Squid 理解

2015/02/09 23:07
阅读数 636

因工作中需要用到squid,为此开始学习squid。这只能说明一点,学习是被逼出来的。费话不多说,开始了!

Squid的代理模式有:

1.代理服务器

理解:web直接将80请求发给代理服务器3128端口)

2.透明代理

理解:web的80请求被防火墙直接重定向到3128,因此透时代理对用户而言是不可见的。

3.反向代理

一、代理服务器

这是SQUID的最基本功能;通过在squid.conf文件里添加一系列访问及控制规则,用户在客户端设置服务器地址和端口,即可通过SQUID访问INTERNET,在下面的规则里,squid实现局域网用户代理和高速缓存功能。

http_port 3128 #监听内外网端口

cache_dir ufs /var/squid 

#定义内容缓存的目录  
cache_mem 32MB

#定义内存缓冲的大小 
cache_swap_low 90 
cache_swap_high 95

cache_dir /var/squid 1000 16 32

dns_nameservers 202.96.128.86

#设置硬盘缓冲的大小
cache_access_log /var/log/squid/access.log

#设置访问日志
cache_log /var/log/squid/cache.log

#设置缓存日志
acl all src 0.0.0.0/0.0.0.0

#允许所有人可以上网

acl head src 192.168.0.2/255.255.255.255 192.168.0.3/255.255.255.255

#定义可上网的网段
acl denysite dstdomain tw net

#定义阻止的网站
acl denyip dst 202.96.134.133/255.255.255.255

#定义阻止的目标IP
acl dnsport port 53

#定义DNS传输端口
http_access allow head
http_access deny denysite

#执行定义的阻止访问站点
http_
access deny denyip
#执行定义的阻止的目标IP

http_access deny dnsport

执行阻止的DNS请求

visible_hostname 192.168.0.1

#配置代理服务器的主机名

cache_mgr ×××@redhat.com

#配置管理员的邮址

客户端在IE设置里填写代理服务器IP地址及端口,即刻实现高速上网。

二、透明代理

所谓透明代理,是相对于代理服务器而言,客户端不需要做任何和代理服务器相关的设置和操作,对用户而言,更本感觉不到代理服务器的存在,所以称之为透明代理

▲用户A发送一个访问请求到防火墙,由防火墙将该用户的访问请求转发到SQUID,SQUID在先检查自身缓存中有无该用户请求的访问内容,如果没有,则请求远端目的服务器,获取该用户的访问内容,在返回给用户的同时,在自身缓存保留一份记录以备下次调用;当用户B发送一个和用户A相同的访问请求时,由防火墙将转发该用户请求到SQUID,SQUID检查自身缓存发现有同样内容后,直接将该内容返回给用户。

▲注:在实际使用中,通常将SQUID和防火墙放在同一台机器上,为了更清楚的象浏览者描述其工作流程,在以下的流程图中将防火墙和SQUID分开显示

image

要实现透明代理,需要在代理服务器的配置文件基础上加一些东西。

http_port 3128 #监听内外网端口

cache_dir ufs /var/squid 

#定义内容缓存的目录  
cache_mem 32MB

#定义内存缓冲的大小 
cache_swap_low 90 
cache_swap_high 95

cache_dir /var/squid 1000 16 32

dns_nameservers 202.96.128.86

#设置硬盘缓冲的大小
cache_access_log /var/log/squid/access.log

#设置访问日志
cache_log /var/log/squid/cache.log

#设置缓存日志
acl all src 0.0.0.0/0.0.0.0

#允许所有人可以上网

acl head src 192.168.0.2/255.255.255.255 192.168.0.3/255.255.255.255

#定义可上网的网段
acl denysite dstdomain tw net

#定义阻止的网站
acl denyip dst 202.96.134.133/255.255.255.255

#定义阻止的目标IP
acl dnsport port 53

#定义DNS传输端口
http_access allow head
http_access deny denysite

#执行定义的阻止访问站点
http_
access deny denyip
#执行定义的阻止的目标IP

http_access deny dnsport

执行阻止的DNS请求

visible_hostname 192.168.0.1

#配置代理服务器的主机名

cache_mgr ×××@redhat.com

#配置管理员的邮址

++++++++++++++++以下为实现透明代理不可缺少的主句

httpd_accel_host virtual

#虚拟主机模式

httpd_accel_with_proxy on

#此项设置为ON后,Squid即是WEB请求的加速器,又是缓存代理服务器。

httpd_accel_users_host_header on

#此项设置ON后,在透时代理模式下,代理服务器的缓存功能才能正常工作。

+++++++++++

开启Linux 路由功能:

方法1:ech0 "1">/proc/sys/net/ipv4/ip_forward
#打开Linux中的包转发功能

方法2:#改变此文件(sysctl.conf)让包转发功能在系统启动以后自动生效;
vi /etc/sysctl.conf
#找到下面语句:
# Controls IP packet forwarding
net.ipv4.ip_forward = 0
#把0改为1,改后如下:
# Controls IP packet forwarding
net.ipv4.ip_forward = 1

++++++++++++

开启iptables的NAT及端口重定向

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

#打开iptables的NAT功能(eth1是连接外网或者连接Internet的网卡);

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
#端口重定向(eth0是内网的网卡);

service iptables save
#保存iptables的规则;

service iptables restart
#重启iptables

++++++++++++++++++++

互联网的访问控制:

acl 2 src 192.168.0.2
http_access allow 2
#允许192.168.0.2这个ip地址的请求全部通过代理服务器;

acl qq url_regex -i qq.com
http_access deny qq
acl tencent url_regex -i tencent.com
http_access deny tencent
#禁止用户上qq

acl jzxz urlpath_regex -i \.exe$ \.rar$ \.zip$ \.mp3$ \.mp4$ \.rm$ \.wma$ \.rmvb$ \.avi$
http_access deny jzxz
#禁止用户下载以'.exe、.rar、mp3、mp4、.rm'等结尾的文件(注意空格啊!没有空格便失效)

acl all src 192.168.0.1/255.255.255.0
http_access allow all
#设置访问控制列表,让代理服务器接受来自192.168.0这个网段的请求。

博文若有问题,请大家拍砖!

2010-4-1 深圳地王

展开阅读全文
打赏
0
2 收藏
分享
加载中
更多评论
打赏
0 评论
2 收藏
0
分享
返回顶部
顶部