使用Squid做代理服务器,Squid单网卡透明代理配置详解(转）

使用Squid做代理服务器

　　说到代理服务器，我们最先想到的可能是一些专门的代理服务器网站，某些情况下，通过它们能加快访问互联网的速度。其实，在需要访问外部的局域网中，我们自己就能设置代理，把访问次数较多的网页保存在缓存中，从而“提高”网络速度。更重要的是，我们能通过代理服务器，达到控制访问权限的目的。在Windows中，有很多这样的软件，如：WinGate、SyGate等，不过，本文要讨论的，是能给你充分自由的Linux下的Squid。

　　Linux下的代理服务器软件也不是只有Squid，不过在大部分Linux版本中都带有它。

 

　　走进“代理”

 

　　首先，我们来了解一下代理服务器的工作原理。代理服务器其实就是基于TCP/IP的一种软件，它在TCP的某个端口上进行监听，例如：4444，其他客户机(就是想通过代理上网的那些Windows系统)配置好应用软件，如：IE。其中需要填上代理服务器的端口，即前例中的4444，这样代理服务器才知道你要访问的地址。如果你是合法用户的话，它就取得你想要的网页，然后再通过4444这个端口传递给你，上网时你不会感觉到代理服务器的存在。

 

　　而代理服务器的真正意义在于：一、由于它是先将网页下载到本地使用，因此访问频率越高的站点速度就会越快；二、如果你没有访问某个站点的权限而它有，你就能通过它访问到该站点；三、它可以控制你的访问。

 

　　当今，通过窄带联入Internet的恐怕仍然占大多数，代理服务器的提速作用也就十分明显了。

 

　　熟悉Linux的朋友可能知道，在Linux下有Ipchains可以做路由器，一样可以控制访问权限，但Ipchains的缺点是不支持DNS解析，如果你想通过它控制客户机的访问，就必须一一指定目的地的IP，如果有谁把Ipchains用在访问Internet上，那他一定是疯了，因为Internet上的IP地址不但多得像天上的星星，而且和星星一样随时都在变化。Squid就不同，它可以指定哪些域后缀不能访问，如：.tw、.net等，这样就把域名对IP的映射交给ISP去做了。

 

　　配置举例

 

　　在这个例子中，我们使用的是一台普通品牌机做代理服务器，内装两块网卡，第一块eth0接的是本单位的局域网，第二块eth1接的是一台简单的Internet共享器，操作系统是RedHat Linux 6.1，Ipchains和Squid都是系统自带的。

 

　　像大多数Linux软件一样，Squid是通过配置文件工作的，它的默认配置文件是/etc/squid/squid.conf，原始文件长达数十页，给出了详细的配置说明，其中真正用得上的，可能只是很小的一部分。看看下面这个配置文件，其实很多选项都是一目了然的：

 

　　http_port 4444

 

　　#代理服务器监听的端口

 

　　cache_dir /var/cache/squid 100 16 32

 

　　#缓存目录 大小(兆) 第一级子目录个数 第二级子目录个数

 

　　cache_access_log /var/log/squid/access.log

 

　　cache_log /var/log/squid/cache.log

 

　　acl all src 0.0.0.0/0.0.0.0

 

　　acl head src 192.168.0.2/255.255.255. 255 192.168.0.3/255.255.255.255

 

　　acl normal src 192.168.0.21-192.168. 0.99/255.255.255.255

 

　　acl denysite dstdomain tw net

 

　　acl denyip dst 61.136.135.04/255.255. 255.255

 

　　acl dnsport port 53

 

　　http_access allow head

 

　　http_access deny denysite

 

　　http_access deny denyip

 

　　http_access allow normal

 

　　http_access deny dnsport

 

　　实例分析

 

　　上面的内容，就是一个基本Squid所需要的全部配置，是不是很简单？！

 

　　从上面我们可以看到，代理服务器使用4444这个端口进行监听，缓存目录为100MB，IP地址为192.168.0.2和192.168.0.3的用户可访问所有站点，而IP地址为192.168.0.21～99的用户不能访问后缀为tw和net的站点，也不能访问IP地址为61.136.135.04的站点(如果dst 61.136.135.04/255.255.255.255变成dst 61.136.135.04/255.255.255.0，指的是61.136.135.0这个网络)。

 

