前言：
本文主要介紹了在linux使用squid和squidGuard配置代理服務(wù)器，以www代理服務(wù)為例介紹如何過濾有害站點(diǎn)和限制用戶對internet的訪問。

一.介紹
Squid是Linux下最為流行的代理服務(wù)器軟件，它功能強(qiáng)大，支持對HTTP，F(xiàn)TP，Gopher，SSL和WAIS等協(xié)議的代理；設(shè)置簡單，只需對配置文件中稍稍改動就可使代理服務(wù)器運(yùn)轉(zhuǎn)起來。而且Squid具有頁面緩存功能，它接收用戶的下載申請，并自動處理所下載的數(shù)據(jù)。也就是說，當(dāng)一個用戶象要下載一個主頁時，它向Squid發(fā)出一個申請，要Squid替它下載，然后Squid連接所申請網(wǎng)站并請求該主頁，接著把該主頁傳給用戶同時保留一個備份，當(dāng)別的用戶申請同樣的頁面時，Squid把保存的備份立即傳給用戶，使用戶覺得速度相當(dāng)快。
squidGuard則是作為squid的輔助軟件，完成過濾、重定向和訪問控制的功能。它是一個自由軟件，功能強(qiáng)，便于安裝、易于配置、而且處理速度快。功能主要包括：根據(jù)web服務(wù)器或URLs列表限制一些用戶的訪問；阻塞某些用戶對黑名單上的web服務(wù)器和URLs的訪問；阻塞某些用戶對正則表達(dá)式匹配的URLs的訪問；在URL路徑加強(qiáng)了使用域名訪問而禁止用IP訪問；重定向阻塞的URLs到一個智能CGI的信息頁；重定向非授權(quán)用戶到一個注冊頁面；具有基于日期、每周、每天具體時間的訪問規(guī)則；對不同用戶組有不同的規(guī)則。但是不能過濾、檢查文檔中的文本以及HTML中的JavaScript或Vbscript腳本語言。

二.安裝
1。安裝squid：
從www.squid-cache.org下載squid-2.4.STABLE2-src.tar.gz存在本地/usr/local/squid/src下。
在編譯Squid之前，建立一個專門運(yùn)行Squid的用戶和組，這里建立了名為squid的組和用戶，用戶目錄設(shè)為/usr/local/squid
#su squid
 $cd /usr/local/squid/src
 $tar xvzf squid-2.4.STABLE2-src.tar.gz
 $ cd squid-2.4.STABLE2
 $./configure
 $make
 $make install
(默認(rèn)安裝到/usr/local/squid目錄下)

2。安裝Berkeley DB 2.x:
從http://www.sleepycat.com 下載db-2.7.7.tar.gz并存在/usr/local/squidGuard/src/目錄下
 $su
#cd /usr/local/squidGuard/src/
#tar xvzf db-2.7.7.tar.gz
#cd db-2.7.7
#cd build_unix
#../dist/configure
#make
#make install
(默認(rèn)安裝到/usr/local/BerkeleyDB目錄下)
注意：squidＧuard不支持Berkeley DB 3.x版本

3。安裝squidGuard
從http://ftp.ost.eltele.no/pub/www/proxy/squidGuard/squidGuard-1.1.4.tar.gz下載軟件包并存于本地/usr/local/squidGuard/src/
#cd /usr/local/squidGuard/src/
#tar xvzf squidGuard-1.1.4.tar.gz
#cd squidGuard-1.1.4
#./configure --with-sg-config=/usr/local/squidGuard/squidGuard.conf
  --with-sg-logdir=/usr/local/squidGuard/logs
  --with-sg-dbhome=/usr/local/squidGuard/db
#make
#make test//測試ok，即可進(jìn)行下一步安裝
#make install

