Windows下配置Squid反向代理服务器

Squid是一款类Unix系统下非常流行的服务器软件，其最重要的功能就是在客户端和服务端之间建立缓存。因而Squid可以用作反向代理，部署多级缓存或者搭建CDN等，无论名称是什么，本质上都是一样的。目前Windows下也有Squid的移植版本，可以应对使用Windows环境的场景。这里是下载地址和文档，如果需要了解Squid技术细节可以看看《Squid: The Definitive Guide》这本书的翻译版本。

一、安装Squid

如果下载Binaries版本，直接解压到c:\squid。这是软件的默认安装路径，如果需要安装到其他路径下，则需要修改更多配置文件中关于路径的配置项，另外安装路径不能有空格，官方建议配置文件中对于路径的配置采用斜杠“/”代替“\”（由于类Unix系统使用“/”），即配置文件中对于路径c:\squid应该写成c:/squid。

接下来找到c:\squid\etc目录，将cachemgr.conf.default，mime.conf.default，squid.conf.default三个文件复制改为cachemgr.conf，mime.conf，squid.conf。这些是Squid配置文件，其中squid.conf则是基础，后面的工作更多的是修改这个文件。

在cmd中使用命令c:\squid\sbin\squid -i -n ServerName（当然可以将c:\squid\sbin加入系统的环境变量，以免输入那么长的命令路径）。其中“ServerName”可以自定义，如果名称中包含空格，请用使用双引号。例如：c:\squid\sbin\squid -i -n "Server Name"。在cmd中随时可以使用c:\squid\sbin\squid -h 查看关于命令参数的帮助。

对于默认的配置文件，我们先命令net start SquidProxy启动Squid看看（SquidProxy是在安装Squid服务时起的名字，在services.msc中可以查看），但是会出现一些问题，服务无法启动，这是可以通过c:\squid\sbin\squid.exe.log和c:\squid\var\cache.log日志查看出现的问题。

一般情况下是c:\squid\var\cache目录没有建立，可以手工在目录下建立；或者swap directories没有建立，可以使用命令c:\squid\sbin\squid -z建立。这时服务可以正常启动了。

二、配置Squid

接下里主要配置c:\squid\etc\squid.conf这个文件。强烈建议使用Notepad++等文本工具进行编辑（可以轻松高亮相同词汇），以便减轻查找的配置项的难度。

配置之前需要明确需求并搭建满足该需求的网络环境，下面以配置Web反向代理服务器为例讨论Squid的配置：该反向代理服务器将作为Web服务器的代理和缓存层，这里假设外网地址为222.0.0.0/24（客户端访问），内网地址为172.16.0.0/24（用于Squid服务与Web站点之间或者Squid服务之间通信，这里用Squid服务和Web站点的提法，而不是Squid服务器和Web服务器，原因是一台服务器上可能有多个Squid服务或Web站点，我们假设一台服务器上只有一个Squid服务或Web站点）。

考虑有以下几种场景：

场景1：单站点代理，Squid服务A（222.0.0.10, 172.16.0.10）为Web站点A（172.16.0.20）提供反向代理服务，这是最简单的场景，squid.conf配置关键项可以简单如下：

#建立一个名称为(all)，客户端地址(src)为任意(all)的访问控制列表(acl)。

acl all src all

#允许(allow)名称为(all)的控制列表访问Squid服务
http_access allow all
#设置80端口为Squid服务监听客户端访问的端口

http_port 80

#建立一个名称为(abc)的缓存点，其上级(parent)为Web站点A(172.16.0.20:80)，该Web站点是源服务器(originserver)
cache_peer 172.16.0.20 parent 80 0 no-query originserver name=abc

场景2：多站点代理，Squid服务A（222.0.0.10, 172.16.0.10）为Web站点A（172.16.0.20）和Web站点B（172.16.0.30）同时提供反向代理服务，假设Web站点A域名www.a.com和Web站点B域名www.b.com都指向222.0.0.10，squid.conf配置关键项如下：

#建立一个名称为(aclweba)，服务端域名(dstdomain)为(www.a.com)的访问控制列表(acl)

acl aclweba dstdomain www.a.com
acl aclwebb dstdomain www.b.com

#允许(allow)名称为(aclweba)的访问控制列表访问
http_access allow aclweba
http_access allow aclwebb 

