前言

　　在此，我們要配置一個(gè)只對(duì)內(nèi)部網(wǎng)絡(luò)提供代理服務(wù)的 Proxy Server。它具有如下功能它將用戶分為高級(jí)用戶和普通用戶兩種，對(duì)高級(jí)用戶采用網(wǎng)卡物理地址識(shí)別的方法，

　　普通用戶則需要輸入用戶名和口令才能正常使用。 高級(jí)用戶沒(méi)有 訪問(wèn)時(shí)間和文件類型的限制，而普通用戶只在上班時(shí)可以訪問(wèn)以及一些其它的限制。

　　安裝

　　從源中安裝

　　源中自帶穩(wěn)定版本，執(zhí)行下面的命令進(jìn)行安裝

　　sudo apt-get install squid squid-common

　　源碼編譯安裝

　　當(dāng)然你也可以到官方網(wǎng)站下載最新的版本進(jìn)行編譯安裝：

　　其中 STABLE 穩(wěn)定版、DEVEL 版通常是提供給開(kāi)發(fā)人員測(cè)試程序的，假定下載了最新的穩(wěn)定版 squid-2.5.STABLE2.tar.gz，用以下命令解開(kāi)壓縮包：

　　tar xvfz squid-2.5.STABLE.tar.gz

　　用 bz2方式壓縮的包可能體積更小，相應(yīng)的命令是：

　　tar xvfj squid-2.5.STABLE.tar.bz2

　　然后，進(jìn)入相應(yīng)目錄對(duì)源代碼進(jìn)行配置和編譯，命令如下：

　　cd squid-2.5.STABLE2

　　配置命令 configure 有很多選項(xiàng)，如果不清楚可先用“-help”查看。通常情況下，用到的選項(xiàng)有以下幾個(gè)：

　　--prefix=/WEB/squid

　　指定 Squid 的安裝位置，如果只指定這一選項(xiàng)，那么該目錄下會(huì)有 bin、sbin、man、conf 等目錄，而主要的配置文件此時(shí)在 conf 子目錄中。為便于管理，最好用參數(shù)--sysconfdir=/etc把這個(gè)文件位置配置為/etc。

　　--enable-storeio=ufs,null

　　使用的文件系統(tǒng)通常是默認(rèn)的 ufs，不過(guò)如果想要做一個(gè)不緩存任何文件的代理服 務(wù)器，就需要加上 null 文件系統(tǒng)。

　　--enable-arp-acl

　　這樣可以在規(guī)則設(shè)置中直接通過(guò)客戶端的 MAC 地址進(jìn)行管理，防止客戶使用 IP 欺騙。

　　--enable-err-languages="Simplify_Chinese"

　　--enable-default-err-languages="Simplify_Chinese"

　　上面兩個(gè)選項(xiàng)告訴 Squid 編入并使用簡(jiǎn)體中文錯(cuò)誤信息。

　　--enable-Linux-netfilter

　　允許使用 Linux 的透明代理功能。

　　--enable-underscore

　　允許解析的 URL 中出現(xiàn)下劃線，因?yàn)槟J(rèn)情況下 Squid 會(huì)認(rèn)為帶下劃線的 URL 是 非法的，并拒絕訪問(wèn)該地址。 整個(gè)配置編譯過(guò)程如下：

　　./configure --prefix=/var/squid

　　--sysconfdir=/etc

　　--enable-arp-acl

　　--enable-linux-netfilter

　　--enable-pthreads

　　--enable-err-language="Simplify_Chinese"

　　--enable-storeio=ufs,null

　　--enable-default-err-language="Simplify_Chinese"

　　--enable-auth="basic"

　　--enable-baisc-auth-helpers="NCSA"

