［原创］用squid做代理服务器，对学生上网行为进行管理实战

arbor

squid是一个非常优秀的代理服务器软件。学生机房的上网比较混乱，几乎不受控制，为了规范他们的上网行为，尝试了一把。

服务器：普通联想台式电脑，E4500+2GB+945主板+160GB，增加一个8169芯片的千兆网卡，板载一个8139的网卡。

安装centos 5.4，选择安装squid和iptables，并设置为自动启动

设置好网络的参数：
eth0：192.168.1.2，接外网
eth1：192.168.2.2，接教室内部网络

安装过程不再赘述

在/etc/rc.d/下面建立一个文件firewall，内容如下：

echo "starting ip forward"
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "starting iptables rules"
modprobe ip_tables
modprobe ip_nat_ftp
/sbin/iptables -F -t nat
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

给firewall加上执行权限 chmod u+x firewall
修改好后运行一下这个文件

然后修改squid的配置文件 /etc/squid/squid.conf，里面除了默认的设置外，红色的是我修改的设置

[root@localhost squid]# cat squid2.conf
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
#定义学生机房网络设置
acl students src 192.168.2.0/255.255.255.0
#禁止学生下载的文件类型
acl denyfiles urlpath_regex -i \.mp3$ \.avi$ \.zip$ \.rar$ \.exe$ \.gz$ \.iso$
#禁止学生访问的网站列表
acl denysites url_regex -i "/etc/squid/denysites"

acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
http_access allow manager localhost
http_access deny denyfiles
http_access deny denysites
http_access allow students
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access allow all
#设置为透明代理模式
http_port 3128 transparent

hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
#管理员邮箱
cache_mgr myuser@163.com
#自定义为简体中文提示信息
error_directory /usr/share/squid/errors/Simplify_Chinese

编辑好后，重启一下squid服务

让学生机把网关设置为本代理服务器的eth1的IP地址即可，浏览器不需要再设置代理了（透明代理吗）

禁止访问网站列表

[root@localhost squid]# cat denysites
qq.com
6.com

因为学生无法去网上下载exe和各种压缩文件，就无法下载安装qq，这里把qq.com也禁止访问，学生连web qq都不能使用，有其他需要拦截的网站，可以自己把网址加入这个文件里面去。

中午完成，下午投入使用，效果良好

wfw52749

如果我公司的IP不是很规律，我怎么建一个像白名单的客户端的表来进行限制呢？

214177711

不错

laixi781211

挂代理访问web.qq.com呢？
76862157 发表于 2010-06-18 14:32

    we.qq.com 已经封了.一样上不去.

76862157

挂代理访问web.qq.com呢？

arbor

to arbor

很多软件，比喻迅雷，瑞星卡卡助手里都内置了常用软件下载（比喻QQ），楼主对这些下载途径如何 ...
kevin.tan 发表于 2010-05-19 09:19

不管何种下载工具，只要是exe、zip这些扩展名的文件，都已经被拦截，qq由于本机未装，也无法获得，基本可以忽略
   

acl ftpport port 21
acl teacher src 教师机IP

http_access deny ftpport !teacher
http_acces ...
dong_kof 发表于 2010-05-20 11:39

    谢谢！

dong_kof

多谢指教！

那我如果想对学生机禁止ftp，教师机不禁止ftp呢？
arbor 发表于 2010-05-18 16:29

acl ftpport port 21
acl teacher src 教师机IP

http_access deny ftpport !teacher
http_access allow ftpport teacher

kevin.tan

to arbor

很多软件，比喻迅雷，瑞星卡卡助手里都内置了常用软件下载（比喻QQ），楼主对这些下载途径如何管理？{:2_166:}

arbor

禁止FTP的话把端口21给禁了就行了

acl Safe_ports port 21

把默认配置里这条给注释了
dong_kof 发表于 2010-05-17 12:59

    多谢指教！

那我如果想对学生机禁止ftp，教师机不禁止ftp呢？

toseeme_cu

写得不错，支持楼主。其实软件好不好，只要适合自己就好！跟男人找老婆一个理。。。

7楼的写法比较合理，不用每每修改ACL配置后reload。