企业环境
公司搭建一台代理服务器,需要提高内网访问互联网速度并能够对内部员工的上网行为进行限制,采用squid代理服务器软件,对内部网络进行优化。
需求分析
提高用户访问速度,需要对squid服务器进行优化并且需要使用acl对访问行为进行相应限制。
解决方案
1、路由及NAT设置
设置网卡IP地址
eth0:192.168.8.188 netmask:255.255.255.0
vim /etc/sysconfig/network-scripts/ifcfg-eth0
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第1张图片
eth1:dhcp获取
vim /etc/sysconfig/network-scripts/ifcfg-eth1
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第2张图片
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第3张图片
开启内核路由功能
echo 1 > /proc/sys/net/ipv4/ip_forward
p_w_picpath
配置iptables设定nat,即透明代理
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128
如果只设置下面一句而上面一句不设置,客户端也可以上网,只是不通过squid哈~
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
保存iptables设置
service iptables save
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第4张图片
2、修改selinux设置
setsebool -P squid_disable_trans on
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第5张图片
注意:
如果配置squid透明代理,要开启selinux的squid_disable_trans,否则squid不能启动哈~
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第6张图片 
3、添加squid系统用户和组
[root@rhel5 ~]# groupadd squidadmin
[root@rhel5 ~]# useradd squidadmin -g squidadmin -s /sbin/nologin
p_w_picpath
4、建立相应目录
[root@rhel5 ~]# mkdir /usr/local/squid
[root@rhel5 ~]# mkdir /usr/local/squid/cache
[root@rhel5 ~]# mkdir /usr/local/squid/var
[root@rhel5 ~]# mkdir /usr/local/squid/var/logs
p_w_picpath
5、改变目录的所有者
为了保证服务正常启动并可以写入缓存、日志等信息,我们更改目录所有者为squidadmin哈~
[root@rhel5 ~]# chown -R squidadmin /usr/local/squid/cache
[root@rhel5 ~]# chgrp -R squidadmin /usr/local/squid/cache
[root@rhel5 ~]# chown -R squidadmin /usr/local/squid/var/logs
[root@rhel5 ~]# chgrp -R squidadmin /usr/local/squid/var/logs
p_w_picpath
6、修改squid配置文件
vim /etc/squid/squid.conf
设置监听地址和端口
http_port 3128 transparent
红色部分是支持透明代理,这是squid新版本的改进
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第7张图片
注意:
好多资料说透明代理设置为
httpd_accel_host virtual
httpd_accel_port 80  
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
实际上透明代理只是在普通代理的基础上加上了http_port 3128 transparent及IPTABLES的端口转发功能,使用Iptables或者Ipchains实现,即把用户对外部www站点的访问转到Squid的端口上去,相对用用户来讲是“透明”的,不需在浏览器中指明代理服务器的IP和端口。
而对于反向代理来说,从squid2.6开始squid.conf已经没有httpd_accel字段了哈~Squid 2.6与3.0一样哈~相对于2.5的accel模式下配置要简单许多,只要设置不同的后端,cache_peer parent originserver就可以进行反向代理,而不再需要httpd_accel系列参数的配置.配置squid时最好制定内部dns,或者修改/etc/hosts文件,否则squid可能会回环访问其自身而出现问题哈~
udp_incoming_address 0.0.0.0
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第8张图片
设置squid内存大小及cahce目录
cache_mem 512 MB
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第9张图片
cache_dir ufs /usr/local/squid/cache 10240 16 256
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第10张图片
设置日志文件和pid文件位置
access_log /usr/local/squid/var/logs/access.log
cache_log /usr/local/squid/var/logs/cache.log
cache_store_log none
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第11张图片
emulate_httpd_log on
使Squid按照Web服务器的格式创建访问记录,Web访问记录分析程序,就需要设置这个参数
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第12张图片
pid_filename /usr/local/squid/var/logs/squid.pid
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第13张图片 
配置访问控制
acl all src 0.0.0.0/0.0.0.0
acl mynet src 192.168.8.0/255.255.255.0
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第14张图片
http_access allow mynet
http_access deny all
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第15张图片
设置运行时的用户和组权限
设置squid进程所有者
cache_effective_user squidadmin
设置squid进程所属组
cache_effective_group squidadmin
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第16张图片
设置管理信息
设置squid可见主机名
visible_hostname 192.168.8.188
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第17张图片
swap性能微调
half_closed_clients off
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第18张图片
cache_swap_low 80
cache_swap_high 100
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第19张图片
maximum_object_size 1024 KB
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第20张图片
squid配置逻辑是自上而下,满足条件即不再和下面匹配。
7、检查squid.conf配置文件
当更改过配置文件后最好验证一下配置文件: squid -k parse
  p_w_picpath
8、squid服务初始化
在第一次启动squid服务之前,一定要使用squid -z命令来使squid在硬盘缓存中建立cache目录,或者重新设置了cache_dir字段的值之后也要使用此命令来重新建立硬盘缓存目录哈~
如果我们要观察此过程,我们可以加个-X参数哈~
squid -zX
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第21张图片
注意:在cache目录激活后永远不要改变L1和L2的值哈~
9、启动squid服务
service squid start
p_w_picpath
10、测试
squid -D检查squid服务有没启动
p_w_picpath
客户端只要设置IP地址、子网掩码、网关及DNS就可以直接上网了哈~
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第22张图片
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第23张图片
测试http网站
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第24张图片
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第25张图片
测试https网站
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第26张图片
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第27张图片
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第28张图片
测试邮箱网站
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第29张图片
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第30张图片
[url]http://ipid.shat.net/[/url],检测你的代理是否成功哈~~~
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第31张图片 
tail /usr/local/squid/var/logs/access.log
我们会发现访问的记录都在access.log中哈~~~
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第32张图片
  cat /usr/local/squid/var/logs/cache.log
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置_第33张图片
此外我们还可以使用acl和http_access deny组合来禁止指定IP、指定网段、屏蔽访问指定网站及指定固定时间上网等等哈~~~
#################Michael分割线#######################
Linux Squid iptables Linux/Unix

4

收藏

上一篇:限时抢订!价值4800元Tech... 下一篇:[RHEL5企业级Linux服务...
redking

215篇文章,574W+人气,72粉丝

关注