Squid是一個(gè)應(yīng)用級代理，在保證客戶端主機(jī)和服務(wù)器主機(jī)網(wǎng)絡(luò)連通后，需要客戶端軟件做相應(yīng)的設(shè)置后才能使用，比如給 Internet Explorer設(shè)置代理服務(wù)器地址、端口等。
WEB緩存功能對于一個(gè)規(guī)模較大、訪問繁忙的網(wǎng)絡(luò)來說是有必要的，IBM網(wǎng)站上的一篇文章，詳細(xì)分析介紹了WEB緩存給上網(wǎng)用戶帶來的好處：
http://www-900.ibm.com/developer ... achinga/index.shtml

下面我們就介紹一下squid的有關(guān)內(nèi)容。

§§　安裝運(yùn)行squid

Redhat 7.3自帶Squid的rpm包squid-2.4.STABLE6-1.7.2.i386.rpm，這里我們直接利用rpm來安裝Squid：

[root@rh73 /mnt/cdrom/RedHat/RPMS]# rpm -ivh squid-2.4.STABLE6-1.7.2.i386.rpm

Preparing... ########################################### [100%]

1:squid ########################################### [100%]

安裝后的Squid配置文件在/etc/squid/目錄下，只需要簡單的配置一下/etc/squid/squid.conf就可以讓它工作起來了。

默認(rèn)安裝的Squid配置文件是一個(gè)兩千多行的文本，實(shí)事上你用不到設(shè)置那么多。用編輯器打開該配置文件，找到http_access設(shè)置部分，把
http_access deny all

一行改成

http_access allow all

然后啟動(dòng)Squid：
/etc/rc.d/init.d/squid start

現(xiàn)在你的Squid代理服務(wù)器已經(jīng)可以使用了。到客戶端設(shè)置上網(wǎng)軟件的代理選項(xiàng)，以Internet Explorer 6.0為例，在Internet屬性設(shè)置里設(shè)置“連接”屬性，點(diǎn)“局域網(wǎng)設(shè)置”按鈕。

在彈出的對話框中選中“為LAN使用代理服務(wù)器”，在地址欄填入代理服務(wù)器地址，這里是：192.168.100.254，端口為squid默認(rèn)的3128。

確認(rèn)。此時(shí)你再用Internet Explorer上網(wǎng)便是使用squid代理。你可以察看squid的log文件來觀察到客戶端主機(jī)通過squid的訪問情況：

[root@rh73 ~]# tail -f /var/log/squid/access.log


在這里，上面的設(shè)置只對Internet Explorer起作用。如果你按照前面的章節(jié)在Linux接入服務(wù)器上實(shí)現(xiàn)了NAT的功能，除了IE瀏覽器里訪問http、ftp服務(wù)是在用squid 代理外，其它上訪問Internet的操作，如收發(fā)Email，telnet，還是通過NAT完成訪問。當(dāng)你把瀏覽器的代理設(shè)置選項(xiàng)清除后，你又可以恢復(fù)到NAT方式訪問Internet。

§§　設(shè)置squid

前面的配置是不加限制的允許內(nèi)部所有用戶使用該代理上Internet，顯然這不是一個(gè)很好的訪問策略。我們說過，代理方式對用戶權(quán)限的控制有著非常豐富的支持。下面就看看squid如何實(shí)現(xiàn)多樣化的權(quán)限控制的。