#设置80端口为Squid服务监听客户端访问的端口，加速模式(vhost)，将转发主机头至后端服务器

http_port  vhost
#建立一个名称为(weba)的缓存点，其上级(parent)为Web站点A(172.16.0.20:80)，该Web站点是据服务器(originserver)

cache_peer 172.16.0.20 parent no-query originserver name=weba cache_peer 172.16.0.30 parent no-query originserver name=

webb
#将缓存点(weba)限制为域名(www.a.com)访问，即使用www.a.com才能访问Web站点A，有点IIS中主机头名的意思

cache_peer_domain weba www.a.com
cache_peer_domain webb www.b.com
#允许(allow)名称为(aclweba)的访问控制列表访问缓存点(weba)

cache_peer_access weba allow aclweba cache_peer_access webb allow aclwebb #设置缓存使用内存大小 cache_mem

 MB
#设置存储路径，存储格式(ufs)，总缓存大小(10240MB)，一级缓存(16MB)，二级缓存(253MB)

cache_dir ufs c:/squid/var/cache

场景3：实现Web站点负载均衡，Squid服务A（222.0.0.10, 172.16.0.10）为部署在不同服务器上的多个Web站点A：Web站点A1（172.16.0.20）和Web站点A2（172.16.0.30）提供反向代理服务，实现负载均衡，假设Web站点A域名www.a.com指向222.0.0.10，squid.conf配置关键项如下：

#建立一个名称为(aclweba)，服务端域名(dstdomain)为(www.a.com)的访问控制列表(acl)

acl aclweba dstdomain www.a.com
#也可以建立允许所有人访问的访问控制列表(acl)，可以建立针对诸如来源IP(src)、目的IP(dst)、目的域名(dstdomain)等的访问控制列表。

#acl aclweba src all
#允许(allow)名称为(aclweba)的访问控制列表访问
http_access allow aclweba

#设置80端口为Squid服务监听客户端访问的端口，加速模式(vhost)，将转发主机头至后端服务器
http_port  vhost
#建立名称分别为(weba1、weba2)的缓存点，通过轮询(round-robin)访问其上级(parent)Web站点A1(172.16.0.20:80)或Web站点A2(172.16.0.20:80)，这些Web站点是源服务器(originserver)

cache_peer 172.16.0.20 parent   no-query originserver round-robin name=weba1
cache_peer 172.16.0.30 parent   no-query originserver round-robin name=weba2
#设置缓存使用内存大小
cache_mem  MB
#设置存储路径，存储格式(ufs)，总缓存大小(10240MB)，一级缓存(16MB)，二级缓存(253MB)

cache_dir ufs c:/squid/var/cache   

场景4：在场景3的基础上增加Squid服务A2（222.0.0.11, 172.16.0.11），与Squid服务A实现负载均衡（简单的可以通过DNS轮询机制），两个Squid服务配置基本一致，还需在配置中各增加Squid服务A和Squid服务A2互为邻居，并开放相关端口。

#建立一个名称为(aclweba)，服务端域名(dstdomain)为(www.a.com)的访问控制列表(acl)

acl aclweba dstdomain www.a.com
#也可以建立允许所有人访问的访问控制列表(acl)，可以建立针对诸如来源IP(src)、目的IP(dst)、目的域名(dstdomain)等的访问控制列表。

#acl aclweba src all

#建立一个名称为(localnet)，来源IP为(172.16.0.0/24)的访问控制列表(acl)，供内部通信

acl localnet src 172.16.0.0/24

#允许(allow)名称为(aclweba)的访问控制列表http访问
http_access allow aclweba

#允许(allow)名称为(localnet)的访问控制列表icp访问

icp_access allow localnet

#设置80端口为Squid服务监听客户端访问的端口，加速模式(vhost)，将转发主机头至后端服务器
http_port  vhost

#设置3130为Squid服务器将的通讯端口

icp_port 3130

#Squid服务互为邻居，通过ICP查询其他Squid服务中自己没有的缓存

cache_peer 172.16.0.10 sibling 80 3130
cache_peer 172.16.0.11 sibling 80 3130

#建立名称分别为(weba1、weba2)的缓存点，通过轮询(round-robin)访问其上级(parent)Web站点A1(172.16.0.20:80)或Web站点A2(172.16.0.20:80)，这些Web站点是源服务器(originserver)

cache_peer 172.16.0.20 parent   no-query originserver round-robin name=weba1
cache_peer 172.16.0.30 parent   no-query originserver round-robin name=weba2
#设置缓存使用内存大小
cache_mem  MB
#设置存储路径，存储格式(ufs)，总缓存大小(10240MB)，一级缓存(16MB)，二级缓存(253MB)

cache_dir ufs c:/squid/var/cache   

每次修改完配置无需重启服务，使用命令 c:\squid\sbin\squid -k reconfigure -n SquidProxy使服务生效。

要强行卸载服务可以net stop SquidProxy停止服务后sc delete SquidProxy卸载。