acl denyip dst 61.136.135.04/255.255.255.255 定义acl
acl dnsport port 53 定义acl
http_access allow head IP地址为92.168.0.2和92.168.0.3的用户可以访问所有站点
http_access deny denysite
http_access deny denyip
http_access allow normal
http_access deny dnsport
Squid 访问控制有两个要素:ACL 元素和 访问列表.访问列表可以允许或拒绝某些用户对此服务的访问.
下面列出一些重要的 ACL 元素类型
* src : 源地址 (即客户机IP地址)
* dst : 目标地址 (即服务器IP地址)
* srcdomain : 源名称 (即客户机名称)
* dstdomain : 目标名称 (即服务器名称)
* time : 一天中的时刻和一周内的一天
* url_regex : URL 规则表达式匹配
* urlpath_regex: URL-path 规则表达式匹配,略去协议和主机名
* proxy_auth : 通过外部程序进行用户验证
* maxconn : 单一 IP 的最大连接数
为了使用控制功能, 先设置 ACL 规则并应用.ACL 声明的格式如下:
acl acl_element_name type_of_acl_element values_to_acl
注:
1. acl_element_name 可以是任一个在 ACL 中定义的名称.
2. 任何两个 ACL 元素不能用相同的名字.
3. 每个 ACL 由列表值组成.当进行匹配检测的时候,多个值由逻辑或运算连接;换言之,即任一 ACL元素的值被匹配,则这个 ACL 元素即被匹配.
4. 并不是所有的 ACL 元素都能使用访问列表中的全部类型.
5. 不同的 ACL 元素写在不同行中,Squid 将把它们组合在一个列表中.
我们可以使用许多不同的访问条目.下面列出我们将要用到的几个:
* http_access: 允许 HTTP 访问.这个是主要的访问控制条目.
* no_cache: 定义对缓存请求的响应.
访问列表的规则由一些类似 ‘allow’ 或 ‘deny’ 的关键字构成,用以允许或拒绝向特定或一组 ACL 元素提供服务.
注:
1. 这些规则按照它们的排列顺序进行匹配检测,一旦检测到匹配的规则,匹配检测就立即结束.
2. 一个访问列表可以又多条规则组成.
3. 如果没有任何规则与访问请求匹配,默认动作将与列表中 一条规则对应.
4. 一个访问条目中的所有元素将用逻辑与运算连接:
请记住列表中的规则总是遵循由上而下的顺序.
Squid 默认不做任何用户访问控制.若要允许某个访问,进行定制规则.在 squid.conf 中 http_access deny 行前输入下述文字:
acl mynetwork 192.168.0.1/255.255.255.0
http_access allow mynetwork
mynetwork 是 acl 名称,下一行则是适用于特定 acl (即 mynetwork ) 的规则.192.168.0.1 指明是网络中掩码为 255.255.255.0 的子网.mynetwork 主要是为了给出网络上一组机器,下一条规则则允许这些
机器访问 http 服务.上述修改配合 http_port 就可以让 Squid 很好的工作起来了. 修改完成后,Squid
可以用下述命令启动:
service squid start
下面给出通常所用到的例子:
1. 允许列表中的机器访问 Internet.
acl allowed_clients src 192.168.0.10 192.168.0.20 192.168.0.30
http_access allow allowed_clients
http_access deny !allowed_clients
这个规则只允许 IP 地址为 192.168.0.10、192.168.0.20 及 192.168.0.30 的机器
访问 Internet,其他 IP 地址的机器则都被拒绝访问.
2. 限制访问时段.
acl allowed_clients src 192.168.0.1/255.255.255.0 |