讓我們先了解一下squid.conf的幾個(gè)配置選項(xiàng)和訪問控制特性：

Squid 的定制是通過設(shè)置它的配置文件 squid.conf 來實(shí)現(xiàn)的，squid.conf 文件通常在 /etc/squid 目錄下。這個(gè)配置文件內(nèi)容很多，但它的每個(gè)選項(xiàng)都有詳盡的說明。下面是幾個(gè)常用的配置參數(shù)：

http_port

首先來更改一下 http_port，這個(gè)選項(xiàng)指定了 Squid 監(jiān)聽客戶請求的端口，默認(rèn)值是 3128。要使用代理功能，建議這個(gè)端口值和運(yùn)行 Squid 的機(jī)器的 IP 地址一起使用，可以修改成下面這樣：

http_port 192.168.100.254:3128

上述聲明表示 Squid 綁定在 IP 地址 192.168.100.254 上，端口為 3128。端口可以設(shè)置為任意值，但要確認(rèn)沒有其他程序會使用同樣的端口。/etc/services文件列出了常用端口，如果你想為squid設(shè)置其它的端口，可以參考這個(gè)文件的內(nèi)容，防止重復(fù)設(shè)置。

visible_hostname 192.168.100.254

運(yùn)行squid的主機(jī)的名字，可以寫上該機(jī)器的IP地址。

[email]cache_mgrpangty@usa.net[/email]

管理員的郵件地址。在訪問發(fā)生錯(cuò)誤時(shí)，visible_hostname和cache_mgr這兩個(gè)選項(xiàng)的值顯示在錯(cuò)誤提示頁面內(nèi)的相關(guān)位置。

cache_mem 16 MB

定義緩存內(nèi)存，一般定義為物理內(nèi)存大小的1/3。默認(rèn)設(shè)置為8MB。

cache_dir Type Directory-Name Fs-specific-data [options]

定義硬盤緩存空間以存儲訪問過的頁面或其它資源的拷貝。Type是指存儲類型，一般設(shè)置為ufs。Directort-Name代表緩存的位置，默認(rèn)的設(shè)置是cache_dir ufs /var/spool/squid 100 16 256。其中100代表緩存空間最大為100M；16和256代表緩存目錄下的一級和二級目錄數(shù)。

訪問控制
控制用戶的訪問權(quán)限等功能是使用squid的訪問控制特性來實(shí)現(xiàn)的。Squid 訪問控制有兩個(gè)要素：ACL和訪問列表。訪問列表可以允許或拒絕某些用戶對特定服務(wù)的訪問。

為了使用控制功能，必須先設(shè)置 ACL。ACL 聲明的格式如下:

acl acl_element_name type_of_acl_element values_to_acl


下面列出一些重要的 ACL類型（type_of_acl_element）

l src : 源地址（即客戶機(jī)IP地址）

l dst : 目標(biāo)地址（即服務(wù)器IP地址）

l srcdomain : 源名稱 （即客戶機(jī)名稱）

l dstdomain : 目標(biāo)名稱 （即服務(wù)器名稱）

l time : 一天中的時(shí)刻和一周內(nèi)的一天

l url_regex : URL 規(guī)則表達(dá)式匹配

l urlpath_regex: URL-path 規(guī)則表達(dá)式匹配，略去協(xié)議和主機(jī)名

l proxy_auth : 通過外部程序進(jìn)行用戶驗(yàn)證

l maxconn : 單一 IP 的最大連接數(shù)


注：
1. acl_element_name 可以是任一個(gè)在 ACL 中定義的名稱。

2. 任何兩個(gè) ACL 元素不能用相同的名字。

3. 每個(gè) ACL 由列表值組成。當(dāng)進(jìn)行匹配檢測的時(shí)候，多個(gè)值由邏輯或運(yùn)算連接；換言之，即任一 ACL的值被匹配，則這個(gè) ACL即被匹配。
4. 并不是所有的 ACL都能使用訪問列表中的全部類型。

5. 不同的 ACL寫在不同行中，Squid 將把它們組合在一個(gè)列表中。

我們可以使用許多不同的訪問列表。我們常用的是http_access: 允許 HTTP 訪問，這個(gè)是主要的訪問控制列表。

訪問列表的規(guī)則由一些類似 'allow' 或 'deny' 的關(guān)鍵字構(gòu)成，用以允許或拒絕向特定或一組 ACL 元素提供服務(wù)。


