安装squid

有的发行版本会预装squid服务,有的则没有。

# yum install squid

代理服务器概述

squid提供缓存加速,应用层过滤控制的功能。当客户机通过代理请求web页面时,指定的代理服务器会先检查自己的缓存,如果缓存中已经有客户机需要的页面,则直接将缓存的页面内容返回给客户机;如果缓存中没有客户机要访问的页面,则由代理服务器向internet中发送访问请求,当获得返回的web页面以后,将网页数据保存到缓存中并发送给客户机。

http代理的缓存加速对象主要是文字,图像等静态web元素。使用缓存后减少了向internet提交重复的web请求的过程,提高了客户机的web访问相应速度。

由于客户机的web访问请求实际上是由代理服务器代替完成的,从而可以隐藏用户的真是IP地址,起到一定的保护作用。代理服务器也可以起到过滤作用。

代理服务器的基本类型


1)。传统代理

就是普通代理服务,在客户机的浏览器,QQ聊天工具等软件中,必须手动设置代理服务器的地址和端口,然后才能使用代理来访问网络。对于也米娜浏览器来说,访问网站是的域名解析请求也要发给指定的代理服务器。

2)。透明代理

提供的功能与传统代理相同,区别在于透明代理不用指定代理服务器的地址和端口。而是通过默认路由,防火墙策略将WEB访问重定向,这个过程对于客户机来说是透明的,客户机不知道自己使用了代理,所以叫透明代理。使用透明代理时,网页浏览器访问网站时的域名解析请求将优先发给DNS服务器。

实际应用中传统代理多用于internet中,例如:电脑程序使用代理可以隐藏本机真实的IP地址,为下载工具使用多个代理可以规避服务器的并发连接限制。透明代理多用于局域网环境。

Squid的配置文件

squid 的配置文件位于 /etc/squid/squid.conf

http_port 3128    //代理服务监听的地址和端口(默认端口为3128);如果服务器有多个网络接口,但只希望给一个IP 提供服务,还可以指定IP地址和接口,例: http_port 192.168.1.33:3128

cache_mem 64 MB    //指定缓存功能所使用的内存大小,单位为MB,容量应为4的倍数,建议设为实际内存的1/4到1/3,具体根据服务器的性能和负载而定。

maximum_object_size 4096 KB      //允许保存到缓存空间的最大对象(文件)大小,单位KB,超过限制大小的文件将不会被缓存,而是直接发给用户,默认的4096KB基本可以满足一般页面,但是希望代理音频,视频等缓存文件时,则应适当增加参数。

reply_body_max_size 10240000 allow all    //允许用户下载的最大文件大小,以字节(byte)为单位,默认设置为0字节,表示不限制。其中 all 指任意用户。

cache_dir ufs    /var/spool/squid 100 16 256    //指缓存数据所使用的目录,容量,子目录个数等相关参数。ufs(UNIX file system,squid最早使用的缓存文件的格式)/var/spool/squid 缓存数据的默认存放目录;后面的数字依次表示为缓存目录分配的磁盘空间大小(MB),以及子目录个数,二级子目录个数。当代理的用户数量较多时,可以适当增大缓存目录大小。

access_log /var/log/squid/access.log squid    //指定代理服务器的日志位置及记录格式(squid

visible_hostname proxy.dyq.com    //    代理服务器本机的可见主机名

dns_testnames www.google.com www.sina.com.cn www.162.com     //用来指定DNS解析,为了确保解析正常,最好设置多个DNS。

传统代理构建

传统代理的特点在于,客户机的相关程序必须指定代理服务器的地址,端口等基本信息。下面举例说明。

例子说明:

    服务器A →→  服务器B(squid代理) →→ 客户机c

192.168.1.12        192.168.1.13                     192.168.1.14

配置Squid 实现传统代理服务时,需要注意两个地方:

1. 配置好可见的主机名

2. 添加 http_access allow all 访问策略,以允许任何客户机都可以使用代理服务。

修改squid.conf 配置文件

# vim /etc/squid/squid.conf

http_port 3128

visible_hostname localhost.localdomain

reply_body_max_size 10240000 allow all    #允许下载的最大文件大小

http_access allow all    #放在http_access deny all 之前

初始化并启动 squid 服务

第一次启动squid服务时,会启动并初始化缓存目录,在没有可用的squid服务脚本的情况下,也可以直接滴啊用squid程序来启动服务,这时需要先进程初始化。

squid -z     //-z选项用来初始化缓存目录

squid -D    //启动squid服务;-D 表示不DNS测试

修改完squid.conf 配置文件以后,需要重新加载才能生效。

service squid reload 

squid -k reconfigure        //这两个命令都可以重新加载配置。

确认squid 服务运行正常

# netstat -anpt | grep "squid"

tcp        0      0 :::3128                     :::*                        LISTEN      8556/(squid)

