基于Linux网关服务器squid配置过程详解

linux  /  管理员 发布于 7年前   275

前言

　　在此，我们要配置一个只对内部网络提供代理服务的 Proxy Server。它具有如下功能它将用户分为高级用户和普通用户两种，对高级用户采用网卡物理地址识别的方法，

　　普通用户则需要输入用户名和口令才能正常使用。 高级用户没有 访问时间和文件类型的限制，而普通用户只在上班时可以访问以及一些其它的限制。

　　安装

　　从源中安装

　　源中自带稳定版本，执行下面的命令进行安装

　　sudo apt-get install squid squid-common

　　源码编译安装

　　当然你也可以到官方网站下载最新的版本进行编译安装：

　　其中 STABLE 稳定版、DEVEL 版通常是提供给开发人员测试程序的，假定下载了最新的稳定版 squid-2.5.STABLE2.tar.gz，用以下命令解开压缩包：

　　tar xvfz squid-2.5.STABLE.tar.gz

　　用 bz2方式压缩的包可能体积更小，相应的命令是：

　　tar xvfj squid-2.5.STABLE.tar.bz2

　　然后，进入相应目录对源代码进行配置和编译，命令如下：

　　cd squid-2.5.STABLE2

　　配置命令 configure 有很多选项，如果不清楚可先用“-help”查看。通常情况下，用到的选项有以下几个：

　　--prefix=/WEB/squid

　　指定 Squid 的安装位置，如果只指定这一选项，那么该目录下会有 bin、sbin、man、conf 等目录，而主要的配置文件此时在 conf 子目录中。为便于管理，最好用参数--sysconfdir=/etc把这个文件位置配置为/etc。

　　--enable-storeio=ufs,null

　　使用的文件系统通常是默认的 ufs，不过如果想要做一个不缓存任何文件的代理服 务器，就需要加上 null 文件系统。

　　--enable-arp-acl

　　这样可以在规则设置中直接通过客户端的 MAC 地址进行管理，防止客户使用 IP 欺骗。

　　--enable-err-languages="Simplify_Chinese"

　　--enable-default-err-languages="Simplify_Chinese"

　　上面两个选项告诉 Squid 编入并使用简体中文错误信息。

　　--enable-Linux-netfilter

　　允许使用 Linux 的透明代理功能。

　　--enable-underscore

　　允许解析的 URL 中出现下划线，因为默认情况下 Squid 会认为带下划线的 URL 是 非法的，并拒绝访问该地址。 整个配置编译过程如下：

　　./configure --prefix=/var/squid

　　--sysconfdir=/etc

　　--enable-arp-acl

　　--enable-linux-netfilter

　　--enable-pthreads

　　--enable-err-language="Simplify_Chinese"

　　--enable-storeio=ufs,null

　　--enable-default-err-language="Simplify_Chinese"

　　--enable-auth="basic"

　　--enable-baisc-auth-helpers="NCSA"

　　--enable-underscore

　　其中一些选项有特殊作用，将在下面介绍它们。 最后执行下面两条命令，将源代码编译为可执行文件，并拷贝到指定位置。

　　make

　　sudo make install

　　基本配置

　　安装完成后，接下来要对 Squid 的运行进行配置(不是前面安装时的配置)。所有项目都在squid.conf 中完成。Squid 自带的 squid.conf 包括非常详尽的说明，相当于一篇用户手册，对配置有任何疑问都可以参照解决。在这个例子中，代理服务器同时也是网关，内部网络接口 eth0的 IP 地址为192.168.0.1，外部网络接 eth1的 IP 地址为202.103.x.x。下面是一个基本的代理所需要配置选项：

　　http_port 192.168.0.1:3128

　　默认端口是3128，当然也可以是任何其它端口，只要不与其它服务发生冲突即可。为了安全起见，在前面加上 IP 地址，Squid 就不会监听外部的网络接口。 下面的配置选项是服务器管理者的电子邮件，当错误发生时，该地址会显示在错误页面上，便于用户联系：

　　cache_mgr start@soocol.

　　以下这些参数告诉 Squid 缓存的文件系统、位置和缓存策略：

　　cache_dir ufs /var/squid

　　cache_mem 32MB

　　cache_swap_low 90

　　cache_swap_high 95

　　在这里，Squid 会将/var/squid 目录作为保存缓存数据的目录，每次处理的缓存大小是32兆字节，当缓存空间使用达到95%时，新的内容将 取代旧的而不直接添加到目录中，直到空间又下降到90%才停止这一活动。如果不想 Squid 缓存任何文件，如某些存储空间有限的专有系统，可以使用 null 文件系统(这样不需要那些缓存策略)：

　　cache_dir null /tmp

　　下面的几个关于缓存的策略配置中，较主要的是第一行，即用户的访问记录，可以通过分析它来了解所有用户访问的详尽地址：

　　cache_access_log /var/squid/access.log

　　cache_log /var/squid/cache.log

　　cache_store_log /var/squid/store.log

　　下面这行配置是在较新版本中出现的参数，告诉 Squid 在错误页面中显示的服务器名称：

　　visible_hostname No1.proxy

　　以下配置告诉 Squid 如何处理用户，对每个请求的 IP 地址作为单独地址处理：

　　client_netmask 255.255.255.255

　　如果是普通代理服务器，以上的配置已经足够。但是很多 Squid 都被用来做透明代理。所谓透明代理，就是客户端不知道有代理服务器的存在，当然也不需要进行任何与代理有关的设置，从而大大方便了系统管理员。相关的选项有以下几个：

　　httpd_accel_host virtual

　　httpd_accel_port 80

　　httpd_accel_with_proxy on

　　httpd_accel_user_host_header on

　　在 Linux 上，可以用 iptables/ipchains 直接将对 WEB 端口80的请求直接转发到 Squid 端口3128，

　　由 Squid 接手，而用户浏览器仍然认为它访问的是对方的80端口。例如以下这条命令：

　　iptables -t nat -A PREROUTING -s 192.168.0.200/32 -p tcp --dport 80 -j REDIRECT 3128

　　就是将192.168.0.200的所有针对80端口的访问重定向到3128端口。

　　所有设置完成后，关键且重要的任务是访问控制。Squid 支持的管理方式很多，使用起来也非常简单(这也是有人宁愿使用不做任何缓存的 Squid， 不愿意单独使用 ipta