RHCE培训笔记――Squid

代理服务是一种特殊的服务，允许客户端通过它与另一个网络服务进行非直接的连接，也称网络代理。提供代理服务的计算机或其他类型的网络节点称为代理服务器，代理服务器中实现网络代理的软件称为代理软件。Linux中用到的代理软件是squid。

本实验平台为Centos 6.2，环境为：

Squid服务器暨Apache服务器

主机名：itpro    IP地址：192.168.56.53

客户端测试机

主机名：station     IP地址：192.168.56.123

准备工作：

Httpd方面，

[root@itpro ~]# yum install httpd

[root@itpro ~]# chkconfig httpd on

[root@itpro ~]# service httpd start

同时，在/var/www/html/下创建一个index.html文件，内容随意，用于测试网页访问。

Squid方面，

[root@itpro ~]# yum install squid

[root@itpro ~]# chkconfig squid on

[root@itpro ~]# service squid start

[root@itpro ~]# ls /var/spool/squid/

（注：此时的缓存目录为空目录）

一、缓存设置

Squid主配文件/etc/squid/squid.conf中，有一行是用于指定缓存目录设置的，如下

cache_dir ufs /var/spool/squid 100 16 256

默认情况下被注释掉了，要将其前面的“#”删除，才能生效。

其中ufs表示缓存数据的存储格式；

/var/spool/squid 指缓存目录；

100 : 缓存目录占磁盘空间大小（M）；

16 ：缓存空间一级子目录个数；

256 ：缓存空间二级子目录个数。

修改配置文件，将cache_dir ufs /var/spool/squid 100 16 256前面的#去掉，再重启服务，可以看到/var/spool/squid/下多了16个目录，每个目录里又有256个子目录。

[root@itpro ~]# service squid restart

init_cache_dir /var/spool/squid... Starting squid: ......  [  OK  ]

[root@itpro ~]# ls /var/spool/squid/

00  01  02  03  04  05  06  07  08  09  0A  0B  0C  0D  0E  0F  swap.state

在客户端station，打开firefox浏览器，将其代理服务设置为192.168.53.56:3128，

然后访问http://192.168.53.56，能看到先前在服务器上创建的index.html的内容，

表明客户机station通过squid服务器itpro成功访问httpd服务器（也是itpro）。

刷新页面两次。

在服务器上查看squid访问日志，内容如下：

[root@itpro ~]# tail /var/log/squid/access.log

1368574347.237     23 192.168.56.123 TCP_MEM_HIT/200 427 GET http://192.168.56.53/ - NONE/- text/html

1368574350.174     23 192.168.56.123 TCP_IMS_HIT/304 291 GET http://192.168.56.53/ - NONE/- text/html

1368574354.157     23 192.168.56.123 TCP_IMS_HIT/304 291 GET http://192.168.56.53/ - NONE/- text/html

其中第一条记录的状态码为200，表示这是squid服务器第一次访问http服务器，由http服务器提供请求的页面。

第二、三条记录的状态码为304，表示网页内容未修改过，http服务器只返回响应，不返回页面内容，亦即客户端浏览器上看到的是squid里的缓存。

二、访问控制

A、设置1

1.修改记主配文件

[root@itpro ~]# vim/etc/squid/squid.conf

……省略部分内容……
acl rhca src  192.168.56.123/32  #定义来源主机的acl
#acl rhca dst 192.168.56.53/32
……省略部分内容……
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
http_access deny rhca  #注，这条记录要在http_access allow localnet记录的上面，否则不生效，或者把http_access allow localnet记录注释掉
http_access allow localnet #注，允许本地网络访问，即同一网段的主机都可以访问
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all # squid.conf中，最后一条规则永远是http_access deny all
……省略部分内容……

2.修改完成后重启服务

[root@itpro ~]# service squid reload

2013/05/15 09:16:09| WARNING cache_mem is larger than total disk cache space!

3.在客户端使用浏览器访问网站主页

4.在服务器上查看squid访问日志报错

[root@itpro ~]# tail /var/log/squid/access.log

…………

1368580343.071      0 192.168.56.123 TCP_DENIED/403 3841 GET http://192.168.56.53/ - NONE/- text/html

1368580343.096      0 192.168.56.123 TCP_DENIED/403 3919 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html

1368580345.106      0 192.168.56.123 TCP_DENIED/403 3841 GET http://192.168.56.53/ - NONE/- text/html

1368580345.127      0 192.168.56.123 TCP_DENIED/403 3919 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html

B、设置2

1.修改主配文件

[root@itpro ~]# vim/etc/squid/squid.conf
……省略部分内容……
#acl rhca src  192.168.56.123/32
acl rhca dst 192.168.56.53/32 #定义目的主机的acl
……省略部分内容……
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
http_access deny rhca
http_access allow localnet
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all
……省略部分内容……

2.修改完成后重启服务

[root@itpro ~]# service squid reload

2013/05/15 09:16:09| WARNING cache_mem is larger than total disk cache space!

