巧用Squid的ACL和訪問列表實現高效訪問控制
原創【51CTO專稿】Squid是一個緩存Internet數據的軟件,其接收用戶的下載申請,并自動處理所下載的數據。當一個用戶想要下載一個主頁時,可以向Squid發出一個申請,要Squid代替其進行下載,然后Squid連接所申請網站并請求該主頁,接著把該主頁傳給用戶同時保留一個備份,當別的用戶申請同樣的頁面時,Squid把保存的備份立即傳給用戶,使用戶覺得速度相當快。Squid可以代理HTTP、FTP、GOPHER、SSL和WAIS等協議并且,Squid可以自動地進行處理,可以根據自己的需要設置Squid,使之過濾掉不想要的東西。
Squid可以工作在很多的操作系統中,如AIX、Digital、UNIX、FreeBSD、HP-UX、Irix、Linux、NetBSD、Nextstep、SCO、Solaris、OS/2等。
在使用過程中,合理使用訪問控制是非常重要的工作。使用訪問控制特性,可以控制其在訪問時根據特定的時間間隔進行緩存、訪問特定站點或一組站點等等。Squid訪問控制有兩個要素:ACL元素和訪問列表。訪問列表可以允許或拒絕某些用戶對此服務的訪問。下面分別介紹ACL元素以及訪問列表的使用方法。
1.ACL元素
該元素定義的語法如下:
acl aclname acltype string1…
acl aclname acltype "file"…
當使用文件時,該文件的格式為每行包含一個條目。
其中,acltype可以是src、dst、srcdomain、dstdomain、url_regex、urlpath_regex、time、port、proto、method中的一任意一種。
src:指明源地址。可以用以下的方法指定:
acl aclname src ip-address/netmask ... 客戶ip地址 acl aclname src addr1-addr2/netmask ... 地址范圍
dst:指明目標地址,即客戶請求的服務器的IP地址。語法為:
acl aclname dst ip-address/netmask ...
srcdomain:指明客戶所屬的域,Squid將根據客戶IP反向查詢DNS。語法為:
acl aclname srcdomain foo.com ...
dstdomain:指明請求服務器所屬的域,由客戶請求的URL決定。語法為:
acl aclname dstdomain foo.com ...。此處需要注意的是:如果用戶使用服務器IP而非完整的域名時,Squid將進行反向的DNS解析來確定其完整域名,如果失敗,就記錄為“none”。
time:指明訪問時間。語法如下:
acl aclname time [day-abbrevs] [h1:m1-h2:m2][hh:mm-hh:mm]
日期的縮寫指代關系如下:
- S:指代Sunday
- M:指代Monday
- T:指代Tuesday
- W:指代Wednesday
- H:指代Thursday
- F:指代Friday
- A:指代Saturday
另外,h1:m1必須小于h2:m2,表達式為[hh:mm-hh:mm]。
port:指定訪問端口。可以指定多個端口,比如:
acl aclname port 80 70 21 ... acl aclname port 0-1024 ... 指定一個端口范圍
proto:指定使用協議。可以指定多個協議:
acl aclname proto HTTP FTP ...
method:指定請求方法。比如:
acl aclname method GET POST ...
url_regex:URL規則表達式匹配,語法為:
acl aclname url_regex[-i] pattern
urlpath_regex:URL-path規則表達式匹配,略去協議和主機名。其語法為:
acl aclname urlpath_regex[-i] pattern
在使用上述ACL元素的過程中,要注意如下幾點:
- acltype可以是任一個在ACL中定義的名稱。
- 任何兩個ACL元素不能用相同的名字。
- 每個ACL由列表值組成。當進行匹配檢測的時候,多個值由邏輯或運算連接;換句話說,任一ACL元素的值被匹配,則這個ACL元素即被匹配。
- 并不是所有的ACL元素都能使用訪問列表中的全部類型。
- 不同的ACL元素寫在不同行中,Squid將這些元素組合在一個列表中。
#p#
2.http_access訪問控制列表
根據訪問控制列表允許或禁止某一類用戶訪問。如果某個訪問沒有相符合的項目,則默認為應用***一條項目的“非”。比如***一條為允許,則默認就是禁止。通常應該把***的條目設為“deny all”或“allow all”來避免安全性隱患。
使用該訪問控制列表要注意如下問題:
- 這些規則按照它們的排列順序進行匹配檢測,一旦檢測到匹配的規則,匹配檢測就立即結束。
- 訪問列表可以由多條規則組成。
- 如果沒有任何規則與訪問請求匹配,默認動作將與列表中***一條規則對應。
- 一個訪問條目中的所有元素將用邏輯與運算連接(如下所示):
http_access Action聲明1 AND 聲明2 AND - 多個http_access聲明間用或運算連接,但每個訪問條目的元素間用與運算連接。
- 列表中的規則總是遵循由上而下的順序。
3.使用訪問控制
上面詳細講述了ACL元素以及http_access訪問控制列表的語法以及使用過程中需要注意的問題,下面給出使用這些訪問控制方法的實例:
(1)允許網段10.0.0.124/24以及192.168.10.15/24內的所有客戶機訪問代理服務器,并且允許在文件/etc/squid/guest列出的客戶機訪問代理服務器,除此之外的客戶機將拒絕訪問本地代理服務器:
acl clients src 10.0.0.124/24 192.168.10.15/24 acl guests src “/etc/squid/guest” acl all src 0.0.0.0/0.0.0.0 http_access allow clients http_access allow guests http_access deny all
其中,文件“/etc/squid/guest”中的內容為:
172.168.10.3/24 210.113.24.8/16 10.0.1.24/25
(2)允許域名為job.net、gdfq.edu.cn的兩個域訪問本地代理服務器,其他的域都將拒絕訪問本地代理服務器:
acl permitted_domain src job.net gdfq.edu.cn acl all src 0.0.0.0/0.0.0.0 http_access allow permitted_domain http_access deny all
(3)使用正則表達式,拒絕客戶機通過代理服務器訪問包含有諸如“sexy”等關鍵字的網站:
acl deny_url url_regex -i sexy http_access deny deny_url
(4)拒絕客戶機通過代理服務器訪問文件中指定IP或者域名的網站,其中文件/etc/squid/ deny_ip中存放有拒絕訪問的IP地址,文件/etc/squid/deny_dns中存放有拒絕訪問的域名:
acl deny_ip dst “etc/squid/deny_ip” acl deny_dns dst “etc/squid/deny_dns” http_access deny deny_ip http_access deny deny_dns
(5)允許和拒絕指定的用戶訪問指定的網站,其中,允許客戶1訪問網站http://www.sina.com.cn,而拒絕客戶2訪問網站http://www.163.com:
acl client1 src 192.168.0.118 acl client1_url url_regex ^http://www.sina.com.cn acl client2 src 192.168.0.119 acl client2_url url_regex ^http://www.163.com http_access allow client1 client1_url http_access deny client2 client2_url
(6)允許所有的用戶在規定的時間內(周一至周四的8:30到20:30)訪問代理服務器,只允許特定的用戶(系統管理員,其網段為:192.168.10.0/24)在周五下午訪問代理服務器,其他的在周五下午一點至六點一律拒絕訪問代理服務器:
acl allclient src 0.0.0.0/0.0.0.0 acl administrator 192.168.10.0/24 acl common_time time MTWH 8:30-20:30 acl manage_time time F 13:00-18:00 http_access allow allclient common_time http_access allow administrator manage_time http_access deny manage_time
【編輯推薦】