设置客户端配置

一般的浏览器,程序都有配置代理的选项,这个百度就好,不多说了

验证代理服务器

使用代理后的浏览器访问网站,然后再查看服务器的日子文件,查看访问日志,看同一时间的IP 有没有变化。

透明代理

透明代理与传统代理提供的服务是一致的,但是其 透明 的实现依赖与默认路由和防火墙的重定向策略,因此更适合于为互联网主机服务,而不适合为internet中的客户机提供服务。

基于局域网主机通过linux网关访问internet的环境,描述如下:

(1)在linux网关上,构建squid为客户机访问internet提供代理服务。

(2)在所有的局域网客户机上,只需正确设置IP地址,默认网关,不需要手动指定代理服务器的地址,端口等信息

透明代理的关键在于linux网关服务器,而对于客户机仅需正确设置网络地址,默认网关,而并不需要指定代理服务器。

至于客户机的DNS解析功能,最好是通过正常DNS解析,不推荐交给代理服务器处理。下面主要介绍squid服务的透明代理设置,防火墙策略设置,其他操作参考前面的传统代理配置过程。

配置Squid支持透明代理

squid默认不支持透明代理,如果要设置的话,要在 http_port 配置后面加上 transparent(透明)选项,就可以支持了。

# vim /etc/squid/squid.conf

http_port 192.168.1.33:3128 transparent

:wq

# service squid reload

设置iptables的重定向策略

squid服务是构建在linux网关之上的,因此只需正确设置防火墙策略,就可以将局域网主机访问internet的数据包转交给squid进行处理。这需要用到iptables的REDIRECT(重定向)策略,其作用是实现本机端口的重新定向,将访问网站协议http https的外发数据包转交给本机的squid服务(3128端口)

REDIRECT 也是一种数据包控制类型,只能在nat表的PREROUTING或 OUTPUT 链以及被其调用的链中使用,通过  --to-port 端口号 的形式来指定映射的目标端口。

例:192.168.4.0/24 访问的http  https 等协议的数据包,转交给运行在本机3128 端口上的squid服务处理

# iptables -t nat -A PREROUTING -i eth1 -s 192.168.4.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 3128

# iptabbles -t nat -A PREROUTING -i eth1 -s 192.168.4.0/24 -p tcp --dport 443 -j REDIRECT --to-ports 3128

FTP协议因为涉及多个端口,多个连接,使用透明代理不太好实现,所以推荐用传统代理,手动指定代理IP,端口。

验证透明代理的使用

有些软件可以设置代理服务器的地址,在linux中也可以用unset命令清楚 HTTP_PROXY , HTTPS_PROXY 等变量

# unset HTTP_PROXY HTTPS_PROXY

###

ACL访问控制

squid服务器通过合理设置ACL(Access Control List  访问控制列表)并进行限制,可以针对源地址,目标地址,访问的URL路径,访问的时间等各种条件进行过滤。

在配置文件squid.conf中,ACL访问控制通过以下两个步骤来实现:

(1)使用acl配置项定义需要控制的条件

(2)通过http_access配置项对已定义的列表做”允许“或”拒绝“访问的控制。

定义ACL列表

格式:

acl 列表名称 列表类型 列表内容 ...

其中,”列表名称“可以随便起;”列表类型“必须使用squid预定义的值,对应不同类别的控制条件;”列表内容“是控制的具体对象,不同类型的列表所对应的内容也不一样。可以有多个值(以空格分隔,为”或“的关系)

访问控制的关键在于,选择的列表类型,具体条件对象。

设置 acl 访问权限

定义好访问控制列表以后,需要使用 httpd_access  配置项来进行控制。注意:http_access 配置行必须放在对应的acl配置行之后,每一行http_access配置确定一条访问控制规则。

格式:

http_access allow或deny 列表名...

每一条 http_access 规则中可以包含多个列表名,每个列表名之间用空格分开(与 的关系),表示必须满足所有acl列表对应的条件才会进行限制。使用取反条件时,可以在acl 列表前添加 ”!“感叹号。

# vim /etc/squid/squid.conf

http_access den MYLAN MEDIAFLE        //禁止客户机下载mp3,mp4等文件

http_access allow MYLAN WORKTIME        //允许客户机在工作时间上网

http_access deny all        //默认禁止所有客户机使用代理

执行访问控制时,squid将按照各条规则的顺序依次进行检查,如果找到一条相匹配的规则就不再向后搜索(这点与iptables的规则匹配类似)。因此,规则的顺序安排是非常重要的,一下两种默认情况需要我们注意:

(1)没有设置任何规则时:squid服务将拒绝客户端的请求。

(2)有规则但找不到相匹配的项:squid将采用与最后一条规则相反的权限,即如果最后一条规则时allow ,就拒绝客户端的请求,否则允许该请求。

通常情况 下,把最常用到的控制规则放在最前面,以减少squid的负载。在访问控制的总体策略上,建议采用"先拒绝后允许"或“先允许后拒绝”的方式,最后一条规则设为默认策略,设为“http_access allow all”或者“http_access deny all”