前言

　　在此，我們要配置一個只對內(nèi)部網(wǎng)絡提供代理服務的 Proxy Server。它具有如下功能它將用戶分為高級用戶和普通用戶兩種，對高級用戶采用網(wǎng)卡物理地址識別的方法，

　　普通用戶則需要輸入用戶名和口令才能正常使用。 高級用戶沒有 訪問時間和文件類型的限制，而普通用戶只在上班時可以訪問以及一些其它的限制。

　　安裝

　　從源中安裝

　　源中自帶穩(wěn)定版本，執(zhí)行下面的命令進行安裝

　　sudo apt-get install squid squid-common

　　源碼編譯安裝

　　當然你也可以到官方網(wǎng)站下載最新的版本進行編譯安裝：

　　其中 STABLE 穩(wěn)定版、DEVEL 版通常是提供給開發(fā)人員測試程序的，假定下載了最新的穩(wěn)定版 squid-2.5.STABLE2.tar.gz，用以下命令解開壓縮包：

　　tar xvfz squid-2.5.STABLE.tar.gz

　　用 bz2方式壓縮的包可能體積更小，相應的命令是：

　　tar xvfj squid-2.5.STABLE.tar.bz2

　　然后，進入相應目錄對源代碼進行配置和編譯，命令如下：

　　cd squid-2.5.STABLE2

　　配置命令 configure 有很多選項，如果不清楚可先用“-help”查看。通常情況下，用到的選項有以下幾個：

　　--prefix=/WEB/squid

　　指定 Squid 的安裝位置，如果只指定這一選項，那么該目錄下會有 bin、sbin、man、conf 等目錄，而主要的配置文件此時在 conf 子目錄中。為便于管理，最好用參數(shù)--sysconfdir=/etc把這個文件位置配置為/etc。

　　--enable-storeio=ufs,null

　　使用的文件系統(tǒng)通常是默認的 ufs，不過如果想要做一個不緩存任何文件的代理服 務器，就需要加上 null 文件系統(tǒng)。

　　--enable-arp-acl

　　這樣可以在規(guī)則設置中直接通過客戶端的 MAC 地址進行管理，防止客戶使用 IP 欺騙。

　　--enable-err-languages="Simplify_Chinese"

　　--enable-default-err-languages="Simplify_Chinese"

　　上面兩個選項告訴 Squid 編入并使用簡體中文錯誤信息。

　　--enable-Linux-netfilter

　　允許使用 Linux 的透明代理功能。

　　--enable-underscore

　　允許解析的 URL 中出現(xiàn)下劃線，因為默認情況下 Squid 會認為帶下劃線的 URL 是 非法的，并拒絕訪問該地址。 整個配置編譯過程如下：

　　./configure --prefix=/var/squid

　　--sysconfdir=/etc

　　--enable-arp-acl

　　--enable-linux-netfilter

　　--enable-pthreads

　　--enable-err-language="Simplify_Chinese"

　　--enable-storeio=ufs,null

　　--enable-default-err-language="Simplify_Chinese"

　　--enable-auth="basic"

　　--enable-baisc-auth-helpers="NCSA"

　　--enable-underscore

　　其中一些選項有特殊作用，將在下面介紹它們。 最后執(zhí)行下面兩條命令，將源代碼編譯為可執(zhí)行文件，并拷貝到指定位置。

　　make

　　sudo make install

　　基本配置

　　安裝完成后，接下來要對 Squid 的運行進行配置(不是前面安裝時的配置)。所有項目都在squid.conf 中完成。Squid 自帶的 squid.conf 包括非常詳盡的說明，相當于一篇用戶手冊，對配置有任何疑問都可以參照解決。在這個例子中，代理服務器同時也是網(wǎng)關，內(nèi)部網(wǎng)絡接口 eth0的 IP 地址為192.168.0.1，外部網(wǎng)絡接 eth1的 IP 地址為202.103.x.x。下面是一個基本的代理所需要配置選項：

　　http_port 192.168.0.1:3128

　　默認端口是3128，當然也可以是任何其它端口，只要不與其它服務發(fā)生沖突即可。為了安全起見，在前面加上 IP 地址，Squid 就不會監(jiān)聽外部的網(wǎng)絡接口。 下面的配置選項是服務器管理者的電子郵件，當錯誤發(fā)生時，該地址會顯示在錯誤頁面上，便于用戶聯(lián)系：

　　cache_mgr start@soocol.

　　以下這些參數(shù)告訴 Squid 緩存的文件系統(tǒng)、位置和緩存策略：

　　cache_dir ufs /var/squid

　　cache_mem 32MB

　　cache_swap_low 90

　　cache_swap_high 95

　　在這里，Squid 會將/var/squid 目錄作為保存緩存數(shù)據(jù)的目錄，每次處理的緩存大小是32兆字節(jié)，當緩存空間使用達到95%時，新的內(nèi)容將 取代舊的而不直接添加到目錄中，直到空間又下降到90%才停止這一活動。如果不想 Squid 緩存任何文件，如某些存儲空間有限的專有系統(tǒng)，可以使用 null 文件系統(tǒng)(這樣不需要那些緩存策略)：

　　cache_dir null /tmp

　　下面的幾個關于緩存的策略配置中，較主要的是第一行，即用戶的訪問記錄，可以通過分析它來了解所有用戶訪問的詳盡地址：

　　cache_access_log /var/squid/access.log

　　cache_log /var/squid/cache.log

　　cache_store_log /var/squid/store.log

　　下面這行配置是在較新版本中出現(xiàn)的參數(shù)，告訴 Squid 在錯誤頁面中顯示的服務器名稱：

　　visible_hostname No1.proxy

　　以下配置告訴 Squid 如何處理用戶，對每個請求的 IP 地址作為單獨地址處理：

　　client_netmask 255.255.255.255

　　如果是普通代理服務器，以上的配置已經(jīng)足夠。但是很多 Squid 都被用來做透明代理。所謂透明代理，就是客戶端不知道有代理服務器的存在，當然也不需要進行任何與代理有關的設置，從而大大方便了系統(tǒng)管理員。相關的選項有以下幾個：

　　httpd_accel_host virtual

　　httpd_accel_port 80

　　httpd_accel_with_proxy on

　　httpd_accel_user_host_header on

　　在 Linux 上，可以用 iptables/ipchains 直接將對 WEB 端口80的請求直接轉(zhuǎn)發(fā)到 Squid 端口3128，

　　由 Squid 接手，而用戶瀏覽器仍然認為它訪問的是對方的80端口。例如以下這條命令：

　　iptables -t nat -A PREROUTING -s 192.168.0.200/32 -p tcp --dport 80 -j REDIRECT 3128

　　就是將192.168.0.200的所有針對80端口的訪問重定向到3128端口。

　　所有設置完成后，關鍵且重要的任務是訪問控制。Squid 支持的管理方式很多，使用起來也非常簡單(這也是有人寧愿使用不做任何緩存的 Squid， 不愿意單獨使用 ipta

最新評論