近期在做一些基礎(chǔ)設(shè)施搭建的過程中，又遭遇到了公司http代理的問題。主要是很多主機(jī)上的工具只支持不帶身份鑒權(quán)信息的http_proxy設(shè)置，如只 支持諸如：export http_proxy='http://10.10.1.1:8090'，而不支持export http_proxy='http://tonybai:passwd@10.10.1.1:8090'這種形式的配置。

或是其命令行選項(xiàng)中只提供了proxy_host和proxy_port兩個(gè)選項(xiàng)，但并不支持?jǐn)y帶鑒權(quán)信息。而公司內(nèi)部要訪問外部信息還必須通過公司的帶 有身份鑒權(quán)的代理服務(wù)器，總而言之，弄得我十分不爽。于是乎產(chǎn)生一個(gè)想法：是否可以搭建一個(gè)內(nèi)部http中間代理，部門內(nèi)部主機(jī)通過不帶身份鑒權(quán)信息的代 理配置訪問該中間代理，而該中間代理將內(nèi)部的所有http request都轉(zhuǎn)發(fā)到公司代理，同時(shí)攜帶配置好的身份驗(yàn)證信息。

對(duì)http代理這事，我完全是個(gè)小白啊，于是乎Google開來(恰逢最近Google還不給力，原因你懂的)。

最先試用了一下tinyproxy，這個(gè)工具挺小巧簡(jiǎn)單，在ubuntu下通過apt-get 可直接安裝，/etc/tinyproxy/tinyproxy.conf的配置也很簡(jiǎn)單明了。但配置文件中涉及到轉(zhuǎn)發(fā)到upstream proxy server的配置行只支持"Upstream host:port"而不支持"Upstream tonybai:passwd@host:port"形式，并且也沒有其他地方支持身份鑒權(quán)信息的配置。在其官方bugzilla上有很多人反映這一情 況，但其最新版本似乎也沒有將這個(gè)功能加入，十分遺憾！

于是乎打算換一個(gè)重量級(jí)的代理工具-nginx。Ubuntu 9.04下默認(rèn)安裝的nginx是0.65版本。nginx功能雖強(qiáng)大，配置倒并不那么“復(fù)雜”，但問題在于nginx本身似乎更專注于負(fù)載均衡和反向代 理，而滿足我這個(gè)問題場(chǎng)景的資料甚少。nginx配置命令和變量太多，要想短時(shí)間搞清楚這些變量的含義還真是一件困難事。照貓畫虎的嘗試了幾種配 置，也均未能成功。翻閱了國(guó)內(nèi)唯一一本nginx書籍 – 《實(shí)戰(zhàn)nginx》，但無奈太厚，翻了三章，索性放下了。換工具！

最傳統(tǒng)的開源免費(fèi)http代理工具莫過于squid了。估計(jì)其市場(chǎng)占有率也是名列前茅的。Ubuntu 9.04下默認(rèn)安裝的squid是2.7版本，不算很老，squid官方站至今還提供2.7版本詳細(xì)的配置文檔。但squid默認(rèn)的配置文件可是超級(jí)龐 大，總共有近5k行，雖然絕大部分內(nèi)容都是被注釋掉的。于是乎先用命令過濾出未注釋行，這些行是真正生效的配置。

關(guān)于squid如何將收到的http request轉(zhuǎn)發(fā)到帶身份鑒權(quán)的上級(jí)http proxy server，網(wǎng)上的信息也較少，不過還是讓我發(fā)現(xiàn)一條。按照這條配置建議做了嘗試。/etc/squid/squid.conf的配置摘要如下：

access_log /var/log/squid/access.log squid
debug_options ALL,1
hosts_file /etc/hosts
coredump_dir /var/spool/squid

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

http_port 10.10.13.17:3128

http_access allow localnet
http_access allow localhost
http_access deny all

cache_peer proxy.yourcompany.com parent port_of_company_httpproxy 0 no-query default login=user:passwd
never_direct allow localnet

配置后，重啟squid(sudo /etc/init.d/squid restart)。將Chrome瀏覽器的代理配置改為該代理，嘗試打開"baidu.com"，陷入漫長(zhǎng)等待。于是打開squid的訪問日志/var /log/squid/access.log，看到如下失敗信息：

1353476636.008 0 10.10.13.235 TCP_DENIED/400 1709 GET error:invalid-request – NONE/- text/html
1353476657.337 1 10.10.13.235 TCP_DENIED/400 1709 GET error:invalid-request – NONE/- text/html
1353476691.420 0 10.10.13.235 TCP_DENIED/400 1678 GET error:invalid-request – NONE/- text/htm

居然出錯(cuò)！換成IE瀏覽器，現(xiàn)象一樣，都是這種錯(cuò)誤。在/var/log/squid/cache.log中，還能發(fā)現(xiàn)下面錯(cuò)誤：

2012/11/21 13:43:56| clientTryParseRequest: FD 12 (10.10.13.235:4247) Invalid Request

不斷的修改squid.conf配置，不斷地修改瀏覽器代理配置，不斷的失敗?？偸切薷臑g覽器的代理配置讓我感覺十分費(fèi)勁，于是我換用curl工具來測(cè)試 該代理。curl是可以識(shí)別http_proxy環(huán)境變量的。將http_proxy環(huán)境變量改為export http_proxy=http://10.10.13.17:3128，在命令行敲入curl http://baidu.com，居然得到下面結(jié)果：

$ curl http://baidu.com
<html>
<meta http-equiv="refresh" content="0;url=http://www.baidu.com/">
</html>

再回到access.log觀察，居然看到了下面成功日志：

1353476863.916 0 10.10.13.235 TCP_HIT/200 677 GET http://baidu.com/ – NONE/- text/html

于是又嘗試用wget下載外部文件、用subversion訪問外部svn repository、rvm安裝ruby包均告成功！這不就是我想要的結(jié)果嗎！居然被我誤打誤撞到了！雖然到目前為止我仍然不知道為何瀏覽器發(fā)出的http request不能被識(shí)別^_^。

Squid這個(gè)http代理功能十分強(qiáng)大，本身就是被很多企業(yè)作為公司級(jí)http代理的工具的。其配置參考足足可以寫成一本厚厚的書（市面上已經(jīng)有這種書），還好我的場(chǎng)景用不到那些稀奇古怪的配置，目前這種狀態(tài)足矣！

最新評(píng)論