注：

1. 這些規(guī)則按照它們的排列順序進(jìn)行匹配檢測，一旦檢測到匹配的規(guī)則，匹配檢測就立即結(jié)束。

2. 一個(gè)訪問列表可以又多條規(guī)則組成。

3. 如果沒有任何規(guī)則與訪問請求匹配，默認(rèn)動(dòng)作將與列表中最后一條規(guī)則對應(yīng)。

4. 一個(gè)訪問條目中的所有元素將用邏輯與運(yùn)算連接：

http_access Action 聲明1 AND 聲明2 AND 聲明 OR.

http_access Action 聲明3

多個(gè) http_access 聲明間用或運(yùn)算連接，但每個(gè)訪問條目的元素間用與運(yùn)算連接。

5. 請記住列表中的規(guī)則總是遵循由上而下的順序。

我們具體來看看如何運(yùn)用acl和http_access。首先把squid.conf的配置改回原狀，即修改http_access allow all為http_access deny all。下面給出幾種常用訪問控制：


根據(jù)IP鑒權(quán)

只有地址為192.168.100.10和192.168.100.100的終端可以使用代理

在squid.conf的ACCESS CONTROL配置部分添加

acl authorizedip src 192.168.100.10

acl authorizedip src 192.168.100.100

然后到http_access部分

在http_access deny all這一行前面添加

http_access allow authorizedip

如果需要設(shè)置的IP地址非常多，又不連續(xù)，是不是要寫上一大堆的acl xxx xxx x.x.x.x？有一個(gè)簡單的方法，把這些IP地址寫在一個(gè)文件里，比如/etc/squid/authorizedip.txt，每行一個(gè)。然后在squid.conf里這樣寫

acl authorizedip src "/etc/squid/authorizedip.txt"

根據(jù)時(shí)間控制

關(guān)于時(shí)間段的設(shè)置，可以參見squid.conf中的說明，具體是S - Sunday, M - Monday, T - Tuesday, W - Wednesday, H - Thursday, F - Friday A - Saturday，如果七天都允許，也可以不寫。時(shí)間格式是H1:M1-H2:M2，要求是前面的要小于后面的。

# 定義一個(gè)訪問時(shí)間段：每周星期一到星期五的上午八點(diǎn)到下午五點(diǎn)，允許alloweduser用戶在這個(gè)時(shí)間段內(nèi)上網(wǎng)

acl accept_time time MTWHF8:00-17:00

http_access allow alloweduser accept_time

http_access deny alloweduser

訪問特定URL地址

雖然我們不希望所有的人都使用代理自由的訪問Internet，但有幾個(gè)網(wǎng)站是可以讓內(nèi)部終端都能訪問的。在squid.conf里添加訪問控制：

acl alloweddomain dstdomain .linuxforum.net .linuxaid.com.cn

http_access allow alloweddomain

同樣的，如果參數(shù)很多的情況，也可以把這些允許的地址名寫到一個(gè)文本里：

acl alloweddomain dstdomain "/etc/squid/alloweddomain.txt"

alloweddomain.txt里是允許訪問站點(diǎn)的列表，每行一個(gè)。

根據(jù)關(guān)鍵字過濾網(wǎng)址

有些網(wǎng)站（色/情/網(wǎng)站，廣告網(wǎng)站）很令人討厭，通過設(shè)置acl可以很容易屏蔽掉這些站點(diǎn)：

acl denyurl url_regex sex boylink xxx city69 asiaadult sehu

http_access deny denyurl

這個(gè)設(shè)置將過濾帶有sex boylink xxx city69 asiaadult sehu這些關(guān)鍵字的URL地址。

和前面一樣，也可以把這些關(guān)鍵字寫到一個(gè)文本里

acl denyedurl url_regex "/etc/squid/sex.txt"

http_access deny denyurl

基于用戶的認(rèn)證

Squid本身并不支持用戶驗(yàn)證，它是通過外部程序提供用戶驗(yàn)證功能，用戶通過squid訪問前需要輸入有效的用戶名和密碼?？梢杂?proxy_auth ACL 和 authenticate_program 來實(shí)現(xiàn)這個(gè)功能，在允許訪問前強(qiáng)制進(jìn)行用戶名和密碼的核查。下面列出一些 Squid 能用到的驗(yàn)證程序：