三.配置
1．配置squid：
 修改squid的配置文件/usr/local/squid/etc/squid.conf：
 http_port 8080
#squid的代理端口，使用1024以下的端口，squid必須以root身份運(yùn)行
 http_access allow all
 #允許所有的用戶通過代理進(jìn)行http訪問
 redirect_program /usr/local/squid/bin/squidGuard -c /usr/local/squidGuard/squidGuard.conf
#squid啟用squidGuard進(jìn)行過濾和轉(zhuǎn)發(fā)
 其它參數(shù)：
 cache_mem：設(shè)置代理服務(wù)使用的內(nèi)存大小，一般推薦為物理內(nèi)存的三分之一
 cache_dir：指定cache目錄的路徑，默認(rèn)為/usr/local/squid/cache。
maximum_object_size： 指定Squid可以接收的最大對象的大小。Squid缺省值為4M，可以根據(jù)自己的需要進(jìn)行設(shè)定。
cache_dir：設(shè)定緩存的位置、大小。一般格式如下：
cache_dir /usr/local/squid/cache 100 16 256
/usr/local/squid/cache代表緩存的位置；100代表緩存最大為100M；16和256代表一級和二級目錄數(shù)。
cache_effective_user：設(shè)定使用緩存的有效用戶。缺省為用戶nobody，如果系統(tǒng)中沒有用戶nobody，最好建一個或以非root用戶運(yùn)行Squid。這里是以squid身份運(yùn)行的
cache_effective_group：設(shè)定使用緩存的有效用戶組。缺省組為nogroup，如果系統(tǒng)中沒有組nogroup，最好建一個組。這里是squid組。
(其余參數(shù)用默認(rèn)值即可！)

 2．配置squidGuard:
 修改squidＧuard的配置文件/usr/local/squidGuard/squidGuard.conf文件：

 logdir /usr/local/squidGuard/logs #日志目錄定義
 dbhome /usr/local/squidGuard/db #db目錄定義

 time testtime {#時間規(guī)則定義
  weekly mtwhf 05:00 - 10:30
  weekly as08:00 - 19:00
  date *-*-01 08:00 - 16:30
  date 2001.10.01 - 2001.10.09
 }

 src admin { #源組定義
 ip 192.168.100.18
 }

 src client{
 ip 192.168.100.20 192.168.100.21 192.168.100.22
 ip 192.168.200.0/24
 }

 dest porn {#目標(biāo)組定義
 domainlist porn/domains
 urllistporn/urls
 expressionlist porn/expressions
 }

 acl { #訪問規(guī)則定義
 admin within testtime {
 pass !porn all
 } else {
 pass all
 }

 client {
 pass !in-addr !porn all
 }

 default {
 pass none
 redirect http://admin.foo.com
（＃也可以重定向到一個含有一些信息的cgi頁面，如下：
http://admin.foo.com/cgi/blocked?clientaddr=%a&clientname=%n&clientuser=%i&clientgroup=%s&targetgroup=%t&url=%u）
 }
 }

 # vi db/porn/domains
（域列表文件：主要是阻塞一些定義的站點(diǎn)）
 co.za
 sex.com
（如上，可以阻塞如hack.co.za、sex.com、www.sex.com、whatever.sex.com，但是不同于.*[^.]sex.com，不匹配ssex.com）

 # vi db/porn/urls
（url列表文件，主要是阻塞一些站點(diǎn)及其一些欄目）
 qihui.com/sex
 valen.sohu.com/album
(如上可阻塞http://qihui.com/sex、http://qihui.com/sex/whatever、ftp://qihui.com/sex、http://www.qihui.com/sex等)

 # vi db/porn/expressions
(表達(dá)式列表文件，主要是阻塞一些與表達(dá)式匹配的URL訪問)
 (^|[\?+=/])(.*)(girl)(.*)([\?+=/]|$)
（上面的正則表達(dá)式可以阻塞URL中包括girl站點(diǎn)的訪問，如：www.girlzine.com、girl.huabao.net、www.huayu.net/girl、www.universiti.com/girl等 ）

  注意：squidGuard對配置文件的語法要求很嚴(yán)，如果配置文件語法有誤，squidGuard仍能運(yùn)行，但是squidGuard已進(jìn)入應(yīng)急模式，此時代理服務(wù)不具有任何阻塞作用，所有通過該代理的訪問都可通過，可以查看logs/squidGuard的日志文件，即可發(fā)現(xiàn)錯誤，例如：
2001-12-20 17:08:44 [2430] parse error in configfile /usr/local/squidGuard/squidGuard.conf line 8
2001-12-20 17:08:44 [2430] going into emergency mode
…….
  其中配置文件第8行有誤，squidＧuard進(jìn)入應(yīng)急模式。
  配置的具體說明詳見http://www.squidguard.org/

