我性成人 目标资源的整个URL路径,我表示忽略大小写2。设置访问权限
定义好各种访问控制列表以后,使用http_access配置项来进行控制。
格式:http_access允许或拒绝列表名···
在设置访问权限时,需要注意两点:
<李>没有设置任何规则时:鱿鱼服务将拒绝客户端的请求李 <李>有规则但找不到相匹配的项:鱿鱼将采用与最后一条规则相反的权限。
演示实验
因为之前我们做了鱿鱼的透明代理的实验,所以这里就接着那个实验继续做,配置好透明代理后,我们可以使用IP为192.168.100.50的客户机(客户端)访问IP为12.0.0.12的web服务器,那么下面我们就通过设置acl访问控制列表使客户不能访问web服务器
vim/etc/squid.conf
<代码> acl localhost src 192.168.100.0/24 #定义访问控制列表 http_access否认localhost #对列表做拒绝处理 鱿鱼停止服务 服务鱿鱼开始#重启服务
鱿鱼日志分析
鱿鱼的日志分析功能需要借助sarg(鱿鱼分析报告生成器),首先先部署安装sarg工具
<李>安装相关的软件环境包李
yum - y gd gd-devel httpd安装gcc gcc-c + + #这里的dg库是支持图像处理的软件
sarg下载地址
<李>安装sarg李
<代码> mkdir/usr/local/sarg #为sarg创建安装目录 焦油zxvf sarg-2.3.11.tar。广州- c/opt/#将sarg解压到指定目录 cd/opt/sarg-2.3.11/#到sarg目录中进行编译安装 ./configure——prefix=/usr/地方/sarg \ #这里指定安装目录 ——sysconfdir=/etc/sarg \ #指定配置文件目录 ——enable-extraprotection #开启额外保护功能 配置完后,进行编译和安装 使,,使安装<李>修改sarg配置文件
vim/etc/sarg/sarg.参看
<代码> access_log/usr/local/squid/var/logs/access.日志#指定访问日志文件(开启) 用户访问报告标题“乌贼”#网页标题(开启) output_dir/var/www/html/squid-reports #报告输出目录(开启) user_ip没有#使用用户名显示(开启) exclude_hosts/usr/local/sarg/noreport #不计入排序的站点列表文件(开启,删除没有,添加路径) topuser_sort_field连接反向#顶部排序中有连接次数,访问字节,降序排列升序是正常的(开启,修改字节) user_sort_field连接反向#用户访问记录连接次数,访问字节按降序排序(开启,修改字节) overwrite_report没有#同名日志是否覆盖(开启) mail_utility mailq。后缀#发送邮件报告命令(开启,修改邮件) 字符集utf - 8 #使用字符集(开启) 工作日6 #顶部排行的星期周期(开启) 小时0-23 #顶部排行的时间周期(开启) www_document_root/var/www/html #网页根目录(开启)鱿鱼代理服务的ACL访问控制,日志分析及反向代理(4.1版本)
