由于高防服务器通信实例中应用了HTTP代理服务器( squid程序),所以先简略介绍一下HTTP代理服务器的工作原理,以及如何安排 squid代理服务器。
1、HTTP代理服务器的工作原理
在HTTP通信链上,客户端和目标服务器之间通常存在菜些中转代理服务器,它们供给对目标资源的中转访问。一个HTTP恳求可能被多个代理服务器转发,后面的服务器称为前面服务器的上游服务器。代理服务器按照其应用方法和作用,分为正向代理服务器、反向代理服务器和透明代理服务器。
正向代理请求客户端自己设置代理服务器的地址。客户的每次恳求都将直接发送到该代理服务器,并由代理服务器来恳求目标资源。比如处于防火墙内的局域网机器要访问 Internet,或者要访问一些被屏蔽掉的国外网站,就需要应用正向代理服务器。
反向代理则被设置在服务器端,因而客户端无须进行任何设置。反向代理是指用代理服务器来吸收 Internet上的连接恳求,然后将恳求转发给内部网络上的服务器,并将从内部服务器上得到的成果返回给客户端。这种情况下,代理服务器对外就表现为一个真实的服务器。各大网站通常分区域设置了多个代理服务器,所以在不同的处所ping同一个域名可能得到不同的P地址,因为这些IP地址实际上是代理服务器的P地址。图1显示了正向代理服务器和反向代理服务器在HTTP通信链上的逻辑地位
图1中正向代理服务器和客户端主机处于同一个逻辑网络中。该逻辑网络可以是一个本地LAN,也可以是一个更大的网络。反向代理服务器和真正的Web服务器也位于同一个逻辑网络中,这通常由供给网站的公司来配置和管理。
图1 HTTP通信键上的代理服务器
透明代理只能设置在网关上。用户访问 Internet的数据报必定都经过网关,如果在网关上设置代理,则该代理对用户来说显然是透明的。透明代理可以看作正向代理的一种特别情况。
代理服务器通常还供给缓存目标资源的功效(可选),这样用户下次访问同一资源时速度将很快。优良的开源软件 squid、 varnish都是供给了缓存能力的代理服务器软件,其中 squid支撑所有代理方法,而Varnish仅能用作反向代理。
2、安排 squid代理服务器
现在我们在 ernest-laptop上安排 squid代理服务器。这个过程很简略,只需修正 squid服务器的配置文件/ etc/squid3/ squid.conf,在其中参加如下两行代码(需要root权限,且应当加在合适的地位,详情可参考其他类似条目标设置):
adl localnet src 192.168.1.0/24
http_access allow localnet
这两行代码的含义是:容许网络192.168.1.0上的所有机器通过该代理服务器来访问Web服务器。中,“192.168.1.024"是CIDR( Classless Inter- Domain Routing,无类域间路由)作风的IP地址表现方法:"/”前的部分指定网络的IP地址,“/"后的部分则指定子网掩码中“1”的位数。对IPv4而言,上述表现等价于“192.168.1.0/255.255.255.0”(IP地址/子网掩码)。
我们通过上面的两行代码简略地配置了 squid的访问把持。但实际利用中, squid供给更多、更安全的配置,比如用户验证等。接下来在 ernest-laptop上履行如下命令,以重启 squid服务器:
$sudo service squid3 restart
*Restarting Squid HTTP Proxy3.0 squid3(ok)
service是一个脚本程序(/ usr/sbin/ service),它为/ etc/init. d/目录下的众多服务器程序(比如htpd、 vsftpd、shd和 mysqld等)的启动( start)、结束(stop)和重启( restart)等动作供给了一个统一的管理。现在, Linux程序员已经越来越偏向于应用 service脚本来管理服务器程序了。