　　--enable-underscore

　　其中一些選項(xiàng)有特殊作用，將在下面介紹它們。 最后執(zhí)行下面兩條命令，將源代碼編譯為可執(zhí)行文件，并拷貝到指定位置。

　　make

　　sudo make install

　　基本配置

　　安裝完成后，接下來(lái)要對(duì) Squid 的運(yùn)行進(jìn)行配置(不是前面安裝時(shí)的配置)。所有項(xiàng)目都在squid.conf 中完成。Squid 自帶的 squid.conf 包括非常詳盡的說(shuō)明，相當(dāng)于一篇用戶手冊(cè)，對(duì)配置有任何疑問(wèn)都可以參照解決。在這個(gè)例子中，代理服務(wù)器同時(shí)也是網(wǎng)關(guān)，內(nèi)部網(wǎng)絡(luò)接口 eth0的 IP 地址為192.168.0.1，外部網(wǎng)絡(luò)接 eth1的 IP 地址為202.103.x.x。下面是一個(gè)基本的代理所需要配置選項(xiàng)：

　　http_port 192.168.0.1:3128

　　默認(rèn)端口是3128，當(dāng)然也可以是任何其它端口，只要不與其它服務(wù)發(fā)生沖突即可。為了安全起見(jiàn)，在前面加上 IP 地址，Squid 就不會(huì)監(jiān)聽(tīng)外部的網(wǎng)絡(luò)接口。 下面的配置選項(xiàng)是服務(wù)器管理者的電子郵件，當(dāng)錯(cuò)誤發(fā)生時(shí)，該地址會(huì)顯示在錯(cuò)誤頁(yè)面上，便于用戶聯(lián)系：

　　cache_mgr start@soocol.

　　以下這些參數(shù)告訴 Squid 緩存的文件系統(tǒng)、位置和緩存策略：

　　cache_dir ufs /var/squid

　　cache_mem 32MB

　　cache_swap_low 90

　　cache_swap_high 95

　　在這里，Squid 會(huì)將/var/squid 目錄作為保存緩存數(shù)據(jù)的目錄，每次處理的緩存大小是32兆字節(jié)，當(dāng)緩存空間使用達(dá)到95%時(shí)，新的內(nèi)容將 取代舊的而不直接添加到目錄中，直到空間又下降到90%才停止這一活動(dòng)。如果不想 Squid 緩存任何文件，如某些存儲(chǔ)空間有限的專有系統(tǒng)，可以使用 null 文件系統(tǒng)(這樣不需要那些緩存策略)：

　　cache_dir null /tmp

　　下面的幾個(gè)關(guān)于緩存的策略配置中，較主要的是第一行，即用戶的訪問(wèn)記錄，可以通過(guò)分析它來(lái)了解所有用戶訪問(wèn)的詳盡地址：

　　cache_access_log /var/squid/access.log

　　cache_log /var/squid/cache.log

　　cache_store_log /var/squid/store.log

　　下面這行配置是在較新版本中出現(xiàn)的參數(shù)，告訴 Squid 在錯(cuò)誤頁(yè)面中顯示的服務(wù)器名稱：

　　visible_hostname No1.proxy

　　以下配置告訴 Squid 如何處理用戶，對(duì)每個(gè)請(qǐng)求的 IP 地址作為單獨(dú)地址處理：

　　client_netmask 255.255.255.255

　　如果是普通代理服務(wù)器，以上的配置已經(jīng)足夠。但是很多 Squid 都被用來(lái)做透明代理。所謂透明代理，就是客戶端不知道有代理服務(wù)器的存在，當(dāng)然也不需要進(jìn)行任何與代理有關(guān)的設(shè)置，從而大大方便了系統(tǒng)管理員。相關(guān)的選項(xiàng)有以下幾個(gè)：

　　httpd_accel_host virtual

　　httpd_accel_port 80

　　httpd_accel_with_proxy on

　　httpd_accel_user_host_header on

　　在 Linux 上，可以用 iptables/ipchains 直接將對(duì) WEB 端口80的請(qǐng)求直接轉(zhuǎn)發(fā)到 Squid 端口3128，

　　由 Squid 接手，而用戶瀏覽器仍然認(rèn)為它訪問(wèn)的是對(duì)方的80端口。例如以下這條命令：

　　iptables -t nat -A PREROUTING -s 192.168.0.200/32 -p tcp --dport 80 -j REDIRECT 3128

　　就是將192.168.0.200的所有針對(duì)80端口的訪問(wèn)重定向到3128端口。

　　所有設(shè)置完成后，關(guān)鍵且重要的任務(wù)是訪問(wèn)控制。Squid 支持的管理方式很多，使用起來(lái)也非常簡(jiǎn)單(這也是有人寧愿使用不做任何緩存的 Squid， 不愿意單獨(dú)使用 ipta

最新評(píng)論