1 前言

一个问题，一篇文章，一出故事。
由于公司的原本堆叠的正向代理的上层代理费用到期而撤销，原本进入内网的访问控制由撤销的上层代理实现，现在要改为由接入层的Squid的代理承担，于是整理该技术方案。

2 最佳实践

2.1 修改日志格式

vim /etc/squid/squid.conf

加入如下设置，

acl denied_server dst 10.168.0.250/32
acl allowed_server dst 10.168.0.0/24
acl private_networks dst 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16

http_access deny denied_server
http_access allow allowed_server
http_access deny private_networks

http_access deny all

需要注意的是，
– 指令“http_access”根据排列顺序先后执行
– 指令“http_access”一旦匹配成功直接跳过后面的指令，因此应考虑IP地址之间的包含关系，范围小的放在前面。

2.2 测试配置文件

squid -k check -f /etc/squid/squid.conf 

2.3 重载服务是配置生效

systemctl reload squid.service

2.4 确认修改日志格式生效

tail -f /var/log/squid/access.log