squid之------ACL控制

一、ACL概念

  Squid提供了强大的代理控制机制,通过合理设置ACL(Access Control List,访问控制列表)并进行限制,可以针对源地址、目标地址、访问的URL路径、访问的时间等各种条件进行过滤。

ACL访问控制的步骤:

  1、使用acl配置项定义需要控制的条件

  2、通过http_access配置项对已定义的列表做“允许”或“拒绝”访问的控制

二、ACL用法概述

(1)定义ACL访问列表

定义格式:acl  列表名称  列表类型  列表内容 ...

例:控制源IP网段

vim etc/squid.conf

acl smile src 192.168.1.0/24  192.168.4.0/24

常用的ACL列表类型

1 src       源地址 2 dst      目标地址 3 port      目标地址 4 dstdomain   目标域 5 time     访问时间 6 maxconn    最大并发连接 7 url_regex   目标URL地址 # 可以定义大的范围比如http://www.baidu.com 8 urlpath_regex  整个目标URL路径 # 可以定位到每个网站的具体目标的url,比如百度音乐的一首歌的url

(2)ACL访问控制

  定义好各种访问控制列表以后,需要使用httpd_access配置项来进行控制

格式:

  ~]#vim etc/squid.conf

  http_access  allow或deny  列表名……

  在每一条http_access规则中,可以同时包含多个访问控制列表名,各个列表之间以空格分隔,为“与”的关系,表示必须满足所有访问控制列表对应的条件才会进行限制

  规则匹配原理:

没有设置任何规则时,Squid服务将拒绝客户端的请求,有规则但找不到相匹配的项时,Squid将采用与最后一条规则相反的权限,即如果最后一条规则时allow,就拒绝客户端的请求,否则允许该请求,但是我们要尽量避免找不到相匹配的情况。

三、ACL列表的详细应用

1、禁止任何客户机使用此代理服务:

定义一条名为all的列表,匹配来自任意源地址的代理访问;然后拒绝此列表,注意ACL列表要写在前面

1.vi /etc/squid.conf 2 .acl all src 0.0.0.0/0.0.0.0 3 .http_access deny all 4 .systemctl reload squid.service

2、允许多个局域网段在工作时间上网

1 .#vim /etc/squid.conf 2. acl all src 0.0.0.0/0.0.0.0 (有些版本要这么写acl all src all) 3. acl smile src 192.168.1.0/24 192.168.4.0/24 4.acl smiletime time MTWHF 08:30-17:30 (其中MTWHF是周一到周五的英文首字母) 5. http_access allow smile smiletime 6. http_access deny all 7. systemctl reload squid.service

3、通过黑名单限制目标网站

(1)首先创建地址列表文件(直接在配置文件里写也行,但是这种用列表文件的方式适合拒绝或允许的网站域名比较多的情况,而且方便增删管理)

1.vim /etc/squid/ipblock.list 2. 61.135.167.36 3. 60.28.14.0/24 4. vim /etc/squid/dmblock.list 5 .qq.com

(2)配置acl

1 .vim /etc/squid.conf 2 .acl IPBLOCK dst "/etc/squid/ipblock.list" 3 .acl DMBLOCK dstdomain "/etc/squid/dmblock.list" 4 .http_access deny IPBLOCK 5. http_access deny DMBLOCK 6 .systemctl reload squid.service

原文地址:https://www.cnblogs.com/--smile/p/11118972.html

时间: 2024-09-28 23:39:51

squid之------ACL控制的相关文章

squid代理与acl控制

      squid代理与acl控制 1:squid服务的作用 1.加快对http访问的速度 2.提高安全性 3.能够进行访问控制 代理的基本类型 l 传统代理:需要在客户机的浏览器.相关的工具上手动设置代理服务器的地址和端口,访问的网页域名也是由代理服务器进行解析的 l 透明代理:客户不需要指定代理服务器的地址和端口,而是通过网关,由防火墙的重定向策略将用户的请求交给代理服务器处理:域名解析有客户机完成 2:首先进行传统配置:如图   一.安装squid 1.解压 [[email prote