NCSA : 使用 NCSA 風(fēng)格的用戶名和密碼檔

LDAP : 使用 Linux Lightweight 目錄訪問協(xié)議（Linux Lightweight Directory Access Protocol）

SMB : 使用 SMB 協(xié)議的服務(wù)，如 SAMBA 或 Windows NT

MSNT : 使用 Windows NT 的域驗(yàn)證

PAM : 使用 Linux 的可裝載驗(yàn)證模塊

getpwam : 使用 Linux 密碼檔

使用驗(yàn)證功能必須用authenticate_program 選項(xiàng)指定使什么驗(yàn)證程序，并且請確認(rèn)選定的驗(yàn)證程序已安裝并能很好的工作。默認(rèn)的，這些驗(yàn)證程序放在/usr/lib/squid/目錄下。

以NCSA認(rèn)證為例，修改 squid.conf 文件選定驗(yàn)證程序：

authenticate_program /usr/lib/squid/ncsa_auth /etc/squid/passwd

acl alloweduser proxy_auth pangty

http_access allow alloweduser

其中/etc/squid/passwd是用戶和密碼列表，這個(gè)文件可以用apache軟件包帶的htpasswd來產(chǎn)生，它的內(nèi)容可能是這樣的：

pangty:wCQhCeZOOF3vk

pangty是用戶名，“:”號后面的是該用戶的密碼。

注意：修改了squid.conf配置后，需要重新啟動(dòng)squid或者告訴squid重新裝入配置文件才能起作用。這樣執(zhí)行：

重起squid：

[root@rh73 ~]# /etc/rc.d/init.d/squid restart


不重起，只裝入新的配置文件：

[root@rh73 ~]# /etc/rc.d/init.d/squid reload

以上是squid的常用的配置選項(xiàng)，這對于一般的應(yīng)用來說已經(jīng)足夠了，如果你需要更多的特性支持，請閱讀下面的內(nèi)容。

§§　需要更多的功能

顯示中文錯(cuò)誤提示信息

默認(rèn)的，squid在發(fā)生錯(cuò)誤時(shí)顯示的是英文提示信息，squid的提示信息已經(jīng)被翻譯成很多語言，可以很方便的讓他顯示中文信息：

[root@rh73 ~]# cd /etc/squid/

[root@rh73 ~]# rm -f errors

[root@rh73 /etc/squid]# ln -s /usr/lib/squid/errors/Simplify_Chinese/ errors

/usr/lib/squid/errors下面有squid的各種語言版本的提示信息，按目錄存放在不同的子目錄下面。

支持基于MAC的控制以及訪問帶有下劃線的URL

由于計(jì)算機(jī)的IP地址是隨時(shí)可以更改的，所以即便你設(shè)置了ACL限制只有某些IP的計(jì)算機(jī)可以訪問Internet，其它人仍然可以在該計(jì)算機(jī)關(guān)機(jī)的情況下，修改成這些允許上網(wǎng)的IP地址后訪問Internet。另外，前面我們是使用DHCP來管理內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī)的IP地址，每臺計(jì)算機(jī)每次獲得的IP地址可能是不一樣的，所以，單純的通過IP地址來控制上網(wǎng)權(quán)限并不適合所有的場合，而MAC地址相對是穩(wěn)定的，一般網(wǎng)卡的MAC地址不能夠更改，所以基于MAC地址的用戶控制非常適合解決這兩種情況帶來的問題。