　　很明显，Squid使用acl来定义用户组，并使用http_access来控制用户组的权限。acl后面可以是src(源地址)、dst(目标地址)、proto(协议)、port(端口)、 srcdomain(源域)、dstdomain(目标域)等，Squid的控制功能十分强大，你甚至可以用acl aclname time指定用户组生效的时间，不过要注意，用http_access设置不同用户组的权限时，Squid是按从上到下的顺序执行的，如果你想关闭一个组访问某些站点的权限，就必须把deny的相应句子放在这个组的前面。

 

　　另外，Squid文档中特别指出，如果没有相应的access设置，那么默认的权限与最后一行相反，在上例中，一个IP为192.168.0.5的客户未被定义却能访问外部网络，因此，在最后一行设置http_access deny all是很有必要的。

 

　　设置完成后，就可以直接运行Squid来启动它，如果配置文件有误，Squid会给出相应的提示。然后再使用Ipchains设置包的转发规则，如只允许客户机使用POP3(110)、SMTP(25)、DNS(53)这几个端口收发信件，浏览网页只能使用代理，这样网络就安全得多了。

 

 

 

 

 

Squid单网卡透明代理配置详解

环境：一台单网卡服务器 ，Centos5.6 serverSystem，squid-2.6.STABLE21-6.el5

代理服务功能：     
    代理服务器是目前网络中常见的服务器之一，它可以提供文件缓存、复制和地址过滤等服务，充分利用有限的出口带宽，加快内部主机的访问速度，也可以解决多用 户需要同时访问外网但公有IP地址不足的问题。同时可以作为一个防火墙，隔离内网与外网，并且能提供监控网络和记录传输信息的功能，加强局域网的安全性 等。它的主要作用有以下几点。
1．共享网络
2．加快访问速度，节约通信带宽
3．防止内部主机受到攻击
4．限制用户访问，完善网络管理

1.安装有三种方式如下：
 rpm -ivh squid-2.6.STABLE21-6.el5.rpm
 yum install squid
 tar -zxvf squid-2.6.STABLE21-6.el5.gz
 #个人选择yum 源安装方式，配置路径较熟悉，软件版本较新

2.squid配置文件：
[root@localhost ~]# cat /etc/squid/squid.conf
http_port 3128  transparent  # squid 2.6开启透明代理方式
#备注，如果是squid2.6之前版本，开启透明代理方式下四句配置代码
#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_user_host_header on
cache_mem 1 GB
fqdncache_size 1024
cache_swap_low 90
cache_swap_high 95
error_directory /usr/share/squid/errors/Simplify_Chinese
maximum_object_size 4096 KB
maximum_object_size_in_memory 8 MB
memory_replacement_policy heap LFUDA
cache_replacement_policy heap LFUDA
cache_dir ufs /var/spool/squid 20480 16 256
max_open_disk_fds 0
maximum_object_size 30 MB
minimum_object_size 1 KB
ipcache_size 2M
cache_effective_user squid
cache_effective_group squid
access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
emulate_httpd_log on
refresh_pattern . 0 20% 4320 override-expire override-lastmod reload-into-ims ignore-reload #更新cache规则
icp_port 0
refresh_pattern ^ftp:  1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern .  0 20% 4320
visible_hostname 192.168.16.1
dns_nameservers 8.8.8.8
dns_nameservers 192.168.16.1
dns_nameservers 210.22.84.3
dns_nameservers 202.96.209.133
cache_mgr 
hierarchy_stoplist cgi-bin n ?
#acl QUERY urlpath_regex cgi-bin \?
#no_cache deny QUERY
acl coach urlpath_regex coach
no_cache deny coach
acl SSL_ports port 443 8080 9525 9510 5222 21 88
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443          # https
acl Safe_ports port 8080               
acl Safe_ports port 9525 9510 5222     
acl Safe_ports port 8888               
acl CONNECT method CONNECT
acl OverConnLimit maxconn 30
http_access deny OverConnLimit
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
acl clientip1 src  192.168.16.130      # 仅允许ip 192.168.1.130 不受限制
http_access allow clientip1
acl OverConnLimit maxconn 4           
http_access deny OverConnLimit
acl baddomain2 url_regex -i xunlei                       
http_access deny baddomain2
acl baddomainurl2 url_regex -i letao game.qq.com ztgame
http_access deny baddomainurl2
acl baddomainurl3 url_regex -i kaixin kankan kugou
http_access deny baddomainurl3
acl baddomainurl5 urlpath_regex -i \.co$ \.bak$ \.grp$ \.mp3$ \.avi$ \.rmvb$ \.wma$ \.vob$ \.mkv$ \.mp4$ \.mpe$ \.wmv$ \.rar$   #这里禁用了部分游戏更新库文件
http_access deny baddomainurl5
acl baddomainurl6 url_regex -i dl_dir.qq.com youku.com tudou.com 56.com ztgame.net ztgamail.com
http_access deny baddomainurl6
acl xunlei1 browser ^Mozilla/4\.0\s\(compatible;\sMSIE\s6\.0;Windows\sNT\s5\.1\)$
acl xunlei2 browser ^Mozilla/4\.0\s\(compatible;\sMSIE\s6\.0;Windows\sNT\s5\.0\)$
acl xunlei3 browser ^Mozilla/5\.0\s\(compatible;\sMSIE\s6\.0;Windows\sNT\s5\.0\)$
acl xunlei4 browser ^Mozilla/4\.0\s\(compatible;\sMSIE\s6\.0;Windows\sNT\s5\.1;\s\)$
acl xunlei5 browser ^Mozilla/4.0\s\(compatible;\sMSIE\s6.0;\sWindows\sNT\s5.1;\sSV1;\s\.NETCLR\s1\.1\.4322;\s\.NET\sLR\s2\.0\.50727\)$
http_access deny xunlei1
http_access deny xunlei2
http_access deny xunlei3
http_access deny xunlei4
http_access deny xunlei5
#acl baddomainurl7 url_regex -i qilooo
#http_access deny baddomainurl7
#acl baddomainurl8 url_regex -i kxnc
#http_access deny baddomainurl8
#acl baddomainurl9 url_regex -i vercd.com
#http_access deny baddomainurl9
acl baddomainurl10 url_regex -i m18
http_access deny baddomainurl10
acl baddomainurl11 url_regex -i mkv kugou 
http_access deny baddomainurl11
acl baddomainurl12 url_regex -i mp3 avi wma rmvb video movie startgame
http_access deny baddomainurl12
acl baddomainurl13 url_regex -i  51.com kaixin.com pps.tv youku.com  pptv.com iqyi.com
http_access deny baddomainurl13
acl badurl url_regex -i sex
http_access deny badurl
#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on
acl all src 0.0.0.0/0.0.0.0
http_access allow all
# 以上配置是个人公司需求的文本配置，可以根据需求自己修改配置文件即可