3.在客户端使用浏览器访问网站主页

4.在服务器上查看squid访问日志报错

[root@itpro ~]# tail /var/log/squid/access.log

……省略部分内容……

1368580731.245      0 192.168.56.123 TCP_MISS/503 4231 GET http://www.squid-cache.org/Artwork/SN.png - DIRECT/www.squid-cache.org text/html

1368580731.870      0 192.168.56.123 TCP_DENIED/403 3841 GET http://192.168.56.53/ - NONE/- text/html

1368580731.877      0 192.168.56.123 TCP_MISS/503 4231 GET http://www.squid-cache.org/Artwork/SN.png - DIRECT/www.squid-cache.org text/html

以上两种情况，客户端浏览器上显示的结果都是“Access Denied”页面，不过，squid服务器的访问日志，收到的httpd服务器返回的状态码是不一样的。404表示的是请求出错，即客户端出错；504表示服务器在处理请求时发生错误，即服务器端的错。

C、其他设置

以下是摘抄的资料，只有第一点实验验证了。

1. 假如不想让用户访问某个网站应该怎么做呢？可以分为两种情况：一种是不允许用户访问某个站点的某个主机，比如新浪sina的www主机，即www.sina.com，而其它的新浪资源却是允许访问的，那么ACL可以这样写：

　　acl　 sina-www　dstdomain sinapage4.sina.com

　　……

　　http_access deny sinapage

　　……

由此可以看到，除了www，其它如 news.sina.com、bbs.sina.com.cn都可以正常访问。

另一种情况是整个网站都不许访问，只需要写出这个网站共有的域名即可，配置如下：

　　acl sina dstdomain .sina.com

　　……

　　http_access deny sina

　　……

注意，sina前面的“.”，正是它指出以此域名结尾的所有主机都不可访问，否则就只有tencent.com.cn这一台主机不能访问。

2. 通过IP地址来识别用户不可靠，比IP地址更好的是网卡的MAC物理地址。要在Squid中使用MAC地址识别，必须在编译时加上 “--enable-arp-acl”选项，然后可以通过以下的语句来识别用户：

　　acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b ...

它直接使用用户的MAC地址，而MAC地址一般是不易修改的，即使有普通用户将自己的IP地址改为高级用户也无法通过，所以这种方式比IP地址可靠得多。

3.还有一种比较广泛的控制是文件类型。如果不希望普通用户通过代理服务器下载MP3、AVI等文件，完全可以对他们进行限制，代码如下：

　　acl mmxfile urlpath_regex \.mp3$ \.avi$ \.exe$

　　http_access deny mmxfile

看到regex，很多读者应该心领神会，因为这条语句使用了标准的规则表达式（又叫正则表达式）。它将匹配所有以.mp3、.avi等结尾的URL请求，还可以用-i参数忽略大小写，例如以下代码：

　　acl mmxfile urlpath_regex -i \.mp3$

这样，无论是.mp3还是.MP3都会被拒绝。当然，-i参数适用于任何可能需要区分大小写的地方，如前面的域名控制。

4.如果想让普通用户只在上班时间可以上网，而且是每周的工作日，用 Squid应当如何处理呢？看看下面的ACL定义：

　　acl worktime time MTWHF 8:30-12:00 14:00-18:00

　　http_access deny !worktime

首先定义允许上网的时间是每周工作日（星期一至星期五）的上午和下午的固定时段，然后用http_access 定义所有不在这个时间段内的请求都是不允许的。

5.或者为了保证高级用户的带宽，希望每个用户的并发连接不能太多，以免影响他人，也可以通过Squid控制，代码如下：

　　acl conncount maxconn 3

　　http_access deny conncount normal

　　http_access allow normal

这样，普通用户在某个固定时刻只能同时发起三个连接，从第四个开始，连接将被拒绝。

总之，Squid的ACL配置非常灵活、强大，更多的控制方式可以参考squid.conf.default。

另，反向代理比较难，未研究实验。