另外，我們訪問Internet時(shí)，有時(shí)候會遇到這樣的網(wǎng)站地址：http://www.hello_world.com，在網(wǎng)站的URL地址里面有下劃線，這時(shí)Red Hat Linux自帶的squid軟件包可能會報(bào)告無法訪問該網(wǎng)站。

這些功能需要重新編譯squid源代碼增加相應(yīng)的編譯選項(xiàng)來實(shí)現(xiàn)。下面我們就來看一下如何使用rpm重新編譯軟件包源代碼獲得必要的功能。

當(dāng)文章寫到這里的時(shí)候，Red Hat Linux網(wǎng)站發(fā)布了squid的升級軟件包，我們可以從網(wǎng)上獲得它的最新源代碼rpm包：

ftp://updates.redhat.com/7.2/en/ ... ABLE6-6.7.3.src.rpm

在開始編譯前，有一些軟件包是需要首先安裝，這可能包括rpm-build、sgml-tools，前者在Red Hat Linux的光盤上可以找到，后者可以從這里下載：

ftp://ftp.freesoft.cei.gov.cn/.m ... s-1.0.9-12.i386.rpm

安裝squid的源代碼包

[root@rh73 ~]# rpm -ivh squid-2.4.STABLE6-6.7.3.src.rpm

安裝后的源代碼包在/usr/src/redhat/SOURCES目錄下，我們關(guān)心的是另外一個(gè)文件/usr/src/redhat/SPECS/squid.spec，這里面有squid的相關(guān)編譯選項(xiàng)，修改該文件%configure部分如下：

%configure \

--exec_prefix=/usr --bindir=/usr/sbin --libexecdir=/usr/lib/squid \

--localstatedir=/var --sysconfdir=/etc/squid \

--enable-poll --enable-snmp --enable-removal-policies="heap,lru" \

--enable-storeio="aufs,coss,diskd,ufs" \

--enable-delay-pools --enable-linux-netfilter \

--with-pthreads \

--enable-underscores \

--enable-arp-acl \

--enable-err-language=Simplify_Chinese \

--enable-auth-modules="LDAP,NCSA,PAM,SMB,MSNT" # --enable-icmp

--enable-underscores是增加對下劃線網(wǎng)址的支持，--enable-arp-acl是增加支持MAC地址方式的鑒權(quán)。


開始編譯產(chǎn)生新的RPM包：

[root@rh73 ~]# rpm -ba squid.spe

這條命令將根據(jù)squid.spec的配置重新編譯生成新的rpm包。編譯過程視機(jī)器性能的好壞而定，大概需要幾分鐘到幾十分鐘不等，如果沒有什么錯(cuò)誤，最后產(chǎn)生的新的rpm包在/usr/src/redhat/RPMS/i386/目錄下：squid- 2.4.STABLE6-6.7.3.i386.rpm

安裝新的rpm包：

[root@rh73 ~]# rpm -Uvh /usr/src/redhat/RPMS/i386/squid-2.4.STABLE6-6.7.3.i386.rpm

注意，這里使用了-U參數(shù)，是因?yàn)槲覀兦懊嬉呀?jīng)安裝過squid的一個(gè)較舊的版本，-U參數(shù)指出這個(gè)操作是對原有版本軟件包的升級?，F(xiàn)在你的squid就可以支持MAC地址鑒權(quán)和帶下劃線的URL地址了。 8)

配置squid.conf來支持MAC地址鑒權(quán)，在squid.conf里加入這樣的內(nèi)容：

acl allowedmac arp00:10:DC:8F:5B:FF

http_access allow allowedmac

上面只是常用的幾種ACL設(shè)置的示例，關(guān)于ACL可以訪問squid主頁上FAQ文檔的Access Controls部分獲得更多的信息：

http://www.squid-cache.org/Doc/FAQ/FAQ-10.html

§§　配置透明代理

透明代理是NAT和代理的完美結(jié)合，之所以稱為透明，是因?yàn)樵谶@種工作方式下你感覺不到代理的存在，和單純使用NAT一樣，對上網(wǎng)的客戶端沒有任何特殊的設(shè)置。Squid可以通過配置支持透明代理。