巧用Squid的ACL和访问列表实现高效访问控制

Squid是一个缓存Internet数据的软件,其接收用户的下载申请,并自动处理所下载的数据.当一个用户想要下载一个主页时,可以向 Squid发出一个申请,要Squid代替其进行下载,然后Squid连接所申请网站并请求该主页,接着把该主页传给用户同时保留一个备份,当别的用户申 请同样的页面时,Squid把保存的备份立即传给用户,使用户觉得速度相当快.Squid可以代理HTTP.FTP.GOPHER.SSL和WAIS等协 议并且,Squid可以自动地进行处理,可以根据自己的需要设置Squid,使之

Squid代理服务器+ACL访问控制+Squid日志分析&&任务计划

第一章:Squid代理服务器 防伪码:只有顽强,明日路纵会更彷徨! 理论概述: 1.缓存代理概述:squid主要提供缓存加速,应用层过滤控制的功能. 2.代理的基本类型 1)传统代理:普通的代理服务器,首先必须在客户机的浏览器.qq聊天工具.下载软件等程序中手动设置代理服务器的地址和端口,然后才能使用代理来访问网络. 2)透明代理:提供与传统代理相同的功能和服务,其区别在于客户机不需要指定代理服务器的地址和端口,而是通过默认路由.防火墙策略将Web访问重定向,实际仍然交给代理服务器来处理.  实

思科命令配置小技巧四:用ACL控制debug 输出

使用debug命令可以帮助我们TS,但是使用debug命令往往会输出一大堆信息,很多是我们不需要用的,也会造成CPU高负荷,这种情况下我们可以限制debug的输出 可以应用ACL到debug以限定仅输出要求的debug信息. 如仅查看从1.1.1.1到1.1.1.2的ICMP包: Router(config)# access-list 100 permit icmp host 1.1.1.1 host 1.1.1.2 Router# debug ip packet detail 100 思科命令

使用Hadoop ACL 控制訪问权限

使用Hadoop ACL 控制訪问权限 一.HDFS訪问控制 hdfs-site.xml设置启动acl <property> <name>dfs.permissions.enabled</name> <value>true</value> </property> <property> <name>dfs.namenode.acls.enabled</name> <value>true&l

使用Hadoop ACL 控制访问权限

使用Hadoop ACL 控制访问权限 一.HDFS访问控制 hdfs-site.xml设置启动acl <property> <name>dfs.permissions.enabled</name> <value>true</value> </property> <property> <name>dfs.namenode.acls.enabled</name> <value>true&l

linux命令(17)---文件权限管理命令之ACL控制

在linux系统中文件权限所属可管理的用户类型大致分为三类:u-->属主.g-->属组.o-->其他用 户,那么有没这么一种情况,有一个用户或组既不属于文件的属主.属组呢,当然出了属主.属组就是 其他用户了. 现在有这么一个目录名为"testdr",权限位770,从设置目录文件不难看出属主和属组对目录都有最 高的权限,其他用户对目录并且半点权限,现在要求一个用户既不属于属主或属组可对目录有rx权限, 一个不是目录属组的用户组对文件也有rx权限.针对目录而言rx权限意味

华为ACL控制协议实现流量控制

一.网络拓扑:二.实验内容:实现ACL控制流量的相关操作三.实验步骤:1.新建拓扑,添加三台路由器,两台PC机,并连线. 2.按照下图配置相关节点的IP地址,利用RIP协议配置路由器之间的动态路由RIP配置命令如下:[Huawei]rip 10[Huawei-rip-10]version 2 //启用RIPV2[Huawei-rip-10]network 192.168.1.0 //宣告网络进入RIP协议[Huawei-rip-10]network 192.168.2.0 //宣告网络进入RIP

ACL控制访问列表原理+实验

ACL控制访问列表原理+实验1.原理:ACL使用包过滤技术,在路由器上读取ISO七层模型的第三层及第四层包头中的信息,如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则,对包头进行过滤.2.从上到下逐条匹配,一旦匹配则停止匹配,一条不匹配,执行隐含(拒绝)命令.3.原则上ACL控制访问列表设置在进端口效率更高4.ACL的类型有三类:A.标准ACL,根据数据包的源IP地址来允许或拒绝转发数据包,列表号(1-99)B.扩展ACL,根据数据包的源IP地址,目的IP地址,指定协议,端口和标志来