2.开启路由功能
方法1，# echo "1" > /proc/sys/net/ipv4/ip_forward
方法2，#  vim /etc/sysctl.conf 
       net.ipv4.ipforward = 1

3. iptables 设置：
iptables -F
iptables -t nat -F
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 For cat setupfiles：
[root@localhost squid]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.3.5 on Wed Feb  8 23:35:27 2012
*nat
:PREROUTING ACCEPT [23:6405]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Wed Feb  8 23:35:27 2012
# Generated by iptables-save v1.3.5 on Wed Feb  8 23:35:27 2012
*filter
:INPUT ACCEPT [296:41176]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [167:20040]
COMMIT
# Completed on Wed Feb  8 23:35:27 2012

4.配置squid透明代理注意事项
    一般双网卡或者双网卡以上代理服务器多作为路由用，或者都是需要改变现有的网络状况的。首先透明代理跟普通代理的区别，就在于客户机无需在IE代理处做任 何设置，根双网卡代理服务一样网关配置肯定是squid内网lan口的ip，单网卡代理毋庸置疑网关要配置当前squid单网卡ip地址，之所以使用单网 卡代理的目的在于服务器上的不知不觉，不改变当前网络环境，无需设置Bind服务和dhcp服务，dns只需设置外网dns即可，在进口路由的 dhcpserver里修改网关为192.168.16.squidip  即可，这样dhcp请求上来获得的ip地址将分配新的网关（squid网关给客户端使用）。为安全考虑，可以把进口route的默认ip修改成squid 代理ip，route另外单独给其一个ip，这样设置效果最好，可以杜绝一些有点网络常识的同事捣乱。
    另关于squid代理acl规则配置匹配是从上往下匹配，设置规则要注意，如果没有生效，及时查看规则所在行是否被其他规则覆盖。

5.squid 常用命令 
/etc/init.d/squid -z        # 建立缓存目录 
/etc/init.d/squid -k parse  #测试语法是否有误 
/etc/init./squid  start/stop/restart/status/reload   # 当语法有错误时，在执行这几条命令时也会提示语法错误 
pas -aux | grep suqid    #查看squid进程 
squid -k rotate  #切割日志循环，可以配合crontab 任务计划脚本按需执行