很多文章講到共享上網(wǎng)就會講有關(guān)透明代理（iptables + squid或ipchains + squid）的內(nèi)容，我個(gè)人認(rèn)為對于規(guī)模不大的網(wǎng)絡(luò)，又沒有內(nèi)容過濾等功能的要求，使用squid是沒有必要的，單純的使用NAT方式就足夠了，并且這樣對運(yùn)行NAT的服務(wù)器的要求就更加低，比如使用一臺486 + 4M內(nèi)存的機(jī)器，如果使用那些經(jīng)過特殊定制的Linux系統(tǒng)，甚至連硬盤都不需要，只要一張軟盤就可以了。

如果是源代碼方式編譯安裝的squid，請?jiān)诰幾g選項(xiàng)里指明--enable-linux-netfilter選項(xiàng)。Red Hat Linux自帶的squid支持透明代理，我們可以直接修改/etc/squid/squid.conf文件，設(shè)置必要的參數(shù)：

httpd_accel_host virtual

httpd_accel_port 80

httpd_accel_with_proxy on

httpd_accel_uses_host_header on

運(yùn)行/etc/rc.d/init.d/squid reload使設(shè)置生效，然后修改fw.sh腳本，在最后添加這樣一行：

iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

這將把所有局域網(wǎng)用戶通過Linux接入服務(wù)器訪問www服務(wù)的訪問請求重定向到工作在3128端口的squid處理。運(yùn)行fw.sh腳本，使設(shè)置生效。就這么簡單！

你可能還記得fw.sh里面的關(guān)于NAT的規(guī)則：

iptables -A POSTROUTING -t nat -s 192.168.100.0/24 -o eth0 -j SNAT --to-source 61.156.35.114

由于PREROUTING規(guī)則總在POSTROUTING規(guī)則之前應(yīng)用，所以不用擔(dān)心squid被NAT規(guī)則屏蔽掉。

注意：使用透明代理時(shí)，無法同時(shí)使用squid基于用戶帳號的驗(yàn)證功能！


想了解更多關(guān)于透明代理的資料，請?jiān)L問TLDP（The Linux Documentation Project）上關(guān)于透明代理的HOWTO文檔：

http://www.tldp.org/HOWTO/mini/TransparentProxy.html

§§　一個(gè)squid.conf的配置實(shí)例

現(xiàn)在給出一個(gè)支持透明代理并使用MAC地址控制用戶上網(wǎng)權(quán)限的squid配置文件，該配置還支持特定網(wǎng)站（如色/情/網(wǎng)站）的過濾功能：

#定義服務(wù)器地址和端口

http_port 192.168.100.254:3128

#定義服務(wù)器名字

visible_hostname 192.168.100.254

#定義管理員郵件地址

cache_mgr [email]pangty@usa.net[/email]

#定義緩存內(nèi)存空間和緩存目錄

cache_mem 16 MB

cache_dir ufs /var/spool/squid 100 16 256

#支持透明代理

httpd_accel_host virtual

httpd_accel_port 80

httpd_accel_with_proxy on

httpd_accel_uses_host_header on

#定義acl

#sexurl.txt列出要過濾色/情/網(wǎng)站地址的關(guān)鍵字，每個(gè)關(guān)鍵字占一行，如xchina

#maclist.txt列出允許上網(wǎng)的主機(jī)的MAC地址，每個(gè)地址占一行，如00:50:56:C0:00:08

acl all src 0.0.0.0/0.0.0.0

acl sexurl url_regex "/etc/squid/sexurl.txt"

acl allowedmac arp "/etc/squid/maclist.txt"

#定義訪問策略

http_access deny sexurl

http_access allow allowedmac

http_access deny all

最新評論