四.運(yùn)行：
 $ chmod 777 /usr/local/squid/logs
  （設(shè)置logs對所有用戶為可寫。這樣，不特定的squid代理客戶才能正常訪問代理服務(wù)器，并能在logs目錄、產(chǎn)生access.log、cache.log等文件。）
 $ /usr/local/squid/bin/squid -z
 (手工建立squid的緩存目錄/usr/local/squid/cache。)
#/usr/local/squid/bin/squid
(后臺執(zhí)行squid。如果想前臺執(zhí)行squid：如果你想前臺執(zhí)行Squid執(zhí)行命令：
$/usr/local/squid/bin/squid -NCd1
該命令正式啟動Squid。如果一切正常，你會看到一行輸出:
Ready to serve requests)
# ps ax|grep squid
20198 ?S0:00 /usr/local/squid/bin/squid
20200 ?S0:27 (squid)
20310 ?S0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
20311 ?S0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
20312 ?S0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
20313 ?S0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
20314 ?S0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
（此時squidGuard也已啟用，每次修改配置后squid -k reconfigure重新起用即可，要?dú)⒌魋quid執(zhí)行squid -k kill）
查看squidGuard日志文件：
init domainlist /usr/local/squidGuard/db/porn/domains
2001-12-20 16:14:43 [2270] init domainlist /usr/local/squidGuard/db/porn/domains
2001-12-20 16:14:43 [2270] init urllist /usr/local/squidGuard/db/porn/urls
2001-12-20 16:14:43 [2270] init expressionlist /usr/local/squidGuard/db/porn/expressions
2001-12-20 16:14:43 [2270] squidGuard 1.1.4 started (1008836083.022)
2001-12-20 16:14:43 [2270] recalculating alarm in 917 seconds
2001-12-20 16:14:43 [2270] squidGuard ready for requests (1008836083.044)
表示squidGuard已正常啟動

五.測試：
配置客戶端，然后測試代理服務(wù)：
在另一臺win2k上，（以Internet Explore5.0為例）運(yùn)行IE，單擊"工具"，接著單擊"Internet選項"，再單擊"連接"選項卡，單擊"局域網(wǎng)設(shè)置"；在"局域網(wǎng)設(shè)置"窗口中，在"地址"處填上squid服務(wù)器的IP地址192.168.100.16，在"端口"處填上"8080"（修改后squid代理使用的端口號，也就是squid.conf中的http_port，默認(rèn)值為3128），確定后退出。
接下來，先把IP改成192.168.100.20，瀏覽一些網(wǎng)站，如sohu，163等，然后再試試domains和urls中定義的，如hack.co.za、qihui.com/sex，會發(fā)現(xiàn)主頁被重定向到http://admin.foo.com。然后再試試瀏覽有關(guān)girl的網(wǎng)站，去不了了：（；在sohu中搜girl也被重定向了；用IP試試（有些代理程序?qū)Γ桑胁蛔鱿拗?，用ＩＰ可以繞過代理的限制訪問一些禁止的站點(diǎn)），可惜不行?。ㄒ驗閟quidＧuard配置文件中使用了！in_addr，所以可以強(qiáng)迫用戶使用域名訪問而不能使用ip訪問）
再下來，把IP改成192.168.100.18，然后時間改為testtime外的時間，瀏覽網(wǎng)頁，試試結(jié)果，然后再將時間改為testtime內(nèi)瀏覽網(wǎng)頁！
最后，把IP改成192.168.100.30，瀏覽網(wǎng)頁測試。
（可以查看logs下的access.log和cache.log，看看是否代理運(yùn)行正常以及訪問的站點(diǎn)記錄）

總結(jié)：
由上可見，用squid和squidＧuard建立的代理服務(wù)器，配置比較簡單，而且功能強(qiáng)大，可以有效的限制一些用戶對internet的訪問并過濾一些黑名單列出的站點(diǎn)（如色情站點(diǎn)等）。
這里只簡單的介紹了關(guān)于http代理的例子，其它的應(yīng)用和功能大家可以自己試試。

（出處：viphot）

最新評論